VULNERABILITE | Tous les anti-virus sont compromis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

VULNERABILITE | Tous les anti-virus sont compromis

Messagede Mr XYZ » 11 Oct 2005, 21:27

Paris (Mal-Au-Net) - Le CERTA -Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques - a émis une alerte concernant une vulnérabilité affectant TOUS les ordinateurs.
Nous conseillons de mettre à jour les produits relatifs à la sécurité de vos ordinateurs.

Extrait du Bulletin d'Alerte du Certa

Systèmes affectés

* VirusBlokAda VBA32
* Ukrainian Antiviral Center Ukrainian National Antivirus
* Symantec Norton Antivirus
* Sophos Anti-Virus
* Softwin BitDefender
* Panda Antivirus
* Panda ActiveScan
* Norman Virus Control
* McAfee VirusScan
* Kaspersky Labs (tous produits)
* Ikarus
* Hacksoft TheHacker
* H+BEDV AntiVir
* Fortinet Antivirus
* F-Secure Anti-Virus
* Eset Software NOD32 Antivirus
* Dr.Web
* Computer Associates Vet Antivirus
* Computer Associates eTrust EZ Antivirus
* Clam Anti-Virus ClamAV
* Cat Computer Services Quick Heal Antivirus
* AVG AVG Anti-Virus
* Avast! Antivirus
* ArcaBit ArcaVir


Résumé
Une vulnérabilité dans le traitement des archives affecte la quasi-totalité des antivirus du marché. Ainsi, les antivirus ne peuvent repérer un virus inséré dans une archive malicieusement construite.


Description
La plupart des antivirus du marché sont vulnérables à un contournement de politique de sécurité.

En effet, il est possible grâce à un fichier archive malicieusement construit, de passer outre le système de filtrage de l'antivirus. Ainsi, un virus contenu dans ce fichier archive sera acheminé vers son destinataire sans traitement préalable par une passerelle antivirus.


Une fois arrivé sur le poste utilisateur, le fichier virus contenu dans l'archive doit être extrait puis exécuté par l'utilisateur pour corrompre la machine.


Contournement provisoire
Tant que le virus n'est pas extrait de l'archive sur le poste client cible, aucun code malveillant n'est exécuté. Il convient donc de respecter les règles de comportement élémentaires d'utilisation de la messagerie, rappelés ci-dessous :

* mettre à jour son antivirus ;
* ne pas ouvrir les mails à caractère douteux ;
* ne jamais ouvrir les fichiers archives en cas de doute sur leur provenance ;
* vérifier systématiquement le contenu extrait des archives ;
* Dans le cadre de la défense en profondeur, privilégier systématiquement l'emploi d'un antivirus sur la passerelle de messagerie associé à un antivirus différent sur les postes de travail.

Solution
Aucune solution n'a été communiquée pour l'instant par les éditeurs d'antivirus.



Lire l'Alerte du CERTA ...
Liste des versions d'anti-virus vulnérable ...

--
Mr XYZ
Mr XYZ
 

Messagede Vazkor » 12 Oct 2005, 14:40

Bonjour,

Beaucoup de bruit pour rien. Créer la peur pour faire vendre, c'est une manoeuvre bien connue, à la limite de l'arnaque!

J'ai effectué les 5 tests proposés comme POC (Proof of Concept).
http://shadock.net/secubox/AVCraftedArchive.html

http://shadock.net/secubox/demo/SecuBox_AVPoC1.rar
http://shadock.net/secubox/demo/SecuBox_AVPoC2.rar
http://shadock.net/secubox/demo/SecuBox_AVPoC3.cab
http://shadock.net/secubox/demo/SecuBox_AVPoC4.arj
http://shadock.net/secubox/demo/SecuBox_AVPoC5.arj

Mon eTrust EZ Antivirus 7.0.5.3 a très bien réagi pour les quatre premiers, quand je fais un clic droit et que je clique ensuite sur eTrust Antivirus. Il n'a pas signalé la présence d'eicar.com pour le cinquième mais pas question de cliquer sur le fichier eicar.com visible dans l'archive, sinon il réagit.
Je ne cours donc aucun risque particulier.

Libre à vous d'essayer.

@+

Je suis peut-être parano, mais pas au point d'avoir peur de ce genre de truc...
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede le gromleux » 12 Oct 2005, 19:29

bonsoir,

avec clic droit :

AVG réagit pour 1 et 3
AVAST pour 2, 4 et 5

toujours vérifier quand on télécharge = règle de base

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede Mr XYZ » 13 Oct 2005, 21:13

Cela veux donc dire que l'exploit est sans doute "dangereux"....

c'est une "faille" mineure mais dangereuse pour ceux qui n'ont pas l'habitude d'etre Parano :D
Mr XYZ
 

Messagede Vazkor » 14 Oct 2005, 15:16

Bonjour,

Celui qui télécharge un programme sur un site douteux, qui reçoit une pièce jointe et clique dessus sans réfléchir pour l'ouvrir devrait être cloué au pilori, bombardé de tomates ou d'oeufs pourris et se voir condamné à donner son PC à une oeuvre de charité, parce qu'il est trop con et met les autres en danger!

A quand un permis de surfer, pas pour protéger les cons de leur bêtise mais leurs victimes innocentes, qui même prudents reçoivent des merdes dans leur boîte aux lettres?

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Mr XYZ » 15 Oct 2005, 00:17

Bonsoir !

Tu bannis la majorité des gens qui ont un PC chez eux qui n'ont pas ton expèrience.... je trouve ça limite... mais c'est ton avis et je le respecte....

L'interet de votre forum et des milliard d'autres qui traitent de la sécurité ont pour vocation d'aider les "non sachant" donc, je vois pas comment tu oses écrire des choses pareilles..... bref.... cela n'est QUE mon avis.....

En revanche, il devrait y avoir des cours d'informatique et des notions de sécu obligatoire dans toutes les bonnes écoles de notre chamante sphère....

très bonne soirée à tous !
Mr XYZ
 

Messagede zorro51 » 15 Oct 2005, 01:11

Salut

Je suis pourtant un peu de l'avis de vazkor.

On parle de plus en plus des virus informatiques aux infos.....

Un ordinateur, on essaie un minimum d'apprendre a s'en servir (sans etre un informaticien ) sans faire n'importe quoi.

Les grandes surfaces sont blindées d'offres d'antivirus divers (norton, mc afee et autre).
S'il existe des antivirus, c'est qu'il existe des virus; Logique non?

C'est un peu comme les limites de vitesse en tuture. Tout le monde sait qu'il existe des limites de vitesse sur les routes... (meme sans passer le permis). Mais il y a toujours une paire de demeurés pour rouler a 230 sur les autoroutes...., et qui viennent ensuite pleurer quand ils se sont fait sucrer le permis (alors qu'ils auraient pu tuer des 10 aines de personnes)
zorro51
 
Messages: 635
Inscription: 04 Déc 2003, 03:06
Localisation: Mais ou suis-je deja ?????

Messagede Mr XYZ » 15 Oct 2005, 02:27

Certes, encore faut il savoir se servir de son anti-virus....

L'informatique pour Grand Public est "vendu" pour être simple et sans prise de tête... la plus part des gens ne se posent donc pas les questions....

je suis désolé, je suis d'accord avec vous sur l'éducation... mais pas sur un rejet en brute des gens n'ayant pas la connaissance que, je trouve, Vazkor, prends pour des imbéciles....

La culture et la connaissance ne valent que si elles sont partagé par tous.... d'où les forums... les sites....

voilà :D

Très bonne nuit à tous !
Mr XYZ
 

Messagede zorro51 » 15 Oct 2005, 13:47

Re

Je ne pense pas que " je trouve, Vazkor, prends pour des imbéciles....".

" L'informatique pour Grand Public est "vendu" pour être simple et sans prise de tête... la plus part des gens ne se posent donc pas les questions.... " => oui et non. L'antivirus est livré avec une notice, tout comme les micro ondes.... encore faut il au moins le lire, ce qui prend entre 20 a 30 minutes, pour apprendre a le parametrer.

" La culture et la connaissance ne valent que si elles sont partagé par tous.... d'où les forums... les sites.... " =>oui ok. Mais quand tu vois parfois certains pelerins poser la meme question alors qu'elle a ete posé 1 heure avant, et est encore visible sur le meme forum, sans que ce " pelerin " ne se donne la peine de lire.... ca amene parfois une certaine lassitude.

Certaines personnes ne mettent pas de capote lorsque crac crac avec un ou une inconnu, malgré le matraquage mediatique et campagnes de prevention.
zorro51
 
Messages: 635
Inscription: 04 Déc 2003, 03:06
Localisation: Mais ou suis-je deja ?????

Messagede Mr XYZ » 15 Oct 2005, 15:18

Compare ce qui est comparable !

Tu va peut être me dire qu'il va falloir un permis de "baiser" ?

Notre rôle est d'aider les non"sachant" et même si certains sont de vrai boulet, et j'en connais, je te rassure... ceci n'est pas une raison pour juger et critiquer les autres....
Mr XYZ
 

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 9 invités