| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
 Posté le: Ven 22 06 2007 à 19 14 35 Sujet du message: RemoveIT Pro - Un "Remover" like !!! |
 |
|
Bonjour,
Des utilisateurs de ce produit discutent entre-eux à propos de la présence de RemoveIT Pro dans la crapthèque. Ils m'inscrivent dans la liste de diffusion de leur fil de discussion afin que je puisse suivre les débats. Ils demandent des explications à l'éditeur qui me demande de retirer son produit de cette liste.
Voici ma réponse ainsi que le petit mot inséré dans le fil de discussion
Cordialement
| Citation: | Bonjour à tous,
J'ai bien reçu les posts de votre fil de discussion. Merci de m’y avoir inscrit.
J'ai procédé à une analyse approfondie de la version "Free" de ce logiciel (fonctionnement - comportement).
Je souhaitais ajouter ma réponse ici mais le document est un peu long et susceptible de retouches
(en plus de sa mise en page qu'il m'aurait fallu refaire ici). Je l'ai donc mis sur notre forum à
RemoveIT Pro - Un "Remover" like !!!
http://assiste.forum.free.fr/viewtopic.php?p=106604#106604
La consultation est libre
Une intervention anonyme peut se faire en utilisant le login "Test" sans mot de passe (mais ce n'est pas courtois)
Pour l'instant le produit renforce sa position dans la crapthèque.
Merci de le critiquer et/ou d'apporter d'autres éléments constructifs.
Je n'ai pas reçu la demande de Damjan Irgolic InCode Solutions (probablement à cause de mon anti-spam à
test de Turing auquel Damjan Irgolic n'a pas réagit).
Cordialement
Pierre Pinard
Assiste.com
To Damjan Irgolic
Hello,
I regret to bring to your attention that, in the current state of my analysis of RemoveIT Pro,
this one does not comprise any criterion justifying its exit of "La Crapthèque".
Worse: the thorough analysis that I was brought to lead makes it possible to declare that
this product does not have at all its place among the security tools for computers and privacy on the Internet.
Thank you to inform me on the operation of "High-level protection technology (HLP)" Sincerely
Sincerely
Pierre Pinard
Assiste.com |
Analyse de RemoveIT Pro
| Pierre a écrit: | Bonjour à tous,
J'ai bien reçu les posts de votre fil de discussion. Merci de m’y avoir inscrit.
Comme vous avez pu le constater, je signale ce produit au vu du travail de Eric, chercheur en sécurité, MVPS et consultant chez Sunbelt (CounterSpy).
Ce produit figurait dans « The Spyware Warrior List of Rogue/Suspect Anti-Spyware Products & Web Sites - Eric L. Howes". »
http://www.spywarewarrior.com/rogue_anti-spyware.htm
Eric a dé-listé ce produit mais je l'ai laissé dans la crapthèque.
http://assiste.com.free.fr/p/craptheque/removeit_pro.html
Je fais régulièrement des analyses des codes des logiciels par le service VirusTotal et DrWEB signalait encore RemoveIT Pro, le 10 avril 2007, en "downloader.trojan".
Suite à votre alerte, j’ai :
- ré-analysé le code du .zip de RemoveIT Pro téléchargé anciennement (version free) ainsi que le même téléchargé aujourd'hui. Plus rien n’est trouvé.
- analysé le code décompressé de l'exécutable de RemoveIT Pro, après son installation : 2 scanners (Fortinet et Sunbelt) le trouve suspect (mais ce n’est pas une preuve : la suspicion VIPRE de SunBelt n’apparaît que sur le service VirusTotal et n’existe pas dans le produit commercial CounterSpy – elle permet à Sunbelt d’ « accrocher » un code pour faire une analyse approfondie).
- téléchargé et analysé le code zippé de la version « entreprise » : un outil, DrWEB, le signale en downloader.trojan (insuffisant pour trancher et probable faux positif).
- Sous un compte administrateur et sous XP Pro SP2 totalement à jour :
- J’ai procédé à une installation sous surveillance de Total Uninstall et n’ai rien remarqué d'anormal dans son déploiement.
- J’ai procédé à un update de la base de signatures sous surveillance de Total Uninstall et n’ai rien remarqué (J'ai procédé ainsi, en deux étapes avec deux logs de surveillance distincts car une alerte sur le Net signalait le dépôt d'un virus par RemoveIT Pro non pas lors de son installation mais lors de sa première mise à jour - démenti depuis).
- J’ai procédé à une analyse d’un système avec RemoveIT Pro et n’ai rien remarqué.
A la seule vue de ces résultats j'aurais pu dé-lister RemoveIT Pro mais je me suis attaché à observer son comportement :
Comportement de RemoveIT Pro:
Ce n’est pas un scanner de fichiers comme tous les scanners « traditionnels » - il ne calcule pas la signature (hash MD5 ou hash SHA1, par exemple) des fichiers pour la comparer à une base de signatures
Ce n’est pas un scanner d’emplacements privilégiés (l’archétype et initiateur de cette technique étant Spybot S&D)
Lorsque l’on observe la zone en bas à gauche de sa fenêtre, on voit défiler des noms de fichiers comme :
RemoveIT Pro cherche la présence de noms de fichiers à certains endroits.
La base de pseudo " signatures " de RemoveIT Pro est massivement constituée de noms de fichiers aléatoires tels que nous les évoquons dans la base de référence mondiale à http://assiste.com.free.fr/p/pacman/pacman_startup_list_aleatoires.html
Je procède donc, sous un compte admin et sous un XP Pro SP2 totalement à jour à la manipulation simple suivante :
- Création des fichiers vides suivants en utilisant le bloc-notes de Windows
c:\bkzecslk.exe
c:\Program Files\antivirus-golden\&0123456789.exe
c:\windows\system32\hpxdfjax.dll
- Lancement de l’analyse par RemoveIT Pro version Free (base de signatures à jour)
L’analyse découvre 3 parasites !
Le scanner propose alors de faire une analyse de tous les fichiers
J'accepte et demande l'analyse de ma partition contenant un échantillon de parasites
RemoveIT Pro ressort les 3 "parasites ci-dessus" et ne voit strictement rien d'autre.
Je ne corrige pas et je recommence alors une analyse sous un compte limité
Il ne trouve plus que 2 parasites (quid du troisième ? Il ne voit plus &0123456789 qui se trouve dans un sous-répertoire de " Program Files" or ce répertoire n'est pas interdit de consultation par un compte limité !)
Par contre il me trouve un nouveau parasite dans les répertoires temporaires du compte limité.
Je fais donc immédiatement analyser ce fichier par le service VirusTotal et personne ne voit rien (Il s'agit donc d'un faux positif).
Je poursuis par l'analyse complète de tous les fichiers. Il ne voit toujours rien de ma collection de parasites, affiche toujours les 2 fichiers vides et le faux positif mais compte désormais 4 (quatre) dangereux fichiers (?).
L'analyse est évidemment ultra rapide puisque rien n'est analysé - seuls des noms des fichiers sont comparés, et encore... on ne sait pas comment puisque je fait la manipulation suivante :
J'ai, dans mon ordinateur, un autre disque système monté actuellement en disque secondaire. Je crée les mêmes fichiers avec les mêmes hiérarchies et lance l'analyse dessus. Incroyable mais rien n'est vu !
Conclusions
Ce produit (version Free) fait une analyse par enveloppe (par contenant) et non par contenu ! Nous avons déjà dénoncé avec force ce comportement irresponsable, scandaleux, primaire (et je mâche mes mots pour ne pas exprimer le fond de ma pensée). Il faut impérativement interdire ce type de comportement et il faut totalement interdire, tout particulièrement, RemoveIT Pro qui me rappelle furieusement « Le Remover » dont notre analyse avait lancé tant de débats : voir http://assiste.com.free.fr/p/craptheque/remover.html
Comment fonctionne RemoveIT Pro :
Dans la première phase il cherche la présence de noms de fichiers qu'il à en "base de signatures" à des emplacements où ils ont été vus.
Dans la seconde phase il fait l'inverse : il lit les noms des fichiers et les cherche dans sa base de signatures.
C'est tout ! Il n'y a aucune analyse !
| Citation: | En forme de gag
Pour se constituer une base de signatures impressionnante, on peut lui suggérer d'écrire une petite boucle génératrice de noms aléatoires avec toutes les combinaisons possibles des lettres, chiffres et signes spéciaux, retirer de cette liste tous les noms légitimes (connus de lui), et déclarer tout le reste en parasites ! C'est à peu près cet esprit infantile qui anime RemoveIT Pro. |
C’est un bricolage d’un amateurisme le plus complet et c’est un danger pour les systèmes !
Regarder les pages d'ajouts de signatures dans RemoveIT Pro, par exemple http://www.incodesolutions.com/virl11.php
On y trouve des centaines de noms aléatoires ! Une hérésie !
Par exemple, voici quelques uns des noms de fichiers introduits le 24 décembre 2006 - combien sont totalement inconnus de la scène sécuritaire et de tout l'Internet ? Tous ! Ils ne sont connus que de RemoveIT (et pour 6 d'entre eux, sont donnés en exemple par PrevX ! Pourquoi ? Parce qu'un nom de fichier généré aléatoirement lors de son installation NE PEUT PAS ETRE CONNU D'AVANCE ! Soit il a déjà été utilisé et ne sert plus à rien car il n'y a quasiment aucune chance pour qu'il réapparaisse une seconde fois (c'est pour cela que les criminels du Net font des générateurs de noms aléatoires !) soit il est en gestation dans un algorithme d'un parasite et la seule manière de jouer au devin serait d'inscrire en signature toutes les combinaisons possibles utilisées par l'algorithme soit, pour un nom de fichier simple et court de 8 caractères utilisant uniquement les lettres et les chiffres (sans signes spéciaux), un nombre de combinaisons égal à 36 puissance 8 (36^8 soit 2.821.109.907.456 noms de fichiers possibles !).
Recherches Google
zqeenlkr.exe - 1 occurrence(s) sur tout Google !
zqbtletr.exe - 1 occurrence(s) sur tout Google !
zjtbreln.exe - 1 occurrence(s) sur tout Google !
zernlcnz.exe - 1 occurrence(s) sur tout Google !
xtztnert.exe - 1 occurrence(s) sur tout Google !
xrnelsxs.exe - 1 occurrence(s) sur tout Google !
xlxektlr.exe - 1 occurrence(s) sur tout Google !
xjjhlbqn.exe - 1 occurrence(s) sur tout Google !
xhzenqnj.exe - 1 occurrence(s) sur tout Google !
xblkenwj.exe - 1 occurrence(s) sur tout Google !
wtnkhhkh.exe - 1 occurrence(s) sur tout Google !
wrzbccjj.exe - 1 occurrence(s) sur tout Google !
wklnlclx.exe - 1 occurrence(s) sur tout Google !
whjtrhtz.exe - 2 occurrence(s) sur tout Google !
weebjtst.exe - 1 occurrence(s) sur tout Google !
vzlejkjs.exe - 1 occurrence(s) sur tout Google !
vwxrtsjj.exe - 1 occurrence(s) sur tout Google !
vskrsbet.exe - 1 occurrence(s) sur tout Google !
vlvsrwqn.exe - 1 occurrence(s) sur tout Google !
vhzvjwjh.exe - 1 occurrence(s) sur tout Google !
vbtxtxhj.exe - 1 occurrence(s) sur tout Google !
tzkbnljl.exe - 1 occurrence(s) sur tout Google !
txncjzjs.exe - 1 occurrence(s) sur tout Google !
tszwslkc.exe - 1 occurrence(s) sur tout Google !
tsnknrbt.exe - 1 occurrence(s) sur tout Google !
tsllknjl.exe - 1 occurrence(s) sur tout Google !
trzxbljk.exe - 1 occurrence(s) sur tout Google !
trscelkn.exe - 1 occurrence(s) sur tout Google !
trqtbbtn.exe - 1 occurrence(s) sur tout Google !
trjrkshn.exe - 1 occurrence(s) sur tout Google !
tqtnrbzt.exe - 1 occurrence(s) sur tout Google !
tlncslrk.exe - 1 occurrence(s) sur tout Google !
tkcknstb.exe - 1 occurrence(s) sur tout Google !
tjxbwjhk.exe - 1 occurrence(s) sur tout Google !
tjsbvskl.exe - 1 occurrence(s) sur tout Google !
thhkqqcz.exe - 1 occurrence(s) sur tout Google !
teswhnxv.exe - 1 occurrence(s) sur tout Google !
teqknsbv.exe - 1 occurrence(s) sur tout Google !
tbvezswl.exe - 1 occurrence(s) sur tout Google !
tbrejntt.exe - 1 occurrence(s) sur tout Google !
tbkhrwtk.exe - 1 occurrence(s) sur tout Google !
sxhqvlbl.exe - 1 occurrence(s) sur tout Google !
sxcnjbsj.exe - 1 occurrence(s) sur tout Google !
ssntejkt.exe - 1 occurrence(s) sur tout Google !
sslwbbne.exe - 1 occurrence(s) sur tout Google !
ssblhheq.exe - 1 occurrence(s) sur tout Google !
sqnxhnrr.exe - 2 occurrence(s) sur tout Google !
sqjwkrbj.exe - 1 occurrence(s) sur tout Google !
rvkbrkrn.exe - 1 occurrence(s) sur tout Google !
qlzeslns.exe - 1 occurrence(s) sur tout Google !
obhasb.exe - 1 occurrence(s) sur tout Google !
nztbkvbv.exe - 1 occurrence(s) sur tout Google !
lvtqexbz.exe - 1 occurrence(s) sur tout Google !
lnxkrwcx.exe - 1 occurrence(s) sur tout Google !
leeeczne.exe - 1 occurrence(s) sur tout Google !
klxvsjsj.exe - 1 occurrence(s) sur tout Google !
khvxnbcw.exe - 1 occurrence(s) sur tout Google !
khkekcnh.exe - 1 occurrence(s) sur tout Google !
jjxrntsb.exe - 1 occurrence(s) sur tout Google !
hlbtbjbs.exe - 2 occurrence(s) sur tout Google !
erbjwxjs.exe - 1 occurrence(s) sur tout Google !
bnlekerc.exe - 1 occurrence(s) sur tout Google !
bktzejjb.exe - 1 occurrence(s) sur tout Google !
bkrvbsks.exe - 1 occurrence(s) sur tout Google !
bewwnrrc.exe - 1 occurrence(s) sur tout Google !
belsrlnh.exe - 1 occurrence(s) sur tout Google !
behrnthe.exe - 1 occurrence(s) sur tout Google !
bebwtben.exe - 1 occurrence(s) sur tout Google !
bebkejzl.exe - 1 occurrence(s) sur tout Google !
bceqwcsw.exe - 2 occurrence(s) sur tout Google !
bbwlvvxt.exe - 1 occurrence(s) sur tout Google !
bbwkswvx.exe - 1 occurrence(s) sur tout Google !
bbthszks.exe - 2 occurrence(s) sur tout Google !
bbstlnhn.exe - 1 occurrence(s) sur tout Google !
bbslntkr.exe - 1 occurrence(s) sur tout Google !
bbsjtejb.exe - 2 occurrence(s) sur tout Google !
bbsbzkzx.exe - 1 occurrence(s) sur tout Google !
Ces noms peuvent tout aussi bien être des faux, des inventions pures et simples ! Rien ne permettrait de le confirmer ou de l'infirmer.
Incidemment on remarquera que RemoveIT Pro ne sait même pas de quel parasite il peut bien s’agir lorsqu’il propose de détruire un fichier. On est en plein univers des suppositions ! Par exemple, &0123456789.exe est donné pour être le parasite sys32.&0123456789.exe qui est un parasite imaginaire.
Dans sa base de signatures, le principe même d'incertitude est affiché : le fichier &0123456789 pourrait être (d'après lui mais cela n'a jamais été vérifié sur le Net) un composant de :
virusrescue
ou
virus-bursters
ou
pesttrap
ou
pcodec
ou
intcodec
ou
elitecode
etc. ...
En fait, il ne sait pas du tout ce que c'est et s'en fiche - il lance une alerte, c'est tout : "dangereux virus ou vers" sans plus. Il n'en sait rien strictement et lance une supposition que c'est dangereux et qu'il faut l'effacer parce que un jour, le parasite "on ne sait pas quoi" a fait comme ça ! Il ne sait même pas de quel type de parasites il parle et, en l'occurrence, pour &0123456789, pas de chance car les noms de parasites probables que l'on peut déduire à la lecture des noms des sous-répertoires ne sont ceux d'aucun vers ni virus mais de crapwares (appelés PUP par certains - Potentialy Unwanted Program) !
Lorsque l'on recherche un nom de fichier sur le site de RemoveIT Pro, ce dernier ne donne que, laconiquement et invariablement, la même réponse : "c’est un parasite connu de nous" ! C’est tout – on n’en saura jamais plus !
Le nom que RemoveIT Pro donne aux "parasites" est win32 ou sys32 etc. … suivi du nom du fichier ! Il y a gros à parier que son auteur n’y connaît absolument rien en parasites ni en convention de nommage et aligne des noms de fichiers aléatoires (qui, par essence, ne servent à rien puisqu’ils sont aléatoires) trouvés en écumant les bases de Prevx, Symantec etc. …, sites qui donnent quelques exemples de noms aléatoires (pour de vrais parasites) qui ont de fortes chances de ne plus jamais se re-présenter à nouveau.
Quand bien même les fichiers détruits sans analyse seraient ceux de parasites, je rappelle avec force que lors de la découverte d'un parasite, la conduite a tenir n'est que marginalement l'éradication du parasite ! Il faut se renseigner sur ce parasite pour savoir ce qui s'est passé en amont et imaginer ce qui va se passer en aval (qu'est-ce qui a été compromis, quelle faille a été utilisée qu'il convient de rechercher et corriger sinon cela va recommencer, quelles sont les conséquences de la compromission en matière de sécurité comme en matière de données compromises (risque industriel, commercial, juridique etc. ...). Lire impérativement :
Réactions face à la découverte d'un parasite
http://assiste.com.free.fr/p/abc/a/reactions_face_a_la_decouverte_d_un_parasite.html
RemoveIT Pro est incapable, par conception même, de donner le moindre nom de parasite - il est donc impossible d'agir : on efface des fichiers aveuglément et c'est tout ! C'est d'une imbécilité crasse !
Donc RemoveIT, toutes versions, est une dangerosité (et probablement une escroquerie pour la version payante que je n'ai pas testée) et sa position dans la crapthèque est renforcée.
La fiche RemoveIT Pro, dans la crapthèque, reprendra cette analyse ainsi qu’une lecture attentive des clauses EULA et Terms (conditions générales de vente), lecture qui, à elle toute seule, justifie l'introduction de ce produit dans la crapthèque.
Je vous convie à l'usage gratuit de RogueRemover pour éradiquer réellement les supputations "au petit bonheur la chance" de RemoveIT Pro.
http://assiste.com.free.fr/p/logitheque/rogueremover.html
L'auteur de RemoveIT Pro peut me contacter pour infirmer / démentir / corriger mon analyse et infléchir mon jugement et je ne manquerais pas d'y être attentif.
Cordialement
Pierre Pinard
Assiste.com |
_________________
Pierre (aka Terdef)
Assiste.com - ASAP - Mes configs
Recherches sur le forum
Donations et soutiens - Donation Paypal
Ecrivez en français
Dernière édition par pierre le Sam 23 06 2007 à 12 21 44; édité 1 fois |
|
| Revenir en haut de page |
|
 |
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
| Posté le: Sam 23 06 2007 à 11 40 27 Sujet du message: |
|
|
Réponse de l'éditeur de RemoveIT Pro
| Citation: | Thank you for your email!
This 3 detected threats are not false positives if you think that.
Win32.BKZECSLK or BKZECSLK.EXE is dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGFAJ31397351/bkzecslk%252Eexe.html
Win32.hpxdfjax or hpxdfjax.dll is also dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGHJB31490075/BCEQWCSW.EXE.html
If you have different information about this files please let me know.
You can't threat some AV program like crapware because you think that some located threats are legitimate.
First you have to prove that this threats are false positives.
You dont know nothing about RemoveIT Pro and you cannot judge about some AV program because you are not experts in antivirus field and you dont know how viruses spread them selfs so please remove your review.
Please also note that fruther files from your forum are also dangerous with random filenames generated by trojans.
zqeenlkr.exe - 1 occurrence(s) sur tout Google !
zqbtletr.exe - 1 occurrence(s) sur tout Google !
zjtbreln.exe - 1 occurrence(s) sur tout Google !
zernlcnz.exe - 1 occurrence(s) sur tout Google !
xtztnert.exe - 1 occurrence(s) sur tout Google !
xrnelsxs.exe - 1 occurrence(s) sur tout Google !
xlxektlr.exe - 1 occurrence(s) sur tout Google !
xjjhlbqn.exe - 1 occurrence(s) sur tout Google !
xhzenqnj.exe - 1 occurrence(s) sur tout Google !
xblkenwj.exe - 1 occurrence(s) sur tout Google !
wtnkhhkh.exe - 1 occurrence(s) sur tout Google !
wrzbccjj.exe - 1 occurrence(s) sur tout Google !
wklnlclx.exe - 1 occurrence(s) sur tout Google !
whjtrhtz.exe - 2 occurrence(s) sur tout Google !
weebjtst.exe - 1 occurrence(s) sur tout Google !
vzlejkjs.exe - 1 occurrence(s) sur tout Google !
vwxrtsjj.exe - 1 occurrence(s) sur tout Google !
vskrsbet.exe - 1 occurrence(s) sur tout Google !
vlvsrwqn.exe - 1 occurrence(s) sur tout Google !
vhzvjwjh.exe - 1 occurrence(s) sur tout Google !
vbtxtxhj.exe - 1 occurrence(s) sur tout Google !
tzkbnljl.exe - 1 occurrence(s) sur tout Google !
txncjzjs.exe - 1 occurrence(s) sur tout Google !
tszwslkc.exe - 1 occurrence(s) sur tout Google !
tsnknrbt.exe - 1 occurrence(s) sur tout Google !
tsllknjl.exe - 1 occurrence(s) sur tout Google !
trzxbljk.exe - 1 occurrence(s) sur tout Google !
trscelkn.exe - 1 occurrence(s) sur tout Google !
trqtbbtn.exe - 1 occurrence(s) sur tout Google !
trjrkshn.exe - 1 occurrence(s) sur tout Google !
tqtnrbzt.exe - 1 occurrence(s) sur tout Google !
tlncslrk.exe - 1 occurrence(s) sur tout Google !
tkcknstb.exe - 1 occurrence(s) sur tout Google !
tjxbwjhk.exe - 1 occurrence(s) sur tout Google !
tjsbvskl.exe - 1 occurrence(s) sur tout Google !
thhkqqcz.exe - 1 occurrence(s) sur tout Google !
teswhnxv.exe - 1 occurrence(s) sur tout Google !
teqknsbv.exe - 1 occurrence(s) sur tout Google !
tbvezswl.exe - 1 occurrence(s) sur tout Google !
tbrejntt.exe - 1 occurrence(s) sur tout Google !
tbkhrwtk.exe - 1 occurrence(s) sur tout Google !
sxhqvlbl.exe - 1 occurrence(s) sur tout Google !
sxcnjbsj.exe - 1 occurrence(s) sur tout Google !
ssntejkt.exe - 1 occurrence(s) sur tout Google !
sslwbbne.exe - 1 occurrence(s) sur tout Google !
ssblhheq.exe - 1 occurrence(s) sur tout Google !
sqnxhnrr.exe - 2 occurrence(s) sur tout Google !
sqjwkrbj.exe - 1 occurrence(s) sur tout Google !
rvkbrkrn.exe - 1 occurrence(s) sur tout Google !
qlzeslns.exe - 1 occurrence(s) sur tout Google !
obhasb.exe - 1 occurrence(s) sur tout Google !
nztbkvbv.exe - 1 occurrence(s) sur tout Google !
lvtqexbz.exe - 1 occurrence(s) sur tout Google !
lnxkrwcx.exe - 1 occurrence(s) sur tout Google !
leeeczne.exe - 1 occurrence(s) sur tout Google !
klxvsjsj.exe - 1 occurrence(s) sur tout Google !
khvxnbcw.exe - 1 occurrence(s) sur tout Google !
khkekcnh.exe - 1 occurrence(s) sur tout Google !
jjxrntsb.exe - 1 occurrence(s) sur tout Google !
hlbtbjbs.exe - 2 occurrence(s) sur tout Google !
erbjwxjs.exe - 1 occurrence(s) sur tout Google !
bnlekerc.exe - 1 occurrence(s) sur tout Google !
bktzejjb.exe - 1 occurrence(s) sur tout Google !
bkrvbsks.exe - 1 occurrence(s) sur tout Google !
bewwnrrc.exe - 1 occurrence(s) sur tout Google !
belsrlnh.exe - 1 occurrence(s) sur tout Google !
behrnthe.exe - 1 occurrence(s) sur tout Google !
bebwtben.exe - 1 occurrence(s) sur tout Google !
bebkejzl.exe - 1 occurrence(s) sur tout Google !
bceqwcsw.exe - 2 occurrence(s) sur tout Google !
bbwlvvxt.exe - 1 occurrence(s) sur tout Google !
bbwkswvx.exe - 1 occurrence(s) sur tout Google !
bbthszks.exe - 2 occurrence(s) sur tout Google !
bbstlnhn.exe - 1 occurrence(s) sur tout Google !
bbslntkr.exe - 1 occurrence(s) sur tout Google !
bbsjtejb.exe - 2 occurrence(s) sur tout Google !
bbsbzkzx.exe - 1 occurrence(s) sur tout Google
Best regards!
Damjan
|
|
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
| Posté le: Sam 23 06 2007 à 12 13 28 Sujet du message: |
|
|
Ma réponse :
| Citation: | Bonjour,
Reproduit dans http://assiste.forum.free.fr/viewtopic.php?t=16896
Notez que j'inscrit Eric Howes dans la liste de diffusion de cette conversation.
Notez que l'intervention de Damjan Irgolic à laquelle je répond ici concerne mon analyse d'hier de son logiciel, analyse qui se trouve à http://assiste.forum.free.fr/viewtopic.php?p=106647#106647
Vous dites :
This 3 detected threats are not false positives if you think that.
Win32.BKZECSLK or BKZECSLK.EXE is dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGFAJ31397351/bkzecslk%252Eexe.html
Win32.hpxdfjax or hpxdfjax.dll is also dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGHJB31490075/BCEQWCSW.EXE.html
Faux ! Vous avez tord dans votre raisonnement de base. Jamais un fichier n’est dangereux ! Seul le contenu d’un fichier, dont le nom importe peu, est plus ou moins dangereux ou pas du tout. Qu’un contenu dangereux ait été vu dans un fichier nommé « machin » à un instant de raison ne permet à aucun moment de déclarer que le fichier « machin » est définitivement dangereux : le nom d’un fichier est complètement sans intérêt et a fortiori s’il s’agit de noms aléatoires.
Vous dites
First you have to prove that this threats are false positives.
Oui ! Ce sont des faux positifs! J’ai créé ces 3 fichiers sur mon système et ils sont vides (0 caractère) or vous les déclarez en fichiers dangereux et me suggérez de les supprimer. Comment voulez-vous que je qualifie un programme qui me dit une pareille ineptie ?
Mais nous n'allons pas nous battre à propos de technologies antivirus si vous pensez que je ne suis pas compétent.
Il y a des années que nous dénonçons les tentatives de détection par enveloppes (apparences des choses). Toutes ont été stoppées. Aucun éditeur de logiciels ne l’utilise car il serait instantanément balayé de la scène.
La dernière tentative en date que je stoppais fût la gaminerie « The Remover » en juillet 2004. Voir http://assiste.com.free.fr/p/craptheque/remover.html
En janvier 2005 j’épinglais Spybot Search and Destroy à propos d’une détection par enveloppe (voir page 43 de mon Comparatif antivirus et anti-trojans à « Spybot détecte ConnomName » http://assiste.com.free.fr/p/dossiers/Comparatif_Anti-trojans_et_Antivirus.pdf )
La détection par enveloppe est une faute lourde. Aucun outil ayant de tels agissements ne sera jamais autorisé à citer. Cette démarche était déjà pathétique il y a 15 ou 20 ans alors que l’on savait déjà faire des signatures de contenus, même sommairement avec des crc16 ou 32. Aujourd’hui, même les md5 ou sha1 sont sur la sellette car des collisions seront probablement obtenues à la demande prochainement et les successeurs de ces algorithmes sont en développement.
Les noms aléatoires sont par nature innombrables et innommables.
La détection du code contenu est le strict minimum aujourd’hui. Nous n’en sommes d’ailleurs même plus là depuis longtemps avec le polymorphisme et les hooker (rootkit). L’analyse comportementale est nécessaire. La marche en avant est celle des sandbox et autres virtualisation à la Geswall. Ce n’est pas un hasard si le classement AV Comparative fait ressortir les multi-moteurs avec virtualisation (voir l’avant dernière colonne du tableau dans http://assiste.com.free.fr/p/presse_news/c_est_microsoft_windows_onecare_qu_on_assassine.html
Je vous ai demandé de m’éclairer de manière approfondie sur la technologie employée dans la version Entreprise de votre outil. Vous avez dédaigné mon ouverture. Vous devez comprendre qu’il m’est impossible de m’aligner sur une simple déclaration publicitaire de l’éditeur d’un logiciel. Le doute est le moteur du sens critique.
Cordialement
Pierre Pinard
Assiste.com |
Suit la version anglaise de ce texte.
_________________
Pierre (aka Terdef)
Assiste.com - ASAP - Mes configs
Recherches sur le forum
Donations et soutiens - Donation Paypal
Ecrivez en français |
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
| Posté le: Sam 23 06 2007 à 19 15 24 Sujet du message: |
|
|
Bonjour
Réponse de l'éditeur de RemoveIT Pro
Il n'y manque pas un mot (sans salutation ...)
| Citation: | You can think what you want about RemoveIT Pro but I do know that RemoveIT Pro is helping many people to resolve viruses problem and it is succesful in many cases with threats.
RemoveIT Pro uses filename check to locate viruses, filename check is very effective if you like it or not because many trojans change source of its self and have different MD5 on each infection so filename are one of the ways thing that detect them.
Please also note that standard home user will not create file with trojan filename just to test RemoveIT Pro and it will not judge about some program if it has no experience in programs field. Like I said before you are not expert in antivirus field so please be so kind and remove your review.
Best regards!
Damjan |
Je crois qu'il refuse de répondre à ma demande d'informations sur la technologie de la version "Entreprise" de RemoveIT Pro. Je pense donc que : - soit elle n'existe pas
- soit il sait qu'elle n'est pas crédible.
Dans ces 2 cas, RemoveIT Pro renforce sa présence dans la Crapthèque.
| RemoveIT Pro a écrit: | | You can think what you want |
Heureusement !
| RemoveIT Pro a écrit: | | RemoveIT Pro uses filename check to locate viruses |
Nous l'avions compris ! Damjan Irgolic n'a donc rien à ajouter pour défendre au moins ce qu'il appelle "la version Entreprise" de son produit ? Serais-ce tout simplement parce qu'il n'y a rien de plus dedans ? Et il y aurait même une version serveur ?... Pourtant j'insiste lourdement pour qu'il m'en parle ! Tout se passe, dans ses propos, comme s'il n'y avait qu'une seule technologie, celle des noms de fichiers.
| RemoveIT Pro a écrit: | | many trojans change source of its self and have different MD5 on each infection |
Justement, c'est la raison pour laquelle je vous ai dit qu'il fallait utiliser les analyses comportementale, les sandbox, la virtualisation à la Geswall...
| RemoveIT Pro a écrit: | | so filename are one of the ways |
Non ! Ils changent aussi de nom de fichiers (noms aléatoires !). Il est vain et puéril de collectionner des noms de fichiers aléatoires d'autant qu'ils ne servent qu'une fois.
| RemoveIT Pro a écrit: | | standard home user will not create file with trojan filename just to test RemoveIT Pro and it will not judge about some program if it has no experience in programs field |
Ceci signe votre démarche : vous prenez les utilisateurs pour des crétins et vous vous croyez donc autorisé à leur vendre n'importe quoi car ils sont incompétents ! Belle mentalité ! Il y a plus de 10 ans que je communique sur le Net afin d'informer les utilisateurs et vous venez prôner l'obscurantisme et son exploitation commerciale ! Je ne le vous permettrais pas.
| RemoveIT Pro a écrit: | | you are not expert in antivirus field |
En effet, je n'ai que 35 ans de métier dans la théorie des systèmes, des langages et des compilateurs. Je n'ai même pas 30 ans d'expertise et de consultant en informatique et systèmes d'organisation. Je n'ai été concepteur et chef de projets et n'ai dirigé d'équipes de développement informatique que durant 30 ans uniquement pour tuer le temps devant la machine à café. Assiste.com est devenu la plus importante ressource francophone au monde en matière de sécurité des ordinateurs et protection de la vie privée uniquement parce que je ne sais pas de quoi je parle... La cooptation du site, du forum et de moi-même au sein de l’ASAP (Alliance of Security Analysis Professionals) s’est faite sans doute par des incompétents notoires (et accessoirement MVPs)
- Je me sent donc autorisé à porter un jugement sur votre produit et sur votre manque total d'expertise en matière de scanners antivirus et, plus généralement, en matière de sécurité des systèmes d'information
- Je me sent un devoir de communiquer ce jugement au plus grand nombre
| RemoveIT Pro a écrit: | | please be so kind and remove your review |
Nous allons briser là car il n'y a rien à attendre ni entendre de quelqu'un qui ne veux pas défendre son produit lorsqu'on lui en donne l'opportunité et le lui demande et qui n'a comme argument que de jeter à la figure de son interlocuteur un péremptoire et définitif "vous n'êtes pas un expert en antivirus" sans même savoir à qui il a à faire.
Cordialement
_________________
Pierre (aka Terdef)
Assiste.com - ASAP - Mes configs
Recherches sur le forum
Donations et soutiens - Donation Paypal
Ecrivez en français |
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
| Posté le: Sam 23 06 2007 à 19 19 59 Sujet du message: |
|
|
Bonsoir,
Analyse de la clause EULA et de la clause TERMS
http://www.incodesolutions.com/license.php
- Terms of Use & EULA (End User Licence Agreement)
Une première fois : These Terms of Use shall be governed by the laws of Croatia. (On note qu'il est en Croatie et on découvre, après lecture attentive de tout le site, au détour d'une page, la mention de la ville de Rijeka).
Une seconde fois : 10. Governing Law. This Agreement will be governed by and construed in accordance with the substantive laws in force in the United Kindom of Great Britain.
Particulièrement suspect !
- Une EULA est un contrat et il le dit : YOU AGREE THAT THIS AGREEMENT IS ENFORCEABLE LIKE ANY WRITTEN NEGOTIATED AGREEMENT SIGNED BY YOU.
Dans le cas présent on ne sait pas à qui on a à faire : on ne sait pas avec qui on signe !
Forme de son activité (nom personnel, forme sociale...)
Adresse exacte et complète
Numéro d'enregistrement dans un registre similaire à nos registres des métiers ou du commerce
Code TVA international
Banque
Surface financière
Nota : les informations données par un Whois sur un nom de domaine n'ont aucune signification (elles sont souvent "bidons" par volonté de dissimulation et malveillance et, en tout état de cause, sont purement déclaratives par le registrant et sans aucune vérification de la part du registrar)
- You may view and download the materials at this Web Site only for your personal, non-commercial use. You may not modify, copy, distribute, transmit, display, perform, reproduce, publish, license, create derivative works from, transfer or sell any information, software, products or services available on the Web Site.
Si je comprends bien, on peut le télécharger mais on n'a pas le droit de l'exécuter ?
- Contradiction :
1. RESTRICTION ON USE
The content and information displayed on this Web Site is the property of Damjan Irgolic, InCode Solutions.
4. INTELLECTUAL PROPERTY RIGHTS
This Web Site, all content on it, and all materials downloadable from this Web Site are owned by Damjan Irgolic, InCode Solutions and its licensors
Il faudrait savoir !
- Je m'en lave les mains
5. WARRANTIES AND LIMITATION OF LIABILITY; TERMINATION
The Damjan Irgolic, InCode Solutions web sites and all content within them are provided on an "as is" and "as available" basis without any warranties of any kind... including... fitness for a particular purpose...
Any material downloaded or otherwise obtained through this Web Site is done at your own risk and discretion and you will be solely responsible for any damage to your computer system or loss of data that results from the downloading or use of any such material.
Damjan Irgolic, InCode Solutions shall not be liable for any damages or injury resulting from your access to, or inability to access, this Web Site, or from any virus, bugs, tampering, omission, interruption, deletion, defect, delay, computer line failure, or any other technical malfunction related to this Web Site.
En substance, il dit : "C'est un antivirus mais si il vous implante un virus, lui ou mon site, c'est de votre faute !"
- Vie privée
6. PRIVACY AND INFORMATION
We believe the privacy of all our users is important. Please review our privacy policy relating to the collection and use of your personal information.
Il n'y a pas de clause "vie privée" (privacy) bien que l'on vous dise que l'on collecte et utilise vos informations personnelles. Ceci justifie à lui tout seul le positionnement suspect de ce logiciel et de son site.
- Violation de Copyright
7. NOTICES AND PROCEDURE FOR MAKING CLAIMS OF COPYRIGHT INFRINGEMENT
Qu'est-ce que vient faire ce baratin dans une relation avec l'utilisateur final !
- Clauses d'utilisations
Incroyable tissu d'imbécilités et d'inepties du genre, pour un freeware (un logiciel gratuit ! Mais il existe une sersion commerciale...) : vous ne pouvez faire des installations que dans la limite du nombre d'ordinateurs autorisés ! Il y a même 2 clauses pour vous encadrer si vous le faites fonctionner en mode serveur (sic). Vous ne pouvez pas l'utiliser sur 2 ordinateurs en même temps, l'un au domicile l'autre au bureau etc. ...
Tout cela semble un patchwork de clauses diverses recopiées et mises bout à bout. L'ensemble, (site, logiciel, clauses contractuelles...) donne l'impression d'un grand amateurisme.
Cordialement
_________________
Pierre (aka Terdef)
Assiste.com - ASAP - Mes configs
Recherches sur le forum
Donations et soutiens - Donation Paypal
Ecrivez en français |
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
| Posté le: Sam 23 06 2007 à 19 31 33 Sujet du message: |
|
|
Bonsoir
L'auteur de RemoveIT Pro est un croate
Après avoir assemblé les pièces du puzzle on peut dire qu'il s'agit de
Damjan Irgolic
Site Internet InCode Solutions
Plus hosting
Bosket 14
Riijeka
CROATIA 51000
On ne sait pas s'il s'agit d'une société mais, compte tenu du niveau d'amateurisme je pense qu'il s'agit d'une personne physique travaillant seule (on n'est pas dans les réseaux maffieux des pays de l'Est - leurs crapwares sont beaucoup plus "pro"). Dans le Whois, il y a, dans l'adresse du registrant (donc de Damjan Irgolic), le nom de "Plus hosting" (est-ce le nom de sa société, ou de la société qui l'héberge ?).
Cordialement
_________________
Pierre (aka Terdef)
Assiste.com - ASAP - Mes configs
Recherches sur le forum
Donations et soutiens - Donation Paypal
Ecrivez en français
Dernière édition par pierre le Mar 26 06 2007 à 00 27 01; édité 1 fois |
|
| Revenir en haut de page |
|
|
Falkra
Inscrit le: 01 Oct 2004
Messages: 2
|
| Posté le: Sam 23 06 2007 à 22 49 44 Sujet du message: |
|
|
Extrêmement instructif. Un grand merci pour cette analyse.
_________________
 |
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
|
| Revenir en haut de page |
|
|
ipl
Inscrit le: 06 Aoû 2002
Messages: 116
Localisation: Paris
|
| Posté le: Sam 23 06 2007 à 23 41 16 Sujet du message: |
|
|
Bonsoir Pierre, Falkra, bonsoir à tous,
Bravo pour ce dossier : c'est du grand Pierre !
_________________
@12C4
ipl |
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
|
| Revenir en haut de page |
|
|
ipl
Inscrit le: 06 Aoû 2002
Messages: 116
Localisation: Paris
|
| Posté le: Dim 24 06 2007 à 00 50 37 Sujet du message: |
|
|
Salut Pierre,
Non, tu nous tiens en haleine ! 
Amitiés,
_________________
@12C4
ipl |
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
|
| Revenir en haut de page |
|
|
ipl
Inscrit le: 06 Aoû 2002
Messages: 116
Localisation: Paris
|
| Posté le: Dim 24 06 2007 à 09 40 45 Sujet du message: |
|
|
Bonjour Pierre, Elipsons, bonjour à tous,
Pierre, j'ai écho (par nicM, sur Zeb') d'un "accrochage" semblable avec le concepteur de RemoveIT Pro en mars sur Wilders Security.
Nous te donnerons plus de détails sous peu.
_________________
@12C4
ipl |
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
|
| Revenir en haut de page |
|
|
Gof
Inscrit le: 16 Avr 2006
Messages: 9
Localisation: 31 UFQ 00494 - 23553
|
| Posté le: Dim 24 06 2007 à 12 18 03 Sujet du message: |
|
|
Bonjour à vous,
Je suis la conversation avec intérêt ! Très intéressante ! Tenez nous au courant des développements ! |
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
| Posté le: Dim 24 06 2007 à 12 46 14 Sujet du message: |
|
|
Bonjour
Récap postée sur SWI, ASAP et ZEB
Par ailleurs, je vais rédiger un petit mémo à l'attention des chercheurs chez les différents éditeurs d'antivirus et anti-spywares ainsi qu'à Marcin Kleczynski (RogueRemover) pour suggérer de le placer en PUP (Potentially Unwanted Program) sur la base de ma mailing-list publique à http://assiste.com.free.fr/p/antivirus_gratuits_en_ligne/envoyer_un_echantillon_par_email_a_l_analyse.html.
Puis-je vous demander, justement, de regarder cette récap des éditeurs et de me suggérer des mises à jour éventuelles (en particulier des adresses de contacts hors des adresses de soumission d'échantillons).
_______________________________________
Hello,
This is an alert to all webmasters and helpers
This has also be posted on the SWI board
A French webmaster was talking about RemoveIT Pro these days and notice my card in « La Crapthèque » at http://assiste.com.free.fr/p/craptheque/removeit_pro.html
On the June 20, 2007, he wrote to some of his contacts by e-mail, including me in the diffusion of this e-mail and he also included there Damjan Irgolic (InCode Solutions), author of RemoveIT Pro, asking him a denial in connection with my classification in crapware of this software and explanations.
Here is some of the sequence of exchanges.
RemoveIT Pro
| RemoveIT Pro wrote a écrit: | I have notify Pierre Pinard to remove RemoveIT Pro from site because RemoveIt Pro has nothing with crapware like site http://assiste.com said.
Best regards!
Damjan |
Assiste.com
I issue a new analysis of the software and wrote this, in French on my board, at
http://assiste.forum.free.fr/viewtopic.php?p=106604#106604
I notice the fact that, creating empty files (0 characters) named with names in the database (based on random names algorithm !) of RemoveIT Pro will generate alarms with suggestions to delete these dangerous files !
zqeenlkr.exe - 1 occurrence(s) sur tout Google !
zqbtletr.exe - 1 occurrence(s) sur tout Google !
zjtbreln.exe - 1 occurrence(s) sur tout Google !
zernlcnz.exe - 1 occurrence(s) sur tout Google !
xtztnert.exe - 1 occurrence(s) sur tout Google !
xrnelsxs.exe - 1 occurrence(s) sur tout Google !
xlxektlr.exe - 1 occurrence(s) sur tout Google !
xjjhlbqn.exe - 1 occurrence(s) sur tout Google !
xhzenqnj.exe - 1 occurrence(s) sur tout Google !
xblkenwj.exe - 1 occurrence(s) sur tout Google !
wtnkhhkh.exe - 1 occurrence(s) sur tout Google !
And so on …
I, then, wrote to Damjan Irgolic :
| Assiste.com wrote a écrit: | Hello,
I regret to bring to your attention that, in the current state of my analysis of RemoveIT Pro,
this one does not comprise any criterion justifying its exit of "La Crapthèque".
Worse: the thorough analysis that I was brought to lead makes it possible to declare that
this product does not have at all its place among the security tools for computers and privacy on the Internet.
Thank you to inform me on the operation of "High-level protection technology (HLP)" Sincerely
Sincerely
Pierre Pinard
Assiste.com |
| RemoveIT Pro wrote a écrit: | Thank you for your email!
This 3 detected threats are not false positives if you think that.
Win32.BKZECSLK or BKZECSLK.EXE is dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGFAJ313973...lk%252Eexe.html
Win32.hpxdfjax or hpxdfjax.dll is also dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGHJB314900...EQWCSW.EXE.html
If you have different information about this files please let me know.
You can't threat some AV program like crapware because you think that some located threats are legitimate.
First you have to prove that this threats are false positives.
You dont know nothing about RemoveIT Pro and you cannot judge about some AV program because you are not experts in antivirus field and you dont know how viruses spread them selfs so please remove your review.
Please also note that fruther files from your forum are also dangerous with random filenames generated by trojans. |
| Assiste.com wrote a écrit: | Hello
Reproduced in http://assiste.forum.free.fr/viewtopic.php?t=16896
Note that I register Eric Howes in the mailing list of this conversation.
Note that the intervention of Damjan Irgolic which I answers here relate to my analysis of yesterday of its software, analysis which is at http://assiste.forum.free.fr/viewtopic.php?p=106647#106647
You say
This 3 detected threats are not false positives if you think that.
Win32.BKZECSLK or BKZECSLK.EXE is dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGFAJ313973...lk%252Eexe.html
Win32.hpxdfjax or hpxdfjax.dll is also dangerous accorording to Prevx, see details
http://spywarefiles.prevx.com/RRGHJB314900...EQWCSW.EXE.html
Forgery! You have twists in your basic reasoning. Never a file is dangerous! Only the contents of a file, whose name as no imports, is more or less dangerous or not at all. That dangerous contents were seen in a file named "thing" at one moment of reason does not allow at any moment to declare that the file "thing" is definitively dangerous: the name of a file is completely without interest and “a fortiori” if it is a random names.
You say
First you have to prove that this threats are false positives.
Yes! They are false positives ! I created these 3 files on my system and they are empty (0 character) but you declare them as dangerous files and suggest me removing them. How do you want that I qualify a software which tells me a similar ineptitude?
But we will not beat in connection with anti-virus technologies if you think that I am not qualified.
It has been years that we denounce the attempts made at detection by envelopes (appearances of the things). All were stopped. No software publisher uses it because it would be instantaneously swept scene.
The last attempt that I stopped was the gaminery "The Remover" in July 2004. See http://assiste.com.free.fr/p/craptheque/remover.html
In January 2005 I pinned Spybot Search and Destroy with matter of a detection per envelope (see page 43 of my “Anti-virus and Anti-trojans Comparative” in "Spybot detects CommomName" at » http://assiste.com.free.fr/p/dossiers/Comp...t_Antivirus.pdf )
Detection by envelope is a heavy fault. No tool having such intrigues will never be authorized to quote. This step was already pathetic 15 or 20 years ago whereas one could already make signatures of contents, even summarily with crc16 or 32. Today, even the md5 or sha1 are on the bolster bus as collisions will be probably obtained soon on demand and the successors of these algorithms are under development.
Random names are, by nature, innumerable and unnamable.
The detection of the code contained is the bare minimum today. Even more, we are not besides there for a long time with polymorphism and hooker (rootkit). The behaviour analysis is necessary. Walk ahead is that of sandbox and other virtualisation “a la” Geswall. It is not a chance if AV Comparative classification emphasizes the multi-engine ones with virtualisation (see before last column of the table at http://assiste.com.free.fr/p/presse_news/c..._assassine.html
I asked you to inform me thoroughly on the technology employed in the Entreprise version of your tool. You scorned my opening. You must understand that it is impossible for me to align me on a simple advertising declaration of the editor of a software. The doubt is the engine of the critical direction.
Cordially
Pierre Pinard
Assiste.com |
| RemoveIT Pro a écrit: | You can think what you want about RemoveIT Pro but I do know that RemoveIT Pro is helping many people to resolve viruses problem and it is succesful in many cases with threats.
RemoveIT Pro uses filename check to locate viruses, filename check is very effective if you like it or not because many trojans change source of its self and have different MD5 on each infection so filename are one of the ways thing that detect them.
Please also note that standard home user will not create file with trojan filename just to test RemoveIT Pro and it will not judge about some program if it has no experience in programs field. Like I said before you are not expert in antivirus field so please be so kind and remove your review.
Best regards!
Damjan |
| Assiste.com wrote a écrit: | Hello
The card RemoveIT Pro in "La Crapthèque" have been updated
http://assiste.com.free.fr/p/craptheque/removeit_pro.html
I believe that he refuses to answer my request for information on the technology of the version "Enterprise" of RemoveIT Pro.
I thus think that:
· either it does not exist
· or he knows that it is not credible.
In these 2 cases, RemoveIT Pro reinforces his presence in "La Crapthèque".
RemoveIT Pro wrote:
You can think what you want about RemoveIT Pro
Fortunately!
RemoveIT Pro wrote:
RemoveIT Pro use filename check to locate viruses
We had understood it! It seems that Damjan Irgolic don't have anything to add to defend at least what he calls "the Enterprise version" of its product? Would this be quite simply because there is nothing more inside? And there would even be a server side version ... However I insist heavily so that it speaks to me about it! All occurs, in his remarks, as if there were only one technology, that of the file names.
RemoveIT Pro wrote:
many trojans change source of its self and have different MD5 on each infection
Precisely, this is why I said to you that the analyses had to use behavioural, sandbox, virtualisation like Geswall...
RemoveIT Pro wrote:
so filename are one of the ways
Not! They change also file name (random names!). It is useless and puerile to collect random file names as they only be used once. This is reason why the villains of the Net develop generators of random names: so that they appear only one time and thwart research by envelope.
RemoveIT Pro wrote:
standard home user will not create file with trojan filename just to test RemoveIT Pro and it will not judge about some program if it has no experience in programs field
This signs your step: you take the users for stupid and you thus believe yourselves authorized to sell anything to them because they are inefficient! Beautiful mentality! There is more than 10 years that I communicate on the Net in order to inform the users and you come to preach the obscurantism and his commercial exploitation! I will not allow it to you.
RemoveIT Pro wrote:
you are not expert in antivirus field
Indeed! I am only 35 years old in the compiler, language and system theory. I do not even have 30 years of expertise and consultant in data processing and systems of organization. I was originator, leader projects and I directed teams of data-processing development during 30 years only just to kill time in front of the coffee machine. Assiste.com became the most important French-speaking resource in the world about computers security and privacy because I do not know what I am talking about... The co-optation of the site, the forum and myself within the ASAP (Alliance of Security Analysis Professionals) was undoubtedly done by inefficient notorious (and incidentally MVPs)
· I am thus smelled authorized to give an opinion on your product and on your total lack of expertise as regards antivirus scanners and, more generally, as regards informations systems security
· I feels a duty to communicate this judgement to the greatest number
RemoveIT Pro wrote:
please be so kind and remove your review
We will break there because there is nothing to wait nor to hear from somebody who do not want to defend his product when one gives him the opportunity to do that and which has for only one argument to throw to the face of its interlocutor a peremptory and final "you are not expert in antivirus" without the knowledge of which he has in front of him.
Cordially
Pierre Pinard
Assiste.com |
_________________
Pierre (aka Terdef)
Assiste.com - ASAP - Mes configs
Recherches sur le forum
Donations et soutiens - Donation Paypal
Ecrivez en français |
|
| Revenir en haut de page |
|
|
Elipsons
Inscrit le: 23 Juin 2007
Messages: 223
|
|
| Revenir en haut de page |
|
|
pierre
Inscrit le: 20 Mai 2002
Messages: 14122
Localisation: Ici et maintenant
|
| Posté le: Dim 24 06 2007 à 18 33 38 Sujet du message: |
|
|
Bonjour Elipsons
Il faut savoir qu'il n'y a que 20 ou 30 sites au monde qui comptent en matière de sécurité informatique de cette nature (ouverts au "grand public" avec des assistants trapus et pédagogues simultanément, capables d'aller d'un problème de déplacement de la souris à une analyse approfondie du noyau d'un système). Je ne parle pas des sites spéblurpés réseaux, honeypots, IDS etc. ...
Ces quelques sites ont un poids énorme auprès des éditeurs et peuvent influer sur un développeur qui c'est fourvoyé dans une impasse en le conseillant et le guidant (on ne peux pas influer, par contre, sur une bande de criminels faisant volontairement ce qu'ils font ni sur un développeur qui campe sur ses positions et est persuadé d'être dans la vérité et d’avoir la science infuse).
Ces quelques sites influents peuvent également peser très lourd dans les choix des éditeurs d'outils majeurs de sécurité (antivirus, anti-spywares, pare-feux...) et les conduire à classifier un code dans leurs bases de signatures.
Je crois aussi à la pédagogie et à l'intelligence, même latente, des individus. C'est pourquoi je te suggère de donner, dans tes interventions sur divers sites pour dénoncer RemoveIT Pro, un minimum de justifications ou, plus simplement, ces deux liens :
La fiche d'information
http://assiste.com.free.fr/p/craptheque/removeit_pro.html
La possibilité d'intervenir
http://assiste.forum.free.fr/viewtopic.php?t=16896
Assiste.com est la référence francophone et, de toutes manières, un jour ou l'autre, tous ceux qui font des recherches sur un produit finissent par aboutir ici si nous en avons parlé (en bien comme en mal). C'est l'une des raisons pour lesquelles nous sommes extrêmement prudent et parlons peu tant que nous ne dominons pas complètement un sujet car, pour beaucoup, ce que nous pouvons dire ici est parole d'évangile. Nous n'avons pas droit à l'erreur.
J'ai vu plusieurs de tes interventions à ce sujet partout sur le Net. Elles sont un peu "épidermiques" et je le comprend (tu conseillais ce produit et tu t’aperçois que tu t’es fait avoir ce que personne n’aime ni ne supporte facilement) mais il faut savoir raison garder et non pas asséner aux lecteurs "c'est de la m....", ce qui les prend à rebrousse poil, mais dire "Voilà pourquoi il y a un problème" et faire suivre des liens ci-dessus.
Je t'autorise donc à recopier ces liens et, si tu le souhaites, je puis faire une intervention sur ton forum.
Cordialement
_________________
Pierre (aka Terdef)
Assiste.com - ASAP - Mes configs
Recherches sur le forum
Donations et soutiens - Donation Paypal
Ecrivez en français |
|
| Revenir en haut de page |
|
|
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
FAQ
Chercher
Membres
Groupes
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
