Base de donnée virale dans liens automatiques
Résolu
fabul
Messages postés
37703
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
25 avril 2024
-
1 nov. 2009 à 11:34
CCMclaude Messages postés 25534 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 - 12 nov. 2009 à 17:59
CCMclaude Messages postés 25534 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 - 12 nov. 2009 à 17:59
2 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
2 nov. 2009 à 13:51
2 nov. 2009 à 13:51
Bonjour,
-Greatis n'est pas ma référence favorite quand je cherche la légitimité d'un fichier
- l'examen des rapports de soumission sur Virus Total montre des vitesses de réactivité des éditeurs d'antivirus très différenciées. L'espoir de trouver une liste toujours à jour (ou même avec un faible délai de réaction) me semble improbable.
- certains malwares (navipromo, vundo, Tibss, Cid ...) générent des fichiers dont les noms sont aléatoires ou-semi aléatoires. les chances de les trouver dans une liste est donc faible (non nulle car la limitation du nombre de combinaison fait que l'on peut retrouver plusieurs fois le même nom). L'absence du nom du fichier ne signifie pas "légitime".
- inversement, un certain nombre de logiciels utilisent aussi des noms aléatoires. L'absence d'un nom ne garantit pas l'illégitimité du fichier.
- avec le même nom, suivant sa localisation (et même la version du système), un fichier peut être légitime ou malware. On n'a pas un système binaire légitime/illégitime (sur le nom) mais au moins un système ternaire.
- un fichier dont le nom et la localisation sont légitimes n'est pas forcément sain. Un certain nombre de malwares altèrent des fichiers légitimes pour les rendre nocifs.
- les faux positifs, ça peut exister partout.
Et donc, la base de données qui donnerait automatiquement la liste des fichiers à supprimer a peu de chances de naître.
Il faut refaire à chaque fois l'analyse, à partir du contexte où est mentionné le nom du fichier. Dans de nombreux cas, il est préférable de chercher à établir la nocivité sur un autre critère que le nom du fichier (CLSID, nom du service, ...)
Désolé.
-Greatis n'est pas ma référence favorite quand je cherche la légitimité d'un fichier
- l'examen des rapports de soumission sur Virus Total montre des vitesses de réactivité des éditeurs d'antivirus très différenciées. L'espoir de trouver une liste toujours à jour (ou même avec un faible délai de réaction) me semble improbable.
- certains malwares (navipromo, vundo, Tibss, Cid ...) générent des fichiers dont les noms sont aléatoires ou-semi aléatoires. les chances de les trouver dans une liste est donc faible (non nulle car la limitation du nombre de combinaison fait que l'on peut retrouver plusieurs fois le même nom). L'absence du nom du fichier ne signifie pas "légitime".
- inversement, un certain nombre de logiciels utilisent aussi des noms aléatoires. L'absence d'un nom ne garantit pas l'illégitimité du fichier.
- avec le même nom, suivant sa localisation (et même la version du système), un fichier peut être légitime ou malware. On n'a pas un système binaire légitime/illégitime (sur le nom) mais au moins un système ternaire.
- un fichier dont le nom et la localisation sont légitimes n'est pas forcément sain. Un certain nombre de malwares altèrent des fichiers légitimes pour les rendre nocifs.
- les faux positifs, ça peut exister partout.
Et donc, la base de données qui donnerait automatiquement la liste des fichiers à supprimer a peu de chances de naître.
Il faut refaire à chaque fois l'analyse, à partir du contexte où est mentionné le nom du fichier. Dans de nombreux cas, il est préférable de chercher à établir la nocivité sur un autre critère que le nom du fichier (CLSID, nom du service, ...)
Désolé.
fabul
Messages postés
37703
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
25 avril 2024
5 172
12 nov. 2009 à 08:28
12 nov. 2009 à 08:28
Re Bonjour,
Quand on regarde ceci,ça concorde un peu a ce que je pensait,a l'exception de la phrase "Par ailleurs, les personnes ayant ce flag voient désormais les logs Hijackthis différemment des autres utilisateurs"
Il faudrait que je demande ce flag?
Est ce que je risque d'essuyer un refus,n'étant pas un des principaux collaborateurs?
Quand on regarde ceci,ça concorde un peu a ce que je pensait,a l'exception de la phrase "Par ailleurs, les personnes ayant ce flag voient désormais les logs Hijackthis différemment des autres utilisateurs"
Il faudrait que je demande ce flag?
Est ce que je risque d'essuyer un refus,n'étant pas un des principaux collaborateurs?
CCMclaude
Messages postés
25534
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
741
12 nov. 2009 à 17:59
12 nov. 2009 à 17:59
Bonjour fabul,
Je pense que la réponse à ta dernière question se trouve ici : http://www.commentcamarche.net/forum/affich-15074379-lyonnais92?page=3#72
Cdlt.
Je pense que la réponse à ta dernière question se trouve ici : http://www.commentcamarche.net/forum/affich-15074379-lyonnais92?page=3#72
Cdlt.
