virus ultra vnc

bidochon · January 13, 2011, 6:24pm

bonjour je suis sur comodo depuis longtemps (au moins deux ans je crois)
et depuis ce temps, systématiquement le logiciel ultravnc est détecté en tant que virus

en parcourant le net, il semblerait que ce soit de fausses alertes

qu’en est il de votre coté?
quelqu’un a une info ?

une correction un jour?

merci d’avance

symbian · January 13, 2011, 7:32pm

Bonjour,
qu’elle est le nom de la menace détectée ?

brucine · January 13, 2011, 8:20pm

En tant que virus ou par defense+?

CIS détecte systématiquement tout programme de contrôle à distance (sauf peut-être celui intégré à Windows, c’est un comble, puisque Microsoft est “fiable”) comme une menace.

C’est aussi par exemple le cas de Radmin.

Pas d’autre solution à ma connaissance que de personnaliser ses règles en conséquence.

symbian · January 13, 2011, 8:31pm

Pas tous les outils de contrôle a distance sont détectés comme menace. Exemple Teamviwer. Cela dépend de la maniere avec laquelle réagit le programme. Radmin ne donne aucune notification lors d’une session a distance donc l’utilisateur n’est pas avertis. Ce qui n’est pas le cas de teamviewer.
C’est pour cette raison l’antivirus vous signal que c’est un outils de contrôle a distante(par le nom de la menace), est c’est l’utilisateur qui décide de l’éradiquer ou le garder.

brucine · January 13, 2011, 9:19pm

On ne peut pas comparer les pommes et les poires, même si tout logiciel de contrôle à distance représente évidemment une menace potentielle.

Le “marché” de Teamviewer, c’est le “helpdesk”, en se connectant facilement à des gens et à partir de gens dont on ignore tout, celui de Radmin (et des multiples variantes de vnc) est le contrôle limité entre personnes connues.

Radmin demande, si paramétré convenablement, un identifiant et un mot de passe et n’est donc pas “transparent”, même si l’on décide de ne pas contrôler ses connexions par firewall, à l’égard de toute ip (mais là, on ne peut plus se connecter chez soi d’un hôtel) ou d’ip ou noms de domaine particuliers, quitte à utiliser en cas d’ip dynamiques l’artefact d’un redirecteur style No-IP.

Une précaution supplémentaire consiste à le faire tourner sous un port autre que celui par défaut, bien connu des robots…

bidochon · January 14, 2011, 9:40pm

merci pour cette réactivité…

alors les noms détectés: (soft visé: ultravnc 1.02)
application.win32.winvnc.~B@1
applicunsaf.win32.remoteadmin.winvnc.1102@1

les 2 apparaissent lors du scan anti-virus

effectivement, avec le principe de l’exclusion, on est pas embêté; mais je posais la question en me demandant pourquoi depuis autant de temps, cette fausse alerte n’avait pas été supprimé; voire mieux, faire passer l’info pour la supprimer

a moins qu’il y ait réellement un problème…

par contre, quand vous dites que tous les logiciels de contrôle à distance sont vus comme potentiellement dangereux, je note quand même que realvnc ne provoque aucun défaut…

merci à tous
a plus si je peux aider

brucine · January 14, 2011, 10:11pm

faire passer l'info pour la supprimer

Apparemment, ça sert à rien: l'info a déjà été fournie, peut-être pas pour ultravnc, je ne me souviens plus, mais pour nombre de logiciels du même type.

Quant à realvnc, première nouvelle et tant mieux pour toi s’il t’arrange, ils ont du l’oublier ce qui, soit dit en passant, est bitrange autant qu’ézarre puisque toutes les moutures vnc déclinent peu ou prou la même chose habillée différemment (mais c’est sûr que ultravnc est ce que j’ai trouvé de plus petit et de plus pratique).

Enfin, bon, comme tu dis, fais une exclusion parce que Comodo, interrogé à ce propos, se fait un principe d’alerter les logiciels de contrôle à distance puisque “potentiellement dangereux”.

symbian · January 14, 2011, 10:23pm

Comme a précisé brucine ne n’est pas une fausse alerte.

L’alerte avertis l’utilisateur que VNC est installé sur ca machine.

brucine · January 14, 2011, 10:35pm

L'alerte avertis l'utilisateur que VNC est installé sur ca machine.

Et nous sommes bien d'accord, c'est idiot, puisque l'utilisateur n'installe pas un serveur vnc sur sa machine par hasard (encore que ça existe dans certains progiciels professionnels...), et ferait mieux de ne pas utiliser, sans même parler d'un logiciel de sécurité, un ordinateur lui-même s'il ne commence pas par savoir s'il doit faire tourner vnc comme un service ou non, et dans l'affirmative, s'il doit le sécuriser par identifiant, mot de passe, voire port dédié et redirection ip.

symbian · January 14, 2011, 10:56pm

Je ne suis pas d’accord avec vous sur ce point. Beaucoup de gents se font installer des logiciels de contrôle a distance sur leurs machine par un proche pour “rigoler”. Et comme j’ai deja dis, VNC et Radmin sont silencieux et ne donnent aucune alerte une fois un utilisateur connecté. Ce qui n’est pas le cas pour teamviewer par exemple.

brucine · January 15, 2011, 5:56am

Il est dans la pratique impossible de “défendre” un PC multi-utilisateurs pour lequel plusieurs utilisateurs auraient des droits administrateur et/ou l’accès au paramétrage du logiciel de sécurité (absence de mot de passe en ce qui concerne CIS).

Dans la négative, il est impossible d’installer un logiciel quelconque “à l’insu du plein gré” de l’administrateur et, quand bien même le pourrait-on, d’écrire des règles relatives à ce logiciel, qui serait immanquablement intercepté par l’antivirus (à tort comme nous disions), puis par le firewall et defense+.

Qui plus est, tant vnc que radmin affichent en cas de connexion une icône dans la barre des tâches, sans oublier que la prise de contrôle se fait sur le bureau et que par conséquent même l’utilisateur le plus innocent notera des mouvements de souris qu’il n’a pas initiés.

bidochon · January 15, 2011, 6:40pm

MM. symbian et brucine
bonsoir

ne nous fachons pas quand même…lol
le principal est que nous puissions une bonne fois pour toute “ranger” la menace dans la boite à fichiers fiables et ce de manière définitive…

je me permets de donner en partie raison à symbian dans le sens ou ultravnc possède un mode silencieux…
pas d’icone, rien en zone de notification… etc…
pour un novice , c’est vrai qu’il n’y verrais que du feu…
(je tiens pas à me facher avec brusine néanmoins!)

par contre, dans le genre casse-couille, j’ai boinc d’installé et einstein@home tournant en permanence
hors, a chaque fois qu’un nouveau fichier arrive, il me le mets en sandbox systématiquement (même après l’avoir déclaré en fichier fiable)… j’attends qq jours pour voir ce que ca donne avant d’ouvrir un nouveau post, supposant qu’il n’y a pas que qui utilise boinc…

merci a vous deux pour ces réponses, a bientot pour de nouvelles aventures

symbian · January 15, 2011, 9:32pm

Bonsoir,

Excusez moi saturnin.pierre mais je ne connais pas boinc. A quoi il sert exactement ?

bidochon · January 16, 2011, 9:29am

salut
comment expliquer boinc?

connaissez-vous SETI? programme de recherche de signaux extra-terrestres? (donc le film contact est inspiré) un programme qui tourne sur pc et qui utilise les ressources inexploitées du pc (veille, temps mort etc…)

en fait, SETI n’est pas seul dans ce genre, il existe plein d’applications permettant de faire des recherches sur le changement climatique, la médecine, l’astronomie etc…

Donc, la plateforme commune à tous ses projets s’appelle BOINC, le gestionnaire en quelque sorte…

Le problème est qu’à chaque fois qu’on change de projet, comodo le mets en sandbox… j’attends qq jours pour éditer un post (voir si ca se décante un peu)…

bye

brucine · January 16, 2011, 11:22am

Tu aurais aussi vite fait de fournir le lien direct afin que tout le monde comprenne:

Maintenant, bien sûr, Boinc, c’est un peu la bouteille à l’encre, entre des projets destinés à mettre en commun des ressources d’ordinateur à des fins “nobles” (par exemple calculs astronomiques) et de la métaphysique de café du commerce (SETI): il n’est que ce que chacun en fait à partir d’un projet lambda, le meilleur et le pire…

Pour revenir “on topic”, je ne m’en sers pas et je n’ai donc aucune idée du comportement de CIS à son égard, sinon évidemment qu’on ne peut pas empêcher la sandbox de censurer ce qu’elle ne connaît pas, sauf à demander à CIS de faire confiance à ces fichiers (et ça me semble impossible puisque personne ne peut décréter que tous les projets Boinc soient fiables)…ou à désactiver la sandbox.

symbian · January 16, 2011, 2:18pm

Quelle est l’extension des fichiers mises dans la sansbox ? c’est des .exe ?

bidochon · January 16, 2011, 4:49pm

Ce sont des .exe
je me doute de votre réponse maintenant…

symbian · January 16, 2011, 9:39pm

Ces .exe sont ils des logiciels ou signer numériquement ? Si c’est le cas on peu les ajouter dans la liste blanche.

bidochon · January 17, 2011, 8:09am

bonjour,
heu, je sais pas trop s’ils sont signés… c’est assez transparent… boinc s’occupe de tout…
a priori, je pense que non

qu’est ce que la liste blanche? les fichiers fiables?

depuis hier, le bout de programme est sorti de la sandbox, donc je pense que je mettrais ce post en sommeil…

symbian · January 17, 2011, 7:20pm

Bonjour,

Oui c’est bien les fichiers fiables. Normalement les fichiers inconnus sont envoyé pour une analyse manuelle. Cela prends du temps vu le volume des fichiers envoyé chaque jour mais ces .exe ne sont pas modifié souvent ils finissent par être traité. Je signal aussi que même si le fichiers est dans la sandbox il tourne normal s’il ne nécessite pas des droits élevé. Vous pouvez aussi consulter le log Defense+ pour voir si CIS a bloqué une des actions de ces fichiers .exe .Si ce n’est pas le cas alors tout va bien