VLCSetup.exe

Bonjour,

Pour info
VLCSetup.exe n’est pas signalé par comodo comme Adware, provenant de origin-ics.hotbar

a-squared 5.0.0.31 2010.07.10 Riskware.WebToolbar.Win32.Zango!IK Authentium 5.2.0.5 2010.07.10 W32/Busky.B.gen!Eldorado F-Prot 4.6.1.107 2010.07.09 W32/Busky.B.gen!Eldorado F-Secure 9.0.15370.0 2010.07.09 Adware:W32/Hotbar.L Fortinet 4.1.143.0 2010.07.10 Adware/PlatriumSA Ikarus T3.1.1.84.0 2010.07.10 not-a-virus:WebToolbar.Win32.Zango Panda 10.0.2.7 2010.07.10 Suspicious file Sunbelt 6566 2010.07.10 Pinball Corporation. (v) VirusBuster 5.0.27.0 2010.07.09 Adware.Hotbar.Gen.1

comodo ne peut pas detecter les adwares, c’est quand les devs seront reiveiller … un jour :d

Le problème ne tient pas à vlc lui-même, mais à sa distribution sur des sites tiers pratiquant le “reverse bundling” (sic), en français reconditionnant le soft original dans un package renfermant les hotbars.
Il y a même des sites de téléchargement sur le web fonctionnant toujours sur ce mode (softtonic, par exemple).
Moralité: toujours télécharger un soft à sa “source primaire”.

Il est bien documenté là (en anglais):
http://www.avertlabs.com/research/blog/index.php/2010/06/01/adware-2-0-finds-a-distribution-channel/

Maintenant, la question suivant l’assertion “comodo ne peut pas détecter les adwares” est quoi, de comodo?

Ce n’est pas le job du firewall, cherchant simplement à empêcher quelque chose de se connecter (et s’il existe des anti adware dédiés, c’est bien qu’il doit y avoir une raison…).
J’imagine donc que tu parles de l’antivirus?

Maintenant, la question suivant l’assertion “comodo ne peut pas détecter les adwares” est quoi, de comodo?

Désolé mais j’ai envoyer un navipromo a comodo, 15jours apres toujours pas detecter … je trouve en lui un manque d’algorithme pour sa detection .

On continue à ne pas en voir l’intérêt éventuel, puisque comme tout rootkit qui se respecte, navipromo a capacité à se dissimuler et qu’aucun antivirus à ma connaissance est efficace, sinon à sa signalisation, mais bel et bien à son éradication.

Qui plus est, navipromo résulte d’une “démarche volontaire” de l’utilisateur, puisque son installation résulte de celle d’un programme pourri le renfermant et délibérément installé.

Bref, la protection à l’égard de navipromo me paraît évidente, et on se f… que CIS AV le détecte ou non puisque cela ne servirait de toute façon à rien.

j’ai appris qu’un rootkit bien codé pouvait passer outre n’importe quelle protection ???

n’y a t’il aucun outil dédié capable au moins de le détecter?
ne pouvons nous pas ensuite avec un autre outil le supprimer manuellement?

On peut parfaitement se débarrasser de n’importe quel rootkit (à condition bien sûr de l’avoir détecté) de manière entièrement manuelle (fichiers, registre, mbr) si, aurait dit Monsieur de la Palisse, on a pris soin pendant que son système fonctionnait bien de réaliser un ou deux supports de boot externe (live CD, clés usb multiboot) comportant quelques outils simples (par exemple outils de restauration du mbr, de formatage/partition, d’édition du registre à partir d’une partition tierce, mbam…).

A défaut, le problème est que la procédure automatisée (enfin, au moins en partie avec des outils dédiés) ne concerne qu’un rootkit particulier: si on est planté sans accès internet pour télécharger l’outil en question, c’est là que les athéniens s’atteignirent…

Par exemple, à propos de navpromo puisqu’on en parle, un lien correctement documenté et illustré:
http://www.malekal.com/Adware.Magic_Control.php

Le cas évoqué sur ce forum cis il y a quelques jours de rootkit.tmphider est instructif en ce qu’il montre l’utilisation d’outils dédiés en mode dos pour mettre la bête (pour laquelle il n’existe pas de solution automatisée à ce jour) en évidence, mais retour à la case départ, puisque personne de sensé ne fera ces recherches complexes en se rasant le matin.

Ce qui ne m’enlève donc pas de l’idée, comme d’ailleurs le dit cet l’article de malekal, que l’essentiel est la prévention.
J’ai un tutoriel de réalisation d’une clé usb multiboot de secours (ms dos, dos pour réseaux,freedos, puppy linux, bart pe, outils variés) si ça t’intéresse, mais autant que je me souvienne, je l’ai rédigé en anglais.

Bonjour,

Je viens de lire ce post et j’ai voulu tester avec virustotal.com
mon vlc_media_player_1.0.5_francais_10829.exe telecharge sur clubic.com
resultat un antivirus que je ne connais pas ‘jiangmin’ (parmi la longue liste des antivirus connu…)
m’a trouve: TROJAN/TDSS.nqj
du coup je m’interroge sur ce ‘jiangmin’, soit il est tres efficace, soit il raconte n’importe quoi
1 avis?
Merci.

Reg

Persiste et signe:
je viens de réinstaller videolan qui dormait dans une partition de sauvegarde, et je l’ai aussitôt envoyé à virustotal:
http://www.virustotal.com/fr/analisis/5cf3589def8bafe57e1156c77adbc1d4493c781255fe55ca5407003572e4a8ae-1279178890
Résultat: nada, même de ces chinois dont je n’ai jamais entendu parler.
Moralité: comme tout logiciel, vlc se télécharge sur le distributeur primaire, savoir:

a l’occurence n’yavais pas de rootkit …
et n’importe quel rootkit blocker par comodo fait un bsod direct …
Donc, conclussion comodo antivirus is outdated.
Pour info COMODO ce doit de pouvoir suprimer un malware deja installer … sinon l’antivirus ne sers a rien.
pour ce qui est de clubic , c’est parce que vcl est un partenariat, le md5 est surrement différent.

Faudrait que tu arrrêtes ton char, moveax, tout le monde a compris que tes seules interventions consistent à écrire que tu n’aimes pas comodo en général et son antivirus en particulier.

Je ne fais pas partie de la secte “comodo is the best, glory halleluiah” qui pullule ici, et je ne défends pas ce qui n’est pas défendable, encore moins cis antivirus que je n’utilise pas.

Pour autant, on ne peut pas écrire n’importe quoi:

-Tout rootkit intercepté ne provoque pas forcément un bsod; la finalité d’un rootkit, ce n’est généralement pas de te planter, mais au contraire de se dissimuler pour communiquer “à l’insu de ton plein gré”.

-Je ne vois aucun antivirus, en dehors de cis lui-même, qui soit capable de supprimer les rootkits: au mieux, ils en détectent certains, et proposent parfois des outils de désinfection dédiés sur leurs sites (avg, g data, panda, sophos…) ou se flattent d’embarquer gmer.

On peut le regretter, et souhaiter qu’à terme les suites de sécurité intègrent un anti rootkit, puisque la menace des rogues et rootkits est aujourd’hui largement supérieure à celle des virus et troyens traditionnels, mais pour l’instant, ce n’est le job d’aucun antivirus mais bel et bien de logiciels anti rootkit généralistes (gmer, mbam…) ou dédiés à telle ou telle menace (combofix, vundofix…).

On a le droit d’écrire, à l’extrême, et c’est tout à fait mon opinion, que dans ces circonstances aucun antivirus ne sert à rien.
Mais il n’est pas honnête d’en faire un raccourci, et encore une fois je ne défends ni cis antivirus ni aucun autre, soutenant que seul cis antivirus ne servirait à rien.
Il le serait davantage de douter des signatures cis av eu égard à celles des logiciels concurrents, et là, l’argument malhonnête est celui des “comodo fans” qui affirment que le taux de détection importe peu puisque la protection proactive suffit: on ne peut juger un produit à travers un autre, et là où le bât blesse concernant tous les antivirus, ce n’est pas en matière de désinfection, mais bel et bien en matière de base de données qui sera toujours par définition inférieure à “la réalité du marché”, rendant ces produits parfaitement inutiles.

je suis assez d’accord avec brucine, ne pas trop s’attendre a ce que notre antivirus trouve les rootkits et encore moins a ce qu’il les supprime.
d’où ma question : vers quel outils dédiés antirootkit se tourner pour au moins les détecter? (s’ils existent)
je n’exclus pas l’idée d’en utiliser plusieurs a la suite pour augmenter les chances de détections.

le site de malekal est très bien documenté a ce sujet mais je ne sais pas si les outils proposés soient encore d’actualité.
je n’utilise ni l’antivirus de comodo ni vlc mais l’excellent gom player (j’en ai essayé beaucoup avant de fixer mon choix)

J'ai un tutoriel de réalisation d'une clé usb multiboot de secours (ms dos, dos pour réseaux,freedos, puppy linux, bart pe, outils variés) si ça t'intéresse, mais autant que je me souvienne, je l'ai rédigé en anglais.

parfaitement, j’essayerais de me le traduire.

parfaitement, j'essayerais de me le traduire

Here you are:
http://brucine.hostoi.com/usbboot.html

Concernant les anti rootkits, le tuto de malekal

http://www.malekal.com/supprimer_rootkit_windows.php
http://forum.malekal.com/danger-fonctionnement-des-rootkits-t3500.html

ne me semble pas si mal fait, et gmer toujours à jour.
Je passe de temps à autre un coup de mbam, au cas où…

Concernant les produits à utiliser, ils sont “linkés” dans le deuxième des liens ci-dessus:
http://forum.malekal.com/les-anti-rootkit-scanner-rootkit-t796.html
et on en revient toujours à mon sens à la même chose pour le non-pro: gmer, un coup de mbam de temps à autre, outils spéficiques à utiliser si l’un ou l’autre des logiciels précédents en a détecté un et ne l’a pas supprimé.

ok merci pour les différents liens et merci pour le tuto sur l’usb boot.

l’outil Gmer a l’air a première vue puissant mais je ne sais pas s’il est a mettre entre toutes les mains.
j’ai essayé il n’y a pas si longtemps l’outil de panda, blacklight, sophos et prevX.

panda et blacklight ok mais sophos détecte un peu tout et n’importe quoi et prevX on a l’impression d’installer une suite et pas un simple antirootkit.

Gmer je ne le l’ai jamais vu a l’œuvre mais je l’essaierai sans faute.

Bonjour,

Brucine je viens de telecharger vlc sur le lien que tu m’as indique :smiley:
mais j’ai envoye (l’installeur) a virus total http://www.virustotal.com/analisis/14df23635fa7bbf7d2bddd4b507f50fadbad5b69fe70643c0b9e7a27480c75e7-1279238458
et cette fois si s’est Antiy-AVL qui me signale: TROJAN/Win32.TDSS.gen
Voila…

Reg

Je ne l’ai pas pour ma part “rechargé”, mais ré-installé à partir de l’exécutable d’installation que j’avais téléchargé sur ce site (vlc-1.0.5-win32.exe), et qui m’a rendu l’absence de résultats que j’ai mise en ligne.

Je viens de lire ce post et j'ai voulu tester avec virustotal.com mon vlc_media_player_1.0.5_francais_10829.exe telecharge sur clubic.com resultat un antivirus que je ne connais pas 'jiangmin' (parmi la longue liste des antivirus connu...) m'a trouve: TROJAN/TDSS.nqj du coup je m'interroge sur ce 'jiangmin', soit il est tres efficace, soit il raconte n'importe quoi 1 avis?

j’ai fait la même expérience avec mon lecteur Gom Player.
la version 2.1.21.4846 envoyé a virus total nada, aucun résultat mais par contre la dernière version 2.1.26.5021 je trouve 2 résultats positifs.
surement que ca doit être une quelconque toolbar a l’intérieur de l’exécutable d’installation.

conclusion : toujours en priorité décocher l’installation de la dite toolbar et installer son soft en toute serenité.

j’utilise Gom player depuis des années et ce n’est pas Mccafee ou jiangmin qui m’en dissuaderont.

Bonjour,

En creusant un peu au moins pour Vlc il ne s’agit pas d’1 toolbar, car le trojan est dans le fichier uninstall, peut etre un cadeau pour les mecontents du logiciel :-TD
D’autre part j’ai verifie mes installers d’autres programmes qui eux proposent effectivement 1 toolbar a l’installation, mais aucun trojan ou autre signales par virustotal…

Reg

En effet, bizarre même si signalé uniquement par Jiangmin, pas forcément une référence…:
http://www.virustotal.com/fr/analisis/081314aac9e2319926a1ec439ce33a1f242e78c3f8c25ab66832f7bb4efcf061-1278923966
Il serait intéressant que quelqu’un qui en a les compétences (je sais, c’est interdit) décomplie ce satané fichier pour voir ce qu’il a ou non dans le ventre.

Il s’agit apparemment d’un faux positif, voir par exemple:

http://forum.telecharger.01net.com/telecharger/securite/info-vlc--trojan-win32-generic-par-malwarebytes-resolu-445213/messages-1.html
résultant probablement du fait qu’il existe bien une famille de virus vlc.exe n’ayant rien à voir avec le schmilblick:
http://www.threatexpert.com/files/vlc.exe.html