Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de mo dans 1 go ✓ - Forum Mail
- Combien de ko pour 1 mo ✓ - Forum Matériel & Système
- Combien il y a t-il de ko dans 1 GO (Internet) - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
Bonsoir tout le monde
Olivier ,, je viens de mettre fyk 717 en ligne
mira tools..
Bonne semaine et dime algo
@Pluche
ps: merci a Cyril pour sa participation a cette maj
ps2: la trad catalane est en cours , merci a Criss
Olivier ,, je viens de mettre fyk 717 en ligne
mira tools..
Bonne semaine et dime algo
@Pluche
ps: merci a Cyril pour sa participation a cette maj
ps2: la trad catalane est en cours , merci a Criss
Salut Cedric =)
comment va ?
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
6cd1b35d D:\Documents and Settings\Chiki\Application Data\drivers\winupgro.exe
3d85bd2db2f505f3295511cca667b7fa D:\Documents and Settings\Chiki\Application Data\drivers\winupgro.exe
Deleted ! "D:\Documents and Settings\Chiki\Bureau\Panorama BackPacker a0.85.zip"
# Contain install.exe with Bagle CRC32 : 6cd1b35d
################## [ ! End of Report # FindyKill V4.717 ! ]
ça c'est cool ! .... ;)
++
comment va ?
################## [ Searching Other Infections ]
# Références de comparaison Bagle MD5 :
6cd1b35d D:\Documents and Settings\Chiki\Application Data\drivers\winupgro.exe
3d85bd2db2f505f3295511cca667b7fa D:\Documents and Settings\Chiki\Application Data\drivers\winupgro.exe
Deleted ! "D:\Documents and Settings\Chiki\Bureau\Panorama BackPacker a0.85.zip"
# Contain install.exe with Bagle CRC32 : 6cd1b35d
################## [ ! End of Report # FindyKill V4.717 ! ]
ça c'est cool ! .... ;)
++
Salut Chiquitine29, mOe et sK69,
Merci Chiquitine29 pour ton œuvre.
Y aura-t-il une fonction "Mise à jour" prochainement?
Bonne semaine.
Albert
Merci Chiquitine29 pour ton œuvre.
Y aura-t-il une fonction "Mise à jour" prochainement?
Bonne semaine.
Albert
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Oui, par exemple comme elle existe sur SmitfraudFix ou sur MBAM (il y en a d'autres).
Je ne sais pas ce que cela représente relativement à la sécurité à l'emploi.
ZHPH a également une fonction de mise à jour des bases de données.
Sans quoi le canned speech devrait prévoir la suppression de FindyKill à la fin du topic.
Al.
Oui, par exemple comme elle existe sur SmitfraudFix ou sur MBAM (il y en a d'autres).
Je ne sais pas ce que cela représente relativement à la sécurité à l'emploi.
ZHPH a également une fonction de mise à jour des bases de données.
Sans quoi le canned speech devrait prévoir la suppression de FindyKill à la fin du topic.
Al.
re ske,
Salut Cedric =)
comment va ?
>>de puta mara ;)
edit : ça c'est cool ! .... ;) dis merci a olivier
kiss
Salut Cedric =)
comment va ?
>>de puta mara ;)
edit : ça c'est cool ! .... ;) dis merci a olivier
kiss
Nan Gen, pas son frère mais son fantôme :-)
Salut à tous !
Cédric, j'ai relu un peu toute les idées que tu as proposé au fil de ce post et je me suis dit que certaines sur lequel j'avais donné mon avis un peu trop rapidement pouvaient être sympa à tenter de réaliser, autant pour le défi que pour l'utilité.
Je pense surtout à celle ou tu souhaitais essayer de détecter les fichiers corrompus par Bagle, pas les 04 mais les fichiers AV par exemple, rendus invalides.
Donc cette semaine je me suis amusé à voir si je pouvais réaliser un truc qui tienne la route et qui permette la détection, voire la réparation de ces fichiers.
D'ici à ce we et si ça t'interesse, je te ferais passer un exe de test, pour que tu puisses me dire ce que tu en pense et s'il te semble tenir la route.
Je t'explique le principe :
On sait que Bagle pour neutraliser un exe d'antivirus par exemple, modifie 1 bit bien précis du PE header du fichier.
Le systeme qui utilise cette informations pour déterminer rapidement la façon de traiter le fichier se retrouve alors incapable de savoir pour quel type de machine l'exécutable a été codé !
Et du coup sans cette info le système arrête la lecture du fichier et renvois le fameux "*.exe n'est pas une application win32 valide"
La seule difficulté apparente pour détecter ces exe corrompus, consiste à savoir ou commence précisément le PE header dans le fichier scanné car l'adresse varie selon les exe, pour pouvoir ensuite vérifier le bit modifié.
Heureusement tous les exe mentionnent cette adresse à l'@offset 60 du fichier, et donc en théorie il n'y a qu'à lire l'@offset60, récupérer l'adresse du PE header, s'y positionner et vérifier s'il y a eu modif ou pas.
Je te fais passer un screenshot de ce que ça donne avec un fichier corrompu ouvert dans un éditeur hexa, ce sera surement plus parlant si tu veux t'amuser à faire la vérif avant/après chez toi.
Grosso modo c'est ce que l'exe que je vais te faire passer réalisera pour la détection.
Pour l'instant et pour ce test, j'ai limité le scan au dossier d'Antivir et à celui de firefox (le fichier du désinstalleur se faisant shooter lui aussi....) dans %programfiles%, avec tentative de réparation si la détection est positive, mais on peut de cette manière scanner tous les exe de tous les DD dans un timing tout à fait correct !
Eventuellement quitte à scanner tous les exe il est tout à fait possible en plus de vérifier la présence de "themida" et de faire d'une pierre deux coups :-)
Donc voilà, si ça t'amuse de voir ce que ça peut donner, fais moi le savoir et je t'enverrais çà des que possible, sinon direction la corbeille et idée suivante lol.
Bonne soirée à tous et bonne fin de semaine !
@++
Salut à tous !
Cédric, j'ai relu un peu toute les idées que tu as proposé au fil de ce post et je me suis dit que certaines sur lequel j'avais donné mon avis un peu trop rapidement pouvaient être sympa à tenter de réaliser, autant pour le défi que pour l'utilité.
Je pense surtout à celle ou tu souhaitais essayer de détecter les fichiers corrompus par Bagle, pas les 04 mais les fichiers AV par exemple, rendus invalides.
Donc cette semaine je me suis amusé à voir si je pouvais réaliser un truc qui tienne la route et qui permette la détection, voire la réparation de ces fichiers.
D'ici à ce we et si ça t'interesse, je te ferais passer un exe de test, pour que tu puisses me dire ce que tu en pense et s'il te semble tenir la route.
Je t'explique le principe :
On sait que Bagle pour neutraliser un exe d'antivirus par exemple, modifie 1 bit bien précis du PE header du fichier.
Le systeme qui utilise cette informations pour déterminer rapidement la façon de traiter le fichier se retrouve alors incapable de savoir pour quel type de machine l'exécutable a été codé !
Et du coup sans cette info le système arrête la lecture du fichier et renvois le fameux "*.exe n'est pas une application win32 valide"
La seule difficulté apparente pour détecter ces exe corrompus, consiste à savoir ou commence précisément le PE header dans le fichier scanné car l'adresse varie selon les exe, pour pouvoir ensuite vérifier le bit modifié.
Heureusement tous les exe mentionnent cette adresse à l'@offset 60 du fichier, et donc en théorie il n'y a qu'à lire l'@offset60, récupérer l'adresse du PE header, s'y positionner et vérifier s'il y a eu modif ou pas.
Je te fais passer un screenshot de ce que ça donne avec un fichier corrompu ouvert dans un éditeur hexa, ce sera surement plus parlant si tu veux t'amuser à faire la vérif avant/après chez toi.
Grosso modo c'est ce que l'exe que je vais te faire passer réalisera pour la détection.
Pour l'instant et pour ce test, j'ai limité le scan au dossier d'Antivir et à celui de firefox (le fichier du désinstalleur se faisant shooter lui aussi....) dans %programfiles%, avec tentative de réparation si la détection est positive, mais on peut de cette manière scanner tous les exe de tous les DD dans un timing tout à fait correct !
Eventuellement quitte à scanner tous les exe il est tout à fait possible en plus de vérifier la présence de "themida" et de faire d'une pierre deux coups :-)
Donc voilà, si ça t'amuse de voir ce que ça peut donner, fais moi le savoir et je t'enverrais çà des que possible, sinon direction la corbeille et idée suivante lol.
Bonne soirée à tous et bonne fin de semaine !
@++
autant pour le défi
ca c est un beau mot !!!!! lol
et le coup de mon MD5 c'etait pas une bonne idee alors ?(ou alors trop compliqué a realiser ?)
question perso...
y'a un truc pour lire l'offset ? un prg ?un logiciel ?
merci a vous
Au plaisir gen
ca c est un beau mot !!!!! lol
et le coup de mon MD5 c'etait pas une bonne idee alors ?(ou alors trop compliqué a realiser ?)
question perso...
y'a un truc pour lire l'offset ? un prg ?un logiciel ?
merci a vous
Au plaisir gen
Salut Fantomas ;) ,
De mon coté je suis en train de voir des details (temps mutisessions , recolte ref md5 , etc )
Références de comparaison Bagle MD5 :
6cd1b35d C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
3d85bd2db2f505f3295511cca667b7fa C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
Deleted : "C:\Users\Chiki\Desktop\Avast.4.6.Pro.ITA.+.keygen.+.skins.by.Peppez.zip"
Contain install.exe with Bagle CRC32 : 6cd1b35d
Deleted : "C:\Users\Chiki\Desktop\Nod32.XP-2003-64bits-ingles.zip"
Contain key_gen.exe with Bagle CRC32 : 15cd9751
Concernant le projet sur lequel tu taff , il est bien evidemment interessant
d autant plus par :
Eventuellement quitte à scanner tous les exe il est tout à fait possible en plus de vérifier la présence de "themida" et de faire d'une pierre deux coups :-) ;)
donc oui , si tu peux me faire parvenir algo sur cela je prend bien evidemment et t en remercie
sinon j ai quelques autres idées en resa mais je me le mes garde afin dy taffer
merci pas ton investissement.
zé bonne fin de semaine aussi
ps : je sais pas si je serais dispo ce week end
De mon coté je suis en train de voir des details (temps mutisessions , recolte ref md5 , etc )
Références de comparaison Bagle MD5 :
6cd1b35d C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
3d85bd2db2f505f3295511cca667b7fa C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
Deleted : "C:\Users\Chiki\Desktop\Avast.4.6.Pro.ITA.+.keygen.+.skins.by.Peppez.zip"
Contain install.exe with Bagle CRC32 : 6cd1b35d
Deleted : "C:\Users\Chiki\Desktop\Nod32.XP-2003-64bits-ingles.zip"
Contain key_gen.exe with Bagle CRC32 : 15cd9751
Concernant le projet sur lequel tu taff , il est bien evidemment interessant
d autant plus par :
Eventuellement quitte à scanner tous les exe il est tout à fait possible en plus de vérifier la présence de "themida" et de faire d'une pierre deux coups :-) ;)
donc oui , si tu peux me faire parvenir algo sur cela je prend bien evidemment et t en remercie
sinon j ai quelques autres idées en resa mais je me le mes garde afin dy taffer
merci pas ton investissement.
zé bonne fin de semaine aussi
ps : je sais pas si je serais dispo ce week end
Bonsoir à tous
Salut Oliver ;-)
Pour des raisons qui me sont totalement obscures, le message de Chiquitine est passé à la trappe ?! ...
Chiquitine29, le mercredi 18 février 2009 à 19:04:03
Salut Fantomas ;) ,
De mon coté je suis en train de voir des details (temps mutisessions , recolte ref md5 , etc )
Références de comparaison Bagle MD5 :
6cd1b35d C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
3d85bd2db2f505f3295511cca667b7fa C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
Deleted : "C:\Users\Chiki\Desktop\Avast.4.6.Pro.ITA.+.keygen.+.skins.by.Peppez.zip"
Contain install.exe with Bagle CRC32 : 6cd1b35d
Deleted : "C:\Users\Chiki\Desktop\Nod32.XP-2003-64bits-ingles.zip"
Contain key_gen.exe with Bagle CRC32 : 15cd9751
Concernant le projet sur lequel tu taff , il est bien evidemment interessant
d autant plus par :
Eventuellement quitte à scanner tous les exe il est tout à fait possible en plus de vérifier la présence de "themida" et de faire d'une pierre deux coups :-) ;)
donc oui , si tu peux me faire parvenir algo sur cela je prend bien evidemment et t en remercie
sinon j ai quelques autres idées en resa mais je me le mes garde afin dy taffer
merci pas ton investissement.
zé bonne fin de semaine aussi
ps : je sais pas si je serais dispo ce week end
@+
Salut Oliver ;-)
Pour des raisons qui me sont totalement obscures, le message de Chiquitine est passé à la trappe ?! ...
Chiquitine29, le mercredi 18 février 2009 à 19:04:03
Salut Fantomas ;) ,
De mon coté je suis en train de voir des details (temps mutisessions , recolte ref md5 , etc )
Références de comparaison Bagle MD5 :
6cd1b35d C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
3d85bd2db2f505f3295511cca667b7fa C:\Users\Chiki\AppData\Roaming\drivers\winupgro.exe
Deleted : "C:\Users\Chiki\Desktop\Avast.4.6.Pro.ITA.+.keygen.+.skins.by.Peppez.zip"
Contain install.exe with Bagle CRC32 : 6cd1b35d
Deleted : "C:\Users\Chiki\Desktop\Nod32.XP-2003-64bits-ingles.zip"
Contain key_gen.exe with Bagle CRC32 : 15cd9751
Concernant le projet sur lequel tu taff , il est bien evidemment interessant
d autant plus par :
Eventuellement quitte à scanner tous les exe il est tout à fait possible en plus de vérifier la présence de "themida" et de faire d'une pierre deux coups :-) ;)
donc oui , si tu peux me faire parvenir algo sur cela je prend bien evidemment et t en remercie
sinon j ai quelques autres idées en resa mais je me le mes garde afin dy taffer
merci pas ton investissement.
zé bonne fin de semaine aussi
ps : je sais pas si je serais dispo ce week end
@+
re Olivier,
Et je vais voir pour cette clé et voir c copines
voilou et merci
et surement a ce week end ( si la roche est pas humide lol , escalade)
Et je vais voir pour cette clé et voir c copines
voilou et merci
et surement a ce week end ( si la roche est pas humide lol , escalade)
Salut Olivier ,
je suis dipos ce week end , CCM ne l est pas vraiment (travaux)
on se cause a l occasion
pluche
je suis dipos ce week end , CCM ne l est pas vraiment (travaux)
on se cause a l occasion
pluche
Salut Cédric, coucou Green day :-)
Perso je risque de pas trop être dispo malheureusement, désolé, mais j'ai pu terminer quand même pour aujourd'hui ce que je t'avais promis.
Tu verras qu'il y a deux fichiers dans le zip, l'un scanne tout les DD et ne fait seulement que détecter les fichiers corrompu + themida, l'autre est sensé faire la réparation de ceux d'antivir uniquement après neutralisation de l'infection.
Par contre pour vérifier le fonctionnement de l'av après réparation, j'ai rien prévu de particulier donc faudra surement que tu le relance manuellement ou que tu reboote pour voir si tout reviens à la normale.
Donc bon test en attendant ton avis après quelques essais :-)
@+ tard et encore vraiment désolé de pas pouvoir être plus présent ici sur ton post...
Ps pour Gen :
Une base de donnée c'est pas que se soit une mauvaise idée, mais surement que le temps que ça demande à mettre en place et à tenir à jour ensuite, bah ça prends énormément de temps libre...
Pour ta question sur l'offset, en fait pour réaliser ce petit prog de test j'ai utilisé AutoIt, c'est un langage de script free qui permet entre autre et de par ses fonctionalitées de pouvoir ouvrir un fichier en mode binaire par exemple et de lire tout son contenu ou juste de l'ouvrir jusqu'à un offset précis, ce qui est bien pratique vu ce que je voulais arriver à faire :-).
Ensuite un script peut être compilé en exe autonome et être utilisé seul ou "appelé" par un batch par exemple pour récupérer les infos et les traiter si c'est l'idée de départ du script.
Un exemple qui sera surement plus parlant de ce qu'il est possible de réaliser avec ce genre de scripts, c'est RSIT que tu dois connaître et qui à été codé avec AutoIt...
Perso je risque de pas trop être dispo malheureusement, désolé, mais j'ai pu terminer quand même pour aujourd'hui ce que je t'avais promis.
Tu verras qu'il y a deux fichiers dans le zip, l'un scanne tout les DD et ne fait seulement que détecter les fichiers corrompu + themida, l'autre est sensé faire la réparation de ceux d'antivir uniquement après neutralisation de l'infection.
Par contre pour vérifier le fonctionnement de l'av après réparation, j'ai rien prévu de particulier donc faudra surement que tu le relance manuellement ou que tu reboote pour voir si tout reviens à la normale.
Donc bon test en attendant ton avis après quelques essais :-)
@+ tard et encore vraiment désolé de pas pouvoir être plus présent ici sur ton post...
Ps pour Gen :
Une base de donnée c'est pas que se soit une mauvaise idée, mais surement que le temps que ça demande à mettre en place et à tenir à jour ensuite, bah ça prends énormément de temps libre...
Pour ta question sur l'offset, en fait pour réaliser ce petit prog de test j'ai utilisé AutoIt, c'est un langage de script free qui permet entre autre et de par ses fonctionalitées de pouvoir ouvrir un fichier en mode binaire par exemple et de lire tout son contenu ou juste de l'ouvrir jusqu'à un offset précis, ce qui est bien pratique vu ce que je voulais arriver à faire :-).
Ensuite un script peut être compilé en exe autonome et être utilisé seul ou "appelé" par un batch par exemple pour récupérer les infos et les traiter si c'est l'idée de départ du script.
Un exemple qui sera surement plus parlant de ce qu'il est possible de réaliser avec ce genre de scripts, c'est RSIT que tu dois connaître et qui à été codé avec AutoIt...
Salut Olivier ,
J ai vu que t as posté car je postais au bureau sur "kill crack ou pas" breff CCM est fatigué de sa semaine
alors je suppose que ma rep fera apparaitre ta propre reponse sinon , bah je la verrais demain
J ai vu que t as posté car je postais au bureau sur "kill crack ou pas" breff CCM est fatigué de sa semaine
alors je suppose que ma rep fera apparaitre ta propre reponse sinon , bah je la verrais demain
RE ,
la magie du web a fait apparaitre ton post ... o_O ;)
Premierement je comprend tres bien que tu seras moins dispo au vu de la saison qui arrive etc ...
moi meme je suis assez pris , voir fainéant par moment sur fyk , ce qui n empeche pas le "fix" des clé hku et des temps vista effectué bla bla .. ....
breff , je vais "tester" ce que tu m as fais parvenir .
tout en sachant que c est déja bien abouti .
je pense que je vais sortir 718 rapido afin de bloquer les hku et les temps ce qui me donnera plus de "relax" pour voir de plus pres ton "ajout"
sur ce 718 je vais y ajouter aussi un "Tools\refmd5" pour "Tools\Md5-Fyk.cmd"
voila dans les grandes lignes .
Je tiens a te remercier , pas pour ta parcipation au tool ( c deja fé) , non , juste pour pour ta sympathie , et aussi ton bon vouloir a transmettre tes connaissances , les partager etc
Vive le printemps ;)
pluches
la magie du web a fait apparaitre ton post ... o_O ;)
Premierement je comprend tres bien que tu seras moins dispo au vu de la saison qui arrive etc ...
moi meme je suis assez pris , voir fainéant par moment sur fyk , ce qui n empeche pas le "fix" des clé hku et des temps vista effectué bla bla .. ....
breff , je vais "tester" ce que tu m as fais parvenir .
tout en sachant que c est déja bien abouti .
je pense que je vais sortir 718 rapido afin de bloquer les hku et les temps ce qui me donnera plus de "relax" pour voir de plus pres ton "ajout"
sur ce 718 je vais y ajouter aussi un "Tools\refmd5" pour "Tools\Md5-Fyk.cmd"
voila dans les grandes lignes .
Je tiens a te remercier , pas pour ta parcipation au tool ( c deja fé) , non , juste pour pour ta sympathie , et aussi ton bon vouloir a transmettre tes connaissances , les partager etc
Vive le printemps ;)
pluches
