Bagle - de chiki a moe

re,

les elements found se recré mais sont vides donc inactifs.

Pas tout suivi là ... ^^"

re,

c'est très claire là ... ;)

re :-)

Oki, alors je vais attendre un peu de voir ce que donnent les utilisations du tool pendant quelques jours et pendant ce temps je vais essayer de peaufiner en fonction des remontées ...
Sympa pour les remontées positives en tout cas, c'est encourageant :-)

Le 3 eme tu l as .
Le zip source était présent sur ton DD pour le 3eme test ?

l exe messenger reviens .. alors que non rénstallé ni réparé..
Tu veux dire que lorsque tu testes une seconde fois l'infection après avoir viré l'exe messenger il revient vérolé, c'est çà ? Avec l'icône bagle ?
C'est normal, en fait lorsque l'infection démarre, elle lit le registre et plus particulièrement la clé HKCU\..\..\Run à la recherche d'une entrée et d'un chemin de fichier à exploiter.
Il n'y a pas besoin que le fichier existe réellement et donc bagle peut aussi bien se servir d'une entrée orpheline que d'une entrée valide.
Si le fichier existe il l'écrase et dans le cas contraire il se sert du chemin lu dans le registre pour créer une copie de lui même sous ce nom.
Donc même si tu avais supprimé l'exe de messenger, il aura juste suffit que l'entrée dans le registre elle, soit toujours là pour qu'il l'exploite lorsque tu l'as relancé :-)

@+ tard ! ...

si tu instal ton "crack" le crc32 de l exe du zip ne sera pas forcément le meme que celui de winupgro .. ça sera peut etre un "ancien" c est pour ça que je te parlais des "refmd5" t en penses quoi ?

En fait c'est assez compliqué l'histoire du crc mais je vais essayer de t'expliquer...
Admettons que tu cherches un crack pour ton logiciel préféré et que tu télécharge une archive zip sur la mule sensé en contenir un.
Dans cette archive tu as un fichier keygen.exe et un fichier SLON.nfo.
Avant même d'ouvrir l'archive il est possible avec des tools comme izarce.exe ou 7z.exe de retrouver le CRC32 du fichier keygen.exe, simplement en analysant la structure du *.zip car lors de la compression le crc de chaque fichier a été calculé puis noté quelque part dans le code de l'archive.
Donc tout ceci est très bien mais faut-il encore pouvoir comparer le CRC de keygen.exe à quelque chose...
Imaginons maintenant que tu dézippes ton archive et veuille te servir de ton crack...
Soit tu double clique direct sur keygen.exe, soit tu essayes de remplacer l'exe de ton prog préféré par keygen.exe en imaginant que dans la foulée tu le renomme monprog.exe.
Dans les deux cas, le CRC reste identique car même renommé ça n'influe pas.
Donc après on connait la suite, une fois monprog.exe ou keygen.exe exécuté, le dossier "drivers" est crée puis, monprog.exe ou keygen.exe se copie à l'intérieur sous le nom winupgro.exe et idem pour la 04.
winupgro, la 04, monprog.exe ou keygen.exe auront donc le même CRC, puisque se sont des copies conformes.
Du début jusqu'à la fin, le CRC de l'exe vérolé n'aura pas bougé, d'ou la méthode qui consiste à récupérer le CRC de winupgro en priorité pour avoir un élément de comparaison et d'utiliser des tools comme 7z.exe qui eux pourront nous dire si dans chaque archive scannées il y a ou pas une *.exe avec le même CRC.
Logiquement, si tu n'as téléchargé qu'un seul crack bagle et que tu l'as exécuté, cette méthode suffit à retrouver le zip source.
Maintenant là ou ton réso est interessant c'est que tu as pu aussi en télécharger plusieurs avec le risque d'avoir des variantes différentes dans chaque archives et effectivement à part le zip source cette méthode ne permettra pas de débusquer les autres qui dorment dans un coin :-)
Et là bah faut reconnaître qu'une base de donnée CRC peut effectivement augmenter les chances de détection des zip, oui !.
Donc on peut très bien imaginer un fichier qui contiendrait ta base de données et si winupgro est présent, y faire un rajout de son crc et md5 pour compléter.
L'analyse ensuite, tiendrait compte de toute la BDD, que ce soit pour les zip(crc) ou les fichiers themida(md5).

J'espère que ça répondra à ta question cédric...
Sinon pour ma part je bosse actuellement sur la structure des formats zip et rar justement:
https://pkware.cachefly.net/webdocs/casestudies/APPNOTE.TXT
https://www.datacompression.info
J'aimerais pouvoir arriver à ne plus avoir besoin d'izarce ou 7z...
Bon résultats pour les zips ou j'arrive à extraire le nom+taille+crc de chaque fichier contenu dans le zip mais pas encore eu le temps de potasser le format rar...
Dès que c'est au point et la beta complète je t'enverrais de quoi essayer.
Lol, petit à petit çà se précise gentiment :-)

cette semaine je serais occupé mais je prendrais du temps pour notre amis , donc ça sera une semaine on dira de mises au point , de constatation etc ..
Idem pour moi, je verrais s'il y a des points à améliorer et lesquels en fonction des remontées et des tests.
Pas question de lâcher l'affaire :-)

@++ et bonne semaine à tous.

Re,

C'est celui là non ? Ou alors j'ai mal compris ?

Deleted ! "C:\Users\Chiki\Desktop\Ancien Crack\1 Free History Eraser 7.7\key_generator.exe"
# Taille : 864256 # MD5 : CBDC9ED044B6F463FC4AE80232331E4F

ok, donc le zip avait été renommé lui aussi ?

je fais quelques test de mon côté aussi et je repasse t'aleur :-)

re,

Je crois que je viens de trouver cédric, du moins si tu as utilisé comme moi la V4.718 qui est en ligne actuellement.
La récup des chemins des zip/rar(md5-fyk.cmd) à analyser ne se fait que sur :
%Userprofile%
%AllUserprofile%
%Programfiles%
%Temp%
Donc sur une clé ou ailleurs que là, un zip/rar passera à la trappe et ne sera pas comparé.

Je refais un test avec la béta cette fois, puisque le scan est sensé se passer sur tout ce qui connecté au pc...

A toute :-)

re,

Chez moi c'est passé avec la béta...
Je refais un dernier test quand même avant d'aller dormir, mais bon je revois tout çà de plus près dans la semaine de toute façon...

@++

################## [ Searching Other Infections ] 
 
# Références de comparaison Bagle MD5 :

7196d5a3 C:\Documents and Settings\bOo\Application Data\drivers\winupgro.exe 
cbdc9ed044b6f463fc4ae80232331e4f C:\Documents and Settings\bOo\Application Data\drivers\winupgro.exe 

Deleted ! "O:\1 Free History Eraser 7.7\key_generator.exe" 
# Taille : 864256 # MD5 : CBDC9ED044B6F463FC4AE80232331E4F 
 
Deleted ! "O:\1 Free History Eraser 7.7.zip" 
 
Suspect ! "C:\Documents and Settings\bOo\Bureau\Cracks\install_crack.exe" 
# Taille : 794632 # MD5 : 2C4F10FD730E73C97378262FA326E0F9 
 
Suspect ! "C:\Documents and Settings\bOo\Bureau\Cracks\key_generator.exe" 
# Taille : 856072 # MD5 : DD9B59A85641997AAEBFD8C26FB556F5 
 
Suspect ! "C:\Documents and Settings\bOo\Bureau\Cracks\run.exe" 
# Taille : 860168 # MD5 : 0F9EEEADA1694DDE3B1817E2833E1A22 
 
Suspect ! "C:\Documents and Settings\bOo\Bureau\Cracks\serial.exe" 
# Taille : 839688 # MD5 : B57D4ADC54469E220D7C08AE4E1C3C16 
 
Suspect ! "C:\Documents and Settings\bOo\Bureau\MsgConnect 1.57\patch.exe" 
# Taille : 798720 # MD5 : 8FF5FC9DCC71751820EDD0B6EAC49711 

C'est vrai que tu as parcouru pas mal de chemin depuis le début de cette aventure, cédric !
Et moi aussi par la même occasion !
En fait "l'aventure" comme tu dis, ce n'est rien d'autre que de l'envie d'apprendre en s'amusant :-)
C'est pas tellement une question de niveau ou de connaissances car on apprend en permanance, çà s'arrête jamais lol, et pour ma part je dois avouer que c'est ce qui me motive tout autant que toi :-)

Bonne semaine !

PS:
je sais pas si tu l avais vu , je m interoge quand a laissé la partie peh, car les helpeurs ne savent pas vraiment quoi en faire .. (suivant mes remontées)

Je m'en doutais un peu à vrai dire, donc je supprimerais la détection dans la prochaine maj de fyks.exe

PS2:
sKe69,
En fait cette partie du rapport mentionne les exe qui génèrent le message "n'est pas une application win32 valide".
C'est juste là à titre indicatif pour aider la personne qui interprète le rapport à cibler les programmes touchés et à réinstaller.