Quelques virus trouvés sur un fichier créé par mes soins
SkyCritters
Messages postés
3
Statut
Membre
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour à la communauté de CCM,
J'expose mon problème et raconte mon histoire :
Dans le cadre d'un projet pour mon stage de fin d'étude, on m'a demandé de créer un fichier, un moyen de communiquer avec l'ensemble des utilisateurs du réseau.
En cherchant bien, j'ai trouvé un moyen de le faire, sauf que j'ai dans mon package, un fichier .bat, le problème est qu'il contient login et mdp de l'admin réseau.
J'ai donc pensé à le transformer en .exe, pour qu'il soit crypté et donc "illisible" pour un utilisateur lambda. Pour ce faire, j'ai utilisé "Quick Batch File Compiler".
Jusque là, tout va bien. Mon problème, en testant le site de distribution de ce logiciel via VirusTotal, je n'ai aucun problème, en testant, tjr par le même site, le fichier téléchargé et même le dossier où est installé le logiciel, pas de problème non plus.
Par contre, quand je transforme mon fichier .bat en .exe et que je scan ce fichier avec ce même site, voilà le rapport :
Voilà, j'ai donc des doutes sur le logiciel utilisé sachant qu'en cherchant sur plusieurs forums, on ne parle pas de virus lui étant assigné. De plus, ce fichier .bat est créé par mes soins, le PC qui m'a été attribué n'est pas vérolé ,le scan a été effectué avant la création du fichier par Sophos.
Pour faire court aux suggestions, mon package est envoyé par GLPI, pas le choix, ce sont les normes de l'entreprise où je travaille.
Net Send ne fonctionnent pas car n'existe plus sous Seven (parc informatique de 1000 pc avec comme OS WinXP et Win7) et la command Msg ne fonctionne pas n'ont plus car GLPI déploie ses packages sous la session system de chaque PC, le but étant de pouvoir faire des mise à jour ou des installe de logiciel en mode invisible pour l'utilisateur.
Donc, j'ai "détourné" le problème en créant une tache planifiée qui lira un fichier tout les 1/4 heure et affichera une page web créé par mes soins lors d'un message envoyé.
Le hic, comme dis plus haut, c'est que pour créer cette tache planifiée en script de command (le fameux .bat), les log et mdp sont visible en ouvrant le fichier ne serait ce qu'avec Bloc-note qui est livré avec Windows.
Si vous avez une suggestion, une idée, je suis preneur.
J'expose mon problème et raconte mon histoire :
Dans le cadre d'un projet pour mon stage de fin d'étude, on m'a demandé de créer un fichier, un moyen de communiquer avec l'ensemble des utilisateurs du réseau.
En cherchant bien, j'ai trouvé un moyen de le faire, sauf que j'ai dans mon package, un fichier .bat, le problème est qu'il contient login et mdp de l'admin réseau.
J'ai donc pensé à le transformer en .exe, pour qu'il soit crypté et donc "illisible" pour un utilisateur lambda. Pour ce faire, j'ai utilisé "Quick Batch File Compiler".
Jusque là, tout va bien. Mon problème, en testant le site de distribution de ce logiciel via VirusTotal, je n'ai aucun problème, en testant, tjr par le même site, le fichier téléchargé et même le dossier où est installé le logiciel, pas de problème non plus.
Par contre, quand je transforme mon fichier .bat en .exe et que je scan ce fichier avec ce même site, voilà le rapport :
SHA256: 92444a4f65be52f09815fd95383a5e31f6d44f92f00658484c16d7dc1d5b8368 Nom du fichier : TachePlanif.exe Ratio de détection : 10 / 46 Date d'analyse : 2013-05-02 06:50:31 UTC (il y a 0 minute) Antivirus Résultat Mise à jour Agnitum 20130501 AhnLab-V3 20130501 AntiVir TR/ATRAPS.Gen 20130502 Antiy-AVL Virus/BAT.BAT 20130502 Avast 20130502 AVG 20130502 BitDefender MemScan:Trojan.Generic.9022480 20130502 ByteHero 20130425 CAT-QuickHeal 20130502 ClamAV 20130502 Commtouch 20130502 Comodo 20130502 DrWeb Trojan.Proxy.24450 20130502 Emsisoft MemScan:Trojan.Generic.9022480 (B) 20130502 eSafe 20130501 ESET-NOD32 20130501 F-Prot 20130502 F-Secure MemScan:Trojan.Generic.9022480 20130502 Fortinet 20130502 GData MemScan:Trojan.Generic.9022480 20130502 Ikarus Trojan.ATRAPS 20130502 Jiangmin 20130502 K7AntiVirus 20130430 K7GW 20130430 Kaspersky 20130502 Kingsoft 20130502 Malwarebytes 20130502 McAfee 20130502 McAfee-GW-Edition 20130502 Microsoft 20130502 MicroWorld-eScan MemScan:Trojan.Generic.9022480 20130502 NANO-Antivirus 20130502 Norman 20130502 nProtect 20130502 Panda 20130501 PCTools 20130502 Sophos Mal/Emogen-I 20130502 SUPERAntiSpyware 20130502 Symantec 20130502 TheHacker 20130502 TotalDefense 20130501 TrendMicro 20130502 TrendMicro-HouseCall 20130502 VBA32 20130430 VIPRE 20130502 ViRobot 20130502 TrID Win32 Dynamic Link Library (generic) (34.3%) Win32 Executable (generic) (33.9%) Win16/32 Executable Delphi generic (10.8%) Generic Win/DOS Executable (10.4%) DOS Executable Generic (10.4%)
Voilà, j'ai donc des doutes sur le logiciel utilisé sachant qu'en cherchant sur plusieurs forums, on ne parle pas de virus lui étant assigné. De plus, ce fichier .bat est créé par mes soins, le PC qui m'a été attribué n'est pas vérolé ,le scan a été effectué avant la création du fichier par Sophos.
Pour faire court aux suggestions, mon package est envoyé par GLPI, pas le choix, ce sont les normes de l'entreprise où je travaille.
Net Send ne fonctionnent pas car n'existe plus sous Seven (parc informatique de 1000 pc avec comme OS WinXP et Win7) et la command Msg ne fonctionne pas n'ont plus car GLPI déploie ses packages sous la session system de chaque PC, le but étant de pouvoir faire des mise à jour ou des installe de logiciel en mode invisible pour l'utilisateur.
Donc, j'ai "détourné" le problème en créant une tache planifiée qui lira un fichier tout les 1/4 heure et affichera une page web créé par mes soins lors d'un message envoyé.
Le hic, comme dis plus haut, c'est que pour créer cette tache planifiée en script de command (le fameux .bat), les log et mdp sont visible en ouvrant le fichier ne serait ce qu'avec Bloc-note qui est livré avec Windows.
Si vous avez une suggestion, une idée, je suis preneur.
A voir également:
- Quelques virus trouvés sur un fichier créé par mes soins
- Comment ouvrir un fichier epub ? - Guide
- Fichier bin - Guide
- Creer un fichier .bat - Guide
- Cree un compte google - Guide
- Comment réduire la taille d'un fichier - Guide
5 réponses
Salut,
C'est le format de compression que les antivirus aiment pas :)
Essaie avec Bat_To_Exe_Converter : https://www.commentcamarche.net/telecharger/developpement/4555-bat-to-exe-converter/ voir si ça passe mieux.
Si pas tu l'envoie sur http://upload.malekal.com ça sera remonté aux antivirus qui enlèveront la détection (mais y'aura toujours 1 ou 2 qui vont le considéré néfaste).
Ou alors faut le crypter voir : http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Selon si le crypter est connu ou non des éditeurs d'antivirus et s'il est performant, on peux faire considérablement diminuer la détection.
En 20 min il fait tomber la détection de 21 à 9 /42 :D
C'est le format de compression que les antivirus aiment pas :)
Essaie avec Bat_To_Exe_Converter : https://www.commentcamarche.net/telecharger/developpement/4555-bat-to-exe-converter/ voir si ça passe mieux.
Si pas tu l'envoie sur http://upload.malekal.com ça sera remonté aux antivirus qui enlèveront la détection (mais y'aura toujours 1 ou 2 qui vont le considéré néfaste).
Ou alors faut le crypter voir : http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Selon si le crypter est connu ou non des éditeurs d'antivirus et s'il est performant, on peux faire considérablement diminuer la détection.
En 20 min il fait tomber la détection de 21 à 9 /42 :D
Merci pour cette première réponse rapide.
Problème, le premier lien que tu m'as donné de CCM, je l'ai testé sur VirusTotal et me trouve un malware, je test quand même et accès refusé par le système de sécurité de l'entreprise. Donc impossible d'utiliser celui ci (soit dit en passant, j'avais déjà essayé de le télécharger sur plusieurs sites celui là et m'a été souvent interdit).
J'ai uploadé le fichier en question vers ton second lien, on verra ce que ça donne.
Et regarde actuellement ton troisième lien.
Problème, le premier lien que tu m'as donné de CCM, je l'ai testé sur VirusTotal et me trouve un malware, je test quand même et accès refusé par le système de sécurité de l'entreprise. Donc impossible d'utiliser celui ci (soit dit en passant, j'avais déjà essayé de le télécharger sur plusieurs sites celui là et m'a été souvent interdit).
J'ai uploadé le fichier en question vers ton second lien, on verra ce que ça donne.
Et regarde actuellement ton troisième lien.
Bat2Exe est un projet libre, dispo sur sourceforge : http://sourceforge.net/projects/bat2exe/
Donc bon les antivirus tu les envoies à la rue, sont pas capables de discerner réelle menace et faux positifs (vrais négatifs) ...
Donc bon les antivirus tu les envoies à la rue, sont pas capables de discerner réelle menace et faux positifs (vrais négatifs) ...
Je ne peux pas squizzer les anti-virus, c'est un anti-virus sur le serveur qui refuse les accès aux fichiers potentiellement dangereux (vrai ou faux positif).
La sécurité est au maximum, "l'entreprise" où je travaille, est le service informatique d'un hôpital, d'où cette sécurité maximale.
Tu comprends pourquoi il y a tant de sécurité maintenant.
Mais merci quand même pour ces suggestions.
La sécurité est au maximum, "l'entreprise" où je travaille, est le service informatique d'un hôpital, d'où cette sécurité maximale.
Tu comprends pourquoi il y a tant de sécurité maintenant.
Mais merci quand même pour ces suggestions.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question