Discussion :

[Auteur]

bonjour,

Dans un premier temps, j'ai mis à jour Adobe Reader via l'outil de mis à jour du programme, il n'y a pas eu de souci. J'ai la version 8.1.3 du programme.


J'ai donc voulu archiver le programme en téléchargeant la version 8.1.3 de Adobe Reader (sur le site d'Adobe) et mon Antivirus (Avira Antivir) a immédiatement détecté un malware et stoppé le téléchargement.

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Users\mon_nom\Desktop\AdbeRdr813_fr_FR.exe.part.
Action performed: Delete file

Le fichier AdbeRdr813_fr_FR.exe.part a été supprimé sans problème.


J'ai donc scanné le disque dur, l'antivirus n'a rien trouvé.

Je voulais savoir si vous aviez rencontré ce problème.
- Est-ce un faux positif ? (surprenant de voir un programme Adobe infecté par un ver)
- Comment savoir si l'infection s'est propagée ?
- Du coup je me demande si je n'ai pas installé, au moment de la mise à jour automatique via l'outil d'Adobe, le malware sans m'en rendre compte Que dois-je faire ?

merci de vos éclaircissements

[rlgrand]

Bonsoir, Auteur

C'est vrai que c'est surprenant de voir une archive d'Adobe infectée.
Une info :
http://www.developpez.com

Si Antivir a supprimé l'archive avant utilisation, il y a très peu de chances que ton PC ait été touché. En le relançant, il n'a rien trouvé.

Par sécurité, fais un scan en ligne avec Kaspersky qui connait également ce virus.

Tu peux poster un rapport Hijackthis pour vérifiaction.

Salut.

[Auteur]

D'après le lien que tu as posté, il vaut mieux télécharger la version 9

Voici un rapport HiJackThis réalisé en mode sans échec (j'ai renommé le programme en dvp_.exe) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:09, on 10/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Users\MON_NOM\Desktop\HiJackThis\dvp_.exe
C:\Windows\system32\wbem\unsecapp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

Pour l'occasion j'ai fait un scan avec SpyBot qui n'a rien détecté.

Si Antivir a supprimé l'archive avant utilisation, il y a très peu de chances que ton PC ait été touché. En le relançant, il n'a rien trouvé.

Certes, mais j'ai mis à jour Adobe Reader via l'outil de mise à jour de Adobe Reader et là Antivir n'a rien détecté. C'est ce qui m'embête car si Antivir a détecté un malware lors de la tentative de téléchargement du programme en passant par le site, il aurait dû aussi détecter le malware lors de la mise à jour d'Adobe Reader, non ?

[rlgrand]

dans l'article, ils préconisaient la mise à jour, aucun antivirus n'avait intégré la menace.

A ce jour, aucun antivirus n'a ajouté de signature correspondant à cette attaque dans sa base de données. Pour se prémunir, il n'y a que deux solutions : passer à Reader 9 ou patcher d'urgence Reader 8. En tous cas, d'ici là, mieux vaut ne pas ouvrir de PDF suspects...

Antivir l'a depuis intégré à ces alertes et a détecté l'archive.
L'article date du 10/11.
Cet antivirus est reconnu pour sa réactivité justement.
La mise dans ce cas est inutile ( bien que autant passer à la version 9 et désinstaller ta version actuelle )

Une remarque ou deux en passant.

pour Hijackthis, pas de scan en mode sans échec ( les processus sont lancés de façon minimaliste ) et ne pas l'installer sur le bureau ( pour des restores éventuels ).

Le rapport est propre.

Au lieu d'utiliser Sybot, scanne avec malwarebytes.

A+

[Auteur]

Antivir l'a depuis intégré à ces alertes et a détecté l'archive.
L'article date du 10/11.
Cet antivirus est reconnu pour sa réactivité justement.

C'est pour ça que j'aime bien cet Anitivirus Il réagit très vite, et les mises à jour sont quotidiennes.

Une remarque ou deux en passant.

pour Hijackthis, pas de scan en mode sans échec ( les processus sont lancés de façon minimaliste ) et ne pas l'installer sur le bureau ( pour des restores éventuels ).

ah je croyais qu'au contraire il valait mieux le lancer en mode sans échec : dans beaucoup de discussions, j'ai remarqué qu'il fallait parfois renommer le programme et le lancer en mode sans échec pour déceler un malware.

Au lieu d'utiliser Sybot, scanne avec malwarebytes.

Pas confiance en Spybot ?
Pour malwarebytes voici le log :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1382
Windows 6.0.6001 Service Pack 1

11/11/2008 15:03:31
mbam-log-2008-11-11 (15-03-31).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 123173
Temps écoulé: 41 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Donc visiblement tout est propre

[rlgrand]

Il faut renommer Hijackthis lorsque tu soupçonnes une infection par un trojan Vundo. ceci peut faire apparaitre certaines lignes dans le rapport Hijackthis ( O2 et O20 pour le vundo ).
Sinon, cela ne montre rien de plus.

Pas confiance en Spybot ?

Non, pour détecter des infections, je n'y crois pas trop.

Tu pourras faire un scan en ligne pour vérifier.

Salut.

[Auteur]

Tu pourras faire un scan en ligne pour vérifier.

le scan en ligne de Kaspersky ne fonctionne pas encore pour Vista

[rlgrand]

Oui, c'est vrai. Celui de Panda est compatible.

salut

[Auteur]

Rien n'a été décelé
Donc a priori tout va bien

Mais quand même, j'aimerai bien avoir une réponse à la question que j'ai posé précédemment :

- J'ai mis à jour Adobe Reader via l'outil de mise à jour de Adobe Reader et là Antivir n'a rien détecté.
- Si Antivir a détecté un malware lors de la tentative de téléchargement du programme en passant par le site, il aurait dû aussi détecter le malware lors de la mise à jour d'Adobe Reader, non ?

[adounanila]

Bonsoir à tous,

Quelques précisions concernant ce cas me semble approprié pour éclairer un peu les esprits.

1 Adobe ici n'est en aucun cas infecté
2 cette infection détection concerne encore moins la news donnée car celle ci fait reference à l'exploitation de plus en plus présente de fichier PDF qui exploite certaines failles dans adobe pour infecter une machine. (ce qui n'a rien à voir avec une version d'adobe infectée)

La détection d'antivir ici n'est qu'une détection heuristic (générique) du simple fait du packers utilisé. En clair c'est un fichier reconnu potentiellement malicieux à cause du programme ayant servit à sa conception et plus particulièrement à sa compression.

Certains langages de programmations sont très facilement assimilible et très souvent utilisé par des auteurs de malware et donc beaucoup d'antivirus "tique" dès qu'il détecte un fichier, quelque soit son contenu, coder avec. (VBS, Autoit etc.. par exemple)
En plus des langages peut aussi être détecté le packer (programme servant à compresser un executable tout en le laissant executable ... Ces packers permettent souvent de palier à certains langages de programmation plus volumineux que d'autres (Delphi .) et en réduire la taille du fichier final le rendant ainsi plus facilement transportable ou diffusable. certains sont beaucoup pkus employé par les malware que d'autre ce qui en fait une cible heuristic de choix pour les AV.


Antivir est à juste titre un excellent AV surplentant le monde des AV gratuits bien qu'ayant quelques lacunes (scan mail) cela dit son moteur de recherche basé sur l'heuristic est très performant car agressif ayant pour contre effet un taux de faux positif relativement important ce qui est le cas ici.

Cela dit Antivir reste à conseiller à la pluspart des utilisateurs d'ordinateur car il est sans doute possible au top des détections y compris les plus récentes.

voila pour mon interprétation.

[Auteur]

Donc si j'ai bien compris ce n'est pas le contenu de l'archive (Adobe Reader) qui est en cause mais le programme qui a créé cette archive (et qui visiblement y a laissé une trace) ainsi que le code qui sert à décompresser cette archive.

L'antivirus a donc considéré ces traces suspectes. C'est bon à savoir

C'est vrai qu'Antivir réagit vite. Là, j'avais à peine téléchargé 2 ou 3% de l'archive qu'il a tout arrêté. Il faut avouer que ça surprend