Discussion :

[loufab]

Je suis passé au travers au boulot (5959 directe)
Et chez moi pas concerné puisque je suis équipé de MSE http://www.microsoft.com/security_essentials/ et j'en ai pleine satisfaction !

[Latinus]

Bonjour,

Je travaille dans un établissement dont le parc a été touché à hauteur d'une centaine de machines.

Sans rentrer dans les détails techniques de résolution (ce sujet n'étant pas destiné à cela), je voudrais apporter ma réponse.


Il faut distinguer plusieurs cas de figure (et donc nuancer le "buzz") :

1 - postes dont mcafee a réellement réussi à supprimer svchost
1.a - svchost en quarantaine (en entreprise, la quarantaine, c'est juste indispensable)
1.b - svchost dégagé

2 - postes dont mcafee tente, sans y parvenir, à supprimer svchost

3 - "auto" réparation.

--

1.b) est le cas le plus lourd puisqu'il faut ré-importer svchost dans le système.

1.a) est embêtant car la machine n'est plus accessible à distance

2) est une formalité "quasi" automatisable (dépend si vous autorisez, ou non, l'arrêt des services mcafee sans au préalable déverrouiller l'interface via la console sur le poste client)

3) Lorsque nous avons réalisé qu'il s'agissait d'un faux positif ; un rollback vers la signature 5957.0000 a été imposé dans ePO et nous avons défini une tâche avec exécution immédiate forçant la mise à jour des DAT. De ce fait, même si les postes redémarraient en boucle, certains ont pu observer cette instruction et changer de signature (la condition étant qu'il n'y ait pas eu de suppression de svchost)


Cela étant, une demi-heure, ça me parait un brin exagéré (j'ai eu du 15 minutes sur une des machines dites "lentes") ; c'est plus long de rédiger la procédure à l'intention des intervenants que de "réparer" un poste.

Évidemment, pour les parcs très étalés géographiquement, c'est une autre histoire... mais je n'imagine pas, dans ce cas, que les personnes en charge des outils de sécurité laissent s'appliquer leurs mises à jour sans les passer au préalable en "évaluation" (notion complètement supportée, et recommandée, par mcafee).

Cordialement,
Lat

[rt15]

Je suis toujours surpris pas les personnes qui affirment : "je n'ai pas d'anti virus, j'installe que des trucs clean"... Depuis quand un virus se présente et demande à l'utilisateur de l'installer? Et je parle même pas des chevaux de troy dont le but et de cacher leur présence à l'utilisateur.

Bin en fait, quand on en fait, on sait comment ça marche et on comprend que c'est pas si dangereux !

Nan je déconne, je n'en ai jamais vraiment fait... Mais disons que je me suis bien renseigner sur le sujet.

Pour infecter un ordinateur qui n'a jamais été infecté (Donc sans cheval de Troie), il faut s'arranger pour qu'il exécute un bout de code. Il faut donc que le PC distant récupère ce bout de code sur le réseau et l'exécute. Une fois que le code est exécuter, le virus peut se patcher dans un fichier exécutable, s'injecter dans le code d'un processus ou même dans le noyaux. Il peut ensuite ouvrir un port, mettre en place un keylogger ou faire des impression d'écrans... Et surtout afficher de la pub pour les casinos et les médocs ! Mais avant tout, il faut qu'un bout de code soit récupéré et exécuté.

Pour ce qui est de la récupération, différentes possibilités : Fichier joint dans un mail, fichier téléchargé sur internet, paquets directement envoyés sur un port ouvert, fichier sur clef usb, code caché dans un programme en libre téléchargement (Patch pour un jeu, keygen...), ActiveX, personne utilisant un PC sans en avoir l'autorisation...

Toutes les possibilités précédemment citées (Sauf "paquets directement envoyé sur un port ouvert" et "personne utilisant un PC sans en avoir l'autorisation"), nécessitent une intervention de l'utilisateur assis devant le PC. Donc la première chose à faire est de se méfier de tout fichier venant de l'extérieur.

Mais ce n'est pas le tout de récupérer le bout de code déclencheur. S'il n'est pas exécuter, il est inoffensif. Comment peut il être exécuté ? Eh bien le fichier peut être un .exe, un .vbs (Comme "I love you"), un .com, un .bat, des macros dans un .doc ou autre... Dans le cas d'un ActiveX (.ocx, .dll), il est directement exécuté quand l'utilisateur a donné son accord au navigateur.

Bref, il faut généralement deux actions consécutives de l'utilisateur du PC. Si celui-ci a un peu de bon sens, il va flairer le danger et ne pas se laisser arnaquer. Ce qui arrive malheureusement, et avec ou sans anti-virus...

J'ai décrit précédemment les cas les plus courants de tentative d'infection, qui représente la vaste majorité des attaques, y comprit un certain nombre qui ont fini avec pas mal d'années de prisons.

Maintenant je vais quand même dire deux mots concernant les attaques un peu plus poussées, à base d'attaque de ports ouvert ou d'envoi de fichier non exécutable.

Il arrive en effet que des logiciels soient mal codés. Si ces logiciels sont chargés de lire des documents (.pdf, .jpg, .html...) ou de dialoguer avec le réseau (Genre serveur FTP, telnet, ssh...), ça peut être un très grand danger.

Ces logiciels peuvent en effet présenter une faille (La plus connu et la plus simple est la faille de type stack buffer overflow). On peut trouver ce type de faille soit par force brut (On envoie tout un tas de document ou de paquets mal formés à un logiciel jusqu'à ce qu'il plante. S'il plante, c'est qu'il y a potentiellement une faille), soit en désassemblant le logiciel.

Une fois la faille analysée, le pirate peut générer un document (Ou un paquet dans le cas d'une appli réseaux) mal formé d'une manière très précise afin que quand il sera lu par le logiciel buggué, un bout de code inclus dans le document soit exécuté. Sans rentrer dans les détails, on détourne le thread qui est en train de lire le document pour qu'il exécute une portion de code que l'on a claqué dans ce même document.

Par exemple, le programme anodin suivant est vulnérable à une de type buffer overflow :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#include <stdio.h>

int main(int argc, char** argv)
{
  char lpBuffer[500];
  FILE* lpFile;

  if (argc == 2)
  {
    lpFile = fopen(argv[1], "r");
    if (lpFile)
    {
      fscanf(lpFile, "%s", lpBuffer);
      fclose(lpFile);
      puts(lpBuffer);
    }
    else
    {
      printf("Le fichier %s est introuvable\n", argv[1]);
    }
  }
  else
  {
    puts("Ce programme prend un nom de fichier en argument");
  }

  return 0;
}

Avec le "bon" fichier en entrée, on peut faire exécuter n'importe quoi à ce programme anodin.

Mais l'exploitation de ce type de faille est quand même très rare, et il faut avoir la malchance d'utiliser un logiciel ayant la faille sur un document de provenance particulièrement douteuse.

Bref, le remède d'avoir un anti-virus est à mon avis pire que le mal (La seule infection que j'ai eu, je l'ai eu alors que j'avais un anti-virus et que je me suis senti en sécurité donc j'ai fait le boulet...).

[dams78]

Un seul contre exemple : blaster.

[covao]

Combien se chiffre les dégâts ? Qui paiera cette... bourde sans nom ?

[dvdbly]

[...]

Bref, le remède d'avoir un anti-virus est à mon avis pire que le mal (La seule infection que j'ai eu, je l'ai eu alors que j'avais un anti-virus et que je me suis senti en sécurité donc j'ai fait le boulet...).

Moi, le seul virus que j'ai eu (avant de mettre un anti-virus sur mon portable), c'est en me connectant à Free (visiblement, je n'ai rien compris), à partir de ma location en vacances... Ça n'a pas traîner : moins de 24h de navigation (sage, la navigation) et hop !

Mon portable ne s'en toujours pas remis complètement alors que ça s'est passé l'été dernier.

Alors, ma foi...

[l.zehnder]

Pour la version Asap.

Il suffit de démarrer en mode sans échec, de lancer un cmd pour copier les 3 fichiers .Dat de la mise à jour et le svchost.exe avec une clef usb.

C'est pas génial comme bug, mais on a vu pire si on à pas trop de postes à faire.

[Perplexe]

Rappelons que le problème viens de McAfee, et non de windows alors cessons immédiatement cet amalgame plus que stupide et ridicule. Le problème vient une nouvelle fois d'une application tierce et non de l'OS que vous aimez tant critiquer .

Et franchement, je ne comprends pas l'engouement des entreprises pour McAfee, c'est lourd, c'est pas ergonomique, c'est une vrai passoire, c'est cher, ça plante super souvent.. bref, une vrai daube en boîte.. et qui se vend.. comme quoi ça rejoint ce que je dis, plus c'est mauvais, mieux ça se vend (et pour les fan, cf windows )

Je ne suis qu'à moitié d'accord avec ton post.

Si la relation est immédiatement faite entre les virus et Windows, c'est quand même parce que cet OS a longtemps été particulièrement mal protégé nativement contre les virus.

A mon avis, ce que Microsoft paye, c'est d'avoir un parc installé gigantesque et depuis trop longtemps d'une part, mais aussi d'avoir conçu au départ son OS sans aucune considération pour les problèmes de sécurité (cf les premiers Windows) alors même que la notion de gestion des droits utilisateurs existait depuis des lustres sous Unix et bien d'autres.

Ils ne s'en sont occupés que très tardivement.

Par contre, sur les antivirus, je plussoie à mort. Il n'y a pas que Mc Afee qui soit lourd et pénible, si tu regardes les solutions 'familiales', certains fonctionnements relèvent du pur scandale. Je pense à Norton par exemple. C'est une horreur matinée d'absolutisme.

Là où je suis très positif à propos de MS (et c'est rare), c'est sur son antivirus maison. Je l'utilise sur mes PC et franchement, c'est très suffisant et en plus léger.

Les antivirus sont une anomalie marketing : si les choses étaient bien faites, ils n'existeraient pas. C'est comme si quand j'achète un vélo, je dois rajouter un sur-pneu parce que les pneus vendus par les constructeurs sont tellement fins qu'ils crèvent tous les 100m.

[Psychopathe]

Mais mort de rire quoi!!! J'ai toujours trouvé que Mc "Cafee" était un Norton en pire, mais alors là... Le problème est que ce logiciel est proposé parfois d'office aux utilisateurs de Windows à l'instar de Norton...

Franchement comment une telle chose est possible? C'est comme si l'anti-virus supprimait un fichier indispensable à sa propre utilisation!!! Cela suppose que Mc analyse tous les fichiers même les plus connus!!! En gros une vraie perte de temps quoi... Ce qui est d'autant plus scandaleux est que tu paies pour ne pas voir ta machine planter et que même quand tu ne fais rien de spécial, ben tu peux avoir des problèmes!!! Autant les problèmes avec des gratuits (AVG?), ça peut aller encore. Mais à partir du moment où tu paies, je genre de problème ne doit pas exister.
Je pense que cet incident aura deux effets notoires:
- Mc "Cafee" va perdre en part de marché et en notoriété (ben ouais quand tu as ce genre de soucis ben tu vas voir ailleurs en général...)
- Les autres éditeurs vont eux aussi renforcer leurs processus de contrôle interne pour éviter ce genre de mésaventures. Mon anti-virus actuel (que je paie), à mis en exclusion d'analyse svchost.exe depuis longtemps...

[OWickerman]

Combien se chiffre les dégâts ? Qui paiera cette... bourde sans nom ?

On la fera payer par les contribuables, que les actionnaires ne s'inquiètent pas.

[Chuck_Norris]

On la fera payer par les contribuables, que les actionnaires ne s'inquiètent pas.

Faudrait peut-être pas exagérer non. Je ne vois pas en quoi les contribuables français devraient payer pour une bourde venant d'un logiciel payant américain pour sécuriser un système d'exploitation payant américain.

[skaloup]

Ce faux positif visait quand même un vrai virus non?.
Le virus en question aurait-il pu volontairement avoir le même hash que svchost .exe ?

[Bryce de Mouriès]

Je suis bien content que ma version de McAfee ait expiré juste avant ce patch

[Gordon Fowler]

Les requêtes sur le faux-positif de McAfee utilisées pour diffuser des malwares
D'après un concurrent de McAfee, des hackers insèreraient des liens malicieux dans le référencement de Google


Le faux-positif de McAfee - qui a bloqué des milliers de PC suite à une mauvaise mise à jour (lire ci-avant) - aurait donné des idées aux hackers.

Un des concurrents de McAfee, Sophos, affirme que des cybercriminels utiliseraient leurs connaissances des techniques de référencement de Google pour exploiter cette affaire et propager leurs propres malwares.

Le principe est simple.

Un utilisateur affecté par le faux-positif ira chercher un début de réponse sur Google. Dans les premiers résultats, les hackers en question ont réussi à faire figurer leurs pages... qui dirigent, bien évidemment, vers des sites malicieux.

Une fois sur ces pages, les cybercriminels utilisent alors la technique dite du scareware (lire par ailleurs) pour pousser les internautes les plus crédules à télécharger un faux antivirus et à donner dans l'urgence leur numéro de carte bleue.

Sophos reconnaît néanmoins que McAfee n'est pas le seul à être visé par cette forme particulièrement malveillante de « Google Bombing ». Le simple fait de se retrouver dans la lumière de l'actualité suffirait à être exposé à ce genre de désagréments.


En gris les sites recensés par Sophos comme étant malicieux

Sophos ne dit pas en revanche si la menace a véritablement fonctionné sur les experts IT des entreprises (les principales touchées), normalement les plus avisés.

Ou si cette mise en garde n'est pas (surtout) un bon coup de pub pour ses solutions.

Source : Le Communiqué de Sophos


Et vous ?

Alors ? Vraie menace ou simple coup de pub pour Sophos ?

[dams78]

Le forfait McAfee ne comprend même pas de hot line?
Parce que bon la première chose que je ferai avant de donner mon numéro de carte bleu ça serait de leur téléphoner...

[Latinus]

Mais mort de rire quoi!!! J'ai toujours trouvé que Mc "Cafee" était un Norton en pire, mais alors là... Le problème est que ce logiciel est proposé parfois d'office aux utilisateurs de Windows à l'instar de Norton...

L'histoire informatique a compté d'autres cas avant celui-ci, l'erreur est humaine et les logiciels ne sont pas développés sous atmosphère martienne.

Là où je travaille, nous devons gérer (merci le superbe fonctionnement des marchés ministériels) ET norton ET mcafee... force est de constater que norton (SAVCE 10.1.7 et 10.1.5) est complètement aveugle (+/- 15 alertes/jour sur ePo ... pas la moindre sur SCC en 1 mois, bref.) et fonctionne au défi du bon sens... et je ne parlerai pas de la pachydermique console serveur qui se fait un plaisir à mettre l'hôte à genoux.

Franchement comment une telle chose est possible? C'est comme si l'anti-virus supprimait un fichier indispensable à sa propre utilisation!!! Cela suppose que Mc analyse tous les fichiers même les plus connus!!! En gros une vraie perte de temps quoi...

Donc un fichier connu est obligatoirement sain et à l'abri de toute menace ? C'est justement tout le contraire.
Pour info ou rappel, le vrai "wecorl" pourrissait vraiment svchost.exe

Ce qui est d'autant plus scandaleux est que tu paies pour ne pas voir ta machine planter et que même quand tu ne fais rien de spécial, ben tu peux avoir des problèmes!!! Autant les problèmes avec des gratuits (AVG?), ça peut aller encore. Mais à partir du moment où tu paies, je genre de problème ne doit pas exister.

Donc l'erreur viendrait d'un gratuit, ça serait plus acceptable...
Le gratuit c'est bien beau (mais autant préférer MSE pour le privé), mais inadapté grands parcs.

Je pense que cet incident aura deux effets notoires:
- Mc "Cafee" va perdre en part de marché et en notoriété (ben ouais quand tu as ce genre de soucis ben tu vas voir ailleurs en général...)
- Les autres éditeurs vont eux aussi renforcer leurs processus de contrôle interne pour éviter ce genre de mésaventures.

Mcafee n'a pas vraiment de souci a se faire ; les "grands clients" ne bougeront pas (ils ont autre chose à faire et ont des ptits gniafrons à disposition pour réparer d'éventuels dégâts) [edit]mal lu, suppression[/edit]

Mon anti-virus actuel (que je paie), à mis en exclusion d'analyse svchost.exe depuis longtemps...

Tout va bien donc
/me attend de voir venir la prochaine menace qui va justement aller faire coucou à svchost pour de vrai ^^

[Gordon Fowler]

McAfee propose un remboursement « raisonnable » aux particulier
Victimes de sa bourde et deux ans de mises à jour à ses clients fidèles


Après sa bourde (lire ci-avant), McAfee s'engage à couvrir les frais de réparation des PC impactés par son faux-positifs. Les PC des particuliers, s'entend.

Une catégorie de clients qui a, en plus, été la plus exposée à un « Google Bombing » particulièrement malveillant suite à la médiatisation de l'affaire (lire ci-avant).

Les modalités pour le remboursement des « dépenses raisonnables » (sic) restent encore à fixer.

Par ailleurs, McAfee offre une extension de deux ans de leurs contrats de mise à jour aux clients touchés. Ceux qui ont décidé de changer de prestataire auraient certainement préféré un dédommagement plutôt qu'un nouvel engagement.

Mais on comprend qu'en cette période troublée, McAfee fasse tout son possible pour garder ses clients.

Pas sûr en revanche que son image en sorte indemne, même si – et vous avez été plusieurs à le noter – ce genre de mésaventure peut arriver à de nombreuses sociétés.


Le faux-positif de McAfee : affaire banale ou pas ?


Source : Annonce de remboursement de McAfee

[Lyche]

C'est pas vraiment banale comme affaire, ça montre quand même quelques lacunes

1 - Windows est encore bien trop sensible aux virus
2 - A force de vouloir engranger plus d'argent, les éditeurs de logiciels oublient un grand nombre de règles de recettes pré-prod. Il y a clairement eu un manque dans les différents testes internes à McAfee et pour une telle entreprise, c'est inadmissible.
3 - Les services informatiques des entreprises touchées ne sont pas non plus innocents.. à toujours vouloir appliquer la dernière mise à jour de sécurité sans faire des essais au préalable sur la viabilité de cette application sur le système de l'entreprise ils ont pris le risque, avéré cette fois, d'avoir fait le mauvais choix. Là où je travail, on est encore à McAfee 8.5.0i et on a pas eu le problème. Le Service info ne fait pas de mises à jours dans les avoir testé durant plusieurs jours.
4 - On voit la pingrerie de certains qui n'hésitent pas à faire du "google bombing" afin de piéger les utilisateurs non avertis.. et je trouve ça vraiment dégueulasse..

[simonlourson]

Mon anti-virus actuel (que je paie), à mis en exclusion d'analyse svchost.exe depuis longtemps...

Ça a déjà été dit mais ça mérite d'être répété, tu feras moins le malin quand un vers infectera ton fichier svchost...

Si tu payes pour un anti virus qui met en exception automatiquement certains éxecutables de ton OS, excuses moi mais tu te fais enfler profond...

D'autant que svchost peut servir à éxecuter des dll malicieuses.

[Invité]

Par ailleurs, McAfee offre une extension de deux ans de leurs contrats de mise à jour aux clients touchés. Ceux qui ont décidé de changer de prestataire auraient certainement préféré un dédommagement plutôt qu'un nouvel engagement.

Mais on comprend qu'en cette période troublée, McAfee fasse tout son possible pour garder ses clients.

Donc on considère que le client a tout oublié entre 6mois et 1an (et demi)