Hello,
J'ai soumis un fichier (patch...) à Virscan.org, Virustotal et Virusscan.Jotti. Ils me restituent des résultats qui ne se recoupent pas nécessairement (déjà bizarre en soit) et le pourcentage de logiciels trouvant le fichier suspect varie de 38% à 50% (le nombre de logiciels varie d'un site à l'autre).
Virscan http://r.virscan.org/report/5e318d4f1dc ... d485e841f2
VirusTotal https://www.virustotal.com/fr/file/5f1e ... 421922089/
Jotti http://virusscan.jotti.org/fr/scanresul ... a0001cba33
Ma question est, avec ces éléments, quelle décision prendriez-vous ? Utilisation du patch ? Poubelle immédiatement ? Pourquoi ce choix ?
Merci !
[VIRUS] Aide à la décision
-
Auteur du sujetAzamat - VIP
- Messages : 1370
- Enregistré le : il y a 15 ans
- Localisation : Toujours plus à l'ouest...
-
Claudius
Salut Azamat
Moi perso j'utilise quand meme ce patch -> réponse habituelle -> faux positif (?) et comme ils ne sont pas d'accord (sauf deux) dans le doute Fonce !!!
Je suppose que tu n'a pas d'AV pour les scanner en ligne ? Moi dès que le mien gueule un peu quand je teste ce genre de fichier je le désactive !!!
Mais je suppute que tu fait ces scans en ligne avant de proposer un Up sur un Forum ?
Claudius
Moi perso j'utilise quand meme ce patch -> réponse habituelle -> faux positif (?) et comme ils ne sont pas d'accord (sauf deux) dans le doute Fonce !!!
Je suppose que tu n'a pas d'AV pour les scanner en ligne ? Moi dès que le mien gueule un peu quand je teste ce genre de fichier je le désactive !!!
Mais je suppute que tu fait ces scans en ligne avant de proposer un Up sur un Forum ?
Claudius
-
Sora - Habitué
- Messages : 229
- Enregistré le : il y a 15 ans
Utilisation sous machine virtuel ou sandbox comodo ou alors le PC de test. 
Quand c'est un fichier frais en général je préfère attendre que les antivirus se mettent à jour pour être moins parano.
Quand c'est un fichier frais en général je préfère attendre que les antivirus se mettent à jour pour être moins parano.
-
Auteur du sujetAzamat
- VIP
- Messages : 1370
- Enregistré le : il y a 15 ans
- Localisation : Toujours plus à l'ouest...
@ Claudius : Oui... et non 
En fait, c'est pour un besoin personnel immédiat !
Sur mon PC, Avast Free et MBAM Pro ne gueulent pas (alors que MBAM sur Virustotal détecte "PUP.Riskware.Patcher "). D'un autre côté, Kaspersky ne dit rien et j'aurai tendance a trouvé cela rassurant.
Le logiciel demande une clé vérifiée sur un serveur d'activation. J'aurai bien aimé trouver une clé mais je n'y parviens pas. J'aurai bien essayé en bloquant le prog avec mon parefeu. J'ai trouvé une version portable entre temps. Ce qui me chagrine, c'est que tout cela provient de sources dont j'ignore la fiabilité.
Bah, j'attends encore quelques réactions. La version free de ce programme est déjà pas mal du tout. Je peux patienter donc.
Merci pour ton avis.
NB : Haaa, l'époque où LaDidi21 nous faisait du reverse engineering...
@ Sora : tu n'as pas tort, le fichier est frais, la V5 de ce logiciel étant récente. J'utilise Sandboxie mais, sur le patch... ça ne me dit forcement rien puisque je ne peux pas vraiment l'exécuter. Je verrai pour "le PC de test"... ne l'ayant pas sous la main à cette heure.
En fait, c'est pour un besoin personnel immédiat !
Sur mon PC, Avast Free et MBAM Pro ne gueulent pas (alors que MBAM sur Virustotal détecte "PUP.Riskware.Patcher "). D'un autre côté, Kaspersky ne dit rien et j'aurai tendance a trouvé cela rassurant.
Le logiciel demande une clé vérifiée sur un serveur d'activation. J'aurai bien aimé trouver une clé mais je n'y parviens pas. J'aurai bien essayé en bloquant le prog avec mon parefeu. J'ai trouvé une version portable entre temps. Ce qui me chagrine, c'est que tout cela provient de sources dont j'ignore la fiabilité.
Bah, j'attends encore quelques réactions. La version free de ce programme est déjà pas mal du tout. Je peux patienter donc.
Merci pour ton avis.
NB : Haaa, l'époque où LaDidi21 nous faisait du reverse engineering...
@ Sora : tu n'as pas tort, le fichier est frais, la V5 de ce logiciel étant récente. J'utilise Sandboxie mais, sur le patch... ça ne me dit forcement rien puisque je ne peux pas vraiment l'exécuter. Je verrai pour "le PC de test"... ne l'ayant pas sous la main à cette heure.
-
Stiouf - Modérateur
- Messages : 2902
- Enregistré le : il y a 12 ans
Si tu es sur de l'endroit ou tu l'as pris, normalement pas de soucis et MPT est une team connue, d'ailleurs me semble que quelqu'un d'ici les connait bien ou beaucoup de faux-positif sur les patch.
Au cas ou, sur un site sûr, je l'ai pris et si tu as le même hash, tu peux y aller
MD5: A9CF878ACFCBD64597A51D17C57CA190
SHA-1: FD02FA112B9D0FA4B1360D6B87290B64C94E8FDA
Je viens de voir sur tes sites que les hash correspondaient donc no soucy !
Au cas ou, sur un site sûr, je l'ai pris et si tu as le même hash, tu peux y aller
MD5: A9CF878ACFCBD64597A51D17C57CA190
SHA-1: FD02FA112B9D0FA4B1360D6B87290B64C94E8FDA
Je viens de voir sur tes sites que les hash correspondaient donc no soucy !
-
LaDidi21 - Modérateur
- Messages : 13112
- Enregistré le : il y a 15 ans
@Azamat:
Bonsoir,
Sur le site offciel, MD5(Active.Presenter.Professional.5.0.Patch-MPT.zip)=4f140ff8f44d3471667d63700818e6a6
Je ne suis pas (encore) mort...
Si c'est MPT c'est surement du .NET...
et non !
C'est sain.
Pour les curieux :
En clair,
@+
Bonsoir,
Sur le site offciel, MD5(Active.Presenter.Professional.5.0.Patch-MPT.zip)=4f140ff8f44d3471667d63700818e6a6
Je ne suis pas (encore) mort...
Si c'est MPT c'est surement du .NET...
et non !
C'est sain.
Pour les curieux :
Code : Tout sélectionner
$+C > 00000004 \Protect = PAGE_READWRITE
0040109B E8 D8000000 call <jmp.&kernel32.VirtualAlloc>
=> EAX=eax=00850000
...
$ ==> > 00850000 |Destination = 00850000 // mémoire allouée
$+4 > 0040B768 |Source = active_p.0040B768 // @ resource "DLL"
$+8 > 0009DE00 \Length = 9DE00 (646656.)
004010A9 E8 BE000000 call <jmp.&kernel32.RtlMoveMemory>
...
0018FB60 00850000
0018FB64 0009DE00
0018FB68 DEADBEEF // pour XOR (ror à chaque octet)
004010BC E8 3FFFFFFF call <_decrypte_mais_on_s'en_fout>
00850000 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ.......ÿÿ..
00850010 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ¸.......@.......
00850020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00850030 00 00 00 00 00 00 00 00 00 00 00 00 F8 00 00 00 ............ø...
00850040 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 º.´.Í!¸LÍ!Th
00850050 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno
00850060 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS
00850070 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$.......
...
// c'est une DLL packée avec PECompact v2.0
// CompanyName = "MPT34M", FileDescription="cr4cking th3 cod3 4 fun!", LegalCopyright="© MPT", ...
...
$ ==> > 0018FB78 ASCII "C:\Users\Nous\AppData\Local\Temp\\dup2patcher.dll"
$+4 > 00850000 // vmem
$+8 > 0009DE00 // size
004010F6 E8 89000000 call <dump_vmem_dans_dup2patcher.dll>
...
$ ==> > 0018FB78 \FileName = "C:\Users\Nous\AppData\Local\Temp\\dup2patcher.dll"
00401102 E8 59000000 call <jmp.&kernel32.LoadLibraryA>
=> EAX 568E0000 dup2patc.568E0000
...
$ ==> > 568E0000 |hModule = 568E0000 (dup2patc)
$+4 > 00403015 \ProcNameOrOrdinal = "load_patcher"
00401113 E8 3C000000 call <jmp.&kernel32.GetProcAddress>
00401118 0BC0 or eax, eax ; $ ==> > 568E0000 |hModule = 568E0000 (dup2patc)
...
0040111C FFD0 call eax ; dup2patc.load_patcher
...
00401134 C3 retn
La DLL contient une resource RCData\5 // "BASSMOD" pour la zik
La DLL contient une resource RCData"7CEB9B2A0E395BD64E74381485A106AF" // checkwindowsversion_patcherdll.dll qui exporte PLUGIN_Action() qui détecte la l'OS
- l'exe génère, à la volée, une DLL dup2patcher.dll "PEcompactée"
- appelle load_patcher() pour patcher
@+
-> Décryptage des liens du forum : extension "ThiWeb Crypt / Decrypt"™ ou Thiweb Live <-
-
Auteur du sujetAzamat
- VIP
- Messages : 1370
- Enregistré le : il y a 15 ans
- Localisation : Toujours plus à l'ouest...
@ Stiouf : même hash donc c'est bon ! Merci !
@LaDidi21 : j'espérai bien que tu ne sois pas mort ! :lol:
Petite question : 4f140ff8f44d3471667d63700818e6a6, ça correspond à quoi ? Une valeur de hash ? je ne l'ai pas dans HashTab (excellent utilitaire !)
Merci pour ton intervention !
@ Thiweb : concentrer dans un seul topic, des interventions comme celles d'un Stiouf et d'un LaDidi21, contribue à l'immense valeur ajoutée d'être membre de ce forum. Et, en plus, ça fait plaisir ! :lol:
@LaDidi21 : j'espérai bien que tu ne sois pas mort ! :lol:
Petite question : 4f140ff8f44d3471667d63700818e6a6, ça correspond à quoi ? Une valeur de hash ? je ne l'ai pas dans HashTab (excellent utilitaire !)
Merci pour ton intervention !
@ Thiweb : concentrer dans un seul topic, des interventions comme celles d'un Stiouf et d'un LaDidi21, contribue à l'immense valeur ajoutée d'être membre de ce forum. Et, en plus, ça fait plaisir ! :lol:
-
ThiWeb - Administrateur
- Messages : 9797
- Enregistré le : il y a 15 ans
- Localisation : On earth
- Contact :
+10 !!Azamat a écrit :@ Thiweb : concentrer dans un seul topic, des interventions comme celles d'un Stiouf et d'un LaDidi21, contribue à l'immense valeur ajoutée d'être membre de ce forum. Et, en plus, ça fait plaisir ! :lol:
Ce sont des personnes de grande qualité qui par leur contribution font rayonner cette espace.
ThiWeb
-
Auteur du sujetAzamat
- VIP
- Messages : 1370
- Enregistré le : il y a 15 ans
- Localisation : Toujours plus à l'ouest...
LaDidi21 a écrit : Sur le site offciel, MD5(Active.Presenter.Professional.5.0.Patch-MPT.zip)=4f140ff8f44d3471667d63700818e6a6
J'ai posé une question bète... *) Du coup ce MD5 diffère de celui que Stiouf et moi retrouvons...Azamat a écrit :@LaDidi21 : j'espérai bien que tu ne sois pas mort ! :lol:
Petite question : 4f140ff8f44d3471667d63700818e6a6, ça correspond à quoi ? Une valeur de hash ? je ne l'ai pas dans HashTab (excellent utilitaire !)
Merci pour ton intervention !
[Edit] Gné, j'ai trouvé... *) C'est Ok... Je =>
-
LaDidi21
- Modérateur
- Messages : 13112
- Enregistré le : il y a 15 ans
@Azamat & @ThiWeb:
Vous allez me faire *)
@Azamat:
Si nécessaire : => http://distro.0777.ir/index.php?dir=MPT ... ch-MPT.zip
Tu peux aller sur le => forum MPT
Au cas où, => l'exe déjà cracké
Les modifs réalisés sur l'exe :soit
Vous allez me faire *)
@Azamat:
Si nécessaire : => http://distro.0777.ir/index.php?dir=MPT ... ch-MPT.zip
Tu peux aller sur le => forum MPT
Au cas où, => l'exe déjà cracké
Les modifs réalisés sur l'exe :
Code : Tout sélectionner
:\Program Files\ATOMI\ActivePresenter>fc /B "ActivePresenter (cracked).exe" "ActivePresenter (source).exe
omparaison des fichiers ActivePresenter (cracked).exe et ACTIVEPRESENTER (SOURCE).EXE
0395437: 33 23
0395438: C0 C8
039543A: C9 D2
03FE3D7: 33 23
03FE3D8: C0 C8
03FE3DA: C9 D2
0400443: B3 88
0400444: 01 5F
0400445: 90 30
0400450: 01 02Code : Tout sélectionner
00796030 8B4424 04 mov eax, dword ptr [esp+4] ; sub_796030
00796034 8B49 0C mov ecx, dword ptr [ecx+C]
*00796037 23C8 and ecx, eax
*00796039 33D2 xor edx, edx
*DEVIENT*
*00796037 33C0 xor eax, eax
*00796039 33C9 xor ecx, ecx
0079603B 3BC8 cmp ecx, eax
0079603D 0F94C2 sete dl
00796040 8AC2 mov al, dl
00796042 C2 0400 retn 4
007FEFD0 8B4424 04 mov eax, dword ptr [esp+4] ; sub_7fefd0
007FEFD4 8B49 58 mov ecx, dword ptr [ecx+58]
*007FEFD7 23C8 and ecx, eax
*007FEFD9 33D2 xor edx, edx
*DEVIENT*
*007FEFD7 33C0 xor eax, eax
*007FEFD9 33C9 xor ecx, ecx
007FEFDB 3BC8 cmp ecx, eax
007FEFDD 0F94C2 sete dl
007FEFE0 8AC2 mov al, dl
007FEFE2 C2 0400 retn 4
00800EC0 6A FF push -1 ; sub_80EC0
00800EC2 68 6E23AB00 push 00AB236E
...
*00801043 885F 30 mov byte ptr [edi+30], bl
* *DEVIENT*
*00801043 B3 01 mov bl, 1
*00801045 90 nop
00801046 68 2078B100 push 00B17820
0080104B 8D4E 28 lea ecx, dword ptr [esi+28]
*0080104E C706 02000000 mov dword ptr [esi], 2
*DEVIENT*
*0080104E C706 01000000 mov dword ptr [esi], 1
...
008010AE 81C4 00010000 add esp, 100
008010B4 C3 retn
-> Décryptage des liens du forum : extension "ThiWeb Crypt / Decrypt"™ ou Thiweb Live <-
-
Auteur du sujetAzamat
- VIP
- Messages : 1370
- Enregistré le : il y a 15 ans
- Localisation : Toujours plus à l'ouest...
Grand merci pour tout laDidi21 !
-
LaDidi21
- Modérateur
- Messages : 13112
- Enregistré le : il y a 15 ans
@Azamat:
:ugeek: J'ai appris le développement au travers du...
:ugeek: J'ai appris le développement au travers du...
- Cobol (et pas le Cobol 2
) - => Pascal UCSD
-> Décryptage des liens du forum : extension "ThiWeb Crypt / Decrypt"™ ou Thiweb Live <-
-
Auteur du sujetAzamat
- VIP
- Messages : 1370
- Enregistré le : il y a 15 ans
- Localisation : Toujours plus à l'ouest...
Et oui, moi aussi j'ai connu le Cobol ANS74 bien avant Cobol 2 J'ai à peine eu le temps de bouffer du PACBASE comme environnement de développement (que je trouvais indigeste... mais, quand on a été formé à tout faire à la mimine...). Je suis resté un dinosaure... ne devenant jamais un homo modernus informaticus Voila... STOP RUN. :lol:
J'ai à peine eu le temps de bouffer du PACBASE comme environnement de développement (que je trouvais indigeste... mais, quand on a été formé à tout faire à la mimine...). Je suis resté un dinosaure... ne devenant jamais un homo modernus informaticus Voila... STOP RUN. :lol:Qui est en ligne
Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 12 invités