Jump to content

(Résolu) cheval de Troie Trojan-Downloader.Win32.


Recommended Posts

bonsoir à tous,

au cours de l'analyse de mon système, Kaspersky V6 base à jours à 20h01 ce jour, découvre :

Infecté : cheval de Troie Trojan-Downloader.Win32.Small.dna d:\ubuntulivecd\ubuntu-6.06.1-desktop-i386.iso 697.8 Mo

qu'en pensez vous?

moi qui voulez tester, que dois-je en penser?

Merci pour vos lumières. :smack::mdr::yes:

Link to comment
Share on other sites

J'aurais tendance à dire que tous les systèmes du genre de MD5, SHA* on des collisions non? Normalemnet non prévisibles (bon OK MD5 plus vraiment :chinois: ). Mais ici je pense qu'il n'a à sa disposition que la somme MD5 de l'iso dispo sur le site, donc même s'il calculais la somme SHA je ne vois pas trop ce qu'il va en faire :transpi:

De plus je pense que MD5 est suffisant pour une vérification de modification dans un fichier si elles sont aléatoires (mauvais transfert en gros). Par contre contre une modification un peu moins aléatoire on va dire ( :transpi: ) là oui, il faut commencer à virer le MD5 qui a fait son temps je crois. :mdr:

Link to comment
Share on other sites

Oui, mais il faut beaucoup de calculs pour trouver une collision. Et trouver une colision avec d'autres données qui servent quand même à quelque chose (genre un virus par exemple) relève de l'exploit :chinois:

Et puis on ne choisit pas ce que les distributeurs donnent comme hash.

(Mais c'est vrai que MD5 a bien viellit)

Link to comment
Share on other sites

J'aurais tendance à dire que tous les systèmes du genre de MD5, SHA* on des collisions non?

C'est ce que je pense aussi. Avec n bits (128 pour le md5, 160 pour le sha1) on a forcément 2^n combinaisons possibles (pour une infinité de possibilités en entrée).

Après par contre ça peut être plus ou moins dur de créer des fichiers différents avec le même hash.

Enfin bref, je ne pense pas vraiment que c'est le topic pour parler de ça, si vous voulez continuer cette discussion il y a le bar (ou la création d'un autre topic)

Link to comment
Share on other sites

Bonjour à tous,

je vous remercie pour vos suggestions.

J'ai copié le MD5 sur le site d'ubuntu, j'ai fait le controle, "cheksum identique".

Donc, je pense qu'il s'agit d'un faux positif comme l'indique tuXX.

Mais d'après vos commentaires si on ne peut plus se fier à MD5, que l'on obtiens pas facilement selon Naparuba

"donc même s'il calculais la somme SHA je ne vois pas trop ce qu'il va en faire"

à qui se fier ??? :zarb:

faut-il indiquer ce faux positif à Kaspersky, ou avertir la communauté Ubuntu?

Dans un autre post je vous parlerais de mes expériences d'instal avec Ubuntu etc... bien sur dans "blabla"

merci encore à tous. :smack:

J'édite mon premier post pour marquer "résolu"

Link to comment
Share on other sites

Et j'ai oublié de dire que le cd d'ubuntu est muni de son propre systeme de vérification de md5...
En même temps si tu checke APRÈS avoir booté depuis le CD dont tu vérifie l'intégrité...

C'est bien, ça te permet de voir si le CD est corrompu au moins, mais ça ne protège pas d'intentions malveillantes.

Si quelqu'un modifie le CD, il modifie les hash aussi.

C'est comme les personnes qui vérifient le MD5 pour être sûrs que c'est une iso qu'on peut truster... en dl le MD5 depuis le même site que celui où se trouvait l'iso.

En gros, si le site est comprimis, tu l'a bien profond.

Donc ces techniques sont bonnes, mais pour l'intégrité des données après dl / gravage. Pas pour savoir si c'est bien l'iso que l'on veut. Pour ça il y a les signatures gpg (.asc ou .sig en général).

J'ai copié le MD5 sur le site d'ubuntu, j'ai fait le controle, "cheksum identique".
C'est bon signe déja.

Donc, je pense qu'il s'agit d'un faux positif comme l'indique tuXX.

Mais d'après vos commentaires si on ne peut plus se fier à MD5, que l'on obtiens pas facilement selon Naparuba

"donc même s'il calculais la somme SHA je ne vois pas trop ce qu'il va en faire"

à qui se fier ??? :zarb:

Si tu peux te fier (encore) au MD5. Trouver une collision c'est facile. Modifier une iso et avoir le même hash c'est carrément autre chose.

Et puis de toutes façons pour le moment pas le choix. Les hash sont fait en MD5 dans 90% des cas d'iso ou d'archives (malheureusement).

faut-il indiquer ce faux positif à Kaspersky, ou avertir la communauté Ubuntu?
Tu peux toujours dire à kapersky que c'est des boulets. Ubuntu, il n'y pourrons pas grand chose je pense. Ils ne vont pas modifier leur iso pour faire plaisir à un éditeur d'AV.
J'édite mon premier post pour marquer "résolu"
:smack:
Link to comment
Share on other sites

c'est aussi possible (mais la ça releve de la cohincidence qui tue sa maman) qu'une des séquence de bit de l'iso soit exactement la même que celle de ce virus, tout en ayant rien à voir avec. genre un bout d'image plus un script shell dans un format ISO-9660 et pas de bol ça donne une variante de ton virus... :transpi:

bon, ok, c'est ultra tiré par les cheveux... :transpi: :transpi:

:p

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...