Rien n’est parfait en ce bas monde

illustration2007122701.jpgIl est généralement bien vu de déclarer ne pas utiliser les solutions antivirales des américaines Symantec ou McAfee et de s’en tenir à celles de la russe Kaspersky (Moscou), de la slovaque NOD32 (Bratislava), pour ne nommer que celles-ci. Ainsi va la vie, ses salons et ses beaux-frères. Sauf que « Win32.Huhk.c » vient de créer tout un embarras chez Kaspersky; des programmeurs risquent de se ramasser au Goulag. Et du côté de NOD32, ce n’est guère plus brillant. Semble-t-il.

illustration2007122702.jpgEffectivement, un de mes proches vient de m’amener sa machine Win XP SP2, un PC ralenti au comportement inhabituel. « Je pense avoir pogné un virus », m’a-t-il avoué, un peu comme s’il me disait avoir chopé une énième vérole. J’étais dubitatif puisque je lui avais récemment fait renouveler sa licence de NOD32. J’ai donc démarré l’appareil où j’ai immédiatement commandé à ce logiciel un scan profond du système.

Or, voilà-t-y pas, qu’en cours de route, il me débusque un dénommé « Win32.Warezov.op », un vers de courriel assez cucul qu’il avait bêtement laissé passer. Imaginez l’engueulade à laquelle il a eu droit. Dès lors, tout penaud, il a, à ma demande, sauvagement mordu, croqué, avalé et annihilé ledit vers, puis, il a poursuivi son scan. Enfin, il m’a juré que tout était propre.

Tout ? Pas tout à fait. Car en allant lire le contenu du fichier de démarrage (prise d’écran ci-après), j’ai aperçu un autre parasite, ce bon vieux « spoolsvv.exe » qui avait fait son nid dans le répertoire c:WindowsSystem32. Qu’est-ce que « spoolsvv.exe » (avec deux « v ») ? C’est une bibitte déguisée en fichier système Windows, en l’occurence « spoolsv.exe » (avec un seul « v »).

illustration2007122707.jpg

illustration2007122705.jpgQue fait-il ? Selon Symantec, il est responsable, entre autres désagréments, de la fausse barre de recherche (Adware.SideBar) qui s’installe dans Internet Explorer. En ce sens, il serait un espiogiciel malicieux qui, malgré NOD32, aurait réussi, lui aussi, à s’infiltrer. Mais selon Kaspersky, via son site Viruslist.com, ce serait un cheval de Troie appelé « Win32.Spabot.x » qui s’intéresse aux adresses de courriel, une affirmation que partage McAfee. Par contre, sur le site de NOD32, on ne semble pas le connaître. Qui dit vrai ? Allez savoir !

illustration2007122704.jpgDans le PC infecté, je suis donc allé au répertoire System32 où j’ai placé le fichier « spoolsvv.exe » en surbrillance. Ensuite, en cliquant de la droite, je l’ai fait analyser par NOD32. Rien, nada ! Tout fut déclaré beau et propre, comme le démontre la prise d’écran ci-après. À ne rien comprendre ! Je l’ai donc détruit à la main et je suis allé faire un ménage dans la base de registre.

illustration2007122706.jpg

Bref, un PC dûment protégé par NOD32 avait laissé passer deux maliciels connus et documentés, »Win32.Spabot.x » (« spoolsvv.exe ») et « Win32.Warezov.op ». Pourquoi ? J’ai retrouvé sur le Bureau du PC une archive WinRar (logiciel de compression) laquelle, m’expliqua-t-on, avait servi à télécharger un gugusse recommandé par un vieux copain sur MSN. Tadam ! Je présume que les deux virus s’y étaient cachés pour déjouer la vigilance de NOD32 et entrer dans le PC ; ce qui est une tendance de ces derniers temps. Il n’en demeure pas moins que NOD32 ne connaissait pas « spoolsvv.exe ». Et le plus con de cette histoire, c’est que je n’ai pas pensé vous faire de prises d’écran en ce qui concerne ce maliciel; vous allez devoir me croire sur parole.

illustration2007122703.jpgPour en revenir à Kaspersky, c’est encore plus gênant. Il y a quelques semaines, l’entreprise moscovite a publié une mise à jour de son produit où le fichier « Explorer.exe » se retrouva considéré comme étant un vers appelé « Win32.Huhk.c ». Les malheureux utilisateurs qui ont alors fait confiance à Kaspersky, ont détruit leur fichier « Explorer.exe ». Rien de moins ! Lisez la lettre que je vais vous copier-coller deux paragraphes plus bas. Elle provient d’un habitué de Technaute qui a récemment vécu le problème.

Il y a évidemment un remède pour rétablir le Bureau disparu ; car qui dit plus d’ »Explorer.exe », dit plus de Bureau ! Si vous en avez besoin cliquez ici ou ici.

Pas brillant ! Ce sont bien entendu des choses qui arrivent, rien n’étant parfait en ce bas monde. Pour le moins, cette chronique met la table pour celle de demain où je prévois vous entretenir d’un produit reçu la semaine dernière, CA Internet Security Suite Plus 2008.

ligne3.jpg

J’ai la suite Kaspersky Internet Security et j’ai programmé tous les mercredi à 20hre, l’analyse complète de mon système. Le mercredi 19 décembre comme d’habitude KIS fait son analyse et il me trouve par 2 fois ceci « Worm.Win32.Huhk.c » sur Explorer.exe.

Il fait une alerte, mais je le laisse terminer son analyse. Quand il a terminé, il y a dans un encadré rouge, une alerte continuelle. J’ai beau cliquer sur Ignorer, parce que je veux avant de faire quoi que ce soit, vérifier ce qu’est ce Worm.Win32.Huhk.c mais rien à faire.

Je veux ouvrir Firefox, mais celui-ci n’ouvre qu’en très petit, dans le coin supérieur gauche de mon écran (une barre noire que je ne peux fermer) et Kis qui n’arrête pas de m’alerter, avec son cri de cochon qu’on égorge. Je n’ai pas d’autres choix que de cliquer sur réparer car, il ne veut pas que j’ignore. Alors, il me dit qu’il va réparer après le redémarrage de l’ordi et il m’affiche un redémarrer, je clic ok.

L’ordinateur redémarre et à ma grande surprise, je n’ai plus de bureau, ni menu démarrer, ni la barre des tâches, aucune icône, plus de clic de souris, en fait il ne restait que mon image de fond d’écran et aucune possibilité d’accès à quoi que ce soit sur mon ordinateur.

Je n’ose me servir de mon CD de restauration, car le seul choix que j’ai, c’est de faire une restauration comme à la sortie d’usine.

En fait, il ne m’a rien de moins que désinstaller Explorer.exe …ce n’est pas banal comme réparation. Fini, il est parti l’explorateur windows !

Heureusement, j’ai un autre ordi et j’ai pu trouver ceci le lendemain 20 décembre, sinon je n’aurais pas eu d’autres choix que de réinstaller mon système, ce qu’une personne n’ayant qu’un seul ordinateur aurait eu à se résoudre.

Ce n’est pas sur le faux-positif que je m’indigne, je sais très bien que ce genre d’erreur existe. Que l’infection soit vrai ou fausse, c’est sur la méthode de réparation utilisé par Kaspersky que j’en ai, il supprime un logiciel infecté.

Je croyais qu’un anti-virus enlevait le virus ou, si c’est impossible, qu’il avisait qu’il ne pouvait réparer, mais jamais je ne pensais qu’il désinstallait un logiciel d’une telle importance pour faire une réparation, que l’infection soit vrai ou fausse.

Je trouve inquiétant qu’une société qui a une renommée comme Kaspersky, ne fasse pas la différence entre un banal logiciel de jeux ou de graphisme sans conséquence sur un système et un autre qui a une incidence si grande sur un ordinateur tel que Explorer.exe et qu’il ne trouve rien de mieux pour réparer que de désinstaller.

Si ça se reproduit je vais craindre maintenant de faire « réparer » . Kaspersky: un remède plus nuisible que l’infection ?

Merci et Joyeuses Fêtes

S. L.

Publicités

15 réflexions sur “Rien n’est parfait en ce bas monde

  1. L’aberration la plus totale de toute cette histoire est qu’un simple logiciel puisse enlever l’un des composants essentiels du système d’exploitation, soit le moteur d’affichage.

    La deuxième aberration est le moteur d’affichage lui-même, lequel réside sur un fichier (explorer.exe) sans protection particulière et dans le même « tapon » (si je puis m’exprimer ainsi) que tous les autres…

    C’est hallucinant! (this is scary dirait-on par ici…)

    …et c’est dommage aussi… Windows n’est pas mauvais, loin de là, mais les ingénieurs de Redmond aurait tout intérêt à revoir le système de fichiers (et de partitions) afin que de telles bourdes puissent être évitées…

  2. @Nelson et autres spécialistes

    Qu’en est-il de AVG édition gratuite? Il est de plus en plus utilisé. C’est potable ou non comme antivirus??

    Martin F

  3. Le problème des virus sous Windows, c’est en grande partie parce que Windows permet qu’on fasse rouler une session sous un compte dit « Administrateur ». Ce type de compte permet un accès à tout le disque dur, et même à modifier ou supprimer les fichiers systèmes.

  4. Quelqu’un a essayé AVAST sur cette petite peste?

    Vous devez cependant savoir qu’aucun antivirus, payant ou gratuit n’est à 100% sécuritaire. Je suggère au moins deux antivirus… ou encore un installé et l’autre, on se contente d’un housecall en mode safe (réseau)…

    Ça fait normalement la job. Mais même là, il faut resté sur ses gardes… Mais ça, ici, il y a très peu de bloggeurs à qui ça cause des problêmes parce qu’on a pas mal tous un bon niveau d’expertise! C’est monOncle Gérard ou MaTante Ginette qui passe au cash avec ça!

    Honnnn… Aller sur des sites XXX… cépabô!!

    @Marcofsky

    Fuckin’ right… comme moi je dis au Lac St-Jean! hé hé…

    @Martinf

    AVG fait une très bonne job… Combine-le avec un scan online de n’importe quel autre fournisseur réputé et tu viens de monter ta sécurité dans la zone ‘relativement safe’…

  5. Tant qu’à faire affaire avec des bandits, aussi bien y aller avec des Américains qu’avec des Russes; leurs méthodes nous sont plus familières et ils sont plus sensibles à leur réputation. Par snobisme, j’ai boudé Norton un bout de temps,mais mon racisme a pris le dessus et m’a empêché de transiger avec les Ruskovs. En lisant la chronique, j’en suis fort aise; il ne faut pas oublier la Lada…

  6. de mon cote avg free en local sur les machines et Kaspersky qui run d’un serveur et scan mes c$ a z$ des autres host sur le lan (je run en domaine AD donc moins de probleme a gerer les identifiants sur chacun des host) , mais comme personne ne run en session admin (power user au max incluant mes comptes de services ) , pas de probleme. c’est vrais que donner les droits necessaire aux comptes de service peut etre « une job » mais je run un filediff et regdiff (de sysinternal) en installant mes apps donc je sais ou ils vont frapper aussi bien sur le file system que le registre ce qui me permet de donner aux comptes de services les permissions et privileges requis . tout ceci est bien beau mais je crois que donner les droits minimum requis et mettre en place une solution d’antivirus redondante n’est pas suffisant , un bonne config de firewall et l’etude des ports utilises (qu’ils soient ouverts ou fermes en attente de connection) est egalement primordiale (grc est tres bien pour ca) le parano peut pousser l’exercise en fermant directement les ports sur les interfaces reseau en plus du firewall mais la ca deviens un peut plus qu’un hobby , style gerer des host file plutot que un dns (mais c’est egalement possible de monter un script vbs pour verifier l’etat des ports et de les fermer a horaire regulier ) , tout ca pour dire que la securitee en informatique est l’equivalent humain d’un jeu que mon chat apprecie particulierement : courrir apres sa queue LMAO

  7. @marcofsky

    Souvenons-nous que Vista devait comporter à l’origine un tout nouveau système de fichiers.

    Système que Redmond a renoncé à implanter sur Vista faute de temps.

    Non mais c’est vrai, ils n’ont eu que 5 ans pour faire Vista les pauvres 🙂

    Moi maintenant je ne surf et ne prends mes courriels qu’avec Linux/Ubuntu en sirotant ce matin un petit café à la vanille française.

    Un virus c’est quoi ça?

  8. @Viva-Zapata

    Une application vitale qui n’existe que sous WIndows, c’est quoi ça?

    mdrrr!

    Si vous croyez qu’utiliser XP m’empêche de prendre mes courriels sans siropter mon café à la noisette?

    hé hé hé…

  9. @dennis_dubeau

    Si tu lis mon courriel une autre fois tu remarqueras que j’ai bien écrit « surfer et prendre mes courriels ».

    Cela n’exclut pas le fait que j’ai des « applications vitales » sous Vista qui n’est pas vilain du tout.tout de même.

    Il ne faut pas comprendre ce qui n’est pas écrit… 🙂

  10. @dennis_dubeau

    et le café à la noisette c’est très bon aussi. 🙂

    Tiens j’aurais pu faire un jeu de mots dans mon post précédent et écrire « des applications virales »

    mdrrr!

  11. Ouf après les trois premier paragraphe j’ai décrocher. Windows c’est vraiment trop compliqué pour moi. Je vais me contenter de ma petite Mandriva Linux qui ma pas coûté une cenne.

  12. @Viva_Zapata

    Oui… même surfer et prendre les courriels… On peut faire ça avec Windows!!

    Là ou je ne pourrais pas alller vers Ubuntu malgré tout le bien que j,en pense… c’est que j’ai un studio d’enregistrement numérique. une application de type verticale… Rien d’équivalent dans le monde code libre… Triple Hélas…

    Waiter, un autre café noisette please!!

    😆

    Bonne journée à vous… 😀

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s