Bonjour,
les derniers mails vérolés que j'ai pu voir passer les protections de
messagerie contenait un loader des plus simples (fichier office avec une macro
codée en base64 et des instructions pour soit-disant afficher l'image dont
parlait l'email) qui se charge ensuite de récupérer les charges actives.
on a d'ailleurs du mal à faire reconnaître l'aspect "dangereux" par certains
éditeurs AV.
Cordialement,
Benjamin
Le 31 août 2015 17:56:22 UTC+02:00, Pierre Schweitzer <pie...@reactos.org> a
écrit :
>-----BEGIN PGP SIGNED MESSAGE-----
>Hash: SHA1
>
>Bonjour,
>
>Potentiellement, il y a également : https://www.virustotal.com/
>
>Sinon, il est possible de le regarder de façon "statique" sans
>l'exécuter grâce à Dependency Walker.
>Pour les plus motivés, IDA / Hopper peuvent donner une bonne vue
>également (sous réserve d'exe pas trop obfusqué).
>
>Par contre, il faut être sûr que c'est cet exe tout seul qui passe la
>GPO & co. A-t-il un loader quelque part qui exploite quelconque faille
>de sécurité ?
>
>Bonne journée,
>
>On 31/08/2015 17:33, Gregory Epp wrote:
>> Bonjour,
>>
>> Avez-vous essayé un service en ligne comme
>> https://malwr.com/submission/ ou
>> https://anubis.iseclab.org/?action=advanced_form ?
>>
>> Cordialement,
>>
>>> ---------------------------------------- From: ay pierre
>>> <aypierr...@gmail.com> Sent: Mon Aug 31 17:21:36 CEST 2015 To:
>>> <frsag@frsag.org> Subject: [FRsAG] [tech] virus
>>>
>>>
>>> bonjour,
>>>
>>> je suis actuellement en possession d'un .exe non détecté par les
>>> antivirus qui crypte en rsa 2048 tout les fichier type doc xls
>>> mdb zip pdf etc
>>>
>>> je cherche un logiciel qui monitor un .exe pour savoir ce qu'il
>>> ce passe précisément ?
>>>
>>> pas de procmon ou chose de la sorte déjà tester pas trop utile sa
>>> me donne pas les info que je veux...
>>>
>>> car ce fichier .exe et passer au dela de tout les GPO de
>>> restriction de .exe ... est cela n'est pas normal du tout...
>>>
>>> Merci par avance.
>>>
>>> Cordialement _______________________________________________
>>> Liste de diffusion du FRsAG http://www.frsag.org/
>> _______________________________________________ Liste de diffusion
>> du FRsAG http://www.frsag.org/
>>
>
>
>- --
>Pierre Schweitzer <pierre at reactos.org>
>System & Network Administrator
>Senior Kernel Developer
>ReactOS Deutschland e.V.
>-----BEGIN PGP SIGNATURE-----
>Version: GnuPG v2.0.22 (GNU/Linux)
>
>iQIcBAEBAgAGBQJV5HkmAAoJEHVFVWw9WFsLvC0P/1OUpbC48fC1y5wlMjLpZybT
>Vdt4Hw/xbisMGQ1Yabp/MCSZP7fC2hG8ckC6/WFoCFXdueb1ymNTw+aevpgMemvL
>/Y5HQ82pK/MT4y8Zg2irq/fTAqsDXhf1PaalXTjnCH6LhEBG9nWwqaLXO99S5SEU
>fWF6GAbNllROb9jNuh9Pn3GICA9yt+jM6dnvn3wEm2R1qpI1s9cPXCS8gTka57Ru
>YnQnd1+Am/31c3y6uZEbHRIFUdbooy85CmuOMLJmml18XZm7e+qFmuRsB9N1Yx/1
>eDl5FoPJ0Obc5Fw4s7z6Rma5RHUEmzc8Az1cQxzCRDtujs4uOZmgiQae9/8Gpesf
>W2bS0ApbSd7LMr3w7FRa2TOjdmKrTqc5bCQFTE+JUfXUGxcnReDOxEt6qn70OxzZ
>z18kT2vOnBf8dRU8inqyXGjvwdrDVvK4nIp4z/0InkeToNijixDr/S05Gg1+xwo+
>wPlbBqItlMoR8+Plo9mSfES2Qx69jE2fz4kKmWTjGqZjvaJ+5HtB4ZNiu0UL6Rvj
>1ABC2dUzbaeeQyWyFNPcGvtxJ8A++7T/IVCspRrxoSqYXse0XBD88IXbdnmTIM93
>BdD9/5BDpjlPieTB7T3uLSE396Pn8k15medl8Ntq3lr03zafAFnexDRbP75UaCh2
>wn9D67J4u+p1GabhBXnb
>=+kpt
>-----END PGP SIGNATURE-----
>_______________________________________________
>Liste de diffusion du FRsAG
>http://www.frsag.org/
--
Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
