virus locky et clamav

jmax · Le 21/03/2016, à 11:55

Bonjour,
cela fait plusieurs jours que je reçois des fichiers .zip contenant un .js. Le mail contenant la PJ tente de se faire passer pour un scanner qui envoie un scan.
Clamav ne détecte rien et j'ai envoyé la demi douzaine de .zip reçus ces derniers jours à clamav pour intégration dans leur base mais aucun retour, aucune correction.
Y a t'il un moyen de savoir ce qu'il advient de mes envois ?
merci de vos réponses

Rufus T. Firefly · Le 21/03/2016, à 14:08

Salut,

Rien ne prouve que tes js sont malveillants et encore moins qu'il s'agit de locky...
La preuve, une partie du code source de la page actuelle du forum ubuntu

<link rel="stylesheet" type="text/css" href="style/Ubuntu.css" />
    <script type="text/javascript" src="https://www-static.ubuntu-fr.org/theme2010/js/common.js"></script> 
    <script type="text/javascript">
    var menu_hidden=0;
    </script>
    <script type="text/javascript" src="https://www-static.ubuntu-fr.org/theme2010/js/menu.js"></script>
  
<script type="text/javascript">
/* <![CDATA[ */
function process_form(the_form)
{
	var required_fields = {
		"req_message": "Message"
	};
	if (document.all || document.getElementById)
	{
		for (var i = 0; i < the_form.length; ++i)
		{
			var elem = the_form.elements[i];
			if (elem.name && required_fields[elem.name] && !elem.value && elem.type && (/^(?:text(?:area)?|password|file)$/i.test(elem.type)))
			{
				alert('"' + required_fields[elem.name] + '" est un champ obligatoire pour ce formulaire.');
				elem.focus();
				return false;
			}
		}
	}
	return true;
}
/* ]]> */
</script>
...
<script type="text/javascript" src="include/toolbar_func.js"></script>
<script type="text/javascript" src="include/jscolor/jscolor.js"></script>
<noscript><p><strong>Veuillez activer javascript pour utiliser l'outil de formatage du texte.</strong></p></noscript>
<script type="text/javascript">
/* <![CDATA[ */
	var tb = new toolBar(document.getElementById('req_message'), 'img/fluxtoolbar/smooth/', 'img/smilies/');
	function popup_smilies()
	{
		document.getElementById('req_message').focus();
		var width = 240;
		var height = 200;
		window.open('smiley_picker.php', 'sp', 'alwaysRaised=yes, dependent=yes, resizable=yes, location=no, width='+width+', height='+height+', menubar=no, status=yes, scrollbars=yes, menubar=no');
	}
	var smilies = new Array();
	smilies[":)"] = "smile.png";
	smilies[":|"] = "neutral.png";
	smilies[":("] = "sad.png";
	smilies[":D"] = "big_smile.png";
	smilies[":o"] = "yikes.png";
	smilies[";)"] = "wink.png";
	smilies[":/"] = "hmm.png";
	smilies[":P"] = "tongue.png";
	smilies[":lol:"] = "lol.png";
	smilies[":mad:"] = "mad.png";
	smilies[":rolleyes:"] = "roll.png";
	smilies[":cool:"] = "cool.png";
	tb.btSingle('bt_bold.png', 'b', 'Texte en gras : [b]texte[/b]');
	tb.btSingle('bt_italic.png', 'i', 'Texte en italique : [i]texte[/i]');
	tb.btSingle('bt_underline.png', 'u', 'Texte souligné : [u]texte[/u]');
	tb.btSingle('bt_strike.png', 's', 'Texte barré : [s]texte[/s]');
	tb.btSingle('bt_align_left.png', 'left', 'Aligner à gauche : [left]texte[/left]');
	tb.btSingle('bt_align_right.png', 'right', 'Aligner à droite : [right]texte[/right]');
	tb.btSingle('bt_align_center.png', 'center', 'Centrer : [center]texte[/center]');
	tb.btSingle('bt_align_justify.png', 'justify', 'Justifier : [justify]texte[/justify]');
	tb.btColor('bt_color.png', 'Couleur du texte : [color=#000000]texte[/color]');
	tb.btPrompt_2('bt_img.png', 'img', 'Image : [img=texte]http://www.website.ltd/url-image.png[/img]', 'Veuillez entrer l\'URL de votre image :', 'Veuillez entrer une description pour votre image (attribut alt) :', 1);
	tb.btSingle('bt_pre.png', 'code', 'Texte préformaté : [code]texte[/code]');
	tb.btPrompt_1('bt_bquote.png', 'quote', 'Bloc de citation : [quote=user]texte[/quote]', 'Veuillez entrer le nom de l\'utilisateur cité (ou laissez vide) :');
	tb.btPrompt_2('bt_link.png', 'url', 'Lien : [url=http://www.website.ltd/]un site[/url]', 'Veuillez entrer l\'URL de votre lien :', 'Veuillez entrer un nom descriptif de votre lien :', 0);
	tb.btPrompt_1inside('bt_video.png', 'video', 'Vidéo : [video]vidéo[/video]', 'Veuillez entrer l\'URL de votre vidéo');
	tb.btPrompt_1inside('bt_documentation.png', 'doc', 'Documentation : [doc]page[/doc]', 'Veuillez entrer le nom de la page de documentation');
	tb.btPrompt_1('bt_ul.png', 'list', 'Liste : [list=*,1,a]text[/list]', 'Veuillez entrer le type de liste : * = liste à puce, 1 = liste ordonnée numériquement, a = liste ordonnée alphabétiquement.\nUtilisez les balises [*]élément de liste[/*] pour chaque ligne de votre liste.');
	tb.btSingle('bt_li.png', '*', 'Elément de liste : [*]text[/*]');
	tb.btSmilies('bt_smilies.png', 'Cliquez ici pour afficher la barre d\'émoticônes');
	tb.barSmilies(smilies);
	tb.draw();
/* ]]> */
</script>

C'est du javascript ! Et encore, il y en a particulièrement peu...

Avant de conclure, il faudrait regarder de près le code de tes pièces jointes (ça ne risque rien, d'extraire et de regarder avec un éditeur de texte).

Dernière modification par Rufus T. Firefly (Le 21/03/2016, à 14:11)

jmax · Le 21/03/2016, à 14:10

tous les antivirus les classent en virus locky sauf clamav et quand tu auras hersé tout ce que j'ai labouré en javascript, tu seras bien vieux

Dernière modification par jmax (Le 21/03/2016, à 14:11)

Rufus T. Firefly · Le 21/03/2016, à 14:29

Si les développeurs de clamav existent toujours, je suppose qu'ils ne sont pas idiots et qu'ils ont entendu parler de locky. Peut-être même en ont-ils des échantillons, puisqu'apparemment il y en a dans beaucoup de mails... On peut le supposer, pour des développeurs d'un anti-virus. On peut même supposer qu'ils ont fait le nécessaire... Ça fait tout de même un moment que locky a fait parler de lui.
Et à mon avis, ils ne vont pas mettre tous les javascripts qu'on leur envoie dans leur base, sans avoir vérifié qu'il s'agit bien de locky. Vérifié, donc pas en se fiant à ce que disent tous les anti-virus...

jmax · Le 21/03/2016, à 14:33

Bon, on va résumer: clamav laisse passer locky
A bon entendeur, ...

Rufus T. Firefly · Le 21/03/2016, à 14:43

On peut résumer autrement : tu vois locky partout !
Il faudrait au minimum vérifier que ton js utilise XMLHttpRequest (ou équivalent activeX w$) pour télécharger un exécutable, puisque locky semble fonctionner de cette façon, si j'ai bien compris.

Dernière modification par Rufus T. Firefly (Le 21/03/2016, à 14:48)

Compte anonymisé · Le 21/03/2016, à 21:34

jmax a écrit :

Bon, on va résumer: clamav laisse passer locky
A bon entendeur, ...

Bonjour.

Peut-être peut-être pas... Le plus important étant de considérer que batir sa sécurité sur un anti-virus est une abération. Combien de «Virus» circulent sans être reconnus...?
Pour ma part, j'active javascript que pour certains sites ou certaines actions précises, sinon, il est down... Chacun gère sa sécurité comme il veut. Je n'ai pas besoin de Clamav
Et de manière générale, je trouve que Ubuntu se windowmise dans l'esprit, puisque de nouveaux utilisateurs venus de ce système propriétaire gardent leurs «acquis»... Ce sujet me conforte encore dans cette citation: il serait dommage que le logiciel libre ne libère que du code

A+

Édit:
J'avais pas vu cette conversation : https://forum.ubuntu-fr.org/viewtopic.php?id=1985818

Dernière modification par Compte anonymisé (Le 21/03/2016, à 23:46)

Kolic · Le 28/03/2016, à 01:03

Bonjour,

Je reçois moi aussi beaucoup d'e-mails anglophones avec des classeurs zip attachés dans lesquels se trouvent un ou plusieurs fichiers .js, avec parfois des fichiers .dat
Lorsque je les fais analyser par ClamAV, il me répond "aucune menace détectée".

Lorsque je les fais analyser par le métascanneur de virus en ligne VirusTotal (https://www.virustotal.com/fr/), 6 à 43 sur 53 à 57 logiciels antivirus utilisés les détectent comme: Trojan.JS.Agent.KFV, JS/Locky.C!Camelot, JS/Nemucod.dp, JS/Downldr.CZ1!Eldorado, HEUR:Trojan-Downloader.Script.Generic, Downloader.Generic_c.AKMY, JS:Trojan.Script.CSH, JS_CRYPLOD.YYS JY, JS/Locky.2, JS/Nemucod.cr, JS/Nemucod.cs etc ... ClamAV utilisé par ce métascanneur en ligne (donc indépendant du système d'exploitation, Windows ou Linux) ne les détecte toujours pas, ce qui est logique.

Je suis complètement incompétent pour savoir si ces fichiers .js sont vraiment dangereux ou non, mais en tant qu'utilisateur lambda je suis assez affolé de voir des réponses aussi disparates entre les logiciels antivirus ! A noter que ces fichiers sont stockés sur mon ordinateur sur une partition NTFS et que je suis en dual boot; j'utilise le plus souvent Kubuntu, mais parfois je suis amené à utiliser aussi Windows 10. C'est à dire que je préfère quand même être informé du risque présenté par ces fichiers même s'ils ne peuvent être activés sous Linux, même si ..., même si ... !

Du coup je me suis posé la question si ClamAV est un "bon" antivirus. Malheureusement cela ne semble pas être le cas, par exemple selon un test de 16 suites de protection contre les programmes malveillants spécifiques à Windows et Linux réalisé par AV-Test (https://www.av-test.org/fr/nouvelles/ne … windows-e/), ClamAV ne reconnait que 15,3% des logiciels malveillants Windows et 66,1% des logiciels malveillants Linux.

En conclusion, devant un fichier suspect même non détecté par ClamAV, je rechercherai confirmation avec d'autres antivirus (une cinquantaine en un seul passage sous VirusTotal !).

Rufus T. Firefly · Le 28/03/2016, à 01:33

Kolic a écrit :

Je suis complètement incompétent pour savoir si ces fichiers .js sont vraiment dangereux ou non,

S'ils l'étaient, tu l'aurais sans doute déjà constaté...

Et tu sais que la curiosité est un vilain défaut... Donc tant que tu résistes à l'envie irrésistible de voir ce qu'ils font en tâchant de les exécuter d'une manière ou d'une autre, à mon avis tu ne risques rien. Cela dit, rien ne t'empêche de regarder ce qu'il y a dans un js par exemple, avec un éditeur de texte. Ni même de copier ça ici, pour qu'on se rende compte, si possible, de ce qu'il est censé faire... Mais de grâce, pas tous les js que tu trouves (il y a des sites internet quasi exclusivement en javascript)...

Pour les mails, installe plutôt un truc comme bogofilter ou autre filtre bayesien sur ton courrielleur et envoie à la poubelle, via un clic sur "courrier indésirable", tous les courriels dont tu ignores la provenance ou que tu penses qu'ils sont douteux. Clique aussi sur "courrier normal" pour les autres. Peu à peu le filtre fera très bien tout ça tout seul...

Ça, c'est pour gnu/linux...

Evidemment, avec w$... Faut voir...

Ça va faire une dizaine d'années que je tourne quasi-exclusivement sur gnu/linux, et je n'ai ni pare-feu (sauf celui de la box), ni anti-virus, ni quoi que ce soit de cette sorte. Comme la plupart des autres qui utilisent ça... Sauront-ils résister à la campagne des paranos qui se multiplient nettement plus vite que les virus ? Je l'ignore...

Dernière modification par Rufus T. Firefly (Le 28/03/2016, à 01:43)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/03/2016, à 11:55

virus locky et clamav

#2 Le 21/03/2016, à 14:08

Re : virus locky et clamav

#3 Le 21/03/2016, à 14:10

Re : virus locky et clamav

#4 Le 21/03/2016, à 14:29

Re : virus locky et clamav

#5 Le 21/03/2016, à 14:33

Re : virus locky et clamav

#6 Le 21/03/2016, à 14:43

Re : virus locky et clamav

#7 Le 21/03/2016, à 21:34

Re : virus locky et clamav

#8 Le 28/03/2016, à 01:03

Re : virus locky et clamav

#9 Le 28/03/2016, à 01:33

Re : virus locky et clamav

Pied de page des forums