Auteur Sujet: IMPORTANT Cocci-kit et ANTIVIRUS : liste des faux positifs  (Lu 203 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Coccinelle AUTEUR

  • Administrateur
  • *
  • *
  • Inscription : 17/12/2020
  • Offre-moi un chocolat bien chaud
IMPORTANT Cocci-kit et ANTIVIRUS : liste des faux positifs
« le: 17/02/21 | 16:02 »
Dernière modification : 24/02/21 | 14:10 par Coccinelle
Cocci-kit et ANTIVIRUS : les faux positifs


Tout fichier est présumé coupable,
jusqu'à ce que son innocence soit démontrée.


Parce que le cocci-kit utilise des scripts dont la plupart sont lancés avec des droits administrateurs (contrairement à Windows XP, sur Windows 10 c'est désormais indispensable pour enregistrer la moindre information dans le registre ou simplement copier des fichiers dans le dossier WINDOWS), certains antivirus agitent un chiffon rouge et compromettent alors l'installation et/ou le bon fonctionnement de certains modules. Ainsi, pour un fichier donné, quand l'immense majorité des antivirus ne bronchent pas, d'autres s'affolent, et ceux qui s'affolent ne sont pas les mêmes ni le font pour les mêmes raisons ou les mêmes fichiers ! C'est ce qu'on appelle des faux-positifs. Pourquoi tant de disparités dans les alertes ? Parce ce que tout dépend de la façon dont votre antivirus est paramétré.

Voici donc quelques conseils d'ordre général pour bien paramétrer votre logiciel de sécurité, quel qu'il soit.

Quelques suggestions


Pour éviter des blocages inopinés de certains modules, voici quelques conseils sur la façon de paramétrer votre antivirus. Ces conseils sont d'ordre généraux, à vous de trouver les options correspondantes dans le logiciel de protection que vous utilisez.

Niveau de sensibilité


À moins de n'avoir aucune maîtrise de son poste informatique ni de ses comportements sur le web, Ne placez JAMAIS le curseur de sensibilité d'un antivirus à son niveau maximum. Sinon c'est le blocage d'une partie de vos logiciels qui est assurée à un moment ou un autre, et les crises de nerf qui vont avec.

Augmenter le niveau de sensibilité d'un antivirus ne signifie pas que ce dernier va trouver plus de virus, mais qu'il va davantage agiter un chiffon rouge dès qu'il rencontrera une action qu'il estime devoir mériter plus d'attention. Ce mode "paranoïa" porte différents noms selon l'antivirus, et peut aller jusqu'à la vérification de toutes vos photos ou de simples fichiers texte lors de leur lecture. Globalement, une protection moyenne est largement suffisante si vous n'êtes pas adepte du dark web, des sites de charme ou de logiciels crackés.

Notez également qu'un authentique virus/malware, malfaisant par nature, est détecté par tous les antivirus majeurs du marché, et pas seulement de temps en temps en fonction de la machine et de son paramétrage. Sauf si bien entendu votre voisin est un codeur de virus et qu'il a souhaité testé sa dernière création avant de la diffuser sur la planète en vous prêtant une clé USB vérolée.

Alertes


Ne laissez jamais un antivirus choisir pour vous les actions qu'il va entreprendre. Paramétrez votre logiciel de protection de telle manière qu'à chaque fois qu'il détecte une action suspecte, il puisse vous afficher une alerte qui vous précisera la nature de la menace et le fichier suspecté. Ensuite, vous pourrez décider vous-même et non la machine, soit de supprimer le fichier, soit de la placer en quarantaine en attendant plus d'informations à son sujet, soit d'ajouter une mesure d'exclusion pour dire à votre antivirus que le fichier ne présente aucune menace. En cas de doute, vous pouvez uploader le fichier incriminé sur le site Les visiteurs ne peuvent voir les liens. Enregistrez-vous ou connectez-vous pour le faire vérifier par plusieurs dizaines d'antivirus à la fois.

Les modules de la mort qui tuent


Ce fil de discussion permet de recevoir les rapports d'alerte afin d'en chercher la cause. Lorsque ce qui déclenche l'alerte a pu être contourné, un message est marqué comme résolu. N'hésitez donc pas à communiquer ici vos alertes, avec le nom de l'anti-virus, mais plus important, le nom du fichier incriminé.

Rapport VirusTotal cocci10.exe version du 17/02/21 à 20h30


MD5 : e062b62b27acda3afc0a708c4c4ddee1
SHA256 : 0dfc0f2bf25375ad80231e118441e32f0520930cdc6e0f27f56286054e4a36aa



Rapport VirusTotal du dossier distant des modules http://cocci10.fredisland.net/modules/


  
  
Une communauté sympa sans réseau social, avec juste une coccinelle 🐞 aux commandes... Si, c'est possible ! :D

Hors ligne ryo

  • *
  • *
  • *
  • *
  • Inscription : 22/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #1 le: 17/02/21 | 16:12 »
Dernière modification : 24/02/21 | 15:13 par Coccinelle
RÉSOLU
Les deux scripts incriminés ont été corrigés. La ligne fautive est désormais commentée, vous pouvez donc toujours la consulter.
(Message modifié par l'administrateur)
Dans mon cas c'est Kaspersky Free (configuration par défaut) qui a bloqué sur le module Redémarrage.
Une fois la ligne objShell2.RegWrite supprimée, KF était content.
  
1 👍🏻
  

Hors ligne John

  • B-Testeur Cocci-kit
  • *
  • *
  • *
  • *
  • *
  • Inscription : 23/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #2 le: 17/02/21 | 19:13 »
Perso, je n'ai aucun problème avec l'antivirus de Windows 10.

  
  

Hors ligne Chtimi054

  • *
  • *
  • *
  • *
  • Inscription : 21/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #3 le: 18/02/21 | 13:35 »
Dernière modification : 25/02/21 | 11:56 par Coccinelle
RÉSOLU
Les deux scripts incriminés ont été corrigés.
(Message modifié par l'administrateur)
Salut

moi c'est Kaspersky qui a fait des siennes en bloquant un fichier sur mes 2 ordis de test !
mais cela a été résolu en désactivant momentanément KAV et finir l'install et mettre le fichier incriminé en exclusion !



et tout fonctionne !
  
  

Hors ligne webi85

  • *
  • *
  • *
  • Inscription : 21/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #4 le: 18/02/21 | 13:49 »
aucun problème avec l'antivirus de Windows 10
  
  

Hors ligne jenyco2

  • *
  • *
  • *
  • *
  • Inscription : 23/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #5 le: 18/02/21 | 14:02 »
Dernière modification : 18/02/21 | 14:14 par jenyco2
Hi,

Moi Eset n'en veut pas même désactivé, faut ressortir le fichier de la quarantaine en le sauvegardant sous.

@+
  
  

Hors ligne jenyco2

  • *
  • *
  • *
  • *
  • Inscription : 23/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #6 le: 18/02/21 | 14:14 »
Dernière modification : 18/02/21 | 14:22 par jenyco2
Hi,

C'est lui qui bloque: 
Code: Les visiteurs ne peuvent voir les liens. Enregistrez-vous ou connectez-vous
http://cocci10.fredisland.net/modules
Ma règle crée dans les exceptions à l'air de fonctionner avec Eset:
Il faut ajoute>
Code: Les visiteurs ne peuvent voir les liens. Enregistrez-vous ou connectez-vous
*http://cocci10.fredisland.net/modules/* dans configuration avancée et ensuite liste des adresses exclues de l'analyse du contenu

@+
  
1 👍🏻
  

Hors ligne Chtimi054

  • *
  • *
  • *
  • *
  • Inscription : 21/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #7 le: 24/02/21 | 08:27 »
Dernière modification : 24/02/21 | 14:00 par Coccinelle
RÉSOLU
La désactivation de l'Hyper-V en était responsable.
(Message modifié par l'administrateur)

Suite a la mise a jour du 23/02/2021 :

lors de l'install du module "serviices"

Mon ami Kasperky a fait des siennes !

  
  

Hors ligne ryo

  • *
  • *
  • *
  • *
  • Inscription : 22/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #8 le: 24/02/21 | 19:30 »
J'avais modifié les scripts pour que Kaspersky arrête de brailler.

redemarrer_echec.vbs :
Code: Les visiteurs ne peuvent voir les liens. Enregistrez-vous ou connectez-vous
If WScript.Arguments.length =0 Then
  Set objShell = CreateObject("Shell.Application")
  objShell.ShellExecute "wscript.exe", Chr(34) & WScript.ScriptFullName & Chr(34) & " Run", , "runas", 1
Else
  Set objShell2 = WScript.CreateObject("WScript.Shell")
  objShell2.Run "bcdedit /set {current} safeboot minimal",0,True
  objShell2.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*Restore Boot Mode", "bcdedit /deletevalue {current} safeboot", "REG_SZ"
  objShell2.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*Restore AlternateShell Value", "bcdedit /set {current} safebootalternateshell no", "REG_SZ"
  objShell2.Run "shutdown -r -t 00 -f",0,True
End If

redemarrer_echec_reseau.vbs
Code: Les visiteurs ne peuvent voir les liens. Enregistrez-vous ou connectez-vous
If WScript.Arguments.length =0 Then
  Set objShell = CreateObject("Shell.Application")
  objShell.ShellExecute "wscript.exe", Chr(34) & WScript.ScriptFullName & Chr(34) & " Run", , "runas", 1
Else
  Set objShell2 = WScript.CreateObject("WScript.Shell")
  objShell2.Run "bcdedit /set {current} safeboot network",0,True
  objShell2.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*Restore Boot Mode", "bcdedit /deletevalue {current} safeboot", "REG_SZ"
  objShell2.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*Restore AlternateShell Value", "bcdedit /set {current} safebootalternateshell no", "REG_SZ"
  objShell2.Run "shutdown -r -t 00 -f",0,True
End If

La valeur safebootalternateshell est remise à no lorsque la session démarre en mode sans échec, et ça permet de passer par le menu démarrer.

Si Chtimi054 peut tester vu qu'il est aussi protégé par l'éditeur de la Mère Patrie ;D
  
1 👍🏻
  

Hors ligne Coccinelle AUTEUR

  • Administrateur
  • *
  • *
  • Inscription : 17/12/2020
  • Offre-moi un chocolat bien chaud
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #9 le: 24/02/21 | 19:52 »
Dernière modification : 24/02/21 | 19:55 par Coccinelle
Les visiteurs ne peuvent voir les liens. Enregistrez-vous ou connectez-vous
J'avais modifié les scripts pour que Kaspersky arrête de brailler.
Je vais tester ça avec attention... Je fais ça demain, la je file au dodo, je suis naze...
A noter que ce ne sont pas les scripts eux-mêmes qui ont fait jaser kaspersky (je l'ai installé dans un émulateur sur un Win 10 Home 32 bits), mais le téléchargement du module. Etrange. Mais si on lance un scan, les scripts se bloquent, ceux avec l'inscription dans le registre. Mais je teste tout demain. Tu auras une bière si tout marche !
  
  

Hors ligne Coccinelle AUTEUR

  • Administrateur
  • *
  • *
  • Inscription : 17/12/2020
  • Offre-moi un chocolat bien chaud
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #10 le: 25/02/21 | 11:56 »
C'est bon, ça fonctionne ! Karspesky se tait... Module mis à jour.
  
  

Hors ligne ryo

  • *
  • *
  • *
  • *
  • Inscription : 22/12/2020
Re : Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #11 le: 25/02/21 | 14:41 »
Les visiteurs ne peuvent voir les liens. Enregistrez-vous ou connectez-vous
A noter que ce ne sont pas les scripts eux-mêmes qui ont fait jaser kaspersky (je l'ai installé dans un émulateur sur un Win 10 Home 32 bits), mais le téléchargement du module. Etrange. Mais si on lance un scan, les scripts se bloquent, ceux avec l'inscription dans le registre. Mais je teste tout demain. Tu auras une bière si tout marche !

J'avais regardé les détails de l'alerte anti-virus lors du téléchargement, Kaspersky identifiait bien le script comme malveillant.
Avec comme conséquence une 'corruption' de l'archive puisque le script était supprimé.

Mais bon, le principal c'est que ça fonctionne maintenant ^-^
  
  

Hors ligne jenyco2

  • *
  • *
  • *
  • *
  • Inscription : 23/12/2020
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #12 le: 26/02/21 | 09:54 »
Hi,

Avec Eset internet Sécutiry, rien à faire, testé beaucoup de règles d'exclusions, mais cela ne fonctionne pas, je l'ai remis d'origine, car c'était la pagaille à force d'écrire des règles. Pas grave, je le ressors de la quarantaine et je remplace le l'EXE.

@+
  
  

Hors ligne Coccinelle AUTEUR

  • Administrateur
  • *
  • *
  • Inscription : 17/12/2020
  • Offre-moi un chocolat bien chaud
Re : Cocci-kit et ANTIVIRUS : liste des faux positifs
« Réponse #13 le: 26/02/21 | 10:54 »
Les visiteurs ne peuvent voir les liens. Enregistrez-vous ou connectez-vous
Hi,

Avec Eset internet Sécutiry, rien à faire, testé beaucoup de règles d'exclusions, mais cela ne fonctionne pas, je l'ai remis d'origine, car c'était la pagaille à force d'écrire des règles. Pas grave, je le ressors de la quarantaine et je remplace le l'EXE.

@+
Il me serait utile que tu précises sur quels fichier tu rencontres des soucis avec Eset. Je tacherai ainsi de me monter un emulateur avec Eset dessus?
  
  

 

Merci pour ton soutien
Le point de ralliement en cas de souci de connexion