Bonjour,
les derniers mails vérolés que j'ai pu voir passer les protections de messagerie contenait un loader des plus simples (fichier office avec une macro codée en base64 et des instructions pour soit-disant afficher l'image dont parlait l'email) qui se charge ensuite de récupérer les charges actives.
on a d'ailleurs du mal à faire reconnaître l'aspect "dangereux" par certains éditeurs AV.
Cordialement,
Benjamin

Le 31 août 2015 17:56:22 UTC+02:00, Pierre Schweitzer <pierre@reactos.org> a écrit :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour,

Potentiellement, il y a également : https://www.virustotal.com/

Sinon, il est possible de le regarder de façon "statique" sans
l'exécuter grâce à Dependency Walker.
Pour les plus motivés, IDA / Hopper peuvent donner une bonne vue
également (sous réserve d'exe pas trop obfusqué).

Par contre, il faut être sûr que c'est cet exe tout seul qui passe la
GPO & co. A-t-il un loader quelque part qui exploite quelconque faille
de sécurité ?

Bonne journée,

On 31/08/2015 17:33, Gregory Epp wrote:
Bonjour,

Avez-vous essayé un service en ligne comme
https://malwr.com/submission/ ou
https://anubis.iseclab.org/?action=advanced_form ?

Cordialement,


From: ay pierre
<aypierre07@gmail.com> Sent: Mon Aug 31 17:21:36 CEST 2015 To:
<frsag@frsag.org> Subject: [FRsAG] [tech] virus


bonjour,

je suis actuellement en possession d'un .exe non détecté par les
antivirus qui crypte en rsa 2048 tout les fichier type doc xls
mdb zip pdf etc

je cherche un logiciel qui monitor un .exe pour savoir ce qu'il
ce passe précisément ?

pas de procmon ou chose de la sorte déjà tester pas trop utile sa
me donne pas les info que je veux...

car ce fichier .exe et passer au dela de tout les GPO de
restriction de .exe ... est cela n'est pas normal du tout...

Merci par avance.

Cordialement

Liste de diffusion du FRsAG http://www.frsag.org/

Liste de diffusion
du FRsAG http://www.frsag.org/



- --
Pierre Schweitzer <pierre at reactos.org>
System & Network Administrator
Senior Kernel Developer
ReactOS Deutschland e.V.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=+kpt
-----END PGP SIGNATURE-----


Liste de diffusion du FRsAG
http://www.frsag.org/

--
Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté.