[English] by k_millio

A lot of people sent me a mail (not always courteous and polite ...) to warn me about a Trojan in Crystal Clear bricopack. Thanks to JerryG (from liens-utiles.org), we obtained more information.

So, Bitdefnder detects this Trojan in the update.exe file. As you can imagine, CrystalXP doesn't have any reason to add a Trojan in any of its Bricopacks, so, Bitdefender's alert is only a mistake made by the application. To be sure of that, JerryG asked a developer if this kind of error could occur. His answer confirmed our version :
« This is a false alarm (also known as false-positive), because an element of the pack can look like the Trojan Bitdefender detects to the application. For this reason, it is detected but isn't recognized as a suspect object. False-positives, these false alarms, are rare but it's possible to have one with an antivirus that uses an intelligent detection engine, so an error is always possible. »

So, it's just a false alarm, a mistake commited by Bitdefender. It's useless to uninstall the pack after recieving the alert, you just have to exclude the uodate.exe file from Bitdefender's scan so as to avoid having an alarm.
I want to thanks the ones who trusted us even with Bitdefender's scanlog unedr their eyes (there are), and of course JerryG from liens-utiles.org who gave us a lot of important information.

[Français]

Nombreux sont les gens qui m'ont envoyé un mail (parfois pimenté par des mots qui risqueraient d'en choquer certains) pour me signaler la présence d'un Trojan dans le BricoPack Crystal Clear. Grâce à JerryG du site liens-utiles.org nous avons eu plus d'informations.

C'est donc Bitdefender qui détecte ce Trojan dans le fichier update.exe du pack. Comme vous vous en doutez, CrystalXP n'a aucun intérêt à ajouter un Trojan dans ses packs, cela provient donc d'une erreur du logiciel BitDefender. Pour en avoir le coeur net JerryG a contacté les développeurs. La réponse confirme notre hypothèse.
« Il s'agit d'une fausse alerte (qu'on appelle aussi false-positive), car un élément de ce pack peut ressembler à ce trojan que cite BitDefender. C'est pour cette raison qu'il est détecté mais pas déclaré comme suspect.
Les false-positive, ces fausses alertes, sont rares mais c'est possible avec les antivirus qui ont des moteurs de détection intelligents de virus inconnus, donc l'erreur est toujours possible »

C'est donc une fausse alerte, une mauvaise interprétation du logiciel BitDefender. Il est inutile de désinstaller le Bricopack suite à cette alerte, il suffit d'exclure update.exe du scan de BitDefender pour ne plus avoir cette fausse alerte.
Je remercie les gens qui nous ont quand même fait confiance face à cette situation (il y en a) et en particulier JerryG de liens-utiles.org qui nous a apporté des informations capitales.

Je savais que ca ne pouvais pas etre quelque chose venant de CrystalXP. C'est vrai que vous n'avez (je pense) aucune raison de faire une chose pareil.
Donc merci a JerryG d'avoir réalisé ces recherches !

Merci pour l'info, je voyais bien des trojans, mais je ne pensais pas que ça pouvait venir du Crystal Clear + d'une erreur d'interprétation de la part de BitDefender

Rha ! Merci dlb JerryG (bon bon..) Merci dlb

Merci beaucoup pour cette conclusion heureuse, je vais pouvoir installer le bricopack sans aucun souci.
bonne continuation

alambic tu doutais de l'innocence du Crystal Clear ?  

Merci pour ces précisions qui en rassureront plus d'un et t'éviteront à coup sûr d'être affublé de nouveaux noms d'oiseaux!

Comme dit dans un précédent topic, utilisant AntivirusKit 2006 (modules Kaspersky et Bit Defender), j'avais déjà rencontré cette "difficulté" avec le bricopack vista. Il s'agissait d'un "faux vrai" causé par l'analyse heuristique du moteur Bit Defender! Tout était rentré dans l'ordre dans les jours suivants grâce à une mise à jour.

La confiance envers les Bricopacks de Crystal XP est aux dessus des "failles" de logiciels comme "Bitdefenders"

PS:    a ceux qui aurai pu croire une information pareil!!  

Merci dlb, la team et tous ceux qui défendent ce site.
Vu le nombre d'exemplaires de bricopack que j'ai téléchargé (pour des amis en bas débit) j'aurais été au courant d'un problème.

J'espere que ces accusations (non fondées et basées sur une erreur d'UN logiciel de sécurité) de vont pas "refroidir" dld pour ses futures créations de packs.

Merci dld, pour ton travail, et demande à Bricomix de ne pas mettre de spyware dans ton futur pack...
   

Oh dis donc, tu as écorché le pseudo de dlb 2 fois.
Faut pas trop boire de whisky

De plus, je comprend pas pourquoi :
et demande à Bricomix de ne pas mettre de spyware dans ton futur pack

Il n'y a pas de spywares dans les BricoPack, sinon ça se saurait

Il a bitdefender je crois, et chez lui le trojan apparait

Merci encore à JerryG

Bonjour messieurs,

Nouveauté: depuis aujourd'hui, BitDefender n'est pas le seul à détecter du code malicieux dans le bricopack: voici ce que f-secure vient tout juste de me dire:

Malicious code found in file C:\WINDOWS\BRICOPACKS\CRYSTAL CLEAR\REMOVE.EXE.
Infection: Trojan-Downloader.Win32.Zlob.tb
Action: The file was deleted.

Malicious code found in file C:\WINDOWS\BRICOPACKS\CRYSTAL CLEAR\UPDATE.EXE.
Infection: Trojan-Downloader.Win32.Zlob.tb
Action: The file was deleted.

Note: étant donné que f-secure contient plusieurs moteurs de détection, il est possible qu'il contienne aussi le moteur de détection de BitDefender. Ceci dit, bien qu'elle soit incomplète à ce niveau, l'étude de av-comparative.org ne liste pas BitDefender parmis la liste des moteurs de f-secure alors que BitDefender est cité dans la liste des autres anti-virus à moteurs multiples. Il est donc légitime, à mon avis, de considérer ces deux produits comme n'étant pas liés, même si il reste un possibilité qu'ils le soient effectivement.  

A titre indicatif, une courte description de win32.zlob selon f-secure et selon symantec

Conclusion: je comprends que celà gène ou ennuie, mais étant donné qu'on a là deux produits à priori différents (BitDefender et f-secure) qui détectent un trojan similaire sur le même fichier (update.exe), je pense sincèrement qu'une investigation plus poussée que "non, franchement, je crois pas" devient d'un coup beaucoup plus nécessaire.

Lire: même si il est possible qu'il ne s'agisse là que d'un false positive, il est à mon avis nécessaire de consider le problème sous l'angle de la sécurité et des problème que celà peut entrainer plutôt qu'en appliquant une politique de l'autruche qui est, sur ce sujet, plutôt malvenue et irresponsable.

Pour ma part, je vérifierais régulièrement ce qu'il en est, mais dans l'intervale, respectant le principe de précaution, je vais désinstaller CrystalXP des postes dont j'ai la charge (ce qui risque d'être difficile étant donné que le fichier remove.exe a été supprimé).

Cordialement,

-- Emmanuel D.

Bonjour Emmanuel D et bienvenue sur Crystal Xp
Merci pour ces précisions. J'aurais cependant une question, si les bricopacks contiennent ce trojan pourquoi les analyses faites sur mon pc ne trouve rien ? (Spybot, Avast, Panda en ligne).

Moi j'ai installer le bricopack Crystal clear depuis ça sortie et j'ai Bitdefender en version gratuite il a rien trouver donc la version gratuite est nul    

Quel est l'interet aussi ? Les créateurs des bricopack sont des profetionnels ! C'est comme si..Adobe mettait un virus dans photoshop ! Il n'y aurait aucun interet ! Surtout que update.exe n'est utilisé que si on le lance (je crois..)

Je crois que la t'a pas capté un truc... Des milliers de gens ont telechargé et installé ce bricopack sur leurs ordis   Si il etait infecté d'un quelconque virus, je pense que dlb aurait deja la police sur le dos  

De plus, il me semble que l'investigation a deja eté assez poussé   Bit-defender a une faille, cela a eté prouvé...

PS: Enfin bon, je comprend que tu puisse a voir des doutes mais la... Je t'assure qu'il n'y a aucun risque  

Pas des milliers des millions...

Bon maintenant le patron de Bitdefender nous doit des excuses ! (enfin à la team-brico )

Des milliers de gens ont écouté l'album Sony infecté par un rootkit avant que quelqu'un ne s'aperçoive du problème - et encore s'en est il aperçu parce qu'il travaillait sur le sujet et qu'il avait les compétences techniques pour le faire. Celà signifie-t-il qu'il n'y avait pas d'affaire "rootkit Sony"?

Le problème peut être similaire. Des nouveaux virus sont détectés chaque jour. Ca ne signifie pas qu'ils sont détectés le jour de leur création - il peuvent l'être bien plus tard. De plus, l'installateur de Crystal XP n'étant pas signé numériquement, qui peut être sur que l'éxécutable téléchargé par les utilisateurs est bien celui mis en ligne par les developpeurs? Casser les défenses d'un serveur web n'est pas du domaine de l'impossible, et la technique de mettre des images forgées ou des programmes forgés en lieu et place des véritables fichiers est utilisée routinement.

Comprenez moi: j'apprécie vraiment Crystal XP, mais je ne peux pas me satsifaire d'une annonce "promis juré craché, nous n'avons rien fait de mal" pour me rassurer. Je suggère en fait aux créateurs de Crystal XP de prendre rapidement contact avec BitDefender et F-Secure afin de tirer rapidement l'affaire au clair - sur la base de "croire n'est pas savoir". Je suis très heureux que vous n'ayez aucun doute. Pour ma part, et malgré le fait que je vous sais de bonne fois et qu'il y a peu de chance que vous ayez tort, je ne peux pas me permettre de laisser ne serait-ce qu'une chance de voire quelqu'un prendre la main à distance sur une dizaine de PC contenant des informations qui peuvent être sensibles.

Et merci pour le "bienvenue"

Cordialement,

Je capte les choses pas trop mal, d'habitude. Si seul f-secure avait crié, j'aurais dis "non, c'est bon". Mais j'apprends que Bit Defender crie aussi, je me dis "ah... suspect". Si demain on me dit que, effectivement, comme je le soupçonne (mais sans en avoir la preuve) f-secure utilise le moteur de BitDefender, je dirais "ok, les risques sont effectivement limités".

L'argument des milliers fonctionne bien avec des tas de chose, mais pas avec tout. Des miliers de gens ont mangé du boeuf contaminé par le prion de Creuzfel Jacobs (sp?), ça ne rendait pas le prion moins dangereux pour autant.

L'argument suivant:

Est à peut près aussi fort que "je l'aime, je ne peux donc pas l'avoir tué". "L'investigation" a ensuite consité à se rapprocher des developpeurs.
C'est de la méthode Coué, pas de l'investigation.

Je ne demande qu'à en avoir une certitude decente (genre, une tite preuve, au cas ou), histoire de pouvoir le réinstaller

Ceci dit, je ne souhaite pas vous apparaitre comme un paranoiaque au stade terminal. J'aimerais juste forcer les developpeurs du logiciel à <u>démontrer</u> que leur logiciel ne présente pas de risque. La sécurité informatique n'est pas une affaire de quasi-certitudes a priori.

A bientôt,

Emmanuel D.

Tous les bricopacks "infectés" ont été téléchargés depuis CrystalXp ?
Je m'explique : Est-il totalement impossible qu'une version redistribuée par un autre site ait été infectée par une personne malveillante ?

Si par contre, les packs viennent de Crystal, je ne vois pas comment ils pourraient être infectés.
Mais bon, je fais confiance à notre équipe, qui j'en suis sûre, planche sur ce problème. Crystal n'est pas dans le genre à laisser trainer des prblèmes de ce genre.

Bonjour à tous

Je ne pensais pas que la découverte de ce "trojan" dans mon pack Crystal allait remuer ciel et terre.

Dès sa découverte sur mon PC, j'en ai averti DIB, parce que je crois que c'est par la remontée d'information que la sécurité informatique s'améliore et non en passant sous silence des failles ou des anomalies.

Dans la foulée, j'ai aussi pris contact avec les développeurs de BitDefender (ma solution de protection : BD 9 Internet Security) avec qui j'entretiens d'excellentes relations.

La prompt réactivité de BD a permis en espace de quelques heures d'apporter une "explication" à cette alerte.

Le moteur intelligent de BD est capable de mettre au rencard des virus inconnus.

Dans ce cas, BD me signale ce qu'il a trouvé et bloque le fichier, empêchant ainsi toute infection possible, ce que je demande à un système de sécurité.

Prudence est mère de sureté.

BD classe le fichier comme non suspect, mais le signale tout de même, ce qui est rassurant sur les performances et la pertinence de la protection de BD.

Pour les saints Thomas, voici ci-dessous les images des alertes de BD que j'ai transmis à DIB et à BD.

http://liens-utiles.org/~jerry/rapportbd.jpg

http://liens-utiles.org/~jerry/danger2.jpg

La barre des taches de Windows comporte mon prénom : Jerry, au cas où certains auraient des doutes sur mes sources.

Mon PC se voit donc protéger et moi aussi.

Maintenant, nous sommes d'accord, les développeurs de Crystal n'ont aucun intérêt à incorporer un trojan dans leur logiciel, la puissance des moteurs de certains antivirus est capable de donner une alerte.

Tout comme Emmanuel, je partage aussi son sentiment, la sécurité informatique ne se résume pas à un "oui dire" et surtout pas à la politique de l'autruche.

J'étais d'autant plus surpris de la découverte de ce "trojan' dans mon Bricopack, que celui-ci vient directement des serveurs de Crystal.net.

Et oui, je préfère toujours voir le bon Dieu que ses saints.

Afin de rassurer tout le monde et les futurs utilisateurs des Bricopack, je pense que les concepteurs de ce pack Crystal doivent aussi plancher sur ma découverte.

Car entre BitDefender et F-Secure qui trouvent le même "trojan", nous sommes en droit de nous interroger, mais pas de nous effrayer, notre protection antivirale oeuvrant à 100 % dans ce cas là.

J'ai donc conservé mon pack Crystal, car BD vieille sereinement sur ma machine et je ne saurais me passer de ce logiciel si pratique.

Merci à DIB de nous communiquer les résultats de l'enquête.

Merci à toi en tout cas, c'est très rassurant, JerryG.

ouf,sa rasurre mais je pense pas que CrystalXp pouvait faire une chose pareille  

C'est bizarre que seul ces deux antivirus detectent quelque chose, non?

Tout est une histoire de confiance. Je fais confiance a dlb et a bricomix, je ne pense pas qu'ils s'amusent a rajouter des trojans dans leurs bricopack   Sa me suffit... Ils ont fournis un boulot enorme pour sortir ce pack, alors pourquoi risquer de tout ruiner en y ajoutant un virus?   C'est completement illogique

Allez, bonne soirée