Virus détecté depuis la maj de decembre

"elementclient.exe
Contient le cheval de Troie TR/Crypt.XPACK.Gen"

j'ai Avira AntiVir Personal

bon voila tout est dit, j'aurais aimé savoir si je suis le seul dans ce cas
Avant cette maj de decembre mon antivirus ne détectait pas le virus/trojan (si il en avait un)
Je sais que parfois certains antivirus font des fausses alertes donc je sais pas si c'est une fausse alerte ou quoi..

Je pose la question aux autres: est-ce le même fichier qui était détecté par d'autre utilisateurs depuis plusieurs mois? Ou en est-ce un autre?

Cette détection est une détection générique d'Avira, donc peut être un faux positif.

Tu peux tester ce fichier ICI et voir si il est un peu plus précis ou s'il ne trouve rien de particulier (ça ne veux pas forcément dire que c'est clean mais plus rassurant que le premier cas...).

C'est toujours le même faux positif. J'imagine que comme elementclient est mis à jour, l'exception de sécurité de ton antivirus est rendue obsolète.

Mouai alors j'ai testé ton scan Mido et il n'y a que peu de virus qui détectent quelque chose : 4/40 soit 10% (faible...) et ceux qui détectent ont un résultat sur le nom de fichier suspect différent...

Ca donne ça :

AntivirusVersionDernière mise à jourRésultat

a-squared	4.5.0.43	2009.12.08	-
AhnLab-V3	5.0.0.2	2009.12.08	-
AntiVir	7.9.1.102	2009.12.08	TR/Crypt.XPACK.Gen
Antiy-AVL	2.0.3.7	2009.12.08	-
Authentium	5.2.0.5	2009.12.02	-
Avast	4.8.1351.0	2009.12.08	-
AVG	8.5.0.426	2009.12.08	-
BitDefender	7.2	2009.12.08	-
CAT-QuickHeal	10.00	2009.12.08	-
ClamAV	0.94.1	2009.12.08	-
Comodo	3103	2009.12.01	-
DrWeb	5.0.0.12182	2009.12.08	-
eSafe	7.0.17.0	2009.12.08	-
eTrust-Vet	35.1.7164	2009.12.08	-
F-Prot	4.5.1.85	2009.12.08	-
F-Secure	9.0.15370.0	2009.12.07	-
Fortinet	4.0.14.0	2009.12.08	-
GData	19	2009.12.08	-
Ikarus	T3.1.1.74.0	2009.12.08	-
Jiangmin	13.0.900	2009.12.02	-
K7AntiVirus	7.10.915	2009.12.08	-
Kaspersky	7.0.0.125	2009.12.08	-
McAfee	5826	2009.12.08	-
McAfee+Artemis	5826	2009.12.08	-
McAfee-GW-Edition	6.8.5	2009.12.08	Trojan.Crypt.XPACK.Gen
Microsoft	1.5302	2009.12.08	-
NOD32	4671	2009.12.08	-
Norman	6.03.02	2009.12.08	-
nProtect	2009.1.8.0	2009.12.08	-
Panda	10.0.2.2	2009.12.08	-
PCTools	7.0.3.5	2009.12.08	-
Rising	22.25.01.09	2009.12.08	-
Sophos	4.48.0	2009.12.08	Sus/ComPack-C
Sunbelt	3.2.1858.2	2009.12.08	-
Symantec	1.4.4.12	2009.12.08	-
TheHacker	6.5.0.2.088	2009.12.07	-
TrendMicro	9.100.0.1001	2009.12.08	-
VBA32	3.12.12.0	2009.12.08	Trojan-GameThief.Win32.Magania.cngw
ViRobot	2009.12.8.2076	2009.12.08	-
VirusBuster	5.0.21.0	2009.12.08	-

Rien d'important alors, sa m'a fait bizarre quant même que mon AV ai détecté quelque chose après la maj et pas avant :/

Les antivirus donnent des noms différents, mais le contenu est le même.
L'idée est que elementclient, ou plutôt une partie de l'archive elementclient qui contient les traduction, a été encryptée avec un programme généralement utilisé par les pirates informatiques. Ce genre de programme laisse des traces derrière lui, et c'est cette signature qui est détectée.

L'erreur raconte juste qu'elementclient a été encodé bizarrement. Avec Avira, avant ça apssait dans la catégorie de détection "compression utilisant un format inconnu". Si tu avais décoché ce warning, normal que tu n'aies rien vu.

Après, évidemment, on peut s'inquiéter du fait que ça ait changé de catégorie. Mais sincèrement, je crois qu'il n'y a pas de raison de s'inquiéter outre mesure

dark_archmagus a écrit:: Les antivirus donnent des noms différents, mais le contenu est le même.
L'idée est que elementclient, ou plutôt une partie de l'archive elementclient qui contient les traduction, a été encryptée avec un programme généralement utilisé par les pirates informatiques. Ce genre de programme laisse des traces derrière lui, et c'est cette signature qui est détectée.

L'erreur raconte juste qu'elementclient a été encodé bizarrement. Avec Avira, avant ça apssait dans la catégorie de détection "compression utilisant un format inconnu". Si tu avais décoché ce warning, normal que tu n'aies rien vu.

Après, évidemment, on peut s'inquiéter du fait que ça ait changé de catégorie. Mais sincèrement, je crois qu'il n'y a pas de raison de s'inquiéter outre mesure

on reconnait les gens qui connaissent le fonctionnement des anti virus XD

dark_archmagus a écrit:: Les antivirus donnent des noms différents, mais le contenu est le même.
L'idée est que elementclient, ou plutôt une partie de l'archive elementclient qui contient les traduction, a été encryptée avec un programme généralement utilisé par les pirates informatiques. Ce genre de programme laisse des traces derrière lui, et c'est cette signature qui est détectée.

Source?

pas besoin de source c'est la logique même l'exe piraté pour pouvoir changer les serveurs avec un logiciel de hacking , modification de code source est prit pour un virus car c'est la fonction de certains virus ci-cité plus haut .

Le truc marrant, c'est qu'il y'a quelques jours, l'antivirus signalait ce.. cryptage, plusieurs fois ( 7/8 ) au cours du lancement du jeu, un peu comme un trojan tentant de joindre l'extérieur de manière répétitive.

Cette histoire de cryptage inconnu me semble un peu grosse à avaler, si ce problème est connu, pourquoi les éditeurs ne l'intègrent pas à leurs soft?

Etant donné les divers moyens utiliser par le staff, ou une partie du staff, s'inquiétant si gentiment de la sécurité du serveur ( j'entends pas la le hack de pc de joueurs qui remuent un peu trop ) ce ne serait pas particulièrement étonnant que le jeu ai une backdoor..

Tous simplement parce que ce système de cryptage est utilisé majoritairement pour les virus/trojan. Il existe d'autre système de cryptage reconnu certifié par un organisme de sureté (donc payant) il me semble de mémoire de poisson. Eux par contre ils sont pris en compte par les softs de protections. Prend l'exemple des sites internet sécurisé (utilisant donc le protocole https) avec un certificat délivrés par un organisme dit de confiance (où le webmaster paye pour l'obtenir) et un autre site sécurisé par le même procédé mais avec un certificat créée par lui même. FireFox dans ces dernières version affichera aucune alerte pour le premier cas et pour le second il te bloquera la page et te demandera d'ajouter une exception, puis d'accepter le certificat et encore un clic.

Ça montre surtout le professionnalisme et la légalité de PWF... Après pour être sur, rien de tel qu'un bon netstat ou un sniffer pour vérifier les ports ouverts, ce qui transite réellement et vers où.

Personnellement je ne pense pas que c'est dangereux : faux positif.

Client/Serveur, va distinguer les données correspondants aux échanges normaux de ceux correspondants à l'utilisation d'une backdoor.. A moins d'éplucher paquet par paquet, et de les décrypter par dessus le marché.

C'est vraiment royal pour ça quand même les jeux de ce type.. Même pas besoin d'ouvrir un accès, il est servi sur un plateau d'argent, tout le monde ouvre ses portes délibérément, ET sur demande du gars qui a mis en place/utilise l'accès. La classe!

résultat d'un netstat avec le jeux ouvert?

TCP nomdupc:23xx 122.226.206.91.tanhost:29000 ESTABLISHED
ElementClient.exe

Super..

Bin le principe d'une backdoor c'est de laisser une porte ouverte derrière pour laisser entrer les voleurs. Si tu as que ça d'ouvert ça veut bien dire que tu n'as pas de backdoor (port ouvert) par contre si quand tu quittes le jeux, le port reste ouvert là faudra s'inquiéter. De toute façon si tu as un bon firewall et un bon antivirus si des infos transitent à ton insu ils t'en informerons bien assez vite et souvent après les avoirs bloqués.

Si tu me crois pas fais toi un petit programme de test qui récupère un fichier en local et l'envoi à un serveur distant (en ftp par exemple) là tu verras si tu es bien protégé Wink

Ps : ça m'étonnerai que toutes les données entre le jeux et le serveur soient cryptées (assez couteux pour peu d'utilité).

Qu'est-ce-qui les empêcherait d'utiliser le port déjà ouvert?

Bah écoute bon firewall & antivirus, ça n'a jamais empêché une personne d'en hacker une autre, la ralentir sans doute, mais pas bien plus..

Bin tout simplement parce qu'un socket ne peut être lié qu'à une unique application à la fois Wink

J'ai pas trop envie de m'attarder sur ce sujet mais hacker une personne c'est pas si facile et ça passe en général par du social engineering avant tout donc en étant un peu parano (je parle pas du membre sur ce fofo Wink

) sur les bords et quelques connaissance en info on ne risque pas grand chose (pour qu'un hacker, digne de ce nom, s'intéresse à toi et notamment à ton PC faut vraiment que tu es fait quelque chose de grave).

En gros mon AV s'affole pour modification du fichier avec encodage bizarre? :/

merci pour les réponses en tout cas =)

Le jeu étant modifié régulièrement avec les patchs, je ne voit pas ce qui les empêcheraient de faire les modifs leurs ouvrant l'accès et les inclurent à un patch annoncé par exemple.
Je pense notamment aux patchs dont les modifications sont infimes et qui pourrait servir de couverture pour d'autres modifications plus.. intéressantes.

il prépare peut être une bombe réseau quand il seront obligé de plier bagage XD

Cela ne me surprendrait même pas.

^^. C'est bien d'avoir de l'humour et d'être optimiste, mais je pense qu'ils ont déjà montré de quoi ils sont capables.

Sujet: Re: Virus détecté depuis la maj de decembre Lun 11 Jan 2010 - 17:57

Et euh... sinon en traduit ca donne quoi tout ca?
moi perso j'y connait que dalle alors c'est bon ou pas bon pour l'ordi?

Virus détecté depuis la maj de decembre Icon_rolleyes

Sujet: Re: Virus détecté depuis la maj de decembre Mer 13 Jan 2010 - 0:33

truc a écrit:: Et euh... sinon en traduit ca donne quoi tout ca?
moi perso j'y connait que dalle alors c'est bon ou pas bon pour l'ordi?

De quoi parles-tu?

Sujet: Re: Virus détecté depuis la maj de decembre Mer 13 Jan 2010 - 10:59

bonjour,
il parle du "virus" détecté avec la mise à jour du "client" de pwf, débat qui dure et dont les non-initiés jouant ou ayant joués, attendent une conclusion afin de savoir :
1/ Si il y a un risque et lequel,
2/ ce qu'il faut faire pour virer un éventuel intrus.

Sur ce, je laisse le vénérable Mid the Mig répondre parce que moi aussi j'y comprends nib !

Sujet: Re: Virus détecté depuis la maj de decembre Mer 13 Jan 2010 - 14:39

Pour ma part, si virus il y a (j'y crois peu), il n'y a pas de moyen de le retirer si ce n'est de supprimer le fichier incriminé, l'element client, donc d'arrêter de jouer à PWF.

En gros arrêter PWF si vous avez peur de ce faux/vrai positif et commencer sur un PW officiel et sinon bin continuer de jouer et vérifier régulièrement vos relevés bancaires au cas où ce serait un vrai positif Wink

Je laisse les autres membres "informaticien" apporter leur pierre à l'édifice mais je pense qu'on a fait le tour de la question.

Ps : un bon firewall indique si un programme tiers lance un autre programme, si il accède à des zones mémoires non permises, etc...

Sujet: Re: Virus détecté depuis la maj de decembre Mer 13 Jan 2010 - 16:40

Comme Comodo... =P