VisuGed
Existence d'un Cheval de Troie

Question :
Je suis très embarrassé toujours avec ce problème de Trojan " cheval de Troie ", en français.
Pourquoi la Windows Defender détecte un Trojan s'il n'existe pas ?
Comment le contourner ?



Réponse de Gérard MANNIG :
J'étais déjà intervenu il y a quelques semaines sur ce problème visiblement permanent. je me sens obligé aujourd'hui de faire de même en apportant quelques éclaircissements supplémentaires. 

La version 13xxx de VisuGed que je possédais jusqu'à ce matin fonctionne sans réveiller mon anti-virus (DrWeb). Ayant procédé au téléchargement et à l’installation de la version 14, je fais le même constat d'innocuité : tant lors du téléchargement, de l'installation et du lancement du logiciel.

Il faut en effet savoir qu'un antivirus bien paramétré doit être en mesure de travailler sous ces trois aspects, sans parler des autres types de protection ici hors-sujet.

Le fait que le verdict négatif signifié par la « sécurité » Windows vous émeuve est bien naturel. Toutefois, étant donné l'extrême médiocrité de cette pseudo-protection (comme ça, c'est clair), vous ne devez pas vous alarmer outre mesure. Personnellement, le produit Windows Defender est tout bonnement désactivé. Je ne peux pas être plus clair.
Il faut savoir que détecter valablement, c’est-à-dire sans faux-positifs et, naturellement, surtout sans faux-négatifs, requiert un sacré doigté.
Que l'élaboration d'une « signature » d'identification (sorte de code génétique, si vous préférez) soit approximative et c'est un programme, voire plusieurs programmes qui se retrouvent suspects avec parfois des conséquences inouïes (je pèse mes mots) pour leurs éditeurs.

Ce que je vous conseille de faire est d'aller sur le site https://www.virustotal.com et de lui soumettre le fichier VISUGED.EXE depuis votre disque dur, voire une ou deux des versions antérieures de VisuGed pour vous rassurer. Ceci se fait depuis : https://www.virustotal.com/gui/home/upload 
Vous aurez ainsi le verdict d'environ 62 (soixante-deux) produits antivirus. Vous excuserez du peu.

QUE TOUT CEUX D'ENTRE VOUS QUI ONT DE TEMPS A AUTRES DES PROBLEMES DE VIRUS (OU DE SIMPLES DOUTES) AGISSENT DE MÊME.

Je viens moi-même de le faire pour vous donner directement la page de résultats

Vous constaterez que Microsoft est bel et bien le seul à trouver quelque chose à redire à VISUGED. Pour des raisons purement mathématiques, je pense fiable de croire au verdict conjoint de 62 juges plutôt que celui d'un seul même si la perfection n'est pas de ce monde. 

Windows, dans ce scenario, a purement et simplement effacé le programme. Évidemment, quand on n'est pas informaticien, c'est une solution séduisante que de demander à un produit antivirus se faire le ménage automatiquement. Ceci est toutefois bien hasardeux, sinon suicidaire. Je m'en explique.

En effet, si jamais un jour, vous décidez de porter plainte, votre avocat restera à la case-départ car vous ne pourrez jamais lui remettre un spécimen du programme suspect, votre anti-virus ayant jugé bon de la virer lui-même. On n'accuse évidemment pas sans preuve.

Même chose si vous vous retournez vers l'éditeur du programme suspecté ;: la première chose qu'il vous demandera est une copie exacte du « moteur » installé sur votre disque dur, accompagné du journal d'exploitation de l'anti-virus. Ce dernier élément est aussi très suivent ignoré, ce qui est très mauvais en cas de contexte infectieux. Encore pour ces mêmes raisons, vous tourner vers l'éditeur de l'anti-virus amènera aussi celui-ci à vous demander le journal d'exploitation de l'anti-virus (appelé aussi « log ») surtout si, au niveau de ses essais en interne, il n'obtient pas le même verdict que vous.

J'en profite du reste pour le dire à tout le monde sur cette liste : face à un « malware » (programme malveillant), ne paramétrez pas votre antivirus pour qu'il procède à un effacement définitif. Je viens d'en expliquer les raisons. Il existe des solutions alternatives sages comme une mise en quarantaine comme vous l'avez expérimenté. Le programme suspect est alors encrypté, ce qui en empêche toute exploitation future par qui que ce soit. L'anti-virus est évidemment à même de le restituer sous sa forme originelle, au besoin. 

Autre truc de métier (pour ceux qui savent travailler avec des archiveurs) ; archiver au format que vous voulez(*) et AVEC mot de passe. Ainsi, plus personne ne pourra alors l'utiliser sans votre aval, pas davantage que votre antivirus ne pourra efficacement en faire l'analyse.
Pas même vous si vous égarez le mot de passe !

Également, il fut une époque (que je pense révolue) où l'installation d'un logiciel était très encadrée, au point qu'une seconde installation était carrément impossible à moins d'expliquer le pourquoi du comment à son éditeur afin que celui-ci vous remettre une seconde copie installable du logiciel. 

Vous comprenez, j'espère, pourquoi connaître un minimum de choses en matière de virus et autres joyeusetés est indispensable ?

Cordialement,

(*) à partir de Windows 7 ou 8 (je ne sais plus), Windows livre l'archiveur RAR qui est parfait.

Gérard MANNIG
ex-membre de la Wild List
Découveur de 19 virus - Veille Internet, Web visible et invisible.
http://fr.linkedin.com/in/gerardmannig 
Modérateur de la liste "WebSite-Watcher" française

Autres exemples de "Faux-positifs"

https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/6547651-zhpsuite

Avec des conséquences néfastes pour certains éditeurs. 
https://www.google.com/search?client=firefox-b-d&ei=mejkXv70HaqWlwSoyLDwCA&q=trojan.win32.azden.b+"faux+positif"&oq=trojan.win32.azden.b+"faux+positif"

https://www.sosvirus.net/depannages-informatique/viewtopic.php?p=331365

Date : 13 juin 2020