Winlogon.exe de Tiranium antivirus détecté comme un trojan

Salutations,

C'est la 3 ème fois que je reporte des faux-positifs concernant notre projet de sécurité.

Premièrement, c'était notre domaine et nos programmes. A présent, nos utilisateurs nous reportant un faux positif lors de l'accès à notre nouveau site web (http://tiranium-antivirus.olympe.in)

Image: Click here

Egalement, un faux positif sur l'application "winlogon" qui est crée pour la protection des processus du système, dont vous pouvez télécharger :

- Click here (dépendant du projet, ne fonctionnera pas comme il faut, seul)

En espérant à ne plus avoir à reporter des faux-positifs et en vous remerciant,

DubSeven

Trouver d'autres publications étiquetées avec

Réponses

fedor

Salutations,

C'est la 3 ème fois que je reporte des faux-positifs concernant notre projet de sécurité.

Premièrement, c'était notre domaine et nos programmes. A présent, nos utilisateurs nous reportant un faux positif lors de l'accès à notre nouveau site web (http://tiranium-antivirus.olympe.in)

Image: Click here

Egalement, un faux positif sur l'application "winlogon" qui est crée pour la protection des processus du système, dont vous pouvez télécharger :

- Click here (dépendant du projet, ne fonctionnera pas comme il faut, seul)

En espérant à ne plus avoir à reporter des faux-positifs et en vous remerciant,

DubSeven

bonjour dubseven,

effectivement ton site est bloquer par bitdefender.

je pense a un faux positif,si c'est le cas le support technique fera le necessaire pour qu'il soit debloquer.

En cas de faux positif sur un site (détection de malware), il faut désactiver l'option 'Analyser http' depuis la personnalisation de l'analyse à l'accès (de la protection en temps réel).

bon week end.

Yann A.

Bonjour Dubseven,

Alors, je rappelle qu'il est fortement déconseillé de faire cohabiter deux antivirus sous peine de voir apparaître des incompatibilités qui pourraient entraîner des faux positifs ou des dysfonctionnements divers.

Ensuite, vous admettrez que nommer un processus winlogon est un peu risqué. Winlogon étant un processus générique de Windows, il est donc tout à fait admissible qu'un antivirus puisse déclarer suspect un processus qui porte le même nom (et s'il se lance depuis une zone sensible du système, cela renforce la possibilité de détection).

Je vais remonter ce faux positif au labo, mais je pense qu'il n'a pas de fumé sans feu, ils me le confirmeront certainement. Les faits énoncés plus haut peuvent rendre suspect et détectable ce programme (dont le nom de fichier et peut-être le fonctionnement, pourraient être confondus avec certains processus utilisés par des malwares).

D'ailleurs vous remarquerez que nous ne sommes les seuls à détecter votre processus, certainement pour les raisons énoncées plus haut : https://www.virustotal.com/fr/file/03484d801cc645bf8aa85c7f5d7e60223f6735aeff09fb8996e4704e925e340e/analysis/

Yann A.

Bonjour Dubseven,

Je reviens vers vous et je vous confirme qu'il ne s'agit pas d'un faux positif, le fichier winlogon.exe continuera à être détecté en tant que Trojan.Agent.BBJB. Je rappelle que certains de nos concurrents considèrent ce programme comme étant suspect également :

https://www.virustotal.com/fr/file/03484d801cc645bf8aa85c7f5d7e60223f6735aeff09fb8996e4704e925e340e/analysis/1389686135/

Yann A.

Bonjour,

Après discussions après l'équipe du labo, il a été décidé de retirer la détection. Mais il faut absolument que vous évitiez de nommer un processus winlogon comme le processus générique de Windows et que surtout dans les propriétés du fichier, vous évitiez d'indiquer qu'il s'agit de 'Windows NT Logon Application'. De plus il semble que l'exécutable soit obfusqué et auto-signé.

Il ne faut donc pas s'étonner que cette partie de votre programme soit détecté par des antivirus. Car clairement tout est fait pour que la plupart des systèmes heuristiques des antivirus décident qu'il puisse s'agit d'un processus malveillant.

dubseven

Bonjour,

Merci à vous et à l'équipe des Labos.

Ce fichier est un fichier doivent être camouflé contre les pirates le plus possible, nous l'avont camouflé de cette façon pour attirer le moins d'attention possible des pirates car c'est un processus qui permet la restauration des pertes et est vitale au bon fonctionnement des autres processus de notre projet.

Bonne journée et veuillez accepter mes excuses pour mon retard à répondre.

Vigen

Je déterre ce topic !!

J'ai fait un papier la dessus sur Infomars.

C'est une arnaque ce truc.

Il est bien que BD comme DrWeb, Avira, Eset etc etc bloque ce site qui est une pure escroquerie.

Pas de mention légales, on "Purchase" en faisant une donation ^^

Y'a un moment faut arreter....

Cordialement;

Vigen.