vtuploader.pl est un script écrit par Cd-MaN qui permet d’uploader des fichiers suspects chez VirusTotal.com pour être analysés par plus d’une trentaine de moteurs anti-virus.

$ wget http://hype.free.googlepages.com/vtuploader.pl  
$ chmod +x vtuploader.pl

Nous allons prendre pour tests les virus fournis dans le récent article http://blog.untangle.com/?p=96
Les détails sont aussi sur http://virus.untangle.com/

$ wget http://virus.untangle.com/samples.zip  
$ unzip -P a samples.zip  
$ ./vtuploader.pl -nv all/000\_eicar.com  
Processing file all/000\_eicar.com  
MD5: 44d88612fea8a8f36de82e1278abb02f  
File size: 68 bytes  

Upload finished, waiting for scanning  
Enqued in position 10. Estimated start time between 93 and 133 seconds  
Scanning. Scanned with 31 engines  
Scanning done   
Infection count 32 out of 32  

File all/000\_eicar.com  

Antivirus...... Version ...... Last Update ......Result   
AVG ...... 7.5.0.476 ...... 2007.08.13 ...... EICAR\_Test  
AhnLab-V3 ...... 2007.8.9.2 ...... 2007.08.13...... EICAR\_Test\_File  
AntiVir ...... 7.4.0.60 ...... 2007.08.13 ...... Eicar-Test-Signature  
Authentium ...... 4.93.8 ...... 2007.08.13 ...... EICAR\_Test\_File  
Avast ...... 4.7.1029.0 ...... 2007.08.13 ...... EICAR Test-NOT virus!!  
BitDefender ...... 7.2 ...... 2007.08.13...... EICAR-Test-File (not a virus)  
CAT-QuickHeal ...... 9.00 ...... 2007.08.13 ...... EICAR Test File  
ClamAV ...... 0.91 ...... 2007.08.13 ...... Eicar-Test-Signature  
DrWeb ...... 4.33 ...... 2007.08.13...... EICAR Test File (NOT a Virus!)  
Ewido ...... 4.0 ...... 2007.08.13...... Not-A-Virus.Test.Eicar  
F-Prot ...... 4.3.2.48 ...... 2007.08.13...... EICAR\_Test\_File  
F-Secure ...... 6.70.13030.0 ......2007.08.13 ...... EICAR\_Test\_File  
FileAdvisor ...... 1 ...... 2007.08.13...... High threat detected  
Fortinet ...... 2.91.0.0 ...... 2007.08.13...... EICAR\_TEST\_FILE  
Ikarus ...... T3.1.1.12 ...... 2007.08.13 ...... EICAR-ANTIVIRUS-TESTFILE  
Kaspersky ...... 4.0.2.24 ...... 2007.08.13...... EICAR-Test-File  
McAfee ...... 5096 ...... 2007.08.13 ...... EICAR test file  
Microsoft ...... 1.2704 ...... 2007.08.13...... Virus:DOS/EICAR\_Test\_File  
NOD32v2 ...... 2457 ...... 2007.08.13...... Eicar test file  
Norman ...... 5.80.02 ...... 2007.08.13...... EICAR\_Test\_file\_not\_a\_virus! 
Panda ...... 9.0.0.4 ...... 2007.08.12 ...... EICAR-AV-TEST-FILE  
Prevx1...... V2 ...... 2007.08.13 ...... Win32.Malware.gen  
Rising ...... 19.36.02.00 ...... 2007.08.13...... EICAR-Test-File  
Sophos ...... 4.20.0 ...... 2007.08.12...... EICAR-AV-Test  
Sunbelt ...... 2.2.907.0 ...... 2007.08.11 ...... EICAR (v)  
Symantec ...... 10 ...... 2007.08.13...... EICAR Test String  
TheHacker ...... 6.1.8.167 ...... 2007.08.13 ...... EICAR\_Test\_File  
VBA32 ...... 3.12.2.2 ...... 2007.08.13...... EICAR-Test-File  
VirusBuster...... 4.3.26:9 ...... 2007.08.13 ...... EICAR\_test\_file  
Webwasher-Gateway...... 6.0.1 ...... 2007.08.13 ...... Virus.Eicar-Test-Signature  
eSafe ...... 7.0.15.0 ...... 2007.08.10...... EICAR Test File  
eTrust-Vet ...... 31.1.5055 ...... 2007.08.13...... the EICAR test string  

Additional information  

File size: 68 bytes  
MD5: 44d88612fea8a8f36de82e1278abb02f  
SHA1: 3395856ce81f2b7382dee72602f798b642f14140  
$  

Le test complet:

$ ./vtuploader.pl -nv all/*

/!\ Le script est à utiliser avec parcimonie pour éviter un DOS sur VirusTotal.com ou un filtrage du script de leur part…

  • La théorie

Le Chiffre de Vigenère est un système de chiffrement, publié en 1586 par Blaise de Vigenère.

Ce système de chiffrement fût une petite révolution et resta “incassable” jusqu’en 1854, année où Charles Babbage en réussit la cryptannalyse.

Les travaux de Babbage restèrent secret jusqu’au XXème siècle (en effet il travaillait pour le roi… donc on imagine l’intérêt à ne rien révéler), mais la cryptannalyse avait été également réussie et publiée par Friedrich Wilhem Kasinski en 1863.

Je laisse le lecteur allez lire comment fonctionne le chifffrement et sa cryptannalyse.

  • La pratique - Chiffrer/Déchiffrer

Un des moyens est d’utiliser gcipher qui est utilisable aussi bien en ligne de commande qu’en interface graphique.

sudo apt-get install gcipher

$ gcipher -c Vigenere -k linux  
yes yes yo yo  
jmf sbd gb sl  
$  
$ echo jmf sbd gb sl | gcipher -C Vigenere -k linux  
yes yes yo yo  
$

On peut constater que la “force” du chiffre de Vigenère est qu’une même lettre du texte en clair n’est pas chiffrée par la même lettre.

  • La pratique - Décrypter

Simon Liu à écrit une petite librairie python pour décrypter un texte chiffré en Vigenère. Il est préférable de “deviner” en quelle langue le texte est écrit, et de disposer d’un texte suffisament long pour fournir les répétitions nécessaires…

$ cd /usr/include/python2.5/  
$ sudo wget http://smurfoncrack.com/pygenere/pygenere.py  
$ python  
>>> from pygenere import *  

On insert la chaine chiffrée:

>>> encrypted = 'Yfi. 1cf Acg wmabcg cywhqscr si bsbcigcbi jwqpsh ch teojv sc bfdghh.[suite tronquée]

On demande à décrypter le texte (on ne connait pas la clé):

>>> print VigCrack(encrypted).set\_language('FR').crack\_message()  
Art. 1er Les hommes naissent et demeurent libres et egaux en droits.[suite tronquée]

Si on veut afficher la clé:

>>> print VigCrack(encrypted).set\_language('FR').crack\_codeword()  `
  YOPYOP 
>>> print VigCrack(encrypted).set\_language('FR').crack\_codeword(3)  
  YOP  

A noter:

  • J’ai utilisé dans l’exemple ci-dessus uniquement les 2 premiers articles (4 phrases).

  • Même sans préciser la langue (et avec le texte de l’exemple), le texte est correctement décrypté.

  • Avec un texte trop court (uniquement le premier article) nous obtenons tout de même:

Led romnes natcseot et dpweusent ltlret et eglex eo droiec.
  • Conclusion
We Esmqftp hp Vkriyetp rp pgfx oopn tls upvgit oi you usfru asfr esmqftpv oeu xidscrid mctw di kw e eowe hp mgxi ceutwee rcid dg 3 dmpcnpw pt npw ceesiccjpw oe epw 3 nraaxzgtltseu aifvgyx pttp wllwpid :) Mgcgt d cgstr hlme l gqjzrv oi oeeccatgc pl cqygwuutsy dg nie atemnlg !

cmailq de Craig Sanders permet d’afficher la queue postfix avec un message par ligne.

$ ./cmailq.pl
AADB7D3A19 * 1580373 Mon Jul 2 15:15:40 sender@me.com recipient@toto.com

nautilus-search-tool permet d’accéder a la fenêtre de recherche gnome par le clic droit sous nautilus…

Avec le dépot asher256:

sudo apt-get install nautilus-search-tool

…un restart de gnome..puis..

nautilus-search-tool-1

(Il y a déjà “nautilus-open-terminal” sur le screenshot)

nautilus-search-tool-2

L' applet gnomequi existe déjà par défaut

nautilus-search-tool-3

pfqgrep.pl - Postfix queue grep.

Ce petit script de Rob Chanter permet de simplifier les recherches dans la queue Postfix.

Les possibilités de recherche:

  • n’importe où
  • l’expéditeur
  • le destinataire
  • la raison du deferral
  • dans certaines queues
  • n’affiche que l’ID correspondant
$ ./pfqgrep.pl -r yahoo -i  
45200D39CC  
B5338D3A1D  
21FB5D3A34  
4BAE0D3A85  

Bien plus rapide à utiliser que de faire une ligne avec toute une série de grep et de awk