Méfiez-vous des archives auto-extractibles WinRAR ou ou 7-Zip, elles pourraient vouloir du mal à votre ordinateur. Des chercheurs en sécurité ont découvert que ce type de fichiers était utilisé par des pirates pour implanter des backdoors dans un système d’exploitation… sans éveiller de soupçons.

En lisant la boucle utilisée, j’ai quand même l’impression qu’il faut un accès physique au pc.

Par exemple il faut donner le mot de passe d’extraction de l’archive winrar après le reboot pour que cela lance la prise de contrôle à fort privilege. Utilman s’ouvre aussi en cliquant sur le bouton ergonomie en bas à gauche sur l’écran logon
Un outil de prise de controle apres un download? Mais alors une clé usb ferait aussi bien (si c’est accessible)

2023, des chercheurs découvrent que des archives auto-extractibles peuvent transmettre de la merde. S’ils continuent leurs travaux, peut-être finiront-ils par découvrir la roue et le feu.

Conclusion 2: utiliser Windows defender qui gratuit et plus efficace que les antivirus payants.

Dans ce cas pécis, ce n’est pas une cochonnerie dans la charge utile (decompression bomb, fichiers vérolés, …) mais cela permet d’exécuter du code non vérifié par l’anti-virus, de manière silencieuse, c’est quand même nettement plus gênant même si au final, le résultat est le même!

c’est clair, ca fait un peu suer par contre, car on est beaucoup de sysadmin a déployer des outils par ce biais

En utilisant des scripts dans une archive ?

<<Windows Defender parvient ‹ parfois › à réagir convenablement>> désolé, mais « parfois » n’est pas suffisant. même si Windefender se défends bien, face à bitdefender par ex, y a une grosse diff ^^

Oui je fais du batch et des opérations que je compile dans un SFX, genre installer automatiquement openvpn + le profil de connexion

Oui, « parfois » n’est pas suffisant. Mais il y aura toujours des faux positifs (chiants mais pas grave) et des faux négatifs (plus embêtants!), l’euristique ou l’IA c’est bien, mais prévoir l’imprévisible est compliqué, Bitdefender n’est pas magique, il y a aussi un risque!

C’est vrai que jamais est bien mieux que parfois.

Windows défendre a été le premier et est le plus avancé sur les défenses par in memory scripts et living off the land.

Ce n’est pas un scénario standard et il est très possible qu’il soit bloqué prochainement par le développeur de l’archive, par l’os ou par les antivirus.

Si tu tiens à continuer, tu peux probablement minimiser les risques en activant la restriction d’exécution aux scripts signés sur toutes les machines et en signant tes scripts. Mais ça reste de la bidouille.

Il serait mieux d’utiliser un mdm, un outil de gestion de parc on -prem ou même une gpo d’installation.

Pour le packaging, soit celui du soft de distribution, soit app installer de Microsoft ou un des très nombreux soft dispos: Package a desktop app using third-party installers - MSIX | Microsoft Learn

Click droit sur l’archive exécutable et décompression, le virus sera détecté…

Clairement ^^

« Conclusion 2: utiliser Windows defender qui gratuit et plus efficace que les antivirus payants. »

Tout à fait d’accord avec toi !

Backdoor → Porte dérobée.
Le français c’est toujours plus agréable que les anglicismes.