Author Topic: Comportement suspect de Avast lors de scans  (Read 3583 times)

0 Members and 1 Guest are viewing this topic.

Offline phil camps

  • Newbie
  • *
  • Posts: 2
Comportement suspect de Avast lors de scans
« on: September 11, 2018, 06:18:20 PM »
Bonjour,
j'ai pu constater sur les serveurs que j'administre des logs suspects provenant de Avast. Ces logs indiquent que des machines de mon réseau sur lequel Avast est installé, effectuent des requêtes GET afin de récupérer le fichier /etc/passwd. Ces requêtes n'aboutissent pas heureusement. Je vois d'habitude ce genre de requêtes provenant de hackers. C'est la raison pour laquelle ces logs m'intriguent et vous posent la question suivante : 

Pourquoi avast chercherait-il à récupérer un fichier password qui le confond avec la signature d'attaques sur le réseau ?
Est-ce que Avast serait compromis ou chercherait à récupérer des informations à notre insu ?

Ces logs apparaissent au moment où les utilisateurs lançaient un scan avast.

- - [10/Sep/2018:07:42:23 +0200] "GET / HTTP/1.1" 302 206 "-" "avast! Antivirus"
 - - [10/Sep/2018:07:42:23 +0200] "GET /HNAP1/ HTTP/1.1" 302 212 "-" "avast! Antivirus"
 - - [10/Sep/2018:07:42:54 +0200] "GET /language/Swedish${IFS}&&ping$IFS-c1$IFS-s41${IFS}>/dev/null&&tar${IFS}/string.js HTTP/1.1" 302 330 "-" "avast! Antivirus"
 - - [10/Sep/2018:07:42:55 +0200] "GET /language/Swedish${IFS}&&echo${IFS}AVAST-HNS-SCAN-PROBE>AVAST-HNS-SCAN-PROBE&&tar${IFS}/string.js HTTP/1.1" 302 332 "-" "avast! Antivirus"
 - - [10/Sep/2018:07:42:55 +0200] "GET /../../../../../../../mnt/mtd/AVAST-HNS-SCAN-PROBE HTTP/1.1" 400 226 "-" "avast! Antivirus"
 - - [10/Sep/2018:07:42:55 +0200] "GET /../../../../../etc/passwd HTTP/1.1" 400 226 "-" "avast! Antivirus"

Bien cordialement

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76034
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Comportement suspect de Avast lors de scans
« Reply #1 on: September 13, 2018, 11:48:39 AM »
Hi, that's related to WiFi-Inspector, nothing to worry about.
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline Jacques Fondaire

  • Super Poster
  • ***
  • Posts: 2168
Re: Comportement suspect de Avast lors de scans
« Reply #2 on: September 13, 2018, 01:44:44 PM »
Bonjour,

Merci Asyn.

Je vais traduire la réponse pour les lecteurs exclusivement francophones de ce forum :

"Cela provient de Wi-Fi Inspector, il n'y a pas de quoi fouetter un chat".

Dont acte.

Sincères salutations,

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76034
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Comportement suspect de Avast lors de scans
« Reply #3 on: September 13, 2018, 01:56:19 PM »
Bonjour, Merci Asyn.
Salut Jacques, de rien. :)
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline phil camps

  • Newbie
  • *
  • Posts: 2
Re: Comportement suspect de Avast lors de scans
« Reply #4 on: September 13, 2018, 02:21:00 PM »
Pour vous, cela est connu, provient de Wi-Fi Inspector et donc normal.
Cela ne vous choque pas que Avast cherche à récupérer par le réseau un fichier sensible de mot de passe sur un serveur Linux.
Et bien la confiance en Avast en prend un sacré coup !

Quoi qu'il en soit, je fais informer les utilisateurs qu'il leur est interdit d'utiliser Avast sur leur machine et vais remonter à ma chaîne fonctionnelle du SI le problème d'intrusion de Avast sur systèmes informatiques (délit pénal).

Cordialement

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76034
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Comportement suspect de Avast lors de scans
« Reply #5 on: September 13, 2018, 02:44:38 PM »
If you don't need/want WFI, you can disable or even uninstall it.
-> https://support.avast.com/article/96/ (Add/Remove components)
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline chris...

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 2974
Re: Comportement suspect de Avast lors de scans
« Reply #6 on: September 14, 2018, 06:55:11 PM »
Cela ne vous choque pas que Avast cherche à récupérer par le réseau un fichier sensible de mot de passe sur un serveur Linux.


Bonjour,

moi si , et bien que je n'ai pas tous les éléments pour comprendre se qui se passe réellement , ce que je trouve le plus choquant , c'est de conseiller de simplement désinstaller le Wi-Fi inspector sans autres explications , confiance ou pas.
C'est - je pense - autrement plus grave de voir de telles données sortir de notre disque dur.

Ceci dit , je ne vois pas avast prendre ce risque si ce qui transite était un délit , et que personne dans le monde ne soit allé plus loin.

Offline Jacques Fondaire

  • Super Poster
  • ***
  • Posts: 2168
Re: Comportement suspect de Avast lors de scans
« Reply #7 on: September 15, 2018, 02:37:57 PM »
Bonjour,


Je vais commencer par traduire le dernier message d'Asyn.

"Si vous n'avez pas besoin de Wi-Fi inspector ou si vous n'en voulez pas, vous pouvez le désactiver et même le désinstaller" Explications sur le site d'Avast :
https://support.avast.com/fr-fr/article/96/

Je ne dispose pas d'outils qui me permettent d'expliquer le fonctionnement précis de l'analyse réseau faite par Avast. J'espère, comme chris disposer de plus d'éléments.

Ce que j'ai déjà observé, c'est que Wi-Fi Inspector recherche un ensemble de problèmes réseau, parmi lesquels l'existence d'un mot de passe faible. Pour ce faire, il doit donc chercher les mots de passe utilisés.
Si cela reste en interne et prévient l'utilisateur - et seulement lui - que c'est une mauvaise idée d'utiliser "123456" comme mot de passe réseau, cela ne me paraît pas incompatible avec le rôle d'un logiciel de sécurité.
Autre chose serait que ces mots de passe soient récupérés et transmis...

Je crois qu'Asyn consacre beaucoup de temps à aider les utilisateurs d'Avast. À ce titre, je lui fait confiance, à priori, s'il nous écrit que ce n'est pas inquiétant.

Je suis très intéressé par les observations de chacun concernant les scans...

Sincères salutations,




REDACTED

  • Guest
Re: Comportement suspect de Avast lors de scans
« Reply #8 on: September 17, 2018, 02:41:30 PM »
Merci pour la traduction, mon anglais est tout rouillé