Non je ne confirme rien pour ma part car je n'ai pas assez de preuves et pas le temps pour désassembler leur client (et analyser ce qui en ressort).

Je pense à plusieurs choses :

• Ils ne savaient pas trop pourquoi il y avait cette alerte là car ils ont peut être récupéré des sources infectées sans réellement le savoir, qu'ils ont modifié leur fichier, recompiler le tout, obfusqué, crypter etc et pis après quand ils ont eu les alertes ils ont trouvé cette excuse bidon histoire de ne pas affolé la populace (après tout ce n'est qu'un trojan qui laisse juste ouvert un ou plusieurs port de votre machine, avec un bon firewall ça se contre)
  
• Ou alors c'est eux qu'ils l'ont mis dedans volontairement pour pouvoir avoir un accès sur les pc en cas de litige (peu probable à mon avis). Et dans ce cas, vu que ça ne touche pas tout le monde apparemment, il changerait la source de download pour qu'il y en ai des infectés et d'autre non histoire de rendre plus crédible la chose (j'y crois pas trop à celle là).
  
• Ou alors c'est un trojan qui se récupère ailleurs et qui se greffe à l'element client (genre un addon ou autre) le rendant contaminé (peu probable aussi car il ne se serait pas gêner de le mettre en avant).
  
• Ou alors ils disaient vrai, que les antivirus font de la merde car ils reconnaissent formellement et précisément le type d'infection alors que normalement il devrait le mettre comme susceptible d'être une menace (autant dire que j'y crois pas du tout à cette version mais bon chacun est libre de faire son choix ).
  

Hmmmm Plouf plouf ! Je choisis la deuxième solution! lol

Je n'en sais rien. Mais au vu des membres qui sont venus me dire qu'Ares est venu leur dire en privé dans le jeu qu'il "valait mieux qu'ils quittent le fofo PW-débat au plus vite etc..." alors que les membres en questions étaient ici sous un pseudo completement différent de leur pseudo IG, et qu'ils n'avaient même pas encore posté ici....

C'est arrivé plusieurs fois

Comme Antisolar, Avira s'acharne sur elementclient.exe, pour la même raison.
Et pour la même raison, je valide toujours.

J'ai surveillé pendant quelques temps les connexions entrantes et sortantes, rien à signaler (enfin parfois des trucs auxquels je ne comprenais rien, mais avec peu ou pas de débit (<100b total)). Enfin tout ce que ça veut dire, c'est qu'ils ne m'ont pas espionné. Toujours ça de pris.

En revanche, s'il y a des connaisseurs, j'aimerais des précisions sur les usages potentiellement dangereux des global hooks. J'ai lu pas mal de documentation, et apparemment ce sont des programmes permettant à une application d'avoir accès à la mémoire utilisée par toutes les autres (1). Selon la doc, c'est assez bénin, voire courant.

< Edit by self :

http://www.wilderssecurity.com/archive/index.php/t-20376.html a écrit:

A global hook is a piece of code (a DLL) loaded in every running processes to check for defined actions, and to react to it (drop them, modify them, log them). Any legit program providing keyboard shortcuts can use global hook to know each key you will press wherever you are, in any applications. Any trusted and known program you have can be allowed to (like Internet Explorer). If you don't know the program, scan it with AV and AT before.

/>

Mais personnellement, ça m'inquiète de voir qu'en 16'50'' de jeu (2), Comodo a bloqué 510 fois l'installation d'un de ces global hooks, soit environ une toutes les deux secondes (ah oui, ça ralentissait pas mal le jeu :s), plus deux tentatives d'accès direct à la mémoire.
A part les ralentissements inhérents à ces taches d'arrière plan, ràs sur le fonctionnement du jeu quant à ces blocages.

Alors peut-être que c'est vraiment bénin, et que je n'ai simplement pas vu en quoi ces interdictions ont gêné le jeu.
Mais si vous avez des informations complémentaires, je suis preneur.

_____________
(1) = toutes les autres applications, ma phrase est un peu bancale j'en conviens
(2) j'ai pas chronométré, ce sont les logs qui parlent

Bon, je me permets de double poster, vous m'en excuserez, mais j'ai fini mes analyses concernant le client.
Voici mon rapport.

Préambule

Pour mémoire, et au moment où j'écris ceci, les charges contre le client de Perfect World France sont les suivantes :

• présence supposée d'un trojan, supposition due à la connaissance étrange des administrateurs de certains éléments de la vie privée des joueurs
  
• présence supposée d'un spyware ("global hook") surveillant les activités des autres programmes lorsque le client est en marche, reconnu par Comodo
  
• présence supposée d'un virus ou autre malware dans le client déclenchant l'alerte antivirale de Avira

Il va sans dire que ces trois point peuvent éventuellement fusionner (un trojan qui déclenche l'alerte d'avira et qui setait un global hook).
J'ai effectué mes tests directement sur ma partition Windows à l'aide de Avast, Avira, Comodo, Spybot et Malwarebytes ; depuis ma partition linux à l'aide de ClamAV, et j'ai utilisé des rapports venant d'amis utilisant Kaspersky et Norton (je me suis d'ailleurs empressé de conseiller à ces derniers de changer rapidement).


Existence du trojan

Je ne dispose actuellement d'aucune preuve formelle impliquant l'existence d'un trojan dans le client. Après surveillance des applications et des échanges de paquets, et à moi que le transfert soit dissimulé dans le débit régulier du client, rien de suspect n'a attiré mon attention. Mais peut-être ai-je été chanceux ou suffisamment discret pour ne pas éveiller leur vigilance.
Je ne signalerais que la présence d'un ver dans mon ordinateur, mais d'une part un ver n'est pas un trojan, et d'autre part il est probable que ce fut un faux positif (la documentation est contradictoire concernant ce fichier), ainsi que probablement pas relié au jeu.

A propos du global hook

J'ai enfin trouvé à quoi servait cet élément : il permet de détourner l'écouteur des raccourcis clavier de Windows afin de fonctionner dans le jeu. En ce qui me concerne, l'utilisation de la combinaison [Alt] [Shift] pour passer de qwerty à azerty.
Pourquoi utiliser un tel programme, me demanderez-vous ? Parce que comme pour beaucoup de jeux avec un aspect visuel très important, il n'est pas possible d'utiliser explorer directement. Explorer, pour mémoire, est le composant de Windows qui est notamment responsable de l'affichage des fenêtres.
Utiliser explorer pour faire tourner un tel jeu serait la porte ouverte à les ralentissements vidéos monstrueux. Il est donc de coutûme de détourner le flux vidéo depuis windows pour le diriger directement vers la carte graphique. Et dans la foulée, on redéfinit la plupart des raccourcis claviers (là j'avoue, je m'avance dans un domaine que je ne maîtrise que moyennement). On dispose donc d'une application qui peut presque vivre comme si windows n'existait pas (d'où les lags quand on passe du jeu en plein écran vers le bureau de Windows, ou encore pourquoi est-ce que l'écran du jeu freeze quand il n'a pas le focus, visible uniquement en fenêtré).
Seulement, on peut avoir quand même besoin que Windows sache ce qu'on fait avec notre clavier ! Et c'est là que le global hook intervient : il lui dit d'écouter ce que elementclient reçoit comme signaux, et s'il reçoit un truc qui le concerne (le = Windows), alors il réagit.
Donc a priori, ce global hook est tout ce qu'il y a de plus bénin.

Après lecture de pas mal de documentation, il est courant pour Comodo de signaler les global hook sur les jeux, et ce comportement peut être paramétré.

Existence du virus.

Cet élément est surement le plus sujet à controverse. Après analyse du fichier elementclient.exe par six antivirus différents et indépendant (Avast, Avira, Comodo, Kaspersky, Norton (lol) et ClamAV), il en ressort que seul Avira lève une alerte dessus. Alors, faux positif ou faux négatif ?
Je veux bien croire qu'Avira soit extrêmement performant, et qu'il faut mieux avoir raison seul que tord avec tous, mais un contre cinq, ça commence à peser lourd. Je vous invite à éventuellement compléter ces expériences par d'autres antivirus de votre connaissance.
De plus, que nous dit exactement Avira. Nous signale-t-il un virus ? Non, il nous dit exactement ce que nous dit l'équipe d'administration du jeu, que le programme est encodé avec un système qui n'est pas reconnu (PCK/Enigma).Et pourquoi est-ce qu'il nous signale un programme malveillant là-dessus ? Tout comme Comodo se paramètre pour signaler les global hook, Avira se paramètre pour réagir aux formats de compression inconnus, et il est le seul à faire ça. C'est probablement une mesure de protection supplémentaire, mais envisagez les choses de cette façon : si Avira n'est pas capable de décrypter cette archive, c'est que aucun système référencé par lui ne permet de la décrypter. Donc aucune chance que l'ordinateur sur lequel est installée l'achive s'en sorte comme un grand. Il lui faut une clef, qui ne sera disponible qu'à distance. A quel moment l'obtient-on ? Au moment où on connecte le client au serveur du jeu.
Donc je me connecte, je décrypte l'archive (Avira gueule un coup parce qu'il ne comprend rien à l'archive), et puis plus rien, ça tourne tout seul. Plus d'insulte de la part d'Avira. Pourtant, une fois l'archive décryptée et chargée en mémoire, il devrait s'en rendre compte s'il y a un virus, non ?

Conclusion

Blanchi de toutes charges ? Oui et non.
Je n'ai pas trouvé de preuves innocentant complètement le client (après tout, il reste un certain nombre de zones d'ombre dans ce rapport, et mon analyse concernant le virus peut être contestée).
Je ne cherche pas à vous convaincre mais à vous fournir des éléments de réflexion. Je vous exorte à ne retenir que les éléments objectifs que j'ai cité, et faire abstraction de mes commentaires.
Concernant la récupération de données privées, ou plutôt leur connaissance de ces données, il n'est pas forcément nécessaire d'aller penser au trojan. Souvenez-vous que par recoupement d'informations, fouilles sur les réseaux sociaux (Facebook et compagnie), quelqu'un de motivé peut connaître beaucoup de choses sur vous. J'insèrerais bien une quote de bashfr ici, mais leur serveur est tombé, j'éditerais plus tard (^.~)

Tu écris vraiment très bien et tu as du passer beaucoup de temps à faire tout cela. Pour ma part je ne vois rien à contredire, je pense que Mido saura ajouter sa pierre à l'édifice.

C'est bien d'avoir fait un bilan là dessus.

Bonsoir,

Je n'ai que deux éléments à signaler :

Premièrement, en faisant un scan complet (il était temps) Avira à découvert 2 autres fichiers compressés à ce fameux format PCK/Enigma dans System Volume Information, ce qui me gène étant que ce sont également des fichiers exécutables (A0009854.exe et A0012845.exe). Bon, je ne sais ni à quoi ils servent, ni si ils représentent une menace. Ils jouent au foot en quarantaine à l'heure qu'il est, on est jamais trop prudent

Deuxièmement, si par exemple, je lance un programme "Anti.exe" qui est tout sauf un programme visant à détruire le processus "elementclient.exe", et que ce dernier est tué (ou plutôt se suicide) systématiquement, devrais-je m'inquiéter d'une lecture des autres processus de la mémoire par celui de PWF ?
Je précise que le programme "Anti.exe", qui ne s'appelle évidement pas comme cela n'a absolument aucune influence sur les "elementclient.exe" des serveur PW MY-EN et Fake Perfect World ce qui signifie que c'est propre à PWF.
Aucun rapport avec le "pwprotector.exe" que je tue presque systématiquement chaque fois que j'y pense (le processus TROP useless, pour autant que j'ai pu constater).
De même, l'ordre d'exécution des deux programmes n'à aucune importance :
elementclient.exe said : stkill myself

Bon je vais la refaire en simple :

Je lance Perfect World France.
Le processus elementclient.exe est exécuté.
Je lance mon autre programme (dont je persiste à taire le nom)
Dès que ce programme est lancé, le processus elementclient.exe est supprimé.

===========

Je lance Ferfect World MY-EN
Le processus elementclient.exe est exécuté.
Je lance l'autre programme.
Rien ne se passe.

===========

Ce que j'en déduis, c'est que ce n'est pas le second programme qui tue elementclient.exe, mais elementclient.exe qui se suicide dès qu'il détecte le processus du second programme. Par conséquent, je me demande si j'ai des raison de m'inquiéter que le processus elementclient.exe de PWF s'interesse aux autres processus qui tourne sur mon pc.

(moderated by self)

Sans précisions, je ne vois pas ce que tu peux attendre de nous. Je ne peux pas m'avancer sur quelque chose que je ne connais pas.
Je n'ai rien caché de mes analyses ni des programmes que j'ai utilisés, afin que d'autres puissent vérifier et contrôler mes résultats. Si tu ne veux pas en faire autant, tu devras chercher seul la réponse à ton problème.

Sache juste qu'il est d'autres façons de reconnaître un programme que son nom seul.

Anti ...La dual Box c'est pas bien

Il n'y a absolument aucun rapport avec la dual box.
Par ailleurs, quand je jouait en multiclient, je renommait simplement le nom d'une des fenêtre avec un programme tout bidon qui ne fait que remplacer un nom par un autre, et pour n'importe quelle fenêtre windows (en fait, c'est peut être ça votre dual-box, un programme qui renomme des fenêtres).

Sinon, je laisse tomber le sujet. J'ai simplement dis que le elementclient.exe, contrairement à celui de l'officiel, reconnait au moins un programme (qui en passant n'a absolument AUCUNE influence sur le jeu Perfect World) chargé en ram, et décide de se suicider dès sa détection.

Je voit pas ce qui est difficile à comprendre là-dedans, mais j'imagine que nous avons tous notre manière de penser.
Quoiqu'il en soit, ma question était simplement de savoir si je devait m'inquiéter que le elementclient.exe de PWF surveille les autres processus qui tourne sur mon pc. Mais visiblement, la question n'a pas été comprise, j'ai du mal l'exprimer.

Mon second programme pourrait aussi bien s'appeller ouioui.exe et faire apparaitre des bisounours morts pendus sur mon écran. Je ne voit aucune nécessité de vous en parler.

Je m'intéressais simplement aux détections mutuelles que sont autorisé à faire entres eux les processus.

Cependant, même si j'essaye une dernière fois de clarifier la situation, le sujet ne m'intéresse plus. Je n'apprécie guère perdre mon temps en questions réponses inutiles et j'ai déjà décidé pour abréger tout cela que elementclient.exe made in PWF n'a aucun besoin justifié de connaitre l'identité de mes autres processus.
Donc plus besoin de réagir à ce que j'ai pu dire concernant le suicide de mon elementclient.exe.

Voila un sujet intéressant !!
Alors, j'ai moi aussi fait mes recherche sur l'elementclient !!
En utilisant certain logiciel, on peut voir que l'elementclient est tout d'abord crypter dans un langages propre aux jeux et ..
On peut aussi voir qu'il a été modifier par un autre logiciel (que l'on peut trouver sur le web sous plusieurs nom car plusieurs logiciel différent)

Il contient en faites une première signature, celle de bejin et celle du logiciel en question qui sert tout simplement à insérer d'autre fichier à l'intérieur mais crypter différement... troyen ou pas??

J'ai donc étudier le dossier pwf et l'hexa de l'elementclient, on y retrouve deux fichier à l'intérieur (vive les breakpoint!), le fichier "serverlist" et le fichier "task.data" j'ai donc tester moi même en supprimant directement les deux fichier qui se trouve à l'intérieur du client les fameux "serverlist.txt" et "task.data".

Surprise !! je peut toujours me connecter sur Le serveur des Tyrans et je peut continuer a jouer sans aucun soucie malgré le manque des deux fichier, et la signature est crypter dans un langages qui n'est pas reconnue par les certain antivirus.
J'ai aussi fait le test avec l'ancien client qui contient un elementclient.exe au poid modeste de 5.01mo qui lui, a besoin de ces deux fichier et qui n'est pas considérer comme virus ou troyan contrairement a celui actuellemnt utilisé qui fait environs 7mo ...
J'espère ne pas me tromper dans ce que j'engages mais je pense bien que le problème d'antivirus vient de la.
Malin les Tyrans !! une façon d'essayé de cachés l'identités de l'ip du serveur en le packant directement dans l'elementclient pourtant, le whois est imparables ...