Détournement mél yahoo ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Détournement mél yahoo ?

Messagede rhinograde » 03 Oct 2009, 16:55

Bonjour



Sur une boîte que j'utilise exceptionnellement, je viens d'avoir ce message et j'ai bêtement répondu, la baissse de vigilance du samedi après-midi peut-être ou simplement parce que la boîte n'est pas très active... Donc rajout de deux questions secrètes demandées sur ma boîte.

Que dois-je faire ? Supprimer mon adresse yahoo ?

Merci d'avance aux esprits charitables et intelligents


"Certaines informations de votre compte Yahoo! ont changé.
Samedi 3 Octobre 2009 17h05mn 23s
De:
Cet expéditeur a été certifié DomainKeys.
"yahoo-account-services-fr@cc.yahoo-inc.com" <yahoo>
Ajouter l'expéditeur dans les contacts
À:
diarhese@yahoo.fr
Les informations suivantes ont été ajoutées dans votre compte :
nouvelles questions secrètes

Vous pouvez utiliser la ou les adresses mail de rechange déclarées dans votre compte Yahoo! pour changer votre mot de passe. Pour garantir que les informations de leur compte restent correctes et sécurisées, nous signalons à nos utilisateurs toute modification (ajout, changement, suppression) apportée à ces informations.

Cordialement,
L'équipe de services aux membres Yahoo!
********************************************************
Cette demande de changement a été déposée le : 03 octobre 2009 à : 17:05 CEST."
rhinograde
 
Messages: 16
Inscription: 02 Mai 2007, 21:24

Messagede Sévérian » 05 Oct 2009, 08:03

Boujour,

Si l'adresse est dormante, autant la supprimer.

Sinon, dans le doute, changer tous les paramètres d'accès (mdp, questions) depuis le portail Yahoo directement.

Au vu du texte du message, j'arrive pas à déterminer si c'est un truc informatif ou un détournement (mais chuis pas bien réveillé encore...)

Quoi qu'il en soit, ne jamais perdre de vue que toute demande de modif de paramètres d'accès (ou tout simplement d'identifiant + mdp) par mail est louche. Par principe.
Mes configs
"Lisez !!! ça reposera le clavier"
Avatar de l’utilisateur
Sévérian
 
Messages: 813
Inscription: 02 Sep 2005, 16:47
Localisation: devant le clavier

Messagede rhinograde » 05 Oct 2009, 21:35

Cher Sévérian,

Je consulte tardivement, puisqu'il s'agit d'une machine domestique.

Voilà, j'ai bien l'impression que c'est plus grave

J'utilise AVK comme antivirus qui m'envoie comme message : Virus.Trojan.Win 32.Qhost.mcf ce matin avant de partir en étant sur la toile :
Le programme a tenté d'ouvrir le fichier infecté :
host (en allant dans le répertoire concerné, qque chose comme win32\drivers\etc, et le testant avec AVK ou Malwarebytes : rien d'anormal!), j'interdis l'ouverture du fichier bien entendu.

De la même manière une analyse globale de l'ordinateur avec AVK ne considérait pas que hosts était infecté ;

Ce soir, analyse avec Malwarebytes qui ne trouve rien sinon Adware.Adon , mais pendant cette analyse, AVK envoie un message comparable : Virus.Trojan.Win 32.Qhost.mcf, le programme a tenté d'ouvrir le fichier infecté :
host.bak (sis dans Doc & sett\Localservice\Localsettings\Application Data) : en y allant pas de fichier host.bak visible!

De même, en allant dans le répertoire de hosts : le fichier n'est plus visible (suprrimé ou non-affichable par le cheval de Troie, une recherche classique avec affichage des fichiers sys et cachés ne donne rien dans drivers\etc, mais il y en a un dans \I386, apprt le même que le "backup" : hosts.20090507-223220.backup du 5/8/2004 avec 1 ko.

Pour l'instant, je considère qu'il y a bien quelque chose de pas normal et n'ose plus ouvrir la boîte yahoo.

Je ne suis pas expert, apprt Hijackthis et spybot destroy ne trouvent rien de particulier, mais s'il faut vous envoyer le rapprt HJThis
J'arrive à naviguer correctement sans les message de ce matin !!! Vraiment curieux

Bonne soirée et d'avance merci,

Ce soi
rhinograde
 
Messages: 16
Inscription: 02 Mai 2007, 21:24

Messagede Vazkor » 06 Oct 2009, 01:06

Bonjour,

Rhinograde,

Il me semble que tu mélange tout.

Il n'y a sur Windows qu'un seul fichier Hosts légitime.
C'est Hosts avec "s" à la fin du nom mais pas d'extension.
C'est un fichier texte, que l'on peut lire et modifier avec n'importe quel éditeur de texte pur tel que le Bloc-Notes (notepad.exe). Il ne peut en aucun cas être exécuté.
Il ne peut donc pas être infecté mais seulement corrompu ou modifié par une malveillance.
Son emplacement normal sous Windows XP est dans C:\Windows\system32\drivers\etc

Le but initial de Hosts présent sur tous les système d'exploitation - et pas seulement Windows - a toujours été d'accélérer la traduction d'adresses normales en adresses IP sans interroger un serveur DNS (Domain Name Server).

Pour ce faire Hosts contient une liste de "adresse-IP adresse-normale"
Exemple:
212.27.63.98 assiste.forum.free.fr

On détourne Hosts de sa fonction initiale en liant l'adresse IP de son ordinateur (127.0.0.1 localhost) à l'adresse du site que l'on veut bloquer :
127.0.0.1 www.google.com va bloquer l'accès à www.google.com mais pas à google.com

Une malveillance va modifier Hosts :
- soit pour empêcher l'accès à des sites de sécurité et donc empêcher de mettre un antivirus à jour ou de se procurer des utilitaires de désinfection, etc. en ajoutant des lignes 127.0.0.1 adresse-de-sécurité
- soit pour envoyer vers un site malveillant au lieu du site désiré en mettant l'IP du site malveillant devant l'adresse du site légitime.

Quand on suspecte Hosts d'avoir été corrompu, le plus simple est de renommer ce fichier en Hosts.NON par exemple (si on veut l'analyser ou le faire vérifier) ou de le supprimer froidement et de recharger un fichier Hosts sain.

Je conseille le MVPS Hosts de Mike Burgess mis à jour une fois par mois.
Le fichier zip que l'on télécharge contient un fichier mvps.bat qui s'occupe du remplacement du fichier Hosts existant après en avoir fait un backup (Hosts.mvp)
http://www.mvps.org/winhelp2002/hosts.htm

Download: hosts.zip [right-click - Select: Save Target As] [Updated Sept-02-2009]

This download includes a simple batch file (mvps.bat) that will rename the existing HOSTS file to HOSTS.MVP then copy the included updated HOSTS file to the proper location. For more information please see the readme.txt included in the download.
@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede rhinograde » 06 Oct 2009, 08:09

Cher Vazkor,

Je vous remercie beaucoup pour votre réponse faite dans la foulée.

Pour le mélange :
Si vous me relisez, cette infection est venue après avoir fait la bêtise de répondre à un site qui se réclamait de yahoo (hameçonnage ?) et me demandait deux nouvelles questions secrètes, troublant de ne pas y voir un lien de cause à effet.

Par ailleurs, j'ai oublié dans la précipitation de mettre un s à host, et comme moi-même suis aussi à cheval sur l'ortho, je vous en remercie.
Pour le reste, merci de l'adresse que vous me donnez pour télécharger un fichier sain - je n'ai pas encore envisagé cette solution, car je ne comprends pas encore la disparition/masquage (?) de hosts -, je ne suis pas plus fixé sur le fait que ce fichier n'existe apparemment plus dans le répertoire d'origine, c.à.d. celui que j'avais indiqué (en sautant un ou deux répertoires-parents pour faire vite ; mais sur assiste.com, il y a des raccourcis qu'on peut corriger implicitement), il me fallait bien savoir son emplacement pour le vérifier et surtout pourquoi AVK le considérait comme infecté dans un premier temps et ensuite dans un deuxième temps, sa sauvegarde placée dans un autre répertoire. Par ailleurs, vous écrivez qu'il n'y a qu'un seul hosts dans le système, alors pourquoi en y-a-t-il un dans windows\system32\I386\ qui est exactement le même que celui avec une extension backup dans windows\system32\drivers\etc ? Le systèm se serait-il emmêlé les crayons à un moment donné ?

J'ai toujours considéré AVK comme très fiable.

Si vous avez des pistes, merci d'avance et bonne journée

Quia homo homini lupus est atque lupos amas, hominem etiam amas. (syllogisme tiré par les cheveux).
rhinograde
 
Messages: 16
Inscription: 02 Mai 2007, 21:24

Messagede Vazkor » 06 Oct 2009, 10:11

Salut,
hosts.20090507-223220.backup du 5/8/2004 avec 1 ko.

1 Ko c'est bien trop peu pour un vrai fichier Hosts. Ce doit être une copie du fichier hosts.sam que l'on trouve normalement dans \drivers\ etc comme exemple de fichier Hosts.

En l'ouvrant avec le bloc.notes tu devrais avoir quelque chose de ce genre :

Code: Tout sélectionner
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqués par le
# symbole '#'.
#
# Par exemple :
#
#      102.54.94.97     rhino.acme.com          # serveur source
#       38.25.63.10     x.acme.com              # hôte client x

127.0.0.1       localhost


Sur un système NT la taille d'un cluster est normalement de 4 Ko, mais on peut la définir à 1 Ko. Un fichier de taille inférieure à celle d'un cluster occupera toujours la taille du cluster sur le disque dur. Cela explique les différentes valeurs que l'on lit dans l'Explorateur (1 Ko) et dans les Propriétés du fichier : Taille 491 octets Taille sur le disque : 4 Ko.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede rhinograde » 06 Oct 2009, 20:29

Bonsoir,

De retour du travail, je vous réponds de suite et vous remerciant de votre réponse matinale.
L'exemple que vous donnez correpond exactement au contenu de la sauvegarde du fichier hosts que je vous avais indiquée dans mon précédent message et sise dans \...\etc.
Ceci étant, que me conseillez-vous, puisque je n'ai plus de fichier hosts dans ce répertoire ?
J'ai vérifié ce qui se passe dans AVK : 103 fichiers hosts en quarantaine, donc bien infectés le 5.10 dans la journée et une dernière fois host.bak le 5.10 au soir ; depuis rien : en faisant tourner AVK sur tout l'ordinateur durant la phase d'infection, il ne trouve rien, mais le détecte en temps réel (sur la Toile et l'explorateur Windows par exemple, AVK me délivrait le message fichier host infecté par ce cheval de Troie). Je n'ai rien trouvé sur la Toile à propos de cette bêbête (en particulier dans la liste gérée par AVK), ni rien de convaincant sur ce fameux message yahoo.accounts et double question secrète.
Peut-on vivre sans hosts (? ! sans jeux de mots) ou vaut-il mieux en avoir un ? Cela pourrait être celui ce vous m'avez conseillé.
Si le cheval de Trois est encore là et spécifique du fichier hosts, on devrait le voir attaquer après l'installation, non ? Ou fais-je une crise de parano ?

P.S. J'avais oublié ma configuration : Windows XP Pro, antivirus et pare-feu AVK de Gdata, malewarebytes, spybot, ces derniers parfaitement aveugles à ce cheval de Troie.

Bonne soirée,
rhinograde
 
Messages: 16
Inscription: 02 Mai 2007, 21:24

Messagede Vazkor » 07 Oct 2009, 01:39

Bonjour,

Je ne vois pas d'où vient ton problème.
On peut très bien vivre sans hosts présent sur le PC dans drivers\etc mais c'est se priver d'une protection simple et efficace.

Pour en avoir le cœur net, applique la procédure préalable et poste les trois rapports dans le forum Logs Hijackthis.

@+

P. S. : Je ne suis si matinal que cela. En fait je n'ai plus d'heures fixes pour dormir. Je viens de dormir 2 hr et je n'ai plus sommeil.
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede rhinograde » 07 Oct 2009, 07:34

Bonjour,

Juste avant de partir, je viens de lire votre réponse.
Si je comprends bien, il y a de quoi faire ce soir, malewarebytes ne m'avait rien trouvé, mais cela ne mange pas de pain de essayer encore...
Merci pour cette réorientation vers un autre forum.

Bonne journée/sieste,
rhinograde
 
Messages: 16
Inscription: 02 Mai 2007, 21:24


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 27 invités