/!\ FrAndroid infecté ! /!\

[Androc]

Bonjour,

ce matin en allant sur le site de FrAndroid j'ai eu la surprise d'avoir une popup Java m'indiquant qu'un module n'était pas signé et ne pouvait donc pas s'exécuter correctement.

Il s'agit de BrowserUpdate en provenance de http://thetest.fileave.com/.

Lorsqu'on visite cette URL, on se rend compte qu'il y a quelque chose de pas normal (si ça n'était pas déjà le cas), des exécutables avec des noms étranges, un zip nommé Ramona Sexy.zip, ainsi que le fameux BrowserUpdate.jar ...

Ca pue du ***.

J'ai téléchargé BrowserUpdate.jar pour le décompiler et le code, très simple m'a tout l'air d'être un bon gros trojan : ça télécharge des exécutables/scripts sur l'ordinateur et les exécute.

Méfiance, donc.

[Ulrich]

On a enlévé le code infecté et on check le serveur dans tous les sens. Pour le moment, c'est OK.

En tout cas, merci de nous avoir signalé ça !

[Androc]

Ah ouf, c'était donc bien un vrai problème.

Ca me "rassure" dans le sens où :

- je ne suis pas fou

- cela ne vient pas d'ailleurs auquel cas je devrais chercher partout d'où ça provient :)

A priori ça s'est fait récemment car j'ai eu le problème ce matin.

En regardant le code de BrowserUpdate je peux essayer de donner une procédure de détection pour savoir si quelqu'un a eu le malheur d'exécuter l'Applet.

:excl: Procédure de détection d'infection (Windows et Mac peuvent être touchés)

- ouvrez une fenêtre de commande Windows, pour les utilisateurs de Mac, je suis désolé je ne connais pas les commandes. Les utilisateurs de Linux sont à priori épargnés.

- tapez la commande suivante

echo %temp%

- aller dans le répertoire résultat de la commande et chercher un fichier du nom de h56whuj.vbs (ou n'importe quel fichier vbs au cas où le nom ai été changé avant que je scrute la source) et un fichier du nom de grjsuoe.exe (ou n'importe quel exe suspect), supprimez les

Le fichier vbs sert juste à télécharger le .exe et je ne sais pas ce que fait cet exe mais étant donné que le site que j'ai mentionné dans mon premier post est bourré de Trojans ...

Une question aux admin, dans le code infecté, le paramètre serverurl était positionné à quel valeur ?

Edit : au passage, je ne sais pas si c'est lié mais j'ai cet avertissement dans la source en entête du site FrAndroid : "Warning: Parameter 1 to polyglot_filter_array() expected to be a reference, value given in /home/frandroid/www/wp-includes/plugin.php on line 170"

[Lutak]

Merci, j'étais infecté

[Androc]

Arf, cela veut donc dire que certains navigateurs peu scrupuleux exécutent des Applets non signées sans que ça leur pose de problème ... je n'ose demander le nom du navigateur ;)

En tout cas, cela veut dire que si Lutak a été infecté, il se peut que d'autres soient dans son cas, auquel cas il serait bon de prévenir les visiteurs à une plus grande échelle au cas où.

[Lutak]

C'est google chrome, si ils m'ont demandé, mais je me suis dit que c'était lié au nouveau design du site, qu'ils avaient rajouté des modules ou autre donc j'ai accepté surtout venant de frandroid. Je me méfierais à 2 fois la prochaine fois.

[Androc]

Je me doutais d'une réponse de ce style.

Comme quoi, preuve est faite que :

- il faut toujours se méfier de choses étranges, même en provenance d'un site de confiance

- il faut toujours se méfier de choses étranges, même en provenance d'un site de confiance

:)

[Androc]

C'est à nouveau là ! Le site est de nouveau infecté ! Que se passe-t-il ?

C'est tout en bas dans un div qui s'appelle : advanced_text-19.

Se pourrait il qu'il y ai une faille du site qui permette à quelqu'un l'injection de ce code ?

Edit : j'ai contacté le service de dépôt filehave.com afin qu'ils suppriment ce compte.

Edit 2 : génial ... l'envoi du mail provoque cette erreur : 550 550 User is over quota. En clair, c'est un service tout pourri qui croule sous les spams et qui sert à priori, uniquement de dépôt pour ce genre de conneries.

Edit 3 : à priori ce n'est pas la première fois que ça arrive sur FrAndroid : cf https://forum.frandroid.com/topic/38938-popup-malveillant/. La même faille qui n'a pas été patchée sur la nouvelle version ou une nouvelle faille ?

[GuichenZeDinJ]

Fichiers hosts pour les users ?

Pr l'instant, pas de pb. Et le site est selon bactisme, en html5

[Androc]

Je ne suis pas certain de voir le rapport entre ton message Dark-DJ et le sujet.

[fabidesca]

avast me dit qu'il a un probleme et que le site est investé(pas le forum)

[GuichenZeDinJ]

Excuse. Là, pas de pb avec moi

[Sofien31]

non le site n'est pas infecté et pas non plus le forum apparemment! pour le tester, taper l'url dans ce site de test http://www.urlvoid.com/

[Androc]

Si il a bien été infecté et plusieurs fois aujourd'hui. Cela s'était déjà produit en janvier comme je le souligne dans un des messages.

[Ulrich]

Nous sommes sur le problème !