Androc Posted September 16, 2011 Share Posted September 16, 2011 Bonjour, ce matin en allant sur le site de FrAndroid j'ai eu la surprise d'avoir une popup Java m'indiquant qu'un module n'était pas signé et ne pouvait donc pas s'exécuter correctement. Il s'agit de BrowserUpdate en provenance de http://thetest.fileave.com/. Lorsqu'on visite cette URL, on se rend compte qu'il y a quelque chose de pas normal (si ça n'était pas déjà le cas), des exécutables avec des noms étranges, un zip nommé Ramona Sexy.zip, ainsi que le fameux BrowserUpdate.jar ... Ca pue du ***. J'ai téléchargé BrowserUpdate.jar pour le décompiler et le code, très simple m'a tout l'air d'être un bon gros trojan : ça télécharge des exécutables/scripts sur l'ordinateur et les exécute. Méfiance, donc. Link to comment Share on other sites More sharing options...
Ulrich Posted September 16, 2011 Share Posted September 16, 2011 On a enlévé le code infecté et on check le serveur dans tous les sens. Pour le moment, c'est OK. En tout cas, merci de nous avoir signalé ça ! Link to comment Share on other sites More sharing options...
Androc Posted September 16, 2011 Author Share Posted September 16, 2011 Ah ouf, c'était donc bien un vrai problème. Ca me "rassure" dans le sens où : - je ne suis pas fou - cela ne vient pas d'ailleurs auquel cas je devrais chercher partout d'où ça provient :) A priori ça s'est fait récemment car j'ai eu le problème ce matin. En regardant le code de BrowserUpdate je peux essayer de donner une procédure de détection pour savoir si quelqu'un a eu le malheur d'exécuter l'Applet. :excl: Procédure de détection d'infection (Windows et Mac peuvent être touchés) - ouvrez une fenêtre de commande Windows, pour les utilisateurs de Mac, je suis désolé je ne connais pas les commandes. Les utilisateurs de Linux sont à priori épargnés. - tapez la commande suivante echo %temp% - aller dans le répertoire résultat de la commande et chercher un fichier du nom de h56whuj.vbs (ou n'importe quel fichier vbs au cas où le nom ai été changé avant que je scrute la source) et un fichier du nom de grjsuoe.exe (ou n'importe quel exe suspect), supprimez les Le fichier vbs sert juste à télécharger le .exe et je ne sais pas ce que fait cet exe mais étant donné que le site que j'ai mentionné dans mon premier post est bourré de Trojans ... Une question aux admin, dans le code infecté, le paramètre serverurl était positionné à quel valeur ? Edit : au passage, je ne sais pas si c'est lié mais j'ai cet avertissement dans la source en entête du site FrAndroid : "Warning: Parameter 1 to polyglot_filter_array() expected to be a reference, value given in /home/frandroid/www/wp-includes/plugin.php on line 170" Link to comment Share on other sites More sharing options...
Lutak Posted September 16, 2011 Share Posted September 16, 2011 Merci, j'étais infecté Link to comment Share on other sites More sharing options...
Androc Posted September 16, 2011 Author Share Posted September 16, 2011 Arf, cela veut donc dire que certains navigateurs peu scrupuleux exécutent des Applets non signées sans que ça leur pose de problème ... je n'ose demander le nom du navigateur ;) En tout cas, cela veut dire que si Lutak a été infecté, il se peut que d'autres soient dans son cas, auquel cas il serait bon de prévenir les visiteurs à une plus grande échelle au cas où. Link to comment Share on other sites More sharing options...
Lutak Posted September 16, 2011 Share Posted September 16, 2011 C'est google chrome, si ils m'ont demandé, mais je me suis dit que c'était lié au nouveau design du site, qu'ils avaient rajouté des modules ou autre donc j'ai accepté surtout venant de frandroid. Je me méfierais à 2 fois la prochaine fois. Link to comment Share on other sites More sharing options...
Androc Posted September 16, 2011 Author Share Posted September 16, 2011 Je me doutais d'une réponse de ce style. Comme quoi, preuve est faite que : - il faut toujours se méfier de choses étranges, même en provenance d'un site de confiance - il faut toujours se méfier de choses étranges, même en provenance d'un site de confiance :) Link to comment Share on other sites More sharing options...
Androc Posted September 16, 2011 Author Share Posted September 16, 2011 C'est à nouveau là ! Le site est de nouveau infecté ! Que se passe-t-il ? C'est tout en bas dans un div qui s'appelle : advanced_text-19. Se pourrait il qu'il y ai une faille du site qui permette à quelqu'un l'injection de ce code ? Edit : j'ai contacté le service de dépôt filehave.com afin qu'ils suppriment ce compte. Edit 2 : génial ... l'envoi du mail provoque cette erreur : 550 550 User is over quota. En clair, c'est un service tout pourri qui croule sous les spams et qui sert à priori, uniquement de dépôt pour ce genre de conneries. Edit 3 : à priori ce n'est pas la première fois que ça arrive sur FrAndroid : cf https://forum.frandroid.com/topic/38938-popup-malveillant/. La même faille qui n'a pas été patchée sur la nouvelle version ou une nouvelle faille ? Link to comment Share on other sites More sharing options...
GuichenZeDinJ Posted September 16, 2011 Share Posted September 16, 2011 Fichiers hosts pour les users ? Pr l'instant, pas de pb. Et le site est selon bactisme, en html5 Link to comment Share on other sites More sharing options...
Androc Posted September 16, 2011 Author Share Posted September 16, 2011 Je ne suis pas certain de voir le rapport entre ton message Dark-DJ et le sujet. Link to comment Share on other sites More sharing options...
fabidesca Posted September 16, 2011 Share Posted September 16, 2011 avast me dit qu'il a un probleme et que le site est investé(pas le forum) Link to comment Share on other sites More sharing options...
GuichenZeDinJ Posted September 16, 2011 Share Posted September 16, 2011 Excuse. Là, pas de pb avec moi Link to comment Share on other sites More sharing options...
Sofien31 Posted September 16, 2011 Share Posted September 16, 2011 non le site n'est pas infecté et pas non plus le forum apparemment! pour le tester, taper l'url dans ce site de test http://www.urlvoid.com/ Link to comment Share on other sites More sharing options...
Androc Posted September 16, 2011 Author Share Posted September 16, 2011 Si il a bien été infecté et plusieurs fois aujourd'hui. Cela s'était déjà produit en janvier comme je le souligne dans un des messages. Link to comment Share on other sites More sharing options...
Ulrich Posted September 16, 2011 Share Posted September 16, 2011 Nous sommes sur le problème ! Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.