ALERTE: TRES IMPORTANT

[tristesir]

Je ne pense pas, j'avais pour ma part détecté le dirFORyou cette nuit

Dans la version du script que je l'ai décodé avant 22h14 hier soir, je ne vois aucune mention de cet url.
Je suis en train de mentionner le script sur le serveur letton.

Il y'a une heure j'ai redécodé une version fraichement obtenue de ce script et le "dirforyou" est effectivement présent.

le site (...)online.biz qui est appelé aussi par la page lettone contient un autre script malicieux qui essaie d'implanter un autre programme malveillant qui est hébergé à l'heure actuelle sur ce même serveur et qui est toujours actif à l'heure où j'écris ces mots.

Ce script était déja à l'oeuvre hier.

Le bilan:
en plus du fichier original qui sert de tête de pont pour l'invasion
deux autres programmes malveillants sont succeptibles d'être exécutés.

PS:
Le site qui contient le premier script n'est pas celui dont le nom de domaine est dans l'iframe présente sur les pages d'actu.
Ce site n'est qu'un simple redirecteur pour le moment
C'est l'autre site dir machin qui hoste le script malicieux.

[tristesir]

Tux12 a raison, un whois montre que ces deux sites sont hébergés par le même serveur.

PS: on s'amuse comme on peut.
Dommage que Noel est passé sinon j'aurais commandé une panoplie de cyber détective au père Noel

[maguy]

Vous me fichez les jetons, vous deux

Que peut-on faire pour ne pas se retrouver... vérolée

Comme je ne comprends pas un traitre mot de votre cyber-langage

[tux12]

Dans la version du script que je l'ai décodé avant 22h14 hier soir, je ne vois aucune mention de cet url.

Ok, je suis arrivé sur Actu après 22H14 hier, mais dès minuit environ, l'url était là.

le site (...)online.biz ...

Ce script était déja à l'oeuvre hier.

Je confirme avoir vu quelque chose de semblable dans la barre inférieure de firefox dès cette nuit.

Le site qui contient le premier script n'est pas celui dont le nom de domaine est dans l'iframe présente sur les pages d'actu.
Ce site n'est qu'un simple redirecteur pour le moment
C'est l'autre site dir machin qui hoste le script malicieux.

D'accord avec toi.

un whois montre que ces deux sites sont hébergés par le même serveur

Au moins les 3 sites dir4you rxpharma et xxxmovies. Il me manque la syntaxe précise du ...online.biz pour savoir ce qu'il en est de celui-là.
edit: le domaine freesexonline_POINT_biz est lui aussi sur le même serveur et le domaine appartient à la personne citée précédemment.
Registrant Name: Ivan Ketereverov
Registrant Organization: cheapcialis.org
Registrant Address1: Briviabas street 50-12
Registrant City: Riga

edit: Au delà du nettoyage du code, il reste à trouver ou est la faille qui à permis de rentrer sur le serveur, sous peine que ça recommence rapidement.

[tux12]

Bonsoir Maguy,

Je n'ai pas de réponse simple à votre question, en dehors de "ne plus se connecter au web".
La sécurité passe par plusieurs choses, qui incluent des moyens techniques tels un système d'exploitation et un navigateur à jour (mises à jour de sécurité) , un pare-feu bien configuré, un anti-virus performant et j'en oublie sans doute (mais je n'ai même pas d'anti-virus). En cas de doute d'infection, il existe des sites qui proposent des vérifications et désinfections. Je peux vous conseiller http://assiste.com.free.fr/index.html et leur forum en cas de difficultés.

[tristesir]

edit: Au delà du nettoyage du code, il reste à trouver ou est la faille qui à permis de rentrer sur le serveur, sous peine que ça recommence rapidement.

Oui en effet.

Il aurait fallu dès la découverte du problème mettre hors ligne Actu avec un message d'excuse et d'appel à repasser un peu plus tard le temps que le nettoyage soit fait.

Le fait de ne pouvoir rien faire alors que le problème est identifié est assez désespérant

[maguy]

Merci Tux12, j'ai linké le lien, mais ne suis pas plus avancée, c'est une langue étrangère pour moi

Au niveau de la messagerie, je vire sans pitié et mets sur liste rouge les inconnus, mais je ne vois pas quoi faire d'autre.

[tristesir]

Au niveau de la messagerie, je vire sans pitié et mets sur liste rouge les inconnus, mais je ne vois pas quoi faire d'autre.

Pour etre infecté, il suffit juste de venir sur actu' avec un navigateur qui n'a pas été mis à jour, nul besoin de cliquer sur quoique ce soit.

La seule "erreur" faite est d'éteindre son ordinateur et de le rallumer en l'occurence.

C'est à ce moment là, en effet, que tous les troyans telechargés par la tete de pont, qui ne sert qu'à rapatrier des fichiers, seront executés pour la premiere fois et commenceront leur sale boulot nuisible.

Tout du moins c'est ce que je comprends du mecanisme dans le cas d'espece

Tout ceci est navrant et j'espère ne durera plus trop longtemps

[tristesir]

A ce propos si vous utilisez VLC (un lecteur multimédia libre et gratuit)
Mettez le à jour: il y'a une alerte de sécurité majeure sur ce programme qui a été émise le 28/02/08:

http://www.secuser.com/vulnerabilite/20 ... player.htm

[informatik]

Chez moi, cela a fait ça sous IE avec java installé.Je suis d'ordinaire sous fire fox.

on dirait donc que c'est un programme java et signé...(je n'ai pas essayé de voir ce que c'est...).

[tux12]

Désolé Maguy, je vous fais un MP.

[Yves]

Désolé…

Entre Sophie qui est au fond de son lit (terrassée par une angine), Gaëlle (notre prestataire conception/maintenance info) en vacances, et notre hébergeur, Alvaro, qui attend qu'on passe sous php5… on ne peut rien faire.

Cependant, je pense que le risque d'infection, via Actuchomage, est faible au regard de l'absence générale de témoignages par mail (en dehors de cette file de discussions).

Je ne peux pas non plus couper provisoirement l'accès au site (je n'ai pas les clés en ma possession).

En attendant que les choses rentrent dans l'ordre, évitez Actuchomage.

Je vais mettre un message d'alerte en Une pour prévenir nos visiteurs.

Yves - Un animateur du site

[tristesir]

Cependant, je pense que le risque d'infection, via Actuchomage, est faible au regard de l'absence générale de témoignages par mail (en dehors de cette file de discussions).

Ca n'a rien d'étonnant en soi.

La personne qui a lu un ou deux articles ou qui seulement à pris connaissance du sommaire en page d'accueil d'actu' et qui va continuer à écumer le web ne peut pas identifier l'origine je pense de l'infection qui s'est faite à son insu surtout si elle ne sait même pas que son ordinateur est infecté.

Le problème a du commencer il y'a deux ou trois jours pas plus.
Combien de temps faut il à quelqu'un d'ordinaire pour se rendre compte qu'il y'a un truc qui ne va pas dans son ordi?

PS: je confirme. l'exécution est totalement invisible.

[St-Dumortier]

Bonjour,

Comment fait-on pour le rechercher alors ?

[tristesir]

Comme je suis un kamikaze mais j'avais pris quelques précautions, j'ai lancé l'un des fichiers qui est utilisé comme tête de pont.

En dehors du firewall qui a detecté la tentative de connexion à internet de ce programme, il n'y a aucun indice facilement visible de l'exécution.

Ceux qui ont été infectés en venant sur actu' auront bien du mal à lier leur problème de virus avec leur visite ici.

En prime ce programme désactive l'accès à la base de registre

Va falloir maintenant que je me rappelle comment je dois m'autoriser à pouvoir lancer regedit

L'un des moyens de savoir si vous êtes infectés est de tenter de lancer le programme regedit.exe. Si avant vous aviez accès à la base de registre, et que maintenant vous ne pouvez plus, ce sera un signe