site piégé

Le
Az Sam
Bonjour,

peut etre le connaissez vous mais comme je suis tombé dessus je vous en fait
part :

N'allez pas sur ce site : www-popmoi-com (avec des points bien sur)
notement sur la section "aquarelle"

Ce site ets piégé !

exploit IE par JS (d'apres ce que j'ai pu en comprendre mais je n'ai pas
regarde les sources en detail),

Hier encore un virustotal d'un certain 5.exe se retrouvant dans program
file/pchealth n'etait connu que de 3
AV, et aucun des tenors :
http://www.virustotal.com/fr/analisis/d921b4e4330d0e6d7e88f02038f51267

Nod32 et Antivir ont laissés passé l'infection. Quelques alertes mais
incomplete et/ou trop lentes.
Spybot en trouvait 2 ou 3 mais pas tous.

MBAM en trouvait un peu plus de meme que Trojan Remover

Une combinaison de tous reussi a eradiquer un infection stopée rapidement.
Je ne sais pas ce qu'il en serait si la liaison Internet avait duré plus
longtemps.


Je possede un certains nombres des executables de ceux qui sont entrés si
certains les veulent pour traitement.

Ajoutez donc ce site à votre liste noire dans vos parametres de naviguateur.

--
Cordialement,
Az Sam.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Az Sam
Le #16708761
"Az Sam" 48beb586$0$899$


Hier encore un virustotal d'un certain 5.exe se retrouvant dans program
file/pchealth n'etait connu que de 3
AV, et aucun des tenors :
http://www.virustotal.com/fr/analisis/d921b4e4330d0e6d7e88f02038f51267

Nod32 et Antivir ont laissés passé l'infection. Quelques alertes mais
incomplete et/ou trop lentes.
Spybot en trouvait 2 ou 3 mais pas tous.

MBAM en trouvait un peu plus de meme que Trojan Remover

Une combinaison de tous reussi a eradiquer un infection stopée rapidement.
Je ne sais pas ce qu'il en serait si la liaison Internet avait duré plus
longtemps.




j'ai oublié de dire : pas trouvé de rootkit avec gmer/rootkit
revealer/blacklight

Par contre un phenomene curieux de Nod32 3.0.630.0 :
une grande serie de *.exe, tous repertoires confondus, ont été mis en
quarantaine pour présence d'un Win32/Virut.E virus

Mais en fait tous les exe sont bien a leur place et fonctionnels.
--
Cordialement,
Az Sam.
Depassage
Le #16710231
Az Sam wrote:
Bonjour,

peut etre le connaissez vous mais comme je suis tombé dessus je vous en
fait part :

N'allez pas sur ce site : www-popmoi-com (avec des points bien sur)
notement sur la section "aquarelle"

Ce site ets piégé !



Ah ben ca des sites piégés il y en quelques milliers :-)

Ceux enregistrés à la lettre près d'un site connu www.yahou.com (c'est
un ex) ou ceux pour les clones de programmes connus

http://forum.malekal.com/viewtopic.php?f3&t)37#p86097

Les Ads sense de google sur certains sites (meme connus comme Clubic),
les sites X, de jeux "gratuits", cracks etc etc et bien sur ceux
compromis par injections SQL avec les kits d' infections prets à
l'emploi cherchant les failles connues etc Y a le choix

Je possede un certains nombres des executables de ceux qui sont entrés
si certains les veulent pour traitement.



Certains sites génèrent quelques variantes à raisons de quelques
dizaines par heure, non détectables en grande majorité par les AV

Ils peuvent meme changer leur facon de procéder ;
Clean a la première visite avec juste un fichier à télécharger qui peut
ne pas etre infecté, mais qui ira une fois installé en chercher un
autre, puis à une autre visite le fichier sera infecté, et a une
troisième visite, pas de fichier infecté mais tentative d'installer un
active X ou qui demander de faire une mise à jour flash player, codec
vidéo etc etc

Les sites sont programmés pour changer de look et de facon de procéder
(certains plusieurs fois par jour)

Ajoutez donc ce site à votre liste noire dans vos parametres de
naviguateur.



C'est inutile...


Soit tu utilises un programme gérant la liste host, soit tu tapes
directement dans Windows, pour interdire les tranches d'adresses
Chinoises et Ukrainiennes, etc connues.

Ex :

Hostsman

Pour le descriptif

http://www.clubic.com/telecharger-fiche57166-hostsman.html

Le téléchargement

http://www.abelhadigital.com/


Et quelques listes supplémentaires :

Sinon d'autres listes à insérer dans ton programme :

http://www.malwaredomainlist.com/hostslist/hosts.txt

http://www.everythingisnt.com/hosts

http://davidc.theunixplace.com/list.txt

http://freeware.it-mate.co.uk/downloads/hosts.zip

http://pgl.yoyo.org/as/iplist.php?ipformat=plain&showintro=1


IMPORTANT : Ne pas oublier de désactiver le service "Client DNS" (sinon
gros ralentissement de l'ordi, possible perte de connexion sur les sites
etc)


Menu Démarrer / executer et tapez services.msc puis cliquez sur OK.


Dans la liste, chercher : Client DNS
Faire un clic droit dessus, puis, propriétés

Mettre le type de démarrage sur manuel ou en désactivé

Redémarrer l'ordinateur


Certains sites "viables" peuvent se trouver bloqués
Soit ils le sont pour une bonne raison (infectés) soit parce que les
listes sont trop...efficaces.
Il suffit d'ouvir Hostsman et de taper le nom en mot clé et de désactiver.




Comme les listes peuvent avoir un léger décalage avec un site "0-Day"

il est important d'avoir son windows à jour ET surtout ses logiciels

Utiliser PSI SECUNIA

https://psi.secunia.com/

Il est à noter que ce n'est pas parce que vous ne vous servez pas d'un
logiciel qu'il ne faut pas l'updater.

et updateChecker pour la grande majorité des logiciels installés.

http://www.filehippo.com/updatechecker/

Notamment pour tout ce qui concerne Java et Flashplayer



Ensuite utiliser un Firefox sécurisé avec les plug in "No script" et
accessoirement "Adblocks"

Déja rien qu'avec No script, cela bloque une grande majorité des sites
compromis avec une redirection (qui n'apparait pas dans le source de la
page web)
Az Sam
Le #16710371
"Depassage" 48bed5ee$0$2510$

Ah ben ca des sites piégés il y en quelques milliers :-)



oui merci. celui là en est de plus :-)
un de plus non presents dans les programmes courants qui "gerent" le host.

tiens d'ailleurs, personne ne fait une compilation de listes ? celle de
Host-files que l'on retrouve sur le lien que tu me rappelles n'a finalement
que 128 entrées, on est loin du milliers ;-)
le mien possede 9273 entrées à ce jour. Soit environ 5000 noms uniques. Bien
sur de nombreux noms de domaine n'existent plus.

[NOTE : le 78.129.142.9 de ton lien a reinstallé son apache semble t il :-D]

Soit tu utilises un programme gérant la liste host, soit tu tapes
directement dans Windows, pour interdire les tranches d'adresses Chinoises
et Ukrainiennes, etc connues.



et italiens et certains .com comme celui ci :-) ce nom de domaine n'existera
peut etre plus bientot, mais peut etre pas non plus. qui sait.
A entrer dans la liste (à la main ca marche aussi) ;-)

enfin, voila c'etait une info, pour ceux que ca interresse, pas pour
decouvrir que ca exite :-)


sinon, qqn c'est interressé a decouper son mode d'infection ?

a noter qu'il fait partie de ceux qui infectent a la 1ere visite mais pas a
la seconde. Supprimmer le cookies et il redevient infectant (je dis ca pour
ceux qui supprimment leurs cookies en pensant se proteger)



--
Cordialement,
Az Sam.
Depassage
Le #16710721
Az Sam wrote:
"Depassage" news: 48bed5ee$0$2510$

Ah ben ca des sites piégés il y en quelques milliers :-)



oui merci. celui là en est de plus :-)
un de plus non presents dans les programmes courants qui "gerent" le host.



Il sera surement ajouté.
Mais c'est comme les bases de définitions de virus, il y a toujours un
décalage.

De plus ca ne peut pas gérer les sites infectés qui changent de nom de
domaine ni les sites légitimes infectés

Du reste c'est pour cela que j'ai mis quelques compléments (mais ca
n'empeche pas les téléchargement VOLONTAIRES)



tiens d'ailleurs, personne ne fait une compilation de listes ? celle de
Host-files que l'on retrouve sur le lien que tu me rappelles n'a
finalement que 128 entrées, on est loin du milliers ;-)
le mien possede 9273 entrées à ce jour. Soit environ 5000 noms uniques.
Bien sur de nombreux noms de domaine n'existent plus.



Curieux, ma liste a plus de 85 000 entrées...


[NOTE : le 78.129.142.9 de ton lien a reinstallé son apache semble t il
:-D]

Soit tu utilises un programme gérant la liste host, soit tu tapes
directement dans Windows, pour interdire les tranches d'adresses
Chinoises et Ukrainiennes, etc connues.



et italiens et certains .com comme celui ci :-)



Je n'ai pas dit que c'était efficace à 100% mais les pays qui arrivent
en tete pour ces infections sont toujours les memes :-)

Ca c'est efficace

http://forum.malekal.com/viewtopic.php?fE&tˆ29&pd904&hilit=ukrainiennes#p64904

Evidemment il ne faut pas avoir la belle mère en Ukraine qui veut avoir
sa fille sur MSN :-)

Mais l'exemple n'est donné que pour un pays on peut le faire pour
d'autres bien sur.

Reste le pb des .com, et là il vaut mieux gérer à la main


ce nom de domaine
n'existera peut etre plus bientot, mais peut etre pas non plus. qui sait.
A entrer dans la liste (à la main ca marche aussi) ;-)



Oui et non, car ils font des "tournantes", soit au mieux en changeant de
site, soit au pire en changeant de pays
Et ca va très vite, j'ai pu le constater pas mal de fois et ce meme
pendant une seule journée


enfin, voila c'etait une info, pour ceux que ca interresse, pas pour
decouvrir que ca exite :-)


sinon, qqn c'est interressé a decouper son mode d'infection ?

a noter qu'il fait partie de ceux qui infectent a la 1ere visite mais
pas a la seconde. Supprimmer le cookies et il redevient infectant (je
dis ca pour ceux qui supprimment leurs cookies en pensant se proteger)



Ah oui y a ca ausssi.
Az Sam
Le #16712571
--
Cordialement,
Az Sam.
"Depassage" 48bee9be$0$2506$
Az Sam wrote:



Il sera surement ajouté.
Mais c'est comme les bases de définitions de virus, il y a toujours un
décalage.



d'ou l'interret de diffucer l'info ;-)
sur ce groupe ca pourrait etre plus souvent.



Curieux, ma liste a plus de 85 000 entrées...



tu as encore plus d'obsoletes que moi alors :-))
justement je demandais si quelqu'un partageait sa compilation... tu partages
?


Reste le pb des .com, et là il vaut mieux gérer à la main



a ben voui alors. C'etait justement pour cela que je postais ;-)



Ah oui y a ca ausssi.



ouf, on est d'accord :-)))
Ludovic
Le #16736401
Salut,

je suis allé sur ton site et configuré de la sorte :
http://inforadio.free.fr/articles.php?lng=fr&pgW
cela ne fait ni chaud ni froid à mon ordinateur.

:)

A+
Ludovic.
Depassage
Le #16737781
Ludovic wrote:
Salut,

je suis allé sur ton site et configuré de la sorte :
http://inforadio.free.fr/articles.php?lng=fr&pgW
cela ne fait ni chaud ni froid à mon ordinateur.




Cela affecte IE

Si on tu suis ta page tu utilises Firefox

De plus le site n'est plus infecté

Allez retourne jouer sur ta console.
Ludovic
Le #16740281
Toujours autant d'arguments...
Le seigneur des rateaux
Le #16740941
On Sun, 07 Sep 2008 02:29:22 +0200, Ludovic
Toujours autant d'arguments...



-> Si on tu suis ta page tu utilises Firefox
-> De plus le site n'est plus infecté

je vois 2 arguments, et pas des moindres.
Ludovic
Le #16744331
Comme il a été signalé, des sites infectés, il
en existe quelques-uns...

En suivant http://inforadio.free.fr/articles.php?lng=fr&pgW
ce genre de site ne fait ni chaud ni froid à l'ordinateur.

Point final.
Publicité
Poster une réponse
Anonyme