l'accès à PayPal depuis les liens disponibles sur les pages eBay (tel
les liens "Afficher la transaction PayPal") sont actuellement vérolés.
ces liens conduisent au vrai site PayPal où les noms (email) et mot de
passe sont saisis, puis *quelque soit le mot de passe saisi* un
formulaire pirate est affiché.
ce formulaire apparait en anglais même si vous étiez sur PayPal France,
il vous demande notamment le code PIN de votre carte bancaire et votre
numéro de sécurité sociale.
il apparait de plus correctement servi en SSL par PayPal, pour autant il
ne peut être que ILLEGALE.
ce type d'attaque était récemment discuté ici (fr.comp.securité), il est
navrant (pas peu surprenant) de constater que PayPal ne se protège pas
mieux.
J'ai testé le formulaire présent à 66.211.168.97 avec IE et FF. Pas de fonctionnement anormal détecté. XP SP2 depuis réseau d'entreprise (proxy, antivirus, toussa....)
merci pour cette confirmation qui élude définitivement l'hypothèse d'une attaque coté serveur de PayPal.
le virus qui m'a contaminé se caractérise donc par: - émis vers 2005 (copyright de la fausse page qu'il affiche) - inscription dans le host local de l'IP 127.0.0.1 pour 2 sites de mise à jour de Symantec (j'avais cherché "paypal" dans ce fichier, pas un symantec - parmi +8000 lignes) - détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url pour afficher une page (intégrée) vue comme certifiée SSL v.3 - pas de diffusion réseau, pas de relai smtp intégré. - non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa source, la machine (son OS) est très récente et n'a rien vu d'exotique (XP SP2, VS2005, MySQL, Apache - que de la prod.) p.e. un truc trainant dans un vieil utilitaire et charrié lors du transfert des disks de l'ancienne machine.
format du disk système en cours.
Sylvain.
J'ai testé le formulaire présent à 66.211.168.97 avec IE et FF.
Pas de fonctionnement anormal détecté.
XP SP2 depuis réseau d'entreprise (proxy, antivirus, toussa....)
merci pour cette confirmation qui élude définitivement l'hypothèse
d'une attaque coté serveur de PayPal.
le virus qui m'a contaminé se caractérise donc par:
- émis vers 2005 (copyright de la fausse page qu'il affiche)
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites
de mise à jour de Symantec (j'avais cherché "paypal" dans ce
fichier, pas un symantec - parmi +8000 lignes)
- détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url
pour afficher une page (intégrée) vue comme certifiée SSL v.3
- pas de diffusion réseau, pas de relai smtp intégré.
- non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa
source, la machine (son OS) est très récente et n'a rien vu
d'exotique (XP SP2, VS2005, MySQL, Apache - que de la prod.)
p.e. un truc trainant dans un vieil utilitaire et charrié
lors du transfert des disks de l'ancienne machine.
J'ai testé le formulaire présent à 66.211.168.97 avec IE et FF. Pas de fonctionnement anormal détecté. XP SP2 depuis réseau d'entreprise (proxy, antivirus, toussa....)
merci pour cette confirmation qui élude définitivement l'hypothèse d'une attaque coté serveur de PayPal.
le virus qui m'a contaminé se caractérise donc par: - émis vers 2005 (copyright de la fausse page qu'il affiche) - inscription dans le host local de l'IP 127.0.0.1 pour 2 sites de mise à jour de Symantec (j'avais cherché "paypal" dans ce fichier, pas un symantec - parmi +8000 lignes) - détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url pour afficher une page (intégrée) vue comme certifiée SSL v.3 - pas de diffusion réseau, pas de relai smtp intégré. - non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa source, la machine (son OS) est très récente et n'a rien vu d'exotique (XP SP2, VS2005, MySQL, Apache - que de la prod.) p.e. un truc trainant dans un vieil utilitaire et charrié lors du transfert des disks de l'ancienne machine.
format du disk système en cours.
Sylvain.
Sylvain SF
Sylvain SF wrote:
le SP3 vérolé ???
"Windows XP SP3 includes vulnerable Flash Player" http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId92218&intsrc=news_ts_head
merci pour cette double page de pub. flash étant également qu'un convoyeur de pub et spam-online, il n'est installé sur aucune de mes machines - et je le vire de toute nouvelle install.
comme conclu sur fcs, le virus qui m'a contaminé se caractérise par: - émis vers 2005 (copyright de la fausse page qu'il affiche) - inscription dans le host local de l'IP 127.0.0.1 pour 2 sites de mise à jour de Symantec (j'avais cherché "paypal" dans ce fichier, pas un symantec - parmi +8000 lignes) - détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url de paypal.com et ebay.com pour afficher des formulaires de demandes d'informations confidentielles, ces pages sont vues comme certifiées SSL v.3 (ne touche pas FireFox) - pas de diffusion réseau, pas de relai smtp intégré. - non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa source, la machine (son OS) est très récente et n'a rien vu d'exotique (XP SP3, VS2005, MySQL, Apache, ...)
si ces symptomes vous évoquent quelque souvenir, merci pour tout info.
Sylvain.
Sylvain SF wrote:
le SP3 vérolé ???
"Windows XP SP3 includes vulnerable Flash Player"
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId92218&intsrc=news_ts_head
merci pour cette double page de pub.
flash étant également qu'un convoyeur de pub et spam-online, il n'est
installé sur aucune de mes machines - et je le vire de toute nouvelle
install.
comme conclu sur fcs, le virus qui m'a contaminé se caractérise par:
- émis vers 2005 (copyright de la fausse page qu'il affiche)
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites
de mise à jour de Symantec (j'avais cherché "paypal" dans ce
fichier, pas un symantec - parmi +8000 lignes)
- détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url
de paypal.com et ebay.com pour afficher des formulaires de demandes
d'informations confidentielles, ces pages sont vues comme certifiées
SSL v.3 (ne touche pas FireFox)
- pas de diffusion réseau, pas de relai smtp intégré.
- non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa
source, la machine (son OS) est très récente et n'a rien vu
d'exotique (XP SP3, VS2005, MySQL, Apache, ...)
si ces symptomes vous évoquent quelque souvenir, merci pour
tout info.
"Windows XP SP3 includes vulnerable Flash Player" http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId92218&intsrc=news_ts_head
merci pour cette double page de pub. flash étant également qu'un convoyeur de pub et spam-online, il n'est installé sur aucune de mes machines - et je le vire de toute nouvelle install.
comme conclu sur fcs, le virus qui m'a contaminé se caractérise par: - émis vers 2005 (copyright de la fausse page qu'il affiche) - inscription dans le host local de l'IP 127.0.0.1 pour 2 sites de mise à jour de Symantec (j'avais cherché "paypal" dans ce fichier, pas un symantec - parmi +8000 lignes) - détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url de paypal.com et ebay.com pour afficher des formulaires de demandes d'informations confidentielles, ces pages sont vues comme certifiées SSL v.3 (ne touche pas FireFox) - pas de diffusion réseau, pas de relai smtp intégré. - non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa source, la machine (son OS) est très récente et n'a rien vu d'exotique (XP SP3, VS2005, MySQL, Apache, ...)
si ces symptomes vous évoquent quelque souvenir, merci pour tout info.
Sylvain.
JKB
Le 03-06-2008, à propos de Re: Qui pirate qui ??, Sylvain SF écrivait dans fr.comp.securite :
J'ai testé le formulaire présent à 66.211.168.97 avec IE et FF. Pas de fonctionnement anormal détecté. XP SP2 depuis réseau d'entreprise (proxy, antivirus, toussa....)
merci pour cette confirmation qui élude définitivement l'hypothèse d'une attaque coté serveur de PayPal.
le virus qui m'a contaminé se caractérise donc par: - émis vers 2005 (copyright de la fausse page qu'il affiche) - inscription dans le host local de l'IP 127.0.0.1 pour 2 sites de mise à jour de Symantec (j'avais cherché "paypal" dans ce fichier, pas un symantec - parmi +8000 lignes) - détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url pour afficher une page (intégrée) vue comme certifiée SSL v.3 - pas de diffusion réseau, pas de relai smtp intégré. - non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa source, la machine (son OS) est très récente et n'a rien vu d'exotique (XP SP2, VS2005, MySQL, Apache - que de la prod.) p.e. un truc trainant dans un vieil utilitaire et charrié lors du transfert des disks de l'ancienne machine.
format du disk système en cours.
Je suppose que le bouzin transmettait ses informations quelque part. Il aurait été intéressant de sniffer le réseau lorsque la page était remplie par des données bidon...
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 03-06-2008, à propos de
Re: Qui pirate qui ??,
Sylvain SF écrivait dans fr.comp.securite :
J'ai testé le formulaire présent à 66.211.168.97 avec IE et FF.
Pas de fonctionnement anormal détecté.
XP SP2 depuis réseau d'entreprise (proxy, antivirus, toussa....)
merci pour cette confirmation qui élude définitivement l'hypothèse
d'une attaque coté serveur de PayPal.
le virus qui m'a contaminé se caractérise donc par:
- émis vers 2005 (copyright de la fausse page qu'il affiche)
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites
de mise à jour de Symantec (j'avais cherché "paypal" dans ce
fichier, pas un symantec - parmi +8000 lignes)
- détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url
pour afficher une page (intégrée) vue comme certifiée SSL v.3
- pas de diffusion réseau, pas de relai smtp intégré.
- non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa
source, la machine (son OS) est très récente et n'a rien vu
d'exotique (XP SP2, VS2005, MySQL, Apache - que de la prod.)
p.e. un truc trainant dans un vieil utilitaire et charrié
lors du transfert des disks de l'ancienne machine.
format du disk système en cours.
Je suppose que le bouzin transmettait ses informations quelque part.
Il aurait été intéressant de sniffer le réseau lorsque la page était
remplie par des données bidon...
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 03-06-2008, à propos de Re: Qui pirate qui ??, Sylvain SF écrivait dans fr.comp.securite :
J'ai testé le formulaire présent à 66.211.168.97 avec IE et FF. Pas de fonctionnement anormal détecté. XP SP2 depuis réseau d'entreprise (proxy, antivirus, toussa....)
merci pour cette confirmation qui élude définitivement l'hypothèse d'une attaque coté serveur de PayPal.
le virus qui m'a contaminé se caractérise donc par: - émis vers 2005 (copyright de la fausse page qu'il affiche) - inscription dans le host local de l'IP 127.0.0.1 pour 2 sites de mise à jour de Symantec (j'avais cherché "paypal" dans ce fichier, pas un symantec - parmi +8000 lignes) - détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url pour afficher une page (intégrée) vue comme certifiée SSL v.3 - pas de diffusion réseau, pas de relai smtp intégré. - non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.
le truc n'est sûrement pas jeune et je n'ai aucune idée de sa source, la machine (son OS) est très récente et n'a rien vu d'exotique (XP SP2, VS2005, MySQL, Apache - que de la prod.) p.e. un truc trainant dans un vieil utilitaire et charrié lors du transfert des disks de l'ancienne machine.
format du disk système en cours.
Je suppose que le bouzin transmettait ses informations quelque part. Il aurait été intéressant de sniffer le réseau lorsque la page était remplie par des données bidon...
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Fabien LE LEZ
On 03 Jun 2008 11:50:42 GMT, Sylvain SF :
[...] Symantec [...]
C'est fou la fréquence avec laquelle ce nom (ou Norton) apparaît quand on a un problème avec un PC.
On 03 Jun 2008 11:50:42 GMT, Sylvain SF <sylvain@boiteaspam.info>:
[...] Symantec [...]
C'est fou la fréquence avec laquelle ce nom (ou Norton) apparaît quand
on a un problème avec un PC.
Où le message n'a rien à faire. Tu as joué "au chaud" et t'es bouffé une saloperie, probablement un ActiveX vérolé puisque le problème n'apparaît que lorsque tu utilises IE. Donc tu passes un coup d'anti-virus/whatever et tu vas discuter de tout cela sur le forum adapté, à savoir fcsv, en arrêtant de poluer fcs avec une discussion qui n'a rien à y faire.
On ne va quand même pas remettre la modération en route uniquement parce que tu as une incapacité chronique à respecter la charte des forums dans lesquels tu interviens, et celle de ce forum en particulier !
Fu2 (suivi de la discussion sur) la mailing-list de modération.
-- Stéphane Catteau Co-modérateur de fr.comp.securite Pour joindre l'équipe de modération <mailto: Les conseils d'utilisation <http://fr.comp.securite.free.fr/cu.php>
Sylvain SF devait dire quelque chose comme ceci :
Je viens de poster le contenu ci-après sur fcs et fcsv avec IE
dans le titre et il n'apparait pas,
Apprend à régler le logiciel que tu utilises. Il est apparu en temps et
en heure et il est présent sur les serveurs que tu utilises :
$ telnet news.orange.fr 119
< 200 Bienvenue sur news.orange.fr, le serveur de news est [...]
head <484472ff$0$915$ba4acef3@news.orange.fr>
< 221 0 <484472ff$0$915$ba4acef3@news.orange.fr> head
Où le message n'a rien à faire. Tu as joué "au chaud" et t'es bouffé une
saloperie, probablement un ActiveX vérolé puisque le problème n'apparaît
que lorsque tu utilises IE. Donc tu passes un coup d'anti-virus/whatever
et tu vas discuter de tout cela sur le forum adapté, à savoir fcsv, en
arrêtant de poluer fcs avec une discussion qui n'a rien à y faire.
On ne va quand même pas remettre la modération en route uniquement parce
que tu as une incapacité chronique à respecter la charte des forums dans
lesquels tu interviens, et celle de ce forum en particulier !
Fu2 (suivi de la discussion sur) la mailing-list de modération.
--
Stéphane Catteau Co-modérateur de fr.comp.securite
Pour joindre l'équipe de modération <mailto:fcs-mod@moderos.fr.eu.org>
Les conseils d'utilisation <http://fr.comp.securite.free.fr/cu.php>
Où le message n'a rien à faire. Tu as joué "au chaud" et t'es bouffé une saloperie, probablement un ActiveX vérolé puisque le problème n'apparaît que lorsque tu utilises IE. Donc tu passes un coup d'anti-virus/whatever et tu vas discuter de tout cela sur le forum adapté, à savoir fcsv, en arrêtant de poluer fcs avec une discussion qui n'a rien à y faire.
On ne va quand même pas remettre la modération en route uniquement parce que tu as une incapacité chronique à respecter la charte des forums dans lesquels tu interviens, et celle de ce forum en particulier !
Fu2 (suivi de la discussion sur) la mailing-list de modération.
-- Stéphane Catteau Co-modérateur de fr.comp.securite Pour joindre l'équipe de modération <mailto: Les conseils d'utilisation <http://fr.comp.securite.free.fr/cu.php>
Thierry B\.
--{ Sylvain SF a plopé ceci: }--
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites de mise à jour de Symantec (j'avais cherché "paypal" dans ce fichier, pas un symantec - parmi +8000 lignes)
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme. Est-tu sur que ce soit toi qui les aient toutes mises ?
-- Utiliser X11 n'impose pas d'utiliser des outils graphiques. Je n'ai pas encore trouvé de newsreader aussi joli, efficace et lèger que mon slrn transparent sur un aterm. -- Kwyxz dans fcol.debats --
--{ Sylvain SF a plopé ceci: }--
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites
de mise à jour de Symantec (j'avais cherché "paypal" dans ce
fichier, pas un symantec - parmi +8000 lignes)
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.
Est-tu sur que ce soit toi qui les aient toutes mises ?
--
Utiliser X11 n'impose pas d'utiliser des outils graphiques. Je n'ai pas
encore trouvé de newsreader aussi joli, efficace et lèger que mon slrn
transparent sur un aterm.
-- Kwyxz dans fcol.debats --
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites de mise à jour de Symantec (j'avais cherché "paypal" dans ce fichier, pas un symantec - parmi +8000 lignes)
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme. Est-tu sur que ce soit toi qui les aient toutes mises ?
-- Utiliser X11 n'impose pas d'utiliser des outils graphiques. Je n'ai pas encore trouvé de newsreader aussi joli, efficace et lèger que mon slrn transparent sur un aterm. -- Kwyxz dans fcol.debats --
Sylvain SF
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme. Est-tu sur que ce soit toi qui les aient toutes mises ?
c'est que les sites de m.... de pubs (et récipr.) sont nombreux aussi ! je le vérifie pas tous les matins mais il semble bien que ce sont mes propres injections.
Sylvain.
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.
Est-tu sur que ce soit toi qui les aient toutes mises ?
c'est que les sites de m.... de pubs (et récipr.) sont nombreux aussi !
je le vérifie pas tous les matins mais il semble bien que ce
sont mes propres injections.
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme. Est-tu sur que ce soit toi qui les aient toutes mises ?
c'est que les sites de m.... de pubs (et récipr.) sont nombreux aussi ! je le vérifie pas tous les matins mais il semble bien que ce sont mes propres injections.
Sylvain.
Fabien LE LEZ
On 03 Jun 2008 14:42:50 GMT, "Thierry B." :
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.
Au 03/06/08, le nombre de lignes mises dans mon hosts par Spybot est 8681.
Et encore, ce n'est même pas une liste complète, puisque j'ai dû rajouter www.google-analytics.com à la main.
On 03 Jun 2008 14:42:50 GMT, "Thierry B." <tth@prout.stex.invalid>:
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.
Au 03/06/08, le nombre de lignes mises dans mon hosts par Spybot est
8681.
Et encore, ce n'est même pas une liste complète, puisque j'ai dû
rajouter www.google-analytics.com à la main.
8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.
Au 03/06/08, le nombre de lignes mises dans mon hosts par Spybot est 8681.
Et encore, ce n'est même pas une liste complète, puisque j'ai dû rajouter www.google-analytics.com à la main.
et ben le mien il fait 16877 lignes ... <http://cjoint.com/?gdwEXQ5dUd>
enfin un fil digne du niveau réclamé par Stéphane, merci à lui d'y veuiller avec tant de discernement et merci Fabien de me montrer cette noble voie.
Sylvain.
DePassage
Sylvain SF wrote:
si ces symptomes vous évoquent quelque souvenir, merci pour tout info.
Un peu de lecture (tu auras des éléments de réponse dont la faille microsoft de 2005)
http://forum.malekal.com/viewtopic.php?fb&t367
http://forum.malekal.com/viewtopic.php?fb&t102
En sachat que pour les ex donnés, il est facile de générer des codes divers à chaque visite du site (virtumonde par ex qui est une infection rootkitée peut etre vu avec une variante toutes les 10 minutes - Aucun anti virus ne peut suivre la cadence) mais on peut y mettre ce que l'on veut
A noter qu'antivir premium n'incorpore pas de défense anti phishing
Sylvain SF wrote:
si ces symptomes vous évoquent quelque souvenir, merci pour
tout info.
Un peu de lecture (tu auras des éléments de réponse dont la faille
microsoft de 2005)
http://forum.malekal.com/viewtopic.php?fb&t367
http://forum.malekal.com/viewtopic.php?fb&t102
En sachat que pour les ex donnés, il est facile de générer des codes
divers à chaque visite du site (virtumonde par ex qui est une infection
rootkitée peut etre vu avec une variante toutes les 10 minutes - Aucun
anti virus ne peut suivre la cadence) mais on peut y mettre ce que l'on veut
A noter qu'antivir premium n'incorpore pas de défense anti phishing
si ces symptomes vous évoquent quelque souvenir, merci pour tout info.
Un peu de lecture (tu auras des éléments de réponse dont la faille microsoft de 2005)
http://forum.malekal.com/viewtopic.php?fb&t367
http://forum.malekal.com/viewtopic.php?fb&t102
En sachat que pour les ex donnés, il est facile de générer des codes divers à chaque visite du site (virtumonde par ex qui est une infection rootkitée peut etre vu avec une variante toutes les 10 minutes - Aucun anti virus ne peut suivre la cadence) mais on peut y mettre ce que l'on veut
A noter qu'antivir premium n'incorpore pas de défense anti phishing