eBay PIRATE, faux formulaire PayPal

J'ai testé le formulaire présent à 66.211.168.97 avec IE et FF.
Pas de fonctionnement anormal détecté.
XP SP2 depuis réseau d'entreprise (proxy, antivirus, toussa....)

merci pour cette confirmation qui élude définitivement l'hypothèse
d'une attaque coté serveur de PayPal.


le virus qui m'a contaminé se caractérise donc par:
- émis vers 2005 (copyright de la fausse page qu'il affiche)
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites
de mise à jour de Symantec (j'avais cherché "paypal" dans ce
fichier, pas un symantec - parmi +8000 lignes)
- détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url
pour afficher une page (intégrée) vue comme certifiée SSL v.3
- pas de diffusion réseau, pas de relai smtp intégré.
- non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.

le truc n'est sûrement pas jeune et je n'ai aucune idée de sa
source, la machine (son OS) est très récente et n'a rien vu
d'exotique (XP SP2, VS2005, MySQL, Apache - que de la prod.)
p.e. un truc trainant dans un vieil utilitaire et charrié
lors du transfert des disks de l'ancienne machine.

format du disk système en cours.

Sylvain.

Sylvain SF wrote:

le SP3 vérolé ???

"Windows XP SP3 includes vulnerable Flash Player"
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId92218&intsrc=news_ts_head

merci pour cette double page de pub.
flash étant également qu'un convoyeur de pub et spam-online, il n'est
installé sur aucune de mes machines - et je le vire de toute nouvelle
install.


comme conclu sur fcs, le virus qui m'a contaminé se caractérise par:
- émis vers 2005 (copyright de la fausse page qu'il affiche)
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites
de mise à jour de Symantec (j'avais cherché "paypal" dans ce
fichier, pas un symantec - parmi +8000 lignes)
- détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url
de paypal.com et ebay.com pour afficher des formulaires de demandes
d'informations confidentielles, ces pages sont vues comme certifiées
SSL v.3 (ne touche pas FireFox)
- pas de diffusion réseau, pas de relai smtp intégré.
- non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.

le truc n'est sûrement pas jeune et je n'ai aucune idée de sa
source, la machine (son OS) est très récente et n'a rien vu
d'exotique (XP SP3, VS2005, MySQL, Apache, ...)

si ces symptomes vous évoquent quelque souvenir, merci pour
tout info.

Sylvain.

Le 03-06-2008, à propos de
Re: Qui pirate qui ??,
Sylvain SF écrivait dans fr.comp.securite :

J'ai testé le formulaire présent à 66.211.168.97 avec IE et FF.
Pas de fonctionnement anormal détecté.
XP SP2 depuis réseau d'entreprise (proxy, antivirus, toussa....)

merci pour cette confirmation qui élude définitivement l'hypothèse
d'une attaque coté serveur de PayPal.


le virus qui m'a contaminé se caractérise donc par:
- émis vers 2005 (copyright de la fausse page qu'il affiche)
- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites
de mise à jour de Symantec (j'avais cherché "paypal" dans ce
fichier, pas un symantec - parmi +8000 lignes)
- détourne les requêtes IE (6 p.e. d'autre) en se basant sur l'url
pour afficher une page (intégrée) vue comme certifiée SSL v.3
- pas de diffusion réseau, pas de relai smtp intégré.
- non décelé par Symantec AV 2007, Avast 4, ni AntiVir Premium.

le truc n'est sûrement pas jeune et je n'ai aucune idée de sa
source, la machine (son OS) est très récente et n'a rien vu
d'exotique (XP SP2, VS2005, MySQL, Apache - que de la prod.)
p.e. un truc trainant dans un vieil utilitaire et charrié
lors du transfert des disks de l'ancienne machine.

format du disk système en cours.

Je suppose que le bouzin transmettait ses informations quelque part.
Il aurait été intéressant de sniffer le réseau lorsque la page était
remplie par des données bidon...

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.

On 03 Jun 2008 11:50:42 GMT, Sylvain SF <sylvain@boiteaspam.info>:

[...] Symantec [...]

C'est fou la fréquence avec laquelle ce nom (ou Norton) apparaît quand
on a un problème avec un PC.

Sylvain SF devait dire quelque chose comme ceci :

Je viens de poster le contenu ci-après sur fcs et fcsv avec IE
dans le titre et il n'apparait pas,

Apprend à régler le logiciel que tu utilises. Il est apparu en temps et
en heure et il est présent sur les serveurs que tu utilises :

$ telnet news.orange.fr 119
< 200 Bienvenue sur news.orange.fr, le serveur de news est [...]

head <484472ff$0$915$ba4acef3@news.orange.fr>
< 221 0 <484472ff$0$915$ba4acef3@news.orange.fr> head

[snip]
< X-Modappbot: autoposted (v0.4.7.8b)
< X-Original-Date: Tue, 03 Jun 2008 00:23:59 +0200
[snip]
< Xref: news.wanadoo.fr fr.comp.securite:88906 fr.comp.securite.virus:146613

je reposte sur fcs.

Où le message n'a rien à faire. Tu as joué "au chaud" et t'es bouffé une
saloperie, probablement un ActiveX vérolé puisque le problème n'apparaît
que lorsque tu utilises IE. Donc tu passes un coup d'anti-virus/whatever
et tu vas discuter de tout cela sur le forum adapté, à savoir fcsv, en
arrêtant de poluer fcs avec une discussion qui n'a rien à y faire.

On ne va quand même pas remettre la modération en route uniquement parce
que tu as une incapacité chronique à respecter la charte des forums dans
lesquels tu interviens, et celle de ce forum en particulier !


Fu2 (suivi de la discussion sur) la mailing-list de modération.

--
Stéphane Catteau Co-modérateur de fr.comp.securite
Pour joindre l'équipe de modération <mailto:fcs-mod@moderos.fr.eu.org>
Les conseils d'utilisation <http://fr.comp.securite.free.fr/cu.php>

--{ Sylvain SF a plopé ceci: }--

- inscription dans le host local de l'IP 127.0.0.1 pour 2 sites
de mise à jour de Symantec (j'avais cherché "paypal" dans ce
fichier, pas un symantec - parmi +8000 lignes)

8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.
Est-tu sur que ce soit toi qui les aient toutes mises ?


--
Utiliser X11 n'impose pas d'utiliser des outils graphiques. Je n'ai pas
encore trouvé de newsreader aussi joli, efficace et lèger que mon slrn
transparent sur un aterm.
-- Kwyxz dans fcol.debats --

8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.
Est-tu sur que ce soit toi qui les aient toutes mises ?

c'est que les sites de m.... de pubs (et récipr.) sont nombreux aussi !
je le vérifie pas tous les matins mais il semble bien que ce
sont mes propres injections.

Sylvain.

On 03 Jun 2008 14:42:50 GMT, "Thierry B." <tth@prout.stex.invalid>:

8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.

Au 03/06/08, le nombre de lignes mises dans mon hosts par Spybot est
8681.

Et encore, ce n'est même pas une liste complète, puisque j'ai dû
rajouter www.google-analytics.com à la main.

Fabien LE LEZ wrote on 03/06/2008 18:18:

On 03 Jun 2008 14:42:50 GMT, "Thierry B." <tth@prout.stex.invalid>:

8000 lignes dans un /etc/hosts ? Oula, ça me semble énorme.

Au 03/06/08, le nombre de lignes mises dans mon hosts par Spybot est
8681.

Et encore, ce n'est même pas une liste complète, puisque j'ai dû
rajouter www.google-analytics.com à la main.

et ben le mien il fait 16877 lignes ...
<http://cjoint.com/?gdwEXQ5dUd>

enfin un fil digne du niveau réclamé par Stéphane, merci à
lui d'y veuiller avec tant de discernement et merci Fabien
de me montrer cette noble voie.

Sylvain.

Sylvain SF wrote:

si ces symptomes vous évoquent quelque souvenir, merci pour
tout info.

Un peu de lecture (tu auras des éléments de réponse dont la faille
microsoft de 2005)

http://forum.malekal.com/viewtopic.php?fb&t367

http://forum.malekal.com/viewtopic.php?fb&t102

En sachat que pour les ex donnés, il est facile de générer des codes
divers à chaque visite du site (virtumonde par ex qui est une infection
rootkitée peut etre vu avec une variante toutes les 10 minutes - Aucun
anti virus ne peut suivre la cadence) mais on peut y mettre ce que l'on veut

A noter qu'antivir premium n'incorpore pas de défense anti phishing