Je viens voir si quelqu'un aurait des infos au sujet d'un virus (ou
hoax`?) dénommé Exploit.Iframe.Vulnerability
Le format de McAfee me conviendrait très bien, mais ils n'ont pas l'air
de connaître.
Le problème que je rencontre est très bien décrit là :
http://eudorabb.qualcomm.com/showthread.php?t=8271
Curieusement, les mêmes messages, reçus juste avant dans Thunderbird, ne
contiennent pas de virus semble-t-il.
Le support de Bitdefender renvoie à Microsoft avec un empressement que
c'en est presque cavalier, et Microsoft n'a pas l'air d'avoir très lourd
à dire sur la question.
On trouve des outils d'élimination, mais je ne sais pas au juste ce
qu'ils valent, et s'agissant de fichiers texte, rien ne vaut une bonne
information claire et aussi complète que possible. Le problème avec les
moteurs de recherche là-dessus n'est pas qu'ils soient secs, mais au
contraire un peu noyés par une abondance d'information dont il semble
difficile de faire le tri.
Si quelqu'un a ça ...
A défaut j'irai aussi en causer dans fr.comp.securite, mais, sais pas
pourquoi, m'est avis que ce truc n'est pas trop attiré par Unix ...
(d'ailleurs, d'ici qu'on découvre qu'il s'agit d'un canular pondu par
BitDefender pour se faire un coup de pub ...)
Est-ce que je chauffe ? Si je puis me permettre... cherche les failles EXPLOITEES.
Parce que si tu commences à regarder tous les trucs potentiels, tu vas te faire du mal. Et une bonne source pour les failles exploitées, qui ne te signale pas plein de trucs obscurs que personne n'a jamais vus, c'est le cert. http://www.cert.org/ Avec tout le respect que j'ai pour toi, c'est très très improbable que tu aies chopé une merde potentielle que personne d'autre n'a jamais vu, si tu es un particulier. -- Nina
On Mon, 02 Oct 2006 21:29:49 +0200, Gloops <gloops@niark.invalid>
wrote:
Est-ce que je chauffe ?
Si je puis me permettre... cherche les failles EXPLOITEES.
Parce que si tu commences à regarder tous les trucs potentiels, tu vas
te faire du mal.
Et une bonne source pour les failles exploitées, qui ne te signale pas
plein de trucs obscurs que personne n'a jamais vus, c'est le cert.
http://www.cert.org/
Avec tout le respect que j'ai pour toi, c'est très très improbable que
tu aies chopé une merde potentielle que personne d'autre n'a jamais
vu, si tu es un particulier.
--
Nina
Est-ce que je chauffe ? Si je puis me permettre... cherche les failles EXPLOITEES.
Parce que si tu commences à regarder tous les trucs potentiels, tu vas te faire du mal. Et une bonne source pour les failles exploitées, qui ne te signale pas plein de trucs obscurs que personne n'a jamais vus, c'est le cert. http://www.cert.org/ Avec tout le respect que j'ai pour toi, c'est très très improbable que tu aies chopé une merde potentielle que personne d'autre n'a jamais vu, si tu es un particulier. -- Nina
j
re'
"Gloops" a écrit dans le message news:
Si tu pouvais expliquer ?
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le 1° que j'ai ouvert, c'était le tien avec ta gentille description ...
PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ... : Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability !
je n'avais lu que 2 lignes seulement ..et j'ai vu trop tard ton "script " qui tue ;-( En plus pour une graphiste, ça la fiche mal.. je ne m'y attendais pas du tout !!!!!!!!!!!!!!!!!!!!!!!!!!!!
et j'ai dû sortir le gd jeu avec le scan interminable de TMicro et tutti quanti !
Je râle je râle = c'est la 1° saleté que je chope ....( par excès de confiance en plus !).. bah , je ne pourrais plus le dire :o)
[ Sinon le lien du 2005-05-08 /Page 138 aujourd'hui/ t'explique comment se passe ce truc.. " gestion du paramètre "src" inclus avec un tag "IFRAME , le truc des lettres qui tuent quoi :o) ]
Cdlt@+
re'
"Gloops" a écrit dans le message
news:uKc2Jnl5GHA.1252@TK2MSFTNGP04.phx.gbl...
Si tu pouvais expliquer ?
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le 1°
que j'ai ouvert, c'était le tien avec ta gentille description ...
PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ...
: Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability !
Exploit.Iframe.Vulnerability !
je n'avais lu que 2 lignes seulement ..et j'ai vu trop tard ton "script "
qui tue ;-(
En plus pour une graphiste, ça la fiche mal.. je ne m'y attendais pas du
tout !!!!!!!!!!!!!!!!!!!!!!!!!!!!
et j'ai dû sortir le gd jeu avec le scan interminable de TMicro et tutti
quanti !
Je râle je râle = c'est la 1° saleté que je chope ....( par excès de
confiance en plus !)..
bah , je ne pourrais plus le dire :o)
[ Sinon le lien du 2005-05-08 /Page 138 aujourd'hui/ t'explique comment se
passe ce truc.. " gestion du paramètre "src" inclus avec un tag "IFRAME ,
le truc des lettres qui tuent quoi :o) ]
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le 1° que j'ai ouvert, c'était le tien avec ta gentille description ...
PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ... : Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability !
je n'avais lu que 2 lignes seulement ..et j'ai vu trop tard ton "script " qui tue ;-( En plus pour une graphiste, ça la fiche mal.. je ne m'y attendais pas du tout !!!!!!!!!!!!!!!!!!!!!!!!!!!!
et j'ai dû sortir le gd jeu avec le scan interminable de TMicro et tutti quanti !
Je râle je râle = c'est la 1° saleté que je chope ....( par excès de confiance en plus !).. bah , je ne pourrais plus le dire :o)
[ Sinon le lien du 2005-05-08 /Page 138 aujourd'hui/ t'explique comment se passe ce truc.. " gestion du paramètre "src" inclus avec un tag "IFRAME , le truc des lettres qui tuent quoi :o) ]
Cdlt@+
Nina Popravka
On Mon, 2 Oct 2006 22:08:35 +0200, "" wrote:
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le 1° que j'ai ouvert, c'était le tien avec ta gentille description ... PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ... Ton super antivirus voit un truc comme ça et ça l'affole ?
On atteint un summum de la crétinerie, là. -- Nina
On Mon, 2 Oct 2006 22:08:35 +0200, "j@ckie" <souriez@jackie.fr> wrote:
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le 1°
que j'ai ouvert, c'était le tien avec ta gentille description ...
PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ...
Ton super antivirus voit un truc comme ça et ça l'affole ?
On atteint un summum de la crétinerie, là.
--
Nina
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le 1° que j'ai ouvert, c'était le tien avec ta gentille description ... PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ... Ton super antivirus voit un truc comme ça et ça l'affole ?
On atteint un summum de la crétinerie, là. -- Nina
j
Bonjour à tous !
"Nina Popravka" a écrit dans le message news:
Ton super antivirus voit un truc comme ça et ça l'affole ? On atteint un summum de la crétinerie, là.
Toujours aussi délicate dans vos propos !!
Pour votre gouverne, sachez que HTML Netsky P frappe tjrs ( en 2° position en ce moment )
car la MAJ qui corrigeait cette faille a posé pb chez bcp qui n'ont pu l'installer ;-(
Je ne discute pas matériel car ce n'est pas mon truc..par contre , question sécurité : c'est l'inverse ---» surtout en ce qui concerne les scripts ;-)
-- « De la discussion , jaillit la lumière ...» Cdlt@+ à tous [ "une" MVP Windows- Shell /User ]
Nina Popravka
On Tue, 3 Oct 2006 11:29:40 +0200, "" wrote:
Pour votre gouverne, sachez que HTML Netsky P frappe tjrs ( en 2° position en ce moment ) http://fr.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINIFNO&vStartNav=2&VName=&highlight=Tue,%2003%20Oct%202006%2010:13:36%20+0200 car la MAJ qui corrigeait cette faille a posé pb chez bcp qui n'ont pu l'installer ;-( Je lis donc sur ce lien :
"This HTML malware arrives as an email with an executable file attachment that is detected by Trend Micro as WORM_NETSKY.P. It exploits a known vulnerability in Internet Explorer versions 5.01 and 5.5. known as the Automatic Execution of Embedded MIME Type. This vulnerability causes Internet Explorer to automatically run executable file attachments in email messages. More information on this vulnerability is available at: Microsoft Security Bulletin MS01-020 This malware runs on Windows 95, 98, ME, 2000, NT, and XP. Description créée: 2004-04-11 Description mise à jour: 2004-06-07"
Tout ça n'est pas jeune, et les IE5 ça se fait rare, hein... D'autre part, si votre super antivirus n'avait pas fait la sirène, vous auriez vu ce qu'a posté Gloops, un bout de HTML avec un nom d'exe ne pointant nulle part. Je maintiens donc qu'un antivirus qui hurle en voyant ça est assez crétin. -- Nina
On Tue, 3 Oct 2006 11:29:40 +0200, "j@ckie" <souriez@jackie.fr> wrote:
Pour votre gouverne, sachez que HTML Netsky P frappe tjrs ( en 2° position
en ce moment )
http://fr.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINIFNO&vStartNav=2&VName=&highlight=Tue,%2003%20Oct%202006%2010:13:36%20+0200
car la MAJ qui corrigeait cette faille a posé pb chez bcp qui n'ont pu
l'installer ;-(
Je lis donc sur ce lien :
"This HTML malware arrives as an email with an executable file
attachment that is detected by Trend Micro as WORM_NETSKY.P.
It exploits a known vulnerability in Internet Explorer versions 5.01
and 5.5. known as the Automatic Execution of Embedded MIME Type. This
vulnerability causes Internet Explorer to automatically run executable
file attachments in email messages.
More information on this vulnerability is available at:
Microsoft Security Bulletin MS01-020
This malware runs on Windows 95, 98, ME, 2000, NT, and XP.
Description créée: 2004-04-11
Description mise à jour: 2004-06-07"
Tout ça n'est pas jeune, et les IE5 ça se fait rare, hein...
D'autre part, si votre super antivirus n'avait pas fait la sirène,
vous auriez vu ce qu'a posté Gloops, un bout de HTML avec un nom d'exe
ne pointant nulle part.
Je maintiens donc qu'un antivirus qui hurle en voyant ça est assez
crétin.
--
Nina
Pour votre gouverne, sachez que HTML Netsky P frappe tjrs ( en 2° position en ce moment ) http://fr.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINIFNO&vStartNav=2&VName=&highlight=Tue,%2003%20Oct%202006%2010:13:36%20+0200 car la MAJ qui corrigeait cette faille a posé pb chez bcp qui n'ont pu l'installer ;-( Je lis donc sur ce lien :
"This HTML malware arrives as an email with an executable file attachment that is detected by Trend Micro as WORM_NETSKY.P. It exploits a known vulnerability in Internet Explorer versions 5.01 and 5.5. known as the Automatic Execution of Embedded MIME Type. This vulnerability causes Internet Explorer to automatically run executable file attachments in email messages. More information on this vulnerability is available at: Microsoft Security Bulletin MS01-020 This malware runs on Windows 95, 98, ME, 2000, NT, and XP. Description créée: 2004-04-11 Description mise à jour: 2004-06-07"
Tout ça n'est pas jeune, et les IE5 ça se fait rare, hein... D'autre part, si votre super antivirus n'avait pas fait la sirène, vous auriez vu ce qu'a posté Gloops, un bout de HTML avec un nom d'exe ne pointant nulle part. Je maintiens donc qu'un antivirus qui hurle en voyant ça est assez crétin. -- Nina
Gloops
Je vais regarder aussi chez cert ce qu'ils ont à dire.
Comme m'avait filé un lien j'essayais de m'assurer si je l'avais bien lu ou pas ...
___________________________________________________ Nina Popravka a écrit, le 02/10/2006 21:41 :
On Mon, 02 Oct 2006 21:29:49 +0200, Gloops wrote:
Est-ce que je chauffe ? Si je puis me permettre... cherche les failles EXPLOITEES.
Parce que si tu commences à regarder tous les trucs potentiels, tu vas te faire du mal. Et une bonne source pour les failles exploitées, qui ne te signale pas plein de trucs obscurs que personne n'a jamais vus, c'est le cert. http://www.cert.org/ Avec tout le respect que j'ai pour toi, c'est très très improbable que tu aies chopé une merde potentielle que personne d'autre n'a jamais vu, si tu es un particulier.
Je vais regarder aussi chez cert ce qu'ils ont à dire.
Comme j@ckie m'avait filé un lien j'essayais de m'assurer si je l'avais
bien lu ou pas ...
___________________________________________________
Nina Popravka a écrit, le 02/10/2006 21:41 :
On Mon, 02 Oct 2006 21:29:49 +0200, Gloops <gloops@niark.invalid>
wrote:
Est-ce que je chauffe ?
Si je puis me permettre... cherche les failles EXPLOITEES.
Parce que si tu commences à regarder tous les trucs potentiels, tu vas
te faire du mal.
Et une bonne source pour les failles exploitées, qui ne te signale pas
plein de trucs obscurs que personne n'a jamais vus, c'est le cert.
http://www.cert.org/
Avec tout le respect que j'ai pour toi, c'est très très improbable que
tu aies chopé une merde potentielle que personne d'autre n'a jamais
vu, si tu es un particulier.
Je vais regarder aussi chez cert ce qu'ils ont à dire.
Comme m'avait filé un lien j'essayais de m'assurer si je l'avais bien lu ou pas ...
___________________________________________________ Nina Popravka a écrit, le 02/10/2006 21:41 :
On Mon, 02 Oct 2006 21:29:49 +0200, Gloops wrote:
Est-ce que je chauffe ? Si je puis me permettre... cherche les failles EXPLOITEES.
Parce que si tu commences à regarder tous les trucs potentiels, tu vas te faire du mal. Et une bonne source pour les failles exploitées, qui ne te signale pas plein de trucs obscurs que personne n'a jamais vus, c'est le cert. http://www.cert.org/ Avec tout le respect que j'ai pour toi, c'est très très improbable que tu aies chopé une merde potentielle que personne d'autre n'a jamais vu, si tu es un particulier.
Gloops
Bon, on va essayer de s'expliquer calmement ...
D'abord, pour alerter sur une publication de script malicieux dont on craint qu'elle ne cause des dégâts, ce serait bien de ne pas se tromper dans les liens : j'ai publié le script dans mon message de 14h55 le 2, qui pour le moment est encore tout seul dans son coin, et non dans celui de 12h51 le 29 sept., auquel tu réponds Flûte. Celui-ci ne comporte que du texte inoffensif, alors j'étais un peu largué.
Ensuite, une fois le message ouvert, peut-être est-ce dommage de ne pas le lire ? Admettons qu'en fermant vite on escompte limiter les dégâts, mais en l'espèce c'était dommage, car le code du script était accompagné des explications, qui permettent tout à la fois de comprendre pourquoi BitDefender (et ton antivirus aussi à ce que je comprends) affichent une alerte, et pourquoi McAfee ne le fait pas. Ce script est un lien vers une pièce jointe comportant un virus. Dès réception (en 2003), McAfee a affiché une alerte et proposé de mettre le fichier en quarantaine. Le code d'appel, lui, est resté dans le mail, ce qui explique que lors du changement d'antivirus quelques années plus tard, j'ai une alerte, sur laquelle j'aurais bien apprécié que l'éditeur soit en mesure de me fournir des précisions (ce qui est l'objet de ce fil).
Une partie de ces précisions, celles que je suis en mesure de fournir à l'heure qu'il est, ont été fournies dans mon message de 14h55 le 2 oct., incluant le code d'appel qui permet de comprendre comment se présente cette infection. Ce code est dangereux si toutes les conditions suivantes sont réunies : - les scripts sont activés sur la lecture des news - un virus est présent sur la machine du lecteur dans le fichier LdClBbiSX.exe, sur un répertoire faisant partie des répertoires par défaut (j'allais dire que mon répertoire de téléchargement non orthodoxe représente une certaine protection, en y regardant plus près peut-être pas puisqu'il n'est pas précisé dans la syntaxe d'appel).
Je dirais pour ma défense qu'il n'est pas prudent de conserver sur sa machine un fichier LdClBbiSX.exe contenant un virus, et que ce fichier devrait être effacé depuis trois ans (à moins que le nom ait été conservé pour véhiculer un autre virus ?). Ce fichier est reçu par spam, via les mails privés. Comme il contenait un virus, les antivirus, à juste raison, alertaient l'utilisateur et proposaient sa destruction ou sa mise en quarantaine.
Au demeurant, quand Claude Lafrenière conseille de désactiver les scripts dans les mails, je pense qu'il a raison, et que le conseil peut aussi s'appliquer dans les news.
* Par conséquent, je confirme qu'avant d'ouvrir mon message d'hier à 14h55, il est prudent de s'assurer de ne pas avoir sur sa machine un programme LdClBbisX.exe, lequel serait susceptible d'être ouvert par le script, si un tel programme était présent et qu'on souhaite le garder il conviendrait au minimum de s'assurer qu'il ne comporte pas de virus -mais quand même c'est un drôle de nom pour un programme à conserver, et si un virus n'était pas détruit avant de lire le newsgroup il y a un défaut dans la protection de la machine. Par ailleurs il est prudent de manière générale de désactiver l'exécution des scripts publiés dans les newsgroups.
Dans le cas où les précautions décrites au paragraphe précédent ont été prises, la seule chose qu'on risque est un message de son antivirus qui démontre l'objet de ce fil. Ce message alerte sur la présence d'une balise d'appel de virus.
Admettons qu'un troisième niveau de protection aurait été de remplacer les débuts de balises par des < (à lire "&" suivi de lt suivi d'un point-virgule). Peut-être que ça aurait été dommage, ça aurait privé d'une démonstration d'antivirus ? Un peu sur le principe de eicar ... D'ailleurs, je réalise une chose : BitDefender signale ce script dans les mails, mais pas dans les news.
J'espère sincèrement que mon message n'aura pas été lu sur une machine suffisamment vulnérable pour que ce script cause des dégâts. ____________________________________________ a écrit, le 02/10/2006 22:08 :
re'
"Gloops" a écrit dans le message news:
Si tu pouvais expliquer ?
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le 1° que j'ai ouvert, c'était le tien avec ta gentille description ...
PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ... : Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability !
je n'avais lu que 2 lignes seulement ..et j'ai vu trop tard ton "script " qui tue ;-( En plus pour une graphiste, ça la fiche mal.. je ne m'y attendais pas du tout !!!!!!!!!!!!!!!!!!!!!!!!!!!!
et j'ai dû sortir le gd jeu avec le scan interminable de TMicro et tutti quanti !
Je râle je râle = c'est la 1° saleté que je chope ....( par excès de confiance en plus !).. bah , je ne pourrais plus le dire :o)
[ Sinon le lien du 2005-05-08 /Page 138 aujourd'hui/ t'explique comment se passe ce truc.. " gestion du paramètre "src" inclus avec un tag "IFRAME , le truc des lettres qui tuent quoi :o) ]
Cdlt@+
Bon, on va essayer de s'expliquer calmement ...
D'abord, pour alerter sur une publication de script malicieux dont on
craint qu'elle ne cause des dégâts, ce serait bien de ne pas se tromper
dans les liens : j'ai publié le script dans mon message de 14h55 le 2,
qui pour le moment est encore tout seul dans son coin, et non dans celui
de 12h51 le 29 sept., auquel tu réponds Flûte. Celui-ci ne comporte que
du texte inoffensif, alors j'étais un peu largué.
Ensuite, une fois le message ouvert, peut-être est-ce dommage de ne pas
le lire ? Admettons qu'en fermant vite on escompte limiter les dégâts,
mais en l'espèce c'était dommage, car le code du script était accompagné
des explications, qui permettent tout à la fois de comprendre pourquoi
BitDefender (et ton antivirus aussi à ce que je comprends) affichent une
alerte, et pourquoi McAfee ne le fait pas. Ce script est un lien vers
une pièce jointe comportant un virus. Dès réception (en 2003), McAfee a
affiché une alerte et proposé de mettre le fichier en quarantaine. Le
code d'appel, lui, est resté dans le mail, ce qui explique que lors du
changement d'antivirus quelques années plus tard, j'ai une alerte, sur
laquelle j'aurais bien apprécié que l'éditeur soit en mesure de me
fournir des précisions (ce qui est l'objet de ce fil).
Une partie de ces précisions, celles que je suis en mesure de fournir à
l'heure qu'il est, ont été fournies dans mon message de 14h55 le 2 oct.,
incluant le code d'appel qui permet de comprendre comment se présente
cette infection. Ce code est dangereux si toutes les conditions
suivantes sont réunies :
- les scripts sont activés sur la lecture des news
- un virus est présent sur la machine du lecteur dans le fichier
LdClBbiSX.exe, sur un répertoire faisant partie des répertoires par
défaut (j'allais dire que mon répertoire de téléchargement non orthodoxe
représente une certaine protection, en y regardant plus près peut-être
pas puisqu'il n'est pas précisé dans la syntaxe d'appel).
Je dirais pour ma défense qu'il n'est pas prudent de conserver sur sa
machine un fichier LdClBbiSX.exe contenant un virus, et que ce fichier
devrait être effacé depuis trois ans (à moins que le nom ait été
conservé pour véhiculer un autre virus ?). Ce fichier est reçu par spam,
via les mails privés. Comme il contenait un virus, les antivirus, à
juste raison, alertaient l'utilisateur et proposaient sa destruction ou
sa mise en quarantaine.
Au demeurant, quand Claude Lafrenière conseille de désactiver les
scripts dans les mails, je pense qu'il a raison, et que le conseil peut
aussi s'appliquer dans les news.
*
Par conséquent, je confirme qu'avant d'ouvrir mon message d'hier à
14h55, il est prudent de s'assurer de ne pas avoir sur sa machine un
programme LdClBbisX.exe, lequel serait susceptible d'être ouvert par le
script, si un tel programme était présent et qu'on souhaite le garder il
conviendrait au minimum de s'assurer qu'il ne comporte pas de virus
-mais quand même c'est un drôle de nom pour un programme à conserver, et
si un virus n'était pas détruit avant de lire le newsgroup il y a un
défaut dans la protection de la machine. Par ailleurs il est prudent de
manière générale de désactiver l'exécution des scripts publiés dans les
newsgroups.
Dans le cas où les précautions décrites au paragraphe précédent ont été
prises, la seule chose qu'on risque est un message de son antivirus qui
démontre l'objet de ce fil. Ce message alerte sur la présence d'une
balise d'appel de virus.
Admettons qu'un troisième niveau de protection aurait été de remplacer
les débuts de balises par des < (à lire "&" suivi de lt suivi d'un
point-virgule). Peut-être que ça aurait été dommage, ça aurait privé
d'une démonstration d'antivirus ? Un peu sur le principe de eicar ...
D'ailleurs, je réalise une chose : BitDefender signale ce script dans
les mails, mais pas dans les news.
J'espère sincèrement que mon message n'aura pas été lu sur une machine
suffisamment vulnérable pour que ce script cause des dégâts.
____________________________________________
j@ckie a écrit, le 02/10/2006 22:08 :
re'
"Gloops" a écrit dans le message
news:uKc2Jnl5GHA.1252@TK2MSFTNGP04.phx.gbl...
Si tu pouvais expliquer ?
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le
1° que j'ai ouvert, c'était le tien avec ta gentille description ...
PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ...
: Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability !
Exploit.Iframe.Vulnerability !
je n'avais lu que 2 lignes seulement ..et j'ai vu trop tard ton "script
" qui tue ;-(
En plus pour une graphiste, ça la fiche mal.. je ne m'y attendais pas du
tout !!!!!!!!!!!!!!!!!!!!!!!!!!!!
et j'ai dû sortir le gd jeu avec le scan interminable de TMicro et
tutti quanti !
Je râle je râle = c'est la 1° saleté que je chope ....( par excès de
confiance en plus !)..
bah , je ne pourrais plus le dire :o)
[ Sinon le lien du 2005-05-08 /Page 138 aujourd'hui/ t'explique comment
se passe ce truc.. " gestion du paramètre "src" inclus avec un tag
"IFRAME , le truc des lettres qui tuent quoi :o) ]
D'abord, pour alerter sur une publication de script malicieux dont on craint qu'elle ne cause des dégâts, ce serait bien de ne pas se tromper dans les liens : j'ai publié le script dans mon message de 14h55 le 2, qui pour le moment est encore tout seul dans son coin, et non dans celui de 12h51 le 29 sept., auquel tu réponds Flûte. Celui-ci ne comporte que du texte inoffensif, alors j'étais un peu largué.
Ensuite, une fois le message ouvert, peut-être est-ce dommage de ne pas le lire ? Admettons qu'en fermant vite on escompte limiter les dégâts, mais en l'espèce c'était dommage, car le code du script était accompagné des explications, qui permettent tout à la fois de comprendre pourquoi BitDefender (et ton antivirus aussi à ce que je comprends) affichent une alerte, et pourquoi McAfee ne le fait pas. Ce script est un lien vers une pièce jointe comportant un virus. Dès réception (en 2003), McAfee a affiché une alerte et proposé de mettre le fichier en quarantaine. Le code d'appel, lui, est resté dans le mail, ce qui explique que lors du changement d'antivirus quelques années plus tard, j'ai une alerte, sur laquelle j'aurais bien apprécié que l'éditeur soit en mesure de me fournir des précisions (ce qui est l'objet de ce fil).
Une partie de ces précisions, celles que je suis en mesure de fournir à l'heure qu'il est, ont été fournies dans mon message de 14h55 le 2 oct., incluant le code d'appel qui permet de comprendre comment se présente cette infection. Ce code est dangereux si toutes les conditions suivantes sont réunies : - les scripts sont activés sur la lecture des news - un virus est présent sur la machine du lecteur dans le fichier LdClBbiSX.exe, sur un répertoire faisant partie des répertoires par défaut (j'allais dire que mon répertoire de téléchargement non orthodoxe représente une certaine protection, en y regardant plus près peut-être pas puisqu'il n'est pas précisé dans la syntaxe d'appel).
Je dirais pour ma défense qu'il n'est pas prudent de conserver sur sa machine un fichier LdClBbiSX.exe contenant un virus, et que ce fichier devrait être effacé depuis trois ans (à moins que le nom ait été conservé pour véhiculer un autre virus ?). Ce fichier est reçu par spam, via les mails privés. Comme il contenait un virus, les antivirus, à juste raison, alertaient l'utilisateur et proposaient sa destruction ou sa mise en quarantaine.
Au demeurant, quand Claude Lafrenière conseille de désactiver les scripts dans les mails, je pense qu'il a raison, et que le conseil peut aussi s'appliquer dans les news.
* Par conséquent, je confirme qu'avant d'ouvrir mon message d'hier à 14h55, il est prudent de s'assurer de ne pas avoir sur sa machine un programme LdClBbisX.exe, lequel serait susceptible d'être ouvert par le script, si un tel programme était présent et qu'on souhaite le garder il conviendrait au minimum de s'assurer qu'il ne comporte pas de virus -mais quand même c'est un drôle de nom pour un programme à conserver, et si un virus n'était pas détruit avant de lire le newsgroup il y a un défaut dans la protection de la machine. Par ailleurs il est prudent de manière générale de désactiver l'exécution des scripts publiés dans les newsgroups.
Dans le cas où les précautions décrites au paragraphe précédent ont été prises, la seule chose qu'on risque est un message de son antivirus qui démontre l'objet de ce fil. Ce message alerte sur la présence d'une balise d'appel de virus.
Admettons qu'un troisième niveau de protection aurait été de remplacer les débuts de balises par des < (à lire "&" suivi de lt suivi d'un point-virgule). Peut-être que ça aurait été dommage, ça aurait privé d'une démonstration d'antivirus ? Un peu sur le principe de eicar ... D'ailleurs, je réalise une chose : BitDefender signale ce script dans les mails, mais pas dans les news.
J'espère sincèrement que mon message n'aura pas été lu sur une machine suffisamment vulnérable pour que ce script cause des dégâts. ____________________________________________ a écrit, le 02/10/2006 22:08 :
re'
"Gloops" a écrit dans le message news:
Si tu pouvais expliquer ?
C'est simple, à 18h45 je suis venue voir les posts et leur suivi ; le 1° que j'ai ouvert, c'était le tien avec ta gentille description ...
PLOUF , *immédiatement* mon super AVirus sort la sirène de brume ... : Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability ! Exploit.Iframe.Vulnerability !
je n'avais lu que 2 lignes seulement ..et j'ai vu trop tard ton "script " qui tue ;-( En plus pour une graphiste, ça la fiche mal.. je ne m'y attendais pas du tout !!!!!!!!!!!!!!!!!!!!!!!!!!!!
et j'ai dû sortir le gd jeu avec le scan interminable de TMicro et tutti quanti !
Je râle je râle = c'est la 1° saleté que je chope ....( par excès de confiance en plus !).. bah , je ne pourrais plus le dire :o)
[ Sinon le lien du 2005-05-08 /Page 138 aujourd'hui/ t'explique comment se passe ce truc.. " gestion du paramètre "src" inclus avec un tag "IFRAME , le truc des lettres qui tuent quoi :o) ]
Cdlt@+
Gloops
Comme le signale , du fait que le message auquel je réponds ici (Message-ID: , 2 octobre 14h55) comporte, à titre d'information, le code d'appel d'un virus, il est préférable de rappeler ce qui suit :
Avant de publier, j'ai supposé que les lecteurs disposaient d'une machine disposant des protections habituelles (dont un pare-feu et un antivirus à jour).
Notamment, si on souhaite prendre toutes les précautions, on peut - désactiver les scripts sur son lecteur de news - à titre de précaution supplémentaire (style "ceinture plus bretelles") lancer sur sa machine la recherche d'un fichier LdClBbiSX.exe (ce programme, si il se trouve dans un des répertoires par défaut et que les scripts sont activés, sera lancé par le script). Il s'agit du nom d'une pièce jointe qui a été reçue avec un certain nombre de spams il y a trois ans, et qui contenait un virus.
Dans le cas où on a pris ces précautions, il est possible que votre antivirus signale tout de même un problème.
C'est normal : si vous voyez le fléchage de l'itinéraire à suivre pour attaquer la banque, vous allez bien prévenir la police, non ? Pas d'inquiétude, le gusse qui est censé lire le plan est mort, l'itinéraire a été verrouillé, et l'arme est enrayée (c'est ce que vous vérifiez par la recherche que j'ai suggérée ci-dessus, et en vous assurant que dans les options de votre lecteur de news qu'il n'exécute pas les scripts).
Comme le signale j@ckie, du fait que le message auquel je réponds ici
(Message-ID: <eLoNZIi5GHA.508@TK2MSFTNGP06.phx.gbl>, 2 octobre 14h55)
comporte, à titre d'information, le code d'appel d'un virus, il est
préférable de rappeler ce qui suit :
Avant de publier, j'ai supposé que les lecteurs disposaient d'une
machine disposant des protections habituelles (dont un pare-feu et un
antivirus à jour).
Notamment, si on souhaite prendre toutes les précautions, on peut
- désactiver les scripts sur son lecteur de news
- à titre de précaution supplémentaire (style "ceinture plus bretelles")
lancer sur sa machine la recherche d'un fichier LdClBbiSX.exe (ce
programme, si il se trouve dans un des répertoires par défaut et que les
scripts sont activés, sera lancé par le script). Il s'agit du nom d'une
pièce jointe qui a été reçue avec un certain nombre de spams il y a
trois ans, et qui contenait un virus.
Dans le cas où on a pris ces précautions, il est possible que votre
antivirus signale tout de même un problème.
C'est normal : si vous voyez le fléchage de l'itinéraire à suivre pour
attaquer la banque, vous allez bien prévenir la police, non ? Pas
d'inquiétude, le gusse qui est censé lire le plan est mort, l'itinéraire
a été verrouillé, et l'arme est enrayée (c'est ce que vous vérifiez par
la recherche que j'ai suggérée ci-dessus, et en vous assurant que dans
les options de votre lecteur de news qu'il n'exécute pas les scripts).
Comme le signale , du fait que le message auquel je réponds ici (Message-ID: , 2 octobre 14h55) comporte, à titre d'information, le code d'appel d'un virus, il est préférable de rappeler ce qui suit :
Avant de publier, j'ai supposé que les lecteurs disposaient d'une machine disposant des protections habituelles (dont un pare-feu et un antivirus à jour).
Notamment, si on souhaite prendre toutes les précautions, on peut - désactiver les scripts sur son lecteur de news - à titre de précaution supplémentaire (style "ceinture plus bretelles") lancer sur sa machine la recherche d'un fichier LdClBbiSX.exe (ce programme, si il se trouve dans un des répertoires par défaut et que les scripts sont activés, sera lancé par le script). Il s'agit du nom d'une pièce jointe qui a été reçue avec un certain nombre de spams il y a trois ans, et qui contenait un virus.
Dans le cas où on a pris ces précautions, il est possible que votre antivirus signale tout de même un problème.
C'est normal : si vous voyez le fléchage de l'itinéraire à suivre pour attaquer la banque, vous allez bien prévenir la police, non ? Pas d'inquiétude, le gusse qui est censé lire le plan est mort, l'itinéraire a été verrouillé, et l'arme est enrayée (c'est ce que vous vérifiez par la recherche que j'ai suggérée ci-dessus, et en vous assurant que dans les options de votre lecteur de news qu'il n'exécute pas les scripts).
Nina Popravka
On Tue, 03 Oct 2006 19:03:09 +0200, Gloops wrote:
J'espère sincèrement que mon message n'aura pas été lu sur une machine suffisamment vulnérable pour que ce script cause des dégâts. Pas encore, mais je suis en train de travailler activement à monter
une config qui soit vulnérable. Tu ne m'en voudras pas si je remplace ton LdClBbisX.exe d'origine par une autre saloperie renommée ? J'y arriverai... :-)))))))))))) -- Nina
On Tue, 03 Oct 2006 19:03:09 +0200, Gloops <gloops@niark.invalid>
wrote:
J'espère sincèrement que mon message n'aura pas été lu sur une machine
suffisamment vulnérable pour que ce script cause des dégâts.
Pas encore, mais je suis en train de travailler activement à monter
une config qui soit vulnérable.
Tu ne m'en voudras pas si je remplace ton LdClBbisX.exe d'origine par
une autre saloperie renommée ?
J'y arriverai...
:-))))))))))))
--
Nina
J'espère sincèrement que mon message n'aura pas été lu sur une machine suffisamment vulnérable pour que ce script cause des dégâts. Pas encore, mais je suis en train de travailler activement à monter
une config qui soit vulnérable. Tu ne m'en voudras pas si je remplace ton LdClBbisX.exe d'origine par une autre saloperie renommée ? J'y arriverai... :-)))))))))))) -- Nina
