au hasard d'une visite sur ce qui devait être une page perso, un popup
d'un genre un peu particulier est apparu.
pub pour friend.fr, genre envoyer des sms .
d'apres ce que j' ai cru comprendre, en fait le site visité est un site
d'un affilié qui installe cette salopperie.
jusque la rien d'extraordinaire.
mais sans que je comprenne encore pourquoi, un programme
[friend.xms.exe] s'est installé dans un repertoire c:\temp avec un tas
de choses.
rien de bien méchant, il change les couleurs des barres d'IE et de OE,
et puis se connecte pour recevoir des pubs.
creant uen sorte de proxy et voulant attribuer a ie des droits de
serveur comme le firewall le signale immediatement.
j' ai viré tout cela de la base de registre, fais mon nettoyage maison.
ca va.
avec un petit ini aussi :
[Setup Hooks]
hook1=hook1
[hook1]
run=%EXTRACT_DIR%\friend.xms.exe
[Version]
; This section is required for compatibility on both Windows 95 and
Windows NT.
Signature="$CHICAGO$"
AdvancedInf=2.0
j' ai pourtant tout passé a Ad-aware, spybot, kaspersky , le tout a jour
de ce jour.
rien. je reconnais que c'est pas un virus - a supposer que s'en soit
un - tres mechant, mais bon.
j' ai gardé le programme si quelqu'un veut y jeter un oeil ou me dire si
c'est nouveau ou pas.
si c'est connu.
Heu, holahola, en 5' hein... Et puis, je maintiens, il n'y a rien de "particulier" pour des applications de ce type. Je mate un peu le foot et regarde le truc d'un peu plus près. A+.
Heu, holahola, en 5' hein... Et puis, je maintiens, il n'y a rien de
"particulier" pour des applications de ce type. Je mate un peu le foot et
regarde le truc d'un peu plus près. A+.
Heu, holahola, en 5' hein... Et puis, je maintiens, il n'y a rien de "particulier" pour des applications de ce type. Je mate un peu le foot et regarde le truc d'un peu plus près. A+.
Non, d'après un document que j'ai là, une section de code peut très bien porter ce nom.
J'aurais tendance à penser qu'une section .text ne doit pas contenir de code comme la section .rsrc (ressource).
J'pourrais me tromper mais... le nom d'une section est sans importance non?
Oui.
-- joke0
Oliviegntchik
Oliviegntchik enrichissait fr.comp.securite.virus de sa prose :
merci deja a tout le monde pour avoir réagi si vite et bien.
je sais pas trop quoi dire sur ce truc. d'abord les conditions d'introduction déjà.
pas reçu par mail. sur une page - je retrouve malheureusement pas laquelle - avec IE bien sur. j'ai toujours eu des doutes sur la capacité réelle d'un joujou a s'intaller tout seul mais bon....faut croire.
enfin ca m'a quand meme surpris un popup mais de forme peu traditionnelle, les bords surtout. et plantage quasi immediat de la machine. au reboot, ajout d'un racourci vers friend.fr sur le bureau.
j'ai enleve les clefs bizarroides qui modifiaient explorer, OE et l'explorateur.
sur mon poste, quand on appellait internet explorer, il commencait par afficher une page du navigateur par defaut, en l'occurence Mozilla. puis la page IE et la page mozilla portait un titre du style %/127.0.0.0.1:1080 je suis plus tres sur du numero de port.
je serai pas surpris en effet qu'il ait installé ses dll , je croyais voir un appel qui trainait a une dll un peu bizarroide .. je peux pas dire si des mails sont sortis au carnet d'adresses, franchement ca m'etonnerait vu le volume sorti que je surveillais et les blocages, mais ca m'a bien l'air d'une petite salopperie.
ensuite j'ai fait mon ménage. depuis plus rien mais bon.
je suis donc incapable de dire si un truc contaminé reste sur ma machine ou pas. j'ai traité les symptomes visibles.
en résume : que conseiller de plus pour être bien sur de s'etre débarrassé de cette merdouille ? on a affaire a un dialeur + envoyeur de courriels en mecanisme de propagation ou autre + receptionneur de pub . ca fait beaucoup pour un seul homme.
attendre quelques jours et vérifier que les anti-virus mis a jours incorporent ce bébé après analyse ?
Oliviegntchik enrichissait fr.comp.securite.virus de sa prose :
merci deja a tout le monde pour avoir réagi si vite et bien.
je sais pas trop quoi dire sur ce truc.
d'abord les conditions d'introduction déjà.
pas reçu par mail.
sur une page - je retrouve malheureusement pas laquelle - avec IE bien
sur. j'ai toujours eu des doutes sur la capacité réelle d'un joujou a
s'intaller tout seul mais bon....faut croire.
enfin ca m'a quand meme surpris un popup mais de forme peu
traditionnelle, les bords surtout. et plantage quasi immediat de la
machine.
au reboot, ajout d'un racourci vers friend.fr sur le bureau.
j'ai enleve les clefs bizarroides qui modifiaient explorer, OE et
l'explorateur.
sur mon poste, quand on appellait internet explorer, il commencait par
afficher une page du navigateur par defaut, en l'occurence Mozilla.
puis la page IE et la page mozilla portait un titre
du style %/127.0.0.0.1:1080
je suis plus tres sur du numero de port.
je serai pas surpris en effet qu'il ait installé ses dll , je croyais
voir un appel qui trainait a une dll un peu bizarroide ..
je peux pas dire si des mails sont sortis au carnet d'adresses,
franchement ca m'etonnerait vu le volume sorti que je surveillais et
les blocages, mais ca m'a bien l'air d'une petite salopperie.
ensuite j'ai fait mon ménage.
depuis plus rien mais bon.
je suis donc incapable de dire si un truc contaminé reste sur ma
machine ou pas. j'ai traité les symptomes visibles.
en résume : que conseiller de plus pour être bien sur de s'etre
débarrassé de cette merdouille ?
on a affaire a un dialeur + envoyeur de courriels en mecanisme de
propagation ou autre + receptionneur de pub .
ca fait beaucoup pour un seul homme.
attendre quelques jours et vérifier que les anti-virus mis a jours
incorporent ce bébé après analyse ?
Oliviegntchik enrichissait fr.comp.securite.virus de sa prose :
merci deja a tout le monde pour avoir réagi si vite et bien.
je sais pas trop quoi dire sur ce truc. d'abord les conditions d'introduction déjà.
pas reçu par mail. sur une page - je retrouve malheureusement pas laquelle - avec IE bien sur. j'ai toujours eu des doutes sur la capacité réelle d'un joujou a s'intaller tout seul mais bon....faut croire.
enfin ca m'a quand meme surpris un popup mais de forme peu traditionnelle, les bords surtout. et plantage quasi immediat de la machine. au reboot, ajout d'un racourci vers friend.fr sur le bureau.
j'ai enleve les clefs bizarroides qui modifiaient explorer, OE et l'explorateur.
sur mon poste, quand on appellait internet explorer, il commencait par afficher une page du navigateur par defaut, en l'occurence Mozilla. puis la page IE et la page mozilla portait un titre du style %/127.0.0.0.1:1080 je suis plus tres sur du numero de port.
je serai pas surpris en effet qu'il ait installé ses dll , je croyais voir un appel qui trainait a une dll un peu bizarroide .. je peux pas dire si des mails sont sortis au carnet d'adresses, franchement ca m'etonnerait vu le volume sorti que je surveillais et les blocages, mais ca m'a bien l'air d'une petite salopperie.
ensuite j'ai fait mon ménage. depuis plus rien mais bon.
je suis donc incapable de dire si un truc contaminé reste sur ma machine ou pas. j'ai traité les symptomes visibles.
en résume : que conseiller de plus pour être bien sur de s'etre débarrassé de cette merdouille ? on a affaire a un dialeur + envoyeur de courriels en mecanisme de propagation ou autre + receptionneur de pub . ca fait beaucoup pour un seul homme.
attendre quelques jours et vérifier que les anti-virus mis a jours incorporent ce bébé après analyse ?
Tweakie
On Wed, 10 Dec 2003, joke0 wrote:
Salut,
Frederic Bonroy:
Non, d'après un document que j'ai là, une section de code peut très bien porter ce nom.
J'aurais tendance à penser qu'une section .text ne doit pas contenir de code comme la section .rsrc (ressource).
Manifestement, le machin a ete compile' avec Visual C++ 6.0, je viens de verifier et c'est le comportement normal du compilo 3 sections .text, qui contient le point d'entree, .rdata et .data (et .rsrc si il y a des ressources).
Rien de suspect a ce niveau, donc...
-- Tweakie
On Wed, 10 Dec 2003, joke0 wrote:
Salut,
Frederic Bonroy:
Non, d'après un document que j'ai là, une section de code peut
très bien porter ce nom.
J'aurais tendance à penser qu'une section .text ne doit pas
contenir de code comme la section .rsrc (ressource).
Manifestement, le machin a ete compile' avec Visual C++ 6.0,
je viens de verifier et c'est le comportement normal du compilo
3 sections .text, qui contient le point d'entree, .rdata et
.data (et .rsrc si il y a des ressources).
Non, d'après un document que j'ai là, une section de code peut très bien porter ce nom.
J'aurais tendance à penser qu'une section .text ne doit pas contenir de code comme la section .rsrc (ressource).
Manifestement, le machin a ete compile' avec Visual C++ 6.0, je viens de verifier et c'est le comportement normal du compilo 3 sections .text, qui contient le point d'entree, .rdata et .data (et .rsrc si il y a des ressources).
Rien de suspect a ce niveau, donc...
-- Tweakie
Alias-
Oliviegntchik wrote:
salut a tous et a toutes.
au hasard d'une visite sur ce qui devait être une page perso, un popup d'un genre un peu particulier est apparu. pub pour friend.fr, genre envoyer des sms . d'apres ce que j' ai cru comprendre, en fait le site visité est un site d'un affilié qui installe cette salopperie. jusque la rien d'extraordinaire.
mais sans que je comprenne encore pourquoi, un programme [friend.xms.exe] s'est installé dans un repertoire c:temp avec un tas de choses.
Salut,
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-) http://www.friend.fr/ système de paiement Allopass. Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
au hasard d'une visite sur ce qui devait être une page perso, un popup
d'un genre un peu particulier est apparu.
pub pour friend.fr, genre envoyer des sms .
d'apres ce que j' ai cru comprendre, en fait le site visité est un
site d'un affilié qui installe cette salopperie.
jusque la rien d'extraordinaire.
mais sans que je comprenne encore pourquoi, un programme
[friend.xms.exe] s'est installé dans un repertoire c:temp avec un tas
de choses.
Salut,
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-)
http://www.friend.fr/ système de paiement Allopass.
Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
au hasard d'une visite sur ce qui devait être une page perso, un popup d'un genre un peu particulier est apparu. pub pour friend.fr, genre envoyer des sms . d'apres ce que j' ai cru comprendre, en fait le site visité est un site d'un affilié qui installe cette salopperie. jusque la rien d'extraordinaire.
mais sans que je comprenne encore pourquoi, un programme [friend.xms.exe] s'est installé dans un repertoire c:temp avec un tas de choses.
Salut,
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-) http://www.friend.fr/ système de paiement Allopass. Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
-- alias-
Thibaut Allender
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-) http://www.friend.fr/ système de paiement Allopass. Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
celui de Oliviegntchik fait 228 216 octets, contre 192 663 pour "l'officiel" une version modifiee? plus vieille? plus recente ?
-- freelance + web design + php dev + digital photo + 32 496 26 75 76 + http://www.capsule.org
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-)
http://www.friend.fr/ système de paiement Allopass.
Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
celui de Oliviegntchik fait 228 216 octets, contre 192 663 pour "l'officiel"
une version modifiee? plus vieille? plus recente ?
--
freelance + web design + php dev + digital photo
+ 32 496 26 75 76 + http://www.capsule.org
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-) http://www.friend.fr/ système de paiement Allopass. Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
celui de Oliviegntchik fait 228 216 octets, contre 192 663 pour "l'officiel" une version modifiee? plus vieille? plus recente ?
-- freelance + web design + php dev + digital photo + 32 496 26 75 76 + http://www.capsule.org
Tweakie
On Wed, 10 Dec 2003, Oliviegntchik wrote:
Oliviegntchik enrichissait fr.comp.securite.virus de sa prose :
merci deja a tout le monde pour avoir réagi si vite et bien.
je sais pas trop quoi dire sur ce truc. d'abord les conditions d'introduction déjà.
pas reçu par mail. sur une page - je retrouve malheureusement pas laquelle - avec IE bien sur. j'ai toujours eu des doutes sur la capacité réelle d'un joujou a s'intaller tout seul mais bon....faut croire.
Sisi, ils font preuve d'une reactivite' incroyable, ces gens la. Des qu'un bug d'IE est signale', les cochoneries pleuvent.
Pour votre page, quelque chose comme : http://www.friend.fr/indexnopop.php?u=h ou http://www.friend.fr/idc ou tout simplement http://www.friend.fr ou encore http://www.friend.fr/idc/go.php?url=http://www.friend.eu.com
enfin ca m'a quand meme surpris un popup mais de forme peu traditionnelle, les bords surtout. et plantage quasi immediat de la machine. au reboot, ajout d'un racourci vers friend.fr sur le bureau.
j'ai enleve les clefs bizarroides qui modifiaient explorer, OE et l'explorateur.
sur mon poste, quand on appellait internet explorer, il commencait par afficher une page du navigateur par defaut, en l'occurence Mozilla. puis la page IE et la page mozilla portait un titre du style %/127.0.0.0.1:1080 je suis plus tres sur du numero de port.
Dans le doute, verifiez que votre port 1080 (socks) n'est pas ouvert via un netstat -a et un "telnet localhost 1080"
je serai pas surpris en effet qu'il ait installé ses dll , je croyais voir un appel qui trainait a une dll un peu bizarroide ..
Voyons. N'effacez rien pour l'instant, mais est-ce que vous avez un ou plusieurs des fichies suivants sur votre machine : msvrl.dll spOrder.dll friend.id.com friend.europe.frd signer.dll sign.xms.exe Asys.wav msvri.dll xmshead.dat xms.dat
je peux pas dire si des mails sont sortis au carnet d'adresses, franchement ca m'etonnerait vu le volume sorti que je surveillais et les blocages, mais ca m'a bien l'air d'une petite salopperie.
Il n'est pas dit qu'il envoie des mails automtiquement. Il faudrait comprendre en detail le fonctionnement du programme pour dire si oui ou non il le fait. Ce qui demanderait plus de temps et d'attention.
ensuite j'ai fait mon ménage. depuis plus rien mais bon.
je suis donc incapable de dire si un truc contaminé reste sur ma machine ou pas. j'ai traité les symptomes visibles.
en résume : que conseiller de plus pour être bien sur de s'etre débarrassé de cette merdouille ?
Ben vous allez rire, mais il semblerait qu'il y ai un desinstalleur qui aille avec. Auquel vous auriez pu acceder via le panneau de config et add/remove programs :-/
on a affaire a un dialeur + envoyeur de courriels en mecanisme de propagation ou autre + receptionneur de pub . ca fait beaucoup pour un seul homme.
Voui, quoique je veux bien qu'AMcD m'indique la partie dialer, pour mon edification personnelle.
attendre quelques jours et vérifier que les anti-virus mis a jours incorporent ce bébé après analyse ?
Ca me parait etre la meilleure solution : envoyez ca a votre eiteur d'AV et voyez ce qu'il vous repond.
Et comme c'est en .fr, si j'etais vous, je passerais un petit coup de fil a M. Cornuot, qui se trouve etre le responsable attitre' du domaine friend.fr, et j'enverrai eventuellement un petit mail a la cnil.
-- Tweakie
On Wed, 10 Dec 2003, Oliviegntchik wrote:
Oliviegntchik enrichissait fr.comp.securite.virus de sa prose :
merci deja a tout le monde pour avoir réagi si vite et bien.
je sais pas trop quoi dire sur ce truc.
d'abord les conditions d'introduction déjà.
pas reçu par mail.
sur une page - je retrouve malheureusement pas laquelle - avec IE bien
sur. j'ai toujours eu des doutes sur la capacité réelle d'un joujou a
s'intaller tout seul mais bon....faut croire.
Sisi, ils font preuve d'une reactivite' incroyable, ces gens la.
Des qu'un bug d'IE est signale', les cochoneries pleuvent.
Pour votre page, quelque chose comme :
http://www.friend.fr/indexnopop.php?u=h
ou
http://www.friend.fr/idc
ou tout simplement
http://www.friend.fr
ou encore
http://www.friend.fr/idc/go.php?url=http://www.friend.eu.com
enfin ca m'a quand meme surpris un popup mais de forme peu
traditionnelle, les bords surtout. et plantage quasi immediat de la
machine.
au reboot, ajout d'un racourci vers friend.fr sur le bureau.
j'ai enleve les clefs bizarroides qui modifiaient explorer, OE et
l'explorateur.
sur mon poste, quand on appellait internet explorer, il commencait par
afficher une page du navigateur par defaut, en l'occurence Mozilla.
puis la page IE et la page mozilla portait un titre
du style %/127.0.0.0.1:1080
je suis plus tres sur du numero de port.
Dans le doute, verifiez que votre port 1080 (socks) n'est pas
ouvert via un netstat -a et un "telnet localhost 1080"
je serai pas surpris en effet qu'il ait installé ses dll , je croyais
voir un appel qui trainait a une dll un peu bizarroide ..
Voyons. N'effacez rien pour l'instant, mais est-ce que vous avez
un ou plusieurs des fichies suivants sur votre machine :
msvrl.dll
spOrder.dll
friend.id.com
friend.europe.frd
signer.dll
sign.xms.exe
Asys.wav
msvri.dll
xmshead.dat
xms.dat
je peux pas dire si des mails sont sortis au carnet d'adresses,
franchement ca m'etonnerait vu le volume sorti que je surveillais et
les blocages, mais ca m'a bien l'air d'une petite salopperie.
Il n'est pas dit qu'il envoie des mails automtiquement. Il
faudrait comprendre en detail le fonctionnement du programme
pour dire si oui ou non il le fait. Ce qui demanderait plus
de temps et d'attention.
ensuite j'ai fait mon ménage.
depuis plus rien mais bon.
je suis donc incapable de dire si un truc contaminé reste sur ma
machine ou pas. j'ai traité les symptomes visibles.
en résume : que conseiller de plus pour être bien sur de s'etre
débarrassé de cette merdouille ?
Ben vous allez rire, mais il semblerait qu'il y ai un desinstalleur
qui aille avec. Auquel vous auriez pu acceder via le panneau de config
et add/remove programs :-/
on a affaire a un dialeur + envoyeur de courriels en mecanisme de
propagation ou autre + receptionneur de pub .
ca fait beaucoup pour un seul homme.
Voui, quoique je veux bien qu'AMcD m'indique la partie dialer, pour
mon edification personnelle.
attendre quelques jours et vérifier que les anti-virus mis a jours
incorporent ce bébé après analyse ?
Ca me parait etre la meilleure solution : envoyez ca a votre eiteur
d'AV et voyez ce qu'il vous repond.
Et comme c'est en .fr, si j'etais vous, je passerais un petit
coup de fil a M. Cornuot, qui se trouve etre le responsable
attitre' du domaine friend.fr, et j'enverrai eventuellement
un petit mail a la cnil.
Oliviegntchik enrichissait fr.comp.securite.virus de sa prose :
merci deja a tout le monde pour avoir réagi si vite et bien.
je sais pas trop quoi dire sur ce truc. d'abord les conditions d'introduction déjà.
pas reçu par mail. sur une page - je retrouve malheureusement pas laquelle - avec IE bien sur. j'ai toujours eu des doutes sur la capacité réelle d'un joujou a s'intaller tout seul mais bon....faut croire.
Sisi, ils font preuve d'une reactivite' incroyable, ces gens la. Des qu'un bug d'IE est signale', les cochoneries pleuvent.
Pour votre page, quelque chose comme : http://www.friend.fr/indexnopop.php?u=h ou http://www.friend.fr/idc ou tout simplement http://www.friend.fr ou encore http://www.friend.fr/idc/go.php?url=http://www.friend.eu.com
enfin ca m'a quand meme surpris un popup mais de forme peu traditionnelle, les bords surtout. et plantage quasi immediat de la machine. au reboot, ajout d'un racourci vers friend.fr sur le bureau.
j'ai enleve les clefs bizarroides qui modifiaient explorer, OE et l'explorateur.
sur mon poste, quand on appellait internet explorer, il commencait par afficher une page du navigateur par defaut, en l'occurence Mozilla. puis la page IE et la page mozilla portait un titre du style %/127.0.0.0.1:1080 je suis plus tres sur du numero de port.
Dans le doute, verifiez que votre port 1080 (socks) n'est pas ouvert via un netstat -a et un "telnet localhost 1080"
je serai pas surpris en effet qu'il ait installé ses dll , je croyais voir un appel qui trainait a une dll un peu bizarroide ..
Voyons. N'effacez rien pour l'instant, mais est-ce que vous avez un ou plusieurs des fichies suivants sur votre machine : msvrl.dll spOrder.dll friend.id.com friend.europe.frd signer.dll sign.xms.exe Asys.wav msvri.dll xmshead.dat xms.dat
je peux pas dire si des mails sont sortis au carnet d'adresses, franchement ca m'etonnerait vu le volume sorti que je surveillais et les blocages, mais ca m'a bien l'air d'une petite salopperie.
Il n'est pas dit qu'il envoie des mails automtiquement. Il faudrait comprendre en detail le fonctionnement du programme pour dire si oui ou non il le fait. Ce qui demanderait plus de temps et d'attention.
ensuite j'ai fait mon ménage. depuis plus rien mais bon.
je suis donc incapable de dire si un truc contaminé reste sur ma machine ou pas. j'ai traité les symptomes visibles.
en résume : que conseiller de plus pour être bien sur de s'etre débarrassé de cette merdouille ?
Ben vous allez rire, mais il semblerait qu'il y ai un desinstalleur qui aille avec. Auquel vous auriez pu acceder via le panneau de config et add/remove programs :-/
on a affaire a un dialeur + envoyeur de courriels en mecanisme de propagation ou autre + receptionneur de pub . ca fait beaucoup pour un seul homme.
Voui, quoique je veux bien qu'AMcD m'indique la partie dialer, pour mon edification personnelle.
attendre quelques jours et vérifier que les anti-virus mis a jours incorporent ce bébé après analyse ?
Ca me parait etre la meilleure solution : envoyez ca a votre eiteur d'AV et voyez ce qu'il vous repond.
Et comme c'est en .fr, si j'etais vous, je passerais un petit coup de fil a M. Cornuot, qui se trouve etre le responsable attitre' du domaine friend.fr, et j'enverrai eventuellement un petit mail a la cnil.
-- Tweakie
Tweakie
On Wed, 10 Dec 2003, Thibaut Allender wrote:
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-) http://www.friend.fr/ système de paiement Allopass. Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
celui de Oliviegntchik fait 228 216 octets, contre 192 663 pour "l'offici el" une version modifiee? plus vieille? plus recente ?
Bonjour,
A vue de nez, je dirais qu'il s'agit de deux versions differentes. Les URL different, les ressources aussi. Il est vraissemblable que la version la plus recente est l'"officielle", mais je suis sur qu'une bonne ame me rappellera comment interpreter le timestamp present dans l'entete des executables...
-- Tweakie
On Wed, 10 Dec 2003, Thibaut Allender wrote:
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-)
http://www.friend.fr/ système de paiement Allopass.
Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
celui de Oliviegntchik fait 228 216 octets, contre 192 663 pour "l'offici el"
une version modifiee? plus vieille? plus recente ?
Bonjour,
A vue de nez, je dirais qu'il s'agit de deux versions differentes.
Les URL different, les ressources aussi. Il est vraissemblable que la
version la plus recente est l'"officielle", mais je suis sur qu'une
bonne ame me rappellera comment interpreter le timestamp present
dans l'entete des executables...
Tu en as de la chance, normalement il faut payer pour avoir ce soft :-) http://www.friend.fr/ système de paiement Allopass. Fichier à télécharger ici : http://www.friend.fr/friend.xms.exe
celui de Oliviegntchik fait 228 216 octets, contre 192 663 pour "l'offici el" une version modifiee? plus vieille? plus recente ?
Bonjour,
A vue de nez, je dirais qu'il s'agit de deux versions differentes. Les URL different, les ressources aussi. Il est vraissemblable que la version la plus recente est l'"officielle", mais je suis sur qu'une bonne ame me rappellera comment interpreter le timestamp present dans l'entete des executables...
-- Tweakie
Roland Garcia
salut a tous et a toutes.
au hasard d'une visite sur ce qui devait être une page perso, un popup d'un genre un peu particulier est apparu. pub pour friend.fr, genre envoyer des sms . d'apres ce que j' ai cru comprendre, en fait le site visité est un site d'un affilié qui installe cette salopperie. jusque la rien d'extraordinaire.
mais sans que je comprenne encore pourquoi, un programme [friend.xms.exe] s'est installé dans un repertoire c:temp avec un tas de choses.
"Normalement" parce que vous avez cliqué dessus.
Dans tous les cas il a dû vous proposer de taper un message SMS (mais il faut être inscrit et avoir un mot de passe). Il ouvre aussi le mailer par défaut, se copie en pièce jointe dedans pour être envoyé à qui vous voulez.
rien de bien méchant, il change les couleurs des barres d'IE et de OE, et puis se connecte pour recevoir des pubs.
Non il utilise un bandeau (.bmp) qu'il stocke en plusieurs endroits pour ne pas être effacé:
Normalement vous avez aussi un raccourci Friend sur le bureau pointant vers: http://www.friend.fr/
Ce bandeau est une vraie cochonnerie apparaissant dans toutes les fenêtres Windows.
Roland Garcia
salut a tous et a toutes.
au hasard d'une visite sur ce qui devait être une page perso, un popup
d'un genre un peu particulier est apparu.
pub pour friend.fr, genre envoyer des sms .
d'apres ce que j' ai cru comprendre, en fait le site visité est un site
d'un affilié qui installe cette salopperie.
jusque la rien d'extraordinaire.
mais sans que je comprenne encore pourquoi, un programme
[friend.xms.exe] s'est installé dans un repertoire c:temp avec un tas
de choses.
"Normalement" parce que vous avez cliqué dessus.
Dans tous les cas il a dû vous proposer de taper un message SMS (mais il
faut être inscrit et avoir un mot de passe). Il ouvre aussi le mailer
par défaut, se copie en pièce jointe dedans pour être envoyé à qui vous
voulez.
rien de bien méchant, il change les couleurs des barres d'IE et de OE,
et puis se connecte pour recevoir des pubs.
Non il utilise un bandeau (.bmp) qu'il stocke en plusieurs endroits pour
ne pas être effacé:
au hasard d'une visite sur ce qui devait être une page perso, un popup d'un genre un peu particulier est apparu. pub pour friend.fr, genre envoyer des sms . d'apres ce que j' ai cru comprendre, en fait le site visité est un site d'un affilié qui installe cette salopperie. jusque la rien d'extraordinaire.
mais sans que je comprenne encore pourquoi, un programme [friend.xms.exe] s'est installé dans un repertoire c:temp avec un tas de choses.
"Normalement" parce que vous avez cliqué dessus.
Dans tous les cas il a dû vous proposer de taper un message SMS (mais il faut être inscrit et avoir un mot de passe). Il ouvre aussi le mailer par défaut, se copie en pièce jointe dedans pour être envoyé à qui vous voulez.
rien de bien méchant, il change les couleurs des barres d'IE et de OE, et puis se connecte pour recevoir des pubs.
Non il utilise un bandeau (.bmp) qu'il stocke en plusieurs endroits pour ne pas être effacé:
Il appelle le mailer par défaut pour expédier des mails, avec OE c'est plus facile car il peut même trouver ses adresses. Il appelle également le navigateur par défaut.
Il appelle le mailer par défaut pour expédier des mails, avec OE c'est
plus facile car il peut même trouver ses adresses. Il appelle également
le navigateur par défaut.
Il appelle le mailer par défaut pour expédier des mails, avec OE c'est plus facile car il peut même trouver ses adresses. Il appelle également le navigateur par défaut.
