Trojan Exploit-MhtRedir.gen

"nofuture" <nofuture@hotmail.com> a écrit dans le message de news:

Exploit-mhtRedir.gen est en fait une appellation générique pour certain
trojan et exploit. Par exemple des failles de IE qui permettent de créer
des pages html provoquant divers résultat comme plantage, exécution de
code arbitraire ou autre. Firefox n'est pas sensible a ces problème mais
ton anti virus détect quand même qu'un page qui contient ces "virus" a
été téléchargé et se déclenche. Comme la page est mise dans le cache de
firefox, le problème semble venir de celui-ci. Enfin, c'est une
supposition :)

raisonnement tout à fait logique. Firefox ne filtre pas le contenu de la
page et donc le stocke sur disque mais ne va pas exécuter le code
malicieux.

Bonjour,

Le problème que j'ai rencontré est que Viruscan trouvait le trojan, mais
sans me donner le chemin complet. Il me donnait : Documents and Settings...
_cache001_/0000.82ab.eml/00056b.eml/ etc. avec une ligne de .eml
interminable. J'ai dû afficher les dossiers et les fichiers cachés et passer
viruscan dossier par dossier pour le trouver dans Documents and
Settings/nom/application data/Firefox/... mais arrivé ici, pas moyen de le
supprimer via viruscan, le fichier étant protégé en écriture. C'est la
raison pour laquelle, j'ai désinstallé Firefox "proprement" et viré tous les
dossier restant de firefox "à la main".

--
Reyes

"Frederic Bezies" <mozjf@nospam-alussinan.org> a écrit

Laisse tomber, il cherche juste à troller !
Trouvé sur fr.comp.securite.virus en date du 20/11/2004 :
Path: news.wanadoo.fr!news.wanadoo.fr!news.wanadoo.fr!not-for-mail
From: "Reyes" <Anti-Spam-Reyes@echecs.com>
Newsgroups: fr.comp.securite.virus
Subject: Exploit-MhRedir.gen
Date: Sat, 20 Nov 2004 18:10:08 +0100
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-RFC2646: Format=Flowed; Original
Lines: 18
Message-ID: <419f796a$0$8783$8fcfb975@news.wanadoo.fr>
Organization: les newsgroups par Wanadoo
NNTP-Posting-Host: AAubervilliers-152-2-12-101.w82-121.abo.wanadoo.fr
X-Trace: 1100970346 news.wanadoo.fr 8783 82.121.203.101:4298
X-Complaints-To: abuse@wanadoo.fr
Xref: news.wanadoo.fr fr.comp.securite.virus:123128

Désolé, mais je ne trolle pas, je raconte simplement ce qui m'est arrivé,
sans accuser personne, simplement au cas où cela peut servir à quelqu'un.
C'est bien moi qui ai posté sur fr.comp.securite.virus et je viens seulement
de découvrir ce newsgroup sur Firefox, donc je répète, à l'endroit qui me
semble le plus approprié.

Pour le prouver, je me désabonne immédiatement de ce newsgroup afin de ne
pas troller et te laisser dans tes certitudes.

--
Reyes



"Frederic Bezies" <mozjf@nospam-alussinan.org> a écrit dans le message de
news: 41a4faab$0$29360$8fcfb975@news.wanadoo.fr...

Le 11/24/2004 10:11 PM, Michel Doucet a écrit :

Salut à toi *nofuture*, tu nous disais ce mercredi 24/11/2004 vers
22:08:03 ce qui suit :

Lock5 wrote:

Exploit-mhtRedir.gen est en fait une appellation générique pour certain
trojan et exploit. Par exemple des failles de IE qui permettent de
créer des pages html provoquant divers résultat comme plantage,
exécution de code arbitraire ou autre. Firefox n'est pas sensible a ces
problème mais ton anti virus détect quand même qu'un page qui contient
ces "virus" a été téléchargé et se déclenche. Comme la page est mise
dans le cache de firefox, le problème semble venir de celui-ci.
Enfin, c'est une supposition :)

raisonnement tout à fait logique. Firefox ne filtre pas le contenu de la
page et donc le stocke sur disque mais ne va pas exécuter le code
malicieux.

Trouvé sur le site de Mc Afee :
"This threat exploits an Internet Explorer vulnerability." ..... donc pas
de pbl avec FF :D

Laisse tomber, il cherche juste à troller !

Trouvé sur fr.comp.securite.virus en date du 20/11/2004 :

Path: news.wanadoo.fr!news.wanadoo.fr!news.wanadoo.fr!not-for-mail
From: "Reyes" <Anti-Spam-Reyes@echecs.com>
Newsgroups: fr.comp.securite.virus
Subject: Exploit-MhRedir.gen
Date: Sat, 20 Nov 2004 18:10:08 +0100
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-RFC2646: Format=Flowed; Original
Lines: 18
Message-ID: <419f796a$0$8783$8fcfb975@news.wanadoo.fr>
Organization: les newsgroups par Wanadoo
NNTP-Posting-Host: AAubervilliers-152-2-12-101.w82-121.abo.wanadoo.fr
X-Trace: 1100970346 news.wanadoo.fr 8783 82.121.203.101:4298
X-Complaints-To: abuse@wanadoo.fr
Xref: news.wanadoo.fr fr.comp.securite.virus:123128

No comment ;)

--
Frédéric Béziès - mozjf@alussinan.org

Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://fredbezies.jexiste.fr/dotclear/
Fourre-tout : http://perso.wanadoo.fr/frederic.bezies/pratique/

Le 11/24/2004 10:32 PM, Reyes a écrit :

"Frederic Bezies" <mozjf@nospam-alussinan.org> a écrit

Laisse tomber, il cherche juste à troller !
Trouvé sur fr.comp.securite.virus en date du 20/11/2004 :
Path: news.wanadoo.fr!news.wanadoo.fr!news.wanadoo.fr!not-for-mail
From: "Reyes" <Anti-Spam-Reyes@echecs.com>
Newsgroups: fr.comp.securite.virus
Subject: Exploit-MhRedir.gen
Date: Sat, 20 Nov 2004 18:10:08 +0100
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-RFC2646: Format=Flowed; Original
Lines: 18
Message-ID: <419f796a$0$8783$8fcfb975@news.wanadoo.fr>
Organization: les newsgroups par Wanadoo
NNTP-Posting-Host: AAubervilliers-152-2-12-101.w82-121.abo.wanadoo.fr
X-Trace: 1100970346 news.wanadoo.fr 8783 82.121.203.101:4298
X-Complaints-To: abuse@wanadoo.fr
Xref: news.wanadoo.fr fr.comp.securite.virus:123128

Désolé, mais je ne trolle pas, je raconte simplement ce qui m'est arrivé,

Suffit de suivre le fil qui suit le message pour en apprendre plus :)

sans accuser personne, simplement au cas où cela peut servir à quelqu'un.
C'est bien moi qui ai posté sur fr.comp.securite.virus et je viens seulement
de découvrir ce newsgroup sur Firefox, donc je répète, à l'endroit qui me
semble le plus approprié.

Pas uniquement sur firefox.

Pour le prouver, je me désabonne immédiatement de ce newsgroup afin de ne
pas troller et te laisser dans tes certitudes.

Ah ?

Evidemment, c'est plus simple quand on a une adresse complètement fausse ;)

Copie sur fr.comp.securite.virus qui appréciera ton courage !

--
Reyes

[goret quotage, normal, c'est OE6.0 SP2]


--
Frédéric Béziès - mozjf@alussinan.org

Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://fredbezies.jexiste.fr/dotclear/
Fourre-tout : http://perso.wanadoo.fr/frederic.bezies/pratique/

Le 24/11/2004 22:26, Reyes a ecrit :

Bonjour,

Le problème que j'ai rencontré est que Viruscan trouvait le trojan, mais
sans me donner le chemin complet. Il me donnait : Documents and Settings...
_cache001_/0000.82ab.eml/00056b.eml/ etc. avec une ligne de .eml
interminable. J'ai dû afficher les dossiers et les fichiers cachés et passer
viruscan dossier par dossier pour le trouver dans Documents and
Settings/nom/application data/Firefox/... mais arrivé ici, pas moyen de le
supprimer via viruscan, le fichier étant protégé en écriture. C'est la
raison pour laquelle, j'ai désinstallé Firefox "proprement" et viré tous les
dossier restant de firefox "à la main".

Oui, tu as un virus sur ton disque dur ok... Enfin je vois toujours pas
le rapport avec Firefox. Ce soir j'ai le nez qui coule un peu et j'ai
mangé des raviolis, c'est pas pour ça que j'en déduis que les raviolis
filent la crève :)

pascal

Reyes,

etc. avec une ligne de .eml
interminable.

a ben voilà, .eml c'est une extension de OE, cqfd

--
mome
http://sbc-compagnie.fr.st/

> Evidemment, c'est plus simple quand on a une adresse complètement fausse
;)
Copie sur fr.comp.securite.virus qui appréciera ton courage !

Je répète encore :

Désolé, mais je ne trolle pas, je raconte simplement ce qui m'est arrivé,
sans accuser personne, simplement au cas où cela peut servir à quelqu'un.
C'est bien moi qui ai posté sur fr.comp.securite.virus et je viens seulement
de découvrir ce newsgroup sur Firefox, donc je répète, à l'endroit qui me
semble le plus approprié.

Pour être plus clair (il le faut parfois avec les non-comprenants), je ne
bosse pas pour Mcafee ni pour Internet-Explorer, j'étais très heureux de me
servir de Firefox (j'aime beaucoup la qualité de son affichage des pages web
et le système des onglets me convient parfaitement pour mon boulot de
webmaster), mais je suis désolé, j'ai attrappé Exploit-MhtRedir.gen en
téléchargeant Firefox 1.0 (il n'y était pas la veille et je scan tous les
jours mon ordi, avec plus de 200 mails reçus par jour, c'est plus prudent)
et je suis encore plus désolé d'avoir dû désinstaller Firefox et rester sur
IE, mais c'est comme ça. La gueguerre IE/Firefox je m'en fout complètement,
qui est le plus beau aussi et qui a la plus grosse encore plus !

Que ça te plaises ou non, c'est pareil et je n'accepte pas de me faire
accuser de troller ou d'être un lâche, par un abruti qui pense avoir tout
compris parce qu'il vient seulement de lire un de mes messages !

--
Gérard Demuydt (Reyes) http://www.mjae.com





"Frederic Bezies" <mozjf@nospam-alussinan.org> a écrit dans le message de
news: 41a4fea8$0$9070$8fcfb975@news.wanadoo.fr...

Le 11/24/2004 10:32 PM, Reyes a écrit :

"Frederic Bezies" <mozjf@nospam-alussinan.org> a écrit

Laisse tomber, il cherche juste à troller !
Trouvé sur fr.comp.securite.virus en date du 20/11/2004 :
Path: news.wanadoo.fr!news.wanadoo.fr!news.wanadoo.fr!not-for-mail
From: "Reyes" <Anti-Spam-Reyes@echecs.com>
Newsgroups: fr.comp.securite.virus
Subject: Exploit-MhRedir.gen
Date: Sat, 20 Nov 2004 18:10:08 +0100
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-RFC2646: Format=Flowed; Original
Lines: 18
Message-ID: <419f796a$0$8783$8fcfb975@news.wanadoo.fr>
Organization: les newsgroups par Wanadoo
NNTP-Posting-Host: AAubervilliers-152-2-12-101.w82-121.abo.wanadoo.fr
X-Trace: 1100970346 news.wanadoo.fr 8783 82.121.203.101:4298
X-Complaints-To: abuse@wanadoo.fr
Xref: news.wanadoo.fr fr.comp.securite.virus:123128

Désolé, mais je ne trolle pas, je raconte simplement ce qui m'est
arrivé,

Suffit de suivre le fil qui suit le message pour en apprendre plus :)

sans accuser personne, simplement au cas où cela peut servir à quelqu'un.
C'est bien moi qui ai posté sur fr.comp.securite.virus et je viens
seulement de découvrir ce newsgroup sur Firefox, donc je répète, à
l'endroit qui me semble le plus approprié.

Pas uniquement sur firefox.

Pour le prouver, je me désabonne immédiatement de ce newsgroup afin de ne
pas troller et te laisser dans tes certitudes.

Ah ?

Evidemment, c'est plus simple quand on a une adresse complètement fausse
;)

Copie sur fr.comp.securite.virus qui appréciera ton courage !

Salut à toi *Pascal Chevrel*, tu nous disais ce mercredi 24/11/2004
vers 22:39:48 ce qui suit :

Le 24/11/2004 22:26, Reyes a ecrit :

Bonjour,

Le problème que j'ai rencontré est que Viruscan trouvait le trojan, mais
sans me donner le chemin complet. Il me donnait : Documents and Settings...
_cache001_/0000.82ab.eml/00056b.eml/ etc. avec une ligne de .eml
interminable. J'ai dû afficher les dossiers et les fichiers cachés et
passer viruscan dossier par dossier pour le trouver dans Documents and
Settings/nom/application data/Firefox/... mais arrivé ici, pas moyen de le
supprimer via viruscan, le fichier étant protégé en écriture. C'est la
raison pour laquelle, j'ai désinstallé Firefox "proprement" et viré tous
les dossier restant de firefox "à la main".

Oui, tu as un virus sur ton disque dur ok... Enfin je vois toujours pas le
rapport avec Firefox. Ce soir j'ai le nez qui coule un peu et j'ai mangé des
raviolis, c'est pas pour ça que j'en déduis que les raviolis filent la crève
:)

pascal

rofl que voilà un raisonnement cartésien !

--
L'erreur est de croire qu'on est seul devant ses problèmes !
Utilisez Firefox - Thunderbird - MesNews .... le tiercé gagnant ;) ICQ#
225201643

Reyes,

je viens seulement
de découvrir ce newsgroup sur Firefox

Gni??

j'ai attrappé Exploit-MhtRedir.gen en
téléchargeant Firefox 1.0

c'est allé un peu vite en conclusion que dire cela

je panche plutôt pour le fait qu'il est apparu dans le cache de Firefox
car vous avez demandé à importer vos paramètres depuis ie

en tous les cas, OE semble lui en cause, cf. <30kdetF31547hU1@uni-berlin.de>

++

--
mome
http://sbc-compagnie.fr.st/

Reyes,

je viens seulement
de découvrir ce newsgroup sur Firefox

Gni??

j'ai attrappé Exploit-MhtRedir.gen en
téléchargeant Firefox 1.0

c'est aller un peu vite en conclusion que dire cela

je penche plutôt pour le fait qu'il est apparu dans le cache de Firefox
car vous avez demandé à importer vos paramètres depuis ie

++

--
mome
http://sbc-compagnie.fr.st/

Frederic Bezies nous a schtroumpfé :

Subject: Lacheté ?

Franchement, Frédéric, si vous pouviez arrêté avec vos gamineries, ça nous
ferait du bien... Merci.

Suivi chez moi.
--
Ludovic LE MOAL