virus à l'ouverture d'un site web

Chantal wrote:

Bonjour,

Depuis quelques temps certaines personnes me signale un virus à l'ouverture
du site web de mon club de handball. Norton ne me signal rien de particulier
sur mon PC et un scan en ligne ne detecte rien non plus.
Le virus detecté par Trend micro serai : Mal_Hifrm-2. Mon hébergeur ne
trouve rien non plus (1and1)Je ne comprend pas comment cela est possible.
Merci de m'eclairer et de me faire connaitre la marche à suivre.
http://www.pochandball.info/

C'est une détection heuristique sur une Iframe, donc qui peut ne reposer
sur... rien (un faux positif)

Après une petite visite, il n'y a rien hormis quelques balises qui
pourraient faire crier un antivirus trop sensible genre <a href
aucun des rares scripts ne pointe sur quelque chose qui pourrait
indiquer une infection

aucun des liens n'est vérolé

Cordialement

Mais bon j'attends confirmation de notre maitre à tous : Ludovic

Bonjour ° Bonsoir, le Tue, 07 Oct 2008 22:46:32 +0200, Depassage
<monadresseamoi@hotmail.com> a wroté:

Mais bon j'attends confirmation de notre maitre à tous : Ludovic

Tu risques d'attendre longtemps. Il est ovaire booker par la campagne
de pub pour RDC...

La question initiale portait sur le bon wattage d'une alim... et
c'était la seule et unique intervention d'Oranginal dans ce fil.

---------------------
From: houba <@lacave.net>
Newsgroups: fr.comp.materiel.optimisation
Subject: Re: Choix alim pour hybrid crossfire

Bonjour ° Bonsoir, le Mon, 6 Oct 2008 14:08:18 +0200, "Cytal"
<Cytal@free.fr> a wroté:

Ludovic a émis l'idée suivante:

Pour ma part, trouvant le site assez pratique pour trier les
alimentations, je vais sur le site de Rue Du Commerce :

http://www.rueducommerce.fr/Composants/112-Alimentations/731-Toutes-nos-alimentations.htm

Une fois que tu as fait ton choix, tu peux acheter ailleurs
en ayant déjà une bonne idée.

Enfin en fait, la majorité du temps, l'achat a lieu sur RdC
et depuis 16 commandes depuis 2005, je ne m'en plains
pas.

Tu me proposais souvent d'admirer ta fiche de paie, de méditer sur ton
fantastique cv ou de me prosterner devant ton parcours professionnel.

Alors qu'en fait non content de faire de la *pub* pour RDC, en plus
serais-tu réduit à mendier un filleul ???

En effet l'ergonomie su site est pas mal par contre le point faible de
rdc c'est le sav, j'en ai déjà fais les frais, ils ont mis 2 mois à
tester une simple clé usb hs (opération qui prend 10 secondes) alors
j'imagine les complications pour une config complète.

http://www.rue-hardware.com/boutiques/details/112/Rue-du-Commerce/

En ce moment Materiel.net a l'air bien placé au niveau du sav.

Ils avaient déjà bonne presse à l'époque où j'avais acheté mon P4 1.8
Box chez Top achat, 8 ans ?
--
VaN.
--------------------------

--
VaN.

Salut,
Chantal a tapoté , le 07.10.2008 21:41:

Bonjour,

Depuis quelques temps certaines personnes me signale un virus à l'ouverture
du site web de mon club de handball. Norton ne me signal rien de particulier
sur mon PC et un scan en ligne ne detecte rien non plus.
Le virus detecté par Trend micro serai : Mal_Hifrm-2. Mon hébergeur ne
trouve rien non plus (1and1)Je ne comprend pas comment cela est possible.
Merci de m'eclairer et de me faire connaitre la marche à suivre.
http://www.pochandball.info/

Cordialement

Les antivirus râlent peut-être à cause de la ligne 11 qui fait 2402736
caractères de long d'après Seamonkey!



Stéphane
--
pour l'info, veuiller clicker-double sur mes pages (bleu)
-+- AV in: Guide du Cabaliste Usenet - Les dossiers secrets -+-

Chantal à hiéroglyphé sur ma banquise :

Depuis quelques temps certaines personnes me signale un virus à l'ouverture
du site web de mon club de handball.

1/ avec Firefox, Trend ne signale rien,
avec IE, Trend lance une alerte.
2/ je dirais donc que le prob ce situe sur l'une de ces lignes:
(je penche pour la seconde)
<script type="text/javascript" src="runActiveContent.js"></script>
<script type="text/javascript"
src="/webfix/htdocs/script/runActiveContent.js"></script>

-Pour plus d'infos.
Nom: JS/Dldr.Iframe.BY
La date de la découverte: 16/07/2008
Type: Cheval de Troie
Sous type: Downloader
En circulation: Non
Infections signalées: Faible
Potentiel de distribution: Faible
Potentiel de destruction: Faible
Fichier statique: Non
Taille du fichier: ~17.000 Octets
Version IVDF: 7.00.05.121

Général Méthode de propagation:
Il ne possède pas de propre routine de propagation

Les alias:
TrendMicro: Mal_Hifrm-2
Grisoft: JS/Downloader.Agent

Plateformes / Systèmes d'exploitation:
Windows 96
Windows 99
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows XP
Windows 2003

Effets secondaires:
Il télécharge un fichier malveillant
Il essaie de télécharger un ficher

--
Joël...

Webinter wrote:

Chantal à hiéroglyphé sur ma banquise :

Depuis quelques temps certaines personnes me signale un virus à
l'ouverture du site web de mon club de handball.

1/ avec Firefox, Trend ne signale rien,
avec IE, Trend lance une alerte.
2/ je dirais donc que le prob ce situe sur l'une de ces lignes:
(je penche pour la seconde)
<script type="text/javascript" src="runActiveContent.js"></script>
<script type="text/javascript"
src="/webfix/htdocs/script/runActiveContent.js"></script>

Sauf qu'il n'y a rien :-)

Pas de redirection, pas d'autres IP en relation n'apparaissent sur le
serveur, pas de téléchargement non plus etc etc

L'image flash n'est pas vérolée et tous les packets sont sains

Du reste elle a norton et cette infection connue chez eux serait apparue
en tant que "Bloodhound.Exploit.196 "

De toutes les facons ce genre d'infection sur un serveur est présente
par ex dans le fichier index.php et il n'y a que l'admin qui puisse y
mettre le nez.(ca utilise une faille logicielle)

L'infection pour l'utilisateur se voit quand une redirection s'opère
avec téléchargement à la clé

Néanmoins méfiance... Avec certains sites infectés on voit des
infections qui ne s'activent qu'à certaines heures ou jours, et en plus
celles ci peuvent varier au fil du temps (meme plusieurs fois par heure)

*Bonjour Chantal*
Tu as pianoté sur ton clavier dans <news:48ebbb80$0$23558$426a74cc@news.free.fr> pour écrire ceci :

Bonjour,

Depuis quelques temps certaines personnes me signale un virus à
l'ouverture du site web de mon club de handball. Norton ne me signal
rien de particulier sur mon PC et un scan en ligne ne detecte rien
non plus.
Le virus detecté par Trend micro serai : Mal_Hifrm-2. Mon hébergeur ne
trouve rien non plus (1and1)Je ne comprend pas comment cela est
possible. Merci de m'eclairer et de me faire connaitre la marche à
suivre. http://www.pochandball.info/

Cordialement

Norton m'a signalé la présence de Downloader, un troyen, et renvoie ici les explications :
http://securityresponse.symantec.com/security_response/writeup.jsp?docid 02-101518-4323-99
--
Jacquouille la Fripouille
Périgord, meitat chen, meitat porc.

Depassage à hiéroglyphé sur ma banquise :

Sauf qu'il n'y a rien :-)

Pas de redirection, pas d'autres IP en relation n'apparaissent sur le
serveur, pas de téléchargement non plus etc etc

L'image flash n'est pas vérolée et tous les packets sont sains

ce qui serait intéressant et de savoir
ce que contient /webfix/htdocs/script/runActiveContent.js
moi j'obtiens un : Error 404 - Not found
a tester la page d'accueil sans cette ligne pour voir ;-)

--
Joël...

Jacquouille la Fripouille wrote:

*Bonjour Chantal*
Tu as pianoté sur ton clavier dans <news:48ebbb80$0$23558$426a74cc@news.free.fr> pour écrire ceci :

Bonjour,

Depuis quelques temps certaines personnes me signale un virus à
l'ouverture du site web de mon club de handball. Norton ne me signal
rien de particulier sur mon PC et un scan en ligne ne detecte rien
non plus.
Le virus detecté par Trend micro serai : Mal_Hifrm-2. Mon hébergeur ne
trouve rien non plus (1and1)Je ne comprend pas comment cela est
possible. Merci de m'eclairer et de me faire connaitre la marche à
suivre. http://www.pochandball.info/

Cordialement

Norton m'a signalé la présence de Downloader, un troyen, et renvoie ici les explications :
http://securityresponse.symantec.com/security_response/writeup.jsp?docid 02-101518-4323-99

Voila ce que fait le "runActiveContent.js" et l'autre script

Y a un GET sur l'User Agent

/**
This function can be used to activate an active control like e.g. a
flash movie so that the user can interact with it.
This is used for the Internet Explorer's quirk that the user have to
activate an active control by mouseclick before he can interact with it.
Place the object element into a div tag and set the visibility to
"none". Then call this function and pass the div's id.

@param flashIntroDivId The div element which contains the hidden
object element.
*/
function activateActiveContent(containerDivId) {
// We just write the same code as already is existing into the div and
display
// the div. Doing so we automatically activate the active content when
IE is used.
var flashObjectDiv = document.getElementById(containerDivId);
var flashObjectCode = flashObjectDiv.innerHTML;
flashObjectDiv.innerHTML = "";
flashObjectDiv.style.display = "block";
flashObjectDiv.innerHTML = flashObjectCode;
}


Par contre rien dans ma VM, rien dans sandboxie, le .swf réclame une
version 9 (j'ai la 10)et peut etre que je suis trop à jour

Néanmoins, rien de suspect (j'ai essayé via IE également)

Si on décompile l'anim flash, on ne trouve rien de suspect non plus, par
contre l'adresse pointe ailleurs sur un site suisse, c'est peut etre
cela qui ne plait pas (la redirection)

Mais bon j'attends toujours l'avis de Ludovic...

Bonjour et merci à tous.
Mes connaissances en informatique étant trés limitées, pourriez vous me
faire savoir le plus simplement possible ce que je dois faire. J'utilise
Frontpage pour faire ce site.

"Chantal" <chantalhi@free.fr> a écrit dans le message de news:
48ebbb80$0$23558$426a74cc@news.free.fr...

Bonjour,

Depuis quelques temps certaines personnes me signale un virus à
l'ouverture du site web de mon club de handball. Norton ne me signal rien
de particulier sur mon PC et un scan en ligne ne detecte rien non plus.
Le virus detecté par Trend micro serai : Mal_Hifrm-2. Mon hébergeur ne
trouve rien non plus (1and1)Je ne comprend pas comment cela est possible.
Merci de m'eclairer et de me faire connaitre la marche à suivre.
http://www.pochandball.info/

Cordialement

"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de news:
48ed0561$0$7932$7a628cd7@news.club-internet.fr...

Voila ce que fait le "runActiveContent.js" et l'autre script

Y a un GET sur l'User Agent

(....)

Par contre rien dans ma VM, rien dans sandboxie, le .swf réclame une
version 9 (j'ai la 10)et peut etre que je suis trop à jour

Néanmoins, rien de suspect (j'ai essayé via IE également)

Si on décompile l'anim flash, on ne trouve rien de suspect non plus, par
contre l'adresse pointe ailleurs sur un site suisse, c'est peut etre cela
qui ne plait pas (la redirection)

heu ...moi je trouve :

http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB
cheval de troie
http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC
cheval de troie --

chacune dans 2 frames differentes.
Le source recu est ettonament long et vide.

sous Firefox le DL de cette page est tres long d'ailleurs, ca devrait mettre
la puce a l'oreille...

Pour IE, on retrouve cette variable :
if ((v.indexOf('msie 6.0') != -1 || v.indexOf('msie 5.') != -1) &&
v.indexOf('msie 7.') == -1 && v.indexOf('nt 6.')
== -1){document.write(unescape(o));} Autrement dit : "si c'ets du Microsoft
toute version, t'envoies le feu"

Cordialement,
Az Sam.