Titre: Injection code malicieux via JS ?! Posté par: BuRner le 09 Novembre 2007 à 23:04:40 Voila en fait depuis 2 semaines à peu près, plusieurs de mes contacts n'arrètent pas de m'envoyer une URL contenant une page avec un javascript "suspect" mais je sais pas exactement ce qu'il fait...
Le problème c'est que j'ai ouvert plusieurs fois la page et j'aimerais savoir s'il y a des risques que j'ai été infecté? Ou bien si ce javascript ne fonctionne que pour certains navigateurs etc... ? Quelqu'un sait-il m'en dire plus ? Pour info, je tourne sous Vista :rolleyes: avec Opera. Voici le liens : hxxp://www.reidemido.c.la Titre: Re : Injection code malicieux via JS ?! Posté par: akhenathon le 09 Novembre 2007 à 23:15:21 aucun risque
c'est le genre de script qu'utilise xiti ou google analytics pour faire des sondages mais en plus simple Titre: Re : Injection code malicieux via JS ?! Posté par: BuRner le 09 Novembre 2007 à 23:50:37 Non je parle de celui à cette adresse-ci : hxxp://membres.lycos.fr/reidemido/index.html
Ceci plus exactement : Code: <script> Titre: Re : Injection code malicieux via JS ?! Posté par: _o_ le 10 Novembre 2007 à 11:41:10 Dans ces cas là, il vaut mieux censurer les url pour éviter qu'un malheureux sans tête clique dessus sans faire attention. En l'occurrence, on peut dépiauter le truc, ce n'est pas plus compliqué qu'une petite épreuve de javascript. Et ça permet de constater qu'on est en présence, semble-t-il, d'un exploit de MS06-14 (c'est pas récent, hein) :
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx http://www.frsirt.com/bulletins/4674 http://www.datastronghold.com/security-articles/general-security-articles/ms-internet-explorer-remote-code-execution-exploit-ms06-014.html En l'occurrence, il semble télécharger et exécuter l'exécutable dont l'url apparait dans le code en le faisant passer pour un anti-virus. Citation Status: INFECTED/MALWARE AntiVir: Found HEUR/Crypted BitDefender : Found DeepScan:Generic.Malware.SLPV!PkWkg.4ECEFBD9 ClamAV : Found PUA.Packed.Themida CPsecure : Found Packed.W32.Themida.x.a Bref, un malware, quoi. Titre: Re : Injection code malicieux via JS ?! Posté par: BuRner le 10 Novembre 2007 à 13:53:46 Pour ceux qui ont envie de s'amuser, l'adresse MSN de la personne qui a fait la page et qui diffuse le liens : Modération : rien du tout
Titre: Re : Re : Injection code malicieux via JS ?! Posté par: _o_ le 10 Novembre 2007 à 14:07:44 Pour ceux qui ont envie de s'amuser, l'adresse MSN de la personne qui a fait la page et qui diffuse le liens : Modération : rien du tout Il y a une petite différence entre analyser une petite attaque et balancer l'origine supposée pour "se venger". D'abord et avant tout parce que l'on bascule dans l'illégalité complète (je ne me prononcerai pas sur la légalité de l'analyse, d'ailleurs, dans le contexte politique actuel). D'autre part, tous les renseignements sont à prendre avec des pincettes. Qui te dit que le type en question ne s'est pas fait braquer son compte ? Ou qu'il n'y est pour rien, juste que sa machine est vérolée (ce que je pense) et qu'elle propage l'attaque à son insu ? Titre: Re : Injection code malicieux via JS ?! Posté par: Folcan le 10 Novembre 2007 à 15:01:41 +1, la plus part des attaques dans ce genre provienne d'un post vérolé.
Mes deux voisines, 9 ans chacune, m'ont aussi envoyé par msn le meme type de lien, et je doute fort que ce soit elles qui se soient amusé à compiler un malware et genere une page comme celle la. Titre: Re : Re : Re : Injection code malicieux via JS ?! Posté par: BuRner le 10 Novembre 2007 à 15:20:13 Il y a une petite différence entre analyser une petite attaque et balancer l'origine supposée pour "se venger". D'abord et avant tout parce que l'on bascule dans l'illégalité complète (je ne me prononcerai pas sur la légalité de l'analyse, d'ailleurs, dans le contexte politique actuel). Ouais je savais que ça allait susciter réaction :pD'autre part, tous les renseignements sont à prendre avec des pincettes. Qui te dit que le type en question ne s'est pas fait braquer son compte ? Ou qu'il n'y est pour rien, juste que sa machine est vérolée (ce que je pense) et qu'elle propage l'attaque à son insu ? Juste pour dire que je suis certains que c'est lui et que j'ai pas fait ça pour me venger, puisque j'ai rien eu... Je l'ai fait pour le principe mais je comprend qu'on cache son adresse. Mais bon cette petite histoire m'aura permis d'en apprendre d'avantage :) |