20 replies to this topic

[Th-Crown]

D'après le Blog de Avast, le site Assassinscreedfrance.fr serait infecté par un cheval de troie qui renvoie vers la Russie, https://blog.avast.c...s-et-wordpress/


Jouer devient dangereux !

[manzai]

Salut

Je viens d'essayer ton site sur mon PC.

Visiblement , FortiClient l'as pas aimé

En effet ; le site est infecté par un cheval de Troie JavaScript

L'alerte de FortiClient :

Ce message a été modifié par manzai - 10 avril 2012 - 19:24 .

[Darksky]

Je sais pas pourquoi, j'ai été tenté de tester aussi et...



Vu par Kaspersky

[noisette]

Probablement pas un faux-positif ^^'

[Darksky]

En effet.

Le "pire", c'est que d'après le blog Avast, la cause est la non mise à jour de wordpress (enfin dans le cas présent un plug-in visiblement)
C'est assez paradoxal quand on sait que partout sur le net, on se voit dire de tenir à jour son OS, ses programmes (surtout les sensibles comme java, flash, etc.) et qu'à côté de ça ce n'est pas appliqué pour les sites eux-même.

Bien entendu on est jamais à l'abri de rien. Les zero-day, les variantes tellement modifiées qu'elles ne sont presque plus variantes, mais le jour arrivera où un site en sécu se verra affecté par le problème et rigolera moins

Autre chose:

Il y a huit semaines, le site avait en effet été infecté par un cheval de troie JavaScript, qui redirigeait directement les visiteurs vers un site de logiciels malveillants russe et les connectait à un réseau du botnet Zeus. L’infection a été confirmée par les laboratoires AVAST à midi le 10 Avril dernier.

Cela ferait donc... 8 semaines que le problème est connu sur le site. Passons le fait que Avast le confirme après autant de temps.... Mais les webmasters du site, eux, ils font quoi?
Je ne pense pas qu'ils aient besoin d'attendre que TOUT les éditeurs antivirus réagissent et confirment (surtout à la même vitesse qu'Avast...) pour faire quelque chose.

Même en tant "qu'amateurs", ils se doivent de réagir. Il en va de leur réputation, mais bien au delà de la responsabilité qu'ils peuvent/doivent avoir vis-à-vis de leur visiteurs. Quand ces derniers se verront floués sévère et viendront demander des comptes, même si ils seront sans doute dégagés de toutes responsabilités, ça la foutra mal. En tout cas je ne voudrai pas avoir a répondre à un afflu massif de mails de plaintes personnellement

[manzai]

Essayer sur ma VM , le Trojan te donne une page Web avec des logiciels malveillants et j'avais des connexion (vu avec Comodo KillSwitch)

[Txon]

Merci Th-Crown et les autres.

Essayer sur ma VM , le Trojan te donne une page Web avec des logiciels malveillants et j'avais des connexion (vu avec Comodo KillSwitch)

As-tu repéré de quels logiciels malveillants il s'agit ? As-tu noté les connexions (IP) ?

@+

[noisette]

Pour en revenir à l'équipe de webmaster du site, bah c'est pas obligé que ce soit leur faute. Si c'est une équipe employée par Avast, qui a les mains libres et la confiance pour faire ce qu'il faut, ils sont alors responsables de tout. Sinon, il faut voir.

La veille est nécessaire pour un site internet, mais peu de clients s'en rendent compte et en acceptent l'idée. Et le coût.


C'est vrai qu'il est choquant de voir que le site a été infectieux pendant huit semaines, de la part d'Avast, c'est parfaitement scandaleux, c'est le genre de truc qui pourrait, si ce n'est devrait, détruire une boite de sécu. J'espère qu'ils traineront ça comme des casseroles un bon moment, parce que préférer se faire du fric quitte à infecter ses visiteurs, plutôt que de fermer quelques temps, c'est inadmissible.

[manzai]

Merci Th-Crown et les autres.

Essayer sur ma VM , le Trojan te donne une page Web avec des logiciels malveillants et j'avais des connexion (vu avec Comodo KillSwitch)

As-tu repéré de quels logiciels malveillants il s'agit ? As-tu noté les connexions (IP) ?

@+

1° La page veut me faire télécharger un faux codec pour soit disant regarder une vidéo et une autre qui me dit que Windows est infecter et veut me faire télécharger un Rogue.

2° Je n'ai pas noté les IPs (y en avait trop) mais en fouillant , je me suis apperçu qu'elles venaient d'un réseau situé a St-Petersbourg en Russie

[loumax]

1° La page veut me faire télécharger un faux codec pour soit disant regarder une vidéo et une autre qui me dit que Windows est infecter et veut me faire télécharger un Rogue.

2° Je n'ai pas noté les IPs (y en avait trop) mais en fouillant , je me suis apperçu qu'elles venaient d'un réseau situé a St-Petersbourg en Russie

Ça sent le FakeAlert

[manzai]

1° La page veut me faire télécharger un faux codec pour soit disant regarder une vidéo et une autre qui me dit que Windows est infecter et veut me faire télécharger un Rogue.

2° Je n'ai pas noté les IPs (y en avait trop) mais en fouillant , je me suis apperçu qu'elles venaient d'un réseau situé a St-Petersbourg en Russie

Ça sent le FakeAlert

FakeAlert , l'installateur de Rogue??

[il pleut]

Eset smart security 5 nous mais aussi une alerte , cheval de troie , mis en quarantaine direct .

[loumax]

FakeAlert , l'installateur de Rogue??

Oui mais pas seulement :

Concrètement à son nom Trojan.Renos / Trojan.FakeAlert, l'infection n'affiche pas de fausses alertes de sécurité mais est plutôt de type Clicker (elle surf à votre insu).

[EboO]

Je viens d'essayer et pas d'alerte. Soit norton est à la masse soit c'est corrigé.

[vigen]

Je viens d'essayer et pas d'alerte. Soit norton est à la masse soit c'est corrigé.

Ou soit le sonar va virer le faux codec

[EboO]

Je n'ai même pas vu de faux codec passer
Par contre à moment norton a planté. Je fais un scan avec mbam et Hitman au cas où.
Mais je pense que depuis le temps c'est corrigé quand même.

[manzai]

Je n'ai même pas vu de faux codec passer
Par contre à moment norton a planté. Je fais un scan avec mbam et Hitman au cas où.
Mais je pense que depuis le temps c'est corrigé quand même.

Si ton PC est à jour , tu risques rien

[Darksky]

Le site renvoie maintenant une erreur

Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /homepages/23/d207590046/htdocs/wp-content/plugins/countdown-timer/fergcorp_countdownTimer.php on line 1050

Le site en lui-même: http://www.assassinscreedfrance.fr/

[EboO]

Je n'ai même pas vu de faux codec passer
Par contre à moment norton a planté. Je fais un scan avec mbam et Hitman au cas où.
Mais je pense que depuis le temps c'est corrigé quand même.

Si ton PC est à jour , tu risques rien

Il exploite quelle faille ? Pour l'aspect à jour je suis tranquille.

[manzai]

Je n'ai même pas vu de faux codec passer
Par contre à moment norton a planté. Je fais un scan avec mbam et Hitman au cas où.
Mais je pense que depuis le temps c'est corrigé quand même.

Si ton PC est à jour , tu risques rien

Il exploite quelle faille ? Pour l'aspect à jour je suis tranquille.

Je ne sais plus mais il te met une page avec des malwares

[EboO]

Ok, pour le coup pas de souci à se faire en somme.