Civfr infecté - Page 1

Faites attention si vous avez Internet Explorer.
En allant sur civfr il y a un fichier qui se télécharge automatiquement et vient mettre le dawa sur votre ordi.

Je me le suis choppé bien évidemment.
Il s'agit d'une belle saloperie qui soit disant ne serait pas un virus, et pourtant il peut endommager pas mal le fonctionnement de votre pc.

Son nom est : "Not a Virus, Ad-ware Spy Sheriff"

C'est en fait une pub déguisée. Elle va s'introduire dans les fichiers windows et simuler une alerte windows vous disant que vous avez été infecté par un spyware, et que windows va maintenant télécharger l'anti-spyware le plus up to date.
C'est là que explorer se lance et vous envoie sur une page toute bleue où 3 liens sont cliquables et vous envoient tous sur le site de Spy Sheriff.

Ensuite on vous propose gentiment de télécharger la version commerciale de Spy Sheriff pour vous débarasser de la daube avec laquelle ils vous ont eux-mêmes infecté.

Le problème : c'est qu'après désinstallation de leur saleté il reste des erreurs :
L'alerte windows continue à apparaitre toutes les dix secondes, et un fichier ///c//secure32dll est manquant et provoque des erreurs qui font fermer Explorer.

Comment s'en débarasser :
Ad Aware peut nettoyer le spyware, mais chez moi il n'a pas réussi à tout réparer.
Spybot Search and Destroy a trouvé les problèmes et les clés de registre modifiées, et a tout viré. Depuis ça marche chez moi, mais je ne sais pas si ça va tenir.
Par sécurité j'utilise Firefox.
Sur civfr lles admin recommandent d'installer la mise à jour 912919 de windows iciqui doit empecher le fichier de se charger automatiquement.


PS : apparemment il y aurait autre chose.
Le truc que j'ai choppé ne serait qu'un virus parmis d'autres (sûrement celui que mon antivirus n'a pas bloqué).

Wouaw, je n'ai rien remarqué. Est-il possible qu'il se soit introduit sournoisement sans que je n'ai rien vu?

Ce matin le code civfr lisait une nouvelle page externe au site. civfr restera désactivé tant que l'investigation en cours visant à déterminer lequel des comptes admins a servi pour introduire ce code html ne sera pas terminé. Il est probable que ce soit l'un des comptes admins qui n'a pas changé son password hier soir. Je peux corriger le problème tout les matins, mais cela n'a aucun intérêt si je ne trouve pas comment il est introduit.

chris.

Bonne chance captain.Fast move le virus,ca devrait aller...

On a trouvé le coupable, on est en train de le pendre haut et court

C'est même un complot, on a retrouvé un ballon de foot et une sardine de tente sur un balcon de Civfr

Tboh

Vous avez appelé Niluge, pour le passage au donjon ?

Nous souhaitons un prompt rétablissement à civfr, et bravo aux médecins pour leur bon boulot

ParaBellum (./1) :
Je me le suis choppé bien évidemment.Il s'agit d'une belle saloperie qui soit disant ne serait pas un virus, et pourtant il peut endommager pas mal le fonctionnement de votre pc.

Tu n'installes pas régulièrement les mises à jour mensuelles de Windows Update ?
Tu n'as pas d'anti-virus ?
Tu as téléchargé l'antispyware "up to date" ?

Va vérifier ton ordin ici :http://www.secuser.com/antivirus/
ET installe Avast : anti-virus gratuit qui se met à jour tous les jours ou presque : http://telecharger-avast.com/v2/

En parlant d'Avast Avance j'ai dépassé les 1 an il ne se met donc plus à jour comment faut faire ??

Tu vas te réenregistrer (http://www.avast.com/i_kat_207.php?lang=fre), tu recevras une nouvelle clé et tu la rentres (clic droit sur l'icône avast du systray en bas à droite sur la barre des tâches, à propos --> petite fenêtre, en bas : clé de licence)...

Ou alors, tu télécharges la dernière version, tu désinstalles l'ancienne, tu quittes toutes tes applications en cours, tu installes la nouvelle, tu t'enregistres à nouveau et tu rentres la nouvelle clé que tu as reçue par retour dans ta boîte mail ...

La première solution est plus logique.

Merci Avance j'essayerai ce soir

Avance (./7) :
Tu n'installes pas régulièrement les mises à jour mensuelles de Windows Update ?
Tu n'as pas d'anti-virus ?
Tu as téléchargé l'antispyware "up to date" ?

Merci avance je vais aller chercher cet antivirus.
ben non ... je n'avais pas télécharger les dernières mises à jour de windows.


En fait si j'ai bien compris :
Un pirate a introduit un code, grace au mot de passe d'un admin, qui provoque le téléchargement d'une page externe à civfr.
Sur cette page il y a une sorte de graphique qui exploite la faille de windows qui permet d'introduire du code à distance et qui est censée être corrigée depuis la dernière mise à jour windows.
Ce code va provoquer le téléchargement de tout un tas de virus. J'ai vu dans la shoutbox de civfr que des membres signalaient que leur antivirus avait bloqué une dizaine de virus, et ils étaient tous différents. Je m'en suis choppé un parmis d'autres.


Le truc que je me suis choppé n'est pas un virus. C'est surement pour ça que mon antivirus ne l'a pas bloqué.
C'est une sorte de publicité qui simule une alerte windows te disant que tu as des spywares, et qui empêche IExplorer d'aller ailleurs que sur la page de téléchargement du logiciel Adware Sheriff ou Spy Sheriff qui sont deux anti-spywares commerciaux apparemment légaux ...
J'ai cherché sur les sites de Kaspersky et MacAfee et ils disent tous les deux que ce n'est pas un virus.
Je veux bien, mais quand je l'ai désinstallé, après il restait des clés de registre qui avaient été modifiées et un fichier manquant. Du coup IE ne marchait plus.

C'est sympa comme façon de faire de la pub pour leur logiciel.

hulkmusclor (./2) :
Wouaw, je n'ai rien remarqué. Est-il possible qu'il se soit introduit sournoisement sans que je n'ai rien vu?

Si tu as attrapé le même truc que moi, il se déclenche immédiatement, donc tu le saurais. Mais t'as pu en attraper d'autres.

tboh (./5) :
C'est même un complot, on a retrouvé un ballon de foot et une sardine de tente sur un balcon de Civfr

Juni et Holo ?

Le truc que je me suis choppé n'est pas un virus. C'est surement pour ça que mon antivirus ne l'a pas bloqué

Chez moi, ce truc a bien été immédiatement bloqué par Avast !

Perso je n'ai pas fait les mises à jour windows
en fait je les ai désactivé (depuis un moment) mais parfois quand j'eteins mon ordi je voie mis à jour pendant l'extinction (quand je ne peux rien faire sinon arracher la prise éléctrique lol) trop fort microsoft

Par contre en allant sur civfr, Avast m'a mis une alerte et m'a demandé si je voulais supprimer un fichier j'ai dit oui donc Avast a du l'arrêter je pense !???

Sans doute. Pourquoi désactiver les mises à jour de Windows ?
Pfffffff, ne jamais éteindre sauvagement son ordin en arrachant la prise. Il faut faire une vérification de ton disque, il doit y avoir plein d'erreurs !

Ti'nquiète Avance je ne l'ai pas fait

Bah j'aime pas trop les mis à jour de Microsoft j'aime bien savoir ce qu'il fait

Même Avast je fait en manuels les MAJ

ParaBellum (./11) :

ben non ... je n'avais pas télécharger les dernières mises à jour de windows.

C'est pas les dernières mises à jour, mais celle de janvier 2006

Tboh

Bon c'est raparti.

Signalé tout problème.

chris.

A noté que cela peux dépendre du skin, il est possible que pour un skin donné il y est encore des problèmes même si j'ai fait attention.

J'espere que cette fois-ci demain on se réveillera pas avec les mêmes problèmes ou d'autres.

chris.

As-tu repere quelques choses dans les logs?


@+
Fred.

Je n'ais pas regardé les logs. Au mieux je découvrirais une IP, et personne n'ira arrété le coupable, je préfère donc occuper mon temps à autre chose.

chris.

Je ne parlais pas que de l'adresse ip, mais aussi du comportement, comment cela a ete fait ? a t'on utiliser des comptes specifiques ou anonyme est-ce a la meme heure, y a t'il tentative d'acces sur des ports particuliers etc... Ca permet de reperer la ou il y a le probleme de securite... Et ainsi tu peux mettre en place une securite plus approprie face a ce genre de truc.

Fred.

Bon ben voilà vous allez pouvoir bien rigoler :

Je ne fais plus les mises à jour de windows depuis un long moment pour deux raisons :
- d'abord parce que comme Stilgar je n'aime pas quand mon pc charge des trucs sans me le dire et se met à les installer à l'improviste parfois pendant que je joue à des trucs déja gourmands et alors ça fait ramer le pc.

- ensuite (et c'est là que c'est drôle) parce qu'un jour un copain m'a dit qu'en fait les virus sont toujours fabriqués pour la dernière version de windows, et qu'il suffit de garder une vieille version pas à jour pour être "naturellement immunisé" ... J'ai voulu vérifier cette théorie

Edit : je me modère a posteriori, j'en avais trop fait !

@Para
Tu es sur que c'est un copain :tropfort:

Fred, la manière dont l'intrus a opéré est trés clair.

La seule chose qui n'est pas clair, c'est comment il a obtenu le pass d'un des admins(en esperant que ce soit le seul type de code qu'il est). Au mieux on peux supposer qu'il a épluché le contenu d'un PC afin de regarder si les passwords n'ont pas été sauvegardé par le navigateur. Enfin bref on peux échafauder pleins d'hypothèses

chris.

il a obtenu le pass d'un des admins(

C'est complètement idiot , depuis quand il faut le pass d'un administrateur pour faire ce qui a soit disant été fait ?
Je n'ai pas fait math sup mais je crois que c'est bien plus simple que cela .
En tout cas cela vient pas de moi ni d'un de mes amis .
Voilà c'est tout

depuis quand il faut le pass d'un administrateur pour faire ce qui a soit disant été fait ?

Depuis toujours, toutes les pages en question requiet une identification au prés du serveur. D'une maniere ou d'une autre il faut au moins le pass admin crypté.

De toute façon j'en veux pour preuve que notre intrus a encore tenté sa chance cette nuit, vainement a-priori.

chris.

Hum ! si tu le dis , mais s'il possédait le pass d'un administrateur il aurrait pu faire beaucoup plus de dégats non ?
Et puis un pass je crois qu'il y a un moyen de le trouver facilement .
Bon cela me regarde pas et puisque il y a pas eut de dommages ce n'est pas bien grave.
Tu veux des adresses ?

Oui il aurait pu faire beaucoup plus de dégats, mais c'est rarement leurs objectifs.

Ecrit-moi quand tu auras trouvé mon password, je considérerais alors que tu as raison. C'est ce que je répond en général à ce genre de remarques, et jusqu'à présent à part des "je suis capable de le faire" ma boite au lettre est resté désépérement vide.

chris.

Je suis sûr que les pirates c'est des gars qui bossent chez Kaspersky ...