[Kedare]

Hello,
J'ai un petit problème, sur le PC de mon père, a chaque fois qu'il va sur le site du CIC ( https://www.cic.fr/fr/ ), il y a un popup interne a la page qui s'affiche demandant des codes d'identification, il a trouvé ca louche et appelé la banque, c'est pas connu de la banque, et en effet en regardant le code HTML, on vois clairement qu'il y a du code rajouter, et que le formulaire qui demande les codes renvoie sur un site externe...

Seulement impossible de virer ce popup qui bloque le site, il affecte a la fois IE et Firefox, mais pas Chrome, je sais vraiment pas d'ou ca peu venir, j'ai passé un coup d'AV et d'anti-spyware, rien, j'ai vérifié si il y avait un proxy (a la fois dans IE et dans le registre), rien, aucune extension bizarre sur IE et Firefox, Le certificat SSL de la banque est bien valide et correspond... Bref je sais plus trop ou chercher :/

Il est sous Windows 7 32bits,

Le magnifique code HTML pirate :

Code:

Vinx : code pas très compliqué à reproduire, mais j'enlève pour éviter tout problème 

Et un screen en pièce jointe

Que faire ?
Merci

[Saroh(hul)]

Est-ce que tu peux checker dans ton fichier hosts (C:\windows\system32\drivers\etc\hosts ) que t'as pas une ligne qui redirige www.cic.fr vers une IP ? (enfin juste si t'as cic.fr dans ce fichier c'est louche).

Vue qu'il me semble que chrome utilise une forme de dns caching, si ca se trouve il ne lit pas ce fichier (et c'ets donc pour ca que c'ets bon sous chrome et pas sous ff / ie).

Quoi qu'il en soit ca vaudrait le coup que ton pere fasse changer ses mots de passe par la banque, si ce n'est déjà fait !

[Kedare]

Rien dans le Hosts (juste le localhost classique)
Je pense pas que Chrome ai mis en cache le DNS avant vu qu'il ne l'a jamais utilisé...
un coup de nslookup cic.fr sur le PC infecté et un autre donne la même chose, donc les DNS sont ok j'ai l'impression

[Professeur Chêne]

Awé pineze, le phishing s'améliore :/

tu a vérifié tes processus en cours?
Vu la gueule du truc c'est aussi a notifier a la banque :/

Il faut bloquer partiellement le javascript sur la page sinon

[Kedare]

C'est pas du JS, c'est du HTML pure,
Aucun process inconnu,
On a envoyé un mail a la banque

[Borh]

Citation :

Publié par Professeur Chêne

Awé pineze, le phishing s'améliore :/

manquerait plus que les hackers apprennent l'orthographe, et là on serait vraiment mal ()

[16906]

Ça devient flippant quand même, je vais devoir faire une formation à mon père pour prévenir ce genre de problème

[Vinx Itak]

Hé bé, sur ton screen ça demande d'entrer les codes des petits cartes fournies pour renforcer la sécurité lors d'un virement
C'est clair que c'est assez poussé

(je vais enlever ton code html par contre)

[Kedare]

Le truc c'est que je vois absolument pas d'où ça peur venir (et pourtant je bosse dans l'informatique)

[Khirel]

je serais curieux de voir ce que donne le résultat d'une capture (via wireshark par ex.)

[Kedare]

Citation :

Publié par Zwara

je serais curieux de voir ce que donne le résultat d'une capture (via wireshark par ex.)

C'est juste un formulaire donc ça fera un requête HTTP POST classique sur le site pirate logiquement, car les autres formulaires non piratés du site ont l'air de marcher correctement.

[thanatosX]

Ton PC est propre (voir ma signature) ?

sinon, http://noscript.net/ comme addon a firfox histoire de voir si un scripte ne modifierai pas la page avant.

[Kedare]

Citation :

Publié par thanatosX

Ton PC est propre (voir ma signature) ?

sinon, http://noscript.net/ comme addon a firfox histoire de voir si un scripte ne modifierai pas la page avant.

Mon PC a moi où tous fonctionne impec, ou le PC de mon père où il y a ce problème ?

[adilis]

ton pere y accede comment par un favoris ?
ton truc a l air vraiment byzzare j'aurais également pencher pour un javascript.

[Kedare]

Citation :

Publié par adilis

ton pere y accede comment par un favoris ?
ton truc a l air vraiment byzzare j'aurais également pencher pour un javascript.

Par favoris ou en tapant l'adresse ça fait pareil.

En cherchant bien il y a bien un peu de Javascript avant (mais j'ai l'impression que ça ne fais que valider les codes (longueur minimale))

[thanatosX]

A ton avis ?

Spoiler : Cliquez ce bouton ou survolez le contenu pour afficher le spoiler

celui de ton père of course.

[Kedare]

Voila le log Hijackthis

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:56, on 02/09/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\Logitech\Logitech Vid\Vid.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Users\xxx\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\xxxN\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://subscribe.free.fr/login/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode
O4 - HKCU\..\Run: [Google Update] "C:\Users\xxx\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [antixvirus.exe] C:\antixvirus.exe\antixvirus.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6698 bytes

Rien d'anormal on dirait

[Eno]

Y'a des trucs quand même louche

Citation :

O4 - HKCU\..\Run: [antixvirus.exe] C:\antixvirus.exe\antixvirus.exe

[Kedare]

Citation :

Publié par Eno

Y'a des trucs quand même louche

Ah oui j'avais pas vu, j'ai nettoyé ça, mais bizarrement le fichier n'existe pas (même en fichiers cachés et systèmes)

[Zangdar MortPartout]

Information sécurité du 17 mai 2010:

nformation 2 : Virus sur l'ordinateur de certains clients
Un virus impacte les clients de banques françaises et internationales en les conduisant vers de faux sites bancaires.

Les clients, dont l'ordinateur a été infecté par ce cheval de Troie, sont dirigés vers un faux site imitant le site cic.fr puis sont invités à saisir leur identifiant, leur mot de passe et les clés de leur carte de clés personnelles, dans le but de les dérober.

Nous ne vous demandons jamais de saisir plusieurs clés sur un même écran.
Si après avoir saisi, votre identifiant et votre mot de passe, vous obtenez l'écran ci-dessous vous invitant à saisir les clés de votre carte de clés personnelles, vous êtes victime de ce cheval de Troie. Votre ordinateur est infecté, ne saisissez pas les clés demandées.



Ce qu'il faut faire immédiatement en cas d'infection par ce virus

Trois démarches à effectuer
N'effectuez aucune opération de banque à distance avant d'avoir exécuté strictement les démarches suivantes :

* avertissez le service support "banque à distance" au

0 810 000 007

coût d'un appel local
* éradiquez le virus sur votre ordinateur
* changez vos clés personnelles et votre mot de passe

Éradiquez le virus
Vous devez protéger votre ordinateur par un anti-virus équipé des dernières mises à jour de sécurité.

* AVAST
Cet antivirus est GRATUIT pour une utilisation personnelle et non-commerciale.
L'installation se déroule en deux étapes :
o S'enregistrer en ligne. Vous recevez un mail de confirmation.
o Suivre les instructions d'installation reçues dans le mail.
* BitDefender,
* Kaspersky ,
* Sophos ,
* Panda,
* Norton Symantec,
* McAfee.

Différentes versions de ce cheval de Troie circulent sur Internet. Les informations le concernant sont diffusées sur les sites de sécurité informatiques et des éditeurs d'anti-virus.


Votre ordinateur devrait également être équipé d'un logiciel pare-feu. Pour plus d'information, reportez-vous à la rubrique "Informations sécurité" du site.
Changez vos clés personnelles et votre mot de passe
Vous devez, dans cet ordre,

* révoquer votre ancienne carte de clés personnelles et en commander une nouvelle
* changer votre mot de passe

en procédant comme décrit ci-dessous :

[Kedare]

J'ai déja vu ça, mais c'est pas la même chose que sur le screen sur le site

[Nenaal Llaenaan]

Tu n'es pas le seul dans ce cas, et on retrouve ce même processus : http://www.infos-du-net.com/forum/29...s-malveillants

[Kedare]

Bon en effet après un reboot le fichier est apparu, et j'ai viré, tout a l'air de fonctionner normalement...

Merci \o/

[Doudou Spuiii]

Putain, ça a l'air bien récent et bien vicieux comme truc, y a pleins de gens qui vont se faire avoir :x

[Kedare]

Je signale à Secuser, on sait jamais...