[Papy-Masa]

Bonjour à tous.


Hier soir,un ami est tranquillement en train de fouiner dans les hôtels de vente, avec sa rune de cordonnier activée. Quelqu'un le mp pour une commande quelconque,puis l'informe qu'au cas où il voudrait faire un site présentant son métier il a un fichier pas mal pour coder tout ça. Il lui propose de le lui envoyer par MSN.


Bien sur mon ami se méfie d'entrée, et a conscience de pouvoir être confronté à un virus. Il accepte néanmoins le fichier après l'avoir fait vérifier à deux reprises par son antivirus,lequel est bien mis à joue et ne trouve rien. Il ouvre alors le fichier,toujours un peu circonspect, et windows met un message d'erreur disant que le fichier ne peut être ouvert...


Il dit alors au client,avec son autre compte,car le premier est occupé" bien essayé,mais c'est loupé cette fois",avec son second compte car il est occupé avec le premier.




Deux secondes plus tard il se fait déco.
Il se reconnecte en déconnectant quelqu'un et va sur le site off pour changer son mot de passe.



Mon ami réussit à se reconnecter et parvient à passer tous ses objets importants de son personnage déconnecté à un ami fiable qui se trouvait par bonheur là. tous les objets,y compris ceux de son perso que le voleur ne semble pas avoir pu identifier,sont maintenant en sécurité.


Puis il se fait déconnecter peu après,et là impossible de se reconnecter,les infos du compte ont visiblement été changées.



Il a envoyé un ticket au support hier pour tenter de le récupérer,aussi je ne souhaite pas débattre de cela ici.


Mes questions sont donc: comment cela est-il possible alors que cet ami a passé le fichier à l'antivirus et ne l'a finalement pas installé; et quelque chose de similaire et d'aussi déconcertant serait-il arrivé à l'un d'entre vous ?...
Car il s'agit assez évidemment d'un keylogger.

De même,pourquoi le voleur n'a-t-il pu,apparemment, avoir les infos que d'un seul compte sur les deux ?


J'en profite ici pour alerter certains sur ce qui pourrait être un nouveau type d'arnaque plutôt bien élaboré.


Sur ce je vous souhaite une bonne journée et j'attends vos réactions...




Ps:Je tiens à préciser que je connais l'ami en question irl et que sa parole ne fait donc l'objet d'aucun doute.

[Otenali]

Surement Keylogger

[Sam le terrible]

Sauf qu' en l' occurence le coup du keylogger caché dans un exécutable envoyé via MSN c' est tout sauf nouveau hein, ça a toujours existé et pour info c' est la raison officielle donnée pour le hack massif qui a eu lieu il y a quelques mois de ça et qui était accompagné d' une vidéo posté sur Youtube montrant la suppression d' un tas de persos HL de Jiva. L' installation n' a pas besoin d' être effective, elle a juste besoin d' être exécutée, d' ailleurs il n' y a pas d' install à proprement parler, juste un exécutable nommé install.exe (ou autre nom du genre) pour éveiller le moins possible les soupçons. En bref ton pote a permis au voleur de changer le mdp du compte en le changeant lui-même pendant que le keylogger tournait, le type a ainsi pu récupérer la réponse à la question secrète. Enfin si ton pote cherche à faire un site sans avoir de compétences particulières, conseille lui plutôt Joomla

[Hindor [Allister]]

Si ce que tu dis es vrai (surement) c'est assez troublant. Enfin pour moi, pas de doute c'est un Keylogger...

[-Shango-]

La réponse est simple: Ne jamais accepter quelque chose d'un inconnu via des programmes d'échange de fichier.

D'autant plus par une personne qui le contact IG pour un programme "fait maison", c'est clairement une tentative de vol.

J'espere sincerement que ton pote recuperera son compte.

[Teraka]

Ben j'en sais rien, mais :

Citation :

et windows met un message d'erreur disant que le fichier ne peut être ouvert...

Ca c'est normal, ça me le fait avec n'importe quel fichier

[Eymelle]

Un anti-virus est inefficace face à un keylogger.

[Flappi]

Citation :

Publié par Papy-Masa

Car il s'agit assez évidemment d'un keylogger.

Ou pas.

Le keylogger récupère le pass au moment où tu le tapes. Ce n'est clairement pas le cas dans ton exemple, vu qu'il a été déco sans jamais avoir offert son pass au keylogger.

[Boufkiller]

C'est surment un keylogger, mais sans vouloir te deprimé il n'a a mon avis pas beauquoup de chances de recuperer son compte

[Myranix]

Normalement les parents disent toujours aux enfants de ne pas accepter de bonbons donner part des étrangers.
C'est exactement ça, en ne connaissant pas la personne il faut etre un peu "noeud-noeud" pour ce dire "chouette il va etre gentil avec moi". En plus c'est connu les keylogger et autres programme dans le genre ne sont pas detectable par les anti-virus
De plus on l'a toujours répéter msn et dofus ça fait pas bon ménage

[GTS]

En l'occurrence, si c'est un keylogger et qu'il a été modifier son mot de passe ensuite... Il a tout perdu, puisque c'est comme s'il avait communiqué son mot de passe ET sa réponse secrète au vilain lamer.

Le fait que l'antivirus n'ait rien vu ne m'étonne pas plus que ça non plus. L'antivirus bloque principalement le code malin qui s'exécuterait "à ton insu". Là il s'est exécuté quand tu as cliqué dessus, c'est donc un programme "normal".

Par contre un firewall t'aurais alerté qu'un programme essaie d'accéder à internet.

[FortunaMajor]

J'veux pas dire mais si c'est un keylogger et j'en doute, c'est une keyloger de compet', car apparemment entre la récéption et la déco il n'a tapé aucun mdp...
Donc cette solution serait à exclure, j'opterais plutôt pour un trojan avec un antivirus de merde ^^'

Pour la suite (accès au site off etc) c'est bien un key' je pense.

[Serumra]

Bonjour,

Citation :

Publié par godblastyoo

...
Ne jamais accepter quelque chose d'un inconnu via des programmes d'échange de fichier.
...

Ce n'est pas toujours suffisant. Il faut vérifier que c'est bien une connaissance qui l'envoie et pas un virus qui a pris pris le contrôle du PC.

Cette remarque est valable pour MSN et pour les mails.

Il vaut mieux activer l'affichage des extensions des fichiers. Certains envoient des fichiers XXXXXX.JPG.EXE. Avec le masquage des extensions, ca affiche alors XXXXXXX.JPG et l'on clique en toute confiance.

Un ami m'a envoyé un fichier XXXXX.JPG.EXE par MSN. En fait c'était un virus qui faisait l'envoi et me disant "regarde cette image super cool".
Heureusement, le fait que ca ne correspondait pas à ces habitudes de langage m'a alerté.

[Aurus/Jisatsu]

Le fait que Windows lui dise qu'il ne peut ouvrir le fichier est tout sauf un gage de sécurité.

N'importe quel exécutable peut voir comme paramètre d'ouvrir une fenêtre marquant que le fichier ne peut être ouvert, c'est la base de la programmation, et pendant ce temps le fichier est bel et bien lancé.

Un simple macro Excel ne sera pas reconnu par l'anti-virus comme fichier néfaste, ce n'est pas pour autant que les conséquences ne peuvent être dramatiques.

Va falloir scanner efficacement (ad-aware, etc.).

[MODXLIX]

Bonjour,

n'acceptez jamais de fichier d'une personne que vous ne connaissez pas.

C'est l'une des premières règles de sécurité...

Sinon, je confirme qu'un simple anti-virus ne détectera pas un keylogger.

Ajouter un parefeu efficace permet de controler toutes les entrées et sorties d'un ordinateur sur internet. C'est donc lui principalement qui va vous servir de garde fou aux keyloggers.

Sinon, ton ami devrait passer un coup de spybot search & destroy ou ad-aware sur son ordinateur afin d'enlever le programme malveillant.

[-Telia-]

Je me suis toujours demandée si le système pour mémoriser son mot de passe était sûr.
Je ne l'ai jamais utilisé, mais la récupération du mot de passe peut-elle venir de là ?

La récupération du mot de passe peut-elle venir de la boite mails utilisée avec MSN ?

[Mamat]

Vous oubliez qu'il a connecter son 2eme compte pour aller dire au " hacker " ( ou plutot mec plus intelligent que lui qui a reussi a lui faire accepter et exectuer un fichier suspect ). Donc il suffit que le mdp de son 2eme compte soit le meme que celui du premier ( 2eme erreur de la part de ton pote si c'est le cas ) et le tour est joué avec un simple keylogger.

Sinon que dire de plus ... il y a assez de posts sur ce forum (et tout les forums dofus du monde je suis sur) de joueurs pas malins ( pour pas etre plus mechant ) qui viennent se plaindre apres avoir accepter un fichier sorti de nul part ou avoir clicker betement sur un lien, pour comprendre qu'il ne faut jamais accepter quoique ce soit sauf de la part d'une source sûr ( et encore ).

[Lord-Ko]

Cette methode de hack est reconnue comme courante.

Et quelque part ton ami n'a pas su jouer sécurité :]

Alors, je vais un peu étaler ma culture de securité a mon niveau ( sans etre informatien, je peux considéré avoir un pc hyper bien protégé annexé a des retouches perso de securité

Pour commencer, il existe 3types de keyloger :

Keyloger logiciel : on le telecharge souvent soit meme
keyloger spyware : logiciel espion envoyé par un inconnu
keyloger materiel : alors là...c'est forcement une connaissance a vous..c'est un petit espion materiel stocké sur le pc directement sur le port ps2 ou com de votre pc et stock entre 50 000 et 250 000caracteres suivant le modèle.

Maintenant..vous pensez etre protegez par un antivirus d'un keyloger ? très peu d'antivirus agisse veritablement contre ces données, et je recommane a tout le monde de completer leur antivirus maj tout les jours ( chose qui me fait rire..car la meilleure maj c'est le cerveau humain... ). je ne ferrai pas de pub pour un logiciel preferenciel..l'ideal c'est de les identifier par vous même.

Ps : pour ton ami...va falloir patience et...courage pour recuperer son compte...

Ah oui, au passage...si vous pensez etre plus inteligent que le hackeur...comme l'a fait le monsieur là..là prochaine fois qu'il execute le clavier virtuel pour mettre son mdp ( indetectable du coup )

[Papy-Masa]

Bonjour, je suis la personne en question (chez mon pote en l'occurrence) et j'aimerais apporter quelques précisions.
D'abord je vous remercie pour toutes vos réponses, mais il persiste un problème majeur.

1.

Citation :

si ton pote cherche à faire un site sans avoir de compétences particulières

Merci, je sais programmer en html et je commence le php, c'était juste pour avoir un modèle

2.

Citation :

J'veux pas dire mais si c'est un keylogger et j'en doute, c'est une keyloger de compet', car apparemment entre la récéption et la déco il n'a tapé aucun mdp...
Donc cette solution serait à exclure, j'opterais plutôt pour un trojan avec un antivirus de merde ^^'

Possible, mais peu probable, j'avais bitedefender lancé avec pare-feu activé. Et aux dernières nouvelles bitedefender c'est pas de la merde, il aurait détecté un trojan.

Pour le keylogger j'ai une hypothèse, je pense que c'est quand je l'ai MP qu'il m'a choppé, j'avais MSN activé et c'est cette dualité des contacts (msn en entrée et dofus en sortie par exemple) qui aurait pu permettre un échange de données silencieux. En outre, j'ai déja ouï dire qu'on pouvait hack par le biais d'un MP.

J'ai donc viré le mec de mes contacts et lui ai interdit tout transfert de données, et étant donné que je ne vais plus le MP (j'ai oublié son pseudo) ça devrait passer.



Mais voila, j'ai une angoisse, comment puis-je être sur que cette saloperie que j'ai isolé et désinfecté avec bitedefender est REELEMENT anihilée ou hors de combat!?!? En effet, je n'ai pas envie de voir mon compte en banque vidé si je me connecte sur Ebay depuis mon ordi ni mes adresse email piratées ni un autre compte dofus détourné.

Maintenant j'ai causé avec un informaticien ce matin et il m'a dit que si le mec était finot j'avais plus qu'à isoler les données importante et réinitialiser le tout.

Etant donné que ça me fait un peu chier j'aimerais savoir si il y a d'autres moyens de désinfection ou si il y a moyen de l'isoler en contrôlant l'entrée-sortie de mes ports. J'ai lu plus haut les noms de search & destroy ou ad-aware et j'aimerais connaitre leur fonctionnement, leur efficacité et la fiabilité du résultat. Merci d'avance pour vos réponses pertinentes.

[Anirbas]

Citation :

Publié par -Telia-

Je me suis toujours demandée si le système pour mémoriser son mot de passe était sûr.
Je ne l'ai jamais utilisé, mais la récupération du mot de passe peut-elle venir de là ?

La récupération du mot de passe peut-elle venir de la boite mails utilisée avec MSN ?

Pour faire simple : oui ce n'est pas sur et ça peut venir de la et oui aussi vive Linux

Citation :

Publié par Papy-Masa

Etant donné que ça me fait un peu chier j'aimerais savoir si il y a d'autres moyens de désinfection ou si il y a moyen de l'isoler en contrôlant l'entrée-sortie de mes ports. J'ai lu plus haut les noms de search & destroy ou ad-aware et j'aimerais connaitre leur fonctionnement, leur efficacité et la fiabilité du résultat. Merci d'avance pour vos réponses pertinentes.

Sptybot Search and Destroy est extremement efficace et gratuit je l'utilise des que je veut sécurisé un Windows. pour les détails va voir la.

[Sam le terrible]

@Papy-Masa: Justement Bitdefender est généralement considéré comme étant pas mal, mais sans plus. D' autant plus qu' un parefeu logiciel sous Windows c' est quasiment systématiquement inefficace, surtout quand on ne sait pas s' en servir (as-tu jeté un oeil aux logs de ton firewall pour trouver une trace suspecte? Sais-tu seulement où Bitdefender les range?). En règle générale il vaut mieux de toute façon se procurer un vrai parefeu et pas la fonctionnalité light intégrée à un antivirus. Le pare feu gratuit de Sygate est par exemple pas mal du tout côté efficacité pour une solution à l' oeil. Enfin je le dis et le répète, un pare feu ne fait pas tout, il ne fait d' ailleurs souvent que pas grand chose, c' est un outil qui mérite qu' on sache s' en servir. Ah sinon, le terme programmer en html m' a amusé, le .html c' est plus de la mise en page que de la prog, hein.. 'Fin bref

[Wouah]

je pense a un Keyloger... J'en ai déja reçus un et meme mon antivirus Phénix ne la pas détecté... Je c'est pas comment il font

[Nikkau]

Citation :

Publié par Sam-le-terrible

Le pare feu gratuit de Sygate

Symantec a racheter Sygate pour éliminer un concurrent et perso je déconseille d'utiliser un log qui n'est plus maintenu.


Accessoirement un truc sympa avec Windows c'est son API, ça permet par exemple d'envoyer des messages sur MSN de façon silencieuse, ce qui assez pratique pour court-circuiter un FW .

[Sam le terrible]

Ah tiens c' est marrant Nikkau c' est exactement ce que j' ai dit à mon chef quand j' ai appris qu' on utilisait un parefeu Sygate (faut savoir qu' une des plus grosses boites de France utilise un pare feu dont la maintenance n' est plus assurée, la sécurité du SI des fois ça fait claquer des miches). Mais effectivement le détail m' était sorti de la tête là (t' façons m' en branle j' utilise une solution payante). Reste que de toute façon tu es certainement connecté au net via un modem/routeur (une box en fait) et donc le firewall en tant que tel ne te sert pas (il est assuré par ton routeur si tu n' as pas ouvert trop de ports comme ça pour le fun hophop). Par contre l' intérêt du firewall dans ce type de config c' est le monitoring, en clair une fos de plus, c' est à toi d' éplucher tes logs pour choper les tentatives suspectes effectuées par certains programmes en sortie, malheureusement il ne suffit pas que le firewall s' exécute sur ta machine pour la sécuriser (ça filtre une quantité infime d' actions potentiellement dangereuses)

[Baldy]

Citation :

Pour le keylogger j'ai une hypothèse, je pense que c'est quand je l'ai MP qu'il m'a choppé, j'avais MSN activé et c'est cette dualité des contacts (msn en entrée et dofus en sortie par exemple) qui aurait pu permettre un échange de données silencieux. En outre, j'ai déja ouï dire qu'on pouvait hack par le biais d'un MP.

Je vois pas trop comment ça serait possible...