Virus sur JOL???

Répondre
 
Partager Rechercher
euh justement...

si on regarde les dits logs :

13/09/2008 22:57:47 SYSTEM 1456 AAVM - scanning warning: x_AavmCheckFileDirectEx: https://jolstatic.fr/aoc/styles/2/img/site.jpg (C:\WINDOWS\TEMP\_avast4_\unp124363932.tmp) returning error, 0000A413. <<< et la on voit que c'est une erreur a la con, pas un virus.

20/09/2008 19:56:38 SYSTEM 1452 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file. <<< et la, bien qu'on parle d'un virus, c'est pas sur jol, sans aucun doutes un lien externe, mais c'est pas jol.
21/09/2008 10:49:40 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file. <<<< pareil


donc en gros la seule alerte mettant directement en cause un média jol date du 13, et les deux dernières mettent bien en cause le site fortra machin.

Donc c'est plus un lien externe pourri qu'un média sur jol qu'est en cause selon moi (et j'peux sûrement me gourer :/ ).
Lien direct vers le message - Vieux 21/09/2008, 19h48
Attend vu le nombre de personne embêtés je n'ai aucun doute que le problème se trouve sur JOL.Et cette fois ci une personne ayant Norton le signale aussi.
Dernier logs:

20/09/2008 19:56:38 SYSTEM 1452 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 10:49:40 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 11:02:47 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 11:17:27 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 11:42:16 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 12:07:51 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 12:20:25 SYSTEM 1456 AAVM - scanning warning: x_AavmCheckFileDirectEx: http://a69.g.akamai.net/n/69/10688/v...3/18857525.jpg (C:\WINDOWS\TEMP\_avast4_\unp233204799.tmp) returning error, 0000A413.
21/09/2008 12:34:49 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 12:55:06 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 15:05:40 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 15:29:00 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 17:45:58 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 19:08:13 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
21/09/2008 20:14:44 SYSTEM 1456 Sign of "JS:Packed-D [Trj]" has been found in "http://fortrasanob.com/cgi-bin/index.cgi?user1" file.
Lien direct vers le message - Vieux 21/09/2008, 20h13
Je suis un fou moi, j'ai entré l'adresse, et ça redirige sur:
http://www.microsoft.com/en/us/default.aspx

(Et je déconne pas, http://fortrasanob.com/ affiche la page de défaut d'un serveur Fedora, et le lien complet redirige directement sur la page de microsoft)

J'ai jeté un coup d'oeil au code source de la page, et aucune référence a un tel lien, que ce soit dans le code JoL ou dans la Google Ads, après c'est peut être aléatoire, mais je dirais a 100% que ça vient pas de JoL.

De plus une rapide recherche sur google retourne 0 résultat si on tape l'adresse, hors si c'était le vecteur d'un virus quelconque je pense qu'on en aurait quelques références sur Google. Personnellement soit je penche pour vous avez tous choppe le même virus, soit votre anti-virus est naze (pour ça que j'en ai pas, juste chiant et ça protège rarement des gros virus)
Lien direct vers le message - Vieux 21/09/2008, 21h28
Je jette un coup d'oeil... (mais bon, à mon avis ce sera Mind qui aura le fin mot ;p)

Ca n'arrive que sur le site vous êtes certains ? Pas le forum ?

Le site AoC uniquement ?

(Pour ma part Avira Antivir + Spybot, j'ai rien vu)
Lien direct vers le message - Vieux 21/09/2008, 22h11
Citation :
Publié par Mikushi
De plus une rapide recherche sur google retourne 0 résultat si on tape l'adresse, hors si c'était le vecteur d'un virus quelconque je pense qu'on en aurait quelques références sur Google. Personnellement soit je penche pour vous avez tous choppe le même virus, soit votre anti-virus est naze (pour ça que j'en ai pas, juste chiant et ça protège rarement des gros virus)
sauf que des virus il s'en crée de nouveaux toutes les semaines, les liens n'arrivent pas immédiatement. Et bon si on avait tous le même antivirus, je veux bien croire que ça vienne de lui, mais là ça en fait 3 quand même et pas des trucs exotiques (avast, AVG et Kaspersky). Je dis pas que c'est forcément un virus mais je trouve que balayer d'un revers de la main ce genre d'alerte, c'est bien imprudent. Je commence à piger pourquoi il y a autant de PC vérolés jusqu'à l'os quand le premier reflexe devant la detection d'un virus c'est d'effacer son antivirus.
Lien direct vers le message - Vieux 21/09/2008, 22h38
Le fichier en question https://jolstatic.fr/aoc/styles/2/img/site.jpg n'a pas été modifié depuis le 28 février 2008, soit 7 mois.
De plus, les fichiers jpg ne sont pas vraiment les vecteurs de virus les plus fréquents.
J'aurais plutôt tendance à penser à un faux positif (un nouveau virus qui matcherait par hasard avec une séquence de données du fichier en question).
Quelqu'un a une page qui parlerait de ce virus JS:Packed-D ?
Si JS est pour JavaScript, ça conforterait la thèse du faux positif (un virus javascript dans un fichier JPEG ça serait quand même très surprenant).
Lien direct vers le message - Vieux 21/09/2008, 22h55
Citation :
Publié par Borh
sauf que des virus il s'en crée de nouveaux toutes les semaines, les liens n'arrivent pas immédiatement. Et bon si on avait tous le même antivirus, je veux bien croire que ça vienne de lui, mais là ça en fait 3 quand même et pas des trucs exotiques (avast, AVG et Kaspersky). Je dis pas que c'est forcément un virus mais je trouve que balayer d'un revers de la main ce genre d'alerte, c'est bien imprudent. Je commence à piger pourquoi il y a autant de PC vérolés jusqu'à l'os quand le premier reflexe devant la detection d'un virus c'est d'effacer son antivirus.
Je n'utilise pas d'anti-virus depuis 4ans, j'ai eu un seul virus et bizarrement des tas de gens avec anti-virus l'ont eu aussi donc bon. Les problèmes de securites sur un PC sont rarement question de Firewall ou Anti-virus, mais se situent majoritairement au niveau de l'utilisateur

Et je balaye l'hypothese d'un virus venant de JoL parce que j'ai regarde de plus pres les header HTTP, la reponse est :
Citation :
Date Sun, 21 Sep 2008 21:12:26 GMT
Server Apache/2.2.4 (Fedora)
Location http://www.microsoft.com/
Content-Length 289
Connection close
Content-Type text/html; charset=iso-8859-1
Pour l'adresse du "virus" .

Maintenant si on regarde les requetes HTTP faites par le site AoC, on y trouvera notre cher Silverlight de chez Microsoft, donc on peut raisonnablement penser que le lien charge plus haut l'est pas Silverlight. Par contre pour etre honnete, je ne comprends pas pourquoi le site AoC fait une demande de Silverlight

@Mind: le site.jpg n'a rien avoir avec la detection de virus, si on regarde la date de l'erreur, elle est une semaine plus vieille que la detection de JS:Pached-D. Une simple erreur quoi.
Lien direct vers le message - Vieux 21/09/2008, 23h11
Je me suis dit , pour le fun ... Je vais enregistrer la page avec Firefox et voir si l'antivirus va gueuler ...

A ma grande stupeur, ça a enregistré le site de Microsoft Oo ...

http://gbo777.free.fr/jol/gn%C3%A9.jpg <= photo de grand format ^^'

Mais par contre , Nod ne dit rien du tous . Donc le site a peu être un élément silverlight ? ( silverlight installé sur mon système, peu être pour que que l'antivirus dit rien ? )

Ps : Avast ... il aime énormément les faux positifs ... Il a déjà vu un virus dans une image CD que je venais juste de créer Oo …

Je +1 Mikushi ... Après avoir mater mes paquet avec Wireshark , j'obtiens la même chose que lui ... Rigolo que les antivirus le détecte comme un virus xD
Lien direct vers le message - Vieux 21/09/2008, 23h25
Citation :
Publié par harermuir
Antivir me detecte bien quelque chose. Je sais pas comment est configuré le tien, mais je m'inquiéterai.
Peut être que non, quand on utilise Firefox, Adblock Plus et Noscript ;-)
Lien direct vers le message - Vieux 22/09/2008, 00h17
effectivement avast ne detecte plus rien.

Par contre y en a vraiment qui mériteraient des baffes avec leurs conseils à la con. (et merci avast)

@Mind : demander aux webmestres qui touchent aux sites JoL d'avoir un antivirus à jour, je pense que ce ne serait pas du luxe.
Lien direct vers le message - Vieux 22/09/2008, 08h28
Citation :
Publié par Borh
Par contre y en a vraiment qui mériteraient des baffes avec leurs conseils à la con. (et merci avast)
Je voulais rien dire depuis la création de ce fil mais +1000.

Un peu relous les ingés en herbe @ conseils en carton pâtes ("olol les AV ca sert à rien comme les mises à jour logicielle").
Lien direct vers le message - Vieux 22/09/2008, 10h28
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés
Thème visuel : Fuseau horaire GMT +2. Il est actuellement 02h06.
^^ Haut de page ^^