cerhu > comp.* > comp.securite.virus

Az Sam (17/01/2009, 22h02)
A votre avis, il ya quelques chose la :
[..] ?

Spybot gueule (chez ma femme mais pas chez moi)
95% des liens dans la page renvoir vers un meme exe, qui serait un lecteur
Flash selon la description.
De cet exe, virus Total donne ceci :
[..]

Chez vous ca dit quoi ?
Depassage (18/01/2009, 01h05)
Az Sam wrote:
> A votre avis, il ya quelques chose la :
> [..] ?
> Spybot gueule (chez ma femme mais pas chez moi)
> 95% des liens dans la page renvoir vers un meme exe, qui serait un
> lecteur Flash selon la description.
> De cet exe, virus Total donne ceci :
> [..]


Ben que le site est infecté et volontairement en plus :-)

En fait j'ai du désactiver tout un tas de machins pour y arriver (il est
bloqué chez moi depuis novembre 2008)

Tu as des bannieres, pop-up (que l'on peut trouver sur d'autres sites
"normaux" de ce internetgameboxx un peu partout sur le net du fait des
affiliations.

Là on a par ex (pris au hasard) -j'ai mis des "wwwww" à la fin pour
éviter que quelqu'un récupère

[..]

Qui te ramène ce que tu crois etre le jeu (via un autre site) :

internetgamebox_setup.exe.

J'ai noté également un adware avec un nom aléaloire V4ENML6i.exe qui
chargera plus tard des pop up du genre

[..]

Pour t'offrir gratuitement de zolis cados :-)

Et ensuite une fois que tout est installé et que ca fonctionne tu verras
apparaitre un autre pop up qui te signaleras que tu es infecté et
t'offriras gratuitement (ils sont sympas :-)

powerfulvirusremover2008.com qui est un joli Adware Navipromo

Mais bon... Le responsable du site est :

Ascheoulov pereulok

qui est situé .... en RUSSIE !

De plus rien qu'en voyant sur le site gameboxx les jeux proposés (les
jeux de casinos notamment), la charte graphique, j'ai vu de suite que
c'était un clone de ces autres sites vérolés qu'on voit depuis 2 ans et
qui propose toujours tout un tas de petits jeux sympas/mignons (les
femmes en raffolent)toujours sous la meme forme du reste

Sinon ben si ta femme a pu y accèder c'est que soit elle n'a pas no
script, soit certains progs ne sont pas à jour (flasplayer notamment car
il y a un .js qui vérifie la version) et son fichier host n'est pas
renseigné.

Autrement virustotal donne cela

[..]

Ce qui est normal... et je parie que soit au prochaine telechargment
soit dans X minutes ou heures il y aura une autre signature :-)
Depassage (18/01/2009, 01h25)
Az Sam wrote:
> A votre avis, il ya quelques chose la :
> [..] ?


Tiens zut j'aurai du commencer par ca :

[..]

et

[..]

les noms de fichiers changent (normal) les infections aussi, mais la
démarche reste la meme

Comme le site précédent est blackisté, le responsable à ajouté un "x" à
la fin

En attendant je me suis fais un p'tit pacman grace a internet gamebox :-)
Az Sam (18/01/2009, 11h14)
"Depassage" <monadresseamoi> a écrit dans le message de news:
497268f4$0$28669$7a628cd7...
> Az Sam wrote:
> Tiens zut j'aurai du commencer par ca :
> [..]
> et
> [..]
> Comme le site précédent est blackisté, le responsable à ajouté un "x" à la
> fin


oui :-)

> En attendant je me suis fais un p'tit pacman grace a internet gamebox :-)


c'ets bon les fantomes ;-)
Az Sam (18/01/2009, 12h02)
"Depassage" <monadresseamoi> a écrit dans le message de news:
49726416$0$28669$7a628cd7...

> J'ai noté également un adware avec un nom aléaloire V4ENML6i.exe qui
> chargera plus tard des pop up du genre
> [..]
> Pour t'offrir gratuitement de zolis cados :-)


pop up tres chiades qui verifient meme le contenu du champ mail rempli
[..]
et laissent apparaitre des conditions generales de ventes , contacts et
charte de confidentialité :
[..]
dont voici le 1er paragraphe :

"La présente Politique de confidentialité s'applique aux activités de
traitement des données personnelles réalisées par Dailsley Limited dont le
nom commercial est Aedgency Ireland (Opt-in) par l'intermédiaire de son site
Internet Kadokiosk ([..]) ou de tout autre moyen électronique
(courriels, pop-ups, etc.) s'y rapportant. La présente Politique est soumise
aux Conditions d'utilisation qui régissent le Site. Le participant au Site
(« ci-après le Participant ») doit accepter la présente Politique de
Confidentialité afin de pouvoir participer aux tombolas, tirages au sort ou
autres Jeux-concours qui y sont proposés (« ci-après les Jeux-concours »). "

et celle du site Game Boxx est sensiblement la meme :
[..]

il va sans dire que ce que l'on doit acccepter c'est de n'avoir AUCUNE
confidentialité. Le paragraphe 2 ne laisse pas de doute.

Cette charte est assez edifiante (et ce n'est pas nouveau, mais lit on
souvent ces chartes ?), comment peut etre elle encore legale ?
Car ce site est legal, tu dis qu'il etait deja là en 11/2008 ?

(tout cela c'est dans la suite du fil "les trojans ont le vent en poupe en
2008")

> Et ensuite une fois que tout est installé et que ca fonctionne tu verras
> apparaitre un autre pop up qui te signaleras que tu es infecté et
> t'offriras gratuitement (ils sont sympas :-)


merci d'avoir installé le bazar :-)
la machine devient elle inutilisable ensuite ?

> powerfulvirusremover2008.com qui est un joli Adware Navipromo


T'as pas demandé le service ? Rôôô :-))

> Mais bon... Le responsable du site est :
> Ascheoulov pereulok
> qui est situé .... en RUSSIE !


mouais ... Trop facile d'identifier le vilain a l'est, tout comme le mal
reside dans les terroriste arabes...
Le coupable dans ce genre de site, c'est la publicite toute puissante et les
flux financiers enooooormes qui l'enroure.

sinon ca c'est le nom de la rue, le nom du gars c'est Alexey Zvinchuk ;-)
et l'hote a partir duquel tout est accessaible sur le toile : MASTERHOST-MNT

> De plus rien qu'en voyant sur le site gameboxx les jeux proposés (les jeux
> de casinos notamment), la charte graphique, j'ai vu de suite que c'était
> un clone de ces autres sites vérolés qu'on voit depuis 2 ans et qui
> propose toujours tout un tas de petits jeux sympas/mignons (les femmes en
> raffolent)toujours sous la meme forme du reste
> Sinon ben si ta femme a pu y accèder c'est que soit elle n'a pas no
> script, soit certains progs ne sont pas à jour (flasplayer notamment car
> il y a un .js qui vérifie la version) et son fichier host n'est pas
> renseigné.


ma femme a ete alertee par Spybot (je sais tu l'aimes pas mais bon...) Elle
n'a pas no script, car sinon comment irait elle sur tous ces sites de
cadeaux babioles ? ;-)
mais son Flash est a jour, 10a c'est bien le dernier. (?)
Le host par contre effectivement... mais comme tu le dis dans ton second
post, c'est l'adresse avec un seul X qui y est...

> Ce qui est normal... et je parie que soit au prochaine telechargment soit
> dans X minutes ou heures il y aura une autre signature :-)


meme pas :
[..]
Depassage (18/01/2009, 16h36)
Az Sam wrote:
> "Depassage" <monadresseamoi> a écrit dans le message de
> news:8cd7


[..]
> tombolas, tirages au sort ou autres Jeux-concours qui y sont proposés («
> ci-après les Jeux-concours »). "
>> il va sans dire que ce que l'on doit acccepter c'est de n'avoir AUCUNE

> confidentialité. Le paragraphe 2 ne laisse pas de doute.
> Cette charte est assez edifiante (et ce n'est pas nouveau, mais lit on
> souvent ces chartes ?), comment peut etre elle encore legale ?
> Car ce site est legal, tu dis qu'il etait deja là en 11/2008 ?


En fait la charte est juste là au cas où quelqu'un s'amuserait à vouloir
faire un procès sur l'aspect "données personnelles" parce que dans la
pratique le site est hors de nos frontières

> merci d'avoir installé le bazar :-)
> la machine devient elle inutilisable ensuite ?


Disons.. un peu pénible avec les pop up, ralentissements etc
Mais les trames qui partent vers les autres sites affiliés est assez
impressionnante

>> powerfulvirusremover2008.com qui est un joli Adware Navipromo

> T'as pas demandé le service ? Rôôô :-))


Nan :-)

Le problème avec navipromo c'est que c'est quelque peu... pénible à virer

>> Mais bon... Le responsable du site est :
>> Ascheoulov pereulok
>> qui est situé .... en RUSSIE !

> mouais ... Trop facile d'identifier le vilain a l'est, tout comme le mal
> reside dans les terroriste arabes...


Oui comme les attaques de sites US par des CHINOIS, etc etc

Néanmoins....

Un p'tit reseau RBN pour la route ? :-)

[..]

> Le coupable dans ce genre de site, c'est la publicite toute puissante et
> les flux financiers enooooormes qui l'enroure.
> sinon ca c'est le nom de la rue, le nom du gars c'est Alexey Zvinchuk ;-)
> et l'hote a partir duquel tout est accessaible sur le toile :
> MASTERHOST-MNT


Ben voila va falloir que je révise mon copier coller :-)

> ma femme a ete alertee par Spybot (je sais tu l'aimes pas mais bon...)


Je ne l'aime pas du fait du Tea Timer qui entre en conflit avec la
protection temps réel d'un AV et meme si on n'utilise pas le tea timer,
j'ai noté des ralentissement qui ne devraient pas etre (puisque censé ne
pas etre actif. Mais la base de registre est un peu trop occupée à mon
gout et l'ordi reste quand meme ralenti, et dans ce cas, comme le
principal interet de spybot n'est plus (le tea timer) Reste les outils
annexes... mais y a mieux

> Elle n'a pas no script, car sinon comment irait elle sur tous ces sites
> de cadeaux babioles ? ;-)


Oui j'ai le meme pb avec mes amies et cop's :-)

> mais son Flash est a jour, 10a c'est bien le dernier. (?)
> Le host par contre effectivement... mais comme tu le dis dans ton second
> post, c'est l'adresse avec un seul X qui y est...


L'ouverture du pop up amène le fichier quand on clique, donc plusieurs
cas de figure existent au cas où l'un ne remplirait pas les règles
(flahs pas à jour)

Flash :10.0.12.36

Mais faire attention, car suivant que l'on utilise IE ou Firefox on peut
oublier de faire la mise à jour pour l'un (je pensais qu'il y avait un
tronc commun mais certains programmes mettent en avant les différences
de version

Siinformer par ex

[..]

>> Ce qui est normal... et je parie que soit au prochaine telechargment
>> soit dans X minutes ou heures il y aura une autre signature :-)
>> meme pas :

> [..]


Ca arrive :-)

Virustotal sert aussi aux créateurs de virus pour savoir si leur
"infection" est bien détectée ou pas
Les indépendants n'ont pas toujours le temps et les moyens de varier,
donc si la chose reste peu detectée pendant X jours ca les arrange.

Ensuite vient les stats sur les usages des AV
J'ai vu des infections qui sont restées pendant 3 mois, parce qu' AVAST,
Norton etc ne les detectaient pas (majoritairement utilisés). Ils
appliquent un ratio :-)
Az Sam (18/01/2009, 19h45)
--
Cordialement,
Az Sam.
"Depassage" <monadresseamoi> a écrit dans le message de news:
49733e74$0$28669$7a628cd7...

> En fait la charte est juste là au cas où quelqu'un s'amuserait à vouloir
> faire un procès sur l'aspect "données personnelles" parce que dans la
> pratique le site est hors de nos frontières


oui, je ne connais pas le droit international, mais je tiens a metre
l'accent sur ce mal qu'est le commerce et son acolyte, la publicité.
Les voila, les vilains...

> Disons.. un peu pénible avec les pop up, ralentissements etc
> Mais les trames qui partent vers les autres sites affiliés est assez
> impressionnante


si il y a trop de pop up c'est du sale boulot, la machine devenant
difficilement utilisable, elle sera resettée ou mise au rebut assez
rapidement.

> Oui comme les attaques de sites US par des CHINOIS, etc etc
> Néanmoins....
> Un p'tit reseau RBN pour la route ? :-)
> [..]


oui belle etude.
On croise aussi regulierment, ce genre d'affaires :
[..]
pas de porno, pas de terrorisme, pas d'armes, pas de pedophilie.. du crime
ordinaire et tellement quotidien...

> Je ne l'aime pas du fait du Tea Timer qui entre en conflit avec la
> protection temps réel d'un AV et meme si on n'utilise pas le tea timer,
> j'ai noté des ralentissement qui ne devraient pas etre (puisque censé ne
> pas etre actif. Mais la base de registre est un peu trop occupée à mon
> gout et l'ordi reste quand meme ralenti, et dans ce cas, comme le
> principal interet de spybot n'est plus (le tea timer) Reste les outils
> annexes... mais y a mieux


Bien sur Tea Timer n'ets pas a utilise (tout comme les probes de registry
des suites securite tout en 1)
Mais psybot n'ets pas QUE tea Timer, et pour le reste je trouve que ca reste
un outils global de bonne facure qui a l'avantage d'etre preventif et
d'offre quelques outils simples pour le maintenace quotidienne ou en cas de
petits pepins.
A sa decharge je dois dire que son scnner est une horreur et de bien peu
d'ulitilté.
[..]
Az Sam (18/01/2009, 20h20)
"Depassage" <monadresseamoi> a écrit dans le message de news:
49733e74$0$28669$7a628cd7...

> En fait la charte est juste là au cas où quelqu'un s'amuserait à vouloir
> faire un procès sur l'aspect "données personnelles" parce que dans la
> pratique le site est hors de nos frontières


oui, je ne connais pas le droit international, mais je tiens a metre
l'accent sur ce mal qu'est le commerce et son acolyte, la publicité.
Les voila, les vilains...

> Disons.. un peu pénible avec les pop up, ralentissements etc
> Mais les trames qui partent vers les autres sites affiliés est assez
> impressionnante


si il y a trop de pop up c'est du sale boulot, la machine devenant
difficilement utilisable, elle sera resettée ou mise au rebut assez
rapidement.

> Oui comme les attaques de sites US par des CHINOIS, etc etc
> Néanmoins....
> Un p'tit reseau RBN pour la route ? :-)
> [..]


oui belle etude. Merci de l'avoir partagée.
a un niveau moins technique, on croise aussi regulierement, ce genre
d'affaires :
[..]
pas de porno, pas de terrorisme, pas d'armes, pas de pedophilie.. du crime
ordinaire et tellement quotidien...

> Je ne l'aime pas du fait du Tea Timer qui entre en conflit avec la
> protection temps réel d'un AV et meme si on n'utilise pas le tea timer,
> j'ai noté des ralentissement qui ne devraient pas etre (puisque censé ne
> pas etre actif. Mais la base de registre est un peu trop occupée à mon
> gout et l'ordi reste quand meme ralenti, et dans ce cas, comme le
> principal interet de spybot n'est plus (le tea timer) Reste les outils
> annexes... mais y a mieux


Bien sur Tea Timer n'est pas a utilise (tout comme les probes de registry
des suites securite tout en 1)
Mais spybot n'est pas "que" tea Timer, et pour le reste je trouve que ca
reste un outils global de bonne facure qui a l'avantage d'etre preventif et
d'offir quelques outils simples pour le maintenace quotidienne ou en cas de
petits pepins.
A sa décharge je dois dire que son scanner est une horreur et est de bien
peu d'ulitilté.

> Flash :10.0.12.36


oui c'est bien cela.

> Mais faire attention, car suivant que l'on utilise IE ou Firefox on peut
> oublier de faire la mise à jour pour l'un (je pensais qu'il y avait un
> tronc commun mais certains programmes mettent en avant les différences de
> version


Oublier les MaJ avec le push de FF c'est quand meme difficile ;-)
Pour I , ce Flash et ses versions successives qui comme Java s'ajoutent mais
ne se remplacent pas, ca devient un vrai soucis.

> Siinformer par ex
> [..]


encore 1 ? beurk.
ils causent encore de Flash Player 9 en plus :
[..] (la review)
heureusement qu'ils mettent le lien vers l'editeur, esperons que tout le
monde utilisera celui la plutot que le leur.
Surtout quand on voit que celui pour "Developper" est plutot tendancieux
Decidement j'ai pas confiance dans ces organismes là moi....

> Ensuite vient les stats sur les usages des AV
> J'ai vu des infections qui sont restées pendant 3 mois, parce qu' AVAST,
> Norton etc ne les detectaient pas (majoritairement utilisés). Ils
> appliquent un ratio :-)


oui. de toute facon, le Week End c'ets pas bon pour les mises a jour des
menaces.. Il y a un vrai defaut là.
Je me suis abonné depuis la semaine dernier aux notifications d'updtes de
Avira, le Week end c'est dramatique...
Et je dois dire que je suis surpris de voir MS sonner l'alerte quand tous
les autres restent cois.
Depassage (18/01/2009, 21h23)
Az Sam wrote:
[..]
> oui, je ne connais pas le droit international, mais je tiens a metre
> l'accent sur ce mal qu'est le commerce et son acolyte, la publicité.
> Les voila, les vilains...


En fait ils ne risquent rien, sauf de la part de l'état russe (qui s'en
fout)

>> Disons.. un peu pénible avec les pop up, ralentissements etc
>> Mais les trames qui partent vers les autres sites affiliés est assez
>> impressionnante

> si il y a trop de pop up c'est du sale boulot, la machine devenant
> difficilement utilisable, elle sera resettée ou mise au rebut assez
> rapidement.


Non il n'y avait pas obligatoirement de pop-up mais ca envoyait le
cookie par contre qui lui servait entre à savoir si on avait recu le
programme ou pas et l'infection bien sur.
Ca évite du gaspillage de bande passante de leur coté :-)

> oui belle etude. Merci de l'avoir partagée.
> a un niveau moins technique, on croise aussi regulierement, ce genre
> d'affaires :
> [..]
> pas de porno, pas de terrorisme, pas d'armes, pas de pedophilie.. du
> crime ordinaire et tellement quotidien...


Et ce genre de programme est.. très demandé par la gente féminine :-)

> Bien sur Tea Timer n'est pas a utilise (tout comme les probes de
> registry des suites securite tout en 1)
> Mais spybot n'est pas "que" tea Timer, et pour le reste je trouve que ca
> reste un outils global de bonne facure qui a l'avantage d'etre preventif
> et d'offir quelques outils simples pour le maintenace quotidienne ou en
> cas de petits pepins.


Oui je suis d'accord, mais bon... c'est limité

> A sa décharge je dois dire que son scanner est une horreur et est de
> bien peu d'ulitilté.


Donc pas le Tea timer, pas le scanner... Reste l'interface :-)

> Oublier les MaJ avec le push de FF c'est quand meme difficile ;-)
> Pour I , ce Flash et ses versions successives qui comme Java s'ajoutent
> mais ne se remplacent pas, ca devient un vrai soucis.


La dernière version de Java, si...
Par contre ca met en action un service, et je ne sais plus quoi en
contrepartie.
Evidemment ca se désactive

>>> Siinformer par ex

>> [..]

> encore 1 ? beurk.


Oui mais il est pas mal celui la et à l'avantage de faire tout le disque

> ils causent encore de Flash Player 9 en plus :
> [..] (la review)
> heureusement qu'ils mettent le lien vers l'editeur, esperons que tout le
> monde utilisera celui la plutot que le leur.


En fait meme si on clique sur leur lien ca amène directement sur le site
éditeur

Je sais qu'ils font des stats (nombre de PC pas à jour, logiciels
populaires etc

> Surtout quand on voit que celui pour "Developper" est plutot tendancieux
> Decidement j'ai pas confiance dans ces organismes là moi....


Bah j'ai regardé ce qui était réellement envoyé. Pas de danger

>> Ensuite vient les stats sur les usages des AV
>> J'ai vu des infections qui sont restées pendant 3 mois, parce qu'
>> AVAST, Norton etc ne les detectaient pas (majoritairement utilisés).
>> Ils appliquent un ratio :-)

> oui. de toute facon, le Week End c'ets pas bon pour les mises a jour des
> menaces.. Il y a un vrai defaut là.


Les créateurs de virus le savent...

> Je me suis abonné depuis la semaine dernier aux notifications d'updtes
> de Avira, le Week end c'est dramatique...
> Et je dois dire que je suis surpris de voir MS sonner l'alerte quand
> tous les autres restent cois.


Etonnament depuis quelques mois leur AV est efficace contre certaines
classes d'infection
Par ex il était souvent le seul lors des infections MSN a détecter ce
qu'on lui envoyait.
Mais globalement il n'arrive pas à la cheville d'un antivir pour
l'ensemble des menaces
Az Sam (18/01/2009, 22h05)
"Depassage" <monadresseamoi> a écrit dans le message de news:
49738190$0$28670$7a628cd7...

> Donc pas le Tea timer, pas le scanner... Reste l'interface :-)


non :o)
reste la vaccination + les outils : liste des activeX, des BHO, liste de
demarrage (bien + pratique que msconfig), registre (moindre mesure), page du
naviguateur (là je prefere spywareblaster, qui liste par utilisateurs), la
liste des process qui donne aussi les ports d'ecoute, le winsock (ces 2 la
sont importants pour un coup d'oeil rapide!)

> La dernière version de Java, si...
> Par contre ca met en action un service, et je ne sais plus quoi en
> contrepartie.
> Evidemment ca se désactive


non pas pour desinstaller soi meme, ca on peut, mais la succession de lieux
de stockages et d'inscriptions differents.
un peu comme le FF3 MaJ sur un FF2, les chemins ont change, ok, mais alors
ils pourraient nettoyer ce qui ne servira plus !

> Oui mais il est pas mal celui la et à l'avantage de faire tout le disque


et tous les disques ? un audit bien profond qui dira meme si plusireurs OS
sont presents et quels applis pour chacun d'eux ??

> En fait meme si on clique sur leur lien ca amène directement sur le site
> éditeur
> Je sais qu'ils font des stats (nombre de PC pas à jour, logiciels
> populaires etc


cliquer dessus ne signifie pas ne pas etre a jour. Je doute un peu de la
finalité "bienveillante" des stats.

> Bah j'ai regardé ce qui était réellement envoyé. Pas de danger


oui pas de danger , ca d'accord. mais le "developer", ca renvoit a une autre
notion qu'un listing de produits, surtou sur leur propre site.
Par compte chaque page est pleine de ads... en commencant par celle ou l'on
trouvera la bouton pour reelement faire la MaJ.
Moi je ne vois pas de differences entre la charte graphique de ces sites et
celle de celui de gameboxx...

> Les créateurs de virus le savent...


et que font donc les contreurs de virus ..? moi ca me questionne quand meme.
:-/

> Etonnament depuis quelques mois leur AV est efficace contre certaines
> classes d'infection
> Par ex il était souvent le seul lors des infections MSN a détecter ce
> qu'on lui envoyait.
> Mais globalement il n'arrive pas à la cheville d'un antivir pour
> l'ensemble des menaces


quand je vois dans Seven beta que toute la com tourne autour de ce logiciel
de pourrissement,qui sera integré "dans la barre des taches" ca m'horripile.
qu'attendent ils pour le verrouiller ?

Enfin bon, comme je disais dans un autre poste, des moulins a vents tout ca.
Sur ce, bonne soirée et merci pour ce petit travail sur le site russe ;-)
Discussions similaires
Hello, j'ai manqué quelque chose ?

Quelque chose

quelque chose de nouveu

Je cherche quelque chose


Fuseau horaire GMT +2. Il est actuellement 00h56. | Privacy Policy