Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2023 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Le maloir de flamme critique

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Le maloir de flamme critique

n°157381
fourbe2
C'est du sarcasme ?
Posté le 02-10-2018 à 16:46:07  profilanswer
 

Hello,
 
parfois, certains de nos users nous appellent parce que ils ont un message (écrit et vocale) bien mal traduit qui leur dit qu'ils ont été infectée par
" un virus de classe malware de flamme critique".  
Avec popup qui ne se ferme jamais etc.  
Bien entendu le message insiste pour que la victime contacte un numéro de support et c'est à partir de là que le type installe toute sa tripoté de virus.
 
Obligé de tuer les processus Iexplorer pour s'en sortir.
Bien souvent les sites visités sont tout à fait légitimes et c'est une redirection depuis ce site.
 
Je ne comprends pas comment cela est possible.
Nous avons un proxy, un antivirus à jour qui ne voit aucun soucis et nous sommes chez un FAI pro avec les DNS du FAI pro.
Les quelques PC que j'ai contrôlé avec Malwaresbytes n'ont rien remonté.
 
une idée ? parce que c'est pas rassurant et un jour qqun va finir par cliquer sur le lien vérolé ou appeler le numéro surtaxé pour l'assistance. Nous avons déjà remarqué que certains sites intègre un outil de téléassistance encapsulé en HTTPS et donc qui passera par le proxy.

mood
Publicité
Posté le 02-10-2018 à 16:46:07  profilanswer
 

n°157382
eusebius
Posté le 02-10-2018 à 17:22:36  profilanswer
 

Salut,
 
Juste pour témoigner que j'ai eu le cas sur mon propre PC dans l'après midi en suivant un lien "Caseimage" pour une annonce dans la partie achat-vente du forum.
 
Pour moi il s'agit simplement d'une "pub" en popup, il n'y a aucune infection réelle de la machine (ni à priori de code "malveillant" ).  
Ce que j'aurais du regarder de plus près c'est quelles ruses ils emploient pour empêcher l'utilisateur de fermer la page (sous FF 62 dans mon cas).
 
Je pense par ailleurs que les sites visitées n'y sont pas pour grand chose et que c'est probablement la boite qui gère leur pub qui s'est fait refiler une campagne "foireuse".  
Au final ce genre de message n'est pas fondamentalement différent de "vous êtes le xième visiteur, vous avez gagné un iphone truc" qu'on trouve sur beaucoup de sites ...
 
A+


Message édité par eusebius le 02-10-2018 à 17:28:46
n°157387
ccp6128
Syntax error
Posté le 02-10-2018 à 17:46:14  profilanswer
 

Faire de l'adblocking a partir de ton proxy ou de ton DNS devrait normalement éliminer le problème.

Message cité 1 fois
Message édité par ccp6128 le 02-10-2018 à 17:46:40
n°157397
fourbe2
C'est du sarcasme ?
Posté le 03-10-2018 à 08:58:50  profilanswer
 

ccp6128 a écrit :

Faire de l'adblocking a partir de ton proxy ou de ton DNS devrait normalement éliminer le problème.


tu peux m'en dire un peu plus ?

n°157422
ccp6128
Syntax error
Posté le 03-10-2018 à 12:19:22  profilanswer
 

Aucune raison de laisser passer les pubs et ce genre de popups foireux dans une infra pro. Tu gagnes de la bande passante et tu économises énormément en maintenance sur les users naifs.
 
La facon de faire dépend de ton infra. Si tu as un boitier tout en un genre Bluecoat tu peux le gérer a ce niveau, sinon via ton proxy.
 
Dans tous les cas il faut pouvoir le faire efficacement en http et https, ce qui veut dire soit intercepter le https également au niveau de ton proxy, soit blacklister les domaines de pub au niveau DNS.

n°157423
nnwldx
Posté le 03-10-2018 à 12:19:56  profilanswer
 

Ce n'est pas le boulot de ton antivirus, de ton FAI ou de ton DNS.
Ce n'est pas un programme malveillant, juste une pub qui bloque la fonction de fermeture de la fenêtre.
Le mieux est de répéter le message de ne pas cliquer n'importe où et se savoir reconnaître les messages.

n°157532
fourbe2
C'est du sarcasme ?
Posté le 05-10-2018 à 12:46:45  profilanswer
 

ccp6128 a écrit :

Dans tous les cas il faut pouvoir le faire efficacement en http et https, ce qui veut dire soit intercepter le https également au niveau de ton proxy, soit blacklister les domaines de pub au niveau DNS.


Il existe des listes de domaines à blacklister pour la pub comme pour les sites types pornos, terrorisme, etc ? je pense à celle régulièrement mise à jour de l'université de Toulouse.

n°157534
ccp6128
Syntax error
Posté le 05-10-2018 à 13:40:50  profilanswer
 

Tu peux génerer des listes adblock a différents formats sur https://pgl.yoyo.org/as/
 
Tu peux aussi partir de listes sur https://firebog.net/ et les convertir au format que tu souhaites utiliser.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Le maloir de flamme critique

 

Sujets relatifs
Raid ou SHR Synology critiqué mais .... 
Plus de sujets relatifs à : Le maloir de flamme critique


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR