parfois, certains de nos users nous appellent parce que ils ont un message (écrit et vocale) bien mal traduit qui leur dit qu'ils ont été infectée par
" un virus de classe malware de flamme critique". Avec popup qui ne se ferme jamais etc. Bien entendu le message insiste pour que la victime contacte un numéro de support et c'est à partir de là que le type installe toute sa tripoté de virus.
Obligé de tuer les processus Iexplorer pour s'en sortir.
Bien souvent les sites visités sont tout à fait légitimes et c'est une redirection depuis ce site.
Je ne comprends pas comment cela est possible.
Nous avons un proxy, un antivirus à jour qui ne voit aucun soucis et nous sommes chez un FAI pro avec les DNS du FAI pro.
Les quelques PC que j'ai contrôlé avec Malwaresbytes n'ont rien remonté.
une idée ? parce que c'est pas rassurant et un jour qqun va finir par cliquer sur le lien vérolé ou appeler le numéro surtaxé pour l'assistance. Nous avons déjà remarqué que certains sites intègre un outil de téléassistance encapsulé en HTTPS et donc qui passera par le proxy.
Publicité
Posté le 02-10-2018 à 16:46:07
eusebius
Posté le 02-10-2018 à 17:22:36
Salut,
Juste pour témoigner que j'ai eu le cas sur mon propre PC dans l'après midi en suivant un lien "Caseimage" pour une annonce dans la partie achat-vente du forum.
Pour moi il s'agit simplement d'une "pub" en popup, il n'y a aucune infection réelle de la machine (ni à priori de code "malveillant" ). Ce que j'aurais du regarder de plus près c'est quelles ruses ils emploient pour empêcher l'utilisateur de fermer la page (sous FF 62 dans mon cas).
Je pense par ailleurs que les sites visitées n'y sont pas pour grand chose et que c'est probablement la boite qui gère leur pub qui s'est fait refiler une campagne "foireuse". Au final ce genre de message n'est pas fondamentalement différent de "vous êtes le xième visiteur, vous avez gagné un iphone truc" qu'on trouve sur beaucoup de sites ...
A+
Message édité par eusebius le 02-10-2018 à 17:28:46
ccp6128
Syntax error
Posté le 02-10-2018 à 17:46:14
Faire de l'adblocking a partir de ton proxy ou de ton DNS devrait normalement éliminer le problème.
Faire de l'adblocking a partir de ton proxy ou de ton DNS devrait normalement éliminer le problème.
tu peux m'en dire un peu plus ?
ccp6128
Syntax error
Posté le 03-10-2018 à 12:19:22
Aucune raison de laisser passer les pubs et ce genre de popups foireux dans une infra pro. Tu gagnes de la bande passante et tu économises énormément en maintenance sur les users naifs.
La facon de faire dépend de ton infra. Si tu as un boitier tout en un genre Bluecoat tu peux le gérer a ce niveau, sinon via ton proxy.
Dans tous les cas il faut pouvoir le faire efficacement en http et https, ce qui veut dire soit intercepter le https également au niveau de ton proxy, soit blacklister les domaines de pub au niveau DNS.
Ce n'est pas le boulot de ton antivirus, de ton FAI ou de ton DNS.
Ce n'est pas un programme malveillant, juste une pub qui bloque la fonction de fermeture de la fenêtre.
Le mieux est de répéter le message de ne pas cliquer n'importe où et se savoir reconnaître les messages.
Dans tous les cas il faut pouvoir le faire efficacement en http et https, ce qui veut dire soit intercepter le https également au niveau de ton proxy, soit blacklister les domaines de pub au niveau DNS.
Il existe des listes de domaines à blacklister pour la pub comme pour les sites types pornos, terrorisme, etc ? je pense à celle régulièrement mise à jour de l'université de Toulouse.