Geckozone

Firefox : une nouvelle extension malveillante détectée
Des chercheurs en sécurité ont découvert une nouvelle extension malveillante propageant un cheval de Troie.

Les experts du cabinet StopMalvertising affirment avoir découvert un nouveau malware ciblant spécifiquement les internautes sur Firefox. L'add-on en question se propage sur les sites adultes ainsi que sur le réseau Facebook et se présente sous la forme d'une mise à jour pour le plugin Flash Player.

Une fois installée sur la machine de la victime, l'extension visite plusieurs sites en tâche de fond afin de générer des téléchargements de malwares. Les experts ajoutent que l'extension procéde également à de la fraude au clic, une technique visant à multiplier les clics sur les publicités afin d'épuiser le plus rapidement possible le budget d'une campagne publicitaire d'un concurrent.
suite et la source

Bonsoir galoupia

ça prouve encore qu'il faut vraiment faire attention aux mises à jour et ne pas cliquer n'importe où..."sites pour adultes et Facebook"
Normalement les mises à jour de Flash sont maintenant annoncées (si paramétré pour..) à la suite du lancement du pc...

Si un site annonce "veillez à mettre Flash à jour"(ce qui est d'ailleurs rare dans ce style) ! Autant commencer par vérifier sur le site officiel : http://www.adobe.com/fr/software/flash/about/

Difficile de distinguer le vrai du faux… c'est une attaque évidente (je suis sûr que ce ne sont pas les premiers à l'exploiter), et en même temps assez difficile à détecter pour l'utilisateur, sachant que Firefox peut proposer des mises à jour automatiquement à n'importe quel moment. les utilisateurs sont habitués à accepter

Elle ne fera plus de dégâts car elle vient d'être bloquée, jusqu'à temps qu'elle change d'identifiant (déjà 6 fausses extensions Flash bloquées).

**oups trompé de fil**

scoobidiver a écrit :Elle ne fera plus de dégâts car elle vient d'être bloquée, jusqu'à temps qu'elle change d'identifiant (déjà 6 fausses extensions Flash bloquées).

C'est ça sur l'addon ShowIP ?
http://www.h-online.com/open/news/item/ ... 65273.html
A priori l'addon a été màj le 4/05.

Abraxas a écrit :C'est ça sur l'addon ShowIP ?

Aucun rapport entre ShowIP hébergé sur AMO et Flash Player 11 hébergé sur un site porno.

Non, je me suis mal exprimé: es-ce que Mozilla a réagi au fait que ShowIP envoie des données privées à un serveur sans l'autorisation de l'utilisateur ?

Abraxas a écrit :Non, je me suis mal exprimé: es-ce que Mozilla a réagi au fait que ShowIP envoie des données privées à un serveur sans l'autorisation de l'utilisateur ?

Ils ont contacté le développeur puisque ce n'est intrinsèquement pas un logiciel malveillant :
https://bugzilla.mozilla.org/show_bug.cgi?id=750761
Il est sorti une version 1.5 le 4 Mai :
https://addons.mozilla.org/fr/firefox/a ... /versions/

teelhmot a écrit :sachant que Firefox peut proposer des mises à jour automatiquement à n'importe quel moment. les utilisateurs sont habitués à accepter

Tu aurais dû choisir "Perroquet" comme pseudo !!
Voir http://www.geckozone.org/forum/search.p ... 4&sr=posts

C'est un spammeur d'un genre un peu bizarre, je pense. Il linke une image après ses messages, mais l'image n'est pas affichée... Bref, cet utilisateur est sans intérêt et assez suspect...

Abraxas a écrit :C'est un spammeur d'un genre un peu bizarre, je pense. Il linke une image après ses messages, mais l'image n'est pas affichée...

Code : Tout sélectionner

Le problème ne vient donc pas de là, [img]http://www.jpopo.info/g.gif[/img]

Bref, cet utilisateur est sans intérêt et assez suspect...

D'ailleurs ce lien m'est signalé comme malveillant par Avast
(je l'ai signalé par ailleurs au modos du forum )

Patclash a écrit :

Abraxas a écrit :C'est un spammeur d'un genre un peu bizarre, je pense. Il linke une image après ses messages, mais l'image n'est pas affichée...

Code : Tout sélectionner

Le problème ne vient donc pas de là, [img]http://www.jpopo.info/g.gif[/img]

Bref, cet utilisateur est sans intérêt et assez suspect...

D'ailleurs ce lien m'est signalé comme malveillant par Avast
(je l'ai signalé par ailleurs au modos du forum )

Ça fait plusieurs jours que je le vois (bloqué par Avast) sur différents forums où je vais... Mais peu d'info à son sujet.

S'il poste une image corrompue, il est probable qu'il essaie d'exploiter une vulnérabilité de type "buffer overflow" sur des vieux navigateurs pas à jour.

Oui, je pense. D'ailleurs ce lien a été bcp posté depuis mai 2012 en commentaires de forums ou blogs: Korben, Tric Trac, Caradisiac, Elle, Plurielles, Frandroid etc
http://www.google.fr/search?q=http%3A%2 ... fo%2Fg.gif
Soit ce sont des bots (ou des bots humains), soit c'est ajouté par un malware lorsque l'internaute poste depuis sa machine infectée.