Geckozone

Bonjour,
Mon anti-virus Kaspersky vient de trouver une tentative de phishing ( numéro de compte, mot de passe, etc .. ) via un ou des liens parasitant Ff 3.0.10 et envoyé par son intermédiaire.
Si j'ai bien compris Ff est alerté d'un double clic et envoie un lien avec données volées.

Ci-après, voilà une partie de la trouvaille dont j'ai purgée certaines infos par sécurité.

Cela a-t-il un intérêt pour l'un des spécialistes que vous êtes, d'en savoir davantage ? Avant que je vire Ff et le recharge.
(peut-être que le parasitage existe dès le chargement ? )
Merci de vos conseils.
Cordialement


08/06/2009 10:22:25 Détectés: ad.doubleclick.net/click; ......................................................
http://nospam.ath.cx/index2.html
C:\Program Files\MOZILLA FIREFOX\ FIREFOX.EXE 3716 "C:\Program Files\Mozilla Firefox\firefox.exe" "-p" ......................................................; http://ad.doubleclick.net/adj/N5648.ADVIVAMEDIA/ ( ;click=http://ads.adviva.net/click/......... Bases


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

Le mieux c'est encore de cliquer sur aide -> Signaler un site contrefait. Ça arrivera directement au bon endroit.

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4

C'est d'ailleurs bien efficace : le site est déjà bloqué !

Flore a écrit :Le mieux c'est encore de cliquer sur aide -> Signaler un site contrefait. Ça arrivera directement au bon endroit.

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4

Réponse : ce site est déjà connu des bases Kaspersky. Aussi, semble-t-il, il était inutile d'utiliser la fonction "Signaler un site contrefait".
Une précision sur l'apparition du cas :
Je naviguais dans la première page d'un gd quotidien sur internet.
Tout d'un coup, message de l'antivirus, désignant la menace, suivie de l'action interdisant l'envoi des informations piratées.
A la différence du "Phishing" classique, aucune page contrefaite n'est apparue. Tout a été sournois et inopiné.
PS : Dans le registre de Windows (pour controle ), il y a bien une clé contenant "doubleclick", mais celle la concerne la souris.
Maintenant, tout est redevenu en ordre.

Mouais, je serais toi, je soumettrais quand même mon ordinateur à une bonne batterie de tests pour vérifier qu'il n'a pas chopé une merde...
Parce que si un truc a été bloqué (tant mieux pour toi), ça veut dire qu'il est présent et qu'il recommencera sans doute.

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4

Flore a écrit :Mouais, je serais toi, je soumettrais quand même mon ordinateur à une bonne batterie de tests pour vérifier qu'il n'a pas chopé une merde...
Parce que si un truc a été bloqué (tant mieux pour toi), ça veut dire qu'il est présent et qu'il recommencera sans doute.

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4

D'accord, cela va mouliner cette nuit. Comme je viens de le dire, j'ai consulté le registre.
Enfin, si ce machin réapparait, au moins sa signature est connue. Donc kasper agira en conséquence.
Terminé pour moi et merci.

baahine a écrit :Réponse : ce site est déjà connu des bases Kaspersky. Aussi, semble-t-il, il était inutile d'utiliser la fonction "Signaler un site contrefait".

Inutile pour toi, certes, mais pas pour d'autres utilisateurs de Firefox qui n'auraient pas Kaspersky.

baahine a écrit :Une précision sur l'apparition du cas :
Je naviguais dans la première page d'un gd quotidien sur internet.
Tout d'un coup, message de l'antivirus, désignant la menace, suivie de l'action interdisant l'envoi des informations piratées.
A la différence du "Phishing" classique, aucune page contrefaite n'est apparue. Tout a été sournois et inopiné.

C'est typique. Ce genre de sites donnent des espaces publicitaires à des sociétés du type doubleclick, qui sont quant à elles nettement moins regardantes. On peut donc parfaitement subir une attaque depuis un site « de confiance » qui délègue certaines fonctions à d'autres.