D'où sort AntiSpywareMaster

[Saint-Sandouz]

Bonjour à tous

Ça fait la deuxième fois qu’apparait la fenêtre ci-jointe (fichier joint AntiSpywareMaster warning.jpg). Cette fois c’était en lisant une page du journal Le Monde. J’ai cliqué sur Cancel et la fenêtre s’est fermée puis s’est rouverte.
J’ai quand même trouvé la fenêtre suivante (fichier joint AntiSpywareMaster download.jpg).
Le plus fort c'est qu'il a trouvé des virus win32 dans les répertoires …\Windows\System32\ et autres ...\Program Files\.
Etonning not ? puisque je suis sur mac. C’est très très fort ! Surtout quand on pense qu’il n’y a pas de répertoire dans Mac OS X ! J’aurais pu télécharger le « logiciel » pour voir.

Ma question (de curiosité) est : d’où ça sort ? Comment ces fenêtres ont pu se charger dans mon navigateur ? Je suppose que Le Monde n’y est pour rien.

Merci d’avance

ND
-----

[JPL]

Je suppose que tu n'as pas de pare-feu ?

[Saint-Sandouz]

Je suppose que tu n'as pas de pare-feu ?

Je dois dire que ça fait longtemps que j'ai paramétré mon poste. Si j'ai bonne mémoire ma Freebox fait office de parefeux.
Ça ne me dit pas comment cette page est arrivée.

ND

[yoda1234]

La freebox ne filtre que le in pas le out.


Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
• Clique Continue à l'écran Disclaimer.
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.

[A voir en vidéo sur Futura]

[Cyrrus]

Bonsoir tout le monde,

Tu veux dire que tu as ce rogue sur ton...Mac ? Ou est ce que tu as seulement eu la fenetre de réclame ? De toute manière RSIT ne tournera pas sur Mac.

Bonne soirée
Cyrrus

[JPL]

Maître Yoda n'a pas vu que c'était un Mac ! Mais cette fenêtre, comment diable est-elle arrivée ? Ou alors à travers une page piégée ? Je suis surpris depuis le début par cette histoire.

[Cyrrus]

Re,

A priori cela doit être du javascript piégé, c'est le seul moyen à mon sens pour que cela puisse s'afficher sur toutes les plateformes. Maintenant quant au détection, elles sont directement écrit en dur dans le programme (ou dans le code javascript), donc que tu sois sur Mac, Linux ou BSD tu aurais eu ces détections.

Je vais demander l'avis de quelques compères à ce sujet.

[Saint-Sandouz]

La freebox ne filtre que le in pas le out.

Sauf erreur de ma part, le problème est in, si problème il y a…
Ma plateforme :
Mac OS X 10.4
Opera 9.52
VirusBarrier X4 10.4.4

Maître Yoda n'a pas vu que c'était un Mac ! Mais cette fenêtre, comment diable est-elle arrivée ? Ou alors à travers une page piégée ? Je suis surpris depuis le début par cette histoire.

C’est justement la question, toute académique pour moi. Je peux me permettre de télécharger tous les .exe, .bat et autres et même double-cliquer dessus à tout va…
La première fois que j’avais eu cet « avertissement », étant alors sur le Washington Post, il y avait en plus une boite avec un curseur m’indiquant le progrès du scan de mon disque qu’il était en train d’effectuer. À la suite de quoi il avait « trouvé » les mêmes virus win32. Ce qui en dit long sur sa routine de scan.

Je pense que même sur PC on peut le laisser faire, il trouvera quelque chose de toutes façons. Tant qu’on ne télécharge pas leur « antivirus » il me semble qu’il n’y a pas de risque.

Je vois que l’origine de ces intrusions est obscure pour tout le monde.

ND

[Saint-Sandouz]

A priori cela doit être du javascript piégé, c'est le seul moyen à mon sens pour que cela puisse s'afficher sur toutes les plateformes. Maintenant quant au détection, elles sont directement écrit en dur dans le programme (ou dans le code javascript), donc que tu sois sur Mac, Linux ou BSD tu aurais eu ces détections.

Le javascript est-il vraiment piégé ? Ce scan est de toute évidence bidon :
* il trouve toujours la même chose quelque soit la plateforme ;
* sous Windows je ne sais pas, mais sous Mac OS il me parait inconcevable qu’un tel script puisse lancer un scan du disque dur.

Pour moi, il te balance un avertissement alarmiste après un scan simulé pour que tu télécharges leur soft qui, lui, est piégé.
Mais comment font-ils pour que ça atterrisse sur mon navigateur ?

ND

[Cyrrus]

Re,

Pour moi, il te balance un avertissement alarmiste après un scan simulé pour que tu télécharges leur soft qui, lui, est piégé.
Mais comment font-ils pour que ça atterrisse sur mon navigateur ?

C'est bien ce que je dis. Le script est piégé car, sous Windows, tu as necessairement un téléchargement de l'installer, qui te met la pagaille. Pour que cela atterisse sur ton navigateur, il suffit que tu ais javascript activé...le code s'éxecute, et le pop up alarmant s'affiche...

[Saint-Sandouz]

C'est bien ce que je dis. Le script est piégé car, sous Windows, tu as necessairement un téléchargement de l'installer, qui te met la pagaille. Pour que cela atterisse sur ton navigateur, il suffit que tu ais javascript activé...le code s'éxecute, et le pop up alarmant s'affiche...

Javascript est activé en effet, sinon la moitié des documents ne s'affichent pas. Je déteste ça, j'aimerais boycotter les sites qui vous lancent un script à tout bout de champ plutôt que d'ouvrir une bête page, mais comment faire autrement?
Ça veut dire que la page du Monde que j'ai téléchargée contenait le lien vers script mais comment a-t-il fait pour le lancer?

ND

[yoda1234]

Maître Yoda n'a pas vu que c'était un Mac !

Bonjour,

euh, oui ça je n'avais pas vu désolé.