Les HTA de 4chan
Résolu/Fermé
A voir également:
- 4chan malware
- Malware byte - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Tor.jack malware - Forum Virus
- Roguekiller anti-malware - Télécharger - Antivirus & Antimalwares
- Je n'arrive pas a supprimer un virus sur mon téléphone - Forum Virus
3 réponses
Signß
Messages postés
36
Date d'inscription
samedi 3 janvier 2009
Statut
Membre
Dernière intervention
4 août 2010
10
Modifié par Signß le 4/08/2010 à 11:13
Modifié par Signß le 4/08/2010 à 11:13
Salut,
L'ami DllD m'a parlé un peu de ce script.
Il semble en avoir conclu que le script génére 4 fichier dans les temp de windows qui établiront des connexions à 4chan via sur le port 80, et ces fichiers se lanceront d'ailleurs automatiquement au lancement du système.
Plus globalement, j'ai regardé un peu le fichier .hta en question, et outre le fait qu'il récupère les fichiers mentionnés, il se connecte également à 4chan (ce qui explique les connexions établies par la suite) et spam aléatoirement une board et un thread avec un message généré au hasard parmi une liste de mots, en upant la même image piégée.
Je pense qu'il manque des bouts du script, à moins qu'il ne serve qu'à spammer 4chan, mais méfiance donc, je n'ai pas regardé les fichiers dont parle DllD, donc il vaut mieux être prudent.
Edit: Divers scans VT des fichiers que génère le script, par ailleurs.
http://www.virustotal.com/fr/analisis/7946eb0349b207423ea8325add0ca7d1ead9a1663cef3c355144f59f8711c798-1280863879
http://www.virustotal.com/fr/analisis/a729d4d43d93290993153a97e8fbeab39cf8cfe7511de438b01ac434cf39d1f2-1280864020
http://www.virustotal.com/fr/analisis/2fb50f659973594c83303f16f27c7d4c5bebdde1a91fcfd03aea976a53dbf6a7-1280864002
http://www.virustotal.com/fr/analisis/ce3f42c465fe8d2a173fe62477b380de4d0328c1824fe8638bacdb658eeee4f4-1280863975
L'ami DllD m'a parlé un peu de ce script.
Il semble en avoir conclu que le script génére 4 fichier dans les temp de windows qui établiront des connexions à 4chan via sur le port 80, et ces fichiers se lanceront d'ailleurs automatiquement au lancement du système.
Plus globalement, j'ai regardé un peu le fichier .hta en question, et outre le fait qu'il récupère les fichiers mentionnés, il se connecte également à 4chan (ce qui explique les connexions établies par la suite) et spam aléatoirement une board et un thread avec un message généré au hasard parmi une liste de mots, en upant la même image piégée.
Je pense qu'il manque des bouts du script, à moins qu'il ne serve qu'à spammer 4chan, mais méfiance donc, je n'ai pas regardé les fichiers dont parle DllD, donc il vaut mieux être prudent.
Edit: Divers scans VT des fichiers que génère le script, par ailleurs.
http://www.virustotal.com/fr/analisis/7946eb0349b207423ea8325add0ca7d1ead9a1663cef3c355144f59f8711c798-1280863879
http://www.virustotal.com/fr/analisis/a729d4d43d93290993153a97e8fbeab39cf8cfe7511de438b01ac434cf39d1f2-1280864020
http://www.virustotal.com/fr/analisis/2fb50f659973594c83303f16f27c7d4c5bebdde1a91fcfd03aea976a53dbf6a7-1280864002
http://www.virustotal.com/fr/analisis/ce3f42c465fe8d2a173fe62477b380de4d0328c1824fe8638bacdb658eeee4f4-1280863975
Mstr
Messages postés
9973
Date d'inscription
lundi 11 janvier 2010
Statut
Contributeur sécurité
Dernière intervention
28 septembre 2015
1 891
Modifié par Mstr le 4/08/2010 à 16:59
Modifié par Mstr le 4/08/2010 à 16:59
Ah mais c'est ça les spam qu'il y a en ce moment sur 4chan ? :O
Falkra
Messages postés
90
Date d'inscription
mercredi 11 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 août 2011
21
12 août 2010 à 11:37
12 août 2010 à 11:37
Bonjour,
quelques infos peuvent être trouvées ici, parmi d'autres :
https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Trojan:JS/Chafpin.gen!A
quelques infos peuvent être trouvées ici, parmi d'autres :
https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Trojan:JS/Chafpin.gen!A
4 août 2010 à 16:57
En dépit de ce que je disais, ils ne sont pas lisible sous notepad.
Mon inquietude est que chercher à les lire avec qqch de plus "évolué" comme Openoffice Writer, par exemple, puisse lancer des bouts d'applications.
Je ne compte pas, bien entendu, diffuser moi même un virus. Cependant, par curiosité, j'aimerai bien savoir comment ils fonctionnent.
Par exemple, en te lisant, on peut supposer que c'est un virus contre 4chan (et non contre l'utilisateur).
Modifié par Signß le 5/08/2010 à 07:34
Si, ils sont lisibles sous notepad, car il s'agit avant tout d'un script tout bête.
La manoeuvre que tu as employé n'est pas correcte pour obtenir le .hta final.
En fait il faut copier/coller l'image du navigateur vers paint puis l'enregistrer en tant que .hta avec un format particulier. (la procédure exacte décrite sur l'image quoi.)
La façon dont Windows gère les types MIME est un peu spéciale (une extension de fichier n'ayant pas de sens particulier sous d'autres OS, sous Windows elle est très importante car elle gère la façon dont le fichier est exécuté.).
De même, on peut planquer dans un bête png un peu n'importe quoi (comme par exemple des zips pour échanger sur certains hébergeurs d'images peu malins des fichiers en toute tranquillité).
Néanmoins je n'ai pas vérifié tout ça car on m'a juste donné un lien vers le script tout sur un pastebin, donc je regarderais de plus près quand j'en aurais l'occasion.
Lien vers le script sur un pastebin:
http://pastebin.com/zwYScYKC
Je pense que ce script n'est qu'une partie du bouzin, j'ai pas trop fouillé comme je l'ai déjà dis, donc bon, je m'avancerais pas trop.
Tout ça lié à la faille des LNK sous Windows, ça fait un beau ménage en tout cas. :-)
« Par exemple, en te lisant, on peut supposer que c'est un virus contre 4chan (et non contre l'utilisateur). »
Ça dépend.
On peut penser qu'il s'agit d'un bête script ayant pour but de spammer 4chan, mais on m'a fait remarquer ce matin des élèments comme:
// Get list of documents
var doclist = [];
var dirkeys = ["Desktop", "My Pictures", "Personal"];
for (var i = 0; i < dirkeys.length; i++) {
On peut donc se poser des question sur la réelle nature du script, qui peut également obtenir tout ce qu'il veut de la machine hôte (ici il obtient une liste de tes documents... ect)
Edit:
Je viens de tomber sur une autre variante du script.
Celle ci est bien plus vicieuse car elle exploite réellement les documents de l'utilisateurs: elle prend une image qu'elle recompresse et modifie à l'aide d'image magick (une suite de traitement d'image très connue sous les OS basés Unix, qui fonctionne en ligne de commande), et s'en sert pour spammer 4chan, proposant ainsi de vraie images, je pense que cela explique aussi parfois les images complétement brouillées, il s'agit d'un traitement raté de l'image qui donne ce résultat là...
Bref, je pense que du même script on doit pouvoir en trouver pas mal de variantes.