Avast WEBforum

Non-English Zone => Francais => Topic started by: wchris on November 05, 2013, 09:23:30 PM

Title: faux site java
Post by: wchris on November 05, 2013, 09:23:30 PM
Avast bloque t'il ce site http://jav.us.com/downloadclick/FR/chrome.php ?

curieux de savoir quel est le vers caché derrière. (j'ai fermé la fenêtre, java est dejà à jour sur ma machine)

PS: ne cliquez pas sur le lien si vous ne savez pas ce que vous faites. merci.
Title: Re: faux site java
Post by: Moko on November 06, 2013, 09:40:54 AM
Très bonne question, je l'ai très souvent ce lien qui s'ouvre de façon intempestive. Bizarrement AVAST n'y réagit jamais...
Title: Re: faux site java
Post by: jefferson sant on November 06, 2013, 11:20:39 AM
Bonjour.

ce site est faux, qui plairait à modifier l'url mis
hxxp.seulement la bannière lorsque vous entrez, vous pouvez déjà voir qu'il est
PUP(Potentially Unwanted Programs)


(http://i39.tinypic.com/2iijw2w.jpg)

https://www.virustotal.com/fr/url/b394d9d088e0636c51e32a5e45906c033362fc8f88965baf0052cc67c3753493/analysis/1383731419/

https://www.virustotal.com/fr/file/07ee61c2baa9d910bd80dd67083bb720dde77886efe8b6fb32292dea07fc220d/analysis/1383731423/

http://www.google.com/safebrowsing/diagnostic?site=dlp.123mplayer.com


http://urlquery.net/report.php?id=7467401

Zulu scaler  100% malveillants http://zulu.zscaler.com/submission/show/a106dc08ed1ae2c314db1b17c35ed062-1383731584

http://wepawet.iseclab.org/view.php?hash=eaf0d000d29a0c3054109738c1be7d17&t=1383731588&type=js
Title: Re: faux site java
Post by: fwed on November 12, 2013, 10:00:34 PM
Bonjour,

Je rencontre récemment des problèmes avec ce site. Je ne sais toujours pas à l'heure actuelle si mon ordinateur est contaminé ou pas.

Description du problème : lors de la navigation je suis parfois redirigé vers un site qui m'indique vouloir mettre à jour Java.
Ce qui est étrange c'est que, après la redirection, le bouton "précédent" de mon navigateur devient inactif, alors que j'ai bel et bien un historique de navigation sur l'onglet concerné.

[ne pas cliquer sur les liens qui suivent sans être un utilisateur avancé]

J'ai remarqué que l'URL du site n'était pas toujours similaire, voici quelques exemples (je me limite au nom de domaine, le reste de l'URL étant à priori personnalisée selon la langue ou la session) :

Cela dit, le site final ressemble toujours à la même chose :
(http://i.imgur.com/cd8tDUy.png)

Le clic sur "OK" ne déclenche rien si ce n'est la fermeture de la popin. On peut ensuite cliquer sur "Accepter et démarrer le téléchargement libre" ce qui déclenche le download d'un fichier Java7.exe, à ne pas exécuter évidemment. Ce fichier téléchargé vient de l'URL dlp.123mplayer.com dont le site principal semble proposer un Movie Player, qui est très certainement un virus également : 123mplayer.com

Pour une raison que je n'arrive pas à identifier, il semblerait que les pages profondes du site picstopin.com me redirigent systématiquement sur le site frauduleux, exemple : http://www.picstopin.com/1024/girl-in-love-youre-beautiful/http:%7C%7C1*bp*blogspot*com%7C-m9hpdSc42mU%7CTZZCZvi8f4I%7CAAAAAAAAACA%7Cvfd6hTPBh3s%7Cs1600%7Cbeautiful%20waterfall*jpg/ (http://www.picstopin.com/1024/girl-in-love-youre-beautiful/http:%7C%7C1*bp*blogspot*com%7C-m9hpdSc42mU%7CTZZCZvi8f4I%7CAAAAAAAAACA%7Cvfd6hTPBh3s%7Cs1600%7Cbeautiful%20waterfall*jpg/)

Il faudrait qu'un expert analyse le code de cette page pour voir ce qui cloche.
Si cette page ne vous redirige pas vers la fausse mise à jour Java, ouvrez votre navigateur en "session privée" ("CTRL + SHIFT + N" pour la plupart des navigateurs), et retournez sur l'adresse ci-dessus.

Je pense que la redirection n'est pas toujours faite car le vers détecte si vous avez déjà visité le site, et ne vous l'impose qu'une seule fois pour ne pas être détecté facilement.

Pourrions-nous avoir l'avis d'un expert ?

Vous remerciant par avance !
fred
Title: Re: faux site java
Post by: jefferson sant on November 13, 2013, 08:50:11 PM

Je pense que la redirection n'est pas toujours faite car le vers détecte si vous avez déjà visité le site, et ne vous l'impose qu'une seule fois pour ne pas être détecté facilement.

Pourrions-nous avoir l'avis d'un expert ?

Vous remerciant par avance !
fred


le site semble propre venez de télécharger est malveillant
mais apparemment, n'a pas mis le hxxp utilisateur à
courir le risque d'infection
avast détecte Win32:DomaIQ-AP [PUP]

Title: Re: faux site java
Post by: Laela91 on May 09, 2014, 03:26:21 PM
Bonjour,


Je viens de me faire avoir par une soi-disante fenêtre Java telle que citée plus haut, m'informant qu'il fallait en gros que je fasse une mise à jour.
D'ordinaire je suis très méfiante et je ne fais rien, mais hélas mon action s'est justifiée par le fait qu'il y a quelques jours, j'ai dû réinitialiser mon ordi car la carte Wifi ne marchait plus du tout, et seule la réinitialisation a fait qu'elle est revenue.

Mais du coup certains logiciels ayant "sauté" à cause de cette manipulation, Java y compris, j'ai cru bien faire et je suis manifestement tombée dans le panneau.
AVAST mon anti-virus a immédiatement détecté cette sal**** qui en plus de m'avoir forcé le téléchargement de trucs inutiles, m'a envoyé 4 Troyans (WIN32 : Eorezo-CG [PUP] / WIN32 : Eorezo-CD [PUP] / WIN 32 : IBryte-BY [PUP] / WIN 32 : PUP-gen [PUP], et me faisait apparaître des fenêtres que je n’avais pas demandé vers je ne sais où …
J’ai immédiatement viré les programmes et autres toolbars inutiles auto-installés via la désinstallation des programmes du panneau de configuration, mais pour ce qui est des Troyans (WIN32 : Eorezo-CG [PUP] / WIN32 : Eorezo-CD [PUP] / WIN 32 : IBryte-BY [PUP] / WIN 32 : PUP-gen [PUP], le scan au démarrage est en cours pour corriger l’infection.
En dehors des Troyans, j’ai aussi deux messages m’indiquant que les archives d’installateur sont corrompues sur le fichier C.
Qu'est-ce que cela signifie ?

Que faire de plus ?
Cela suffira-t’il a virer ces saletés de mon PC ?
Espérant que qqn pourra me répondre assez rapidement.

Merci d’avance !
Title: Re: faux site java
Post by: jefferson sant on May 09, 2014, 11:03:53 PM
a été victime d'une fausse installation java

•Télécharge Adwcleaner (de Xplode) sur ton Bureau

http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner

•Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista,

•Choisis l'option Scanner

•Choisis l'option Nettoyer

•Accepte l'avertissement en cliquant sur OK

(http://upload.sosvirus.net/images/2013/11/26/Nettoyermise_a_jourredimentionn.png)

•Accepte les avertissements/informations en cliquant sur OK

•Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC

=========prochaine===================

désactiver temporairement votre antivirus, antispyware et pare-feu, pour ne pas provoquer des conflits.
Télécharger et enregistrer sur le bureau. Double-cliquez pour exécuter l'outil de suppression junkware (JRT).

pour plus d'instructions

http://www.bleepingcomputer.com/download/shortcut-cleaner/

http://thisisudax.org/downloads/JRT.exe

(http://i48.tinypic.com/1268r49.png)

  * Sous Windows Vista et Windows 7:

  Faites un clic droit sur ​​le JRT.exe et sélectionnez

(http://i44.tinypic.com/oaq1so.jpg)

L'outil va commencer à examiner votre système. Soyez patient car cela peut prendre un certain temps en fonction de la quantité d'articles à examiner.

  A la fin, un journal s'ouvre. Il est sauvegardé sur le bureau avec le nom JRT.txt.

  Sélectionnez, copiez et collez le contenu de ce journal dans votre prochaine réponse.




Désactiver temporairement votre antivirus
cliquez sur ce lien (http://i.imgur.com/UvTryNs.png)
http://www.eset.com/fr/online-scanner-popup/ pour ouvrir ESET Online Scanner dans une nouvelle
fenêtre .
Cliquez sur ce bouton

Pour les navigateurs alternatifs : ( Si vous utilisez Internet Explorer , ignorez cette étape ) (http://www.bleepstatic.com/fhost/uploads/0/esetsmartinstaller_enu.png)

esetsmartinstaller_enu.png

1.Cliquez esetsmartinstaller_enu.exe
 pour télécharger le intaller ESET Smart .
Enregistrez-le sur votre bureau .

2.Double cliquez sur l'icône sur votre bureau .

Cochez «Oui , j'accepte les Conditions d'utilisation . "
Cliquez sur Démarrer .
Accepter tout avertissement de sécurité de votre navigateur .
Dans les paramètres de numérisation , consultez " Archives Scan" et " supprimer les menaces trouvées "
Cliquez sur Paramètres avancés et sélectionnez les options suivantes :

◦ Balayez les applications potentiellement indésirables
◦ de numérisation pour les applications potentiellement dangereuses
Activer  technologie Anti -Stealth


Il met à jour lui-même, et de scanner votre ordinateur . Soyez patient , le processus peut prendre des heures .
Lorsque l' analyse est terminée , cliquez sur Liste des menaces
Copiez et collez le contenu dans votre prochaine réponse .
Remarque: Si rien n'est trouvé , aucun journal n'est généré .
Cliquez sur Retour .
Cliquez sur Terminer .