Troyen LINUX/DOS infectant FB

IL-2 1946

Topic author
Ck aigle noir
Nouvelle Recrue
Nouvelle Recrue
Messages : 53
Inscription : 20 mai 2003

#1

Message par Ck aigle noir »

Salut à tous je signale à la communauté la deuxième apparition de ce troyen dans FB. La premiere fois je l'ai trouve dans plusieurs fichiers du cache et aujourd'hui dans MISSIONS/NET/NGEN

Bizarre d'où peut -t-il bien venir?

Ce qu'il fait je n'en sais rien. Macaffee ne dit pas grand chose !

nicoleon
Jeune Pilote
Jeune Pilote
Messages : 1588
Inscription : 18 février 2002

#2

Message par nicoleon »

J'ai aucune trace de ce truc...... :)

A+
Merde! La garde meurt mais ne se rend pas!
Maréchal Cambronne

Il faut vouloir vivre et savoir mourir.
Napoleon
Image
Au bon vouloir d'LDLC, Prochainement : I7 2600k - 8 Go DDR3 - 590 GTX - SSD C300 - etc mes genoux... - Win Seven 64
Avatar de l’utilisateur

Warlordimi
Pilote émérite
Pilote émérite
Messages : 9128
Inscription : 15 mars 2004

#3

Message par Warlordimi »

Faudra que je checke, j'ai des ralentissements bizarres, du stutter et autres joyeusetés depuis quelques jours... A vérifier! :angry:
Image

-Les pilotes de chasse font des films, les pilotes de bombardiers ecrivent l'histoire!!!;
-Quand les allemands volent, les alliés tombent. Quand les britanniques volent, les allemands tombent. Et quand les américains volent, tout le monde tombe!!!

16thBD_Dylan
Apprenti-Mécano
Apprenti-Mécano
Messages : 251
Inscription : 18 avril 2004

#4

Message par 16thBD_Dylan »

eh bien zut , flute, mince :unsure: !!! BON merde à la fin !!! il manquait plus que ça , des saloprie dans FB !! :angry:
pour le moment mon kaspersky n'as rien trouvé, mais il faut se mefier .
Bizarre d'où peut -t-il bien venir?
eh bien tout simplement des disques dures des autres joueurs , y a forcement une operation d'upload qui se fait et c'et surrement comme ça que tu l'as chopé, que ça soit dans le cache en uploadant des skins comptaminées ou dans les fichier missions de la meme maniere.

Ce qu'il fait je n'en sais rien. Macaffee ne dit pas grand chose
ben, c'est pas nouveau ce qu'il pourrait faire le troyen, comme tout ces freres c'est l'accé au PC infecté apres s'il reussi il pourra faire ce qu'il veut....de toute façon il doit pas rendre service ! ;)

Soron_12f
Mécano au sol
Mécano au sol
Messages : 514
Inscription : 16 avril 2002

#5

Message par Soron_12f »

Troyen kézako? Ha! Trojan!! :rolleyes:

Tu a caza Ou iMesh ?

Tu pourrais donner plus de détails sur ce que tu a découvers ou comment, et avec quoi ? Merci.

Soron_12f
Mécano au sol
Mécano au sol
Messages : 514
Inscription : 16 avril 2002

#6

Message par Soron_12f »

Ca y est j'ai mis la main sur ton trojan.
En effet ca n'a rien a faire dans IL2, Oleg la dit et redit, pas de plane après 46.

Trojan Plane

Sans déconner maintenant, plus d'info sont le bien venu, car c'est éventuellement plausible un Trojan(*) via IL2, vu que l'on place en toute impunité du code de sa machine vers les machines des autres ...

Première parade serais d'interdire le download des skins. mais si une faille existe aussi dans le protocol d'échange avec le Serveur de jeu, la seconde est de ne plus jouer Online.

Donc comment tu détecte SVP. tout les détails, un max.

Et pourquoi associer Linux ?

(*) quoique, ce serait plutôt un vers qu'un trojan.

16thBD_Dylan
Apprenti-Mécano
Apprenti-Mécano
Messages : 251
Inscription : 18 avril 2004

#7

Message par 16thBD_Dylan »

Donc comment tu détecte SVP. tout les détails, un max.

ben il suffit d'avoir une bon antivirus qui detecte les chevaux de trois, kaspersky s'est classé premier dans un comparatif sur le magazine l'ordinateur individuel du mois dernier , bref, faut commencer par avoir un antivirus et puis apres faut faire le menage...

w2totor
Mécano au sol
Mécano au sol
Messages : 450
Inscription : 28 décembre 2003

#8

Message par w2totor »

Originally posted by Soron_12f@Apr 21 2004, 09:51 PM
vu que l'on place en toute impunité du code de sa machine vers les machines des autres ...

HALTE LA !

En aucun cas du CODE n'est envoyé de sa machine vers celle des autres !

les skins sont des données.

Avant d'affoler tout une communauté, et de commencer a propager une rumeur qu'on aura du mal a éradiquer, je pense qu'il faut s'assurer que le "virus" en question en est bien un, et pas une fausse alerte donnée par un antivirus comme cela peut malheureusement arriver.


@aigle noir: quel est le message exact renvoyé par macaffe ?

(notez au passage:
1) qu'aucun autre antivirus n'a renvoyé de message d'infection
2) que c'est ptet la machine d'aigle noir qui est infectée, mais pas forcement par il2
)
C6_w2totor
_________________________________________________

16thBD_Dylan
Apprenti-Mécano
Apprenti-Mécano
Messages : 251
Inscription : 18 avril 2004

#9

Message par 16thBD_Dylan »

moi j'ai juste raisoné logiquement, et je me suis dis comme il y a une operation download/upload qui se fait , que ça soit pour les skins ou les missions..alors forcement qu'il y a des risques de contamination dans le cas où l'oridinateur dans lequel tu pioches serait infecter , voilà mon resonement . sinon , pour cette hsistoire de code , j'avoue que je suis un peu depassé et septique à la fois :huh: , voilà !

chears !

w2totor
Mécano au sol
Mécano au sol
Messages : 450
Inscription : 28 décembre 2003

#10

Message par w2totor »

c tres simple: pour qu'un virus se propage, il faut

- que le virus se propage (soit par emal, soit par telechargement)
- il faut que le code du virus soit executé la ou il a été transmis: par ex lorsque tu reçois un mail infecté, si tu clic sur la piece jointe, le virus s'execute.

la, en l'occurence, que ce soit les missions ou les skins qui peuvent s'échanger par il2 , ce sont des fichiers de données: ils ne sont pas executés sur le Pc qui les reçois, ils simplement lu et interprétés par le jeu pour faire des beaux graphiques sur les navions !
C6_w2totor
_________________________________________________

lemerou
Apprenti-Mécano
Apprenti-Mécano
Messages : 383
Inscription : 02 juillet 2002

#11

Message par lemerou »

Originally posted by w2totor@Apr 22 2004, 07:14 PM
la, en l'occurence, que ce soit les missions ou les skins qui peuvent s'échanger par il2 , ce sont des fichiers de données: ils ne sont pas executés sur le Pc qui les reçois, ils simplement lu et interprétés par le jeu pour faire des beaux graphiques sur les navions !
C'est vrai à cette réserve près que les missions et les skins sont quasiment toujours zippés ou rarés.
Et donc exécutés et donc pourraient potentiellement être des sujets à risques.

16thBD_Dylan
Apprenti-Mécano
Apprenti-Mécano
Messages : 251
Inscription : 18 avril 2004

#12

Message par 16thBD_Dylan »

je pense qu'un virus quel qu'il soit n'as pas besoin d'etre EXECUTER pour etre detecter par un anti virus, et qui ce dernier est toujours en arriere plan..ce qui veint à dire que des qu'un virus met les pieds sur le disque, il devrait normalement etre detecté par un antivirus , executer ou pas.

Soron_12f
Mécano au sol
Mécano au sol
Messages : 514
Inscription : 16 avril 2002

#13

Message par Soron_12f »

Totor je suis bien d'accords avec toi et pour cette raison je demande à Aigle-noir plus d'infos, genre quel anti-virus, quel est le message cité par celui-ci, une copie du journal de la détection du virus, pourquoi il met Linux dans le titre.
Et Donc Dilan je suis pas du tout d'accords avec ton post disant qu'il suffit d'un anti-virus, car c'est pas vrai comme l'explique Totor.
Donc plus d'info s'il vous plait.

Maintenant totor, on parle de Trojan mais je dirais plutôt de vers (worms) et pas de virus. Donc le format de la propagation n'est pas le même. Et via les Skins cela peut se propager, je ne veux pas allarmer mais c'est tout a fait plausible.. et je dirais tentant ... donc vraiment possible.

Quand tu dit qu'il n'y a pas de code dans les skins c'est en effet la théorie. Maintenant comment s'en servir pour propager la sauce ? utiliser une format de skins biscornut auquel IL2 n'est pas préparé, ou en fait mal préparé. Si IL2 est mal protégé contre un format de skins mallicieux, une machine infectée qui envois le skins, envois en fait un prétendu skins qui fait petter la zone données IL2 et monte écraser le code, et du code embarqué dans le sois-disant skins remplace directement en mémoire le code en cours d'exécution de IL2. Ce nouveau code continue d'exécuter IL2 mais en même temps en profite pour se propager de joueurs en joueurs en se multipliant de la même façon... (comme un vers purulant) ... mais bon si c'est pas réalisable avec le partage des skins, on peut toujours essayer en corrompant le protocol du jeu directement..... c'est peut-être plus facile..

voilà à quoi je pensais. mais bon c'est clair que c'est qu'une idée de principe que m'a fait penser ce topic...

maintenant c'est clait qu'il faut un peut plus d'infos sur ce qui est détecté SVP.

Soron_12f
Mécano au sol
Mécano au sol
Messages : 514
Inscription : 16 avril 2002

#14

Message par Soron_12f »

Originally posted by 16thBD_Dylan@Apr 22 2004, 06:32 PM
je pense qu'un virus quel qu'il soit n'as pas besoin d'etre EXECUTER pour etre detecter par un anti virus, et qui ce dernier est toujours en arriere plan..ce qui veint à dire que des qu'un virus met les pieds sur le disque, il devrait normalement etre detecté par un antivirus , executer ou pas.
juste

16thBD_Dylan
Apprenti-Mécano
Apprenti-Mécano
Messages : 251
Inscription : 18 avril 2004

#15

Message par 16thBD_Dylan »

au moins une reconnaissance...pendant un moment j'ai cru que j'ai plus rien à faire ici.... :blink:
bon , c'etait ça mon idée.. :)

cheers!

Soron_12f
Mécano au sol
Mécano au sol
Messages : 514
Inscription : 16 avril 2002

#16

Message par Soron_12f »

sans soucis, c'est juste que tu me disais de prendre un anti-virus et c'était pas ce que je voulais car avec beaucoups de chance je trouverais pas la saloperie chez moi pour avoir plus d'info

w2totor
Mécano au sol
Mécano au sol
Messages : 450
Inscription : 28 décembre 2003

#17

Message par w2totor »

Originally posted by 16thBD_Dylan@Apr 22 2004, 06:32 PM
je pense qu'un virus quel qu'il soit n'as pas besoin d'etre EXECUTER pour etre detecter par un anti virus, et qui ce dernier est toujours en arriere plan..ce qui veint à dire que des qu'un virus met les pieds sur le disque, il devrait normalement etre detecté par un antivirus , executer ou pas.
oui,oui c juste.


mais en l'occurence je pense qu'il est plus probable que ce soit une fausse detection de virus (par analyse euristique, ou qu'on soit retombé par hasard , mais vraiment par hasard sur une patern de virus) plutot que sur quleque chose de dangeureux.


@lemerou: un fichier raré ou zippé n'est pas executé ; c'est winrar ou winzip qui sont executé, puis les données derarées ou desippées sont utilisées alors...comme des données.

@soron: effectivement, le processus que tu decrit est souvent utilisé par les vers ou les virus pour se propager.
Mais en ce qui concerne IL2 (le sujet de départ), essaye de creer un fichier skin de taille plus importante et de voir ce que ça donne..en l'occurrence nada, il2 ne le prendra pas. donc ton hypothese, si elle reste realiste pour un OS tel que windows, ne l'es pas du tout ds le cas qui nous précoccupe; a savoir il2 permet-il de propager un virus par les skins et/ou les missions.


ma seule intention en postant ds ce topic n'était que d'éviter que se propage une rumeur, tel un feu de paille, plus facile a allumer qu'a eteindre.
C6_w2totor
_________________________________________________

Amigalopin
Pilote Confirmé
Pilote Confirmé
Messages : 3895
Inscription : 10 août 2001

#18

Message par Amigalopin »

Faites tourner l'antivirus en mode "heretic".... mais paniquez pas trop, car ce mode retourne souvent de fausses infections, qu'il est bon de vérifier au cas pas cas.

C'était mes 50 Eurocents.... :D

mais, blague dans le coin, c'est vrai qu'il faut faire gaffe...


Par contre, je me demande si il est pas possible d'exécuter un virus via un skin.

On télécharge un skin, qui lui, va être exécuté par IL-2
... jusque là, je ne pense pas me tromper. (arrêtez-moi dans le cas contraire)

Si, dans le fichier du skin, un petit malin à remplacé l'image par du code malveillant, et qu'il rempli le fichier skin pour avoir la taille d'origine.

Que va faire Il-2?
Taille est correcte, mais skin ne correspond pas à une image....

C'est juste une supposition.

Mais pour faire ça, faut qu'un programmeur de talent de virus veuille s'en prendre aux simmers de IL-2..... je doute que ce soit leurs préoccupations......

Conclusion:
=> je doute qu'un virus arrive à se propager vua les skins.


.... ouf!!! Z'avez eu chaud, non?
[SIGPIC]Best Ever HardCore 737 Simulator[/SIGPIC]

lemerou
Apprenti-Mécano
Apprenti-Mécano
Messages : 383
Inscription : 02 juillet 2002

#19

Message par lemerou »

Originally posted by w2totor@Apr 23 2004, 02:10 AM
@lemerou: un fichier raré ou zippé n'est pas executé ; c'est winrar ou winzip qui sont executé, puis les données derarées ou desippées sont utilisées alors...comme des données.
Je sais bien.
Mais il est classique de camoufler un virus executable en faux fichier zip.
L'utilisateur clique dessus et l'execute sans faire attention.
Une erreur est générée mais en attendant le virus a été exécuté.
D'où risque.

Ce que je voulais dire, c'est les fichiers "lançant des executables" introduisent un danger qui n'est pas présent avec des simples données.
Or toutes les skins et missions sont zippées.
Avatar de l’utilisateur

Warlordimi
Pilote émérite
Pilote émérite
Messages : 9128
Inscription : 15 mars 2004

#20

Message par Warlordimi »

J'en connais au moins un! L'espèce de Gollum dont je ne citerai pas le nom, responsable de divers hacks d'Il2center et de HL il fut un temps. Responsable aussi du plagiat de simhq....
Image

-Les pilotes de chasse font des films, les pilotes de bombardiers ecrivent l'histoire!!!;
-Quand les allemands volent, les alliés tombent. Quand les britanniques volent, les allemands tombent. Et quand les américains volent, tout le monde tombe!!!

nicoleon
Jeune Pilote
Jeune Pilote
Messages : 1588
Inscription : 18 février 2002

#21

Message par nicoleon »

Ce que je voulais dire, c'est les fichiers "lançant des executables" introduisent un danger qui n'est pas présent avec des simples données.
Or toutes les skins et missions sont zippées.
D'apres le post initial, c'est dans le net cache que le troyen a ete detecté... Or il2 ne se sert pas de winrar ou de winzip pour transmettre skins et missions... J'pense plus pour une fausse alerte qu'autre chose.... Du moins, c'est pas FB qui l'a transmis... Y'avait bien eu le probleme des tag dans certains mp3, mais dans un bmp ou un fichier plat comme c'est le cas ici, je vois vraiment pas....

A+
Merde! La garde meurt mais ne se rend pas!
Maréchal Cambronne

Il faut vouloir vivre et savoir mourir.
Napoleon
Image
Au bon vouloir d'LDLC, Prochainement : I7 2600k - 8 Go DDR3 - 590 GTX - SSD C300 - etc mes genoux... - Win Seven 64

w2totor
Mécano au sol
Mécano au sol
Messages : 450
Inscription : 28 décembre 2003

#22

Message par w2totor »

Originally posted by Amigalopin@Apr 23 2004, 07:52 AM
Par contre, je me demande si il est pas possible d'exécuter un virus via un skin.

On télécharge un skin, qui lui, va être exécuté par IL-2
... jusque là, je ne pense pas me tromper. (arrêtez-moi dans le cas contraire)

Si, dans le fichier du skin, un petit malin à remplacé l'image par du code malveillant, et qu'il rempli le fichier skin pour avoir la taille d'origine.

Que va faire Il-2?
Taille est correcte, mais skin ne correspond pas à une image....

C'est juste une supposition.

"On télécharge un skin, qui lui, va être exécuté "
c'est la l'erreur de raisonnement: NON un fichier skin n'est pas executé !!!

il est chargé ds la mémoire du jeu, et la le jeu prend les données du fichier et les appliques sur la surface de l'avion.
si le fichier skin contenais du code, le code se retrouverais appliqué sur la surface de l'avion pour donner surement n'importe quoi comme couleur !

je vais essayer de prendre un exemple:

Prend n'importe quel fichier .exe (notre supposé virus), renomme le en .txt (la skin); on va tenter de le prendre en données: clique 2 fois dessus.
L'OS vois l'extension ".txt", il lance le notepad, charge le contenu du fichier, et la, l'interprete comme des données texte (c'est ça qu'il attend): resultat tu as n'importe quoi dans ton document texte, et .exe initial n'a pas été interprété comme du code, mais comme des données texte.

Pour moi impossible de propager un virus par les skins et les missions.


@lemerou:
Mais il est classique de camoufler un virus executable en faux fichier zip.
L'utilisateur clique dessus et l'execute sans faire attention.
NON plus !
il faut tjrs que l'utilisateur aprés avoir dézippé, EXECUTE le fichier de dezippé. or les skins et les missions, une fois dézippés, ne sont pas EXECUTES mais interpretés comme des données (tjrs le même truc!)
ça n'est pas le fait de dezipper qui active le virus, c'est le fait d'executer le fichier , une fois qu'il est dezippé.
C6_w2totor
_________________________________________________

lemerou
Apprenti-Mécano
Apprenti-Mécano
Messages : 383
Inscription : 02 juillet 2002

#23

Message par lemerou »

Originally posted by w2totor@Apr 23 2004, 12:07 PM
il faut tjrs que l'utilisateur aprés avoir dézippé, EXECUTE le fichier de dezippé. or les skins et les missions, une fois dézippés, ne sont pas EXECUTES mais interpretés comme des données (tjrs le même truc!)
ça n'est pas le fait de dezipper qui active le virus, c'est le fait d'executer le fichier , une fois qu'il est dezippé.
w2totor,
Je crois bien que tu n'as pas compris ce que je voulais dire.
De toutes façons, ce n'est pas bien grave.
Comme nicoleon l'a très justement souligné, la situation dont je parlais n'est pas celle du posteur initial donc c'est hors sujet.
Toutefois, si ça t'intéresse, on peut continuer cette conversation par MP plutôt que polluer le topic.

Jabo Tex
Apprenti-Mécano
Apprenti-Mécano
Messages : 233
Inscription : 06 février 2003

#24

Message par Jabo Tex »

Lemerou, Totor a raison.

ce sont des betises de dire que du code virus worm ou troyan ou n importe quoi qui serait stocké dans une skin il2, serait executé par Il2FB.

Totor l a dit et c est vrai, du code de virus ou du code de bmp c est lka meme chose : ce sont des zeros et des uns.

Simplement dans le cas de IL2FB, comme il s attend a recevoir un bmp il va interpreter les DONNES du fichier de skin comme etant une image de type BMP.

Donc un code virus sera interpreté comme une image (image débile puisque les couleurs seront en fait le code du virus).

Mais c est IMPOSSIBLE que IL2FB fasse tourner un virus en essayant d appliquer une texture telechargée automatiquement.

IMPOSSIBLE.



Pour le coup des skins et des mission la aussi vous melangez pleins de choses.
Y a deux cas :
1-le telechargement automatique des skins de FB quand on joue online
2-le telechargement de skins sur un site web


le cas 1 nous l avbons vu, impossible qu un virus soit executé.
Le cas 2 , deux points

a) le fichier est zipé au format .zip
B) le fichier est zipé au format .exe autoextractible

le cas a) : encore une fois Totor a raison,; si du code virus se trouve à la place de la skin alors winzip n arrivera pas a dezipper les DONNEES du ficghier zip.
Il y aura un message d erreur et AUCUN VIRUS ne sera lancé.

le cas B) si un sale type a remplacé sur un site web un fichier .exe extractible de skin par un fichier virus executable et bien si vous le lancez votre PC SERA INFECTE.



Les morales de l histoire :
1-Totor sait de quoi il parle, vous devriez lui porter plus de crédit.

2-NE lancez JAMAIS de fichier .exe téléchargé sur le web.(meme si un copain vous dit de le faire).
Tant qu on y est ne lancez pas de fichiers .COM .BAT et si j en oublie, te gene pas pour completer Totor.
Image

Jabo Tex
Apprenti-Mécano
Apprenti-Mécano
Messages : 233
Inscription : 06 février 2003

#25

Message par Jabo Tex »

Originally posted by lemerou@Apr 23 2004, 09:26 AM
Or toutes les skins et missions sont zippées.
En fait les fichiers qui sont zipés et stockés sur http://www.il2skins.com sont bien des fichiers zippés mais au format .zip.

Mais ils ne sont pas AUTOEXTRACTIBLES et ne sont donc pas en .exe
Donc tu ne risques rien.

Quant aux fichier skins dont nous parlions tous, a savoir ceux de FB qui sont envoyés par netcache et bien ceux la ne sont pas zippés du tout.
Ce sont de betes bmp, tout simplement.
Image
Répondre

Revenir à « IL-2 1946 »