Troyen LINUX/DOS infectant FB

[w2totor]

Merci Tex !

ben, en fait, tu peux executer tout ce que tu veux en provenance du net; a condition de l'avoir PASSE A UN ANTIVIRUS A JOUR avant. (moi j'ai crée un dossier ddl sur mon bureau, je ddl tjrs dedans et je passe systématiquement a l'antivirus aprés)

pour ceux qui connaissent pas, y en a un gratos, mis a jour regulierement: http://www.free-av.com/

et pour ceux qui ont une connection haut debit, n'oubliez pas le pare feu !

[Soron_12f]

Vous m'avez pas bien compris, je ne pense pas non plus que ce soit facile que du code d'un Trojan soit placé dans un skin.
Ce que je prétends, c'est que si il existe une faille dans IL2, un client IL2 infecté (via une autre méthode) par un vers, peut envoyer au serveur ce qu'il prétend être un skin. Cette prétendue image (qui n'existe donc pas dans le cache du client infecté à l'origine mais créé au moment de l'envois, je ne parle donc pas ici d'un échange de cette chose via un download d'un skin sur un site web quelconque) envoyée pourrait utiliser cette faille pour faire petter les buffers de réception des images, remplir des zones mémoire avec des données non corrompue dans un premier temps, et remplir, remplir encore jusqu'a atteindre une zone exécutable et là placer du code mallicieux. (les données envoyées dépasseraient alors largement la taille d'un skin normallement envoyé)
Pour cela, il faut évidement qu'il y ai une faille et une grosse, et dans IL2 et sans doute aussi dans l'OS (Passage d'une zone données à une zone code)
Mais c'est non seulement tout a fait plausible mais aussi réalisable, et déjà utilisé. (Pas dans IL2 a notre conaissance)
Mais si passer par l'option download de skins ne marche pas, essayer d'exploiter le protocol du jeux en lui même est aussi imaginable voir essayr cette méthode au moment du download de la mission.
Bref a vous de me croire ou pas, c'était juste pour info de ce que m'avait fait penser ce topic.
J'en reviens au sujet de ce topic.
Je pense aussi comme Nicoléon que c'est une fausse alerte, mais je suis quand même intéressé de connaitre les tenant aboutissant de ce """" Troyen LINUX/DOS """"" (qui est certainement totalement différent de ce dont je parle) dont je n'arrive pas a trouver trace sur google.

[w2totor]

oui Soron...je suis bien d'accord avec toi MAIS pense un peu a ceux qui n'ont pas les connaissances que tu as et qui vont te lire.....tu peux les affoler !

la probabilité pour que ce genre de truc soit fesable sur IL2 est infime (voir nul, car si tu prend un fichier de skin qui n'a pas la taille définie, il2 ne le telecharge pas...)

De toute manière aucune securité informatique n'est sur a 100%, il faut bien se le dire, mais ça ne veut pas dire non plus que le pire peut arriver a tout le monde !

Il me semble qu'il ne faut pas être aussi alarmiste, ou bien prendre des precautions de langages lorsque tu postes ce genre de chose.

non ?

[Soron_12f]

Alors là d'accords. Mais personnellement je ne pense pas non plus que je dois concidérer les lecteurs de se forum comme des personnes ne pouvant pas comprendre, ni s'allarmant comme une vollée de poules à l'arrivée du loup.
Bon en relisant mon premier post on pourrais croire que je fais la vierge éffarouchée, mais il n'en est rien, perso y a pas d'anti virus chez bibi, car je trouve que ca prends trops de place inutile sur mon disque. (et c'est pas inconcient, je fais gaffe c'est suffisant)
Seulement je suis (comme mon compratriote) aware de ces chose là et demandeur d'infos, voulant être vigilant sur les possibilitées ....

pour Ck aigle noir au cas ou il zaperais tout (vi les trucs chiant quoi ) et ne lirait que la fin :
-> alors tu les ponds tes infos!

[Soron_12f]

Pour infos -> c'est technique, donc vraiment pour les curieux
http://www.linuxjournal.com/article.php?sid=6701
http://xforce.iss.net/xforce/xfdb/7743

(non le premier liens n'explique pas comment faire un virus, etc, c'est de la conaissance pas une technique de terroristes)

[lemerou]

Originally posted by Jabo Tex+Apr 23 2004, 04:11 PM--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE (Jabo Tex @ Apr 23 2004, 04:11 PM)</td></tr><tr><td id='QUOTE'> Lemerou, Totor a raison.

ce sont des betises de dire que du code virus worm ou troyan ou n importe quoi qui serait stocké dans une skin il2, serait executé par Il2FB. [/b]

Ou est-ce que tu as vu que j'ai dis ça ?

Ce que je signale c'est qu'un fichier au format apparent zip "peut" contenir un virus comme je l'ai expliqué à w2totor par MP.

<!--QuoteBegin-Jabo Tex@Apr 23 2004, 04:20 PM
En fait les fichiers qui sont zipés et stockés sur http://www.il2skins.com sont bien des fichiers zippés mais au format .zip. [/quote]
Tu connais des fichiers zippés mais qui ne sont pas au format .zip ?

Mais ils ne sont pas AUTOEXTRACTIBLES et ne sont donc pas en .exe
Donc tu ne risques rien.

Ce que je dis c'est qu'il ne faut pas cliquer bêtement sur tous les fichiers ZIP que vous voyez.
En effet, pour peu que vous n'affichiez pas les extensions de fichiers, ce que vous croyez être un fichier Zip pourrait être en fait un exe utilisant l'icône winzip.
C'est plus un principe de précaution qu'autre chose ...

A nouveau,je ne fais que répéter ce que j'ai dis à la page précédente et en plus ce n'est pas le sujet du thread...

[lemerou]

NT

[Soron_12f]

Originally posted by lemerou+Apr 23 2004, 06:30 PM--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>QUOTE (lemerou @ Apr 23 2004, 06:30 PM)</td></tr><tr><td id='QUOTE'>
<!--QuoteBegin-Jabo Tex@Apr 23 2004, 04:11 PM
Lemerou, Totor a raison.

ce sont des betises de dire que du code virus worm ou troyan ou n importe quoi qui serait stocké dans une skin il2, serait executé par Il2FB.

Ou est-ce que tu as vu que j'ai dis ça ?


[/b][/quote]

je crois quil voulais parler de ce que je disais moi.

Tu connais des fichiers zippés mais qui ne sont pas au format .zip ?

Oui les gzip, des fichiers zippé .gs mais dont le format est du ziv et pas du zip.
:P

Je suis emerdant, chiant, oui je sais :P

[Soron_12f]

bon, on papotte, on papotte, mais on s'éloigne toujours plus.

Aigle noir si tu lit un peut plus haut il y a une ptit question de rien du tout pour toi ...

[lemerou]

Originally posted by Soron_12f@Apr 23 2004, 07:48 PM
Oui les gzip, des fichiers zippé .gs mais dont le format est du ziv et pas du zip.

Ahah, bien joué :lol:
Mais dans ce cas là, tu utilises le terme zippé pour dire compressé. Parce que des logiciels qui se basent sur Zip, y en a quand meme eu un paquet et des encore plus obscurs

[Soron_12f]

[16thBD_Dylan]

mais je reve là, vous parlez toujours de ça ?? eh bien il est pas gonfflé cet aigle noir ou blanc ou je ne sais quoi , il vient il lance un truc dans le forum en pleurant maman , maman j'ai attrapé un virus , et hop il se tire pour ne plus revenir , c'est con ça je trouve !! regarde ce que ça a foutu comme bordel , la panique quoi...
bref, inspirer vous de mon post assez simpliste à pas trop prise de tete je cite ! :

je pense qu'un virus quel qu'il soit n'as pas besoin d'etre EXECUTER pour etre detecter par un anti virus, et qui ce dernier est toujours en arriere plan..ce qui veint à dire que des qu'un virus met les pieds sur le disque, il devrait normalement etre detecté par un antivirus , executer ou pas.

paceque là franchement cette histoire est parti en c....ille ! trop de tergiversations et la cerise sur le gateau le poseur de la bombe n'as meme plus donner suite, quelle consideration !, moi ça me fait chier ce genre de trucs!!!

donc moralité, faut etre equiper d'un antivirus point à la ligne !!

[Ck aigle noir]

Salut à tous ! Dylan je ne te permet pas de te moquer de mon pseudo. Ce n'était pas dans mon intention de lever une quelconque polemique en créant ce post.

Je ne surveille pas systematiquement tous les mn les post. Il m'arrive d'être libre comme vous tous et de bosser aussi pendant la semaine. Cela ne fait pas 3 mois que j'ai posté. Je pense que c'est un peu exagéré de m'accuser de vouloir allumer un feu. Je ne demande à personne de s'enflammer. Je voulais porter cette info aux connaisseurs et voir si quelqu'un avait rencontreé ce "problème" ? Si problème il y a...

C'est suite à une analyse du disque (heuristique enclenchée) que Mac Afee apres que des vers aient infecté un nouveau windows tout juste fraichement installe sur un autre disque.(Exploitation de faille RPC : erreur SVCHOST, serveur RPC non dispo donc impossible d'installer un quelconque driver, fonction recherche inoperante, Processus METAL-Rock-GE ...). Je ne sais pas comment 3 vers W32/raleka.worm W32/valla.a et w32/Nachi.worm.b ont pu infecte ce nouveau windows 2000 pro SP1 non windowsupdapté (potentiellement faillible). Ces worm n'ont pas infecté mon systeme en cours d'utilisation W2k pro SP4 complètement à jour. Tous mes telechargements (msn ou autres) sont systématiquement scanné. Cependant il m'est arrivé recemment de couper Zonealarmpro à fin de test pendant quelques minutes.



Pour Soron : Linux/Dos est le nom donné dans la fenêtre d'alerte de détection. Ce que fait ce machin : je n'en sais rien. L'explication McAfee n'est pas tres claire pour un non spécialiste. La question que je me pose : pourquoi je retrouve ce machin UNIQUEMENT dans les fichier du CACHE (4 fichiers infectés) et MISSIONS (.PROPERTIES) ? et puis comme par hasard j'ai été victime de Worms qui ont attaqué l'autre système non à jour.

Je ne saurai en dire davantage n'étant pas un expert en ce domaine.

[nicoleon]

On se calme!

La polémique n'est pas à l'origine de Ck aigle noir, Bob, machin ou Dylan je sais plus......

A+

[32 JG/EG Grix]

pour amener ma pierre a l'edifice j'utilise Bit Defender et rien trouve !! donc voila et pourtant je joue souvent avec aigle-noir donc pas de risque je pense

pour info:
Window Xp SP1 (sans plus de mise a jour)
et bit Defender mise a jour automatique

[16thBD_Dylan]

moi je ne voulais ni accusez ni me moquait de persone !je voulais juste attiré l'attention sur ce sujet qui a pris des allure de debat trop compliqué et sans reponse concrete justement ! ( il faut pensé un peu aux autre qui ne sont pas des super crack en la matiere ) et c'est pour ça que j'ai fait la remarque au CK par rapport au fait qu'il n'est plus intervenu meme pas une fois apres son premier post, ( tu vas me dire le boulo, oui mais depuis ton premier post ça fait un bail quand meme, je t'ai vu trainé pas mal de fois en plus sur HL depuis , alors pas de faux pretexte STP ) en plus qu'il est à l'origine de cette polemique, puisque tout betement c'est lui qui a lancé le sujet , faut pas chercher trop loin.
Moi ma politique est de penser aux autres et comment ce que je vais poster va etre apprehendé par des gens dont la majorité sont des neophytes voir pas connaisseur du tout en martiere de securité, de virus, de code et tout ce que vous voulez , n'oubliez pas que dans le post de CK , c'etait FB qui etait directement pointer du doigt, y a de quoi faire peur et rendre tres septique le commun des mortel joueur trankil , vous voyez le topo ??? alors c'est cette aspect la que j'ai pas aimé en PLUS comme je l'ai dit , aucune autre infos n'as plus été donné par le createur de cette "psychose" ( et quand je dis psychose , ej n'exagere pas , y a qu'à voir le nombre de poste et de lecteur sur le sujet et surtout qu'il a été blindé en moins de deux !) VOILA!

La polémique n'est pas à l'origine de Ck aigle noir, Bob, machin ou Dylan je sais plus......

tu pense vraiment que la polémique n'est pas à l'origine de CK ?? tu dois avoir raison , sinon bien joué pour " bob machin , ou dylan...moi si j'ai dis "aigle noir ou je ne sais quoi" , c'est paceque son poste remontait à la premiere page, et comme je postais sur la derniere , je me rappellais plus du pseudo exact tout simplement , faut pas etre trés suceptible quand meme ! et c'est vrai peut etre que j'etait un peu emerder j'avoue..y a de koi quand meme...

bon bref, I'm outta here les gars , ce sujet à fait taper trop de lettres et je suis persuadé qu'il a engoissé pas mal de gens ! j'en ai la certitude !

ET SANS RENCUNE !

[Ck aigle noir]

hum hum Dylan je vois tout à fait ta personnalité. Tu te permets de juger bien vite l'avis des autres personnes. Qui te parles d'angoisse? Cela a suscité de la curiosité certes mais de là à parler d'angoisse...
Je pense qu'il est bon de faire partager à la communauté des choses que l'on a remarqué au lieu de faire sa cuisine dans son coin.

Puis encore une fois ce que je fais ne te regarde nullement (''tu vas me dire le boulo, oui mais depuis ton premier post ça fait un bail quand meme, je t'ai vu trainé pas mal de fois en plus sur HL depuis , alors pas de faux pretexte STP") et n'ai pas de compte à te rendre.

Bon je crois que j'abrège là mon dernier post te concernant, tu ne vaut pas la peine que je m'attarde davantage.

[Soron_12f]

Merci de tes précisions Aigle noir.
Est-ce que c'est une infection récurente dans ces répertoires ?

Pour certains autres, évitez de regarder Urgence à la télé, ca vas vous empècher d'aller donner votre sang.

[nicoleon]

Bon, thBD_Dylan et CK aigle noir.... Chacun a dit ce qu'il avait à dire... On s'arrete là et on revient sur le sujet initial comme tente de le faire Soron ou je me sentirais obligé de fermer le topic....

Merci de votre comprehension..

A+

[16thBD_Dylan]

c'est dingue , mainetannt tu viens plus souvent , incroyable !
mais qui a parler de personalité , et puis j'ai jugé personne , j'ai dis ce que je pensais point à la ligne , et si ça te plait pas , ne lit pas ! et puis j'ai rien dis de mal , mais bon , c'est pas de ma faute si t'es suceptible , et en passant , t'es mal placé pour juger ma personalité ok ? alors ou bien tu joues le jeux quan tu posts un truc et tu l'assumes sinon ça sert à rien de larguer un post et de se tirer !!

bon, je suis le conseil de nicoleon pour m'arreter là , ça vaut meme pas le coup d'expliquer d'avantage mon point de vue !!

OUT

[Ck aigle noir]

Soron

Cela fait la deuxieme fois ! la premiere fois j'ai trouve quelques fichiers du cache infectés et maintenant un fichier PROPERTIES. Si cela vient d'un fausse alerte dû à l'heuristique de Mc Afee en faisant une analyse sans heuristique je ne devrais pas le detecté logiquemnt. Si jamais je le detecte j'enlèverai l'heuristique pour voir on verra bien.

PS: personne n'utilise Mac Afee pour vérifier?

[Soron_12f]

CK-Aigle-noir : je t'ai MP aussi.

Dylan :
- "alors ou bien tu joues le jeux quan tu posts un truc et tu l'assumes"
Tu n'est pas très correcte Dylan, si j'ai Tanné Aigle noir pour qu'il réponde c'était par humour, je ne m'attendais pas qu'il réponde à l'instant de ma demande, il pouvait bien repasser dans une semaine sans soucis. Il poste un truc pour nous informer, il a pas non plus à "assumer" comme tu dis aussi vite, coooool, je suis bien content qu'il continue a répondre déjà, chiant comme je suis .
Il ne fait pas de fausse alerte ni quoi que ce soit, il cite un problème qu'il rencontre, c'est ptet ou pas un Virus/vers ou Trojan ou autre chose, on vas bien voir... de plus c'est ptet en relation avec la détection viral citée dans une ancienne news...
On investigue ok, pas de quoi non plus fouetter un chat, ni s'affoler.
Restons calme, rappelons nous que l'on poste, et que si on se voyait pour du vrais là , on serrais en train d'en parler calmement autour d'un verre ... ou vers ? B)

[16thBD_Dylan]

bien dit soron , je suis partant pour un vert mais pas pour l'autre vers !
pas de souci j'ai deja oublié cette histoire..

enjoy yourself dude !

[w2totor]

@CK aigle noir: oui, ça serait bien utile que tu fasses un scan heuristique off, et que tu nous en indique le résultat.
(ptet juste un nom de mission ou de proprieté qui donne ça, l'heuristique etant une tentative de dectection par le sens des mots trouvés, si je me gourre pas)

Sinon, gaffe aux systemes non windowsupdatés (bon je sais que tu dois savoir): les virus qui se baladent en ce moment sont trés autonomes, suffit que la faille soit tjrs présente et que tu soit connecté au net (uniquement connecté au net), et toc infection a coup sur.

par ex: il y a 3 mois je reinstallais mon OS (XP), et je suis repartis d'un CD d'avant le SP1, ben ça a pas loupé, 1 mn de connection sur le net et toc, infecté...

[Ck aigle noir]

oui Totor à ma prochaine détection je fais un scan non heuristique. Le cas écéant je vous enverrai le bébé :lol:

Je sais pas si c'est une coincidence mais en mêm temps que je detectais ce machin ...je detectais des virus exploitant les failles RPC sur un autre disque contenant W2k pro SP1 et non à jour. J'ai installe ce systeme juste pour utiliser mon scanner qui refuse de fonctionner sur mon windows courant cad SP4...il y avait la freebox branche je sais pas s'il a ouvert internet ou apres un redemarrge de windows ces saletes ont infecte le systeme....c'est la premiere fois que je vois ça sur un systeme tout neuf avec disque formaté fraichement : trop fort !!! par où ces saletes ont pu passer ? le systeme courant n'a absolument pas été touché.