Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Virus]W32/Xorala

tangui

Par tangui
dans Internet & Réseaux

 Partager

Messages recommandés

tangui Godlike Member

tangui

Posté(e)
  • Auteur
Posté(e)

c pas zeb....

je viens d'ouvrir une page d'un site antivirus et l'alerte c mise en route. Ca passe par ie.

a moins que cela provienne d'une pub... vois pas

EDIT: c un virus assez recent: Discovered: May. 10, 2003

rojni Extrem Member

rojni

Posté(e)
Posté(e) (modifié)

Sous XP maj, ZA activé, Antivir activé et maj, IE6 maj, pas de pub, pas de popup, il n'y a que la page 5 qui me fait une alerte virus. Lorsque j'ai cliqué sur répondre également. Il me détecte ça:

17/06/2003,02:02 WARNING: Contains code of the Windows virus W32/Xorala!

 H:\FICHIERS TEMPORAIRES WINDOWS NE PAS TOUCHER_ NE PAS DEPLACER\TEMP\TEMPORARY INTERNET FILES\TEMPORARY INTERNET FILES\CONTENT.IE5\IPC1ODSH\INDEX[6].PHP

 

J'ai scanné la partition des temp... rien.

 

edit: Par contre rien sur la page six. :P

Modifié par rojni
tangui Godlike Member

tangui

Posté(e)
  • Auteur
Posté(e)

je pense de plus en plus a une pub... car qd on bloque le virus, pas de pub dans les encarts prevus a cette effet

qui utilise zebVIP ??

Yann Godlike Member

Yann

Posté(e)
Posté(e)

Rien de détecté. De plus, le serveur est sous une redhat et non sous NT, donc je ne vois pas comment un truc pareil aurait pu s'y loger...

O.Fournier Godlike Member

O.Fournier

Posté(e)
Posté(e) (modifié)

Bonjour ce matin.

 

1ère vérif : j'ouvre mon IE6 SP1 qui est toujours nettoyé à chaque fermeture : répertoire c:\windows\... TIF, Cookies, Temp, et même Internet logs, recent, historique, etc ..., etc...(voir ma petite astuce

http://forum.zebulon.fr/index.php?act=ST&f=18&t=28940 ).

 

Impeccable tout va bien sur la page générale de "Forum Zebulon.fr". Je vais lire Yann sur la page 6 de ce post. Aucun problème !

 

2ème vérif : Puis je clique sur page 5 de ce poste : V'LAN idem, voilà notre W32/Xorala qui recommence à me coller un Index[2].php dans un des caches !

 

> Réponse à Yann : pas de VIP, confirmation d'une seule fenêtre à la fois, pas d'autre connection sur un autre site, bref rien d'explicable à part une faille IE6 exploitée. Absolument rien sur les autres sites ni d'ailleurs sur toutes les autres pages de Zebulon !!!

 

Pour mémoire et ce message ici page 6 :

 

" [Temps d'Exécution du Script: 0.2361 ] [ 12 requêtes utilisées ] [ GZIP Activé] "

Modifié par O.Fournier
O.Fournier Godlike Member

O.Fournier

Posté(e)
Posté(e) (modifié)

3ème vérif : je suis retourné page 5 : idem : alerte W32/Xorala.

Et en bas de cette page 5 :

[ Temps d'Exécution du Script: 0.1268 ] [ 11 requêtes utilisées ] [ GZIP Activé ]

 

Vais voir page 4 ...

 

Reédition de ce même messager (voir les heures) :

 

Rien page 4 ! Retour page 6 : Rien. Vais voir page 5 ...

Modifié par O.Fournier
O.Fournier Godlike Member

O.Fournier

Posté(e)
Posté(e)

Page 5 : Idem, Alerte W32/Xorala -> même ¡ndex[2].php dans même cache (désolé je le supprime illico à chaque fois) !!!

 

Ce serait donc un des scripts de cette page

 

http://forum.zebulon.fr/index.php?act=ST&f...5&t=30485&st=40

 

qui enverrait la bête par le port ouvert dans les deux sens d'IE6 ! Et bien sûr les pare-feus ne peuvent rien signaler ...

 

Dernière vérif : j'ai ouvert une 2ème fenêtre IE et suis allé sur cette page 5 tout en gardant ce message page 6 à l'édition : Alerte et tout pareil !

 

J'arrête là, excuses si c'est encore flou. :P

Y@kuz@ Godlike Member

Y@kuz@

Posté(e)
Posté(e) (modifié)

c'était peut être dans la signature d'un membre , si tu affiches les signatures , ton browser fait des requêtes à tir larigo vers les ftp respectifs non ?

ca executerai le code , c'est qu'une supposition :-(

 

ben je comprends pas j'ai IE et pas d'anti virus de lancé quand je suis sur Zeb donc je devrais en avoir plein le HD, et là je suis sous Moz depuis quelques jours et avp lancé depuis ce matin, aucun truc suspect ... soit je suis une passoire :-P soit je sais pas trop :P

 

presque envie de lancer securiser.com

Modifié par Y@kuz@
O.Fournier Godlike Member

O.Fournier

Posté(e)
Posté(e)

Non, non, ça le fait sans autre manip que d'ouvrir la page 5 de ce post (hier c'était la 4) ???

 

Autre précision demandée par Yann : la pub que je vois en bas de cette page 5 est celle des sonneries et autres (rectangles gris), alors qu'en bas de page 6 c'est PDA MOBIL.COM en vert.

simous Extrem Member

simous

Posté(e)
Posté(e) (modifié)

Je confirme la page 5..

 

IE6 SP1 certes, mais j'utilise avantrowser, aucune popup.

Pour les pubs, elles changent tout le temps, ça s'affole jms avec la même....

Pour les signatures, ben ce sont tjs les mêmes qui répondent, les signatures sont pareils d'une page à l'autre...

 

 

[edit] c'est pas les signatures ni avatars, j'ai désactivé les deux dans mes controles, toujours la meme alerte...

Modifié par simous

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...