Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonjour,

 

Pour une fois que c'est moi qui pose une question :P

 

Comment être voyou avec les .chm compilés protégés par un mot de passe ?

 

Je suis en train d'analyser une attaque fulgurante conduite par un site piégé et j'ai besoin de voir quels sont les liens contenus dans un .chm compilé

 

Attaque de type MS03-011 (exploitation d'une faille, vulnérabilité ADODB stream, de gestion des fichiers html embarqués dans les fichiers .chm)

 

J'avoue ne m'être penché que sur les aspects détection et éradication de craqueurs et voleurs de mots de passe mais pas sur leur utilisation.

 

Réponse en MP de préférence.

 

Début de l'analyse visible sur le fil "Google redirigé"

"http://assiste.forum.free.fr/viewtopic.php?p=41506#41506

 

Cordialement

Modifié par Assiste.com

Posté(e)

Salut Monseigneur !

 

En somme tu recherches maintenant qui peut décompiler le truc ?

 

Question subsidiaire : faudrait avoir une idée du language ? En as tu une ?

Posté(e)
Salut Monseigneur !

 

En somme tu recherches maintenant qui peut décompiler le truc ?

 

Question subsidiaire : faudrait avoir une idée du language ? En as tu une ?

518063[/snapback]

 

 

Salut O.Fournier

 

C'est de l'html compilé en .chm

Je pense qu'il s'agit d'un truc standard à tous les .chm compilés, probablement avec un outil MS.

 

Lorsque je fais un clic droit > Afficher le code source sur le .chm j'ai une demande de mot de passe. Je pense qu'une fois le mot de passe passé, il n'y a pas de crypto, c'est juste du html pur.

 

J'ai le .chm à disposition (à utiliser avec précaution : ActiveX bloqué, navigateur bloqué, java et javascript désactivé, pop-up interdites)

 

L'analyse du .chm donne :

 

Sous Unix

AntiVir DR/Miner

ArcaVir JScript.Miner

Avast nothing

AVG Antivirus nothing

BitDefender Exploit.ADODB.Stream.Gen

ClamAV Trojan.Psyme.P

Dr.Web Trojan.DownLoader.305

F-Prot Antivirus virus dropper

Fortinet JS/ZNA.A

Kaspersky Anti-Virus Trojan-Downloader.JS.Miner

NOD32 JS/TrojanDownloader.Miner.A

Norman Virus Control nothing

VBA32 TrojanDownloader.Java.Miner

 

Sous Windows

AntiVir DR/Miner

AVG no virus found

Avira DR/Miner

BitDefender Exploit.ADODB.Stream.Gen

ClamAV Trojan.Psyme.P

DrWeb Trojan.DownLoader.305

eTrust-Iris CHM/Elkong!Dropper

eTrust-Vet JS.Elkong

Fortinet JS/ZNA.A

Ikarus no virus found

Kaspersky Trojan-Downloader.JS.Miner

McAfee VBS/Psyme

NOD32v2 JS/TrojanDownloader.Miner.A

Norman no virus found

Panda Trj/Zerolin.D

Sybari Exploit.Msits.A

Symantec Downloader.Trojan

TheHacker VBS/Psyme®

VBA32 TrojanDownloader.Java.Miner

 

Cordialement

Invité tesgaz
Posté(e)

Salut pierre,

 

il faut utiliser les outils à disposition sur net pour le mot de passe ( john the ripper, etc..)

Posté(e)

Hé, hé, comme t'y vas Tesgaz !

 

Euh je n'ose à mon tour parler de certains Suisses Allemands champions du crack ...

 

Mais pour une fois que c'est pour la bonne cause, on peut toujours voir .

 

Assist.com, si tu patauges, envoies moi le truc, mais uniquement par mon e-mail dans mon profil (Free). Celle là est sans soucis.

 

Je vais voir qui je peux trouver pour résoudre ça. Sans garantie, of course ...

Posté(e) (modifié)

Bonsoir,

 

Sur l'un des .chm que je veux analyser, j'ai utilisé un décompilateur de chm

url=par là

 

Je me suis trouvé face à un script javascript encodé de type

<script type="text/JScript.Encode" language="JScript.Encode">#@~^+goAAA==@#@&P~,@#@&PP,0!UmDkGx,MnO|k m.D/bGU`*@#@&P~P`@#@&P~P,~\mD~(A\+.dbWU' C7kLmYKDRmwa#+M/rW etc. ...

 

J'ai donc utilisé un décodeur à

url=ici ou là

 

Petit script pour installer

AntiVir 6.31.0.5 06.15.2005 JS/Miner

AVG 718 06.14.2005 JS/Psyme

Avira 6.31.0.5 06.15.2005 JS/Miner

BitDefender 7.0 06.16.2005 Exploit.ADODB.Stream.Gen

ClamAV devel-20050501 06.15.2005 Trojan.Psyme.P

DrWeb 4.32b 06.15.2005 VBS.Psyme.127

eTrust-Iris 7.1.194.0 06.16.2005 JScript/ObjBase!Exploit!Worm

eTrust-Vet 11.9.1.0 06.15.2005 JS.CodeBase!downloader

Fortinet 2.35.0.0 06.16.2005 no virus found

Ikarus 2.32 06.15.2005 no virus found

Kaspersky 4.0.2.24 06.16.2005 Trojan-Downloader.JS.Miner

McAfee 4514 06.15.2005 VBS/Psyme

NOD32v2 1.1141 06.15.2005 JS/TrojanDownloader.Zna.A

Norman 5.70.10 06.15.2005 no virus found

Panda 8.02.00 06.14.2005 no virus found

Sybari 7.5.1314 06.16.2005 VBS/Psyme

Symantec 8.0 06.14.2005 no virus found

TheHacker 5.8-3.0 06.15.2005 no virus found

VBA32 3.10.3 06.15.2005 TrojanDownloader.Java.Miner

AntiVir Found JS/Miner

ArcaVir Found JScript.Miner

Avast Found VBS:Malware

AVG Antivirus Found JS/Psyme

BitDefender Found Exploit.ADODB.Stream.Gen

ClamAV Found Trojan.Psyme.P

Dr.Web Found VBS.Psyme.127

F-Prot Antivirus Found JS/Psyme.AF@dl

Fortinet Found nothing

Kaspersky Anti-Virus Found Trojan-Downloader.JS.Miner

NOD32 Found JS/TrojanDownloader.Zna.A

Norman Virus Control Found nothing

VBA32 Found TrojanDownloader.Java.Miner

 

Elle est pas belle, la vie ? :-(:P:-P

 

Merci

 

Cordialement

Modifié par Assiste.com
Posté(e) (modifié)

Bravo comme d'hab !

 

La nuit fut longue pour toi. mais c'est du code d'amateur, JScript.Encode est référencé 100 fois sur le Web.

 

Rajoutons juste cette mention légale dans le droit-fil des activités de Zebulon (cf. sa charte), au cas où des rigolos en France auraient des idées pas très nettes avec ce genre d'outils : http://www.virtualconspiracy.com/?page=scrdec/legal

Modifié par O.Fournier

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...