Injection "Script VB" dans mes sourcesFermé

Question

Bonjour, Configuration: Windows XP / Firefox 3.6.8 Bonjour, je suis développeur dans une société, et là, je viens de m'apercevoir que mon poste est "infecté"... la cause !? Aucune idée... je ne vois pas... (pas vu de processus à proprement "suspect" mais bon... il y en a tellement que je n'ai peut être pas fait attention. Donc, je vous explique, lors de l'appel d'un script php (qui inclut un script html)... tous les fichiers HTML se trouvant dans un répertoire "HTML" se trouve être infecté: " " la ligne WriteData = "..." contient une séquence en Hexa particulièrement longue (probablement un exécutable en héxa) Bref, j'ai ça dans tous mes scripts html ... (même dans les backups) Si quelqu'un connait ça... on pourrait m'aider !? merci beaucoup!

Malekal_morte- · Accepted Answer

Salut,

C'est donc dans les sources des sites qui sont sur ton poste ?
Si tu supprimes ces scripts ça revient ?

Tu as des fichiers executables malicieux dans ton site ?


* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :    
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT    
* Clique sur le bouton Quick Scan.    
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

guillaume_74 · Answer

Mon site (intranet) est pro, pas d'exécutable "malicieux"...
Ils sont pour le moment testé en local sous wamp.

Je te fais ça tout de suite 
(lors que tout s'est produit, c'est quand j'ai voulu ouvrir un fichier HTML pour tester une mise en page, par défaut, il a voulu s'ouvrir avec Chrome... mais rien ne s'est passé... (et dans notepad++, le script VB est apparut... piste !?)

Malekal_morte- · Answer

Tu peux envoyer  c:\Program Files\Microsoft\DesktopLayer.exe sur http://upload.malekal.com stp 

il faut peut-être afficher les fichiers cachés/systèmes pour voir le fichier. 
Je pense que tu sais comment on fait :) 

Fais une recherche de fichiers sur QxNFBWBb.exe
et regarde si ça existe aussi.

Rise Against rules :D

guillaume_74 · Answer

Hmmm ton petit appli pour récupérer les fichiers "potentiellement" dangereux me dit que le fichier n'est pas valide... ptètre parce qu'il s'agit d'un executable (et pas une dll... si!?)

guillaume_74 · Answer

Ou bien parce qu'il est en cours d'utilisation....  et du coup il ne peut pas le "copier"... possible aussi, je vais redémarrer en mode sans échec

guillaume_74 · Answer

QxNFBWBb.exe ==> aucun résultat

Malekal_morte- · Answer

Laisse tomber, il va se charger en mode sans échec.

Fais ça :

Relance OTL. 
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat: 

:OTL
O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\explore\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\Open\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
 

* redemarre le pc sous windows et poste le rapport ici 


Regrade dans C:\_OTL\MovedFiles si y a pas le fichier dans un sous répertoire avec la date du jour et tu l'upload sur http://upload.malekal.com

guillaume_74 · Answer

Hop, c'est fait!
==============================================>

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:c:\program files\microsoft\desktoplayer.exe deleted successfully.
File move failed. c:\Program Files\Microsoft\DesktopLayer.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
File F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe not found.
 
OTL by OldTimer - Version 3.2.9.1 log created on 07292010_133914

Files\Folders moved on Reboot...
c:\Program Files\Microsoft\DesktopLayer.exe moved successfully.

Registry entries deleted on Reboot...

<==============================================
Je t'upload le fichier que tu veux ;)
PS: Au redémarrage de mon PC: Mon antivirus me dit avoir détecté et supprimé un "virus":
ExplorerSrv.exe (dossier WINDOWS)=> Cheval de Troie (c:/WINDOWS/Explorer.exe)

guillaume_74 · Answer

L'envoie du fichier a été effectué avec succès ;)

Malekal_morte- · Answer

http://www.virustotal.com/fr/analisis/1d00b7ed73689207252437d4aa30611ea0089d13fd31c9706d33019689edacc9-1280404213

Bizarre que ton McAfee n'est pas warn dessus.

Ca fout TDSS/Alueron ....


Sauvegarde tes documents importants.


Désactive les logiciels de protection (Antivirus, Antispywares) puis :       

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!       

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.       

Eventuellement, installe la console de récupération comme cela est conseillé       

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)     

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix       

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.       

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

guillaume_74 · Answer

Le rapport de virustotal ne me parle pas beaucoup (La liste que l'on voit, c'est comment est appelée l'infection selon les "antivirus" !?)
Donc ce fichier est bien infecté... c'est ça !?
Alala, j'attends que la copie de mon travail se termine pour lancer "combofix"
je te tiens au courant!

Au fait, je ne sais pas si je l'ai déjà fait... mais merci pour ton aide ;)

guillaume_74 · Answer

Bon.... je recommence la manip !? Le pc a redémarrer en plein milieu...

Malekal_morte- · Answer

bha ouaip. 

Sinon ouaip DesktopLayer.exe  est un malware. 
Ca lance un dropper qui installe TDSS/Alueron (un autre malware) 
DesktopLayer.exe lance des instances d'Internet Explorer (embedding, tu vois pas la fenetre) qui lance des requetes sur Google.
Surement pour se faire des brousoufs via Alueron.

Parent process: 
   Path: C:\Program Files\Internet Explorer\iexplore.exe 
   PID: 4068 
   Information: Internet Explorer (Microsoft Corporation) 
Child process: 
   Path: C:\Program Files\riva\1280356269.exe 
   Information: Win32 Cabinet Self-Extractor (Microsoft Corporation) 
   Command line:"C:\Program Files\riva\1280356269.exe"  

On voit d'ailleurs ton répertoire riva dans ton rapport OTL. 
Il doit conteinr le dropper avec la suite de chiffre. 
Tu peux le virer. 

[2010/07/29 09:45:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\Macromedia 
[2010/07/29 08:55:57 | 000,000,000 | ---D | C] -- C:\Program Files\riva 


Rise Against rules :D

guillaume_74 · Answer

Ok, je vais voir pour ça... 
en par contre, ComboFix... plantage systématique juste après "Recherche des fichiers infectés, ca va prendre 10mn...etc..."

Malekal_morte- · Answer

Pas cool. T'as bien désactivé Mcafee ?
Tente en mode sans échec.

Si pas mieux :

Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

guillaume_74 · Answer

En mode sans échec, réussit:

http://www.cijoint.fr/cjlink.php?file=cj201007/cij8jiT8Sb.txt

Malekal_morte- · Answer

Fais GMER pour voir :)

guillaume_74 · Answer

Juste... pour quelle raison ?

Malekal_morte- · Answer

Pour voir si y a pas TDSS.
Coche les cases à droite sur GMER comme sur ce post : https://forum.malekal.com/viewtopic.php?t=22604&start=

sinon ça va prendre 3 plombes le scan, il va scanner les fichiers et le registre.

guillaume_74 · Answer

Ok, ben je le ferai demain matin, j'arriverai de bonne heure au travail pour le faire, là, j'ai pas mal de choses à faire, et j'ai pas mal perdu de temps...
Je te tiens au courant, 
encore merci!

Malekal_morte- · Answer

ça roule :)

Ton malware n'a pas l'air de modifier les fichiers HTML.
Donc si c'est un malware qui a fait cela, c'est autre chose (t'as pas répondu si le code est partagé avec d'autres PC ou si simplement accessible du tiens).

En tout cas, ta machine est infectée.

guillaume_74 · Answer

Déjà... Après mes premiers essais, le problème semble résolu ;)

Merci

guillaume_74 · Answer

Enfait... le problème se reproduit à nouveau...

Malekal_morte- · Answer

OK mais là j'attends le rapport GMER.
Ensuite t'as pas répond sur le partage ou non des sources du site...

Injection "Script VB" dans mes sources

24 réponses

Discussions similaires

Newsletters