Trojan JS:Script IP-inf ?

mic69300 mic69300
2 067 contributions
Membre depuis le 16/05/2001
Envoyé le 19/12/2009 à 11:52 Modifié par mic69300 le 19/12/2009 à  11:5


Bjour à tous

Depuis qq.jours, en transférant le contenu de mes mels de chez Free à mon courielleur Foxmail (francisé mais d\'origine chinoise) mon AV G Data me signale qu\'il vient de bloquer l\'entrée du trojan JS Script IP-inf émis par www.qq.com.

Avec Firefox et WOT, suis allé voir à quoi ressemblait ce www.qq.com

Feu vert de WOT et Wikipedia éclaire un peu le sujet:

\" QQ est le système de messagerie instantanée propriétaire le plus utilisé en République populaire de Chine (loin devant Skype, AIM, ICQ, MSN ou Yahoo). Il est la propriété du groupe Tencent Inc.

\" On estime à plus de 160 millions le nombre d\'utilisateurs de QQ à travers le monde. Depuis son entrée dans les ménages chinois, QQ a rapidement émergé comme un phénomène culturel, faisant maintenant partie intégrante de la culture populaire.

\" Hormis le programme de messagerie, QQ a également développé beaucoup de \"goodies\", notamment des jeux, des animaux de compagnie, des sons à télécharger, ..


Tentative de récup. de la part du Chinois ?
ou faux positif de la part de l\'AV G Data ?

Qu\'en pensez-vous ?
Merci de vos remarques.

malwarebleach malwarebleach
2 125 contributions
Membre depuis le 12/09/2009
Envoyé le 19/12/2009 à 12:25


Bonjour mic69300,

Tentative de récup. de la part du Chinois ?
ou faux positif de la part de l\'AV G Data ?



Tentative de récupération, je n\'y crois pas.

G DATA, bon antivirus, annonce souvent ce genre d\'alerte sur les javascript. En général, il s\'agit d\'un faux positif, c\'est surement ton cas mais je ne l\'affirme pas.

Le mieux est de faire analyser le fichier concerné sur le site de Virus Total s\'il n\'est pas encore dans la quarantaine ou supprimé. Cela te permettra d\'être sur qu\'il n\'est pas infectieux. L\'analyse s\'effectue avec plusieurs antivirus, en cas de faux positif, tu seras vite fixé.

Tes propres recherches ont permis de constater que la source est connue. Mais rien n\'empêche un pirate d\'insérer un malware dans un site pour exploiter ses failles de sécurité et à travers lui celles des pcs qui s\'y connecte.

Je ne peux rien te dire de plus. Si ton programme java est à jour (version 1.6.7), firefox (version 3.5.6) tu es mieux protégé, mais pas à 100% comme d\'habitude.

Virus Total t\'aidera à tirer toutes les conclusions sur cette alerte.
Si tu ne sais pas demande, si tu sais partage !!
compte désactivé

Salut mic & malwarebleach,

Il semble que parmi les serveurs DNS utilisés par Foxmail, un certain nombre sont chez www.qq.com.
Je pense moi aussi à un faux positif de la part de GData.

foxmail.free.fr/phpBB3/viewtopic.php?f=2&t=4096
Le second lien est plus intéressant : www.robtex.com/dns/mx.foxmail.com.html


mic69300 mic69300
2 067 contributions
Membre depuis le 16/05/2001
Envoyé le 19/12/2009 à 12:36


Bjour bleach
Merci de ta réponse.
Firefox 3.5.6
Java 1.6.7

Je sais que G Data m\'a bloqué l\'entrée d\'un trojan, mais je ne sais pas comment le récupérer.
Le journal de G Data m\'indique simplement:





malwarebleach malwarebleach
2 125 contributions
Membre depuis le 12/09/2009
Envoyé le 19/12/2009 à 12:44


Salut,

Il a été simplement bloqué. [:o)]

Tu ne pourras donc par faire une vérification avec Virus Total.

Je pense réellement qu\'il s\'agit d\'un faux positif au vu des informations données par Bruxo, en particulier sur le second lien.
En gros, redirection d\'une partie du message reçu sur Foxmail vers un autre serveur de qq, la protection résidente (et Heuristique) de G DATA un peu sensible a passé l\'alerte et bloqué l\'intrusion du script.

Pas matière à s\'inquiéter, je te souhaite un bon week-end. (+)
Si tu ne sais pas demande, si tu sais partage !!
mic69300 mic69300
2 067 contributions
Membre depuis le 16/05/2001
Envoyé le 19/12/2009 à 12:45 Modifié par mic69300 le 19/12/2009 à  12:4


Salut bruxo

Merci de ce nouvel éclairage
Je retiens surtout ce que tu as eu l\'amabilité de traduire:

Incoming mail for foxmail.com is handled by one mailserver also at qq.com. foxmail.com has two IP numbers. They are on the same IP network. mx.foxmail.com is hosted on a server in China.

Probalement que le germanique G Data est très suspicieux pour tout ce qui vient d\'Asie [:D]

bon w-end à vous deux

compte désactivé

Finalement, est-ce un mail complet qui a été bloqué ou seulement son contenu javascript (ses enrichissements) ?
Dans le premier cas, il faudrait sans doute remonter le faux positif à GData afin qu\'ils le corrigent, ce serait dommage de perdre du courrier dans l\'histoire (à moins que celui-ci ne soit pas très important)

malwarebleach malwarebleach
2 125 contributions
Membre depuis le 12/09/2009
Envoyé le 19/12/2009 à 13:18


Bonne suggestion pour G DATA, mais il faudrait être sur que ce soit un faux positif avant.

Pour moi, seul une partie du message a été bloquée, celle contenant le code javascript.

(merci d\'avoir réduit ton pseudo bruxo [;)] [:D] )
Si tu ne sais pas demande, si tu sais partage !!
compte désactivé

Il devenait contraignant pour moi aussi [:D]

Pour moi, seul une partie du message a été bloquée, celle contenant le code javascript.

je le pense aussi, c\'est en tout cas la manière de faire des (bons) antivirus sur certaines pages web suspicieuses. La page s\'affiche quand même mais expurgée du code supposé malicieux.

mic69300 mic69300
2 067 contributions
Membre depuis le 16/05/2001
Envoyé le 20/12/2009 à 00:24


Bsoir
Mes mels sont consultables sur la BAL de Free.

C\'est après le transfert d\'un mel, depuis le Free Webmail jusqu\'à mon courielleur Foxmail, que l\'alerte G Data se déclenche.

Mais les contenus des mails récupérés par Foxmail, sont strictement identiques à ceux reçus par le Free webmail.

Les messages sont donc parfaitement transférés, sans perte visible de substance.



compte désactivé

Probalement que le germanique G Data est très suspicieux pour tout ce qui vient d\'Asie [:D]

sans aucun doute [:D]
Ça cessera tout seul quand les faux positifs seront remontés et qu\'ils auront trié le bon grain de l\'ivraie (y\'a du boulot !)

Discussion trop ancienne

Cette discussion a été automatiquement fermée car elle n'a plus reçue de nouveau message depuis trop longtemps.

Nous vous suggérons de créer un nouveau message

« Retour sur la liste des messages de ce forum