Communauté Informatique NDFR.net : Themexp.org, attention danger ! - Discussions
Reply
Themexp.org, attention danger !
Thread Tools Display Modes
  #1  
Old 14-09-2004, 18:20
childerik's Avatar
childerik childerik is offline
Freenaute endurci
 
Join Date: 19-10-2002
Location: Brest en Bretagne bretonnisante
Age: 48
Posts: 2,148
Themexp.org, attention danger !

Attention !!!

Le site themexp.org est à éviter impérativement.

En effet, ce site pourtant connu pour sa bibliothèque de thèmes visuels balance à l'insu de l'internaute qui y navigue des spywares malicieux par l'intermédiaire de scripts probablement logés dans le code des pages. Ces spywares s'installent dans les chemins suivants :

C:\Program Files\Common files\updater\wupdater.exe
C:\Program Files\VBouncer\BundleOuter.EXE
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Windows\System32\msbb.exe
C:\Windows\Temp\bundle.exe
C:\Windows\Temp\djtopr1150.exe

L'origine : un malware bien connu de TrendMicro et Symantec, SAHAgent.

Inutile de dire que tous ces exécutables, une fois initiés par une archive *.cab et un contrôle ActiveX téléchargés à l'insu sur le site, créent une entrée dans la BDR pour se lancer au démarrage (en tant que programmes et non en tant que services) et aspirent à sortir du PC, essentiellement par le port TCP 80 (http).

Cette pratique est stupéfiante pour un site qui existe pourtant depuis plusieurs années. S'agit-il d'une politique volontaire de la part de l'administrateur ou bien le site est-il infecté à son insu ? Un détail : Il y a 3 mois, ce site avait déjà commencé par chercher à demander l'autorisation de l'utilisateur à installer un plugin pour le moins douteux.

En tout cas, je ne peux m'empêcher que de conseiller à chacun de transmettre l'information le plus largement possible autour de lui, car il s'agit d'un problème de sécurité critique et une affaire de santé informatique publique.

Merci de votre attention.

PS : quelques liens intéressants :

http://www.chip.de/forum/thread.html...rder=ascending
http://www.securityspace.com/smysecu....html?id=12000
http://www.trendmicro.com/vinfo/viru...GENT.A&VSect=T
__________________
Freebox V4 + Linksys WRT54G 2.0 + 3Com OfficeConnect Gigabit Switch 5 = réseau sans soucis :lick:

Last edited by childerik; 14-09-2004 at 20:12.
Reply With Quote
  #2  
Old 14-09-2004, 18:26
Samva's Avatar
Samva Samva is offline
Niaisüre within
 
Join Date: 24-04-2003
Location: Tours
Age: 37
Posts: 2,320
Send a message via ICQ to Samva Send a message via MSN to Samva
Hum je suppose que c'est un activeX qui s'installe ou alors c'est dans les ZIP ??
__________________
For the End-of-the-World spell, press "Ctrl, Alt, Delete."


Reply With Quote
  #3  
Old 14-09-2004, 18:45
LeMoi's Avatar
LeMoi LeMoi is offline
ou LM
 
Join Date: 20-10-2002
Location: 37°1
Age: 36
Posts: 5,847
Send a message via ICQ to LeMoi Send a message via AIM to LeMoi Send a message via MSN to LeMoi Send a message via Yahoo to LeMoi Send a message via Skype™ to LeMoi
Ahlalala, qu'est-ce qu'il faut pas lire
quand tu installes le thème, tu n'as qu'a décocher pendant l'install tous les programmes qu'il te demande d'installer...
je viens de visiter le site et de télécharger un thème pour tester, et rien de tout ce que raconte le message de childerik...
__________________
[01mai2004@11:23:54] <@Kaspof> je garderais toujours un souvenir impérissable de toi LeMoi|Vacances
Ne soyez pas un boulet !
Reply With Quote
  #4  
Old 14-09-2004, 18:55
childerik's Avatar
childerik childerik is offline
Freenaute endurci
 
Join Date: 19-10-2002
Location: Brest en Bretagne bretonnisante
Age: 48
Posts: 2,148
Sans rien accepter ni installer, c'est çà le pire ! Rien qu'en visualisant les pages de thèmes, d'un seul coup, mon outpost qui se met à bloquer toute la ribambelle d'exécutables cités ci-dessus.

LeMoi, je crois que c'est pour Internet Explorer que çà arrive : il faut faire le test avec ce navigateur, naviguer quelques instants sur les papiers peints.

Ce n'est pas l'installation d'un programme, vu que je n'ai rien installé depuis des lustres. Et puis c'est signé : l'ActiveX a opéré dès que je suis allé sur ce site.

Je suis trop bête : plutôt que de me taper la suppression de tous ces morbacques, j'ai fait immédiatement une restauration DI7. J'ai perdu les éventuelles entrées dans l'observateur d'évènements ou d'autres outils systèmes qui auraient pu me donner davantage de renseignements. Pas envie de retenter l'expérience : pas fou .
__________________
Freebox V4 + Linksys WRT54G 2.0 + 3Com OfficeConnect Gigabit Switch 5 = réseau sans soucis :lick:
Reply With Quote
  #5  
Old 14-09-2004, 18:59
1for-matik's Avatar
1for-matik 1for-matik is offline
W32.Boulet.Worm Eraser
 
Join Date: 05-10-2003
Location: Au Pays de la choucroute
Age: 38
Posts: 3,841
Send a message via ICQ to 1for-matik Send a message via AIM to 1for-matik Send a message via Yahoo to 1for-matik Send a message via Skype™ to 1for-matik
Childerik victime des blagues d'internet
En realité, Themexp.org n'est pas l'éditeur du logiciel StyleXP et puis déjà pour qu'un ActiveX s'installe il faut qu'il aie l'autorisation de l'utilisateur et surtout depuis le SP2 si un activeX s'installe en auto Windows le stoppe immédiatement... j'en ai déjà fait les frais et ça fonctionne parfaitement...

Encore un joke inventé par les concurrent (càd WindowBlinds et Cie )
__________________
Des problèmes ? Le chat NDFR est disponible. Des problèmes pour y accéder ? Voici le tuto.
Le Best Of "QUOTES" du chan IRC: C'est par ici


Sur n'1fo[r-matik]
: Astuce : Activer le bloqueur de pub/tracking natif sur Firefox

Reply With Quote
  #6  
Old 14-09-2004, 19:20
mustang89's Avatar
mustang89 mustang89 is offline
Agé mais toujours jeune
 
Join Date: 15-07-2004
Location: Yonne, Bourgogne, France
Age: 62
Posts: 1,097
Joke ou pas ??? telle est la question :rolleyes:


En partie pour ma part :

IL est vrai que depuis quelque temps, à chaque que l'on clique soit sur un lien de download ou sur une partie vide de la page apparaît un fenêtre demandant de télécharger un plug-in essentiel, certifié, etc --> répondre par non bien sûr !!
Je n'ai plus ce problème car utilisant Maxthon, j'ai bloqué ce popup et il n'apparaît sur mes configs

Pour le reste (fichiers exe) je vérifierai demain matin et vous tiendrait au courant de mes recherches.

ThemeXP.org est un site sur lequel je télécharge pas mal de skins et un nouveau phénomène est apparu DANS certains skins eux-même, à savoir des spywares ou de la pub, en général ce sont des skins lorsqu'ils sont dézippés donnent un exe du style "Click to continue.exe". Ceux-là, eh bien tant pis pour la belle image mais ils finissent tous dans la poubelle.
Reply With Quote
  #7  
Old 14-09-2004, 19:38
childerik's Avatar
childerik childerik is offline
Freenaute endurci
 
Join Date: 19-10-2002
Location: Brest en Bretagne bretonnisante
Age: 48
Posts: 2,148
1formatik, mon histoire n'est pas seule : un forum allemand qui relate le même problème que moi sur themexp.org ici (le post de goof). J'ai maintenant la certitude que c'est bien themexp.org qui balance silencieusement ces saloperies. Je préviens d'autres forums.

Après avoir lu quelques forums, ces jolis exécutables sont davantage de méchants spywares (voire hijacks) que de troyens, mais çà reste une infection qui peut s'installer silencieusement selon ce site. Ils sont régis par un programme source (sahagent).

J'ai trouvé çà chez TrendMicro.

Une autre personne en a parlé ici.
__________________
Freebox V4 + Linksys WRT54G 2.0 + 3Com OfficeConnect Gigabit Switch 5 = réseau sans soucis :lick:
Reply With Quote
  #8  
Old 14-09-2004, 19:55
1for-matik's Avatar
1for-matik 1for-matik is offline
W32.Boulet.Worm Eraser
 
Join Date: 05-10-2003
Location: Au Pays de la choucroute
Age: 38
Posts: 3,841
Send a message via ICQ to 1for-matik Send a message via AIM to 1for-matik Send a message via Yahoo to 1for-matik Send a message via Skype™ to 1for-matik
En tout cas je suis allé là-bas et j'ai effectivement vu la barre d'état de Maxthon me marquer installation de Blabla.cab puis la demande d'installation d'un ActiveX...

Mais aucun des fichiers que tu as cité plus haut ne se trouvent sur le disque... ni même les clés de BDR cité sur TrendMicro...
__________________
Des problèmes ? Le chat NDFR est disponible. Des problèmes pour y accéder ? Voici le tuto.
Le Best Of "QUOTES" du chan IRC: C'est par ici


Sur n'1fo[r-matik]
: Astuce : Activer le bloqueur de pub/tracking natif sur Firefox

Reply With Quote
  #9  
Old 14-09-2004, 20:01
childerik's Avatar
childerik childerik is offline
Freenaute endurci
 
Join Date: 19-10-2002
Location: Brest en Bretagne bretonnisante
Age: 48
Posts: 2,148
Quote:
Originally Posted by 1for-matik
En tout cas je suis allé là-bas et j'ai effectivement vu la barre d'état de Maxthon me marquer installation de Blabla.cab puis la demande d'installation d'un ActiveX...

Mais aucun des fichiers que tu as cité plus haut ne se trouvent sur le disque... ni même les clés de BDR cité sur TrendMicro...
Parce que ton navigateur a arrêté le restant (les exe cités ci-dessus) . Je vais refaire mon message d'avertissement en corrigeant troyens par spywares sérieux et méchants .

J'avais oublié de dire que mon niveau de sécurité IE était tombé à faible au lieu de moyen avant l'incident, ceci expliquant celà (au niveau faible, les ActiveX non-signés sont téléchargeables en mode silencieux) . Mais celà n'empêche de dire qu'il y a quand même un pb de sécurité grave en se balladant sur themexp.org.
__________________
Freebox V4 + Linksys WRT54G 2.0 + 3Com OfficeConnect Gigabit Switch 5 = réseau sans soucis :lick:

Last edited by childerik; 14-09-2004 at 20:15.
Reply With Quote
  #10  
Old 15-09-2004, 09:33
mustang89's Avatar
mustang89 mustang89 is offline
Agé mais toujours jeune
 
Join Date: 15-07-2004
Location: Yonne, Bourgogne, France
Age: 62
Posts: 1,097
Vérification effectuée : rien ne traîne sur le PC du bureau

Après lecture des différents articles (pas facile l'allemand) je n'ai rien trouvé non plus ni dans "Program Files", ni "Windows/system" ni dans le Registre.

Peut-être comme tu le dis Childerik, une "erreur" de paramétrage d'IE.
Reply With Quote
  #11  
Old 15-09-2004, 10:06
Daokwan's Avatar
Daokwan Daokwan is offline
Furet et fier de l'être
 
Join Date: 20-10-2002
Location: Antony
Age: 37
Posts: 621
Send a message via MSN to Daokwan
Moi j'ai arrêté d'aller sur ce site dpuis le dl de thème en .exe. Je trouve ca malsain ...
__________________
Casser une branche, c'est facile, en casser 2, c'est plus dur
Reply With Quote
  #12  
Old 16-09-2004, 08:23
xenon54's Avatar
xenon54 xenon54 is offline
Linux Powwaaa !!!
 
Join Date: 10-05-2004
Posts: 25
Send a message via MSN to xenon54
Op la j efface des favoris si c est comme ca !!! :angry:

@++ merci pour l info
__________________
| |
Reply With Quote
  #13  
Old 21-09-2004, 22:12
childerik's Avatar
childerik childerik is offline
Freenaute endurci
 
Join Date: 19-10-2002
Location: Brest en Bretagne bretonnisante
Age: 48
Posts: 2,148
Des utilisateurs de infos-du-net.com ont fait les frais eux aussi : celà confirme que Themexp.org balance "volontairement" des spywares bien méchants lorsque la sécurité de la zone Internet du PC est au minimum .

Les commentaires ici.
__________________
Freebox V4 + Linksys WRT54G 2.0 + 3Com OfficeConnect Gigabit Switch 5 = réseau sans soucis :lick:
Reply With Quote
  #14  
Old 21-09-2004, 22:36
1for-matik's Avatar
1for-matik 1for-matik is offline
W32.Boulet.Worm Eraser
 
Join Date: 05-10-2003
Location: Au Pays de la choucroute
Age: 38
Posts: 3,841
Send a message via ICQ to 1for-matik Send a message via AIM to 1for-matik Send a message via Yahoo to 1for-matik Send a message via Skype™ to 1for-matik
Dans ton post sur IdN, tu dis boycotter themexp.org ou de ne plus y aller...
On peut y aller tranquillement avec Firefox
__________________
Des problèmes ? Le chat NDFR est disponible. Des problèmes pour y accéder ? Voici le tuto.
Le Best Of "QUOTES" du chan IRC: C'est par ici


Sur n'1fo[r-matik]
: Astuce : Activer le bloqueur de pub/tracking natif sur Firefox

Reply With Quote
  #15  
Old 21-09-2004, 22:46
childerik's Avatar
childerik childerik is offline
Freenaute endurci
 
Join Date: 19-10-2002
Location: Brest en Bretagne bretonnisante
Age: 48
Posts: 2,148
Même en y allant, maintenant que j'ai mis themexp.org dans la zone sensible, çà ne me donne plus envie d'aller chez ces voyous de themexp ! :eek:
__________________
Freebox V4 + Linksys WRT54G 2.0 + 3Com OfficeConnect Gigabit Switch 5 = réseau sans soucis :lick:
Reply With Quote
Reply

Bookmarks


Currently Active Users Viewing This Thread: 1 (0 members and 1 guests)
 
Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

Similar Threads
Thread Thread Starter Forum Replies Last Post
Attention à la nouvelle variante .q de Netsky childerik Internet, Réseaux et Sécurité 13 03-04-2004 23:26
Attention aux singes aussi whynot Discussions 10 16-02-2004 22:37
La mule en danger :( sim140680 Discussions 13 13-02-2004 19:03
Attention avec les catalyst 3.8 Jackydown Vos news 8 21-10-2003 22:41
Attention ne pas suivre les instruction de ce mail.!!! mitch67 Discussions 26 16-03-2003 08:28

All times are GMT +2. The time now is 12:45.

Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.