[childerik]

Attention !!!

Le site themexp.org est à éviter impérativement.

En effet, ce site pourtant connu pour sa bibliothèque de thèmes visuels balance à l'insu de l'internaute qui y navigue des spywares malicieux par l'intermédiaire de scripts probablement logés dans le code des pages. Ces spywares s'installent dans les chemins suivants :

C:\Program Files\Common files\updater\wupdater.exe
C:\Program Files\VBouncer\BundleOuter.EXE
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Windows\System32\msbb.exe
C:\Windows\Temp\bundle.exe
C:\Windows\Temp\djtopr1150.exe

L'origine : un malware bien connu de TrendMicro et Symantec, SAHAgent.

Inutile de dire que tous ces exécutables, une fois initiés par une archive *.cab et un contrôle ActiveX téléchargés à l'insu sur le site, créent une entrée dans la BDR pour se lancer au démarrage (en tant que programmes et non en tant que services) et aspirent à sortir du PC, essentiellement par le port TCP 80 (http).

Cette pratique est stupéfiante pour un site qui existe pourtant depuis plusieurs années. S'agit-il d'une politique volontaire de la part de l'administrateur ou bien le site est-il infecté à son insu ? Un détail : Il y a 3 mois, ce site avait déjà commencé par chercher à demander l'autorisation de l'utilisateur à installer un plugin pour le moins douteux.

En tout cas, je ne peux m'empêcher que de conseiller à chacun de transmettre l'information le plus largement possible autour de lui, car il s'agit d'un problème de sécurité critique et une affaire de santé informatique publique.

Merci de votre attention.

PS : quelques liens intéressants :

http://www.chip.de/forum/thread.html...rder=ascending
http://www.securityspace.com/smysecu....html?id=12000
http://www.trendmicro.com/vinfo/viru...GENT.A&VSect=T

[Samva]

Hum je suppose que c'est un activeX qui s'installe ou alors c'est dans les ZIP ??

[LeMoi]

Ahlalala, qu'est-ce qu'il faut pas lire
quand tu installes le thème, tu n'as qu'a décocher pendant l'install tous les programmes qu'il te demande d'installer...
je viens de visiter le site et de télécharger un thème pour tester, et rien de tout ce que raconte le message de childerik...

[childerik]

Sans rien accepter ni installer, c'est çà le pire ! Rien qu'en visualisant les pages de thèmes, d'un seul coup, mon outpost qui se met à bloquer toute la ribambelle d'exécutables cités ci-dessus.

LeMoi, je crois que c'est pour Internet Explorer que çà arrive : il faut faire le test avec ce navigateur, naviguer quelques instants sur les papiers peints.

Ce n'est pas l'installation d'un programme, vu que je n'ai rien installé depuis des lustres. Et puis c'est signé : l'ActiveX a opéré dès que je suis allé sur ce site.

Je suis trop bête : plutôt que de me taper la suppression de tous ces morbacques, j'ai fait immédiatement une restauration DI7. J'ai perdu les éventuelles entrées dans l'observateur d'évènements ou d'autres outils systèmes qui auraient pu me donner davantage de renseignements. Pas envie de retenter l'expérience : pas fou .

[1for-matik]

Childerik victime des blagues d'internet
En realité, Themexp.org n'est pas l'éditeur du logiciel StyleXP et puis déjà pour qu'un ActiveX s'installe il faut qu'il aie l'autorisation de l'utilisateur et surtout depuis le SP2 si un activeX s'installe en auto Windows le stoppe immédiatement... j'en ai déjà fait les frais et ça fonctionne parfaitement...

Encore un joke inventé par les concurrent (càd WindowBlinds et Cie )

[mustang89]

Joke ou pas ??? telle est la question :rolleyes:


En partie pour ma part :

IL est vrai que depuis quelque temps, à chaque que l'on clique soit sur un lien de download ou sur une partie vide de la page apparaît un fenêtre demandant de télécharger un plug-in essentiel, certifié, etc --> répondre par non bien sûr !!
Je n'ai plus ce problème car utilisant Maxthon, j'ai bloqué ce popup et il n'apparaît sur mes configs

Pour le reste (fichiers exe) je vérifierai demain matin et vous tiendrait au courant de mes recherches.

ThemeXP.org est un site sur lequel je télécharge pas mal de skins et un nouveau phénomène est apparu DANS certains skins eux-même, à savoir des spywares ou de la pub, en général ce sont des skins lorsqu'ils sont dézippés donnent un exe du style "Click to continue.exe". Ceux-là, eh bien tant pis pour la belle image mais ils finissent tous dans la poubelle.

[childerik]

1formatik, mon histoire n'est pas seule : un forum allemand qui relate le même problème que moi sur themexp.org ici (le post de goof). J'ai maintenant la certitude que c'est bien themexp.org qui balance silencieusement ces saloperies. Je préviens d'autres forums.

Après avoir lu quelques forums, ces jolis exécutables sont davantage de méchants spywares (voire hijacks) que de troyens, mais çà reste une infection qui peut s'installer silencieusement selon ce site. Ils sont régis par un programme source (sahagent).

J'ai trouvé çà chez TrendMicro.

Une autre personne en a parlé ici.

[1for-matik]

En tout cas je suis allé là-bas et j'ai effectivement vu la barre d'état de Maxthon me marquer installation de Blabla.cab puis la demande d'installation d'un ActiveX...

Mais aucun des fichiers que tu as cité plus haut ne se trouvent sur le disque... ni même les clés de BDR cité sur TrendMicro...

[childerik]

Quote:

Originally Posted by 1for-matik

En tout cas je suis allé là-bas et j'ai effectivement vu la barre d'état de Maxthon me marquer installation de Blabla.cab puis la demande d'installation d'un ActiveX...

Mais aucun des fichiers que tu as cité plus haut ne se trouvent sur le disque... ni même les clés de BDR cité sur TrendMicro...

Parce que ton navigateur a arrêté le restant (les exe cités ci-dessus) . Je vais refaire mon message d'avertissement en corrigeant troyens par spywares sérieux et méchants .

J'avais oublié de dire que mon niveau de sécurité IE était tombé à faible au lieu de moyen avant l'incident, ceci expliquant celà (au niveau faible, les ActiveX non-signés sont téléchargeables en mode silencieux) . Mais celà n'empêche de dire qu'il y a quand même un pb de sécurité grave en se balladant sur themexp.org.

[mustang89]

Vérification effectuée : rien ne traîne sur le PC du bureau

Après lecture des différents articles (pas facile l'allemand) je n'ai rien trouvé non plus ni dans "Program Files", ni "Windows/system" ni dans le Registre.

Peut-être comme tu le dis Childerik, une "erreur" de paramétrage d'IE.

[Daokwan]

Moi j'ai arrêté d'aller sur ce site dpuis le dl de thème en .exe. Je trouve ca malsain ...

[xenon54]

Op la j efface des favoris si c est comme ca !!! :angry:

@++ merci pour l info

[childerik]

Des utilisateurs de infos-du-net.com ont fait les frais eux aussi : celà confirme que Themexp.org balance "volontairement" des spywares bien méchants lorsque la sécurité de la zone Internet du PC est au minimum .

Les commentaires ici.

[1for-matik]

Dans ton post sur IdN, tu dis boycotter themexp.org ou de ne plus y aller...
On peut y aller tranquillement avec Firefox

[childerik]

Même en y allant, maintenant que j'ai mis themexp.org dans la zone sensible, çà ne me donne plus envie d'aller chez ces voyous de themexp ! :eek: