[childerik]

Attention !!!

Le site themexp.org est à éviter impérativement.

En effet, ce site pourtant connu pour sa bibliothèque de thèmes visuels balance à l'insu de l'internaute qui y navigue des spywares malicieux par l'intermédiaire de scripts probablement logés dans le code des pages. Ces spywares s'installent dans les chemins suivants :

C:\Program Files\Common files\updater\wupdater.exe
C:\Program Files\VBouncer\BundleOuter.EXE
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Windows\System32\msbb.exe
C:\Windows\Temp\bundle.exe
C:\Windows\Temp\djtopr1150.exe

L'origine : un malware bien connu de TrendMicro et Symantec, SAHAgent.

Inutile de dire que tous ces exécutables, une fois initiés par une archive *.cab et un contrôle ActiveX téléchargés à l'insu sur le site, créent une entrée dans la BDR pour se lancer au démarrage (en tant que programmes et non en tant que services) et aspirent à sortir du PC, essentiellement par le port TCP 80 (http).

Cette pratique est stupéfiante pour un site qui existe pourtant depuis plusieurs années. S'agit-il d'une politique volontaire de la part de l'administrateur ou bien le site est-il infecté à son insu ? Un détail : Il y a 3 mois, ce site avait déjà commencé par chercher à demander l'autorisation de l'utilisateur à installer un plugin pour le moins douteux.

En tout cas, je ne peux m'empêcher que de conseiller à chacun de transmettre l'information le plus largement possible autour de lui, car il s'agit d'un problème de sécurité critique et une affaire de santé informatique publique.

Merci de votre attention.

PS : quelques liens intéressants :

http://www.chip.de/forum/thread.html...rder=ascending
http://www.securityspace.com/smysecu....html?id=12000
http://www.trendmicro.com/vinfo/viru...GENT.A&VSect=T

[Samva]

Hum je suppose que c'est un activeX qui s'installe ou alors c'est dans les ZIP ??

[LeMoi]

Ahlalala, qu'est-ce qu'il faut pas lire
quand tu installes le thème, tu n'as qu'a décocher pendant l'install tous les programmes qu'il te demande d'installer...
je viens de visiter le site et de télécharger un thème pour tester, et rien de tout ce que raconte le message de childerik...

[childerik]

Sans rien accepter ni installer, c'est çà le pire ! Rien qu'en visualisant les pages de thèmes, d'un seul coup, mon outpost qui se met à bloquer toute la ribambelle d'exécutables cités ci-dessus.

LeMoi, je crois que c'est pour Internet Explorer que çà arrive : il faut faire le test avec ce navigateur, naviguer quelques instants sur les papiers peints.

Ce n'est pas l'installation d'un programme, vu que je n'ai rien installé depuis des lustres. Et puis c'est signé : l'ActiveX a opéré dès que je suis allé sur ce site.

Je suis trop bête : plutôt que de me taper la suppression de tous ces morbacques, j'ai fait immédiatement une restauration DI7. J'ai perdu les éventuelles entrées dans l'observateur d'évènements ou d'autres outils systèmes qui auraient pu me donner davantage de renseignements. Pas envie de retenter l'expérience : pas fou .

[1for-matik]

Childerik victime des blagues d'internet
En realité, Themexp.org n'est pas l'éditeur du logiciel StyleXP et puis déjà pour qu'un ActiveX s'installe il faut qu'il aie l'autorisation de l'utilisateur et surtout depuis le SP2 si un activeX s'installe en auto Windows le stoppe immédiatement... j'en ai déjà fait les frais et ça fonctionne parfaitement...

Encore un joke inventé par les concurrent (càd WindowBlinds et Cie )

[mustang89]

Joke ou pas ??? telle est la question :rolleyes:


En partie pour ma part :

IL est vrai que depuis quelque temps, à chaque que l'on clique soit sur un lien de download ou sur une partie vide de la page apparaît un fenêtre demandant de télécharger un plug-in essentiel, certifié, etc --> répondre par non bien sûr !!
Je n'ai plus ce problème car utilisant Maxthon, j'ai bloqué ce popup et il n'apparaît sur mes configs

Pour le reste (fichiers exe) je vérifierai demain matin et vous tiendrait au courant de mes recherches.

ThemeXP.org est un site sur lequel je télécharge pas mal de skins et un nouveau phénomène est apparu DANS certains skins eux-même, à savoir des spywares ou de la pub, en général ce sont des skins lorsqu'ils sont dézippés donnent un exe du style "Click to continue.exe". Ceux-là, eh bien tant pis pour la belle image mais ils finissent tous dans la poubelle.

[childerik]

1formatik, mon histoire n'est pas seule : un forum allemand qui relate le même problème que moi sur themexp.org ici (le post de goof). J'ai maintenant la certitude que c'est bien themexp.org qui balance silencieusement ces saloperies. Je préviens d'autres forums.

Après avoir lu quelques forums, ces jolis exécutables sont davantage de méchants spywares (voire hijacks) que de troyens, mais çà reste une infection qui peut s'installer silencieusement selon ce site. Ils sont régis par un programme source (sahagent).

J'ai trouvé çà chez TrendMicro.

Une autre personne en a parlé ici.

[1for-matik]

En tout cas je suis allé là-bas et j'ai effectivement vu la barre d'état de Maxthon me marquer installation de Blabla.cab puis la demande d'installation d'un ActiveX...

Mais aucun des fichiers que tu as cité plus haut ne se trouvent sur le disque... ni même les clés de BDR cité sur TrendMicro...

[nihones]

Le site themexp.org est dangereux, en effet il envoie des spywares. Cependant, il suffit d'instaler Kaspersky antivirus 5 par exemple comme moi et ce dernier vous avertis quand un activex se lance et vous demande de l'éliminer ou de le mettre en quarantainne voilà. Un tit scan de temps en temps et il vous éliminera tout ce petit monde à vous les themes tranquils en toute sécurité. De même il vous averti si le themes que vous télécharger sont des virus, il est vraiment efficace.

[fonji]

... youpi ...