Aller au contenu
F4FQH

Malware

Recommended Posts

F5CMQ

J'ai du mal m'exprimer. Le domaine jquery-ul.com est passé momentanément  en liste rouge sur les antivirus, du moins sur Malware Bytes Anti Malware.

'où le message d'alerte constaté par certains utilisateurs. Par ailleurs le dit site ne ressemble pas vraiment à une base de données de script js ;)

Et enfin jquery-ul.com ressemble beaucoup (trop) à jquery-ui.com. Bref, ça pue.

Jm
 

2020 08 30 - 16 28.jpg

Partager ce message


Lien à poster
F4DBD

@F5CMQ attention de ne pas confondre.

Le site est https://jqueryui.com/  et si vous tapez code.jquery-ul.com (ce qui est présent dans l'entête de radioamateur.org) vous tomberez bien sur le site https://jqueryui.com/ 

Il y a une subtilité dans l'adresse du site que vous indiquez qui ne prend que la fin de l'adresse en omettant "code." car c'est ça que cherchent les spécialistes du fishing : tromper les gens avec de petits détails...

Partager ce message


Lien à poster
F5JVD

Ce n'est pas  jquery en général qui est en cause !!!!

C'est le fait que le script appelé depuis le site jquery-ul.com contient une petite modification à celui d'origine.

C'est cette ligne qu'il faut voir.

image.png.89489f28cd77562839ab113838ead2a6.png

Et en l’occurrence c'est un vrai positif !

Partager ce message


Lien à poster
F5CMQ

Doublement merci PL.

Partager ce message


Lien à poster
F4FQH
Posté(e) (modifié)

mal vu desole !

Modifié par F4FQH

Partager ce message


Lien à poster
F4FQH
Posté(e) (modifié)

Rassurez vous F5JVD et F5CMQ, je pense bien qu'il y a un probleme mais c'est pas grave...

un collegue qui ne sait pas gerer correctement l'informatique , pour lui c'est bloquant, kaspersky bloque l'acces au site. Et il ne sait pas si c'est dangereux, si il peut bypasser l'alerte etc etc.

Pour d'autres c'est pareil, il faut donc corriger le probleme mais apparement, on a tord

Alors j'ai fait mon taf, j'ai signale le bug, maintenant libre aux "OWNERS" de faire ce qu'ils veulent...

73

 

Modifié par F4FQH

Partager ce message


Lien à poster
F4FQH

la detection sous kaspersky a evolue et change...

Sans titre.jpg

Partager ce message


Lien à poster
F6CSS
Posté(e) (modifié)

Bonjour

Il y a 15 heures, F5JVD a dit :

Ci joint  les premières lignes de code de la page d’accueil du site.

image.thumb.png.503e6db304f2fd6609864ecd9ef04668.png

Ci joint le code associé.

 

image.thumb.png.8e9ab6da9013e07fff1b5f45b9ab1101.png

Comme nous avons des experts, ils devraient pouvoir analyser...

Pour ma part, j’arreterais là, je pense que ces infos seront utiles au gestionnaire du site.

73, PL

 

Merci pour ces infos.   Je ne suis pas un expert mais c'est curieux cet appel de script en toute première ligne de la page d’accueil :huh:

Et effectivement , si l'on passe par l'intermédiaire d'un des moteurs de recherche mentionnés,  il y a une "redirection"  vers l'url en paramètre de "windows.location.replace() " . Cette URL est ... douteuse !

 

 

 

Modifié par F6CSS

Partager ce message


Lien à poster
F6BHW

Bonjour,

 Pour info des spécialistes : Je suis également sous Kaspersky avec Windows 8.1 / 32 bits. J’ai nettoyé le PC ; tout est normal …

 Si je passe par « Google » pour me connecter sur « radioamateur.org » là j’ai le blocage comme indiqué par F4FQH (Cf. page de Kaspersky) … Par contre, si je passe depuis les favoris ça marche normalement ...

 Mais comme je suis juriste, je laisse les experts en informatique  me donner une explication (pour info : j’ai fais un essai avec un autre PC W10/ 32 bits et un autre anti virus / Pas de problème ça fonctionne normalement dans tous les cas de figure). Donc un Pb d'anti viirus ????

Je vous remercie

Cordialement 73 Robert f6bhw

Partager ce message


Lien à poster
F6CSS

Bonjour Robert,

Les experts confirmeront, mais pour simplifier on va dire qu'il y a "un bout de programme farceur" (bloqué par les antivirus) qui s'exécute sur radioamateur.org si la demande de connexion provient d'un moteur de recherche.
Ce programme renvoie vers des pages web  douteuses  ( "  hameçonnage  " sur des sites de jeux).

Ce n'est pas un problème "local" aux machines.

73 J.Claude

  • Merci ! 1

Partager ce message


Lien à poster
F6BHW
il y a 9 minutes, F6CSS a dit :

Bonjour Robert,

Les experts confirmeront, mais pour simplifier on va dire qu'il y a "un bout de programme farceur" (bloqué par les antivirus) qui s'exécute sur radioamateur.org si la demande de connexion provient d'un moteur de recherche.
Ce programme renvoie vers des pages web  douteuses  ( "  hameçonnage  " sur des sites de jeux).

Ce n'est pas un problème "local" aux machines.

73 J.Claude

Bonjour J. Claude f6css,

Merci pour votre réponse, cela rejoint totalement mon analyse du dossier 

Cordialement et 73 de f6bhw Robert

Partager ce message


Lien à poster
F4FQH

Bonjour,

pour info hier par 2 fois il m'a refuse de me logger et en cliquant de nouveau sur connexion il s'est connecte.

On va esperer de ne pas se faire voler les donnees....pour contourner pour ceux qui passent par google, cliquez directement sur un rubrique non pas sur la page de garde.

Sinon faites un raccourcis direct au site.

la technique en informatique c'est mon boulot, mais je suis zero en programmation et conception de site. Donc je ne peux que constater.

73

Olivier

 

Partager ce message


Lien à poster
F5CMQ
Posté(e) (modifié)

Ca n'a peut-être rien à voir mais le fameux domaine jquery-ul.com a changé de registrant le 20 août.

Par ailleurs la redirection sur ce script évolue et mène bien sur des domaines plus que douteux et bloqués par MBAM

Par exemple :
window.location.replace("http://niworfrkysocsmaror.tk/index/?Bkm9gr

Si le non de domaine (toujours en extension .tk) est variable, le suffixe "Bkm9gr" semble fixe et est répertorié comme nuisible dans les bases de données spécialisées.

73
 

2020 08 31 - 08 45.jpg

Modifié par F5CMQ
  • Merci ! 2

Partager ce message


Lien à poster
F5PSR

Bonjour,

Je profite de ce message car j'ai aussi un problème d'accès au site de radioamateur.org depuis quelques semaines avec une tablette sous Android.

Alors que j'écris bien manuellement l'adresse du site, cela me répond :

"Votre connexion n'est pas privée.

Des individus malveillants tentent de subtiliser mes informations personnelles sur le site radioamateur.org...

NET: ERR_CERT_AUTHORITY_INVALID

... Impossible de vérifier sur le serveur qu'il s'agit bien du domaine radioamateur.org car son certificat de sécurité n'est pas considéré comme fiable par le système d'exploitation de votre appareil... "

Je n'ai ce problème que sur une tablette Android (Asus), quel que soit le point d'accès, alors que cela fonctionne correctement sur chacun de mes autres machines Android et Windows.

Si quelqu'un pouvait m'aider à surmonter ça, je suis preneur.

 

 

 

 

 

Partager ce message


Lien à poster
F6DGJ

Le mieux serait de corriger au lieu de pinailler, c'est pas moi c'est lui non ?

Partager ce message


Lien à poster
F5CMQ

Beaucoup peuvent pinailler, peu peuvent corriger.

Partager ce message


Lien à poster
F6CSS

Bonjour

Il y a 2 heures, F5PSR a dit :

Je profite de ce message car j'ai aussi un problème d'accès au site de radioamateur.org depuis quelques semaines avec une tablette sous Android.

 

Suggestion : vérifiez que la version de votre navigateur soit bien à jour (validité des certificats) et aussi que la tablette soit bien "à l'heure" (jour date etc..) . 73

Partager ce message


Lien à poster
F5LEN

Ca tourne en rond ce sujet. Le soucis n'est pas du côté "client" et il sera facile d'en régler la cause.

73 Pascal - F5LEN

  • Message intéressant 2

Partager ce message


Lien à poster
F6CSS
Posté(e) (modifié)
Il y a 1 heure, F5LEN a dit :

Ca tourne en rond ce sujet.

 

Je ne pense pas. Le problème a bien été identifié par F5JVD et F5CMQ  : Exécution d'un script dans la page d’accueil de radioamateur.org. Ce script,  hébergé chez "code.jquery-ul.com" ,redirige
le navigateur vers des urls de ce style (   http://niworfrkysocsmaror.tk/index/?Bkm9g à vos risques et périls ! !) si vous passez préalablement par un moteur de recherche pour vous connecter à radioamateur.org.
Quant à ma réponse sur "un problème client" (F5PSR) indépendamment du sujet principal c'était une simple suggestion afin de rendre service.

Modifié par F6CSS

Partager ce message


Lien à poster
F5CMQ

Facile, oui. Rapide, on verra, car certains ne semblent pas encore convaincus que le côté serveur est concerné.
Encore un peu et les râleurs seront traités de "complotistes", hi.

Jm

 

Partager ce message


Lien à poster
F4FQH

Au final......je vois que ca pose des problemes a pas mal de monde..... certain on meme change d'avis ! wow !

Le traitement du probleme sera plus long parce que...c'est F4FQH qui a lance la bete !😁, donc vous etes pas sortit de l'auberge....on sait jamais, si j'avais raison...

Pour la tablette de F5PSR c'est le meme probleme, sauf que les messages d'alerte sont differents...

73

Olivier

 

Partager ce message


Lien à poster
F1CLC
Posté(e) (modifié)
6 hours ago, F5PSR said:

"Votre connexion n'est pas privée.

Des individus malveillants tentent de subtiliser mes informations personnelles sur le site radioamateur.org...

NET: ERR_CERT_AUTHORITY_INVALID


Idem ici... 😕

Modifié par F1CLC

Partager ce message


Lien à poster
F5CMQ

Je pense que la modification a été faite sur radiomateur.org. Merci aux admins et 73 à tous.
Jm

Partager ce message


Lien à poster
F6BHW

Bonjour,

Je confirme, f5cmq,  ce matin ça fonctionne parfaitement. (le problème avec Kaspersky a disparu) Un coup de Chapeau a l’équipe de « radioamateur.org » discrète et efficace (…) et a f4fqh pour avoir signalé ...

Merci 73 de Robert f6bhw

Modifié par F6BHW
  • Message intéressant 1

Partager ce message


Lien à poster
F8DQL

Bonjour,

Une bibliothèque extérieure au site, mais utilisée, était corrompue.

Le souci a été corrigé hier soir.

73

  • Message intéressant 1
  • Merci ! 4

Partager ce message


Lien à poster

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant

×
×
  • Créer...