Infection par Magnipic.info

[Moonwalker]

je m'auto cite ( post 20)

Je ne mets pas en doute. Virer ~/Library/Applications Support/Firefox fait le ménage.

Mais virer simplement le dossier xxxx.default pose problème.

Dans le temps, c'est-à-dire à l'époque de FF 3.x, quand ils n'enfermaient pas les bookmarks dans une putain de base sqlite, ce n'était pas le cas. Tu le virais, il t'en écrivait un autre tout neuf.

 

[pascalformac]

c'est simple soit ce machin( de l'ordre du trojan) n'a agi que niveau ff local
et en ce cas tout virer niveau local résoud
soit ce bidule s'est aussi glissé ailleurs ( niveau OS ou ailleurs dans la session , un truc masqué dans internet plugin ou planqué en invisible , va savoir) et ce sera plus coton

on ne sait toujours pas ce que donne un test autre session
( je parie sur OK si ce machin n'est pas trop vicelard)

 

[Moonwalker]

Mouai…

Je commence à douter de la nature de l'affaire.

J'ai fait quelques recherches et ce machin est un truc à Windows. Aucune trace sur Mac. Firefox, ok, mais si on fait un ménage total, il n'y a pas de raison logique qu'on le retrouve encore là.

 

[pascalformac]

J'ai fait quelques recherches et ce machin est un truc à Windows. Aucune trace sur Mac. Firefox, ok, mais si on fait un ménage total, il n'y a pas de raison logique qu'on le retrouve encore là.

rien vu sur mac non plus
mais prisca n'est pas vraiment de la catégorie " troll qui vient faire mumuse , un jour d'ennui"
( classique de fête et vacances)

et il y a le descriptif du post 7 qui est intriguant ( avec la capture peu éclairante)

 

[Moonwalker]

rien vu sur mac non plus
mais prisca n'est pas vraiment de la catégorie " troll qui vient faire mumuse , un jour d'ennui"
( classique de fête et vacances)

et il y a le descriptif du post 7 qui est intriguant ( avec la capture peu éclairante)

Je ne dis pas qu'il fantasme mais je soupçonne maldonne sur la nature du problème.

Tu prends Firefox, tu le passes à la corbeille. Tu fais le ménages dans les dossiers indiqués, voire dans les plug-ins internet si t'es parano.

Tu télécharges un FF tout neuf sur le site de Mozilla et ça ne devrait plus être là.

Et puis surtout : il n'y a rien qui s'installe par inadvertance sur un Mac. Même si c'est une extension FF on lui a permis de s'installer.

 

[boninmi]

Désolée d'être si obtuse

Je ne dis pas qu'il fantasme

Elle.

 

[Polo35230]

Je reviens (lourdement) mettre mon grain de sel...
Pas simple de se débarrasser d'un malware, mais dans certains cas, on peut quand même essayer d'en limiter les effets.
J'en reviens au pop-ups; En partant du principe q'on peut voir l'URL (ou les URL) dans la barre d'adresse de ces pop-ups, on peut, avec VB X6 bloquer les échanges avec ces sites.
Donc, plus de pop-ups, et peut-être plus de portes d'entrées aussi. On aura alors un malware dormant.

Mais bien sûr qu'il faut s'en débarrasser, et là, sur ce fil, j'ai confiance, il y a les compétences qu'il faut.
Joyeux Noël à tous!

 

[Polo35230]

Ad6media, régie publicitaire au CPM
Reste à bloquer ça !

Pour interdire tout échange avec le nom de domaine ad6media.fr, tu as plusieurs solutions.

Soit tu as un firewall du marché, et tu pourras interdire les échanges directement avec ce nom de domaine. C'est la solution la plus simple que pourrait utiliser prisca22 avec VB X6.

Tu peux aussi modifier ton fichier hosts en rajoutant une llgne pour envoyer ad6media.fr sur la boucle locale.

Tu peux également utiliser le firewall interne du Mac en interdisant tout échange avec l'adresse (ou les adresses) IP du site ad6media.fr
Pour cela, dans une fenêtre Terminal, il faut taper la commande:
nslookup ad6media.fr
Tu verras qu'il n'y a qu'une seule adresse: 94.143.115.209
Il faudra alors rajouter une règle dans le firewall du Mac.
Dans une fenêtre Terminal, taper la commande :
sudo ipfw list (pour vérifier s'il n'y a pas de ligne 100)
Ensuite, taper la commande ci-dessous pour interdire toute comm avec le ad6media.fr
sudo ipfw add 100 deny ip from 94.143.115.209 to any
Si par la suite, tu veux enlever la règle qui correspond à la ligne 100, il faut faire:
sudo ipfw delete 100

 

[Moonwalker]

Comme l'impression que vous allez finir par suggérer une frappe nucléaire préventive.

 

[Polo35230]

Comme l'impression que vous allez finir par suggérer une frappe nucléaire préventive.

La prochaine étape, c'est un filtre sur 0.0.0.0/0
Avec ça, plus d'internet, plus de pb...

 

[Polo35230]

Question : Est-ce qu'un hébergeur peut bloquer la réception de certains noms de domaines vers une machine ? (encore une question de Newbie qui risque d'ouvrir un autre sujet ?)

Ce serait plus juste de dire qu'un hébergeur peut empêcher tout type de communication entre deux entités au travers de filtres ou de règles.
Mais oui, il le peut. Ça s'appelle la censure...
Elle peut s'appliquer sur des noms de domaine, de sous-domaines, d'URL (partielles ou complètes), mais aussi sur des adresses IP ou un ensemble d'adresses IP.

Ce que tu proposes confirmerait que d'activer le coupe-feu (préf/sécurité) d'OsX ne serait pas utile ?

A vrai dire, tout dépend...
Je ne sais pas quel OS tu as, mais sous Snow Leopard, à partir de l'interface graphique du Firewall du Mac, tu ne peux contrôler que les connexions entrantes (c'est à dire venant du web). C'est déjà bien, mais ce n'est pas suffisant...
Quand tu te connectes à un site web, c'est une connexion sortante qui est utilisée pour mettre en relation le client et le serveur. Mais la page que le site web t'envoie contient (potentiellement) des liens qui établissent également des connexions sortantes vers d'autres sites. Parmi ces connexions, il peut y avoir des liens avec des sites commerciaux, mais aussi des sites potentiellement dangereux.
C'est là que le firewall du mac (celui qui est accessible par l'interface graphique) est limité.
C'est là aussi (pour ceux qui veulent tout maîtriser) tout l'intérêt d'avoir un vrai firewall du genre LittleSnitch ou VirusBarrier X6. C'est la meilleure solution, mais elle demande un minimum d'investissement...
Après, via le Terminal et la commande ipfw, on peut tout faire, mais c'est un peu hermétique...

Pas sûr d'opter pour entrer dans Terminal; des manip ésotériques pour mon cerveau. (Comme je l'ai expliqué ailleurs à Maître Moon, j'ai le cerveau gauche un peu faiblard&#8230.

Même quelqu'un qui a le cerveau droit extrêmement développé peut appréhender le fonctionnement d'une commande du Terminal.
L'hémisphère droit dit:
"Faut faire quelque chose pour empêcher mon Mac de causer avec ad6media.fr, mais chais pas" (là, l'hémisphère droit se sous-estime le plus souvent ou il veut pas...).
Il refile alors le bébé à l'hémisphère gauche qui lui répond:
"Pas besoin de réfléchir, c'est facile, lis ce qu'il y a là dessous!"
Le firewall interne du Mac se compose d'une liste de règles qui sont exécutées dans l'ordre séquentiel, de 1 à 65000. Par défaut, il n'y a qu'une seule règle (la 65535 allow ip from any to any) qui fait du firewall une vraie passoire). Devant cette ligne, on va donc rajouter la ligne 100 pour filtrer les comms vers ad6media.fr
sudo ipfw list (pour vérifier s'il n'y a pas de ligne 100 au cas ou...)
Ensuite, on tape la commande ci-dessous pour interdire toute comm avec le ad6media.fr
sudo ipfw add 100 deny ip from 94.143.115.209 to any
Si par la suite, on veut rétablir les comms vers ad6media.fr, on fait:
sudo ipfw delete 100

 

[Moonwalker]

Si tu veux jouer avec IPFW, il y a ce logiciel qui lui donne une interface graphique : Waterroof.

A noter que depuis Lion, on dispose de l'autre merveille du monde BSD, Packet Filter. Il dispose lui aussi d'un logiciel pour en permettre un emploi plus aisé : IceFloor


Little Snitch c'est effectivement très bien pour couper court aux trucs pas désirés.

 

[lamainfroide]

AppZapper & Co tu n'en parles pas ici. Ok ? C'est caca !

Et moi je promets pour la nouvelle année de ne plus parler d'AppZapper & Co.

Oups, j'en ai parlé, je sors.

PS : Ah non, désolé, je sors pas encore, on est toujours en 2013.

En attendant, I will take a walk on the wild side.
Tou toulou toulou toutoulou tou toulou toulou toutouloutouuuu.

 

[prisca22]

Elle.

en effet...

 

[prisca22]

Ce serait plus juste de dire qu'un hébergeur peut empêcher tout type de communication entre deux entités au travers de filtres ou de règles.
Mais oui, il le peut. Ça s'appelle la censure...
Elle peut s'appliquer sur des noms de domaine, de sous-domaines, d'URL (partielles ou complètes), mais aussi sur des adresses IP ou un ensemble d'adresses IP.


A vrai dire, tout dépend...
Je ne sais pas quel OS tu as, mais sous Snow Leopard, à partir de l'interface graphique du Firewall du Mac, tu ne peux contrôler que les connexions entrantes (c'est à dire venant du web). C'est déjà bien, mais ce n'est pas suffisant...
Quand tu te connectes à un site web, c'est une connexion sortante qui est utilisée pour mettre en relation le client et le serveur. Mais la page que le site web t'envoie contient (potentiellement) des liens qui établissent également des connexions sortantes vers d'autres sites. Parmi ces connexions, il peut y avoir des liens avec des sites commerciaux, mais aussi des sites potentiellement dangereux.
C'est là que le firewall du mac (celui qui est accessible par l'interface graphique) est limité.
C'est là aussi (pour ceux qui veulent tout maîtriser) tout l'intérêt d'avoir un vrai firewall du genre LittleSnitch ou VirusBarrier X6. C'est la meilleure solution, mais elle demande un minimum d'investissement...
Après, via le Terminal et la commande ipfw, on peut tout faire, mais c'est un peu hermétique...


Même quelqu'un qui a le cerveau droit extrêmement développé peut appréhender le fonctionnement d'une commande du Terminal.
L'hémisphère droit dit:
"Faut faire quelque chose pour empêcher mon Mac de causer avec ad6media.fr, mais chais pas" (là, l'hémisphère droit se sous-estime le plus souvent ou il veut pas...).
Il refile alors le bébé à l'hémisphère gauche qui lui répond:
"Pas besoin de réfléchir, c'est facile, lis ce qu'il y a là dessous!"
Le firewall interne du Mac se compose d'une liste de règles qui sont exécutées dans l'ordre séquentiel, de 1 à 65000. Par défaut, il n'y a qu'une seule règle (la 65535 allow ip from any to any) qui fait du firewall une vraie passoire). Devant cette ligne, on va donc rajouter la ligne 100 pour filtrer les comms vers ad6media.fr
sudo ipfw list (pour vérifier s'il n'y a pas de ligne 100 au cas ou...)
Ensuite, on tape la commande ci-dessous pour interdire toute comm avec le ad6media.fr
sudo ipfw add 100 deny ip from 94.143.115.209 to any
Si par la suite, on veut rétablir les comms vers ad6media.fr, on fait:
sudo ipfw delete 100

Pendant quelques jours, je n'ai pas eu de notification de messages ici : j'ai présumé que tout le monde était en famille... Et non ! Je n'ai pas suivi tout ça, mais il me semble qu'il faudrait éliminer communication avec cette ad6media.fr. Est-ce bien ça ?

Par ailleurs, j'ai trouvé ces infos au sujet de ce malware.
Whois Record

Reverse Whois:
"Whois Proof LLP" owns about31,562 other domains

NS History:
2 changes on 3 unique name servers over 1 year.

IP History:
7 changes on 6 unique IP addresses over 1 years.

Whois History:
9 records have been archived since 2012-12-31 .

Reverse IP:
532 other sites hosted on this server.

Join DomainTools to start monitoring this domain name


Preview the complete Domain Report for magnipic.info

Domain ID48821604-LRMS
Domain Name:MAGNIPIC.INFO
Created On:30-Dec-2012 13:45:19 UTC
Last Updated On:21-Nov-2013 06:03:23 UTC
Expiration Date:30-Dec-2013 13:45:19 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:5d517dbb3c0ebe13
Registrant Name:Whois Manager
Registrant Organization:Whois Proof LLP
Registrant Street1O Box 4120
Registrant Street2:
Registrant Street3:
Registrant Cityortland
Registrant State/Province:OR
Registrant Postal Code:97208-4120
Registrant Country:US
Registrant Phone:+1.2024700599
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:
Admin ID:5d517dbb3c0ebe13
Admin Name:Whois Manager
Admin Organization:Whois Proof LLP
Admin Street1O Box 4120
Admin Street2:
Admin Street3:
Admin Cityortland
Admin State/Province:OR
Admin Postal Code:97208-4120
Admin Country:US
Admin Phone:+1.2024700599
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:
Billing ID:5d517dbb3c0ebe13
Billing Name:Whois Manager
Billing Organization:Whois Proof LLP
Billing Street1O Box 4120
Billing Street2:
Billing Street3:
Billing Cityortland
Billing State/Province:OR
Billing Postal Code:97208-4120
Billing Country:US
Billing Phone:+1.2024700599
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:
Tech ID:5d517dbb3c0ebe13
Tech Name:Whois Manager
Tech Organization:Whois Proof LLP
Tech Street1O Box 4120
Tech Street2:
Tech Street3:
Tech Cityortland
Tech State/Province:OR
Tech Postal Code:97208-4120
Tech Country:US
Tech Phone:+1.2024700599
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:
Name Server:HANK.NS.CLOUDFLARE.COM
Name Server:ERIN.NS.CLOUDFLARE.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
DNSSEC:Unsigned


​

Mais surtout ça :
Server Data

Server Type:
cloudflare-nginx

IP Address:
108.162.196.251 Reverse-IP | Ping | DNS Lookup | Traceroute

Whois Server:
whois.afilias.net

ASN:

AS13335 CLOUDFLARENET - CloudFlare, Inc. (registered Jul 14, 2010)

IP Location:

- New York - New York City - Cloudflare Inc.

Response Code:
200

Domain Status:
Registered And Active Website

Croyez-vous que ça puisse être intéressant comme info ? Si l'adresse IP est celle affiché, je pourrais la bloquer avec VB. Je vais essayer de ce pas.

Zut, de chez Zut ! Il y a eu une mise à jour aujourd'hui sur mon Mac et le système est passé à 10.9.1 et du coup VB ne fonctionne plus ! Je viens de leur demander s'ils ont une m-à-j?

 

[Polo35230]

Je n'ai pas suivi tout ça, mais il me semble qu'il faudrait éliminer communication avec cette ad6media.fr. Est-ce bien ça ?

Non, ad6media.fr est le souci d'Antik. C'est une simple, et pas dangereuse régie publicitaire appelée par certaines pages web et générant des pop-ups. Mais la méthode pour interdire les accès vers ce site est la même que pour toi...

Quand tu auras récupéré VB, tu pourras effectivement interdire toute comm avec magnipic.info en filtrant dans VB sur le nom de domaine magnipic.info.
Filtrer sur l'adresse IP 168.162.196.251 peut marcher, mais possible aussi qu'il y ait plusieurs adresses. Donc, le nom de domaine est mieux.
Regarde aussi le post#14 pour relever aussi les nom des domaines des fenêtres pop-ups.
Il faudra aussi les filtrer dans VB.

Ca ne supprimera pas le malware, mais il n'y aura plus de comms vers les sites distants.

l

 

[Polo35230]

Finalement, peut-être Adblock aurait suffit...

 

[prisca22]

Finalement, peut-être Adblock aurait suffit...

J'ai Adblock...

 

[Moonwalker]

J'ai Adblock...

Mouai, mais as-tu les bons filtres ?

 

[prisca22]

Mouai, mais as-tu les bons filtres ?

Quels filtres ? Je viens de mettre à jour les filtres généraux. Connais-tu d'autres à ajouter ?

Par ailleurs, j'ai fini par pouvoir mettre mon Virus Barrier à jour. Je l'ai passé sur mon DD. Résultat, un élément a été retrouvé que j'ai mis en quarantaine pour pouvoir vous en parler. I s'agit d'une application paraît-il se trouvant dans Bibliothèque > Frameworks > GenieoExtra.framework > Contents > MacOs > Application (dont l'icône ressemble à celui de Terminal).

Depuis VB, MagniPic n'invahit plus le bas de mon écran, mais reste plus ou moins discret (énervant quand même) en bas et à gauche de mon écran sans faire de pop-up. C'est marqué "Connecté à content.magnipic.info...". J'ai essayé de cliquer dessus mais il se réfugie de l'autre côté de l'écran. Donc pas cliquable.
Maintenant j'ai un autre bandeau de pop-up (il était là avec magnipic aussi mais comme magnipic était tellement plus envahissant, je n'en ai parlé qu'en passant). En cliqnant sur "i", ça donne "Powered by Best Coupon". Il y a un autre bouton qui permet de suspendre ce pop-up sur le site qu'on est en train de consulter pendant 1 heure, 1 jour, 1 semaine, ou toujours. Je clique évidemment sur toujours. Mais à chaque site consulté, je suis obligée de passer par là.
Je reste quand même infectée par cette M---- !

Aussi, le nouveau VB n'a plus l'air de donner accès à des blocages d'IP en particulier. Il n'affiche que 2 onglets = Analyser et Quarantaine.