x

Alerte Cheval de Troie SNH-gen [Trj] avec Contact Form 7 sur WordPress [fixé]

 
02/07 08:23 #1
il y a un Script : avertissement de cheval de Troie SNH-gen [Trj] de tous les antivirus avec le plugin contact Form 7 de Wordpress depuis quelques heures Depuis quelques heures, des alertes de cheval de Troie SNH-gen [Trj] ont été signalées par plusieurs antivirus concernant le plugin Contact Form 7 de WordPress.

Voici ce que nous savons à ce moment, même si au départ nous pensions qu'il s'agssait de la dernière mise à jour de honeypot qui générait cela:

Avast semble être le premier antivirus à avoir détecté la menace.
D'autres antivirus, comme Bitdefender et Kaspersky, ont également confirmé la présence du cheval de Troie.
Le cheval de Troie serait injecté dans un fichier JavaScript du plugin Contact Form 7 ( à investiguer ).
Ce cheval de Troie pourrait être utilisé pour voler des informations sensibles, comme les identifiants de connexion et les données bancaires ( à investiguer ).

Beaucoup d'utilisateurs indiquent recevoir des avertissements et se retrouver avec des sites bloqués par les antivirus en indiquant que Contact Form 7 contient un cheval de Troie avec le script : SNH-gen [Trj] – et cela se produit pour presque toutes les versions de CF7.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16045
Annonces
Publicité
anonyme
02/07 08:27 #2
Il est vrai que l'alerte de cheval de Troie SNH-gen [Trj] sur Contact Form 7 a semé le trouble chez de nombreux utilisateurs de WordPress dont nous qui gérons plusieurs sites, pour ne pas dire quelques dizaines. Il est crucial de déterminer s'il s'agit d'un faux positif ( cela est déjà arrivé ) ou d'une réelle compromission. Deux pistes possibles :

1/ Faux positif possible :
Des faux positifs peuvent survenir lorsque les antivirus identifient par erreur un fichier légitime comme malveillant.
Cela peut être causé par des signatures antivirus trop génériques ou par des modifications mineures apportées au code du plugin.

2/ Compromission possible :
La présence du cheval de Troie dans le plugin ne peut être totalement exclue.
L'injection de code malveillant dans la chaîne d'approvisionnement des plugins WordPress est un mode opératoire connu des pirates.

Si c'est le cas, nous devons le savoir afin de pouvoir commencer immédiatement à reconstruire chaque formulaire CF7 avec un plug-in concurrent afin de pouvoir le retirer rapidement de tous les sites.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16045
02/07 08:29 #3
C'est aussi présent avec l'antivirus AVG qui fait apparaître le message d'alerte de cheval de Troie. Cela a commencé à arriver à mon site WP perso au cours des 2 dernières heures lorsque j'ai voulu vérifier le formulaire de contact. Au début, je pensais que c'était juste mon site, alors je suis revenu à la sauvegarde d'hier, puis à celle de la semaine dernière, mais il était toujours là. J'ai donc cherché sur Internet et trouvé cette page et j'ai réalisé que ce n'était pas seulement mon site !

Ludo
LU
anonyme
Groupe :
Visiteur
02/07 09:40 #4
Sur Avast, il semble que le dernier update de la base de données a corrigé le problème. Les formulaires semble de nouveau s'afficher normalement.
Update : tout est rentré dans l'ordre pour toutes les solutions antivirus.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16045
08/07 07:25 #5
Cela recommence ce matin !!

Avast
Menace éliminée
Nous avons annulé la connexion à boucherie-parian.corsica car cet élément était infecté par Script:SNH-gen [Trj]
Nous pouvons aussi vous protéger contre d'autres types de menaces
METTRE À NIVEAU VOTRE PROTECTION

Processus
Script:SNH-gen [Trj]
Cheval de Troie : menace se faisant passer pour un autre élément (photo, document ou autre fichier) pour vous inciter à l'exécuter et infecter votre ordinateur.
C:Program Files (x86)GoogleChrome Applicationchrome.exe

Ludo
LU
anonyme
Groupe :
Visiteur
Vous souhaitez contribuer à ce sujet ?
Vous avez une réponse à apporter, vous avez une solution ?
Venez répondre !
C'est gratuit et aucun compte à créer pour répondre dans le forum.
Vous souhaitez poser une question ?
Vous avez une autre question, pour un nouveau sujet ?
Venez demander !
C'est gratuit et aucun compte à créer pour poser votre question dans le forum.
 
Vous avez trouvé cette réponse utile ? Partagez-la !