Une faille dans le virus Sasser

Samedi 15 mai 2004 à 11:30 par Marianne Kalinowski
Source: LURHQ
69 commentaires
Les auteurs de virus s'amusent bien ces temps-ci. Ainsi, le ver Dabber vient d'apparaître, qui exploite une faille de sécurité (une erreur de programmation) existant dans le ver Sasser, celui-là même qui avait fait la une de tous les journaux ces dernières semaines.

Son activité consiste à supprimer les virus reconnus dans le système, à essayer de se diffuser sur d'autres ordinateurs, à créer des statistiques d'efficacité, et à ouvrir une backdoor permettant à un utilisateur authentifié de récupérer les statistiques et effectuer d'autres actions. Sa diffusion est bien sûr limitée, car les ordinateurs toujours infectés par Sasser ne sont plus très nombreux, tant l'activité de ce virus était remarquable !

Tout cela fait un peu penser aux batailles de programmes qu'organisaient aux débuts de l'informatique les premiers développeurs. Le seul "hic", c'est qu'aujourd'hui tout le monde risque d'être touché, surtout si les codes sources et le détail du fonctionnement de tous ces malicieux programmes continue d'être largement diffusé.

La méthode de suppression est la même que celle de Sasser : arrêter le processus package.exe à l'aide du gestionnaire de tâche (à ouvrir en appuyant simultanément sur CTRL Gauche + SHIFT Gauche + ECHAP.), supprimer la clé "sassfix" du registre, et supprimer le fichier "package.exe" du dossier système et de tous les dossiers de démarrage.

Réagissez ! Retour à la liste des news
Dernières actus
Publicité
Commentaires
Patch 15/05/2004 11:34
Masquer
-0+
Patch

[:rofl] un virus utilisant la faille d'un ver pour se propager et supprimer les autres vers/virus, trop fort :D

seb54 15/05/2004 11:42
Masquer
-0+
seb54

Y sont fou ces programmeurs

Raoulbob 15/05/2004 11:48
Masquer
-0+
Raoulbob

Ce n'est pas la première fois que l'on voit ça.
Je ne sais plus quel autre virus avait pour effet de neutraliser Blaster. Netsky peut être...

Luke 15/05/2004 11:50
Masquer
-0+
Luke

Ces faux virus... :lol:

MinouX 15/05/2004 12:03
Masquer
-0+
MinouX

c le principe du vaccin :)

talineo 15/05/2004 12:04
Masquer
-0+
talineo

Bah en fait (comme c'était suggéré dans tron deja a l'époque), il y a pas mal d'experts en sécurité qui pensent que c'est une des meilleures solutions pour éradiquer les virus (comme en médecine avec le coup du vaccin en fait)
De là à dire qu'il ne faut pas se protéger et attendre que le contre-virus attaque et le contre-contre-virus ou la novuelle souche et ainsi de suite ... ya une marge lol

Micha_ 15/05/2004 12:15
Masquer
-0+
Micha_

Marianne K a écrit :


Tout cela fait un peu penser aux batailles de programmes qu'organisaient aux débuts de l'informatique les premiers développeurs.




Diable, mais ca existe _encore_ ! C'est ce que l'on appelle le corewar, il y a meme des regles maintenant ;-)
Le principe ? Vous avez une VM (Virtual Machine) qui ne comprend qu'un petit jeu d'instruction, et vous devez coder un Warrior (joueur) qui a pour but de detruire les autres programmes :-)

Patch 15/05/2004 12:24
Masquer
-0+
Patch

raoulbob a écrit :

Ce n'est pas la première fois que l'on voit ça.
Je ne sais plus quel autre virus avait pour effet de neutraliser Blaster. Netsky peut être...


vi, mais il ne passait pas par une faille de Blaster ;)

DuF 15/05/2004 12:58
Masquer
-0+
DuF

"surtout si les codes sources et le détail du fonctionnement de tous ces malicieux programmes continue d'être largement diffusé. "
Là je m'indigne, s'il y a tant de problèmes c'est avant tout parce que rien n'est réellement fait pour lutter contre, sans parler des antivirus qui ont un effet proche du zéro absolu. Entre les OS troués de partout et les protections inéfficaces faut pas s'étonner !

almar 15/05/2004 12:58
Masquer
-0+
almar

raoulbob a écrit :

Ce n'est pas la première fois que l'on voit ça.
Je ne sais plus quel autre virus avait pour effet de neutraliser Blaster. Netsky peut être...




c'etait pas Welchia plutot ?

Patch 15/05/2004 13:38
Masquer
-0+
Patch

DuF a écrit :

"surtout si les codes sources et le détail du fonctionnement de tous ces malicieux programmes continue d'être largement diffusé. "
Là je m'indigne, s'il y a tant de problèmes c'est avant tout parce que rien n'est réellement fait pour lutter contre, sans parler des antivirus qui ont un effet proche du zéro absolu. [g]1[/g] Entre les OS troués de partout [g]2[/g] et les protections inéfficaces [g]3[/g] faut pas s'étonner !


1- ah? tu généralises pas un peu le cas de NAV et de la +part des AV gratuits là?

c vrai, KAV ne détecte que 100% des virus qu'il connait, ca n'est pas assez :jap:

2- tu serais capable de nous faire l'OS parfait, sans aucun trou ni bug? :sarcastic:

3- pquoi continue-t-on à utiliser ces protecions si elles sont inefficaces?

Baster 15/05/2004 13:39
Masquer
-0+
Baster

Micha_ a écrit :

Diable, mais ca existe _encore_ ! C'est ce que l'on appelle le corewar, il y a meme des regles maintenant ;-)
Le principe ? Vous avez une VM (Virtual Machine) qui ne comprend qu'un petit jeu d'instruction, et vous devez coder un Warrior (joueur) qui a pour but de detruire les autres programmes :-)



Han c'était le sujet de mon partiel de programmation objet l'année dernière :bounce:
Comme je m'étais planté !!! :cry:

cgsyanick 15/05/2004 13:49
Masquer
-0+
cgsyanick

talineo a écrit :

Bah en fait (comme c'était suggéré dans tron deja a l'époque), il y a pas mal d'experts en sécurité qui pensent que c'est une des meilleures solutions pour éradiquer les virus (comme en médecine avec le coup du vaccin en fait)
De là à dire qu'il ne faut pas se protéger et attendre que le contre-virus attaque et le contre-contre-virus ou la novuelle souche et ainsi de suite ... ya une marge lol




ça pourrait être une solution, si ça n'encombrait pas les réseaux comme ça le fait actuellement ;)

Raoulbob 15/05/2004 14:08
Masquer
-0+
Raoulbob

almar a écrit :

c'etait pas Welchia plutot ?




C'est possible après tout, je ne sais plus son nom. Et comme j'ai la flemme de chercher...

SaVioLa78 15/05/2004 14:17
Masquer
-0+
SaVioLa78

almar a écrit :

c'etait pas Welchia plutot ?


:jap:

tommy31 15/05/2004 16:01
Masquer
-0+
tommy31

MinouX a écrit :

c le principe du vaccin :)



[g]du serum[/g] [:maitre capello]

almar 15/05/2004 16:05
Masquer
-0+
almar

quel différence ? (simple question de culture perso]

redneck 15/05/2004 16:10
Masquer
-0+
redneck

je pense que le vaccin est inoccule avant d'attraper la maladie, le serum c'est apres
le vaccin agit sur la cause, le serum sur les effets.

ex : il n'y a pas de vaccin anti venin :)

Freeben666 15/05/2004 17:06
Masquer
-0+
Freeben666

Un sérum (en bio) c des anticorps qu'on a prélevé dans le sang d'un autre individu. Le vaccin c l'antigéne (virus par example) rendu non-pathogène (il est plus actif).

C'est au programme de Ts (chapitre immunologie) :na:

Sethide 15/05/2004 17:31
Masquer
-0+
Sethide

Citation :Han c'était le sujet de mon partiel de programmation objet l'année dernière
Comme je m'étais planté !!!


Grilled par Baster ;)

Moa aussi me suis planté ^_^

Edit: Baster> Je te presente toutes mes excuses. Désolé pardon...

almar 15/05/2004 17:42
Masquer
-0+
almar

freeben666 a écrit :

Un sérum (en bio) c des anticorps qu'on a prélevé dans le sang d'un autre individu. Le vaccin c l'antigéne (virus par example) rendu non-pathogène (il est plus actif).

C'est au programme de Ts (chapitre immunologie) :na:




j'ai fait TS spé SVT en plus [:matleflou] mais ça remonte à loin [:spamafote]

Baster 15/05/2004 17:49
Masquer
-0+
Baster

sethide > t'évites d'écorcher mon nickname stp ;)
depuis le temps qu'on se connaît en plus :o

En tout cas, salop de M...t !!! (enfin remarque, il avait été sympa avec les notes, j'aurais du avoir beaucoup moins .... par contre quel sujet d'enfoiré !!!)

tommy31 15/05/2004 18:39
Masquer
-0+
tommy31

freeben666 a écrit :

Un sérum (en bio) c des anticorps qu'on a prélevé dans le sang d'un autre individu. Le vaccin c l'antigéne (virus par example) rendu non-pathogène (il est plus actif).

C'est au programme de Ts (chapitre immunologie) :na:




Pour être pratique et simpliste :

Vaccin = préventif (mais pas seulement, c'est plus complexe), donc le plus souvent AVANT (quoi que ;))

"Serum" = curatif (là c'est pas forcément des anticorps "classiques"), donc le plus souvent APRES (quoi que aussi).

Le mot "Serum" représente le liquide qui surnage quand les globules ont sédimentés dans un tube à essai ou une seringue, c'est donc un abus de langage pour dire qu'on utilise les anticorps qui y sont présents, plutôt Antidote.

En fait, tout dépend et de la pathologie concernée et de l'état de l'organisme et du but recherché.

Il y a de bons articles dans Sciences&Avenir, je trouve.

Pour ce ver ce serait donc un "serum" après infection par Sasser.

J'ai l'impression que Sasser (W2K) empêche carrement le boot puisque reboot automatique dès la phase de chargement (la barre de progession) même en Mode sans échec, je ne suis pas arrivé à entrer dans W2K : message d'erreur : votre BIOS n'est pas complètement compatible ACPI (et même en désactivant l'ACPI dans le BIOS rebelote Reboot automatique.

Ce petit gamin a fait un virus em***dant.

Edit :
PS 1: les anticorps (gamma-globulines du plasma) d'un "serum" ne proviennent pas toujours d'un autre être humain.

PS 2 : les vaccins peuvent contenir des virus ou bacilles vivants actifs donc mais atténués, des toxines, des fractions de protéines, des protéines et bien sûr des germes entiers tués (et d'autres choses mais c'est là aussi plus compliqué qu'un programme de Terminale S)

bouyou 15/05/2004 18:41
Masquer
-0+
bouyou

"Le seul "hic", c'est qu'aujourd'hui tout le monde risque d'être touché, surtout si les codes sources et le détail du fonctionnement de tous ces malicieux programmes continue d'être largement diffusé."

Marrianne c être très naïf de pensser que ca serai la solution, tu rejoin le meme avis que les député qui ont voté la LEN qui est d'interdire d'étudier légalement des failles légalement (qui permet de les corriger rapidement, d'apprendre a ne pas faire ces failles dans ses programmes, etc..) ce qui n'empéchera pas de le faire illégament par les personnes qui exploites déjà ces codes sources pour en faire des virus :/

SaVioLa78 15/05/2004 20:29
Masquer
-0+
SaVioLa78

Bouyou a écrit :

"Le seul "hic", c'est qu'aujourd'hui tout le monde risque d'être touché, surtout si les codes sources et le détail du fonctionnement de tous ces malicieux programmes continue d'être largement diffusé."

Marrianne c être très naïf de pensser que ca serai la solution, tu rejoin le meme avis que les député qui ont voté la LEN qui est d'interdire d'étudier légalement des failles légalement (qui permet de les corriger rapidement, d'apprendre a ne pas faire ces failles dans ses programmes, etc..) ce qui n'empéchera pas de le faire illégament par les personnes qui exploites déjà ces codes sources pour en faire des virus :/


Va t'acheter un dico :o

antp 15/05/2004 20:30
Masquer
-0+
antp

Marianne K a écrit :

gestionnaire de tâche (à ouvrir en appuyant simultanément sur CTRL Gauche + SHIFT Gauche + ECHAP.)




Ça fonctionne aussi avec les Ctrl & Shift de droite, ou un mélange des touches droit & gauche [:dawa]

SaVioLa78 15/05/2004 20:32
Masquer
-0+
SaVioLa78

et Ctrl Alt Suppr [:dawa ]

xam 15/05/2004 20:38
Masquer
-0+
xam

ps -aux [:dawa]

almar 15/05/2004 20:39
Masquer
-0+
almar

et CTRL (droit) + Arret Defil [:mad_overclocker]

MANUALLY_INITIATED_CRASH (0xE2) blue-screen...

cgsyanick 15/05/2004 20:49
Masquer
-0+
cgsyanick

xam a écrit :

ps -aux [:dawa]




sans le tiret [:maitre capello]

xam 15/05/2004 20:54
Masquer
-0+
xam

cgsyanick a écrit :

sans le tiret [:maitre capello]


exact, j'ai pris cette habitude depuis je ne sais plus quand. Remarque ca marche avec.

Ce sujet ne peut plus être commenté.
Guide d'achat
Publicité