Attention un nouveau virus de la Famille des Blaster arrive, et ne se propage pas par fichiers mais dirrectement de PC vers PC...


Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de ce type d'attaques un pare-feu (firewall) est nécessaire ; un anti-virus ne sera pas particulièrement efficace, au mieux il pourra réparer les dégats la machine une fois infectée.

Microsoft Security Bulletin MS04-11 :
http://www.microsoft.com/technet/s [...] 4-011.mspx

Windows 2000 anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE

Windows 2000 français :
http://download.microsoft.com/down [...] 86-FRA.EXE

Windows XP anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE

Windows XP français :
http://download.microsoft.com/down [...] 86-FRA.EXE

Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
- MBSA Homepage
- Téléchargement MBSA 1.2 anglais
- Téléchargement MBSA 1.2 français


Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK

Sous Windows 2000 :
- Télécharger shutdown.exe et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK

Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.


Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, les symptomes sont les suivants :
- un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe dans le dossier d'installation de Windows. MàJ : Apparition d'une variante B ou l'exécutable s'appelle "avserve2.exe"
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur
- la présence d'un fichier C:\WIN.LOG
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996.
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :



Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine

Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne, en voici quelques-uns :
- Symantec Security Check
- Trend Micro Scanning Housecall
- Panda Software ActiveScan
- BitDefender Free Online Virus Scan
- McAfee FreeScan
- RAV AntiVirus - Scan Online
- Kaspersky Labs Online Virus Scanner (permet uniquement l'envois d'un fichier suspecté d'être un virus)

Removal Tools pour éliminer Sasser automatiquement (02.05.2004 à 7h50) :
- McAfee AVERT Stinger
- Trend Micro Sysclean Package
- Symantec FxSasser.exe (W32.Sasser Removal Tool)
- Panda Software QuickRemover (enregistrement obligatoire)

Dernières mises à jour chez les éditeurs de logiciels AV (01.05.2004 à 19h00) :
- Symantec Security Response : W32.Sasser.Worm, W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, Exploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A
- Sophos : W32/Sasser.worm
- Panda Software : Sasser.A & DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : W32/Sasser.A & Microsoft Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser
- RAV Antivirus : Win32/Sasser.worm
- Norman : W32/Sasser.A
- F-Prot : W32/Sasser.A
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b (pages en Russe !)
- Avast : pas d'infos...
- Grisoft AVG : pas d'infos...

(source HFR)

j'allais le faire après avoir tout lu sur le forum

ca c pas moi qui choisis
g Kerio activé en permanence + McAfee et WU à jour, g quand même mis le correctif au cas où, on ne sait jamais

même un simple suffit a bloquer les ports en question ...445,5554 et 9996.

Pour verifier aller dans demarrer/executer :cmd : netstat -an

Et verifier que ces ports n'apparaissent pas ...

Oki, moi tout de façon seul le 80 et le 21 permete du traffic en sorti

C normal le 445 est utilisé en temps normal pour le DNS, comme d'autre pour le DHCP 1026,1027,1029,1031,1032,cela ne veux pas dire que tu es infecté ...

Oki merci

clair pareil

il sert à bloquer les ports entrants, don s'il passe pas par un port ouvet, oui

(c'est peut etre pour ça que mon père n'est pas venu me demander qqch, j'ai activé ce firewall sur sa machine, en plus du kerio sur la mienne (qui accede au net et le partage sur le reseau)

il y a un sujet ici pour les ports a bloquer d'office avec son firewall pour eviter tout problème ?

difficile de bloquer tous les ports dans un firewall surtout dans za, dans kerio je ne sais pas si c'est possible non plus

ah ok merci ^^

Ouais on est des gros méchant

France2

ils ont montré une société avec +sieurs 10zaines d'ordis (tous dans la même salle) qui se sont infectés en même temps à 19h20 hier, on voit l'efficacité de l'administrateur réseaux
et maintenant, ce sont les passionnés d'informatique et les hackers qui font les virus
les pauvres hackers, on leur fout tous les maux de l'informatique sur le dos, alors qu'ils n'y sont pour pas grand chose...

Si le pare-feu de XP était sensé barrer la route de Sasser,.....ben on peut dire que ça sert à rien puisque Sasser est quand même bien passé chez moi et m'a bien emm......

et c'est là que le commercial revient avec son portable et le branche sur le reseau de l'entreprise......


Schéma qui c'est produit en aout 2003 et qui va recommencer lundi dans pas mal d'entreprise.

Et comment tu fais avec celui de XP, CoCo

il est assez décevant leur firewall

Euh ce virus il fait juste un scan IP aleatoire non ?

donc dans ce cas je l'ai vu passer 1 fois sur mes firewall

Plutot decevant comme virus

n'empeche qu'au lieu de traquer les papys qui telechargent des divx.. ils feraient mieux de se consacrer à la recherche des VRAIS criminels informatique

très bon topic

On appelle ca un call center externalisé

si je te disais que Computer Associates tu tombes soit au Canada soit en Inde, tu me crois ?

Ca se fait de plus en plus de sous traiter la partie teelphonie/hotline

Dernier exemple en date : Free, qui sous-traite sa hotline dans une warp zone située à proximité d'un trou noir

J'ai les cooordonnées exactes : ICI

Je tiens à signaler que je ne participe pas à ce jeu puéril

Si tu observe sur quoi pointe ce link, tu verras que c'est sur mon FTP

bon.. pour cette fois ça va