Un dérivé de Sasser sans-doute, mais très bien élevé en tous cas...

Le
imanuel
Bonjour à tous,

Je viens de découvrir un bien étrange ver dans mon win2000 sp4, que j'ai
réussi en apparence à virer de mon ordi, jusqu'à preuve du contraire

Tout a commencé quand je m'aperçus de l'absence dans la barre des tâches
des quelques petits programmes sensés protéger mon PC :
Un Antivirus et deux Pare-feu, l'un intégré à la C.Mère , l'autre
logiciel et qui me sert surtout à mieux visualiser mon traffic

Un clic sur leurs icones n'entrainant aucune réaction, je me décide donc
à jeter un coup d'oeil dans l'exploreur, histoire de vérifier si ils
éxistent encore dans le "program files", et c'est là que je découvre une
supercherie étrangement sympathique pour ce genre d'intrus:

Les exes ne sont plus là, en apparence, car remplacés par des imitations
infonctionnelles qui pèsent à peine quelques kilos-octets tout en
portant le même nom que les exes originaux, mais, en vérité,
les exes sont toujours là.et oui, soigneusement rangés dans un petit
repertoire intitulé "bak", et INTACTS !!!
Et il m'a suffit d'effacer les trois fakes et de remonter à la racine
les trois exes correspondants pour que ceux-ci redémarrent au premier
coup de clic !

Un autre coup d'oeil sur les processus lancés au démarrage m'a permis de
repérer un autre exe bizarre situé dans le system32 et nommé
"lsasss.exe", ce qui m'a fait penser à une variante de Sasser, étant de
toute façon lié à l'infection puisque apparu dans le syteme à exactement
la même date et heure que les trois faux-exes mentionnés ci-dessus
Un lancement en mode ligne de commande sans échec, CD winntsystem32
suivi de DEL lsasss.exe, puis redemarrage et depuis mon PC semble bien
fonctionner, mais j'aimerais bien avoir l'avis d'un spécialiste pour
savoir si ce rapide traitement est suffisant.

J'ai d'ailleurs appliqué depuis deux correctifs, trouvés sur le site de
microsoft, l'un pour sasser, l'autre pour blaster, et tester l'outil
d'éradication fourni par symantec, "fx_sasser", qui n'a rien trouvé du
tout, pas plus que mon AVP 4.5 pourtant régulièrement mis-à-jour n'avait
sonné, se laissant même déconnecter sans broncher.

Merci d'avance pour tous commentaires, avis, ou conseils.

--
Imanuel
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Ludo_Le_Radio
Le #1668699
Bonjour,

ce qui m'intéresserait, c'est ta config actuelle concernant les divers programmes
Antivirus/firewall, l'activation ou non du firewall du système d'exploitation, quels
programmes utilisés sur le net, quel type de modem ADSL (routeur ou non) et sa
config, etc... afin de comprendre comment tu as chopé ce bidule...

Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme
je suis toujours à la recherche de l'amélioration...

Merci,
A+
Ludo.
imanuel
Le #1668696
Bonjour,

ce qui m'intéresserait, c'est ta config actuelle concernant les divers programmes
Antivirus/firewall, l'activation ou non du firewall du système d'exploitation, quels
programmes utilisés sur le net, quel type de modem ADSL (routeur ou non) et sa
config, etc... afin de comprendre comment tu as chopé ce bidule...

Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme
je suis toujours à la recherche de l'amélioration...


Il s'agit du parefeu NVidiaFirewall fourni avec ma C.M Asus A8N-E,
paramétré en profil élevé, plus un vieil Atguard 3.2 qui me sert, comme
je disais, pour surveiller un peu le traffic et les ports utilisés par
une carte réseau intégrée à la C.M reliée à mon modem câble.

Quant à l'anti-virus, un "vieil" AVP 4.5, en attendant de me décider à
acheter une version plus récente ne faisant pas trop "ramer" Win2000.
J'en avais testé une autre, la 5.0 (ou 6.0) trouvé en version de demo,
mais je trouvais qu'elle ralentissait trop mon pc.
Mais bon, depuis je l'ai upgradé aussi si vous avez des suggestions, une
version d'A.V.P pas trop chère qui ne pose pas de problème sous 2000, je
suis à l'écoute...

Win2000 n'a pas, à ma connaissance, de pare-feu intégré.
Pour ce qui est des logiciels, Thunderbird_1.5 pour ma boite email et
les forums et CrazyBrownser2, installé sur IExplorer 6.1, pour surfer.
Et puis aussi, j'allais oublier, Steam, ...pour me distraire !)

--
Imanuel

imanuel
Le #1668695

As-tu conservé le "Isasss.exe" ?


Non, éffacé en mode sans echec...

Si non, vérifier la base de registre et notament les clés suivantes :
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
System32
lsasss.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
System32
lsasss.exe

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
System32
lsasss.exe


Non rien pour ces clés, mais par contre, en faisant rechercher j'ai
trouvé ceci :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigstartupregLexmark_X79-55

et dedans:

command C:WINNTsystem32lsasss.exe
hkey HKLM
inimapping 0
item lsasss
key SOFTWAREMicrosoftWindowsCurrentVersionRun

(J'ai donc supprimé la clé Lexmark_x79-55)

Ce "Msconfig" est un utilitaire trouvé sur un site et permettant de
retrouver le msconfig de XP, absent dans 2000...

--
Imanuel

Roland Garcia
Le #1668694

Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme
je suis toujours à la recherche de l'amélioration...


.... j'en doute, vous nous ressortez toujours le même SPAM !

fu2

--
Roland Garcia

imanuel
Le #1668693
Bonjour à tous,

Je viens de découvrir un bien étrange ver dans mon win2000 sp4, que j'ai
réussi en apparence à virer de mon ordi, jusqu'à preuve du contraire...


Finalement, KAV est tombé sur un des faux exe que j'avais renommé mais
oublié de suprimer et m'a annoncé qu'il était infecté par :

Trojan-Downloader.Win32.Agent.awf

Il l'a effacé sans difficulté.

--
Imanuel

Ludo_Le_Radio
Le #1668692
Le Wed, 28 Feb 2007 09:33:22 +0100, imanuel

Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme
je suis toujours à la recherche de l'amélioration...


Il s'agit du parefeu NVidiaFirewall fourni avec ma C.M Asus A8N-E,
paramétré en profil élevé, plus un vieil Atguard 3.2 qui me sert, comme
je disais, pour surveiller un peu le trafic et les ports utilisés par
une carte réseau intégrée à la C.M reliée à mon modem câble.

Quant à l'anti-virus, un "vieil" AVP 4.5, en attendant de me décider à
acheter une version plus récente ne faisant pas trop "ramer" Win2000.
J'en avais testé une autre, la 5.0 (ou 6.0) trouvé en version de demo,
mais je trouvais qu'elle ralentissait trop mon pc.
Mais bon, depuis je l'ai upgradé aussi si vous avez des suggestions, une
version d'A.V.P pas trop chère qui ne pose pas de problème sous 2000, je
suis à l'écoute...

Win2000 n'a pas, à ma connaissance, de pare-feu intégré.
Pour ce qui est des logiciels, Thunderbird_1.5 pour ma boite email et
les forums et CrazyBrownser2, installé sur IExplorer 6.1, pour surfer.
Et puis aussi, j'allais oublier, Steam, ...pour me distraire !)


Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce
n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla
sans évidemment télécharger tous les plug-in...
Pour les autres réponses, je donne ma méthode personnelle cf
lien du début. Elle reste efficace sur deux config W2k entre autre.
Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller
de l'argent dans une version payante d'antivirus ou de firewall.

Sinon M. Garcia, toujours aussi constructif... Pensez plutôt
à aider votre prochain activement au lieu de lancer de
plats quolibets...

Ma page n'est sans doute pas parfaite, ou est perfectible
du moins... mais elle a le mérite d'exister.

:op

Bonne journée aux gens sympas de ce forum,
A+
Ludovic.


imanuel
Le #1668689

Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce
n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla
sans évidemment télécharger tous les plug-in...


Je vais suivre ce bon conseil et passez immédiatement à Firefox.

Pour les autres réponses, je donne ma méthode personnelle cf
lien du début. Elle reste efficace sur deux config W2k entre autre.
Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller
de l'argent dans une version payante d'antivirus ou de firewall.


C'est ce que je viens juste de faire !
J'ai viré KAV 4.5 et installé AVG 7.5 Free Edition à la place.

Avant je venais de testé Antivir, mais pas moyen de l'updater,
je ne sais quoi bloquait la mise à jour, le programme semblant plus
préoccupé à émettre je ne sais quelles données vers le net que de
scanner sérieusement l'intérieur de mon système...!)

Par contre, avec AVG aucun problème, et en quelques minutes tout était à
jour.

Merci pour votre aide.

--
Imanuel

Roland Garcia
Le #1668686

Sinon M. Garcia, toujours aussi constructif... Pensez plutôt
à aider votre prochain activement au lieu de lancer de
plats quolibets...

Ma page n'est sans doute pas parfaite, ou est perfectible
du moins... mais elle a le mérite d'exister.


... contrairement à certains liens indiqués dans vos spams, pas à jour
depuis des années.

fu2

--
Roland Garcia

NM
Le #1668685
Ludo_Le_Radio you wrote

Le Wed, 28 Feb 2007 09:33:22 +0100, imanuel ecrit:


Personnellement, j'applique
Sinon M. Garcia, toujours aussi constructif... Pensez plutôt


à aider votre prochain activement au lieu de lancer de
plats quolibets...

Ma page n'est sans doute pas parfaite, ou est perfectible
du moins... mais elle a le mérite d'exister.

:op

Bonne journée aux gens sympas de ce forum,
A+
Ludovic.



Heu Ludo, J'ai la profonde tristesse de te Plonker,

Je suis désolé pour ce silence "radio" mais tu me gonfles depuis
tellement de temps...

Hasta never.
--
CrAzYbOb

Reply to valid.
It could be something, it might mean nothing.

Since I lost MD So, everything went wrong



Ludo_Le_Radio
Le #1668683
Le Thu, 01 Mar 2007 08:10:13 +0100, imanuel

Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce
n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla
sans évidemment télécharger tous les plug-in...


Je vais suivre ce bon conseil et passez immédiatement à Firefox.

Pour les autres réponses, je donne ma méthode personnelle cf
lien du début. Elle reste efficace sur deux config W2k entre autre.
Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller
de l'argent dans une version payante d'antivirus ou de firewall.


C'est ce que je viens juste de faire !
J'ai viré KAV 4.5 et installé AVG 7.5 Free Edition à la place.

Avant je venais de testé Antivir, mais pas moyen de l'updater,
je ne sais quoi bloquait la mise à jour, le programme semblant plus
préoccupé à émettre je ne sais quelles données vers le net que de
scanner sérieusement l'intérieur de mon système...!)

Par contre, avec AVG aucun problème, et en quelques minutes tout était à
jour.

Merci pour votre aide.


Au plaisir,

:o)


Publicité
Poster une réponse
Anonyme