Le firewall de NAV est en train de s'affoler chez moi. je subis depuis 1/4
d'heure des tentatives d'intrusions du cheval de troie phinneas
phucker...c'est à dire que j'efface l'alerte de sécurité, deux secondes plus
tard j'en ai une autre. Les attaques semblent venir de partout : pologne,
Emirats arbes unis, hollande, Angleterre...
Je veux pas être parano mais je viens d'envoyer il y a une heure une
soixantaine du même mail ommant un FAI de me répondre...je pense que c'est
le hasard...
Je vais me déconnecter pour changer d'IP...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
joke0
Salut,
baiona:
Le firewall de NAV est en train de s'affoler chez moi. je subis depuis 1/4 d'heure des tentatives d'intrusions du cheval de troie phinneas phucker...
Mais bien sûr...
C'est connu, les chevaux de Troie attaque de l'extérieur ;-)
Ce n'est rien, c'est juste Norton qui fait du bruit pour vous faire voir combien il fait bien son boulot. Ses messages sont complétement bidons, et vous feriez mieux de prendre un firewall sérieux...il y en a des gratuits.
-- joke0
Salut,
baiona:
Le firewall de NAV est en train de s'affoler chez moi. je
subis depuis 1/4 d'heure des tentatives d'intrusions du cheval
de troie phinneas phucker...
Mais bien sûr...
C'est connu, les chevaux de Troie attaque de l'extérieur ;-)
Ce n'est rien, c'est juste Norton qui fait du bruit pour vous
faire voir combien il fait bien son boulot. Ses messages sont
complétement bidons, et vous feriez mieux de prendre un firewall
sérieux...il y en a des gratuits.
Le firewall de NAV est en train de s'affoler chez moi. je subis depuis 1/4 d'heure des tentatives d'intrusions du cheval de troie phinneas phucker...
Mais bien sûr...
C'est connu, les chevaux de Troie attaque de l'extérieur ;-)
Ce n'est rien, c'est juste Norton qui fait du bruit pour vous faire voir combien il fait bien son boulot. Ses messages sont complétement bidons, et vous feriez mieux de prendre un firewall sérieux...il y en a des gratuits.
-- joke0
Peio
joke0 a écrit:
Salut,
baiona:
Le firewall de NAV est en train de s'affoler chez moi. je subis depuis 1/4 d'heure des tentatives d'intrusions du cheval de troie phinneas phucker...
Mais bien sûr...
C'est connu, les chevaux de Troie attaque de l'extérieur ;-)
Ce n'est rien, c'est juste Norton qui fait du bruit pour vous faire voir combien il fait bien son boulot. Ses messages sont complétement bidons,
Oui, enfin il existe quand même des choses que je ne m'explique pas. (Il est vrai que je ne suis pas un spécialiste de la question).
Personne n'a jugé utile de répondre à mon message de l'autre jour et qui disait ceci :
----------- A part ça, Norton vient d'effacer pour la deuxième fois en 15 jours de la même machine (juste en sortie de veille mais avec MSN messenger "on"). Je n'avais ouvert aucune pièce jointe ni surfé sur le WEB, ni p2péé. Je me demande par où il m'infeste. Un scan complet ne détecte rien en résident, j'ai fait tourner avant-hier SPSD, et tout devrait être à peu près propre. Peut-être le port 445 que je suis apparemment obligé de laisser ouvert pour le gateway réseau local avec une autre machine ? Pourtant il est sous surveillance Kerio et ce dernier ne m'a rien signalé.
Si vous avez une idée... ----------
Il se trouve que le fichier effacé, "setup.exe", existe bien. Je ne sais pas ce qu'il contient, mais un peu après avoir écrit le message ci-dessus, je l'ai vu apparaître soudainement dans un fichier partagé que, par le plus grand des hasards, j'examinais à ce moment là avec l'explorateur. ...Une seconde avant de le voir effacer en vraie grandeur pour la troisième fois consécutive par Noton 2003, effacement accompagné du même message d'alerte (W32.Cissi).
Dans ce fichier, je suis certain de ne jamais avoir copié de "setup.exe" comme ça, tout seul.
Par ailleurs, j'ai Kerio version payante. Alors ? -- Peio
joke0 a écrit:
Salut,
baiona:
Le firewall de NAV est en train de s'affoler chez moi. je
subis depuis 1/4 d'heure des tentatives d'intrusions du cheval
de troie phinneas phucker...
Mais bien sûr...
C'est connu, les chevaux de Troie attaque de l'extérieur ;-)
Ce n'est rien, c'est juste Norton qui fait du bruit pour vous
faire voir combien il fait bien son boulot. Ses messages sont
complétement bidons,
Oui, enfin il existe quand même des choses que je ne m'explique pas.
(Il est vrai que je ne suis pas un spécialiste de la question).
Personne n'a jugé utile de répondre à mon message de l'autre jour et qui
disait ceci :
-----------
A part ça, Norton vient d'effacer pour la deuxième fois en 15 jours
W32.Cissi.A@mm de la même machine (juste en sortie de veille mais avec
MSN messenger "on"). Je n'avais ouvert aucune pièce jointe ni surfé sur
le WEB, ni p2péé. Je me demande par où il m'infeste. Un scan complet ne
détecte rien en résident, j'ai fait tourner avant-hier SPSD, et tout
devrait être à peu près propre.
Peut-être le port 445 que je suis apparemment obligé de laisser ouvert
pour le gateway réseau local avec une autre machine ? Pourtant il est
sous surveillance Kerio et ce dernier ne m'a rien signalé.
Si vous avez une idée...
----------
Il se trouve que le fichier effacé, "setup.exe", existe bien.
Je ne sais pas ce qu'il contient, mais un peu après avoir écrit le
message ci-dessus, je l'ai vu apparaître soudainement dans un fichier
partagé que, par le plus grand des hasards, j'examinais à ce moment là
avec l'explorateur.
...Une seconde avant de le voir effacer en vraie grandeur pour la
troisième fois consécutive par Noton 2003, effacement accompagné du même
message d'alerte (W32.Cissi).
Dans ce fichier, je suis certain de ne jamais avoir copié de "setup.exe"
comme ça, tout seul.
Par ailleurs, j'ai Kerio version payante.
Alors ?
--
Peio
Le firewall de NAV est en train de s'affoler chez moi. je subis depuis 1/4 d'heure des tentatives d'intrusions du cheval de troie phinneas phucker...
Mais bien sûr...
C'est connu, les chevaux de Troie attaque de l'extérieur ;-)
Ce n'est rien, c'est juste Norton qui fait du bruit pour vous faire voir combien il fait bien son boulot. Ses messages sont complétement bidons,
Oui, enfin il existe quand même des choses que je ne m'explique pas. (Il est vrai que je ne suis pas un spécialiste de la question).
Personne n'a jugé utile de répondre à mon message de l'autre jour et qui disait ceci :
----------- A part ça, Norton vient d'effacer pour la deuxième fois en 15 jours de la même machine (juste en sortie de veille mais avec MSN messenger "on"). Je n'avais ouvert aucune pièce jointe ni surfé sur le WEB, ni p2péé. Je me demande par où il m'infeste. Un scan complet ne détecte rien en résident, j'ai fait tourner avant-hier SPSD, et tout devrait être à peu près propre. Peut-être le port 445 que je suis apparemment obligé de laisser ouvert pour le gateway réseau local avec une autre machine ? Pourtant il est sous surveillance Kerio et ce dernier ne m'a rien signalé.
Si vous avez une idée... ----------
Il se trouve que le fichier effacé, "setup.exe", existe bien. Je ne sais pas ce qu'il contient, mais un peu après avoir écrit le message ci-dessus, je l'ai vu apparaître soudainement dans un fichier partagé que, par le plus grand des hasards, j'examinais à ce moment là avec l'explorateur. ...Une seconde avant de le voir effacer en vraie grandeur pour la troisième fois consécutive par Noton 2003, effacement accompagné du même message d'alerte (W32.Cissi).
Dans ce fichier, je suis certain de ne jamais avoir copié de "setup.exe" comme ça, tout seul.
Par ailleurs, j'ai Kerio version payante. Alors ? -- Peio
joke0
Salut,
Peio:
A part ça, Norton vient d'effacer pour la deuxième fois en 15 jours de la même machine (juste en sortie de veille mais avec MSN messenger "on").
Si tu trouves la description sur symantec.com, je suis preneur.
-- joke0
Salut,
Peio:
A part ça, Norton vient d'effacer pour la deuxième fois en 15
jours W32.Cissi.A@mm de la même machine (juste en sortie de
veille mais avec MSN messenger "on").
Si tu trouves la description sur symantec.com, je suis preneur.
A part ça, Norton vient d'effacer pour la deuxième fois en 15 jours de la même machine (juste en sortie de veille mais avec MSN messenger "on").
Si tu trouves la description sur symantec.com, je suis preneur.
-- joke0
Peio
joke0 a écrit:
Salut,
Peio:
A part ça, Norton vient d'effacer pour la deuxième fois en 15 jours de la même machine (juste en sortie de veille mais avec MSN messenger "on").
Si tu trouves la description sur symantec.com, je suis preneur.
Fastoche, je l'ai à au moins 5 exemplaires dans l'activity log de Norton: http://securityresponse.symantec.com/avcenter/venc/data/
" is a mass-mailing worm, which also contains backdoor functionality to connect to an IRC server. This worm can also wait for commands.
can spread over the network using the NetBIOS protocol. It can spread to systems that do not have passwords or to ones that have simple passwords.
The worm is written in Delphi and is packed with UPX."
-- Peio
joke0 a écrit:
Salut,
Peio:
A part ça, Norton vient d'effacer pour la deuxième fois en 15
jours W32.Cissi.A@mm de la même machine (juste en sortie de
veille mais avec MSN messenger "on").
Si tu trouves la description sur symantec.com, je suis preneur.
Fastoche, je l'ai à au moins 5 exemplaires dans l'activity log de
Norton:
http://securityresponse.symantec.com/avcenter/venc/data/w32.cissi.a@mm.html
"W32.Cissi.A@mm is a mass-mailing worm, which also contains backdoor
functionality to connect to an IRC server. This worm can also wait for
commands.
W32.Cissi.A@mm can spread over the network using the NetBIOS protocol.
It can spread to systems that do not have passwords or to ones that have
simple passwords.
The worm is written in Delphi and is packed with UPX."
A part ça, Norton vient d'effacer pour la deuxième fois en 15 jours de la même machine (juste en sortie de veille mais avec MSN messenger "on").
Si tu trouves la description sur symantec.com, je suis preneur.
Fastoche, je l'ai à au moins 5 exemplaires dans l'activity log de Norton: http://securityresponse.symantec.com/avcenter/venc/data/
" is a mass-mailing worm, which also contains backdoor functionality to connect to an IRC server. This worm can also wait for commands.
can spread over the network using the NetBIOS protocol. It can spread to systems that do not have passwords or to ones that have simple passwords.
The worm is written in Delphi and is packed with UPX."
-- Peio
joke0
Salut,
Peio:
" is a mass-mailing worm, which also contains backdoor functionality to connect to an IRC server. This worm can also wait for commands.
can spread over the network using the NetBIOS protocol. It can spread to systems that do not have passwords or to ones that have simple passwords.
Voilà comment il vient: par NetBios. As-tu des partages? Es-tu en réseau? Si NetBios ne te sert à rien, supprime-le dans la liste des protocoles réseaux
-- joke0
Salut,
Peio:
"W32.Cissi.A@mm is a mass-mailing worm, which also contains
backdoor functionality to connect to an IRC server. This worm
can also wait for commands.
W32.Cissi.A@mm can spread over the network using the NetBIOS
protocol. It can spread to systems that do not have passwords
or to ones that have simple passwords.
Voilà comment il vient: par NetBios. As-tu des partages? Es-tu
en réseau? Si NetBios ne te sert à rien, supprime-le dans la
liste des protocoles réseaux
" is a mass-mailing worm, which also contains backdoor functionality to connect to an IRC server. This worm can also wait for commands.
can spread over the network using the NetBIOS protocol. It can spread to systems that do not have passwords or to ones that have simple passwords.
Voilà comment il vient: par NetBios. As-tu des partages? Es-tu en réseau? Si NetBios ne te sert à rien, supprime-le dans la liste des protocoles réseaux
-- joke0
Peio
joke0 a écrit:
Salut,
Peio:
" is a mass-mailing worm, which also contains backdoor functionality to connect to an IRC server. This worm can also wait for commands.
can spread over the network using the NetBIOS protocol. It can spread to systems that do not have passwords or to ones that have simple passwords.
Voilà comment il vient: par NetBios.
Kerio devrait m'en avertir, non ?
De plus, j'ai complètement bloqué les ports 135 et 139.
As-tu des partages?
Oui. Je vous avais du reste précisé qu'il arrive toujours dans le même fichier partagé : "Source: C:SoftwaresSetup.exe Click for more information about this virus : "
Es-tu en réseau?
En réseau local (avec l'ordinateur sujet aux infections par "Cissi" comme passerelle). J'avais d'ailleurs précisé dans un précédent post que ce rôle de passerelle me contraignait à laisser le port 445 ouvert si je veux pouvoir me connecter à Internet et aux partages avec l'ordinateur client. Si vous avez une autre solution ? Moi, je n'y connais pas grand chose, à ces histoires de port. Je traite ça empiriquement du mieux que je peux. M'enfin, j'ai défini la règle suivante pour ce foutu port 445 dans Kerio: ---------- Protocols : TCP/UDP
Direction : Both, Permit
Show alert to user. ---------
....Et, effectivement, Kerio m'alerte à chaque fois que l'autre ordinateur établit la connexion sur ce port 445, via ethernet.
En revanche il ne me dit rien quand ce fichu virus s'installe. C'est pourquoi je me pose la question de savoir s'il vient de l'extérieur ou s'il se réside à l'intérieur (bien qu'indétecté par un scan complet Norton), se déclenchant sur une commande spécifique. En effet, Symantec Security dit aussi à son sujet :
"This worm can also wait for commands. "
...Ce qui est sybillin ! Dans ce cas je serais "porteur sain séronégatif", en quelque sorte :-)
Si NetBios ne te sert à rien, supprime-le dans la liste des protocoles réseaux
C'est fait. Mais, de toutes façon, Netbios utilise bien ces ports 135 et 139 qui sont bloqués par Kerio, non ?
En tous cas, pas de nouvelle alerte depuis l'autre jour alors que je suis connecté quasi-permanent et que je n'ai rien changé à la config.
Curieux, non ?
-- Peio
joke0 a écrit:
Salut,
Peio:
"W32.Cissi.A@mm is a mass-mailing worm, which also contains
backdoor functionality to connect to an IRC server. This worm
can also wait for commands.
W32.Cissi.A@mm can spread over the network using the NetBIOS
protocol. It can spread to systems that do not have passwords
or to ones that have simple passwords.
Voilà comment il vient: par NetBios.
Kerio devrait m'en avertir, non ?
De plus, j'ai complètement bloqué les ports 135 et 139.
As-tu des partages?
Oui.
Je vous avais du reste précisé qu'il arrive toujours dans le même
fichier partagé :
"Source: C:SoftwaresSetup.exe
Click for more information about this virus : W32.Cissi.A@mm"
Es-tu en réseau?
En réseau local (avec l'ordinateur sujet aux infections par "Cissi"
comme passerelle).
J'avais d'ailleurs précisé dans un précédent post que ce rôle de
passerelle me contraignait à laisser le port 445 ouvert si je veux
pouvoir me connecter à Internet et aux partages avec l'ordinateur
client.
Si vous avez une autre solution ? Moi, je n'y connais pas grand chose, à
ces histoires de port. Je traite ça empiriquement du mieux que je peux.
M'enfin, j'ai défini la règle suivante pour ce foutu port 445 dans
Kerio:
----------
Protocols : TCP/UDP
Direction : Both, Permit
Show alert to user.
---------
....Et, effectivement, Kerio m'alerte à chaque fois que l'autre
ordinateur établit la connexion sur ce port 445, via ethernet.
En revanche il ne me dit rien quand ce fichu virus s'installe.
C'est pourquoi je me pose la question de savoir s'il vient de
l'extérieur ou s'il se réside à l'intérieur (bien qu'indétecté par un
scan complet Norton), se déclenchant sur une commande spécifique.
En effet, Symantec Security dit aussi à son sujet :
"This worm can also wait for commands. "
...Ce qui est sybillin !
Dans ce cas je serais "porteur sain séronégatif", en quelque sorte :-)
Si NetBios ne te sert à rien, supprime-le dans la
liste des protocoles réseaux
C'est fait.
Mais, de toutes façon, Netbios utilise bien ces ports 135 et 139 qui
sont bloqués par Kerio, non ?
En tous cas, pas de nouvelle alerte depuis l'autre jour alors que je
suis connecté quasi-permanent et que je n'ai rien changé à la config.
" is a mass-mailing worm, which also contains backdoor functionality to connect to an IRC server. This worm can also wait for commands.
can spread over the network using the NetBIOS protocol. It can spread to systems that do not have passwords or to ones that have simple passwords.
Voilà comment il vient: par NetBios.
Kerio devrait m'en avertir, non ?
De plus, j'ai complètement bloqué les ports 135 et 139.
As-tu des partages?
Oui. Je vous avais du reste précisé qu'il arrive toujours dans le même fichier partagé : "Source: C:SoftwaresSetup.exe Click for more information about this virus : "
Es-tu en réseau?
En réseau local (avec l'ordinateur sujet aux infections par "Cissi" comme passerelle). J'avais d'ailleurs précisé dans un précédent post que ce rôle de passerelle me contraignait à laisser le port 445 ouvert si je veux pouvoir me connecter à Internet et aux partages avec l'ordinateur client. Si vous avez une autre solution ? Moi, je n'y connais pas grand chose, à ces histoires de port. Je traite ça empiriquement du mieux que je peux. M'enfin, j'ai défini la règle suivante pour ce foutu port 445 dans Kerio: ---------- Protocols : TCP/UDP
Direction : Both, Permit
Show alert to user. ---------
....Et, effectivement, Kerio m'alerte à chaque fois que l'autre ordinateur établit la connexion sur ce port 445, via ethernet.
En revanche il ne me dit rien quand ce fichu virus s'installe. C'est pourquoi je me pose la question de savoir s'il vient de l'extérieur ou s'il se réside à l'intérieur (bien qu'indétecté par un scan complet Norton), se déclenchant sur une commande spécifique. En effet, Symantec Security dit aussi à son sujet :
"This worm can also wait for commands. "
...Ce qui est sybillin ! Dans ce cas je serais "porteur sain séronégatif", en quelque sorte :-)
Si NetBios ne te sert à rien, supprime-le dans la liste des protocoles réseaux
C'est fait. Mais, de toutes façon, Netbios utilise bien ces ports 135 et 139 qui sont bloqués par Kerio, non ?
En tous cas, pas de nouvelle alerte depuis l'autre jour alors que je suis connecté quasi-permanent et que je n'ai rien changé à la config.
Curieux, non ?
-- Peio
joke0
Salut,
Peio:
Kerio devrait m'en avertir, non ?
Oui si tu as interdit NetBios (le plus simple est encore de le désactiver).
Je vous avais du reste précisé qu'il arrive toujours dans le même fichier partagé : "Source: C:SoftwaresSetup.exe
Il faudrait savoir qui crée ce fichier. Peut-être y a t-il un dropper sur le PC?
Là je ne vois pas d'autre solution que: http://www.sysinternals.com/ntw2k/source/filemon.shtml
Un moniteur de fichier. Tu le lances, tu lui fais logger tous les accés fichier. Quand le setup.exe est de retour, tu enregistres le log, puis tu cherches les occurrences de 'setup.exe'. Si tu en trouves, envoie-moi le log (compressé).
En réseau local (avec l'ordinateur sujet aux infections par "Cissi" comme passerelle).
Je pense que tout ce passe sur le PC car sinon le ver aurait vérolé les PC reliés à la passerelle.
-- joke0
Salut,
Peio:
Kerio devrait m'en avertir, non ?
Oui si tu as interdit NetBios (le plus simple est encore de le
désactiver).
Je vous avais du reste précisé qu'il arrive toujours dans le
même fichier partagé :
"Source: C:SoftwaresSetup.exe
Il faudrait savoir qui crée ce fichier. Peut-être y a t-il un
dropper sur le PC?
Là je ne vois pas d'autre solution que:
http://www.sysinternals.com/ntw2k/source/filemon.shtml
Un moniteur de fichier. Tu le lances, tu lui fais logger tous
les accés fichier. Quand le setup.exe est de retour, tu
enregistres le log, puis tu cherches les occurrences de
'setup.exe'. Si tu en trouves, envoie-moi le log (compressé).
En réseau local (avec l'ordinateur sujet aux infections par
"Cissi" comme passerelle).
Je pense que tout ce passe sur le PC car sinon le ver aurait
vérolé les PC reliés à la passerelle.
Oui si tu as interdit NetBios (le plus simple est encore de le désactiver).
Je vous avais du reste précisé qu'il arrive toujours dans le même fichier partagé : "Source: C:SoftwaresSetup.exe
Il faudrait savoir qui crée ce fichier. Peut-être y a t-il un dropper sur le PC?
Là je ne vois pas d'autre solution que: http://www.sysinternals.com/ntw2k/source/filemon.shtml
Un moniteur de fichier. Tu le lances, tu lui fais logger tous les accés fichier. Quand le setup.exe est de retour, tu enregistres le log, puis tu cherches les occurrences de 'setup.exe'. Si tu en trouves, envoie-moi le log (compressé).
En réseau local (avec l'ordinateur sujet aux infections par "Cissi" comme passerelle).
Je pense que tout ce passe sur le PC car sinon le ver aurait vérolé les PC reliés à la passerelle.
