J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur l'ensemble
de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...
J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne
veut peut-être rien dire...).
Par contre, je sais que le processus Windows qui génère ces requêtes arp
est :
svchost -k netsvcs
J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3, W2003) qui émettent des requêtes arp de manière itérative sur l'ensemble de @ip du réseau : exemple , sur 10.4.x.x who-has 10.4.0.1 tell 10.4.25.12 who-has 10.4.0.2 tell 10.4.25.12 ... who-has 10.4.1.1 tell 10.4.25.12 etc...
J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne veut peut-être rien dire...). Par contre, je sais que le processus Windows qui génère ces requêtes arp est : svchost -k netsvcs
qq'un a déjà rencontré ce pb ?
10.4.25.12 scan votre réseau. Ca peut être tout et n'importe quoi, virus, logiciel réseau ....
En fait après analyse, il s'agit de Net-Worm.Win32.Kido (détection par kaspersky).
Renaud a écrit :
cwpbl a écrit :
Bonsoir,
J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...
J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne
veut peut-être rien dire...).
Par contre, je sais que le processus Windows qui génère ces requêtes
arp est :
svchost -k netsvcs
qq'un a déjà rencontré ce pb ?
10.4.25.12 scan votre réseau. Ca peut être tout et n'importe quoi,
virus, logiciel réseau ....
En fait après analyse, il s'agit de Net-Worm.Win32.Kido (détection par
kaspersky).
J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3, W2003) qui émettent des requêtes arp de manière itérative sur l'ensemble de @ip du réseau : exemple , sur 10.4.x.x who-has 10.4.0.1 tell 10.4.25.12 who-has 10.4.0.2 tell 10.4.25.12 ... who-has 10.4.1.1 tell 10.4.25.12 etc...
J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne veut peut-être rien dire...). Par contre, je sais que le processus Windows qui génère ces requêtes arp est : svchost -k netsvcs
qq'un a déjà rencontré ce pb ?
10.4.25.12 scan votre réseau. Ca peut être tout et n'importe quoi, virus, logiciel réseau ....
En fait après analyse, il s'agit de Net-Worm.Win32.Kido (détection par kaspersky).
Pascal Hambourg
Az Sam a écrit :
ah oui d'accord, il se propage via _une faille que corrige_ MS08-067.
Tu veux jouer sur les mots ? MS08-067 est un bulletin de sécurité qui annonce la faille et la disponibilité du correctif KB958644 qui la corrige. Le bulletin en lui-même ne corrige évidemment rien du tout.
Az Sam a écrit :
ah oui d'accord, il se propage via _une faille que corrige_ MS08-067.
Tu veux jouer sur les mots ?
MS08-067 est un bulletin de sécurité qui annonce la faille et la
disponibilité du correctif KB958644 qui la corrige. Le bulletin en
lui-même ne corrige évidemment rien du tout.
ah oui d'accord, il se propage via _une faille que corrige_ MS08-067.
Tu veux jouer sur les mots ? MS08-067 est un bulletin de sécurité qui annonce la faille et la disponibilité du correctif KB958644 qui la corrige. Le bulletin en lui-même ne corrige évidemment rien du tout.
Az Sam
"Pascal Hambourg" a écrit dans le message de news: gt2hvk$31jd$
Tu veux jouer sur les mots ? MS08-067 est un bulletin de sécurité qui annonce la faille et la disponibilité du correctif KB958644 qui la corrige. Le bulletin en lui-même ne corrige évidemment rien du tout.
Peu importe, entre "qui se propage via MS08-067..." qui signifie que le correcctif associé à ce bulletin (puisque tu y tiens) propage un virus et cette imprecision nom de faille/nom du bulletin d'annonce, il y a un monde. Et a la 1ere lecture, je n'etais vraiment pâs sur d'avoir lu ce que j'avais lu. Apres tout , en informatique faut rester humble (pour ceux qui savent), et un virus qui se propagerait par une mise a jour , fut elle de securite, n'est pas en soi impossible meme si fortemeent improbable.
(T'es sur les dents toi en ce moment, je lis ce genre de reaction aggressive un peu partout de ta part)
-- Cordialement, Az Sam.
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit dans le message de
news: gt2hvk$31jd$1@saria.nerim.net...
Tu veux jouer sur les mots ?
MS08-067 est un bulletin de sécurité qui annonce la faille et la disponibilité
du correctif KB958644 qui la corrige. Le bulletin en lui-même ne corrige
évidemment rien du tout.
Peu importe, entre "qui se propage via MS08-067..." qui signifie que le
correcctif associé à ce bulletin (puisque tu y tiens) propage un virus et cette
imprecision nom de faille/nom du bulletin d'annonce, il y a un monde.
Et a la 1ere lecture, je n'etais vraiment pâs sur d'avoir lu ce que j'avais lu.
Apres tout , en informatique faut rester humble (pour ceux qui savent), et un
virus qui se propagerait par une mise a jour , fut elle de securite, n'est pas
en soi impossible meme si fortemeent improbable.
(T'es sur les dents toi en ce moment, je lis ce genre de reaction aggressive un
peu partout de ta part)
"Pascal Hambourg" a écrit dans le message de news: gt2hvk$31jd$
Tu veux jouer sur les mots ? MS08-067 est un bulletin de sécurité qui annonce la faille et la disponibilité du correctif KB958644 qui la corrige. Le bulletin en lui-même ne corrige évidemment rien du tout.
Peu importe, entre "qui se propage via MS08-067..." qui signifie que le correcctif associé à ce bulletin (puisque tu y tiens) propage un virus et cette imprecision nom de faille/nom du bulletin d'annonce, il y a un monde. Et a la 1ere lecture, je n'etais vraiment pâs sur d'avoir lu ce que j'avais lu. Apres tout , en informatique faut rester humble (pour ceux qui savent), et un virus qui se propagerait par une mise a jour , fut elle de securite, n'est pas en soi impossible meme si fortemeent improbable.
(T'es sur les dents toi en ce moment, je lis ce genre de reaction aggressive un peu partout de ta part)
-- Cordialement, Az Sam.
Pascal Hambourg
Az Sam a écrit :
"Pascal Hambourg" a écrit :
MS08-067 est un bulletin de sécurité qui annonce la faille et la disponibilité du correctif KB958644 qui la corrige. Le bulletin en lui-même ne corrige évidemment rien du tout.
Peu importe, entre "qui se propage via MS08-067..." qui signifie que le correctif associé à ce bulletin propage un virus
Par forcément. Le bulletin concerne une faille et un correctif. Donc "qui se propage via MS08-067" pourrait aussi bien signifier qui se propage via la faille décrite dans ce bulletin.
Et oui, je tiens à la distinction entre le bulletin et son correctif car un bulletin d'alerte de sécurité ne contient pas toujours un correctif. Je ne sais pas pour Microsoft mais j'ai déjà vu le cas chez Debian, par exemple <http://www.debian.org/security/2008/dsa-1604>.
Az Sam a écrit :
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit :
MS08-067 est un bulletin de sécurité qui annonce la faille et la
disponibilité du correctif KB958644 qui la corrige. Le bulletin en
lui-même ne corrige évidemment rien du tout.
Peu importe, entre "qui se propage via MS08-067..." qui signifie que
le correctif associé à ce bulletin propage un virus
Par forcément. Le bulletin concerne une faille et un correctif. Donc
"qui se propage via MS08-067" pourrait aussi bien signifier qui se
propage via la faille décrite dans ce bulletin.
Et oui, je tiens à la distinction entre le bulletin et son correctif car
un bulletin d'alerte de sécurité ne contient pas toujours un correctif.
Je ne sais pas pour Microsoft mais j'ai déjà vu le cas chez Debian, par
exemple <http://www.debian.org/security/2008/dsa-1604>.
MS08-067 est un bulletin de sécurité qui annonce la faille et la disponibilité du correctif KB958644 qui la corrige. Le bulletin en lui-même ne corrige évidemment rien du tout.
Peu importe, entre "qui se propage via MS08-067..." qui signifie que le correctif associé à ce bulletin propage un virus
Par forcément. Le bulletin concerne une faille et un correctif. Donc "qui se propage via MS08-067" pourrait aussi bien signifier qui se propage via la faille décrite dans ce bulletin.
Et oui, je tiens à la distinction entre le bulletin et son correctif car un bulletin d'alerte de sécurité ne contient pas toujours un correctif. Je ne sais pas pour Microsoft mais j'ai déjà vu le cas chez Debian, par exemple <http://www.debian.org/security/2008/dsa-1604>.
