[coup de gueule ?] RPC DCOM NTAUTHORITY/SYSTEM

Le
~Jean-Marc~
Hello tout le monde,

Un point (de détail, dirons certains) m'énerve depuis un bon moment

Lorsqu'une question est posée (et je suis certain que tous la connaissent,
c'est une célébrité !) sur le reboot du PC par NTAUTHORITY/SYSTEM
suite au crash du service RPC, beaucoup répondent systématiquement
que cela est dû à une infection par BLASTER.

C'est FAUX ! L'infection ne provoque pas le reboot !

Voilà ce qui se passe réellement :
Prenez un PC infecté (ou un pirate en mal d'exploit), celui-ci tente d'accéder
à la faille RPC/DCOM d'un PC *accessible* (Ex. : le port 135 est ouvert) ET
*vulnérable* (la faille n'a pas été patchée par MS03-39).

Si la faille est *incorrectement* exploitée, le service RPC *plante*, le PC
*n'est pas infecté* et redémarre. FIN jusqu'au prochain redémarrage !

Si la faille est correctement exploitée, l'attaquant obtient un accès *root*
(il peut passer toutes les commandes qu'il veut sur la machine). Si c'est
un virus, celui-ci lance son propre téléchargement et son exécution. Le
PC est alors infecté mais ne reboote pas forcément.

Pour résumer, un plantage RPC signifie qu'une machine est vulnérable.
L'infection n'est pas forcément déjà effectuée !!!

En plus, d'autres virus et trojan exploitant cette faille ont vu le jour. Donc,
si il y a infection, ce n'est pas forcément Blaster/Lovsan !!!

Donc, les bons conseils sont :
- Activer le pare-feu
- Passer le patch MS03-39
- Vérifier une éventuelle infection par un virus (et non pas juste blaster !)

@+

FU2 : microsoft.public.fr.securite

--
~Jean-Marc~ /MVP XP Fr/
doc.j-m@wanadoo.fr
http://perso.wanadoo.fr/doc.jm/
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Utilisateur1
Le #1558323
Bonjour,
comment récupérer le patch et comment l'installer quand le pc reboote au
bout d'une minute
merci d'avance Amicalement Christophe


"~Jean-Marc~" news:
Hello tout le monde,

Un point (de détail, dirons certains) m'énerve depuis un bon moment...

Lorsqu'une question est posée (et je suis certain que tous la connaissent,
c'est une célébrité !) sur le reboot du PC par NTAUTHORITY/SYSTEM
suite au crash du service RPC, beaucoup répondent systématiquement
que cela est dû à une infection par BLASTER.

C'est FAUX ! L'infection ne provoque pas le reboot !

Voilà ce qui se passe réellement :
Prenez un PC infecté (ou un pirate en mal d'exploit...), celui-ci tente
d'accéder

à la faille RPC/DCOM d'un PC *accessible* (Ex. : le port 135 est ouvert)
ET

*vulnérable* (la faille n'a pas été patchée par MS03-39).

Si la faille est *incorrectement* exploitée, le service RPC *plante*, le
PC

*n'est pas infecté* et redémarre. FIN jusqu'au prochain redémarrage !

Si la faille est correctement exploitée, l'attaquant obtient un accès
*root*

(il peut passer toutes les commandes qu'il veut sur la machine). Si c'est
un virus, celui-ci lance son propre téléchargement et son exécution. Le
PC est alors infecté mais ne reboote pas forcément.

Pour résumer, un plantage RPC signifie qu'une machine est vulnérable.
L'infection n'est pas forcément déjà effectuée !!!

En plus, d'autres virus et trojan exploitant cette faille ont vu le jour.
Donc,

si il y a infection, ce n'est pas forcément Blaster/Lovsan !!!

Donc, les bons conseils sont :
- Activer le pare-feu
- Passer le patch MS03-39
- Vérifier une éventuelle infection par un virus (et non pas juste blaster
!)


@+

FU2 : microsoft.public.fr.securite

--
~Jean-Marc~ /MVP XP Fr/

http://perso.wanadoo.fr/doc.jm/



JacK
Le #1558311
sur les news:bm497i$kam$,
Utilisateur1
Bonjour,
comment récupérer le patch et comment l'installer quand le pc reboote
au bout d'une minute
merci d'avance Amicalement Christophe



'lut,

Si WinXP, il suffit d'activer ICF avant de se connecter.

Autrement shutdown -a en ligne de commande pendant le décompte.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK

Utilisateur1
Le #1558306
Pardon, mais c'est quoi ICF
merci
"JacK"
sur les news:bm497i$kam$,
Utilisateur1
Bonjour,
comment récupérer le patch et comment l'installer quand le pc reboote
au bout d'une minute
merci d'avance Amicalement Christophe



'lut,

Si WinXP, il suffit d'activer ICF avant de se connecter.

Autrement shutdown -a en ligne de commande pendant le décompte.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK




Utilisateur1
Le #1558298
bonsoir, ca ne fonctionne pas, autre chose ?
Amicalement


"Utilisateur1" bm4bte$20c$
Pardon, mais c'est quoi ICF
merci
"JacK"
sur les news:bm497i$kam$,
Utilisateur1
Bonjour,
comment récupérer le patch et comment l'installer quand le pc reboote
au bout d'une minute
merci d'avance Amicalement Christophe



'lut,

Si WinXP, il suffit d'activer ICF avant de se connecter.

Autrement shutdown -a en ligne de commande pendant le décompte.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK








JacK
Le #1558284
sur les news:bm4bte$20c$,
Utilisateur1
Pardon, mais c'est quoi ICF
merci


Le pare-feu natif.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK

JacK
Le #1558283
sur les news:bm4fer$2la$,
Utilisateur1
bonsoir, ca ne fonctionne pas, autre chose ?
Amicalement



Qu'est-ce qui ne fonctionne pas ?

Est-ce bien le service RPC qui se coupe avec une boîte de dialogue signalant
la fermeture dans 60 secondes ?
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK

YO!
Le #1558268
Bonjour,

shutdown -a fonctionne, mais tu ne dois pas bien le taper...tu va sur
Démarrer, exécuter, et tu tape SHUTDOWN (espace) -A (entree). Sinon, tu peux
aussi double cliquer sur l'horloge (en bas à droite), et tu recule la date
de 24 heures...


"Utilisateur1" news:bm4fer$2la$
bonsoir, ca ne fonctionne pas, autre chose ?
Amicalement


"Utilisateur1" news:

bm4bte$20c$
Pardon, mais c'est quoi ICF
merci
"JacK"
sur les news:bm497i$kam$,
Utilisateur1
Bonjour,
comment récupérer le patch et comment l'installer quand le pc
reboote




au bout d'une minute
merci d'avance Amicalement Christophe



'lut,

Si WinXP, il suffit d'activer ICF avant de se connecter.

Autrement shutdown -a en ligne de commande pendant le décompte.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK












Utilisateur1
Le #1558233
Bonjour, ca y est j'ai bloqué avec shutdown -a.
Je n'arrive pas à charger windows update (j'ai une page blanche avec
"terminée")
J'ai examinée le DD avec fixblast mais il ne m'a rien trouvé.
Que dois'je faire SVP.
merci encore d'avance
Christophe
"JacK" #dsD#
sur les news:bm4fer$2la$,
Utilisateur1
bonsoir, ca ne fonctionne pas, autre chose ?
Amicalement



Qu'est-ce qui ne fonctionne pas ?

Est-ce bien le service RPC qui se coupe avec une boîte de dialogue
signalant

la fermeture dans 60 secondes ?
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK




JacK
Le #1558218
sur les news:bm5mgn$79b$,
Utilisateur1
Bonjour, ca y est j'ai bloqué avec shutdown -a.
Je n'arrive pas à charger windows update (j'ai une page blanche avec
"terminée")
J'ai examinée le DD avec fixblast mais il ne m'a rien trouvé.
Que dois'je faire SVP.
merci encore d'avance


'lut,

Voir ce qui empêche le chargement des updates dans tes paramètres IE.
Tu peux également aller chercher les updates utiles directement à cette
adresse :
http://v4.windowsupdate.microsoft.com/fr/default.asp?corporate=true
et ensuite les installer.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK

moi
Le #1558212
Bonjour, comment dois-je mettre les paramètres.J'ai été voir ds systèm 32 et
j'ai vu que j'avais un fichier HTA.exe, n'est ce pas un virus.
de plus je n'arrive pas à accéder à la base de registre, quand je fais
exécuter "regedit" il ne trouve rien.
Un avis merci
"JacK" #
sur les news:bm5mgn$79b$,
Utilisateur1
Bonjour, ca y est j'ai bloqué avec shutdown -a.
Je n'arrive pas à charger windows update (j'ai une page blanche avec
"terminée")
J'ai examinée le DD avec fixblast mais il ne m'a rien trouvé.
Que dois'je faire SVP.
merci encore d'avance


'lut,

Voir ce qui empêche le chargement des updates dans tes paramètres IE.
Tu peux également aller chercher les updates utiles directement à cette
adresse :
http://v4.windowsupdate.microsoft.com/fr/default.asp?corporate=true
et ensuite les installer.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK




Publicité
Poster une réponse
Anonyme