F-Secure me prévient souvent d'un tentative d'intrusion du pc par Netbus. C'est quoi cette bète ?
Des conneries. Netbus est un cheval de Troie, il n'attaque donc pas de l'extérieur.
-- joke0
Thierry
On 11 Sep 2004 23:35:30 GMT, joke0 wrote:
Salut,
Jean-Luc M.:
F-Secure me prévient souvent d'un tentative d'intrusion du pc par Netbus. C'est quoi cette bète ?
Des conneries. Netbus est un cheval de Troie, il n'attaque donc pas de l'extérieur.
Il est possible tout simplement possible que F-Secure ait détecté une tentative de connexion sur le port 20034 (qui est leport par défaut de Netbus). Il suffit donc de vérifier si ce port est ouvert et regarder le process associé. Deux commentaires toutefois: - 20034 est le port par défaut et il est très simple de le modifier. Si l'AV se content de détecter sur le numéro de port, il y a de grandes chances que cela soit un faux positif - D'où l'intérêt de compléter l'action de l'AV par un système de type HIPS( détection et prévention des intrusions système). L' HIPS se base en général sur des signatures d'intrusions (c'est à dire qu'il ne regarde par uniquement les ports attaqués mais également le payload) et sur des règles comportementales liées aux applications et processus. Attention cependant, un HIPS ne se substitue pas à un anti-virus, les 2 sont nécessaires aijourd'hui...
---thierry
On 11 Sep 2004 23:35:30 GMT, joke0 <joke0_NOSWEN@tiscali.fr> wrote:
Salut,
Jean-Luc M.:
F-Secure me prévient souvent d'un tentative d'intrusion du pc
par Netbus.
C'est quoi cette bète ?
Des conneries. Netbus est un cheval de Troie, il n'attaque donc
pas de l'extérieur.
Il est possible tout simplement possible que F-Secure ait détecté une
tentative de connexion sur le port 20034 (qui est leport par défaut de
Netbus). Il suffit donc de vérifier si ce port est ouvert et regarder
le process associé.
Deux commentaires toutefois:
- 20034 est le port par défaut et il est très simple de le modifier.
Si l'AV se content de détecter sur le numéro de port, il y a de
grandes chances que cela soit un faux positif
- D'où l'intérêt de compléter l'action de l'AV par un système de type
HIPS( détection et prévention des intrusions système). L' HIPS se base
en général sur des signatures d'intrusions (c'est à dire qu'il ne
regarde par uniquement les ports attaqués mais également le payload)
et sur des règles comportementales liées aux applications et
processus. Attention cependant, un HIPS ne se substitue pas à un
anti-virus, les 2 sont nécessaires aijourd'hui...
F-Secure me prévient souvent d'un tentative d'intrusion du pc par Netbus. C'est quoi cette bète ?
Des conneries. Netbus est un cheval de Troie, il n'attaque donc pas de l'extérieur.
Il est possible tout simplement possible que F-Secure ait détecté une tentative de connexion sur le port 20034 (qui est leport par défaut de Netbus). Il suffit donc de vérifier si ce port est ouvert et regarder le process associé. Deux commentaires toutefois: - 20034 est le port par défaut et il est très simple de le modifier. Si l'AV se content de détecter sur le numéro de port, il y a de grandes chances que cela soit un faux positif - D'où l'intérêt de compléter l'action de l'AV par un système de type HIPS( détection et prévention des intrusions système). L' HIPS se base en général sur des signatures d'intrusions (c'est à dire qu'il ne regarde par uniquement les ports attaqués mais également le payload) et sur des règles comportementales liées aux applications et processus. Attention cependant, un HIPS ne se substitue pas à un anti-virus, les 2 sont nécessaires aijourd'hui...
---thierry
Jean-Luc M.
Y'a un truc bizarre ... Le site indique d'aller chercher dans HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Mais sur mon pc, cette clé n'existe pas. J'ai fais une recherche dans tout le registre, elle n'est nulle part. C'est normal ça ?
J-L
-- Pour m'écrire, cliquer ici http://cerbermail.com/?G5iYdBb2Ce
Y'a un truc bizarre ...
Le site indique d'aller chercher dans
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Mais sur mon pc, cette clé n'existe pas.
J'ai fais une recherche dans tout le registre, elle n'est nulle part.
C'est normal ça ?
J-L
--
Pour m'écrire, cliquer ici http://cerbermail.com/?G5iYdBb2Ce
Description: Inbound malware probe Action: Le pare-feu a bloqué ce trafic Direction: Entrantes Protocole: TCP Services: Malware - Netbus in
Port 2028 Port local Netbus(12345) Adresse distante: 220.91.202.175
Y'en a 8 depuis hier avec des adresses distantes différentes
-- Pour m'écrire, cliquer ici http://cerbermail.com/?G5iYdBb2Ce
Xavier B.
On Sun, 12 Sep 2004 10:04:48 +0200, Jean-Luc M. wrote:
Je me suis mal expliqué: Voici le message complet
Description: Inbound malware probe Action: Le pare-feu a bloqué ce trafic Direction: Entrantes Protocole: TCP Services: Malware - Netbus in
Port 2028 Port local Netbus(12345) Adresse distante: 220.91.202.175
Y'en a 8 depuis hier avec des adresses distantes différentes
Bonjour
On va expliquer ça comme ça...
Un cheval de troie (ou trojan ou "cheval de troyes" pour les andouilles, ça arrive ;-)) est en général composé d'une partie client et d'une partie serveur.
Le client sert à contrôler la machine de la victime,machine sur laquelle au préalable aura été installée à l'insu de son propriétaire la partie serveur (ce serveur aura en général été planqué dans une autre application plus ou moins légitime : un freeware ou autre chose en tot cas de petite taille, quelques centaines de Ko, sur lequel on aura cliqué).
Une fois le serveur installé, immédiatement ou un peu plus tard, au prochain redémarrage ou à la prochaine reconnexion, il ouvrira un ou plusieurs ports de communication pour qu'éventuellement un client (possédé et installé sur sa machine par absolument n'importe qui dans le monde) se connecte à lui et prenne ainsi le contrôle de la machine (ça va du contôle de la souris, à l'espionnage complet, écran, frappe clavier etc..
Donc n'importe qui peut avoir créé une archive infectée placée sur un réseau peer2peer (du genre britney_spe$$s_nude.zip) que n'importe qui va télécharger, décompresser et mater (oui ça peut vraiment être une photo de la dite personne) et n'importe qui pourra se connecter à ce PC (surtout en connexion directe à internet plus que d'un PC en LAN) de n'importe où ds le monde à la condition quue les ports par défaut soient les bons du côté serveur (ce qu'on explique dans l'autre post).
Donc régulièrement de pauvres bougres sont infectés (franchement Netbus et subseven en termes de "piratage" c vraiment du très très bas niveau et en tt cas les ancêtres des trojan actuels mais ça marche toujours hélas, et il y a tt de même plusieurs MILLIERS de trojans plus ou moins élaborés, bref ton firewall a vraiment intérêt à t'indiquer ce qui tente de sortir bien plus même que ce qui veut rentrer) et de pauvres bougres "armés" des clients scannent des réseaux entiers pendant des heures à la recherche du ou des pigeons infectés par les serveurs...
Dans ton cas, la première adresse c'était un Coréen (moi j'aime bien les Firewalls ou les iDS qui me disent QUI a cherché à me b$$$$$) donc si comme moi tu es curieux essaie autre chose ou utilise un whois (ici Smart Whois version 4.0):
220.91.202.175 Host unreachable
220.88.0.0 - 220.95.255.255
KOREA TELECOM Network Management Center Korea, Republic of ************************************************ Allocated to KRNIC Member. If you would like to find assignment information in detail please refer to the KRNIC Whois Database at: "http://whois.nic.or.kr/english/index.html" ************************************************
BREF c'est rien du tout, ça t'arrivera encore plein de fois, c le bruit de fond d'internet tout ça...
@micalement
On Sun, 12 Sep 2004 10:04:48 +0200, Jean-Luc M.
<alphomega2002@free.fr> wrote:
Je me suis mal expliqué: Voici le message complet
Description: Inbound malware probe
Action: Le pare-feu a bloqué ce trafic
Direction: Entrantes
Protocole: TCP
Services: Malware - Netbus in
Port 2028 Port local Netbus(12345)
Adresse distante: 220.91.202.175
Y'en a 8 depuis hier avec des adresses distantes différentes
Bonjour
On va expliquer ça comme ça...
Un cheval de troie (ou trojan ou "cheval de troyes" pour les
andouilles, ça arrive ;-)) est en général composé d'une partie client
et d'une partie serveur.
Le client sert à contrôler la machine de la victime,machine sur
laquelle au préalable aura été installée à l'insu de son propriétaire
la partie serveur (ce serveur aura en général été planqué dans une
autre application plus ou moins légitime : un freeware ou autre chose
en tot cas de petite taille, quelques centaines de Ko, sur lequel on
aura cliqué).
Une fois le serveur installé, immédiatement ou un peu plus tard, au
prochain redémarrage ou à la prochaine reconnexion, il ouvrira un ou
plusieurs ports de communication pour qu'éventuellement un client
(possédé et installé sur sa machine par absolument n'importe qui dans
le monde) se connecte à lui et prenne ainsi le contrôle de la machine
(ça va du contôle de la souris, à l'espionnage complet, écran, frappe
clavier etc..
Donc n'importe qui peut avoir créé une archive infectée placée sur un
réseau peer2peer (du genre britney_spe$$s_nude.zip) que n'importe qui
va télécharger, décompresser et mater (oui ça peut vraiment être une
photo de la dite personne) et n'importe qui pourra se connecter à ce
PC (surtout en connexion directe à internet plus que d'un PC en LAN)
de n'importe où ds le monde à la condition quue les ports par défaut
soient les bons du côté serveur (ce qu'on explique dans l'autre post).
Donc régulièrement de pauvres bougres sont infectés (franchement
Netbus et subseven en termes de "piratage" c vraiment du très très bas
niveau et en tt cas les ancêtres des trojan actuels mais ça marche
toujours hélas, et il y a tt de même plusieurs MILLIERS de trojans
plus ou moins élaborés, bref ton firewall a vraiment intérêt à
t'indiquer ce qui tente de sortir bien plus même que ce qui veut
rentrer) et de pauvres bougres "armés" des clients scannent des
réseaux entiers pendant des heures à la recherche du ou des pigeons
infectés par les serveurs...
Dans ton cas, la première adresse c'était un Coréen (moi j'aime bien
les Firewalls ou les iDS qui me disent QUI a cherché à me b$$$$$) donc
si comme moi tu es curieux essaie autre chose ou utilise un whois (ici
Smart Whois version 4.0):
220.91.202.175
Host unreachable
220.88.0.0 - 220.95.255.255
KOREA TELECOM
Network Management Center
Korea, Republic of
************************************************
Allocated to KRNIC Member.
If you would like to find assignment
information in detail please refer to
the KRNIC Whois Database at:
"http://whois.nic.or.kr/english/index.html"
************************************************
BREF c'est rien du tout, ça t'arrivera encore plein de fois, c le
bruit de fond d'internet tout ça...
On Sun, 12 Sep 2004 10:04:48 +0200, Jean-Luc M. wrote:
Je me suis mal expliqué: Voici le message complet
Description: Inbound malware probe Action: Le pare-feu a bloqué ce trafic Direction: Entrantes Protocole: TCP Services: Malware - Netbus in
Port 2028 Port local Netbus(12345) Adresse distante: 220.91.202.175
Y'en a 8 depuis hier avec des adresses distantes différentes
Bonjour
On va expliquer ça comme ça...
Un cheval de troie (ou trojan ou "cheval de troyes" pour les andouilles, ça arrive ;-)) est en général composé d'une partie client et d'une partie serveur.
Le client sert à contrôler la machine de la victime,machine sur laquelle au préalable aura été installée à l'insu de son propriétaire la partie serveur (ce serveur aura en général été planqué dans une autre application plus ou moins légitime : un freeware ou autre chose en tot cas de petite taille, quelques centaines de Ko, sur lequel on aura cliqué).
Une fois le serveur installé, immédiatement ou un peu plus tard, au prochain redémarrage ou à la prochaine reconnexion, il ouvrira un ou plusieurs ports de communication pour qu'éventuellement un client (possédé et installé sur sa machine par absolument n'importe qui dans le monde) se connecte à lui et prenne ainsi le contrôle de la machine (ça va du contôle de la souris, à l'espionnage complet, écran, frappe clavier etc..
Donc n'importe qui peut avoir créé une archive infectée placée sur un réseau peer2peer (du genre britney_spe$$s_nude.zip) que n'importe qui va télécharger, décompresser et mater (oui ça peut vraiment être une photo de la dite personne) et n'importe qui pourra se connecter à ce PC (surtout en connexion directe à internet plus que d'un PC en LAN) de n'importe où ds le monde à la condition quue les ports par défaut soient les bons du côté serveur (ce qu'on explique dans l'autre post).
Donc régulièrement de pauvres bougres sont infectés (franchement Netbus et subseven en termes de "piratage" c vraiment du très très bas niveau et en tt cas les ancêtres des trojan actuels mais ça marche toujours hélas, et il y a tt de même plusieurs MILLIERS de trojans plus ou moins élaborés, bref ton firewall a vraiment intérêt à t'indiquer ce qui tente de sortir bien plus même que ce qui veut rentrer) et de pauvres bougres "armés" des clients scannent des réseaux entiers pendant des heures à la recherche du ou des pigeons infectés par les serveurs...
Dans ton cas, la première adresse c'était un Coréen (moi j'aime bien les Firewalls ou les iDS qui me disent QUI a cherché à me b$$$$$) donc si comme moi tu es curieux essaie autre chose ou utilise un whois (ici Smart Whois version 4.0):
220.91.202.175 Host unreachable
220.88.0.0 - 220.95.255.255
KOREA TELECOM Network Management Center Korea, Republic of ************************************************ Allocated to KRNIC Member. If you would like to find assignment information in detail please refer to the KRNIC Whois Database at: "http://whois.nic.or.kr/english/index.html" ************************************************
BREF c'est rien du tout, ça t'arrivera encore plein de fois, c le bruit de fond d'internet tout ça...
@micalement
Xavier B.
On Wed, 15 Sep 2004 13:31:00 +0200, Xavier B. wrote:
On Sun, 12 Sep 2004 10:04:48 +0200, Jean-Luc M. wrote:
Je me suis mal expliqué: Voici le message complet
Description: Inbound malware probe Action: Le pare-feu a bloqué ce trafic Direction: Entrantes Protocole: TCP Services: Malware - Netbus in
Port 2028 Port local Netbus(12345) Adresse distante: 220.91.202.175
Y'en a 8 depuis hier avec des adresses distantes différentes
Bonjour
BREF c'est rien du tout, ça t'arrivera encore plein de fois, c le bruit de fond d'internet tout ça...
@micalement
Pour une photo du client et de ses fonctions voir ici
BREF c'est rien du tout, ça t'arrivera encore plein de fois, c le bruit de fond d'internet tout ça...
Voilà. Des petits malins utilisent des scanners qui cherchent des backdoors en écoute, des vulnérabilités non patchées etc. pour zombifier des PC et s'en servir comme espace de stockage, relais à spam etc.
Pour ma part, je m'inquiéterais de la qualité d'un firewall qui s'amuse à faire peur à ses utilisateurs pour montrer "je suis là, je te protège".
Salut la jokeuse, comment se porte ta FAQ :-)
Pour le firewall, en l'occurrence il s'agit d'un produit "bundle" je vois pas comment appeler ça autrement, AV (très bon, trois scanneurs en un etc. je ne t'apprends rien) ET firewall, c aussi le cas de BIT defender dont un vendeur de la FNAC m'a dit (dixit hein)"la version 6 et la 7 c'était de la merde, maintenant c super, mAJ tous les jours" (il était temps !!!)?!
Moi je ne sais pas j'aime bien un bon AV, un bon firewall ET surtout un bon cerveau, de la curiosité etc. (ce qui est le cas de l'auteur de ce thread et je l'en remercie pour avoir eu l'occasion de nous exprimer là-dessus)
@micalement
On 15 Sep 2004 11:40:48 GMT, joke0 <joke0_NOSWEN@tiscali.fr> wrote:
Salut,
Xavier B.:
BREF c'est rien du tout, ça t'arrivera encore plein de fois, c
le bruit de fond d'internet tout ça...
Voilà. Des petits malins utilisent des scanners qui cherchent
des backdoors en écoute, des vulnérabilités non patchées etc.
pour zombifier des PC et s'en servir comme espace de stockage,
relais à spam etc.
Pour ma part, je m'inquiéterais de la qualité d'un firewall qui
s'amuse à faire peur à ses utilisateurs pour montrer "je suis
là, je te protège".
Salut la jokeuse, comment se porte ta FAQ :-)
Pour le firewall, en l'occurrence il s'agit d'un produit "bundle" je
vois pas comment appeler ça autrement, AV (très bon, trois scanneurs
en un etc. je ne t'apprends rien) ET firewall, c aussi le cas de BIT
defender dont un vendeur de la FNAC m'a dit (dixit hein)"la version 6
et la 7 c'était de la merde, maintenant c super, mAJ tous les jours"
(il était temps !!!)?!
Moi je ne sais pas j'aime bien un bon AV, un bon firewall ET surtout
un bon cerveau, de la curiosité etc. (ce qui est le cas de l'auteur de
ce thread et je l'en remercie pour avoir eu l'occasion de nous
exprimer là-dessus)
BREF c'est rien du tout, ça t'arrivera encore plein de fois, c le bruit de fond d'internet tout ça...
Voilà. Des petits malins utilisent des scanners qui cherchent des backdoors en écoute, des vulnérabilités non patchées etc. pour zombifier des PC et s'en servir comme espace de stockage, relais à spam etc.
Pour ma part, je m'inquiéterais de la qualité d'un firewall qui s'amuse à faire peur à ses utilisateurs pour montrer "je suis là, je te protège".
Salut la jokeuse, comment se porte ta FAQ :-)
Pour le firewall, en l'occurrence il s'agit d'un produit "bundle" je vois pas comment appeler ça autrement, AV (très bon, trois scanneurs en un etc. je ne t'apprends rien) ET firewall, c aussi le cas de BIT defender dont un vendeur de la FNAC m'a dit (dixit hein)"la version 6 et la 7 c'était de la merde, maintenant c super, mAJ tous les jours" (il était temps !!!)?!
Moi je ne sais pas j'aime bien un bon AV, un bon firewall ET surtout un bon cerveau, de la curiosité etc. (ce qui est le cas de l'auteur de ce thread et je l'en remercie pour avoir eu l'occasion de nous exprimer là-dessus)
