Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Virus nouveau nom de msblast ?? : tft288

nouveau nom de msblast ?? : tft288

9 réponses
Avatar
PC
Salut,

mon serveur sous w2k semble avoir ete touche par ce virus msblast ..
tous les symptomes decris dans ce news sont la !..
mais mon antivirus ( McAfee, a jour de vendredi dernier ) apres scan m'a
trouve un fichier infecte par DCOM_RPC ( un truc du genre )..
ca ressemble bien a msblast ...

Mais le fichier avait le nom : tftp288 ( sans extension )

je l'ai supprime, tout semble etre normal maintenant. j'ai regarde la base
de registre, rien ne ressemble a ce que vous decrivez..
pour finir j'ai utiliser le patch de MS

est-ce le meme virus ?

a+
Signaler un problème avec ce contenu

9 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
PC
le virus peut il prendre un autre nom que msblast dans la listes des
processus ???

en effet, j'ai encore plein de symptomes du genre ...
mais rien qui porte le nom de msblast dans la liste des processus
le port 135 de mon serveur a ete reouvert alors que j'ai utilise le patch
hier soir ....

de plus je viens de faire scanner mes ports par un site web, ce dernier
m'indique 2 ou 3 ports ouverts ( 1000,1025 ... )
comment les fermer ???


merci
Philippe



"David T" a écrit dans le message news:
bhcse7$d7r$

"PC" <philippe.chagny**@NOSPAM@**@free.fr> a écrit dans le message de
news:

3f39ad9c$0$26825$

est-ce le meme virus ?


oui oui c'est bien lui aussi , c est une mutation de msblast.exe.J avais
un

TFT4096.exe.En faite les 4 chiffres sont differents mais c est pour avoir
une methode de verolation rapide.




Avatar
H. Michaud
PC a écrit:

le virus peut il prendre un autre nom que msblast dans la listes des
processus ???


Ce n'est pas impossible qu'il y ait déjà des variantes ou d'autres bêtes
utilisant la même faille.

Symantec a déjà rajouté une bestiole en tête de liste, devant
Lovesan/Blaster :
Liste : <http://securityresponse.symantec.com/>
Lien direct vers "Randex" : <http://minilien.com/?6rUYHmHAHG>
Jettes-y un oeil, c'est peut-être ça.

Sinon, il faudra enquêter un peu dans la base de registre.

en effet, j'ai encore plein de symptomes du genre ...
mais rien qui porte le nom de msblast dans la liste des processus
le port 135 de mon serveur a ete reouvert alors que j'ai utilise le patch
hier soir ....


Quand tu parles de "patch", s'agit-il du correctif de Microsoft, ou d'un
outil de désinfection mis à disposition par les éditeurs d'AV ?

L'un élimine la faille de sécurité qui ouvre la porte de ton PC au ver,
l'autre le ver lui-même, et il faut *impérativement* boucher la faille,
sinon désinfecter ne sert à rien, tout ce qui exploite la faille
rentrera comme dans du beurre en l'absence de firewall.

Quelques liens en français de secuser.com pour Lovesan et les correctifs
microsoft pour les divers OS vulnérables sont rassemblés ici :
<http://www.lacave.net/~jokeuse/usenet/nettoyer.html#lovsan>

de plus je viens de faire scanner mes ports par un site web, ce dernier
m'indique 2 ou 3 ports ouverts ( 1000,1025 ... )
comment les fermer ???


Cette question aurait plus sa place sur le forum adéquat
<news:fr.comp.securite>, mais on peut supposer que c'est faisable en
s'assurant d'avoir une machine saine, un OS à jour, et en utilisant un
firewall.
FAQ de fcs :
<http://www.usenet-fr.net/fur/comp/securite/firewall.html>

Philippe
LN

--
Bien répondre sur Usenet http://www.giromini.org/usenet-fr/repondre.html
* ne citer que le strict nécessaire, mais citer quelque chose
* répondre point par point, *en dessous* du texte cité
Merci de penser à rendre ainsi la vie plus facile à vos lecteurs!

Avatar
Guillermito
"H. Michaud" :

Ce n'est pas impossible qu'il y ait déjà des variantes ou d'autres bêtes
utilisant la même faille.


Pour changer le nom du fichier, ce n'est pas très dur, il suffit de
décompresser, hex-éditer, et recompresser (ou même pas, ou avec un
autre compresseur PE, ce qui modifie encore plus la signature),
puisque tout apparait en clair dans le code, et en parcourant
rapidement un désassemblage, je n'ai pas vu de procédure
d'auto-vérification ou de somme de contrôle. Ca ne m'étonnerait pas
que d'ici quelque jours, on voit apparaitre des versions dans
lesquelles juste le nom est modifié (ce qui oblige à ré-écrire tous
les conseils de désinfection). Si j'étais un script-kiddie teigneux et
qui a envie de rajouter une couche de bordel en deux secondes de
travail, je ferais ça.

(Mais heureusement, je suis un vieux sage, kouf kouf)

00001A10 0000000000000000 0000000000000000 ................
00001A20 0000000000000000 0000000000000000 ................
00001A30 0000000000000000 000000006D73626C ............msbl
00001A40 6173742E65786500 49206A7573742077 ast.exe.I just w
00001A50 616E7420746F2073 6179204C4F564520 ant to say LOVE
00001A60 594F552053414E21 210062696C6C7920 YOU SAN!!.billy
00001A70 6761746573207768 7920646F20796F75 gates why do you
00001A80 206D616B65207468 697320706F737369 make this possi
00001A90 626C65203F205374 6F70206D616B696E ble ? Stop makin
00001AA0 67206D6F6E657920 616E642066697820 g money and fix
00001AB0 796F757220736F66 7477617265212100 your software!!.
00001AC0 05000B0310000000 480000007F000000 .
...H......
00001AD0 D016D01600000000 0100000001000100 --....
...
.
.

--
Guillermito
http://www.guillermito2.net

Avatar
Guillermito
Guillermito :

Pour changer le nom du fichier, ce n'est pas très dur, il suffit de
décompresser, hex-éditer, et recompresser (ou même pas, ou avec un
autre compresseur PE, ce qui modifie encore plus la signature),
puisque tout apparait en clair dans le code, et en parcourant
rapidement un désassemblage, je n'ai pas vu de procédure
d'auto-vérification ou de somme de contrôle. Ca ne m'étonnerait pas
que d'ici quelque jours, on voit apparaitre des versions dans
lesquelles juste le nom est modifié (ce qui oblige à ré-écrire tous
les conseils de désinfection). Si j'étais un script-kiddie teigneux et
qui a envie de rajouter une couche de bordel en deux secondes de
travail, je ferais ça.


On devrait m'appeler Madame Irma: à peine reçu, de chez Kaspersky:

Technologically, the new modification of "Lovesan" is a copycat of the
original. Slight changes were applied only to the appearance of the
worm: a new name of the main worm-carrier file (TEEKIDS.EXE instead of
MSBLAST.EXE), new method of the code compression (FSG instead of UPX),
and a new "copyright" strings in the body of the worm abusing Microsoft
and anti-virus developers.


--
Guillermito
http://www.guillermito2.net

Avatar
joke0
Salut,

Guillermito:
Technologically, the new modification of "Lovesan" is a copycat of
the original. Slight changes were applied only to the appearance
of the worm: a new name of the main worm-carrier file (TEEKIDS.EXE
instead of MSBLAST.EXE), new method of the code compression (FSG
instead of UPX), and a new "copyright" strings in the body of the
worm abusing Microsoft and anti-virus developers.



Chez Norton ils ont un penis32.exe :-)
Comme leur AV est incapable de dépacker un .exe FSGé, ils ont une
nouvelle variante.

--
joke0


Avatar
Ewa \(siostra Ani\) N.
Dans la news:,
joke0 a écrit:
Comme leur AV est incapable de dépacker un .exe FSGé, ils ont une
nouvelle variante.


A ce propos, où en sont les tests des packers ?

Ewcia

--
Niesz !

Avatar
joke0
Salut,

Ewa (siostra Ani) N.:
A ce propos, où en sont les tests des packers ?


Ça avance trèès lentement. Tout est près, il faut juste tester la
fonctionnalité des vers. C'est Tweakie qui s'occupe de ça, et
j'imagine que ça doit aller très lentement. Et comme en plus il est
assez occupé...
Ensuite il faudra scanner les bestioles avec toute la panoplie d'AV.

--
joke0

Avatar
djehuti
salut
"Pascal" a écrit dans le message news:
3f3ad4b4$0$239$

Lien direct vers "Randex" : <http://minilien.com/?6rUYHmHAHG>


dans la liste Systems Affected, Symantec inclu Windows 95 / 98.

Je croyais que la faille incriminee ne concernait que NT/2000/XP?

1 je me trompais


pas du tout, c'est bien une "exclu" NT

2 tout change vite (trop ;)


euh... non

3 Symantec veut dire que le troyen peut s'installer (comment ?) sur
95 / 98 meme si le vers ne se replique que vers NT etc


voilà, c'est bien ça :-)

on recupère la bestiole (trojan) par mail, irc, p2p, (?)... et elle
s'installe grace à un double-clic (faut être c..)
une fois installée, ben elle cherche des NT non-patchés pour se diffuser
(ver)

«W32.Randex.E is an Internet Relay Chat (IRC) Trojan Horse that allows its
creator to control a computer by using IRC. It is also a worm that can use
the DCOM RPC vulnerability (described in Microsoft Security Bulletin
MS03-026) to spread itself»

4 Symantec peche par catastrophisme


même pô !!!

@tchao


Avatar
H. Michaud
Pascal a écrit:
H. Michaud wrote:

Symantec a déjà rajouté une bestiole en tête de liste, devant
Lovesan/Blaster :
Liste : <http://securityresponse.symantec.com/>
Lien direct vers "Randex" : <http://minilien.com/?6rUYHmHAHG>
dans la liste Systems Affected, Symantec inclu Windows 95 / 98.

Je croyais que la faille incriminee ne concernait que NT/2000/XP?
[...]

un avis?


Je dirais que (sauf erreur de Symantec) le trojan lui-même fonctionne
sous tous les OS indiqués dans la description.

La description indique qu'il peut (can) utiliser la faille pour se
propager (sa fonction ver).
Mais si on le reçoit par IRC ou par mail par exemple et qu'on le lance
sous windows98, il fonctionnera quand même, l'exécution du programme
n'ayant rien à voir avec la faille.

Pascal
LN

AMHA, hein.
--
TATMBAOTNAISTGA.
??

There Are Too Many Bloody Acronyms On This Newsgroup And I'm Starting To

Get Annoyed. (http://strangeplaces.net/weirdthings/usenet2.html)