Sur mon firewall, je vois des adresses IP de mon LAN effectuer plein de trafic vers le port 153/tcp vers une IP publique.
Sur quel OS est tu? Quel est ton FW? Tu parle du LAN.... ton FW est sur une passerelle ?? si c'est le cas, sur quel OS est il ?
Que donne un netstat -an ?
Cela manque d'infos ;-)
Micjack
Ie Brown
On Thu, 21 Oct 2004 01:20:35 +0200, JM wrote:
Sur quel OS est tu? Quel est ton FW? Tu parle du LAN.... ton FW est sur une passerelle ?? si c'est le cas, sur quel OS est il ?
Que donne un netstat -an ?
Cela manque d'infos ;-)
Oui effectivement. Ce sont des postes sous Windows XP. Je verifierai le niveau de patch exact.
Pour la passerelle, suppose que ce que je vois est exact au niveau de ses logs.
Je investiguer un peu plus bien sûr, mais je voulais savoir dans un premier si l'utilisation de ce port particulier était utilisé par un ver/virus connu.
On Thu, 21 Oct 2004 01:20:35 +0200, JM wrote:
Sur quel OS est tu?
Quel est ton FW?
Tu parle du LAN.... ton FW est sur une passerelle ?? si c'est le cas, sur
quel OS est il ?
Que donne un netstat -an ?
Cela manque d'infos ;-)
Oui effectivement.
Ce sont des postes sous Windows XP.
Je verifierai le niveau de patch exact.
Pour la passerelle, suppose que ce que je vois est exact au niveau de
ses logs.
Je investiguer un peu plus bien sûr, mais je voulais savoir dans un
premier si l'utilisation de ce port particulier était utilisé par un
ver/virus connu.
Sur quel OS est tu? Quel est ton FW? Tu parle du LAN.... ton FW est sur une passerelle ?? si c'est le cas, sur quel OS est il ?
Que donne un netstat -an ?
Cela manque d'infos ;-)
Oui effectivement. Ce sont des postes sous Windows XP. Je verifierai le niveau de patch exact.
Pour la passerelle, suppose que ce que je vois est exact au niveau de ses logs.
Je investiguer un peu plus bien sûr, mais je voulais savoir dans un premier si l'utilisation de ce port particulier était utilisé par un ver/virus connu.
Ie Brown
On Thu, 21 Oct 2004 01:20:35 +0200, JM wrote:
Sur quel OS est tu? Quel est ton FW? Tu parle du LAN.... ton FW est sur une passerelle ?? si c'est le cas, sur quel OS est il ?
Que donne un netstat -an ?
`netstat -anp tcp` montre des SYN envoyés sur le port 153 d'une IP publique.
Cela manque d'infos ;-)
Apparemment c'est une variante de Agnobot ou Rbot : présence d'un fichier vpc32.exe dans C:Windowssystem32 + les clés dans la base de registre pour l'exécuter. Dès qu'on l'exécute, on voit les tentatives de connexion vers le port 153/tcp d'une machine. (qui disparaissent lorsque que l'on tue le processus vpc32.exe.
Pourtant plusieur AV n'ont rien détecté : peut-être une variante non reconnue ...
On Thu, 21 Oct 2004 01:20:35 +0200, JM wrote:
Sur quel OS est tu?
Quel est ton FW?
Tu parle du LAN.... ton FW est sur une passerelle ?? si c'est le cas, sur
quel OS est il ?
Que donne un netstat -an ?
`netstat -anp tcp` montre des SYN envoyés sur le port 153 d'une IP
publique.
Cela manque d'infos ;-)
Apparemment c'est une variante de Agnobot ou Rbot : présence d'un fichier
vpc32.exe dans C:Windowssystem32 + les clés dans la base de registre
pour l'exécuter.
Dès qu'on l'exécute, on voit les tentatives de connexion vers le port
153/tcp d'une machine. (qui disparaissent lorsque que l'on tue le
processus vpc32.exe.
Pourtant plusieur AV n'ont rien détecté : peut-être une variante non
reconnue ...
Sur quel OS est tu? Quel est ton FW? Tu parle du LAN.... ton FW est sur une passerelle ?? si c'est le cas, sur quel OS est il ?
Que donne un netstat -an ?
`netstat -anp tcp` montre des SYN envoyés sur le port 153 d'une IP publique.
Cela manque d'infos ;-)
Apparemment c'est une variante de Agnobot ou Rbot : présence d'un fichier vpc32.exe dans C:Windowssystem32 + les clés dans la base de registre pour l'exécuter. Dès qu'on l'exécute, on voit les tentatives de connexion vers le port 153/tcp d'une machine. (qui disparaissent lorsque que l'on tue le processus vpc32.exe.
Pourtant plusieur AV n'ont rien détecté : peut-être une variante non reconnue ...
Ie Brown
On Thu, 21 Oct 2004 00:46:06 +0200, Ie Brown wrote:
Bonjour,
Sur mon firewall, je vois des adresses IP de mon LAN effectuer plein de trafic vers le port 153/tcp vers une IP publique.
Connaissez-vous des virus dont les effets dont des connections utilisant le port 153/tcp ?
Finalement il s'agissait de : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.ZV donc le correctif chez Trend Micro est sortie le week-end dernier.
On Thu, 21 Oct 2004 00:46:06 +0200, Ie Brown wrote:
Bonjour,
Sur mon firewall, je vois des adresses IP de mon LAN effectuer plein de
trafic vers le port 153/tcp vers une IP publique.
Connaissez-vous des virus dont les effets dont des connections utilisant
le port 153/tcp ?
Finalement il s'agissait de :
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.ZV
donc le correctif chez Trend Micro est sortie le week-end dernier.
On Thu, 21 Oct 2004 00:46:06 +0200, Ie Brown wrote:
Bonjour,
Sur mon firewall, je vois des adresses IP de mon LAN effectuer plein de trafic vers le port 153/tcp vers une IP publique.
Connaissez-vous des virus dont les effets dont des connections utilisant le port 153/tcp ?
Finalement il s'agissait de : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.ZV donc le correctif chez Trend Micro est sortie le week-end dernier.
