Dans ma société, je viens de trouver un portable infecté par
W32.Blaster.Worm
Pourtant :
- Une passerelle Débian protège les ports de notre réseau.
- Un anti-virus analyse les flux SMTP des messages entrants (Norton AV
gateways)
- Un serveur Norton Corporate protège le portable infecté.
Pour je ne sais quelle raison, la mise à jour AV du portable client datait
du 10/09/2003
Le fichier infecté était daté du 12/09/2003
L'utilisateur me certifie ne pas utiliser de connexion PPP chez lui.
Par contre j'ai un doute sur d'éventuelles manipulation de disquettes chez
lui.
Je n'ai pas vu de messages douteux dans Outlook du client (qui est sensé
être protégé par NAV Corporate en plus de NAV gateways).
Pas de site douteux non plus dans l'historique d ' IE.
Une piste sur le mode dont ce portable a été infecté ???
Une piste sur le mode dont ce portable a été infecté ???
Les symptômes d'infection étaient-ils conformes aux descriptions?
En plus clair: êtes vous sûr qu'il s'agit d'une vraie infection? Pas un faux positif, un fichier collectionné par l'utilisateur, etc.
-- joke0
Samuel
En plus clair: êtes vous sûr qu'il s'agit d'une vraie infection? Pas un faux positif, un fichier collectionné par l'utilisateur, etc.
Bonjour et merci de m'aider,
Symptômes très clairs :
La passerelle Débian bloque des paquets vers des IP aléatoires sur le port 135 :
dst 148.155.44.1 port 135 dst 148.155.44.2 port 135 dst 148.155.44.3 port 135 dst 148.155.44.4 port 135
...etc...
Sur le portable fautif, a été retrouvé le fichier W32blast (un truc comme ça) dans sytème32 Et une fois Norton à jour, en effet il a trouvé W32.blaster.worm dans le fichier W32blast ... m'étonnera toujours ce Norton ;-)
Voilà, en fait, je cherche surtout à savoir si l'infection a bien été effectuée à l'extérieur (comme je le pense). Je pense donc à un prob de portable resté trop longtemps loin du réseau (vacances) et donc pas de Live update et donc infection (surtout que cette personne a Internet sur un PC à la maison, et je suppose sans anti-virus et qu'elle fait joujou à échanger des fichier pleins de virus ... deuxième en trois mois que je désinfecte son ordinateur).
Voilà. Merci. P.S. je fais le tour du réseau avec NAV à jour, tout à l'air OK pour l'instant Samuel.
En plus clair: êtes vous sûr qu'il s'agit d'une vraie infection? Pas
un faux positif, un fichier collectionné par l'utilisateur, etc.
Bonjour et merci de m'aider,
Symptômes très clairs :
La passerelle Débian bloque des paquets vers des IP aléatoires sur le port
135 :
dst 148.155.44.1 port 135
dst 148.155.44.2 port 135
dst 148.155.44.3 port 135
dst 148.155.44.4 port 135
...etc...
Sur le portable fautif, a été retrouvé le fichier W32blast (un truc comme
ça) dans sytème32
Et une fois Norton à jour, en effet il a trouvé W32.blaster.worm dans le
fichier W32blast ... m'étonnera toujours ce Norton ;-)
Voilà, en fait, je cherche surtout à savoir si l'infection a bien été
effectuée à l'extérieur (comme je le pense).
Je pense donc à un prob de portable resté trop longtemps loin du réseau
(vacances) et donc pas de Live update et donc infection (surtout que cette
personne a Internet sur un PC à la maison, et je suppose sans anti-virus et
qu'elle fait joujou à échanger des fichier pleins de virus ... deuxième en
trois mois que je désinfecte son ordinateur).
Voilà.
Merci.
P.S. je fais le tour du réseau avec NAV à jour, tout à l'air OK pour
l'instant
Samuel.
En plus clair: êtes vous sûr qu'il s'agit d'une vraie infection? Pas un faux positif, un fichier collectionné par l'utilisateur, etc.
Bonjour et merci de m'aider,
Symptômes très clairs :
La passerelle Débian bloque des paquets vers des IP aléatoires sur le port 135 :
dst 148.155.44.1 port 135 dst 148.155.44.2 port 135 dst 148.155.44.3 port 135 dst 148.155.44.4 port 135
...etc...
Sur le portable fautif, a été retrouvé le fichier W32blast (un truc comme ça) dans sytème32 Et une fois Norton à jour, en effet il a trouvé W32.blaster.worm dans le fichier W32blast ... m'étonnera toujours ce Norton ;-)
Voilà, en fait, je cherche surtout à savoir si l'infection a bien été effectuée à l'extérieur (comme je le pense). Je pense donc à un prob de portable resté trop longtemps loin du réseau (vacances) et donc pas de Live update et donc infection (surtout que cette personne a Internet sur un PC à la maison, et je suppose sans anti-virus et qu'elle fait joujou à échanger des fichier pleins de virus ... deuxième en trois mois que je désinfecte son ordinateur).
Voilà. Merci. P.S. je fais le tour du réseau avec NAV à jour, tout à l'air OK pour l'instant Samuel.
Xtrauto
Samuel wrote:
En plus clair: êtes vous sûr qu'il s'agit d'une vraie infection? Pas un faux positif, un fichier collectionné par l'utilisateur, etc.
Bonjour et merci de m'aider,
Symptômes très clairs :
La passerelle Débian bloque des paquets vers des IP aléatoires sur le port 135 :
dst 148.155.44.1 port 135 dst 148.155.44.2 port 135 dst 148.155.44.3 port 135 dst 148.155.44.4 port 135
...etc...
Sur le portable fautif, a été retrouvé le fichier W32blast (un truc comme ça) dans sytème32 Et une fois Norton à jour, en effet il a trouvé W32.blaster.worm dans le fichier W32blast ... m'étonnera toujours ce Norton ;-)
Voilà, en fait, je cherche surtout à savoir si l'infection a bien été effectuée à l'extérieur (comme je le pense). Je pense donc à un prob de portable resté trop longtemps loin du réseau (vacances) et donc pas de Live update et donc infection (surtout que cette personne a Internet sur un PC à la maison, et je suppose sans anti-virus et qu'elle fait joujou à échanger des fichier pleins de virus ... deuxième en trois mois que je désinfecte son ordinateur).
Voilà. Merci. P.S. je fais le tour du réseau avec NAV à jour, tout à l'air OK pour l'instant Samuel.
bonjour, ne pourrais tu pas regarder les proprietes fichier *msblast*
Tu pourrais deja savoir le jour et l'heure.
Samuel wrote:
En plus clair: êtes vous sûr qu'il s'agit d'une vraie infection? Pas
un faux positif, un fichier collectionné par l'utilisateur, etc.
Bonjour et merci de m'aider,
Symptômes très clairs :
La passerelle Débian bloque des paquets vers des IP aléatoires sur le port
135 :
dst 148.155.44.1 port 135
dst 148.155.44.2 port 135
dst 148.155.44.3 port 135
dst 148.155.44.4 port 135
...etc...
Sur le portable fautif, a été retrouvé le fichier W32blast (un truc comme
ça) dans sytème32
Et une fois Norton à jour, en effet il a trouvé W32.blaster.worm dans le
fichier W32blast ... m'étonnera toujours ce Norton ;-)
Voilà, en fait, je cherche surtout à savoir si l'infection a bien été
effectuée à l'extérieur (comme je le pense).
Je pense donc à un prob de portable resté trop longtemps loin du réseau
(vacances) et donc pas de Live update et donc infection (surtout que cette
personne a Internet sur un PC à la maison, et je suppose sans anti-virus et
qu'elle fait joujou à échanger des fichier pleins de virus ... deuxième en
trois mois que je désinfecte son ordinateur).
Voilà.
Merci.
P.S. je fais le tour du réseau avec NAV à jour, tout à l'air OK pour
l'instant
Samuel.
bonjour, ne pourrais tu pas regarder les proprietes fichier *msblast*
En plus clair: êtes vous sûr qu'il s'agit d'une vraie infection? Pas un faux positif, un fichier collectionné par l'utilisateur, etc.
Bonjour et merci de m'aider,
Symptômes très clairs :
La passerelle Débian bloque des paquets vers des IP aléatoires sur le port 135 :
dst 148.155.44.1 port 135 dst 148.155.44.2 port 135 dst 148.155.44.3 port 135 dst 148.155.44.4 port 135
...etc...
Sur le portable fautif, a été retrouvé le fichier W32blast (un truc comme ça) dans sytème32 Et une fois Norton à jour, en effet il a trouvé W32.blaster.worm dans le fichier W32blast ... m'étonnera toujours ce Norton ;-)
Voilà, en fait, je cherche surtout à savoir si l'infection a bien été effectuée à l'extérieur (comme je le pense). Je pense donc à un prob de portable resté trop longtemps loin du réseau (vacances) et donc pas de Live update et donc infection (surtout que cette personne a Internet sur un PC à la maison, et je suppose sans anti-virus et qu'elle fait joujou à échanger des fichier pleins de virus ... deuxième en trois mois que je désinfecte son ordinateur).
Voilà. Merci. P.S. je fais le tour du réseau avec NAV à jour, tout à l'air OK pour l'instant Samuel.
bonjour, ne pourrais tu pas regarder les proprietes fichier *msblast*
Tu pourrais deja savoir le jour et l'heure.
joke0
Salut,
Samuel:
Voilà, en fait, je cherche surtout à savoir si l'infection a bien été effectuée à l'extérieur (comme je le pense).
J'allais te conseiller la même chose que Xtrauto. Regarde la date de création du fichier.
deuxième en trois mois que je désinfecte son ordinateur
Ce type n'est pas net.
-- joke0
Salut,
Samuel:
Voilà, en fait, je cherche surtout à savoir si l'infection a bien
été effectuée à l'extérieur (comme je le pense).
J'allais te conseiller la même chose que Xtrauto.
Regarde la date de création du fichier.
deuxième en trois mois que je désinfecte son ordinateur
Tu l'as encore ce fichier? C'est peut-être une variante :-/
Si tu veux, je peux y jeter un coup d'oeil. Tu peux me l'envoyer sur joke0 @ tiscali.fr (enlever les espaces).
-- joke0
Samuel
Si tu veux, je peux y jeter un coup d'oeil. Tu peux me l'envoyer sur joke0 @ tiscali.fr (enlever les espaces).
Bonjour,
Le fichier vient de partir dans votre Bal. Ayant mis ce fichier en quarantaine, je ne connais plus son heure de création. Et comme on ne pointe pas chez nous .....
M'en vais être obligé de lui bruler les orteilles pour qu'il avoue tout ;-)
Samuel.
Si tu veux, je peux y jeter un coup d'oeil. Tu peux me l'envoyer sur
joke0 @ tiscali.fr (enlever les espaces).
Bonjour,
Le fichier vient de partir dans votre Bal.
Ayant mis ce fichier en quarantaine, je ne connais plus son heure de
création.
Et comme on ne pointe pas chez nous .....
M'en vais être obligé de lui bruler les orteilles pour qu'il avoue tout ;-)
Si tu veux, je peux y jeter un coup d'oeil. Tu peux me l'envoyer sur joke0 @ tiscali.fr (enlever les espaces).
Bonjour,
Le fichier vient de partir dans votre Bal. Ayant mis ce fichier en quarantaine, je ne connais plus son heure de création. Et comme on ne pointe pas chez nous .....
M'en vais être obligé de lui bruler les orteilles pour qu'il avoue tout ;-)
Samuel.
Samuel
C'est le Blaster original.
Ce que je ne comprends pas, c'est que ce virus est déclaré chez Symantec depuis le 11/08/2003. Le client avait un def de virus du 10/09/2003. Il a été plombé le 12/09/2003
Comment a-t-il pu se faire plomber alors que son AV Norton connaissait ce virus ce jour-là ???
Je comprends toujours pas.
Samuel.
C'est le Blaster original.
Ce que je ne comprends pas, c'est que ce virus est déclaré chez Symantec
depuis le 11/08/2003.
Le client avait un def de virus du 10/09/2003.
Il a été plombé le 12/09/2003
Comment a-t-il pu se faire plomber alors que son AV Norton connaissait ce
virus ce jour-là ???
Ce que je ne comprends pas, c'est que ce virus est déclaré chez Symantec depuis le 11/08/2003. Le client avait un def de virus du 10/09/2003. Il a été plombé le 12/09/2003
Comment a-t-il pu se faire plomber alors que son AV Norton connaissait ce virus ce jour-là ???
Je comprends toujours pas.
Samuel.
joke0
Salut,
Samuel:
Je comprends toujours pas.
Une hypothèse: il avait désactivé l'antivirus.
mode de contamination: par le net ou exécution du ver en local.
-- joke0
Salut,
Samuel:
Je comprends toujours pas.
Une hypothèse: il avait désactivé l'antivirus.
mode de contamination: par le net ou exécution du ver en local.
