J'ai decouverts li y a deux jours que 5 machines (win2000pro et XPpro) de
mon réseau (5000 machines environs) avaient été compromises et utilisées en
tant que relais SMTP.
En investiguant un peu, j'ai trouver trace dans le registre (les fameuses
clé Run et runonce) d'une dll au nom généré aléatoirement et chargée de la
manière suivante :
Rundll32 C:\winnt\system32:xxxx.dll, init 1
Comme vous pouvez le voir cette DLL est donc écrite dans un stream, ce qui
me semble pour le moins nouveau pour un virus ou spyware....
Vos comentaires dessus ?
PS: je suis en train de voir avec Symantec pour qu'un de leurs representant
viennent recupere le disque dur d'unedes machines car ils n'ont pas trace de
virus de ce genre...
oui un stream peut être attaché à un dossier, je me permet de renvoyer à ma page: http://peccatte.karefil.com/software/MacNT.htm#M12 Par contre, il me semble bien que les 2 outils de JCB que j'ai cité précédemment ne détectent pas (pas encore) les streams associés aux dossiers sur votre System32, essayez avec la commande more <:xxxx.dll >dump.txt et afficher dump.txt -- Patrick Peccatte www.softexperience.com
oui un stream peut être attaché à un dossier, je me permet de renvoyer à ma
page:
http://peccatte.karefil.com/software/MacNT.htm#M12
Par contre, il me semble bien que les 2 outils de JCB que j'ai cité
précédemment ne détectent pas (pas encore) les streams associés aux dossiers
sur votre System32, essayez avec la commande
more <:xxxx.dll >dump.txt
et afficher dump.txt
--
Patrick Peccatte
www.softexperience.com
oui un stream peut être attaché à un dossier, je me permet de renvoyer à ma page: http://peccatte.karefil.com/software/MacNT.htm#M12 Par contre, il me semble bien que les 2 outils de JCB que j'ai cité précédemment ne détectent pas (pas encore) les streams associés aux dossiers sur votre System32, essayez avec la commande more <:xxxx.dll >dump.txt et afficher dump.txt -- Patrick Peccatte www.softexperience.com
Tweakie
On Wed, 24 Sep 2003, Sebastien Dellabella wrote:
Bonjour :)
La solution pourrais etre effectivement d'utiliser un des deux logiciel libre pour extraire le flux :) Car le virus/spyware à crée un flux sur le repertoire system32...plut ot gros pour etre raré lol --
Bonjour,
Vous pouvez aussi utiliser une ligne de commande comme
frhed hote:stream
avec un editeur hexadecimal comme frhed (ou meme notepad hote:stream qui marche avec les fichiers textes).
My two cents,
-- Tweakie
On Wed, 24 Sep 2003, Sebastien Dellabella wrote:
Bonjour :)
La solution pourrais etre effectivement d'utiliser un des deux logiciel
libre pour extraire le flux :)
Car le virus/spyware à crée un flux sur le repertoire system32...plut ot gros
pour etre raré lol
--
Bonjour,
Vous pouvez aussi utiliser une ligne de commande comme
frhed hote:stream
avec un editeur hexadecimal comme frhed (ou meme notepad hote:stream
qui marche avec les fichiers textes).
La solution pourrais etre effectivement d'utiliser un des deux logiciel libre pour extraire le flux :) Car le virus/spyware à crée un flux sur le repertoire system32...plut ot gros pour etre raré lol --
Bonjour,
Vous pouvez aussi utiliser une ligne de commande comme
frhed hote:stream
avec un editeur hexadecimal comme frhed (ou meme notepad hote:stream qui marche avec les fichiers textes).
My two cents,
-- Tweakie
Sebastien Dellabella
"Patrick Peccatte" wrote in message news:bks7ul$vm1$
oui un stream peut être attaché à un dossier, je me permet de renvoyer à ma
page: http://peccatte.karefil.com/software/MacNT.htm#M12 Par contre, il me semble bien que les 2 outils de JCB que j'ai cité précédemment ne détectent pas (pas encore) les streams associés aux dossiers
sur votre System32, essayez avec la commande more <:xxxx.dll >dump.txt et afficher dump.txt -- Patrick Peccatte www.softexperience.com
Salut,
Je viens d'essayer ... J'ai d'abord créer un flux avec la commande : echo mon flux > c:test.txt:flux1 je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il existe... J'ai ensuite essayé de le dumper avec la commande More, mais cette dernière me renvois une erreur.. "impossible d'acceder au fichier" voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux sur les folders... :/
X..., c'est un millefeuille avec une couche de crème patissière, une de sauce tomate et une de crème d'anchois... Mais c'est vrai que c'est un système ouvert: tu peux y rajouter des pépites de chocolat... -+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
"Patrick Peccatte" <peccatte@club-internet.fr> wrote in message
news:bks7ul$vm1$1@s1.read.news.oleane.net...
oui un stream peut être attaché à un dossier, je me permet de renvoyer à
ma
page:
http://peccatte.karefil.com/software/MacNT.htm#M12
Par contre, il me semble bien que les 2 outils de JCB que j'ai cité
précédemment ne détectent pas (pas encore) les streams associés aux
dossiers
sur votre System32, essayez avec la commande
more <:xxxx.dll >dump.txt
et afficher dump.txt
--
Patrick Peccatte
www.softexperience.com
Salut,
Je viens d'essayer ...
J'ai d'abord créer un flux avec la commande : echo mon flux >
c:test.txt:flux1
je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il existe...
J'ai ensuite essayé de le dumper avec la commande More, mais cette dernière
me renvois une erreur..
"impossible d'acceder au fichier"
voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux sur
les folders... :/
X..., c'est un millefeuille avec une couche de crème patissière, une
de sauce tomate et une de crème d'anchois... Mais c'est vrai que
c'est un système ouvert: tu peux y rajouter des pépites de chocolat...
-+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
"Patrick Peccatte" wrote in message news:bks7ul$vm1$
oui un stream peut être attaché à un dossier, je me permet de renvoyer à ma
page: http://peccatte.karefil.com/software/MacNT.htm#M12 Par contre, il me semble bien que les 2 outils de JCB que j'ai cité précédemment ne détectent pas (pas encore) les streams associés aux dossiers
sur votre System32, essayez avec la commande more <:xxxx.dll >dump.txt et afficher dump.txt -- Patrick Peccatte www.softexperience.com
Salut,
Je viens d'essayer ... J'ai d'abord créer un flux avec la commande : echo mon flux > c:test.txt:flux1 je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il existe... J'ai ensuite essayé de le dumper avec la commande More, mais cette dernière me renvois une erreur.. "impossible d'acceder au fichier" voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux sur les folders... :/
X..., c'est un millefeuille avec une couche de crème patissière, une de sauce tomate et une de crème d'anchois... Mais c'est vrai que c'est un système ouvert: tu peux y rajouter des pépites de chocolat... -+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
Je peux poster le screenshot sur le newsgroup, mais je ne sais pas si c'est permis ici :/
Non, c'est interdit de poster autrechose que du texte.
[Snip description]
Intéressant, merci.
Tout ceci est extrèmement étrange. Il semble évident que vous êtes espionné et que le flux collecte et stocke des infos.
Le système a été scanné avec quels antivirus? Seulement NAV?
-- joke0
NAV ne voit absolument rien, je me suis apercu des machines infectées grace a des bounces messages de mail pornos :P Les autres antivirus ne regardant pas dans les streams non plus, ils ne voient rien.... Celui de DiamondCS regarde les streams, mais je ne l'ai pas :/
"joke0" <404pagenotfound-delete-nopam@caramail.com> wrote in message
news:XnF9400A199E16124164N@joke0.net...
Salut,
Sebastien Dellabella:
Oui je te confirme la syntaxe,
Ok.
Je peux poster le screenshot sur le newsgroup, mais je ne sais pas
si c'est permis ici :/
Non, c'est interdit de poster autrechose que du texte.
[Snip description]
Intéressant, merci.
Tout ceci est extrèmement étrange. Il semble évident que vous êtes
espionné et que le flux collecte et stocke des infos.
Le système a été scanné avec quels antivirus? Seulement NAV?
--
joke0
NAV ne voit absolument rien, je me suis apercu des machines infectées grace
a des bounces messages de mail pornos :P
Les autres antivirus ne regardant pas dans les streams non plus, ils ne
voient rien....
Celui de DiamondCS regarde les streams, mais je ne l'ai pas :/
Je peux poster le screenshot sur le newsgroup, mais je ne sais pas si c'est permis ici :/
Non, c'est interdit de poster autrechose que du texte.
[Snip description]
Intéressant, merci.
Tout ceci est extrèmement étrange. Il semble évident que vous êtes espionné et que le flux collecte et stocke des infos.
Le système a été scanné avec quels antivirus? Seulement NAV?
-- joke0
NAV ne voit absolument rien, je me suis apercu des machines infectées grace a des bounces messages de mail pornos :P Les autres antivirus ne regardant pas dans les streams non plus, ils ne voient rien.... Celui de DiamondCS regarde les streams, mais je ne l'ai pas :/
Sebastien Dellabella
"Tweakie" wrote in message news:
On Wed, 24 Sep 2003, Sebastien Dellabella wrote:
Bonjour :)
La solution pourrais etre effectivement d'utiliser un des deux logiciel libre pour extraire le flux :) Car le virus/spyware à crée un flux sur le repertoire system32...plutot gros
pour etre raré lol --
Bonjour,
Vous pouvez aussi utiliser une ligne de commande comme
frhed hote:stream
avec un editeur hexadecimal comme frhed (ou meme notepad hote:stream qui marche avec les fichiers textes).
My two cents,
-- Tweakie
J'ai essayé la ligne de commande que vous avez suggéré avec Frhed, mais sans succès... Frhed ne semble pouvour ouvrir aucun document lorsqu'appellé depuis une ligne de commande. notepad n'est pas d'accord non plus...il essaye d'ajouter .txt a la fin du nom de fichier queje lui fournis. du coup il n'arrive pas a l'ouvrir.
X..., c'est un millefeuille avec une couche de crème patissière, une de sauce tomate et une de crème d'anchois... Mais c'est vrai que c'est un système ouvert: tu peux y rajouter des pépites de chocolat... -+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
"Tweakie" <NO_eikaewt_SPAM@hotmail.com> wrote in message
news:20030924194635.K76888@areba.vasb...
On Wed, 24 Sep 2003, Sebastien Dellabella wrote:
Bonjour :)
La solution pourrais etre effectivement d'utiliser un des deux logiciel
libre pour extraire le flux :)
Car le virus/spyware à crée un flux sur le repertoire system32...plutot
gros
pour etre raré lol
--
Bonjour,
Vous pouvez aussi utiliser une ligne de commande comme
frhed hote:stream
avec un editeur hexadecimal comme frhed (ou meme notepad hote:stream
qui marche avec les fichiers textes).
My two cents,
--
Tweakie
J'ai essayé la ligne de commande que vous avez suggéré avec Frhed, mais sans
succès...
Frhed ne semble pouvour ouvrir aucun document lorsqu'appellé depuis une
ligne de commande.
notepad n'est pas d'accord non plus...il essaye d'ajouter .txt a la fin du
nom de fichier queje lui fournis.
du coup il n'arrive pas a l'ouvrir.
X..., c'est un millefeuille avec une couche de crème patissière, une
de sauce tomate et une de crème d'anchois... Mais c'est vrai que
c'est un système ouvert: tu peux y rajouter des pépites de chocolat...
-+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
La solution pourrais etre effectivement d'utiliser un des deux logiciel libre pour extraire le flux :) Car le virus/spyware à crée un flux sur le repertoire system32...plutot gros
pour etre raré lol --
Bonjour,
Vous pouvez aussi utiliser une ligne de commande comme
frhed hote:stream
avec un editeur hexadecimal comme frhed (ou meme notepad hote:stream qui marche avec les fichiers textes).
My two cents,
-- Tweakie
J'ai essayé la ligne de commande que vous avez suggéré avec Frhed, mais sans succès... Frhed ne semble pouvour ouvrir aucun document lorsqu'appellé depuis une ligne de commande. notepad n'est pas d'accord non plus...il essaye d'ajouter .txt a la fin du nom de fichier queje lui fournis. du coup il n'arrive pas a l'ouvrir.
X..., c'est un millefeuille avec une couche de crème patissière, une de sauce tomate et une de crème d'anchois... Mais c'est vrai que c'est un système ouvert: tu peux y rajouter des pépites de chocolat... -+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
sur les news:bks2a3$bgq$, Sebastien Dellabella signalait:
Salut,
si je pouvais extraire cette DLL se serait avec joie :P La dernière machine infectée se trouvant a plusieurs km de moi, je pense aller y faire un tour demain :) peut etre qu'un des utilitaire propsé plus haut dans ce post me permettra d'extraire tout ca. Par contre extraire une DLL déja compilée je me demande si c'est utile ? peut etre que des developpeurs chevronnés auront la reponse :)
Celui ci ne fait que lister les streams...pas utile dans mon cas :P
http://www.heysoft.de/nt/ep-lads.htm
celui là pareil en mois évolué...
http://tds.diamondcs.com.au/
Je veux pas un anti trojan, je veux extraire le flux :((
-- JacK
Merci quand meme :)
"JacK" <not4usp@wanadoo.fr> wrote in message
news:bksb79$5ekdm$1@ID-204425.news.uni-berlin.de...
sur les news:bks2a3$bgq$1@sunnews.cern.ch,
Sebastien Dellabella <Sebastien.Dellabella@cern.ch> signalait:
Salut,
si je pouvais extraire cette DLL se serait avec joie :P
La dernière machine infectée se trouvant a plusieurs km de moi, je
pense aller y faire un tour demain :)
peut etre qu'un des utilitaire propsé plus haut dans ce post me
permettra d'extraire tout ca.
Par contre extraire une DLL déja compilée je me demande si c'est
utile ? peut etre que des developpeurs chevronnés auront la reponse :)
sur les news:bks2a3$bgq$, Sebastien Dellabella signalait:
Salut,
si je pouvais extraire cette DLL se serait avec joie :P La dernière machine infectée se trouvant a plusieurs km de moi, je pense aller y faire un tour demain :) peut etre qu'un des utilitaire propsé plus haut dans ce post me permettra d'extraire tout ca. Par contre extraire une DLL déja compilée je me demande si c'est utile ? peut etre que des developpeurs chevronnés auront la reponse :)
Celui ci ne fait que lister les streams...pas utile dans mon cas :P
http://www.heysoft.de/nt/ep-lads.htm
celui là pareil en mois évolué...
http://tds.diamondcs.com.au/
Je veux pas un anti trojan, je veux extraire le flux :((
-- JacK
Merci quand meme :)
Patrick Peccatte
"Sebastien Dellabella" a écrit dans le message de news:bku6d1$klv$
Je viens d'essayer ... J'ai d'abord créer un flux avec la commande : echo mon flux > c:test.txt:flux1 je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il existe...
J'ai ensuite essayé de le dumper avec la commande More, mais cette dernière
me renvois une erreur.. "impossible d'acceder au fichier" voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
il manque une redirection <, c'est: more <c:test.txt:flux1 >dump.txt
Pour ton virus, ce serait: more <c:winntsystem32:xxxx.dll >dump.txt
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux sur
les folders... :/
je crois savoir qu'il y travaille pour une future version... -- Patrick Peccatte www.softexperience.com
"Sebastien Dellabella" <Sebastien.Dellabella@cern.ch> a écrit dans le
message de news:bku6d1$klv$1@sunnews.cern.ch...
Je viens d'essayer ...
J'ai d'abord créer un flux avec la commande : echo mon flux >
c:test.txt:flux1
je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il
existe...
J'ai ensuite essayé de le dumper avec la commande More, mais cette
dernière
me renvois une erreur..
"impossible d'acceder au fichier"
voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
il manque une redirection <, c'est:
more <c:test.txt:flux1 >dump.txt
Pour ton virus, ce serait:
more <c:winntsystem32:xxxx.dll >dump.txt
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux
sur
les folders... :/
je crois savoir qu'il y travaille pour une future version...
--
Patrick Peccatte
www.softexperience.com
"Sebastien Dellabella" a écrit dans le message de news:bku6d1$klv$
Je viens d'essayer ... J'ai d'abord créer un flux avec la commande : echo mon flux > c:test.txt:flux1 je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il existe...
J'ai ensuite essayé de le dumper avec la commande More, mais cette dernière
me renvois une erreur.. "impossible d'acceder au fichier" voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
il manque une redirection <, c'est: more <c:test.txt:flux1 >dump.txt
Pour ton virus, ce serait: more <c:winntsystem32:xxxx.dll >dump.txt
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux sur
les folders... :/
je crois savoir qu'il y travaille pour une future version... -- Patrick Peccatte www.softexperience.com
Sebastien Dellabella
"Patrick Peccatte" wrote in message news:bkubof$1k7$
"Sebastien Dellabella" a écrit dans le message de news:bku6d1$klv$
Je viens d'essayer ... J'ai d'abord créer un flux avec la commande : echo mon flux > c:test.txt:flux1 je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il existe...
J'ai ensuite essayé de le dumper avec la commande More, mais cette dernière
me renvois une erreur.. "impossible d'acceder au fichier" voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
il manque une redirection <, c'est: more <c:test.txt:flux1 >dump.txt
Pour ton virus, ce serait: more <c:winntsystem32:xxxx.dll >dump.txt
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux sur
les folders... :/
je crois savoir qu'il y travaille pour une future version... -- Patrick Peccatte www.softexperience.com
Merci pour votre aide :) J'ai donc pu extraire la fameuse DLL grace a Winrar et son option de conservation de flux. suite a ca, j'ai donc extrait le flux dans un dump.txt. A premiere vu, en regardant avec Frhed je vois des traces d'un programme appellé octopus. Je vois aussi Mirc V6.01....et pleins d'autres choses.
Si certains veulent ce dump.txt, je vous l'envois :)
X..., c'est un millefeuille avec une couche de crème patissière, une de sauce tomate et une de crème d'anchois... Mais c'est vrai que c'est un système ouvert: tu peux y rajouter des pépites de chocolat... -+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
"Patrick Peccatte" <peccatte@club-internet.fr> wrote in message
news:bkubof$1k7$1@s1.read.news.oleane.net...
"Sebastien Dellabella" <Sebastien.Dellabella@cern.ch> a écrit dans le
message de news:bku6d1$klv$1@sunnews.cern.ch...
Je viens d'essayer ...
J'ai d'abord créer un flux avec la commande : echo mon flux >
c:test.txt:flux1
je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il
existe...
J'ai ensuite essayé de le dumper avec la commande More, mais cette
dernière
me renvois une erreur..
"impossible d'acceder au fichier"
voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
il manque une redirection <, c'est:
more <c:test.txt:flux1 >dump.txt
Pour ton virus, ce serait:
more <c:winntsystem32:xxxx.dll >dump.txt
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux
sur
les folders... :/
je crois savoir qu'il y travaille pour une future version...
--
Patrick Peccatte
www.softexperience.com
Merci pour votre aide :)
J'ai donc pu extraire la fameuse DLL grace a Winrar et son option de
conservation de flux.
suite a ca, j'ai donc extrait le flux dans un dump.txt.
A premiere vu, en regardant avec Frhed je vois des traces d'un programme
appellé octopus.
Je vois aussi Mirc V6.01....et pleins d'autres choses.
Si certains veulent ce dump.txt, je vous l'envois :)
X..., c'est un millefeuille avec une couche de crème patissière, une
de sauce tomate et une de crème d'anchois... Mais c'est vrai que
c'est un système ouvert: tu peux y rajouter des pépites de chocolat...
-+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
"Patrick Peccatte" wrote in message news:bkubof$1k7$
"Sebastien Dellabella" a écrit dans le message de news:bku6d1$klv$
Je viens d'essayer ... J'ai d'abord créer un flux avec la commande : echo mon flux > c:test.txt:flux1 je l 'ai controlé avec l'utilitaire showstreams, pas de soucis il existe...
J'ai ensuite essayé de le dumper avec la commande More, mais cette dernière
me renvois une erreur.. "impossible d'acceder au fichier" voici la commande : more c:test.txt:flux1 > dump.txt
Si tu as une idée je suis preneur :)
il manque une redirection <, c'est: more <c:test.txt:flux1 >dump.txt
Pour ton virus, ce serait: more <c:winntsystem32:xxxx.dll >dump.txt
PS: effectivement les outils de JCB ne permettent pas d'acceder au flux sur
les folders... :/
je crois savoir qu'il y travaille pour une future version... -- Patrick Peccatte www.softexperience.com
Merci pour votre aide :) J'ai donc pu extraire la fameuse DLL grace a Winrar et son option de conservation de flux. suite a ca, j'ai donc extrait le flux dans un dump.txt. A premiere vu, en regardant avec Frhed je vois des traces d'un programme appellé octopus. Je vois aussi Mirc V6.01....et pleins d'autres choses.
Si certains veulent ce dump.txt, je vous l'envois :)
X..., c'est un millefeuille avec une couche de crème patissière, une de sauce tomate et une de crème d'anchois... Mais c'est vrai que c'est un système ouvert: tu peux y rajouter des pépites de chocolat... -+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
