Sasser, lsass.exe et virus! part 2 (comme au cinéma)

Le
rolling
Bonsoir!
Après une correction (justifiée) de *Jack* (en fait j'ai inversé
l'ordre des points à faire), je reposte cet article:

Je sais qu'il est extrêmement difficile de faire une recherche dans le
forum pour trouver une réponse au problème du nouveau virus "Sasser",
alors ici je donne les information pour se débarasser de cet invité non
désiré. Une lecture attentive pourra aider les "hôtes" involontaires:

*********************
Sasser utilise une vulnérabilité appellée "dépassement de tampon"
(buffer overrun) dans "Local Security Authority Subsystem Service", et
infectera les machines qui :

* Fonctionnent sous XP ou W2K
* N'ont pas passé le patch
* Sont connectées à internet sans pare-feu

Une fois infecté, le PC scanne des adresses IP au hasard sur le port
445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par
connexion FTP sur le port 5554.

La désinfection semble assez simple :

D'abord éviter que le PC ne s'arrête:
[Windows]+[R], taper shutdown -a et click sur OK
Ensuite activer le pare-feu de XP:
Connexions réseau - click droit sur la connexion Internet - Avancé -
cocher "Proteger mon ordinateur et le réseau"
Tuer le processus "avserve.exe"
Tuer tout autre processus se terminant par _up.exe
Effacer ce programme du répertoire Windows
Retirer avserve du registre :
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"avserve.exe" = "%WinDir%avserve.exe"

Télécharger le removal (Stinger) et le passer:
http://vil.nai.com/vil/stinger/
Ensuite, scanner le PC en ligne chez:
http://www.secuser.com/antivirus/
Aller sur le site de WindowsUpdate pour mettre à jour les updates
critiques.
******************

J'ai bon espoir que l'on ne verra pas après celà une demande concernant
ce problème toutes les 5 minutes!
Salutations!

--
@+ rolling
Pour la reponse par email, cliquer sur:
http://www.cerbermail.com/?dXLiR5J6jA
ou enlever "spam"
keep rollin' babe
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Faelan
Le #386973
"rolling" news:
Bonsoir!
Après une correction (justifiée) de *Jack* (en fait j'ai inversé
l'ordre des points à faire), je reposte cet article:

Je sais qu'il est extrêmement difficile de faire une recherche dans le
forum pour trouver une réponse au problème du nouveau virus "Sasser",
alors ici je donne les information pour se débarasser de cet invité non
désiré. Une lecture attentive pourra aider les "hôtes" involontaires:

*********************
Sasser utilise une vulnérabilité appellée "dépassement de tampon"
(buffer overrun) dans "Local Security Authority Subsystem Service", et
infectera les machines qui :

* Fonctionnent sous XP ou W2K
* N'ont pas passé le patch
* Sont connectées à internet sans pare-feu

Une fois infecté, le PC scanne des adresses IP au hasard sur le port
445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par
connexion FTP sur le port 5554.

La désinfection semble assez simple :

D'abord éviter que le PC ne s'arrête:
[Windows]+[R], taper shutdown -a et click sur OK
Ensuite activer le pare-feu de XP:
Connexions réseau - click droit sur la connexion Internet - Avancé -
cocher "Proteger mon ordinateur et le réseau..."
Tuer le processus "avserve.exe"
Tuer tout autre processus se terminant par _up.exe
Effacer ce programme du répertoire Windows
Retirer avserve du registre :
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"avserve.exe" = "%WinDir%avserve.exe"

Télécharger le removal (Stinger) et le passer:
http://vil.nai.com/vil/stinger/
Ensuite, scanner le PC en ligne chez:
http://www.secuser.com/antivirus/
Aller sur le site de WindowsUpdate pour mettre à jour les updates
critiques.
******************

J'ai bon espoir que l'on ne verra pas après celà une demande concernant
ce problème toutes les 5 minutes!


Un tout petit élément supplémentaire. Il y a déjà une variante de Sasser
très répandue. Tout est pareil par rapport à ton post, sauf que le processus
concerné est avserve2.exe au lieu de avserve.exe.

--

F.

Publicité
Poster une réponse
Anonyme