OVH Cloud OVH Cloud

Un dérivé de Sasser sans-doute, mais très bien élevé en tous cas...

16 réponses
Avatar
imanuel
Bonjour à tous,

Je viens de découvrir un bien étrange ver dans mon win2000 sp4, que j'ai
réussi en apparence à virer de mon ordi, jusqu'à preuve du contraire...

Tout a commencé quand je m'aperçus de l'absence dans la barre des tâches
des quelques petits programmes sensés protéger mon PC :
Un Antivirus et deux Pare-feu, l'un intégré à la C.Mère , l'autre
logiciel et qui me sert surtout à mieux visualiser mon traffic...

Un clic sur leurs icones n'entrainant aucune réaction, je me décide donc
à jeter un coup d'oeil dans l'exploreur, histoire de vérifier si ils
éxistent encore dans le "program files", et c'est là que je découvre une
supercherie étrangement sympathique pour ce genre d'intrus:

Les exes ne sont plus là, en apparence, car remplacés par des imitations
infonctionnelles qui pèsent à peine quelques kilos-octets tout en
portant le même nom que les exes originaux, mais, en vérité,
les exes sont toujours là....et oui, soigneusement rangés dans un petit
repertoire intitulé "bak", et INTACTS !!!
Et il m'a suffit d'effacer les trois fakes et de remonter à la racine
les trois exes correspondants pour que ceux-ci redémarrent au premier
coup de clic !

Un autre coup d'oeil sur les processus lancés au démarrage m'a permis de
repérer un autre exe bizarre situé dans le system32 et nommé
"lsasss.exe", ce qui m'a fait penser à une variante de Sasser, étant de
toute façon lié à l'infection puisque apparu dans le syteme à exactement
la même date et heure que les trois faux-exes mentionnés ci-dessus...
Un lancement en mode ligne de commande sans échec, CD winnt\system32
suivi de DEL lsasss.exe, puis redemarrage et depuis mon PC semble bien
fonctionner, mais j'aimerais bien avoir l'avis d'un spécialiste pour
savoir si ce rapide traitement est suffisant.

J'ai d'ailleurs appliqué depuis deux correctifs, trouvés sur le site de
microsoft, l'un pour sasser, l'autre pour blaster, et tester l'outil
d'éradication fourni par symantec, "fx_sasser", qui n'a rien trouvé du
tout, pas plus que mon AVP 4.5 pourtant régulièrement mis-à-jour n'avait
sonné, se laissant même déconnecter sans broncher.

Merci d'avance pour tous commentaires, avis, ou conseils.

--
Imanuel

6 réponses

1 2
Avatar
Ludo_Le_Radio
Le Fri, 02 Mar 2007 09:41:32 +0100, MELMOTH a ecrit:


Tu ne risques *absolument rien* avec IE ou l'un de ses clônes...



Oui, c'est ce que disait des collègues qui se sont fait
piéger...

http://www.google.fr/search?hl=fr&qúille+internet+explorer&btnG=Recherche+Google&meta
Certes, Firefox qui se vulgarise commence à être une cible ;
néanmoins, on a la possibilité de ne pas placer certains
plug-in à risque, ce qui permet d'être relativement
serein. Le service de rectification des failles est
également plus réactif.

A+
Ludovic.

Avatar
NM
hello Cyrius you wrote

On Fri, 02 Mar 2007 22:59:58 +0100, Radio
inforadio: beuk

Oui, c'est ce que disait des collègues qui se sont fait
piéger...



Pas très honnête comme procédé ! La plupart des failles listées sont
corrigées.

Dans le registre mauvaise foi on peux faire comme vous :

http://www.google.fr/search?hl=fr&q=firefox+%2Bfailles&btnG=Recherche+Google&meta
Haa Zut j'avais plonké inforadio :-(


Je vais le ressortir de son bac à sable ou il réside ( avec 4 autres )

juste pour voir ce qu'il dit comme conneries,

Et je le replonke aussi sec...

Cdlmnt
--
CrAzYbOb

Reply to valid.
It could be something, it might mean nothing.

Since I lost MD So, everything went wrong


Avatar
Michel Doucet
Le Sat, 03 Mar 2007 09:47:52 +0100, Cyrius a caressé son clavier pour nous
dire dans ce qui suit :

Dans le registre mauvaise foi on peux faire comme vous :

http://www.google.fr/search?hl=fr&q=firefox+%2Bfailles&btnG=Recherche
+Google&meta

Au lieu de donner des liens antédiluviens, pourriez-vous comparer les
failles non patchées dans IE6, IE7 et ff .... et là il n'y a pas
photos ... et devinez qui est en retard ?
--
Utiliser le butineur, le courrielleur, le lecteur de nouvelles
et l'OS avec lesquels vous vous sentez le plus sécurisé ;)

Avatar
Michel Doucet
Le Sat, 03 Mar 2007 12:40:38 +0100, Cyrius a caressé son clavier pour nous
dire dans ce qui suit :

On 3 Mar 2007 09:17:34 GMT, Michel Doucet wrote:

Au lieu de donner des liens antédiluviens,


Ce n'est pas moi qui donne les liens...


Le premier lien ff Google est de .... 18/04/2005
--
Utiliser le butineur, le courrielleur, le lecteur de nouvelles
et l'OS avec lesquels vous vous sentez le plus sécurisé ;)


Avatar
Roland Garcia
On 3 Mar 2007 09:17:34 GMT, Michel Doucet wrote:

pourriez-vous comparer les
failles non patchées dans IE6, IE7 et ff


Faut voir si les failles sont critiques ou non, c'est toujours
compliqué à comparer.

Ici, sur secunia, il y a la listes des dernières alertes.
Pour respectivement IE6, IE7 et FF pour 2007.

http://secunia.com/product/11/?task­visories_2007

http://secunia.com/product/12366/?task­visories_2007

http://secunia.com/product/12434/?task­visories_2007

Vous pouvez aussi vous amuser à rechercher pour 2006 les failles
non encore corrigées.


Du coup je m'y suis amusé pour les logiciels de courrier:

OE6: 23 advisories et 30% unpatched
http://secunia.com/product/102/

Thunderbird 1.5: 7 advisories et 14% unpatched
http://secunia.com/product/4652/

The Bat! 3: 1 advisories et 0% unpatched
http://secunia.com/product/7150/

--
Roland Garcia


Avatar
Frederic Bonroy

Du coup je m'y suis amusé pour les logiciels de courrier:

OE6: 23 advisories et 30% unpatched
http://secunia.com/product/102/


Quelle surprise. :-D

Ceci dit, je me demande si beaucoup des failles dans OE ne correspondent
pas à des failles dans IE, étant donné que les deux sont intimemement liés.

1 2