Un dérivé de Sasser sans-doute, mais très bien élevé en tous cas...
16 réponses
imanuel
Bonjour à tous,
Je viens de découvrir un bien étrange ver dans mon win2000 sp4, que j'ai
réussi en apparence à virer de mon ordi, jusqu'à preuve du contraire...
Tout a commencé quand je m'aperçus de l'absence dans la barre des tâches
des quelques petits programmes sensés protéger mon PC :
Un Antivirus et deux Pare-feu, l'un intégré à la C.Mère , l'autre
logiciel et qui me sert surtout à mieux visualiser mon traffic...
Un clic sur leurs icones n'entrainant aucune réaction, je me décide donc
à jeter un coup d'oeil dans l'exploreur, histoire de vérifier si ils
éxistent encore dans le "program files", et c'est là que je découvre une
supercherie étrangement sympathique pour ce genre d'intrus:
Les exes ne sont plus là, en apparence, car remplacés par des imitations
infonctionnelles qui pèsent à peine quelques kilos-octets tout en
portant le même nom que les exes originaux, mais, en vérité,
les exes sont toujours là....et oui, soigneusement rangés dans un petit
repertoire intitulé "bak", et INTACTS !!!
Et il m'a suffit d'effacer les trois fakes et de remonter à la racine
les trois exes correspondants pour que ceux-ci redémarrent au premier
coup de clic !
Un autre coup d'oeil sur les processus lancés au démarrage m'a permis de
repérer un autre exe bizarre situé dans le system32 et nommé
"lsasss.exe", ce qui m'a fait penser à une variante de Sasser, étant de
toute façon lié à l'infection puisque apparu dans le syteme à exactement
la même date et heure que les trois faux-exes mentionnés ci-dessus...
Un lancement en mode ligne de commande sans échec, CD winnt\system32
suivi de DEL lsasss.exe, puis redemarrage et depuis mon PC semble bien
fonctionner, mais j'aimerais bien avoir l'avis d'un spécialiste pour
savoir si ce rapide traitement est suffisant.
J'ai d'ailleurs appliqué depuis deux correctifs, trouvés sur le site de
microsoft, l'un pour sasser, l'autre pour blaster, et tester l'outil
d'éradication fourni par symantec, "fx_sasser", qui n'a rien trouvé du
tout, pas plus que mon AVP 4.5 pourtant régulièrement mis-à-jour n'avait
sonné, se laissant même déconnecter sans broncher.
Merci d'avance pour tous commentaires, avis, ou conseils.
Le Fri, 02 Mar 2007 09:41:32 +0100, MELMOTH a ecrit:
Tu ne risques *absolument rien* avec IE ou l'un de ses clônes...
Oui, c'est ce que disait des collègues qui se sont fait piéger...
http://www.google.fr/search?hl=fr&qúille+internet+explorer&btnG=Recherche+Google&meta Certes, Firefox qui se vulgarise commence à être une cible ; néanmoins, on a la possibilité de ne pas placer certains plug-in à risque, ce qui permet d'être relativement serein. Le service de rectification des failles est également plus réactif.
A+ Ludovic.
Le Fri, 02 Mar 2007 09:41:32 +0100, MELMOTH <theo@free.fr> a ecrit:
Tu ne risques *absolument rien* avec IE ou l'un de ses clônes...
Oui, c'est ce que disait des collègues qui se sont fait
piéger...
http://www.google.fr/search?hl=fr&qúille+internet+explorer&btnG=Recherche+Google&meta
Certes, Firefox qui se vulgarise commence à être une cible ;
néanmoins, on a la possibilité de ne pas placer certains
plug-in à risque, ce qui permet d'être relativement
serein. Le service de rectification des failles est
également plus réactif.
Le Fri, 02 Mar 2007 09:41:32 +0100, MELMOTH a ecrit:
Tu ne risques *absolument rien* avec IE ou l'un de ses clônes...
Oui, c'est ce que disait des collègues qui se sont fait piéger...
http://www.google.fr/search?hl=fr&qúille+internet+explorer&btnG=Recherche+Google&meta Certes, Firefox qui se vulgarise commence à être une cible ; néanmoins, on a la possibilité de ne pas placer certains plug-in à risque, ce qui permet d'être relativement serein. Le service de rectification des failles est également plus réactif.
A+ Ludovic.
NM
hello Cyrius you wrote
On Fri, 02 Mar 2007 22:59:58 +0100, Radio inforadio: beuk
Oui, c'est ce que disait des collègues qui se sont fait piéger...
Pas très honnête comme procédé ! La plupart des failles listées sont corrigées.
Dans le registre mauvaise foi on peux faire comme vous :
Au lieu de donner des liens antédiluviens, pourriez-vous comparer les failles non patchées dans IE6, IE7 et ff .... et là il n'y a pas photos ... et devinez qui est en retard ? -- Utiliser le butineur, le courrielleur, le lecteur de nouvelles et l'OS avec lesquels vous vous sentez le plus sécurisé ;)
Le Sat, 03 Mar 2007 09:47:52 +0100, Cyrius a caressé son clavier pour nous
dire dans o9diu2h9tsrvc9qn93okfcj81uav3ds757@4ax.com ce qui suit :
Dans le registre mauvaise foi on peux faire comme vous :
Au lieu de donner des liens antédiluviens, pourriez-vous comparer les
failles non patchées dans IE6, IE7 et ff .... et là il n'y a pas
photos ... et devinez qui est en retard ?
--
Utiliser le butineur, le courrielleur, le lecteur de nouvelles
et l'OS avec lesquels vous vous sentez le plus sécurisé ;)
Au lieu de donner des liens antédiluviens, pourriez-vous comparer les failles non patchées dans IE6, IE7 et ff .... et là il n'y a pas photos ... et devinez qui est en retard ? -- Utiliser le butineur, le courrielleur, le lecteur de nouvelles et l'OS avec lesquels vous vous sentez le plus sécurisé ;)
Michel Doucet
Le Sat, 03 Mar 2007 12:40:38 +0100, Cyrius a caressé son clavier pour nous dire dans ce qui suit :
On 3 Mar 2007 09:17:34 GMT, Michel Doucet wrote:
Au lieu de donner des liens antédiluviens,
Ce n'est pas moi qui donne les liens...
Le premier lien ff Google est de .... 18/04/2005 -- Utiliser le butineur, le courrielleur, le lecteur de nouvelles et l'OS avec lesquels vous vous sentez le plus sécurisé ;)
Le Sat, 03 Mar 2007 12:40:38 +0100, Cyrius a caressé son clavier pour nous
dire dans 6kniu2p0ej1gosbo08au5i3l79s5fi7mg0@4ax.com ce qui suit :
On 3 Mar 2007 09:17:34 GMT, Michel Doucet <mimi@home.invalid> wrote:
Au lieu de donner des liens antédiluviens,
Ce n'est pas moi qui donne les liens...
Le premier lien ff Google est de .... 18/04/2005
--
Utiliser le butineur, le courrielleur, le lecteur de nouvelles
et l'OS avec lesquels vous vous sentez le plus sécurisé ;)
Le Sat, 03 Mar 2007 12:40:38 +0100, Cyrius a caressé son clavier pour nous dire dans ce qui suit :
On 3 Mar 2007 09:17:34 GMT, Michel Doucet wrote:
Au lieu de donner des liens antédiluviens,
Ce n'est pas moi qui donne les liens...
Le premier lien ff Google est de .... 18/04/2005 -- Utiliser le butineur, le courrielleur, le lecteur de nouvelles et l'OS avec lesquels vous vous sentez le plus sécurisé ;)
Roland Garcia
On 3 Mar 2007 09:17:34 GMT, Michel Doucet wrote:
pourriez-vous comparer les failles non patchées dans IE6, IE7 et ff
Faut voir si les failles sont critiques ou non, c'est toujours compliqué à comparer.
Ici, sur secunia, il y a la listes des dernières alertes. Pour respectivement IE6, IE7 et FF pour 2007.