ViGUARD vs SASSER ???

Je suis d'accord avec toi pour le firewall et les windows update.
Mais ca c'est de la théorie, dans la pratique bon nombre
d'utilisateurs et d'entreprise, ne sont pas équipés de firewall, et ne
font leur Windows update qu'occasionnellement, ce qui explique que
SASSER a pu infecter des millions de pc dans le monde en 48H !!!
Donc la théorie c'est bien mais la pratique c'est mieux.

Exact.

Puis je vous suggérer de vérifier l'état de vos ports (common ports)
ici: ?
https://grc.com/x/ne.dll?bh0bkyd2

Si les ports 135, 139 et 445 sont ouverts inquiétez vous.

Roland Garcia

chermy19 wrote:

Aprés avoir lu tout et n'importe quoi sur ViGUARD je tenais juste à
témoigner, que je suis protégé par ViGUARD depuis 3 ans, et que ce
matin alors que je n'avais patché mon Win XP, ni mis à jour ViGUARD
depuis 4 mois, ViGUARD m'a mis en quarantaine 2 exe (12215_up.exe et
37_up.exe) dans les 30 secondes qui ont suivi le démarrage de mon pc.

http://www.viguard.com/fr/news_view.php?num™

Essayons de comprendre le fonctionnement de Sasser. C'est bien décrit
ici: http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html

Viguard bloque le téléchargement d'un fichier nommé up_65335.exe. Mais
qui a tenté de télécharger ce fichier? Du code qui a été introduit dans
le système grâce à la faille, par un autre ordinateur.

Doit-on comprendre que Viguard n'a pas bloqué l'exécution du code venu
de l'extérieur et dont heureusement le seul but était d'ouvrir une
séance FTP? Ce code aurait-il, théoriquement, pu faire quelque chose de
plus néfaste? Quelles conclusions en tirer, à votre avis?

Pas de Sasser, d'accord, mais aucune raison d'être enthousiaste.

Depuis aucune trace de SASSER. Autant dire que lorsque je vois les
infos, avec tous ces éditeurs qui demandent de faire des mises à jours
de signatures dans tous les sens, je me dit qu'il a 3 ans ( et aucune
infection!!! ), j'ai fais le bon choix ;-)

Les signatures de mon antivirus DOS datent du 21 mars et pas de Sasser
ni d'autre virus en vue. Si vous avez Windows à jour, c'est le plus
important.
Ceci dit, je ne recommande à personne de laisser traîner un antivirus
âgé d'un mois et demi sur son ordinateur, mais ça démontre que quand on
sait ce qu'on fait on ne risque pas grand chose.

(En fait j'ai renoncé à mettre Windows à jour pour l'instant car je
voudrais en attrapper un échantillon.)

Faelan wrote:

Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est que
la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?

J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.

joke0 wrote:

Ce ne serait pas plus simple de se servir à la source?

Certainement, mais il faut la trouver.

"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de
news:c75b3r$ifql8$1@ID-75150.news.uni-berlin.de...

Faelan wrote:

Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est
que

la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?

J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.

Ce n'est pas ce qu'expliquent les éditeurs d'antivirus ou les sites
spécialisés.

Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "

Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).


Le 2 est bien avant le 6....

--

F.

Faelan wrote:

Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "

Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).


Le 2 est bien avant le 6....

Je comprends ça ainsi: "Lorsque W32.Sasser.Worm s'exécute *localement*".
avserve.exe est actif sur l'ordinateur A et envoie du code auxiliaire
vers l'ordinateur B qui va télécharger avserve.exe de A, mais sous le
nom de xxxxx_up.exe. Ensuite xxxxx_up.exe est lancé sur B et on
recommence à 1. Donc, xxxxx_up.exe existe avant avserve.exe.

J'ai l'impression que les descriptions de Secuser et Symantec se
contredisent.

"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de
news:c75b3r$ifql8$1@ID-75150.news.uni-berlin.de...

Faelan wrote:

Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est

que

la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?

J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.

Ce n'est pas ce qu'expliquent les éditeurs d'antivirus ou les sites
spécialisés.

Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "

Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).

Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.

Roland Garcia

http://www.viguard.com/fr/news_view.php?num™

Ca veut dire que le PC a tout simplement ses ports ouverts :-(
qu'il accepte la requête sur son port TCP 9996 et commence à télécharger
un fichier ???_up.exe présent sur le PC serveur infecté.

Le choix de l'infection (téléchargement) ou non est laissé à
l'utilisateur....

Roland Garcia

Roland Garcia wrote:

Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.

Mais cela signifie alors que les xxxxx_up.exe arrivent sur un ordinateur
avant avserve.exe, puisque c'est xxxxx_up.exe qui est téléchargé et pas
avserve.exe. A moins que ce xxxxx_up.exe ne soit pas sauvegardé sur le
disque mais exécuté tout de suite, et qu'il crée avserve.exe et ensuite
de nouveaux xxxxx_up.exe.

J'attends avec impatience de me faire infecter pour vérifier. :-(


Au fait, sur la capture d'écran de Tegam le format est up_xxxxx.exe, or
dans les descriptions de Symantec et McAfee c'est xxxxx_up.exe. :-)

Roland Garcia wrote:

Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.

Mais cela signifie alors que les xxxxx_up.exe arrivent sur un ordinateur
avant avserve.exe, puisque c'est xxxxx_up.exe qui est téléchargé et pas
avserve.exe

xxxxx_up.exe est téléchargé, ensuite il y a infection (avserve2.exe),
ensuite des xxxxx_up.exe sont proposés aux autres, etc etc....

Roland Garcia