Je suis d'accord avec toi pour le firewall et les windows update.
Mais ca c'est de la théorie, dans la pratique bon nombre
d'utilisateurs et d'entreprise, ne sont pas équipés de firewall, et ne
font leur Windows update qu'occasionnellement, ce qui explique que
SASSER a pu infecter des millions de pc dans le monde en 48H !!!
Donc la théorie c'est bien mais la pratique c'est mieux.
Je suis d'accord avec toi pour le firewall et les windows update.
Mais ca c'est de la théorie, dans la pratique bon nombre
d'utilisateurs et d'entreprise, ne sont pas équipés de firewall, et ne
font leur Windows update qu'occasionnellement, ce qui explique que
SASSER a pu infecter des millions de pc dans le monde en 48H !!!
Donc la théorie c'est bien mais la pratique c'est mieux.
Je suis d'accord avec toi pour le firewall et les windows update.
Mais ca c'est de la théorie, dans la pratique bon nombre
d'utilisateurs et d'entreprise, ne sont pas équipés de firewall, et ne
font leur Windows update qu'occasionnellement, ce qui explique que
SASSER a pu infecter des millions de pc dans le monde en 48H !!!
Donc la théorie c'est bien mais la pratique c'est mieux.
Aprés avoir lu tout et n'importe quoi sur ViGUARD je tenais juste à
témoigner, que je suis protégé par ViGUARD depuis 3 ans, et que ce
matin alors que je n'avais patché mon Win XP, ni mis à jour ViGUARD
depuis 4 mois, ViGUARD m'a mis en quarantaine 2 exe (12215_up.exe et
37_up.exe) dans les 30 secondes qui ont suivi le démarrage de mon pc.
Depuis aucune trace de SASSER. Autant dire que lorsque je vois les
infos, avec tous ces éditeurs qui demandent de faire des mises à jours
de signatures dans tous les sens, je me dit qu'il a 3 ans ( et aucune
infection!!! ), j'ai fais le bon choix ;-)
Aprés avoir lu tout et n'importe quoi sur ViGUARD je tenais juste à
témoigner, que je suis protégé par ViGUARD depuis 3 ans, et que ce
matin alors que je n'avais patché mon Win XP, ni mis à jour ViGUARD
depuis 4 mois, ViGUARD m'a mis en quarantaine 2 exe (12215_up.exe et
37_up.exe) dans les 30 secondes qui ont suivi le démarrage de mon pc.
Depuis aucune trace de SASSER. Autant dire que lorsque je vois les
infos, avec tous ces éditeurs qui demandent de faire des mises à jours
de signatures dans tous les sens, je me dit qu'il a 3 ans ( et aucune
infection!!! ), j'ai fais le bon choix ;-)
Aprés avoir lu tout et n'importe quoi sur ViGUARD je tenais juste à
témoigner, que je suis protégé par ViGUARD depuis 3 ans, et que ce
matin alors que je n'avais patché mon Win XP, ni mis à jour ViGUARD
depuis 4 mois, ViGUARD m'a mis en quarantaine 2 exe (12215_up.exe et
37_up.exe) dans les 30 secondes qui ont suivi le démarrage de mon pc.
Depuis aucune trace de SASSER. Autant dire que lorsque je vois les
infos, avec tous ces éditeurs qui demandent de faire des mises à jours
de signatures dans tous les sens, je me dit qu'il a 3 ans ( et aucune
infection!!! ), j'ai fais le bon choix ;-)
Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est que
la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est que
la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est que
la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
Ce ne serait pas plus simple de se servir à la source?
Ce ne serait pas plus simple de se servir à la source?
Ce ne serait pas plus simple de se servir à la source?
Faelan wrote:Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est
que
la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.
Faelan wrote:
Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est
que
la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.
Faelan wrote:Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est
que
la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.
Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).
Le 2 est bien avant le 6....
Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).
Le 2 est bien avant le 6....
Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).
Le 2 est bien avant le 6....
"Frederic Bonroy" a écrit dans le message de
news:c75b3r$ifql8$Faelan wrote:Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est
quela bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.
Ce n'est pas ce qu'expliquent les éditeurs d'antivirus ou les sites
spécialisés.
Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de
news:c75b3r$ifql8$1@ID-75150.news.uni-berlin.de...
Faelan wrote:
Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est
que
la bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.
Ce n'est pas ce qu'expliquent les éditeurs d'antivirus ou les sites
spécialisés.
Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).
"Frederic Bonroy" a écrit dans le message de
news:c75b3r$ifql8$Faelan wrote:Ah oui, un détail. Quand il est question de fichiers xxxxx_up.exe, c'est
quela bête est déjà installée : il ne vous a rien dit sur le fichier
avserve.exe, votre antivirus ?
J'étais tenté de poser la même question, mais si j'ai bien compris la
création de avserve.exe est la dernière étape. Lorsque le téléchargement
par FTP est lancé, ce n'est pas le ver même qui est sur l'ordinateur,
mais une sorte de "génie" qui construit le pont pour le ver même, du
code auxiliaire quoi.
Ce n'est pas ce qu'expliquent les éditeurs d'antivirus ou les sites
spécialisés.
Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un
pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en
utilisant la faille LSASS de Windows : le virus provoque le téléchargement
d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP
5554, puis son exécution à distance sans aucune intervention de
l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le
répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa
tentative échoue. Ceci permet de garantir qu'une seule instance du ver
s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre
le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur
le port TCP 445. Si une connexion est établie sur un ordinateur, le ver
envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un
shell distant sur le port TCP 9996. Le ver utilise alors le shell pour
pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et
récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5
chiffres suivis de _up.exe (par ex. : 74354_up.exe).
http://www.viguard.com/fr/news_view.php?num
http://www.viguard.com/fr/news_view.php?num
http://www.viguard.com/fr/news_view.php?num
Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.
Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.
Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.
Roland Garcia wrote:Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.
Mais cela signifie alors que les xxxxx_up.exe arrivent sur un ordinateur
avant avserve.exe, puisque c'est xxxxx_up.exe qui est téléchargé et pas
avserve.exe
Roland Garcia wrote:
Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.
Mais cela signifie alors que les xxxxx_up.exe arrivent sur un ordinateur
avant avserve.exe, puisque c'est xxxxx_up.exe qui est téléchargé et pas
avserve.exe
Roland Garcia wrote:Evidemment, la création des ?????_up.exe n'arrive que sur des PC
réellement infectés et ne sert qu'à infecter les autres (c'est le
programme qui est téléchargé par la prochaine victime), et non
l'inverse.
Mais cela signifie alors que les xxxxx_up.exe arrivent sur un ordinateur
avant avserve.exe, puisque c'est xxxxx_up.exe qui est téléchargé et pas
avserve.exe