Aprés avoir lu tout et n'importe quoi sur ViGUARD je tenais juste à
témoigner, que je suis protégé par ViGUARD depuis 3 ans, et que ce
matin alors que je n'avais patché mon Win XP, ni mis à jour ViGUARD
depuis 4 mois, ViGUARD m'a mis en quarantaine 2 exe (12215_up.exe et
37_up.exe) dans les 30 secondes qui ont suivi le démarrage de mon pc.
Depuis aucune trace de SASSER. Autant dire que lorsque je vois les
infos, avec tous ces éditeurs qui demandent de faire des mises à jours
de signatures dans tous les sens, je me dit qu'il a 3 ans ( et aucune
infection!!! ), j'ai fais le bon choix ;-)
salut "Frederic Bonroy" a écrit dans le message news: c75d79$ifi0i$
Faelan wrote:
Prenons Secuser : "Sasser.A est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec : Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante : 1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa tentative échoue. Ceci permet de garantir qu'une seule instance du ver s'exécute sur l'ordinateur à tout moment. 2-Il se copie comme %Windir%avserve.exe. 3-Il ajoute la valeur : "avserve.exe"="%Windir%avserve.exe" à la clé de registre : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun de façon à ce que le ver s'exécute lorsque vous démarrez Windows. 4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives d'arrêt ou de redémarrage de l'ordinateur. 5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre le ver sur d'autres hôtes. 6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur le port TCP 445. Si une connexion est établie sur un ordinateur, le ver envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un shell distant sur le port TCP 9996. Le ver utilise alors le shell pour pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5 chiffres suivis de _up.exe (par ex. : 74354_up.exe).
Le 2 est bien avant le 6....
Je comprends ça ainsi: "Lorsque W32.Sasser.Worm s'exécute *localement*". avserve.exe est actif sur l'ordinateur A et envoie du code auxiliaire vers l'ordinateur B qui va télécharger avserve.exe de A, mais sous le nom de xxxxx_up.exe. Ensuite xxxxx_up.exe est lancé sur B et on recommence à 1. Donc, xxxxx_up.exe existe avant avserve.exe.
J'ai l'impression que les descriptions de Secuser et Symantec se contredisent.
hmm... je suis un peu dans les choux (c'est l'histoire de l'oeuf et de la poule :-( )
questions (trop) techniques (pour moi): - le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels ?) - si l'infection est possible malgré Vi-truc, c'est bien parce que LSASS est dans la whitelist ? - comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer ?
merci d'avance
encore heureux que Sasser est une /gentille/ bestiole
@tchao
salut
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message news:
c75d79$ifi0i$1@ID-75150.news.uni-berlin.de
Faelan wrote:
Prenons Secuser :
"Sasser.A est un virus qui se propage via le réseau. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs ni
protégée par un pare-feu correctement configuré, Sasser l'infecte
via le port TCP 445 en utilisant la faille LSASS de Windows : le
virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le
répertoire Windows via FTP et le port TCP 5554, puis son exécution à
distance sans aucune intervention de l'utilisateur. Une fois
l'ordinateur infecté, le virus se copie dans le répertoire Système
sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec :
Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante :
1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si
sa tentative échoue. Ceci permet de garantir qu'une seule instance
du ver s'exécute sur l'ordinateur à tout moment.
2-Il se copie comme %Windir%avserve.exe.
3-Il ajoute la valeur :
"avserve.exe"="%Windir%avserve.exe"
à la clé de registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives
d'arrêt ou de redémarrage de l'ordinateur.
5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à
répandre le ver sur d'autres hôtes.
6-Il tente de se connecter à des adresses IP générées de façon
aléatoire sur le port TCP 445. Si une connexion est établie sur un
ordinateur, le ver envoie un shellcode à cet ordinateur ,ce qui peut
provoquer l'exécution d'un shell distant sur le port TCP 9996. Le
ver utilise alors le shell pour pousser l'ordinateur à se
reconnecter au serveur FTP sur le port 5554 et récupérer une copie
du ver. Cette copie portera un nom composé de 4 ou 5 chiffres suivis
de _up.exe (par ex. : 74354_up.exe).
Le 2 est bien avant le 6....
Je comprends ça ainsi: "Lorsque W32.Sasser.Worm s'exécute
*localement*". avserve.exe est actif sur l'ordinateur A et envoie du
code auxiliaire
vers l'ordinateur B qui va télécharger avserve.exe de A, mais sous le
nom de xxxxx_up.exe. Ensuite xxxxx_up.exe est lancé sur B et on
recommence à 1. Donc, xxxxx_up.exe existe avant avserve.exe.
J'ai l'impression que les descriptions de Secuser et Symantec se
contredisent.
hmm... je suis un peu dans les choux
(c'est l'histoire de l'oeuf et de la poule :-( )
questions (trop) techniques (pour moi):
- le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels ?)
- si l'infection est possible malgré Vi-truc, c'est bien parce que LSASS est
dans la whitelist ?
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer
?
merci d'avance
encore heureux que Sasser est une /gentille/ bestiole
salut "Frederic Bonroy" a écrit dans le message news: c75d79$ifi0i$
Faelan wrote:
Prenons Secuser : "Sasser.A est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur. Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe) "
Ou Symantec : Lorsque W32.Sasser.Worm s'exécute, il agit de la façon suivante : 1-Il tente de créer un mutex nommé Jobaka3l et quitte le système si sa tentative échoue. Ceci permet de garantir qu'une seule instance du ver s'exécute sur l'ordinateur à tout moment. 2-Il se copie comme %Windir%avserve.exe. 3-Il ajoute la valeur : "avserve.exe"="%Windir%avserve.exe" à la clé de registre : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun de façon à ce que le ver s'exécute lorsque vous démarrez Windows. 4-Il utilise l'API AbortSystemShutdown afin d'empêcher les tentatives d'arrêt ou de redémarrage de l'ordinateur. 5-Il démarre un serveur FTP sur le port TCP 5554. Ce serveur sert à répandre le ver sur d'autres hôtes. 6-Il tente de se connecter à des adresses IP générées de façon aléatoire sur le port TCP 445. Si une connexion est établie sur un ordinateur, le ver envoie un shellcode à cet ordinateur ,ce qui peut provoquer l'exécution d'un shell distant sur le port TCP 9996. Le ver utilise alors le shell pour pousser l'ordinateur à se reconnecter au serveur FTP sur le port 5554 et récupérer une copie du ver. Cette copie portera un nom composé de 4 ou 5 chiffres suivis de _up.exe (par ex. : 74354_up.exe).
Le 2 est bien avant le 6....
Je comprends ça ainsi: "Lorsque W32.Sasser.Worm s'exécute *localement*". avserve.exe est actif sur l'ordinateur A et envoie du code auxiliaire vers l'ordinateur B qui va télécharger avserve.exe de A, mais sous le nom de xxxxx_up.exe. Ensuite xxxxx_up.exe est lancé sur B et on recommence à 1. Donc, xxxxx_up.exe existe avant avserve.exe.
J'ai l'impression que les descriptions de Secuser et Symantec se contredisent.
hmm... je suis un peu dans les choux (c'est l'histoire de l'oeuf et de la poule :-( )
questions (trop) techniques (pour moi): - le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels ?) - si l'infection est possible malgré Vi-truc, c'est bien parce que LSASS est dans la whitelist ? - comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer ?
merci d'avance
encore heureux que Sasser est une /gentille/ bestiole
@tchao
Frederic Bonroy
Roland Garcia wrote:
xxxxx_up.exe est téléchargé,
Oui - mais est-il enregistré avant d'être exécuté ou est-il exécuté en mémoire tout de suite sans passer par le disque dur? C'est ça la question centrale... Car s'il n'est pas enregistré alors la présence de xxxxx_up.exe implique l'infection et la présence de avserve.exe; si par contre il est enregistré alors avserve.exe n'est pas forcément présent. Cela signifie aussi que si Viguard bloque le téléchargement de xxxxx_up.exe, alors il n'y a pas infection (bien qu'il y ait une porte ouverte).
Roland Garcia wrote:
xxxxx_up.exe est téléchargé,
Oui - mais est-il enregistré avant d'être exécuté ou est-il exécuté en
mémoire tout de suite sans passer par le disque dur? C'est ça la
question centrale... Car s'il n'est pas enregistré alors la présence de
xxxxx_up.exe implique l'infection et la présence de avserve.exe; si par
contre il est enregistré alors avserve.exe n'est pas forcément présent.
Cela signifie aussi que si Viguard bloque le téléchargement de
xxxxx_up.exe, alors il n'y a pas infection (bien qu'il y ait une porte
ouverte).
Oui - mais est-il enregistré avant d'être exécuté ou est-il exécuté en mémoire tout de suite sans passer par le disque dur? C'est ça la question centrale... Car s'il n'est pas enregistré alors la présence de xxxxx_up.exe implique l'infection et la présence de avserve.exe; si par contre il est enregistré alors avserve.exe n'est pas forcément présent. Cela signifie aussi que si Viguard bloque le téléchargement de xxxxx_up.exe, alors il n'y a pas infection (bien qu'il y ait une porte ouverte).
Frederic Bonroy
djehuti wrote:
hmm... je suis un peu dans les choux (c'est l'histoire de l'oeuf et de la poule :-( )
Exactement. :-(
questions (trop) techniques (pour moi): - le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels ?)
Tu veux dire le truc qui télécharge up_xxxxx.exe? Aucune idée comment il s'exécute, mais il s'exécute.
- si l'infection est possible malgré Vi-truc, c'est bien parce que LSASS est dans la whitelist ?
A mon avis l'infection n'est pas possible avec Viguard puisque le téléchargement est bloqué. Par contre, il y a une porte ouverte que Viguard a oubliée, et ça c'est potentiellement dangereux.
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer ?
Alors là...
djehuti wrote:
hmm... je suis un peu dans les choux
(c'est l'histoire de l'oeuf et de la poule :-( )
Exactement. :-(
questions (trop) techniques (pour moi):
- le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels ?)
Tu veux dire le truc qui télécharge up_xxxxx.exe? Aucune idée comment il
s'exécute, mais il s'exécute.
- si l'infection est possible malgré Vi-truc, c'est bien parce que LSASS est
dans la whitelist ?
A mon avis l'infection n'est pas possible avec Viguard puisque le
téléchargement est bloqué. Par contre, il y a une porte ouverte que
Viguard a oubliée, et ça c'est potentiellement dangereux.
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer
?
hmm... je suis un peu dans les choux (c'est l'histoire de l'oeuf et de la poule :-( )
Exactement. :-(
questions (trop) techniques (pour moi): - le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels ?)
Tu veux dire le truc qui télécharge up_xxxxx.exe? Aucune idée comment il s'exécute, mais il s'exécute.
- si l'infection est possible malgré Vi-truc, c'est bien parce que LSASS est dans la whitelist ?
A mon avis l'infection n'est pas possible avec Viguard puisque le téléchargement est bloqué. Par contre, il y a une porte ouverte que Viguard a oubliée, et ça c'est potentiellement dangereux.
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer ?
Alors là...
Roland Garcia
Au fait: mon firewall est gratuit ;-)
Si je comprends bien chermy19 utilise un firewall sortant (j'autorise le téléchargement ou pas ?), firewall sortant également dispo dans ZA.
Il n'y a visiblement pas de firewall entrant (fermant les ports) ni dans ce cas de fonction anti-virale (la décision de certifier ou pas l'EXE au démarrage est prise par l'utilisateur sur les indications d'un firewall sortant).
Roland Garcia
Au fait: mon firewall est gratuit ;-)
Si je comprends bien chermy19 utilise un firewall sortant (j'autorise le
téléchargement ou pas ?), firewall sortant également dispo dans ZA.
Il n'y a visiblement pas de firewall entrant (fermant les ports) ni dans
ce cas de fonction anti-virale (la décision de certifier ou pas l'EXE au
démarrage est prise par l'utilisateur sur les indications d'un firewall
sortant).
Si je comprends bien chermy19 utilise un firewall sortant (j'autorise le téléchargement ou pas ?), firewall sortant également dispo dans ZA.
Il n'y a visiblement pas de firewall entrant (fermant les ports) ni dans ce cas de fonction anti-virale (la décision de certifier ou pas l'EXE au démarrage est prise par l'utilisateur sur les indications d'un firewall sortant).
Roland Garcia
Roland Garcia
Roland Garcia wrote:
xxxxx_up.exe est téléchargé,
Oui - mais est-il enregistré avant d'être exécuté ou est-il exécuté en mémoire tout de suite sans passer par le disque dur? C'est ça la question centrale...
Au début il n'y a que des requêtes permettant d'exploiter un débordement de tampon. Le code obtenu lance un téléchargement du code final, actif immédiatement. Celui-ci place aussitôt une copie de son code dans le repertoire Windows, enregistre sa clé de démarrage et poursuit son action.
Roland Garcia
Roland Garcia wrote:
xxxxx_up.exe est téléchargé,
Oui - mais est-il enregistré avant d'être exécuté ou est-il exécuté en
mémoire tout de suite sans passer par le disque dur? C'est ça la
question centrale...
Au début il n'y a que des requêtes permettant d'exploiter un débordement
de tampon. Le code obtenu lance un téléchargement du code final, actif
immédiatement. Celui-ci place aussitôt une copie de son code dans le
repertoire Windows, enregistre sa clé de démarrage et poursuit son
action.
Oui - mais est-il enregistré avant d'être exécuté ou est-il exécuté en mémoire tout de suite sans passer par le disque dur? C'est ça la question centrale...
Au début il n'y a que des requêtes permettant d'exploiter un débordement de tampon. Le code obtenu lance un téléchargement du code final, actif immédiatement. Celui-ci place aussitôt une copie de son code dans le repertoire Windows, enregistre sa clé de démarrage et poursuit son action.
Roland Garcia
Frederic Bonroy
Roland Garcia wrote:
Le code obtenu lance un téléchargement du code final actif immédiatement. ^^^^^^^^^^^^^^^^^^^
Ben voilà, problème résolu. :-)
Roland Garcia wrote:
Le code obtenu lance un téléchargement du code final
actif immédiatement.
^^^^^^^^^^^^^^^^^^^
Le code obtenu lance un téléchargement du code final actif immédiatement. ^^^^^^^^^^^^^^^^^^^
Ben voilà, problème résolu. :-)
djehuti
"Frederic Bonroy" a écrit dans le message news: c75eub$idmat$
questions (trop) techniques (pour moi): - le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels ?)
Tu veux dire le truc qui télécharge up_xxxxx.exe? Aucune idée comment il s'exécute, mais il s'exécute.
je voulais écrire le "proto-virus"... bien sûr (mais tu as bien compris)
- si l'infection est possible malgré Vi-truc, c'est bien parce que LSASS est dans la whitelist ?
A mon avis l'infection n'est pas possible avec Viguard puisque le téléchargement est bloqué. Par contre, il y a une porte ouverte que Viguard a oubliée, et ça c'est potentiellement dangereux.
oui, je voulais dire "infection" en général (pas spécialement par Sasser) "faille exploitable" me semble plus acceptable
si le code s'exécute et que sa première action est de "tuer" antivirus, firewall ou bloqueur... :-(
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer ?
Alors là...
ouais...
@tchao
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message news:
c75eub$idmat$2@ID-75150.news.uni-berlin.de
questions (trop) techniques (pour moi):
- le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels
?)
Tu veux dire le truc qui télécharge up_xxxxx.exe? Aucune idée comment
il s'exécute, mais il s'exécute.
je voulais écrire le "proto-virus"... bien sûr
(mais tu as bien compris)
- si l'infection est possible malgré Vi-truc, c'est bien parce que
LSASS est dans la whitelist ?
A mon avis l'infection n'est pas possible avec Viguard puisque le
téléchargement est bloqué. Par contre, il y a une porte ouverte que
Viguard a oubliée, et ça c'est potentiellement dangereux.
oui, je voulais dire "infection" en général (pas spécialement par Sasser)
"faille exploitable" me semble plus acceptable
si le code s'exécute et que sa première action est de "tuer" antivirus,
firewall ou bloqueur... :-(
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout
bloquer ?
"Frederic Bonroy" a écrit dans le message news: c75eub$idmat$
questions (trop) techniques (pour moi): - le "pro-virus" s'exécute avec les privilèges de LSASS ? (les quels ?)
Tu veux dire le truc qui télécharge up_xxxxx.exe? Aucune idée comment il s'exécute, mais il s'exécute.
je voulais écrire le "proto-virus"... bien sûr (mais tu as bien compris)
- si l'infection est possible malgré Vi-truc, c'est bien parce que LSASS est dans la whitelist ?
A mon avis l'infection n'est pas possible avec Viguard puisque le téléchargement est bloqué. Par contre, il y a une porte ouverte que Viguard a oubliée, et ça c'est potentiellement dangereux.
oui, je voulais dire "infection" en général (pas spécialement par Sasser) "faille exploitable" me semble plus acceptable
si le code s'exécute et que sa première action est de "tuer" antivirus, firewall ou bloqueur... :-(
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer ?
Alors là...
ouais...
@tchao
joke0
Salut,
djehuti:
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer ?
Là je pense que c'est parce que LSASS.exe a été autorisé à écouter sur l'extérieur.
-- joke0
Salut,
djehuti:
- comment la bestiole a pu infecter des PC ou Kerio était
sencé tout bloquer ?
Là je pense que c'est parce que LSASS.exe a été autorisé à
écouter sur l'extérieur.
- comment la bestiole a pu infecter des PC ou Kerio était sencé tout bloquer ?
Là je pense que c'est parce que LSASS.exe a été autorisé à écouter sur l'extérieur.
-- joke0
Faelan
"Frederic Bonroy" a écrit dans le message de news:c75d79$ifi0i$
Le 2 est bien avant le 6....
Je comprends ça ainsi: "Lorsque W32.Sasser.Worm s'exécute *localement*". avserve.exe est actif sur l'ordinateur A et envoie du code auxiliaire vers l'ordinateur B qui va télécharger avserve.exe de A, mais sous le nom de xxxxx_up.exe. Ensuite xxxxx_up.exe est lancé sur B et on recommence à 1. Donc, xxxxx_up.exe existe avant avserve.exe.
J'ai l'impression que les descriptions de Secuser et Symantec se contredisent.
Je comprends ça autrement, mais bon, je ne peux garantir que c'est moi qui ai bien compris :-)
__
F.
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de
news:c75d79$ifi0i$1@ID-75150.news.uni-berlin.de...
Le 2 est bien avant le 6....
Je comprends ça ainsi: "Lorsque W32.Sasser.Worm s'exécute *localement*".
avserve.exe est actif sur l'ordinateur A et envoie du code auxiliaire
vers l'ordinateur B qui va télécharger avserve.exe de A, mais sous le
nom de xxxxx_up.exe. Ensuite xxxxx_up.exe est lancé sur B et on
recommence à 1. Donc, xxxxx_up.exe existe avant avserve.exe.
J'ai l'impression que les descriptions de Secuser et Symantec se
contredisent.
Je comprends ça autrement, mais bon, je ne peux garantir que c'est moi qui
ai bien compris :-)
"Frederic Bonroy" a écrit dans le message de news:c75d79$ifi0i$
Le 2 est bien avant le 6....
Je comprends ça ainsi: "Lorsque W32.Sasser.Worm s'exécute *localement*". avserve.exe est actif sur l'ordinateur A et envoie du code auxiliaire vers l'ordinateur B qui va télécharger avserve.exe de A, mais sous le nom de xxxxx_up.exe. Ensuite xxxxx_up.exe est lancé sur B et on recommence à 1. Donc, xxxxx_up.exe existe avant avserve.exe.
J'ai l'impression que les descriptions de Secuser et Symantec se contredisent.
Je comprends ça autrement, mais bon, je ne peux garantir que c'est moi qui ai bien compris :-)
__
F.
Christian
djehuti wrote:
- comment la bestiole a pu infecter des PC ou Kerio était sencé tou t bloquer ?
Alors là...
Peut-être, tout simplement, parce que lsass.exe était autorisé.
-- Christian
- Rendre mon mail gratuit pour m'écrire. -
djehuti wrote:
- comment la bestiole a pu infecter des PC ou Kerio était sencé tou t bloquer
?
Alors là...
Peut-être, tout simplement, parce que lsass.exe était autorisé.
