Attention un nouveau virus de la Famille des Blaster arrive, et ne se propage pas par fichiers mais dirrectement de PC vers PC...
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de ce type d'attaques un pare-feu (firewall) est nécessaire ; un anti-virus ne sera pas particulièrement efficace, au mieux il pourra réparer les dégats la machine une fois infectée.
Microsoft Security Bulletin MS04-11 :
Windows 2000 anglais :
Windows 2000 français :
Windows XP anglais :
Windows XP français :
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
-
-
-
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Sous Windows 2000 :
- Télécharger
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, les symptomes sont les suivants :
- un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe dans le dossier d'installation de Windows. MàJ : Apparition d'une variante B ou l'exécutable s'appelle "avserve2.exe"
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur
- la présence d'un fichier C:\WIN.LOG
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996.
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne, en voici quelques-uns :
-
-
-
-
-
-
-
Removal Tools pour éliminer Sasser automatiquement (02.05.2004 à 7h50) :
-
-
-
-
Dernières mises à jour chez les éditeurs de logiciels AV (01.05.2004 à 19h00) :
- Symantec Security Response :
- McAfee Security :
- Trend Micro :
- Sophos :
- Panda Software :
- Antivir :
- Computer Associates :
- F-Secure :
- RAV Antivirus :
- Norman :
- F-Prot :
- Kaspersky :
- Avast :
- Grisoft AVG :
(source HFR)
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de ce type d'attaques un pare-feu (firewall) est nécessaire ; un anti-virus ne sera pas particulièrement efficace, au mieux il pourra réparer les dégats la machine une fois infectée.
Microsoft Security Bulletin MS04-11 :
Vous devez être connecté pour voir les liens.
Windows 2000 anglais :
Vous devez être connecté pour voir les liens.
Windows 2000 français :
Vous devez être connecté pour voir les liens.
Windows XP anglais :
Vous devez être connecté pour voir les liens.
Windows XP français :
Vous devez être connecté pour voir les liens.
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Sous Windows 2000 :
- Télécharger
Vous devez être connecté pour voir les liens.
et l'enregistrer dans le répertoire d'installation de Windows.- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, les symptomes sont les suivants :
- un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe dans le dossier d'installation de Windows. MàJ : Apparition d'une variante B ou l'exécutable s'appelle "avserve2.exe"
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur
- la présence d'un fichier C:\WIN.LOG
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996.
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
Vous devez être connecté pour voir les images.
Vous devez être connecté pour voir les images.
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne, en voici quelques-uns :
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
(permet uniquement l'envois d'un fichier suspecté d'être un virus)Removal Tools pour éliminer Sasser automatiquement (02.05.2004 à 7h50) :
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
-
Vous devez être connecté pour voir les liens.
(
Vous devez être connecté pour voir les liens.
)-
Vous devez être connecté pour voir les liens.
(enregistrement obligatoire)Dernières mises à jour chez les éditeurs de logiciels AV (01.05.2004 à 19h00) :
- Symantec Security Response :
Vous devez être connecté pour voir les liens.
,
Vous devez être connecté pour voir les liens.
,
Vous devez être connecté pour voir les liens.
,
Vous devez être connecté pour voir les liens.
- McAfee Security :
Vous devez être connecté pour voir les liens.
,
Vous devez être connecté pour voir les liens.
,
Vous devez être connecté pour voir les liens.
- Trend Micro :
Vous devez être connecté pour voir les liens.
- Sophos :
Vous devez être connecté pour voir les liens.
- Panda Software :
Vous devez être connecté pour voir les liens.
&
Vous devez être connecté pour voir les liens.
- Antivir :
Vous devez être connecté pour voir les liens.
- Computer Associates :
Vous devez être connecté pour voir les liens.
&
Vous devez être connecté pour voir les liens.
- F-Secure :
Vous devez être connecté pour voir les liens.
- RAV Antivirus :
Vous devez être connecté pour voir les liens.
- Norman :
Vous devez être connecté pour voir les liens.
- F-Prot :
Vous devez être connecté pour voir les liens.
- Kaspersky :
Vous devez être connecté pour voir les liens.
,
Vous devez être connecté pour voir les liens.
(pages en Russe !)- Avast :
Vous devez être connecté pour voir les liens.
- Grisoft AVG :
Vous devez être connecté pour voir les liens.
(source HFR)