[Topic unique] Nouveau virus utilisant une faille de Windows : sasser

[king_ping]

Attention un nouveau virus de la Famille des Blaster arrive, et ne se propage pas par fichiers mais dirrectement de PC vers PC...


Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de ce type d'attaques un pare-feu (firewall) est nécessaire ; un anti-virus ne sera pas particulièrement efficace, au mieux il pourra réparer les dégats la machine une fois infectée.

Microsoft Security Bulletin MS04-11 :

Vous devez être connecté pour voir les liens.

Windows 2000 anglais :

Vous devez être connecté pour voir les liens.

Windows 2000 français :

Vous devez être connecté pour voir les liens.

Windows XP anglais :

Vous devez être connecté pour voir les liens.

Windows XP français :

Vous devez être connecté pour voir les liens.

Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK

Sous Windows 2000 :
- Télécharger

Vous devez être connecté pour voir les liens.

et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK

Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.


Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, les symptomes sont les suivants :
- un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe dans le dossier d'installation de Windows. MàJ : Apparition d'une variante B ou l'exécutable s'appelle "avserve2.exe"
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur
- la présence d'un fichier C:\WIN.LOG
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996.
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :

Vous devez être connecté pour voir les images.

Vous devez être connecté pour voir les images.

Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine

Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne, en voici quelques-uns :
-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

(permet uniquement l'envois d'un fichier suspecté d'être un virus)

Removal Tools pour éliminer Sasser automatiquement (02.05.2004 à 7h50) :
-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

-

Vous devez être connecté pour voir les liens.

(

Vous devez être connecté pour voir les liens.

)
-

Vous devez être connecté pour voir les liens.

(enregistrement obligatoire)

Dernières mises à jour chez les éditeurs de logiciels AV (01.05.2004 à 19h00) :
- Symantec Security Response :

Vous devez être connecté pour voir les liens.

,

Vous devez être connecté pour voir les liens.

,

Vous devez être connecté pour voir les liens.

,

Vous devez être connecté pour voir les liens.

- McAfee Security :

Vous devez être connecté pour voir les liens.

,

Vous devez être connecté pour voir les liens.

,

Vous devez être connecté pour voir les liens.

- Trend Micro :

Vous devez être connecté pour voir les liens.

- Sophos :

Vous devez être connecté pour voir les liens.

- Panda Software :

Vous devez être connecté pour voir les liens.

&

Vous devez être connecté pour voir les liens.

- Antivir :

Vous devez être connecté pour voir les liens.

- Computer Associates :

Vous devez être connecté pour voir les liens.

&

Vous devez être connecté pour voir les liens.

- F-Secure :

Vous devez être connecté pour voir les liens.

- RAV Antivirus :

Vous devez être connecté pour voir les liens.

- Norman :

Vous devez être connecté pour voir les liens.

- F-Prot :

Vous devez être connecté pour voir les liens.

- Kaspersky :

Vous devez être connecté pour voir les liens.

,

Vous devez être connecté pour voir les liens.

(pages en Russe !)
- Avast :

Vous devez être connecté pour voir les liens.

- Grisoft AVG :

Vous devez être connecté pour voir les liens.

(source HFR)

 

[dju]

Aux modos : il faudrait fermer tout les autres sujets et faire de cette page un topikunuk

 

[Patch]

j'allais le faire après avoir tout lu sur le forum

 

[dju]

et faire comme ce qu'il y avait eu pour blaster, un encadré, un popup, n'importe quoi pour ceux qui rencontrent ce prob, et de les renvoyer ici
sinon, perso j'ai eu aucun prob : merci la mise à jour automatique de norton, windows update et kerio

 

[Patch]

ca c pas moi qui choisis
g Kerio activé en permanence + McAfee et WU à jour, g quand même mis le correctif au cas où, on ne sait jamais

 

[Max2000]

Suffit d'avoir un firewall costaud non ?

 

[king_ping]

même un simple suffit a bloquer les ports en question ...445,5554 et 9996.

Pour verifier aller dans demarrer/executer :cmd : netstat -an

Et verifier que ces ports n'apparaissent pas ...

 

[csflo]

merci de l'info

 

[Max2000]

[citation=65253,0,7][nom]king_ping a écrit[/nom]même un simple suffit a bloquer les ports en question ...445,5554 et 9996.

Pour verifier aller dans demarrer/executer :cmd : netstat -an

Et verifier que ces ports n'apparaissent pas ...
[/citation]

Oki, moi tout de façon seul le 80 et le 21 permete du traffic en sorti

 

[Max2000]

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

[:wam]

 

[king_ping]

C normal le 445 est utilisé en temps normal pour le DNS, comme d'autre pour le DHCP 1026,1027,1029,1031,1032,cela ne veux pas dire que tu es infecté ...

 

[0606]

Merci à Patch pour la redirection

 

[Max2000]

[citation=65263,0,11][nom]king_ping a écrit[/nom]C normal le 445 est utilisé en temps normal pour le DNS, comme d'autre pour le DHCP 1026,1027,1029,1031,1032,cela ne veux pas dire que tu es infecté ...
[/citation]

Oki merci

 

[freedownload]

Merci Kerio !!!

 

[dju]

clair pareil

 

[dju]

le pseudo-firewall de windows xp, il sert à quelque chose dans ce cas ou pas ? :??:

 

[Patch]

il sert à bloquer les ports entrants, don s'il passe pas par un port ouvet, oui

 

[dju]

ok

 

[dju]

(c'est peut etre pour ça que mon père n'est pas venu me demander qqch, j'ai activé ce firewall sur sa machine, en plus du kerio sur la mienne (qui accede au net et le partage sur le reseau)

 

[Requinou]

Si jamais un lien vers mon topic original sur le forum hardware.fr, celui-ci n'étant pas tenu à jour et n'est qu'un simple copier-coller légèrement modifié :

Vous devez être connecté pour voir les liens.

Pour info sur le port 445 c'est le service lsass.exe qui écoute, et justement c'est ce service qui possède une faille exploitée par Sasser.

Le port 445 apparaît lors d'un "netstat -a" sous la dénomination microsoft-ds et est normalement en écoute.

Le DNS utilise le port 53, pour information la

Vous devez être connecté pour voir les liens.

assignés par l'IANA.