Aller au contenu


Photo
- - - - -

Désinfection type sur Tech Support Forums


  • Veuillez vous connecter pour répondre
15 réponses à ce sujet

#1 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 23982 messages

Posté 05 août 2005 - 09:48

Bonsoir à tous,

J'écris fréquemment que l'objectif d'un pirate est de commettre son forfait sans éveiller l'alerte, de prendre grand soin du système qu'il infecte pour ne pas prendre trop de bande passante, désactiver "gentiment" les protections, etc.
J'écris souvent qu'un malware peut en cacher un autre et qu'il ne faut pas se contenter de traiter le symptôme !

En voici une illustration !

http://www.techsuppo...?threadid=60816 (LOL merci megataupe)

Je suis tombé sur un rapport HijackThis initial ma foi, pas très impressionnant !

Regardez tout de même :

- apparition d'autres lignes dans le rapport HijackThis

- apparition de très nombreux fichiers infectés sur le disque

- à plusieurs étages

- la persévérance de sUBs

- la grande variété d'outils employés et en particulier les scans antivirus différents

Le nettoyage a duré du 11 au 16 juillet 2005 avec pas moins de 7 allers-retours !

Les connaisseurs pourront apprécier ! Des leçons pour chacun !
Good job Mr sUBs! :P



Lorsqu'un internaute écrit que son antivirus a détecté tel ou tel "virus", il faut examiner l'ensemble du système !

  • 0

PUBLICITÉ

    Annonces Google

#2 megataupe

megataupe

    Godlike Member

  • Membres / développeurs
  • 4389 messages

Posté 05 août 2005 - 09:55

Tu as oublié le lien chef :P . Maintenant, je me demande bien pourquoi les pirates "balancent" des noms de fichiers pareils, exemple pris sur un log HJT :

C:\Documents and Settings\All Users\Application Data\blehantipartcoal
C:\Documents and Settings\BATARD\Local Settings\Temp\hryjeosl.exe
C:\Documents and Settings\BATARD\Local Settings\Temp\mhhzmcgb.exe
C:\Documents and Settings\BATARD\Local Settings\Temporary Internet Files\Content.IE5\OBFRY8XD

Faut être aveugle, ou prendre les nettoyeurs pour des cons, pour ne pas conseiller de les fixer, à moins qu'ils ne cachent d'autres vermines qui elles sont moins repérables ?
  • 0

#3 Thanos

Thanos

    Devil Member !

  • Equipe Sécurité+
  • 15882 messages

Posté 05 août 2005 - 10:01

salut ipl,méga

...et en plus ils se foutent de not' gueule :P
  • 0

#4 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 23982 messages

Posté 05 août 2005 - 10:03

Bonsoir megataupe,

Merci pour m'avoir réveillé et alerté qu'il manquait le principal ! :P

Pour ce qui est de ton quatrième exemple

C:\Documents and Settings\BATARD\Local Settings\Temporary Internet Files\Content.IE5\OBFRY8XD

Je ne sais pas (si, je crois savoir !) si tu considères Bill Gates comme un pirate mais c'est bien du standard Windows (un sous répertoire de TIF) !
  • 0

#5 megataupe

megataupe

    Godlike Member

  • Membres / développeurs
  • 4389 messages

Posté 05 août 2005 - 10:11

Et après ça : OBFRY8XD (made in crosoft donc) on s'étonnera que les pirates pénétrent aussi facilement dans la meule de Billou. A propos de meule et de trous : Le mardi 9 août sera le mois des corrections chez Microsoft. Pas moins de 6 patchs sont d'ores et déjà prévus pour le mardi à venir, dont un est qualifié de "critique". Devrait y avoir quelques fichiers du genre ZPKPUKILO à la pelle :P .

edit: ton lien:

http://www.techsuppo...?threadid=60816

est invalide. Merci IPL :P :-P :-(


Celui là est bon mais, dans un autre registre qui devrait surement plaire à Charles et Stonangel :P que je salue :

http://www.thespykil.../chronicles.htm

Modifié par megataupe, 05 août 2005 - 10:34 .

  • 0

#6 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 23982 messages

Posté 05 août 2005 - 10:41

megataupe,

Sûr que ton lien est mauvais !
Où donc es-tu allé le chercher ? :P le mien est bon !
  • 0

#7 Thanos

Thanos

    Devil Member !

  • Equipe Sécurité+
  • 15882 messages

Posté 05 août 2005 - 11:23

je viens de découvrir le 2 eme opus de la guerre des mondes sur =>

http://www.techsuppo...?threadid=60816

chapeau bas MR sUBs , ca force le respect !

:P :P

salut méga merci pour ce lien instructif :-P
  • 0

#8 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 23982 messages

Posté 05 août 2005 - 11:45

Bonsoir à tous,

...
Celui là est bon mais, dans un autre registre qui devrait surement plaire à Charles et Stonangel :P  que je salue :

http://www.thespykil.../chronicles.htm

Je fais remarquer que :

- ce lien aurait du être sur ma page Web http://gerard.melone...T-HJT2.html#OPs mais dvk01uk a changé l'URL sans m'avertir ! LOL

- ce lien "Document last updated: February 29, 2004" n'est pas à jour

- le document à consulter est la référence en la matière "The CoolWebSearch Chronicles" de Merijn -> http://www.spywarein...chronicles.html
  • 0

#9 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 23982 messages

Posté 07 août 2005 - 01:18

Bonsoir à tous,

Du nouveau concernant CWShredder et les "CoolWebSearch Chronicles" !

J'ai trouvé plus récent et plus à jour que le site de Merijn... et çà me fait très plaisir :

Trend Micro (Japonais) semble reprendre CWShredder -> version 2.15 May 2005 - http://www.trendmicro.com/cwshredder/

et les chronicles (44 variantes) -> http://cwshredder.ne...chronicles.html

Merci à Gladiator !
  • 0

#10 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 23982 messages

Posté 07 août 2005 - 10:53

Bonjour à tous,

De même, pour illustrer encore l'esprit de communauté qui prévaut aux US, voici un exemple de l'entraide entre forums.
Loin d'être concurrents, les experts sont tous membres de nombreux forums sur lesquels ils postent indifféremment (où ils sont utiles), de même qu'ils se rencontrent dans les séminaires entre MVP !

CalamityJane  Aug 2 2005, 03:14 AM

Global Board Mom Group: General Admin

I hope no-one is offended by this post. I try to help in struggling forums when I see I am needed most - so get around wherever I see the most need.

If anyone has some spare time, Suzi's forum is really needing some help (very few qualified helpers doing logs there).

If you want some fresh Aurora/L2me/Qoologic infections to sink your teeth into, we seem to have a overflow of victims to work on

Thanks in advance to anyone who can help out flowerz.gif

P.S. If you're not "ranked" yet at her forum, please feel free to sign up and send me a PM or post here what username you are using at SWW. I'll let her know to get you in a helping position.

Hunter  Aug 2 2005, 03:17 AM

The Flying Dutchman Group: General Admin

Come on guys..give Suzi some support and we all thank you. yeah.gif

Ce sont là des comportements qui correspondent bien à ce que beaucoup sur Zebulon, ont en tête et dans le coeur !
  • 0