SP1 et patchs plus récents

[pixyle]

Bon, toujours pas de réponse théorique mais le cas s'est reproduit chez une autre personne, j'en conclus que oui, le sp1 annule l'effet du patch pour la faille rpc.

 

De ce qui est de stoper l'execution de cette plaie, qui continue à tourner, y'a encore plus simple et plus rapide :

Taper dans Démarrer>Executer la commande : shutdown /a

C'est radical jusqu'au prochain reboot ...

[ipl_001]

Bonjour pixyle, bonjour à tous,

 

Je ne comprends pas ton étonnement !

Le SP1... car je suppose que tu parles bien du Service Pack 1 de Windows XP !... est antérieur à l'apparition de Blaster !

Blaster utilise une faille de sécurité que les ordinateurs patchés SP1 possèdent, c'est donc que SP1 ne corrige pas la faille en question !

Tu passes le patch machin-bidulle-980

Tu repasses le SP1 ensuite.... ce qui est anormal... il n'est pas étonnant que la faille de sécurité réapparaisse ! souviens toi la taille de la mise à jour Service Pack 1... SP1 comporte la faille de sécurité RPC dans ses lignes de programme !

Si tu installes un programme qui te remplace une DLL, si, ensuite, tu viens remettre la vieille DLL... étonne toi d'avoir un bout de programme ancien !

 

C'est pareil pour la vulnérabilité RPC ! le SP1 a remis la faille ! rien d'étonnant !

[ipl_001]

Bonjour Pixyle, bonjour à tous,

 

De ce qui est de stoper l'execution de cette plaie, qui continue à tourner, y'a encore plus simple et plus rapide :

Taper dans Démarrer>Executer la commande : shutdown /a

C'est radical jusqu'au prochain reboot ...

 

Je ne sais pas si shutdown /a fonctionne mais ce que je peux te dire c'est que moi, j'ai utilisé :

 

Démarrer/Exécuter/taper Shutdown -a puis cliquer OK

Ceci empêche simplement le redémarrage du système Windows XP programmé pour 60 secondes plus tard et laisse ainsi le temps de réparer convenablement.

 

Petites remarques à ce sujet :

- le coup du redémarrage toutes les 60 sec. est spécifique à XP

- Blaster accroît ses dégats de jour en jour, je veux dire que Blaster pris à ses débuts n'est pas très méchant ! laissé une quinzaine de jours :

--- NAV sera inopérant, ZA (et autres Firewall) sera inopérant,

--- vous ne pourrez plus copier de fichier d'une disquette vers le disque infecté,

--- vous ne pourrez plus lancer de programme depuis le disque

--- vous n'aurez plus accès à la corbeille

--- taper qqc sera affiché au rythme d'une lettre toutes les 3 secondes

--- etc.

- Blaster se comporte différemment sur les autres systèmes (W2K en l'occurrence)

- Nachi se comporte différemment aussi

 

Démarrer/Exécuter/taper services.msc puis cliquer sur OK

Dans la fenêtre Services, double cliquer sur "Appel de procédure distante (RPC)"/onglet Récupération/mettre "Première défaillance", "Deuxième défaillance" et "Défaillances suivantes" sur "Redémarrer le service"/Appliquer/OK

Ceci est équivalent au shutdown -a ; çà met un pansement !

Si l'infection est avancée, vous ne pourrez pas d-cliquer sur Appel de procédure distante !

 

Il faut encore éliminer le virus !

 

Passer l'antidote de Symantec que vous pourrez récupérer sur http://www.secuser.com/recherche/ etc.

Attention de ne pas confondre avec Welchi (alias Nachi, alias Lovesan et autres)

Là encore, une affection avancée et l'antidote dira que Blaster n'a pas été trouvé !

 

Si l'antidote ne fonctionne pas, il faudra désinfecter à la main en allant simplement :

- supprimer C:\WinNT\System32\Wins\SVChost.exe

- aller également tuer un fichier .exe dans un des dossiers démarrage (penser également à All Users)... nom qui varie et comporte de 3 à 4 lettres (le dernier que j'ai vu était WCU.exe)

- Attention, rechercher aussi C:\WinNT\System32\MBlast.exe dans le cas de Blaster.A ; penis32.exe (7200 octets) pour Blaster.B ; Teekids.exe (5360 octets) pour Blaster.C ; mspatch.exe (11776 octets) pour Blaster.D ; mslaugh.exe (6176 octets) pour Blaster.E ; enbiei.exe (11808 octets) pour Blaster.F

D'une manière générale, s'intéresser aux fichiers récents des répertoires WinNT, WinNT\System32

- supprimer 2 DLL avec une date correspondant à celle des fichiers exe repérés, situées dans C:\WinNT\System32

- aller aussi passer les services en revue... j'ai oublié les noms mais il parait qu'il y aurait 2 services en plus... je ne les ai jamais vus !

Ouf, voila pour le nettoyage manuel !

 

Une fois le virus éliminer, il faut encore éliminer cette fichu vulnérabilité en passant le patch 823980 de MicroSoft !

 

... ah oui... et ne pas repasser SP1 ! LOL

 

Pour les responsables Sécurité, il y a un utilitaire de Microsoft capable des scanner tous les ordis connectés sur le réseau pour afficher les Vulnérabilités !

 

Soit dit en passant, c'est bien Symantec (éditeur de Norton AntiVirus) qui est le champion des Antidotes... aucun autre éditeur ne l'égale !

Modifié le 28 septembre 2003 par ipl_001

[Invité tesgaz]

Salut ipl_001,

De toute façon, le patch de la faille RPC ne change pas le problème puisqu'il ne ferme pas les ports concernés 135/137/445

entre il y a eu 3 nouvelles failles répertoriées dans le même registre RPC/DCOM

 

seule solution fermer ces ports pour être vraiment tranquille, et bloquer les exécutables à risque pour le système, tel que cmd.exe, etc...

http://speedweb.chez.tiscali.fr/optimise-secu.html

 

voila,

[ipl_001]

Bonjour tesgaz, pixyle, bonjour à tous,

 

tesgaz, merci pour tes super lignes en complément des miennes ! tu as tout à fait raison !

 

J'ai édité mon post précédent car je l'avais validé intempestivement... il a bien changé pour ceux qui ne l'ont eu qu'en première lecture ! (l'édition des messages est une super fonction permettant d'avoir des posts impécables !)

 

Excusez moi pour ce post immense mais je crois qu'il est précieux ! je me suis rendu compte, à la lecture des réponses à ce fil de discussion que beaucoup, même parmi les membres éminents de Zebulon (ce qui n'enlève rien à leurs immenses qualités), confondaient un peu les choses !

Je crois que mon post expose, pas à pas, tout ce qu'il faut faire lors d'une infection par Blaster.

Je n'ai pas donné tous les liens parce que je rédigeais en ligne et ne les avais pas sous les yeux ; je ne voulais pas saisir toute l'après-midi... si quelqu'un ne trouvait pas l'antidote ou le patch 823980 dont je parle, qu'il poste et je donnerai la précision !

Modifié le 28 septembre 2003 par ipl_001

[ipl_001]

Bonsoir à tous,

 

Je voudrais ajouter quelques mots à mes longs posts de manière à être complet sur le sujet de l'infection d'XP par Blaster.

L'infection d'XP par Blaster est assez impressionnante avec l'ordi qui redémarrer sans cesse et le stress fait qu'on n'a plus l'esprit bien clair pour partir à la pêche aux infos et utilitaires, alors, voici !

 

-Infos sur Blaster : http://www.secuser.com/alertes/2003/lovsan.htm

(avec des liens qui envoient vers l'antidote et le patch de MS)

-Antidote FixBlast.exe de Symantec ( http://www.secuser.com/telechargement/index.htm#Lovsan ) qui envoie vers Symantec -> http://securityresponse.symantec.com/avcen...er/FixBlast.exe

- Page de Microsoft http://www.microsoft.com/technet/treeview/...in/MS03-026.asp fournissant :

--- Liens vers le correctif de Microsoft pour tous les OS concernés

--- explications détaillées sur la vulnérabilité.

 

Surtout ne pas oublier que l'élimination du virus par l'Antidote (ou autre moyen) doit être suivie du passage du patch de sécurité de Microsoft !

Modifié le 28 septembre 2003 par ipl_001

[Invité tesgaz]

SAlut ipl_001,

 

mais tout ce que tu nous donnes comme liens, nous l'avons déja traité depuis bien longtemps !!!!!!

faille blaster : http://forum.zebulon.fr/index.php?showtopic=32146

[ipl_001]

Bonsoir tesgaz, bonsoir à tous,

 

Zut ! que je suis cloche !

 

Et en plus, je l'avais lue, en son temps, cette discussion !

 

Par contre, je n'avais jamais lu ta page "optimise-secu.html" : félicitations ! elle est précieuse !

 

Bonne soirée à tous !

Modifié le 28 septembre 2003 par ipl_001