Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

O.Fournier

Nouveau virus : SASSER

Messages recommandés

B'Jour, vite en passant je vous colle l'alerte Secuser reçue ce matin.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

          S E C U S E R  A L E R T  01/05/04

                http://www.secuser.com/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

                    Virus Sasser

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

1. RESUME DE L'ALERTE

2. SYSTEME(S) CONCERNE(S)

3. PREVENTION

4. DESINFECTION

5. AIDE ET DISCUSSION

6. FAIRE CONNAITRE SECUSER ALERT

7. CONTACTER SECUSER.COM

8. DESABONNEMENT ET CHANGEMENT D'ADRESSE

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Sasser est le premier virus ciblant les ordinateurs vulnérables à la faille

Microsoft LSASS annoncée le 13/04/04. Si une machine connectée à Internet

n'est pas à jour dans ses correctifs, Sasser l'infecte via le port TCP 445

sans intervention de l'utilisateur, puis scanne le réseau à la recherche de

nouvelles machines vulnérables. Le virus n'est pas destructif mais chaque

attaque peut provoquer un plantage de l'ordinateur. Sasser est peu virulent

mais la mise à jour des ordinateurs sous Windows NT, 2000, XP et 2003 est le

cas échéant urgente et impérative sans attendre de nouvelles variantes.

http://www.secuser.com/alertes/2004/sasser.htm

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2. SYSTEME(S) CONCERNE(S)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Windows XP

Windows 2000

Windows NT

Windows 2003

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

3. PREVENTION

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas

de doute, les utilisateurs de Windows doivent également mettre à jour

leur système via le site de Microsoft ou le service WindowsUpdate afin de

corriger la faille exploitée par le virus pour s'exécuter automatiquement.

http://www.secuser.com/communiques/2004/040413_vulnwin.htm

http://www.secuser.com/outils/index.htm#windowsupdate

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

4. DESINFECTION

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser

gratuitement l'antivirus en ligne pour rechercher et éliminer le virus.

http://www.secuser.com/alertes/2004/sasser.htm#Desinfection

 

..."

 

Bon Dimanche tous, s'cusez je suis de fête...

:P

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Olivier, Rémi, bonsoir à tous,

 

Oui, c'est parti ! SecUser préconise Stinger comme antidote ! je n'ai jamais été bien satisfait de Stinger !

 

http://www.secuser.com/communiques/2004/040413_vulnwin.htm[/url'> ']Vulnérabilités multiples dans Microsoft Windows

XP, 2000, NT 4.0 et Server 2003 (13/04/04)

 

RESUME :

Dix-neuf vulnérabilités dont sept de niveau critique ont été découvertes dans divers composants ou services de Windows XP, 2000, NT 4.0 et 2003 (LSASS, LDAP, PCT, Winlogon, Metafile, Help and Support Center, Utility Manager, Windows Management, Local Descriptor Table, H.323, Virtual DOS Machine, Negotiate SSP, SSL et ASN.1 “Double Free”). Ces vulnérabilités peuvent permettre à une personne malveillante d'exécuter le code de son choix et de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'insu de l'utilisateur.

 

LOGICIELS AFFECTES :

Microsoft Windows NT 4.0

Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows 2003

 

CORRECTIF :

Les utilisateurs concernés doivent appliquer immédiatement les correctifs correspondant à la version de leur logiciel via le service WindowsUpdate (en français) ou en téléchargeant les correctifs sur le site de l'éditeur.

 

INFORMATIONS COMPLEMENTAIRES :

-> Microsoft Security Bulletin MS04-011 (en anglais)

-> Microsoft Security Bulletin MS04-012 (en anglais)

-> Microsoft Security Bulletin MS04-014 (en anglais)

-> FAQ : comment déterminer le numéro de version de votre logiciel?

Partager ce message


Lien à poster
Partager sur d’autres sites

Je l'ai essayé: nada !!! :P

il a rien trouvé. mais je me demande encore quelle version j'ai. car je n'ai pas exactement ce qui est décrit sur secuser, au point que j'ai cru à l'origine que ctai un virus different.

Modifié par Rémi

Partager ce message


Lien à poster
Partager sur d’autres sites

hu ça a marché pour la 1ere version de avserve.exe (le virus) mais il ne detecte pas la variante "avserve2.exe"

 

Et le patch de microsoft ne ma pas empeché d'attraper l'avserve2 non plus alors que tout semblait revenu a la normale (enfin 3/4 h seulement de 20h30 a 21h17 , heure a laquelle l'enregistreur d'evenment a noté l'erreur dans Lsass (donc meme forme d'attaque quasiment).

 

J'edite : en fait il y a 3 patch microsoft

835732 (12 avril 2004)

828741 (12 avril 2004)

837001 (13 avril 2004)

je n'avait installé que le dernier ... :-(

je viens aussi de faire avec fixsasser (lutilitaire recommandé en dernier sur secuser.com , il n'a rien trouvé mais j'avais délogé manuellement aserve2 avant .. je commence a etre rodé :P )

a suivre donc pour voir si ça tient la route ...

 

j'en profite pendant que ça a l'air tranquille pour remercier tous ceux qui ont posté les solutions (y compris sur d'autres post 1 ou 2 autres qui se croisent sur le même sujet) :-P

Modifié par Lag64

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

 

Les choses évoluent !

Symantec a bossé et SecUser a maintenant mis un lien vers l'antidote contre Sasser et Sasser.B -> http://securityresponse.symantec.com/avcenter/FxSasser.exe

 

Page de description de SecUser -> http://www.secuser.com/alertes/2004/sasser.htm

Page de description Symantec W32.Sasser.Worm -> http://sarc.com/avcenter/venc/data/w32.sasser.worm.html

Page de description Symantec W32.Sasser.B.Worm -> http://sarc.com/avcenter/venc/data/w32.sasser.b.worm.html

 

N'oubliez pas les patches de Microsoft (que je n'ai pas reporté ici) !

 

Bonne chance !

Partager ce message


Lien à poster
Partager sur d’autres sites

j'arrive avec un train de retard ici. Je vois que le mot est déjà passé. Je voulais moi aussi vous poster ça :

 

Sasser : le virus annoncé se propage maintenant sur Internet

Sasser, un ver informatique qui a commencé à se propager sur Internet dans la nuit de vendredi à samedi, utilise une faille de Windows récemment corrigée par Microsoft pour se diffuser sans intervention humaine.

Comme ce fut le cas de Blaster au cours de l'été 2003, voici qu'un autre ver annoncé par les experts en sécurité informatique se propage de lui-même en exploitant une faille largement répandue de Windows. Sasser se diffuse sans intervention humaine en tirant profit de la faille du service LSASS (Windows 2000 et XP) annoncée dans le bulletin MS04-011 de Microsoft.

 

Pour l'instant, le ver informatique Sasser semble toutefois se distinguer par sa propagation beaucoup plus modérée que celle de Blaster et de son remède Welchia. Les experts n'en comprennent pas encore très bien les raisons mais ils notent cependant que son développement a été plus rapide que dans le cas de Blaster: seulement 18 jours se sont écoulés entre l'annonce de la faille (avec la publication du correctif) et l'apparition de Sasser. On notera également qu'à la différence des vers de l'été 2003, Sasser ne causerait pas de redémarrage intempestif des PC infectés.

 

Pour être infecté par Sasser, nul besoin d'exécuter un fichier infecté joint à un courriel; le ver informatique se diffuse de proche en proche par les PC connectés à Internet sur lesquels le correctif de Microsoft n'a pas été appliqué. Une fois installé dans un PC, Sasser balaie des plages d'adresses IP, déterminées aléatoirement, à la recherche d'autres ordinateurs à infecter, vers lesquels il se transfert par FTP.

 

Indices d'infection: Sasser affiche une boîte de dialogue à propos d'une erreur de «LSASS.exe», s'installe dans le dossier de Windows sous le nom «avserve.exe» et pourrait ralentir considérablement le fonctionnement d'un PC à cause des 128 processus lancés lors du balayage des adresses IP afin de trouver d'autres victimes.

 

Les principaux éditeurs de logiciel antivirus ont déjà publié des mises à jour qui permettent de détecter et supprimer Sasser. Microsoft a également mis en ligne, uniquement en anglais pour l'instant, la marche à suivre détaillée pour débarrasser un PC de Sasser.

 

Source: http://www.branchez-vous.com/actu/04-05/08-211702.html

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

 

W32.Sasser.Worm

Les détails de Symantec : http://sarc.com/avcenter/venc/data/w32.sasser.worm.html

Removal tool -> http://securityresponse.symantec.com/avcen...moval.tool.html

When W32.Sasser.Worm runs, it does the following:

 

Attempts to create a mutex called Jobaka3l and exits if the attempt fails. This ensures that no more than one instance of the worm can run on the computer at any time.

 

Copies itself as %Windir%\avserve.exe.

 

 

--------------------------------------------------------------------------------

Note: %Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.

--------------------------------------------------------------------------------

 

 

Adds the value:

 

"avserve.exe"="%Windir%\avserve.exe"

 

to the registry key:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

so that the worm runs when you start Windows.

 

 

Uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer.

 

 

Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts.

 

 

Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).

 

The IP addresses generated by the worm are distributed as follows:

50% are completely random

25% have the same first octet as the IP address of the infected host

25% have the same first and second octet as the IP address of the infected host.

 

The worm starts 128 threads that scan randomly-chosen IP addresses. This demands a lot of CPU time and as a result an infected computer may be so slow as to be barely useable.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

 

W32.Sasser.B.Worm

Les détails de Symantec : http://sarc.com/avcenter/venc/data/w32.sasser.b.worm.html

Removal tool -> http://securityresponse.symantec.com/avcen...moval.tool.html

When W32.Sasser.B.Worm runs, it does the following:

 

Attempts to create a mutex called Jobaka3 and exits if the attempt fails. This ensures that no more than one instance of the worm can run on the computer at any time.

 

Copies itself as %Windir%\avserve2.exe.

 

 

--------------------------------------------------------------------------------

Note: %Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.

--------------------------------------------------------------------------------

 

 

Adds the value:

 

"avserve2.exe"="%Windir%\avserve2.exe"

 

to the registry key:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

so that the worm runs when you start Windows.

 

 

Uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer.

 

 

Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts.

 

 

Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×