sasser encore lui

[_Michel_]

Es-tu sûr _Michel_ ? Pour moi, le plantage tient au trop gros nombre de threads lancés par le virus pour scanner les IP alentours !

Non pas sûr à 100 %, je manque de recul sur ce virus mais le parrallèle avec Blaster saute aux yeux (et lui c'est exactement ça à 100 %). Tous deux utilisent une exécution de code par débordement de tampon. L'adresse de retour de ce genre d'exploit est assez compliquée à déterminer sous windows et à la moindre erreur sur cette adresse, LSASS.EXE comme SVCHOST.EXE à son époque, plante. Ces applications étant supposées essentielles par windows, il décide de redémarrer la machine pour remettre en ordre son système.

 

g le redemarage intempestif ki s affiche et en bas de ce messg je voies "C:/Windows/System32/Lsass.exe" heuresement ke "shutdown -a" elimine le compte a rebours..

Alors c'est le patch + parefeu qu'il te faut. Tu verras ça ira mieux après.

[Invité tesgaz]

bin, j'ai pas patché, et pas de sasser (a rien )

 

fermer les ports critiques de windows suffisent à ce probleme, mais comme d'habitude, les société d'antivirus font croire tout et n'importe quoi, c'est un ver reseau et non pas un virus

[ipl_001]

_Michel_,

Non pas sûr à 100 %, je manque de recul sur ce virus mais le parrallèle avec Blaster saute aux yeux (et lui c'est exactement ça à 100 %). Tous deux utilisent une exécution de code par débordement de tampon. L'adresse de retour de ce genre d'exploit est assez compliquée à déterminer sous windows et à la moindre erreur sur cette adresse, LSASS.EXE comme SVCHOST.EXE à son époque, plante. Ces applications étant supposées essentielles par windows, il décide de redémarrer la machine pour remettre en ordre son système...

Si je commente ce que tu dis, ce n'est pas pour polémiquer ou pour avoir raison mais pour le plaisir de lire ton avis et échanger sur ce sujet qui m'intéresse... d'ac ?

J'ai l'impression que Blaster appelait intentionnellement le "service de reboot" (je l'appelle comme çà) tandis que pour Sasser, c'est la conséquence du fait que la machine est trop sollicitée, non ?

(tu peux me contredire si je me mets le doigt dans l'oeil !)

[Rémi]

Les redémarrages dû à sasser sont particuliers et n'interviennent que lorsque tu es connecté à internet. Il y a un message parlant de problème avec LSASS.EXE avec un compte à rebour.

 

De plus, ce symptôme en lui-même ne signifie pas que tu es contaminé mais qu'un ver vient de tenter de te contaminer (depuis internet) et a échoué en faisant planter LSASS.EXE. Lorsque la contamination réussie, rien n'est visible sauf que l'ordi devient très lent.

 

Si tu as de tels symptômes c'est que non seulement tu n'es pas patché mais en plus tu n'as aucun parefeu actif. Le simple fait d'activer le firewall intégré suffit à stopper ces plantages.

Je n'y avait jamais réfléchit dans ce sens mais je suis effectivement d'accord avec toi, yant moi même eu ces problèmes de redémarrage sans jamais voir apparaître de processus avserve.exe, ni de fichier de ce nom dans windows ni aucun des autres symptômes, y comprit le ralentissement système.

 

Bravo pr l'idée !!

[_Michel_]

Aucune envie de polémiquer. Je donne mon avis et prend connaissance de celui des autres. Si ça peut aider tant mieux. Le reste m'importe guère.

 

L'exploit utilisé par Blaster "RPC-DOM remote code execution" était (est sans doute encore) disponible sur le net sous la forme du code source et d'un petit exécutable capable d'ouvrir un shell sur une machine vulnérable. Selon l'OS exact et son niveau de patch, l'adresse de retour est différente. Il semble qu'en plus la localisation (la langue) de windows change également cette adresse. Si bien que les essais sur une machine XP non patchée française ont provoqués invariablement le même message que Blaster, autrement dit le fameux compte à rebour.

 

Blaster et ses successeurs tirent au hazard le type d'OS et le niveau de patch (et sans doute la localisation) avant d'envoyer une sonde. Vu le nombre de possibilités, le plus souvent cette tentative échouera en provoquant le redémarrage.

 

PS: L'intérêt du patch en plus du pare-feu est de prévenir une contamination si ce dernier plante ou est fermé par erreur. C'est une deuxième couche de sécurité.

Modifié le 7 mai 2004 par _Michel_

[Invité tesgaz]

les patchs de windows contournent le problème, mais le problème de vulnérabilité reste entier car les ports vulnérables de windows restent ouverts, donc patcher oui, fermer les ports critiques, c'est mieux

[Gen]

Pas de patch et pas de sasser ici non plus ...

 

Fermer les ports critique est plus efficace qu'un firewall pour ce genre de failles ...

[_Michel_]

Fermer les ports critique est plus efficace qu'un firewall pour ce genre de failles ...

Je viens de voir le programme et l'article très impressionant de tesgaz. En substance, il n'y a rien à dire sur la philosophie, il vaut mieux en effet fermer un service lorsque l'on en a pas besoin. Par contre, j'ai deux remarques à faire :

 

- Les partages de fichiers et autres gadjets ne doivent plus marcher dans le cadre d'un réseau local. Je me trompe ?

- Est-ce que toutes les conséquences de ces altérations sont maîtrisées ? En ce qui me concerne, par exemple, je ne prendrais pas le risque de fermer DCOM (ou de le rendre innopérant).

[Invité tesgaz]

le partage du reseau fonctionne sans aucun soucis,

car le 137/138/139/445 sont fermer sur la connexion internet

pour DCOM, on ne ferme pas 135, on ferme la partie visible sur le reseau externe pour la substituée sur le loopback 127.0.0.1, donc le 135 fonctionne en interne et continue de faire son boulot de port mapper

 

c'est tout

[final_flo]

Moi mon ordinateur est resté allumé toute la semaine et mon firewall a suffi mais j'ai quand meme telecharger la mise a jour

 

Sinon hier j'ai entendu a la radio que "l'inventeur" du sasser c'est fait arreté hier en allemagne, il avait 18 ans