Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

mo;mo

sasser encore lui

Messages recommandés

Es-tu sûr _Michel_ ? Pour moi, le plantage tient au trop gros nombre de threads lancés par le virus pour scanner les IP alentours !

Non pas sûr à 100 %, je manque de recul sur ce virus mais le parrallèle avec Blaster saute aux yeux (et lui c'est exactement ça à 100 %). Tous deux utilisent une exécution de code par débordement de tampon. L'adresse de retour de ce genre d'exploit est assez compliquée à déterminer sous windows et à la moindre erreur sur cette adresse, LSASS.EXE comme SVCHOST.EXE à son époque, plante. Ces applications étant supposées essentielles par windows, il décide de redémarrer la machine pour remettre en ordre son système.

 

g le redemarage intempestif ki s affiche et en bas de ce messg je voies "C:/Windows/System32/Lsass.exe" heuresement ke "shutdown -a" elimine le compte a rebours..

Alors c'est le patch + parefeu qu'il te faut. Tu verras ça ira mieux après. :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Invité tesgaz

bin, j'ai pas patché, et pas de sasser (a rien )

 

fermer les ports critiques de windows suffisent à ce probleme, mais comme d'habitude, les société d'antivirus font croire tout et n'importe quoi, c'est un ver reseau et non pas un virus

Partager ce message


Lien à poster
Partager sur d’autres sites

_Michel_,

Non pas sûr à 100 %, je manque de recul sur ce virus mais le parrallèle avec Blaster saute aux yeux (et lui c'est exactement ça à 100 %). Tous deux utilisent une exécution de code par débordement de tampon. L'adresse de retour de ce genre d'exploit est assez compliquée à déterminer sous windows et à la moindre erreur sur cette adresse, LSASS.EXE comme SVCHOST.EXE à son époque, plante. Ces applications étant supposées essentielles par windows, il décide de redémarrer la machine pour remettre en ordre son système...
Si je commente ce que tu dis, ce n'est pas pour polémiquer ou pour avoir raison mais pour le plaisir de lire ton avis et échanger sur ce sujet qui m'intéresse... d'ac ?

J'ai l'impression que Blaster appelait intentionnellement le "service de reboot" (je l'appelle comme çà) tandis que pour Sasser, c'est la conséquence du fait que la machine est trop sollicitée, non ?

(tu peux me contredire si je me mets le doigt dans l'oeil !)

Partager ce message


Lien à poster
Partager sur d’autres sites
Les redémarrages dû à sasser sont particuliers et n'interviennent que lorsque tu es connecté à internet. Il y a un message parlant de problème avec LSASS.EXE avec un compte à rebour.

 

De plus, ce symptôme en lui-même ne signifie pas que tu es contaminé mais qu'un ver vient de tenter de te contaminer (depuis internet) et a échoué en faisant planter LSASS.EXE. Lorsque la contamination réussie, rien n'est visible sauf que l'ordi devient très lent.

 

Si tu as de tels symptômes c'est que non seulement tu n'es pas patché mais en plus tu n'as aucun parefeu actif. Le simple fait d'activer le firewall intégré suffit à stopper ces plantages.

Je n'y avait jamais réfléchit dans ce sens mais je suis effectivement d'accord avec toi, yant moi même eu ces problèmes de redémarrage sans jamais voir apparaître de processus avserve.exe, ni de fichier de ce nom dans windows ni aucun des autres symptômes, y comprit le ralentissement système. :P

 

Bravo pr l'idée !! :-(

Partager ce message


Lien à poster
Partager sur d’autres sites

:P Aucune envie de polémiquer. Je donne mon avis et prend connaissance de celui des autres. Si ça peut aider tant mieux. Le reste m'importe guère.

 

L'exploit utilisé par Blaster "RPC-DOM remote code execution" était (est sans doute encore) disponible sur le net sous la forme du code source et d'un petit exécutable capable d'ouvrir un shell sur une machine vulnérable. Selon l'OS exact et son niveau de patch, l'adresse de retour est différente. Il semble qu'en plus la localisation (la langue) de windows change également cette adresse. Si bien que les essais sur une machine XP non patchée française ont provoqués invariablement le même message que Blaster, autrement dit le fameux compte à rebour.

 

Blaster et ses successeurs tirent au hazard le type d'OS et le niveau de patch (et sans doute la localisation) avant d'envoyer une sonde. Vu le nombre de possibilités, le plus souvent cette tentative échouera en provoquant le redémarrage.

 

PS: L'intérêt du patch en plus du pare-feu est de prévenir une contamination si ce dernier plante ou est fermé par erreur. C'est une deuxième couche de sécurité.

Modifié par _Michel_

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité tesgaz

les patchs de windows contournent le problème, mais le problème de vulnérabilité reste entier car les ports vulnérables de windows restent ouverts, donc patcher oui, fermer les ports critiques, c'est mieux

Partager ce message


Lien à poster
Partager sur d’autres sites

Pas de patch et pas de sasser ici non plus ...

 

Fermer les ports critique est plus efficace qu'un firewall pour ce genre de failles ...

Partager ce message


Lien à poster
Partager sur d’autres sites
Fermer les ports critique est plus efficace qu'un firewall pour ce genre de failles ...

Je viens de voir le programme et l'article très impressionant de tesgaz. En substance, il n'y a rien à dire sur la philosophie, il vaut mieux en effet fermer un service lorsque l'on en a pas besoin. Par contre, j'ai deux remarques à faire :

 

- Les partages de fichiers et autres gadjets ne doivent plus marcher dans le cadre d'un réseau local. Je me trompe ?

- Est-ce que toutes les conséquences de ces altérations sont maîtrisées ? En ce qui me concerne, par exemple, je ne prendrais pas le risque de fermer DCOM (ou de le rendre innopérant).

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité tesgaz

le partage du reseau fonctionne sans aucun soucis,

car le 137/138/139/445 sont fermer sur la connexion internet

pour DCOM, on ne ferme pas 135, on ferme la partie visible sur le reseau externe pour la substituée sur le loopback 127.0.0.1, donc le 135 fonctionne en interne et continue de faire son boulot de port mapper

 

c'est tout

Partager ce message


Lien à poster
Partager sur d’autres sites

Moi mon ordinateur est resté allumé toute la semaine et mon firewall a suffi mais j'ai quand meme telecharger la mise a jour

 

Sinon hier j'ai entendu a la radio que "l'inventeur" du sasser c'est fait arreté hier en allemagne, il avait 18 ans

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...