Désinfection type sur Tech Support Forums

[ipl_001]

Bonsoir à tous,

 

J'écris fréquemment que l'objectif d'un pirate est de commettre son forfait sans éveiller l'alerte, de prendre grand soin du système qu'il infecte pour ne pas prendre trop de bande passante, désactiver "gentiment" les protections, etc.

J'écris souvent qu'un malware peut en cacher un autre et qu'il ne faut pas se contenter de traiter le symptôme !

 

En voici une illustration !

 

http://www.techsupportforum.com/showthread...?threadid=60816 (LOL merci megataupe)

 

Je suis tombé sur un rapport HijackThis initial ma foi, pas très impressionnant !

 

Regardez tout de même :

 

- apparition d'autres lignes dans le rapport HijackThis

 

- apparition de très nombreux fichiers infectés sur le disque

 

- à plusieurs étages

 

- la persévérance de sUBs

 

- la grande variété d'outils employés et en particulier les scans antivirus différents

 

Le nettoyage a duré du 11 au 16 juillet 2005 avec pas moins de 7 allers-retours !

 

Les connaisseurs pourront apprécier ! Des leçons pour chacun !

Good job Mr sUBs!

 

 

 

Lorsqu'un internaute écrit que son antivirus a détecté tel ou tel "virus", il faut examiner l'ensemble du système !

[megataupe]

Tu as oublié le lien chef . Maintenant, je me demande bien pourquoi les pirates "balancent" des noms de fichiers pareils, exemple pris sur un log HJT :

 

C:\Documents and Settings\All Users\Application Data\blehantipartcoal

C:\Documents and Settings\BATARD\Local Settings\Temp\hryjeosl.exe

C:\Documents and Settings\BATARD\Local Settings\Temp\mhhzmcgb.exe

C:\Documents and Settings\BATARD\Local Settings\Temporary Internet Files\Content.IE5\OBFRY8XD

 

Faut être aveugle, ou prendre les nettoyeurs pour des cons, pour ne pas conseiller de les fixer, à moins qu'ils ne cachent d'autres vermines qui elles sont moins repérables ?

[Thanos]

salut ipl,méga

 

...et en plus ils se foutent de not' gueule

[ipl_001]

Bonsoir megataupe,

 

Merci pour m'avoir réveillé et alerté qu'il manquait le principal !

 

Pour ce qui est de ton quatrième exemple

C:\Documents and Settings\BATARD\Local Settings\Temporary Internet Files\Content.IE5\OBFRY8XD

Je ne sais pas (si, je crois savoir !) si tu considères Bill Gates comme un pirate mais c'est bien du standard Windows (un sous répertoire de TIF) !

[megataupe]

Et après ça : OBFRY8XD (made in crosoft donc) on s'étonnera que les pirates pénétrent aussi facilement dans la meule de Billou. A propos de meule et de trous : Le mardi 9 août sera le mois des corrections chez Microsoft. Pas moins de 6 patchs sont d'ores et déjà prévus pour le mardi à venir, dont un est qualifié de "critique". Devrait y avoir quelques fichiers du genre ZPKPUKILO à la pelle .

 

edit: ton lien:

 

http://www.techsupportforum.com/showthread...?threadid=60816

 

est invalide. Merci IPL

 

Celui là est bon mais, dans un autre registre qui devrait surement plaire à Charles et Stonangel que je salue :

 

http://www.thespykiller.co.uk/chronicles.htm

Modifié le 5 août 2005 par megataupe

[ipl_001]

megataupe,

 

Sûr que ton lien est mauvais !

Où donc es-tu allé le chercher ? le mien est bon !

[Thanos]

je viens de découvrir le 2 eme opus de la guerre des mondes sur =>

 

http://www.techsupportforum.com/showthread...?threadid=60816

 

chapeau bas MR sUBs , ca force le respect !

 

 

salut méga merci pour ce lien instructif

[ipl_001]

Bonsoir à tous,

...

Celui là est bon mais, dans un autre registre qui devrait surement plaire à Charles et Stonangel   que je salue :

 

http://www.thespykiller.co.uk/chronicles.htm

Je fais remarquer que :

 

- ce lien aurait du être sur ma page Web http://gerard.melone.free.fr/IT/IT-HJT2.html#OPs mais dvk01uk a changé l'URL sans m'avertir ! LOL

 

- ce lien "Document last updated: February 29, 2004" n'est pas à jour

 

- le document à consulter est la référence en la matière "The CoolWebSearch Chronicles" de Merijn -> http://www.spywareinfo.com/~merijn/cwschronicles.html

[ipl_001]

Bonsoir à tous,

 

Du nouveau concernant CWShredder et les "CoolWebSearch Chronicles" !

 

J'ai trouvé plus récent et plus à jour que le site de Merijn... et çà me fait très plaisir :

 

Trend Micro (Japonais) semble reprendre CWShredder -> version 2.15 May 2005 - http://www.trendmicro.com/cwshredder/

 

et les chronicles (44 variantes) -> http://cwshredder.net/cwshredder/cwschronicles.html

 

Merci à Gladiator !

[ipl_001]

Bonjour à tous,

 

De même, pour illustrer encore l'esprit de communauté qui prévaut aux US, voici un exemple de l'entraide entre forums.

Loin d'être concurrents, les experts sont tous membres de nombreux forums sur lesquels ils postent indifféremment (où ils sont utiles), de même qu'ils se rencontrent dans les séminaires entre MVP !

CalamityJane  Aug 2 2005, 03:14 AM

 

Global Board Mom Group: General Admin

 

I hope no-one is offended by this post. I try to help in struggling forums when I see I am needed most - so get around wherever I see the most need.

 

If anyone has some spare time, Suzi's forum is really needing some help (very few qualified helpers doing logs there).

 

If you want some fresh Aurora/L2me/Qoologic infections to sink your teeth into, we seem to have a overflow of victims to work on

 

Thanks in advance to anyone who can help out flowerz.gif

 

P.S. If you're not "ranked" yet at her forum, please feel free to sign up and send me a PM or post here what username you are using at SWW. I'll let her know to get you in a helping position.

Hunter  Aug 2 2005, 03:17 AM

 

The Flying Dutchman Group: General Admin

 

Come on guys..give Suzi some support and we all thank you. yeah.gif

Ce sont là des comportements qui correspondent bien à ce que beaucoup sur Zebulon, ont en tête et dans le coeur !