Refresh Une de perdue, WoW de retrouvé | Bonjour à tous!
J'utilise Kerio Personal Firewall 4.3.268.0, et j'ai un problème avec un fichier netlog.exe, qui essaie de faire une injection de code dans Internet Explorer. A chaque fois, je vois une fenêtre qui s'ouvre et qui me dit que Kerio a stoppé une tentative d'injection.
Aucun des antivirus ou spyware/adware scanners n'ont détecté quoi que ce soit, même en mode sans échec. J'ai utilisé Spybot, Adaware, Avast (c'est mon antivirus, il est à la version 4.7.942), AntiVir Personal, NOD32, ...
Dois-je l'ajouter à ma liste d'exception HIPS ("Système d'intrusion et de prévention d'hôtes" ) car il est bénin? Ou dois-je desactiver le service avec HijackThis? (oui il y apparaît en O23, tout en bas de la liste, rien d'autre à signaler dans le log).
Une petite question un poil hors sujet, mais comment faire pour créer un backup des modifications HijackThis?
J'ai fait une petite recherche sur le forum, et ce qui m'a inquiété est le message suivant:
http://forum.hardware.fr/hfr/Windo [...] m#t1802945
Citation :
/!\ premier virus utilisant la faille patchée MS04-032 (fichier metafile mal formé) /!\ Alerte - Un nouveau ver exploite la vulnérabilité Windows Metafile Images Alertes K-Otik 16/11/2004 , W32.Scard (Symantec), W32/Golten.worm (Mac Afee) , WORM_GOLTEN.A (Trend) et Win32.Golten.A (Computer Associates)
Propagation :
* Une fois sur un pc il essaye de se propager par attaque NetBIOS dans les répertoires partagés des pcs du réseau local IP$ (ie si l'IP du PC est a.b.c.d il cherche dans le réseau les IP allant de a.b.c.1 à a.b.c.254) et si il obtient les droits administrateurs (il teste une liste prédéfinie de login et mot de passe), il se copie (sous le nom alerter.exe ou alerter16.exe) sous \\<machine cible>\ADMIN$\System32\Alerter.exe
* Mail avec comme sujet "Latest News about Arafat!!!", corps de message "Hello guys!
Latest news about Arafat!
Unimaginable!!!!!" et deux fichiers attachés arafat_1.emf qui est un vraie image des funérailles et arafat_2.emf qui est fichier malicieux exploitant la faille MS04-032 et qui sera détecté comme Bloodhound.Exploit.17 (Symantec), Exploit-MS04-032!gdi (Mac Afee), EXPLOIT-MS04-032 (Trend) et Win32.MS04-032!exploit (Computer Associates)
Symptômes :
* copie les fichiers suivants dans le répertoire %System% : Alerter.exe, SPO0LSV.EXE , sptres.dll. Le virus modifie la date des deux derniers fichiers en 19/07/2002 9:48:48 afin de mieux les masquer
* modifie le chemin vers le service d'alerte windows dans la base de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter "ImagePath"[i]. La vraie valeur est [i]%SystemRoot%\System32\svchost.exe -k LocalService et la nouvelle devient %SystemRoot%\System32\Alerter.exe
* copie le fichier suivant dans le répertoire %System et l'exécute : spc.exe qui est en fait un trojan backdoor qui installe ensuite comwsock.dll, dmsock.dll, inetcfg.h, mst.tlb, SCardSer.exe
Actions :
* injecte la dll sptres.dll dans le processus explorer.exe
* le trojan injecte ses dll dans les processus suivant : explorer.exe iexplore.exe inetinfo.exe lsass.exe msimn.exe msmsgs.exe msnmsgr.exe outlook.exe qq.exe et svchost.exe. Ces dll permettent d'ouvrir des backdoors sur des ports TCP aléatoires avec les processus précédents
* le trojan crée aussi un service nommé NetLog par les clé suivantes HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog et HKEY_LOCAL_MACHINE\SYSTEM\Enum\Root\LEGACY_NETLOG avec pour caractéristiques Nom: netlog, Chemin: %SystemRoot%\system32\SCardSer.exe et Description: Net Login Helper
|
Je n'ai pourtant aucun des symptômes mentionnés, la faille a été patchée par MS, et bien entendu j'ai mis mon Windows XP Pro à jour 
Quelqu'un pourrait-il m'aider? Merci d'avance et bon dimanche à tous! 
Message édité par Refresh le 18-02-2007 à 11:04:14
|
