Reprise du message précédent :
Pour en revenir au danger Bagle : précision chez Mac Afee
 
http://vil.nai.com/vil/content/v_127801.htm

c'est donc le pendant du Beagle.AQ de Symantec. ça se précise je reformulerai dopnc l'alerte sur la première page demain matin

US-CERT Summary of Security Items from August 18 through August 31, 2004
Semaines de fêtes

pourquoi dis-tu ça? je l'ai lu hier soir mais je pige pas ce que tu veux dire. Je suis peut-être pas assez réveillé
 
en tout cas ces andouilles n'ont pas mis de top 10 à jour dans ce bulletin Bon je mettrai à jour la première page dans la journée
 

Semaines de fêtes au vu de tout ce qui est sortie comme failles
 
Faut dire qu'en postant j'étais pas bien réveillé non plus

Salut,
 
 
j arrete pas de me taper des mails verrolé, est ce kil y a un moyen de remonté vers le veritable sender ? histoire de l avertir ?

hum c'est pas vraiment possible il me semble, regarde au niveau des infos du mail, tu trouvera peut être mais je doute... tu va tomber sur l'IP du serveur mail par contre ça te donnera une idée...

 
il me semble ke dans l entete, je doit pouvoir trouver le server SMTP non ?  
 
a partir de la, je devrait etre capable sauivant ceux ke je connais en fonction de leur fournisseur de de reduir ma liste de connaissance suiceptible d etre verolé non ?

Tu peux même trouver l'ip de l'expediteur.

## WinZip Unspecified Buffer Overflows ## Article SecurityTracker 01/09/2004

Les versions concernées sont toutes les versions <=9.0
Solution : Télécharger la mise à jour 9.0 SR1
 
 
Première page mise à jour en conséquence et avec le top 10 des virus du mois d'Août de Sophos (par contre celui de l'US-CERT n'est pas mis à jour car non dispo pour cette quinzaine)

1ère page mise à jour avec explication de Trend pour le dernier Bagle et son top 10 du 26 août au 2 septembre

/!\ Nouvelle variante de Mydoom/!\
W32.Mydoom.R@mm (Symantec) Worm_Mydoom.T (Trend) W32.Mydoom.t@mm (Mac Afee) Mydoom.T (F-Secure)
Propagation : crée un message avec différents noms d'expéditeurs venant des carnets d'adresses récupérés sur le pc, différents sujets et différents noms et extensions pour le fichier attaché (il utilise aussi l'icône du bloc-note afin d'inciter les gens à cliquer sur le fichier) ensuite il s'envoie aux contacts en passant par le smtp de l'utilisateur du pc. Il se recopie aussi dans les répertoires partagés de réseau P2P.  
Seul F-Secure parle d'une possible attaques DDoS contre le site de Microsoft
 
/!\ Nouvelle Variante de Bugbear/!\
[url=http://www.symantec.com/avcenter/venc/data/w32.bugbear.m@mm.html]Bugbear.M[\url] (Symantec)
Alias : aucun pour le moment
Propagation : par son propre SMTP ou par P2P en se copiant dans les répertoires partagés des logiciels connus. Par ailleurs il envoie des informations à son auteur : Cookies, Contenu Presse-Papier, ce qui est tapé au clavier et le texte contenu dans les fenêtres ouvertes
 
 
petit lien vers l'activité du mois d'Août selon Kaspersky //www.kaspersky.com/fr/news?id=152042049
 
1ère page mise à jour

Juste une question, c norma que mon lsass.exe est voulu accédé au net ?
 
Mon firwall (zone alarm) m'a demandé ça... j'ai refusé.
 
Je précise que j'ai bien qu'un seul lsass.exe et que mon pc est propre.
 
-------------------
 
Autre chose, je viens d'avoir une autre demande d'accès.
 
Subsystem APP, pareil, il voulais accèdé au net.
 
J'ai refusé, j'ai pas trouvé à quoi sa correspondais.
ca m'a fait pensé au trojen Subseven c'est pour ça que j'ai eu peu...
 
Mais mon pc a un antivirus mis a jour, le sp2.
 
Donc jsuis a jour quoi...
 
Vous en pensez quoi ?
 
Merci

1/ LSASS =  Local Security Authority Subsystem Service chez moi il n'accède à rien. Kerio ne l'autorise à rien et pas de problème
 
2/ fais un nouveau Sujet et postes-y un rapport de log HijackThis pour qu'on voit ça

/!\ Attention faux mail de Microsoft sur Sasser /!\
Worm_Turta.A (Trend)

Voila le texte du message reçu, soit disant envoyé par Microsoft (comme si ils envoyait les patchs mais bon y a toujours des gogos pour cliquer sur les pièces jointes). Le virus crée swchost.exe dans le répertoire système et le lance au démarrage en tant que prog mais aussi en tant que service, balance svohost.exe dans le répertoire système et crée { Shell = "explorer.exe %System%\svohost.exe" } dans la base de registre ou le system.ini selon la version de windows. Il se propage uniquement pas envoi massif de mail. Pas dangereux mais bon vu la forme du message je le met quand même

W32/Nyxem-C [ Sophos ]
Alias: W32/MyWife.c@MM, I-Worm.Nyxem.d
Type: Win32 worm

Je l'ai mis ici car il en fait de la bidouile le bougre (cf onglet Advanced de sa fiche)

oui je suis en train de faire un topo complet avec Sophos, mac Afee, Symantec et Computer Associates car il a l'ai r costaud celui là (Nyxem, Mywife, Blackmal selon les éditeurs)
 
je poste ça dans un petit moment et je met à jour la 1ère page avec cette alerte là

Voila la chose
 
/!\ Alerte importante /!\
W32.Blackmal.C@mm (Symantec) Win32.Blackmal.C (Computer Associates) W32/Nyxem-C (Sophos) W32/Mywife.c@mm (Mac Afee)
Propagation : il s'auto envoie aux adresse qu'il trouve dans Outlook, Yahoo Messenger et Yahoo Pager. Le titre est en anglais ( "Ohhh", "hi", "For You", "Free Pic's Video", "none", "[none]", "help me", "you", "Please Read", "Important" and "reactive now" ) et il faut cliquer sur la pièce jointe pour lancer le virus (un .bat seul ou inclus dans un .zip avec d'autres fichiers non dangereux).
Symptômes : lors de son exécution il ouvre Windows Media Player sans lancer de vidéo dedans. Ensuite il s'installe de manière forte sur le pc (il se copie en un grand nombre de fichiers un peu partout sur le pc [répertoires Windows, System et IE] création de pas mal de clés de registre [Run bien sûr mais aussi HCKU\Identities HCKU\Software HCKU\.chm HKLM\System et Software] et il s'enregistre même comme librairie pour Microsoft Visual Basic
Action : Il elimine pas mal de logiciels du démarrage de Windows (clés Run)

et le pire c'est (d'après Symantec) qu'il efface les fichiers suivant du pc !!!

 
ça va comme ça?
 
je sens que certains vont dire moi je m'en tape car mon antivirus n'est pas listé dans tout ça donc pas de problème. Je pense que si car il s'inclue de toute façon fortement dans Windows aussi.

Je vois ça comme ça
 

ok je mixe mais pour le titre de l'alerte c'est le formatage que je fais d'habitude pour tout sur la première page, alors j'ai pas envie de tout changer
 
Voila c'est fait sur la première page

juste avant "/!\ Attention faux mail de Microsoft sur Sasser /!\" faut que tu revienne à la ligne une fois de plus, tout c'est callé sur le dernier

j'avais pas vu merci

De rien mon chou

une info au sujet d'une variante de Gaobot (Symantec) la Gaobot.BIA qu'ils viennent de monter niveau 2 de risque, soit Medium (il est sorti il y a trois jours et réévalué aujourd'hui) donc je le met ici.
 
il se propage par l'utilisation de failles connues ou de backdoor installées par des virus connus.
 
il ouvre lui-même une backdoor. Et essaye de piquer les numéros de série de toute une liste de jeux.

Il serait comblé chez moi, aucun jeux d'installé

idem chez moi

+1

Nouveau bulletin de l'US-CERT : http://www.us-cert.gov/cas/bulletins/SB04-252.html
 
45 vers + trojans en une semaine c'est pas mal.  
 
1ère page mise à jour avec le top 10 des virus.
 
Info sur l'auteur de Sasser http://www.k-otik.com/news/09092004.SasserKid.php
 
il sera jugé pour sabotage et risque jusqu'à 5 ans de prison et plusieurs miliers d'euros de dommages et intérêts
 

hola le peuple help aider moi vous savez comment enlever les virus quand peux pas clyner son foutre en l'aire le programe help aider moi j'ai 100 virus que j'arrive po enlever              

je t'ai répondu dans ton topic et arrête d'écrire en SMS c'est gonflant et contraire aux règles du forum.

oué désoler

Nouvelle variante de Mydoom, je compile les infos des différents éditeurs et je mets tout ça ici

Voila
 
/!\ Encore deux variantes de Mydoom /!\
W32.Mydoom.T@mm et W32.Mydoom.T@mm (mutex différent) (Symantec) W32/Mydoom.u@MM (Mac Afee) I-Worm.Mydoom.t (Kaspersky) Worm_Mydoom.P (Trend).
Propagation : par mail avec

• Sujet en anglais : You win!, thanks!, Thank you!, read it immediately, Re: Your document, Re: Status, Re: Question, Re: Proof of concept, Re: Message, Re: Hi, Re: Hello, Private document, Notice again, News, Information, important, Hi!, here, hello
• Corps de message en anglais aussi (par exemple) : screensaverlol!, fun photos, New game, relax, Virus removal tool, You are infected by virus. Run this exe, apply this patch!, apply patch., game, fun game!, fun!, lol!, See the file., See attached file for details., Please read the important document., Please read the attached file., Please confirm the document.   Avec le nom d'un éditeur connu : Norton AntiVirus - www.symantec.de, F-Secure AntiVirus - www.f-secure.com, Norman AntiVirus - www.norman.com, Panda AntiVirus - www.pandasoftware.com, Kaspersky AntiVirus - www.kaspersky.com, MC-Afee AntiVirus - www.mcafee.com, Bitdefender AntiVirus - www.bitdefender.com, MessageLabs AntiVirus - www.messagelabs.com
• Fichier attaché :  un fichier .zip qui contient un fichier .pif

Symptômes :

• Se copie dans le répertoire %System% sous le nom winspf32.exe ou windr32.exe et dans %Userprofile%\Start Menu\Programs\Startup\ sous le nom autostart.exe ou rx32hh00.exe
• S'installe dans la BDR sous clé RUN et comme User Agent de IE

Action :

• Il télécharge le trojan Backdoor.Nemog.B (Symantec) ou BackDoor-CEB.c (Mac Afee) qui s'installe sur le pc sous le nom dx32cxlp.exe et .sys dans le répertoire %System et se lance comme service sur Local Machine
• Il essaye de contacter une liste de serveur icq pour attendre des commandes : se désinstaller, se mettre à jour ou télécharger un fichier
• Il agit comme relais SMTP et comme proxy http sous des numéro de ports TCP aléatoires
• Il modifie le fichier hosts ( %System%\DRIVERS\ETC\HOSTS )afin de bloquer la connexion sur un grand nombre de sites d'éditeurs (infos virus et téléchargement de mises à jour): avp, viruslist, kaspersky, network associates, mac afee, f-secure, sophos, computer associates, symantec, e-trust, nai et trendmicro

Dis, tu pourras m'apprendre cette langue pour savoir reconnaitre ce vilain pas beau ?
 
 

non mais dis donc toi
 
edit : bon c'est corrigé sur le post et la première page

Kerio Personal Firewall's Application Launch Protection Can Be Disabled by Direct Service Table Restoration

Merci de ta contribution
 
je n'en avais pas parlé car sur K-otik ce n'était pas aussi complet comme explication. de plus

mais c'est vrai que la plupart des virus connus et dangereux utilisent ce moyen et les gens sont assez bêtes pour exécuter les vers eux-même. donc j'aurai du le noter ici.

encore une variante de Mydoom ( .U chez Symantec )
pas trop documentée pour le moment donc wait and see
 
bonne journée
 
edit :  
 
/!\ Mydoom et une de plus /!\
W32.Mydoom.U@mm (Symantec) W32/Mydoom.r@MM (Mac Afee) Win32.Mydoom.X (Computer Associates)
pour les descriptions c'est un peu toujours le même topo

Au fait, on n'a pas eu de mise à jour Microsoft ce mois-ci. Cela aurait dû être mercredi (avant-hier)
 
ça y est les produits MS sont au top
 
ceci n'est ni un troll (vendredi inside ) et encore moins un up déguisé

ils travaillent sur le SP3 alors ils ont pas le temps pour les patchs

ah non, le SP5 pour win2k d'abord :o (mais je ne me fais pas d'illusion là-dessus).
 
au passage un petit trojan qui exploite la faille ADODB (la même que le virus Scob (patchée rapidement début juillet et correctement fin juillet dans le MS04-025 patch cumulatif pour IE) Troj/Psyme-AS (Sophos) il exploite la faille pour s'installer sur le pc en tant que %Program Files%\Windows Media Player\wmplayer.exe remplaçant le fichier existant.
explication de texte en anglais (si vous voulez la traduction je la ferais :) )