Reprise du message précédent :

de rigueur

 
mais ça te ramène pas toujours au même poste

Première page mise à jour avec le top 10 de la semaine chez Trend
 
bonne nuit

bonne nuit

nop, le fav fonctionne comme le sauf que tu n'es pas obligé de participer au topic pour pouvoir suivre son évolution.
De plus tu as la possibilité de gérer tes favs, een somme ç fonctionne comme des bookmarks.

c'est pas l'endroit pour parler de ça Mr piouPiouM
 
edit : en plus j'ai toujours rien compris et je me trouve très bien avec mes drapeaux bleus et rouges (qui permettent aussi de suivre une discussion sans y participer )

Tiens juste comme ça un petit trojan dont je ne comprend pas le but : Trojan.Kreol (Symantec)
 
la seule chose qu'il fait c'est

 
à quoi ça sert juste à faire chier les gens? Et comment il se transmet dans ce cas?

/!\ Mydoom encore une autre /!\
W32.Mydoom.V@mm (Symantec)
Propagation : par mail en anglais. Le sujet contient obligation un Forward "FW:" et donc le corps du message contient un soit-disant "original message". Le fichier attaché est axé vers des photos avec comme extension .exe .exe.safe .jpg.pif ou .zip . Comme pour les autres versions le mail cite des éditeurs d'antivirus connus.
 
Symptômes :

• Se copie dans le répertoire %System% sous le nom win32s.exe et dans %Userprofile%\Start Menu\Programs\Startup\ sous le nom autorun.exe
• S'installe dans la BDR pour se lancer à chaque démarrage du pc.

Action :

• Il télécharge sauvegarde et exécute un fichier à partir des sites suivants : masteratwork.com, professionals-active.com, il-legno.it, 64.40.98.94, 69.93.58.116, mercyships.de un des fichiers suivants.
• Backdoor.Nemog.c (Symantec) qui s'installe sur le pc sous le nom dx32cxlp.exe et .sys dans le répertoire %System et se lance comme service sur Local Machine. Il sert de relais smtp et de proxy http sous des numéros de ports TCP aléatoires. Il attend des commandes de son créateur : se désinstaller, se mettre à jour ou télécharger un fichier. Il modifie le fichier hosts ( %System%\DRIVERS\ETC\HOSTS )afin de bloquer la connexion sur un grand nombre de sites d'éditeurs (infos virus et téléchargement de mises à jour): avp, viruslist, kaspersky, network associates, mac afee, f-secure, sophos, computer associates, symantec, e-trust, nai et trendmicro
• W32.Sykel (Symantec) qui se propage en exploitant la faille MS04-011 LSASS (la même que pour Sasser) et ensuite par le réseau partagé de KaZaA et d'ICQ sous des noms d'exe connus (ex : Winzip 9.0.exe, trillian-v2.74h.exe) ou d'économiseurs d'écran (*.scr) . Il s'installe sur le pc et se lance au démarrage sous le nom iexp1orer.exe .  Puis il envoie un message avec un lien à tous les contacts ICQ présents sur le pc infecté ; les liens provoquant le téléchargement de W32.Mydoom.V ou de backdoor.nemog.c

hello, me voila très embêté pour une amie: elle a virus qui lui ajoute des lettres supplémentaires, elle tape "s" et ça mets "ds" ... etc
 
c'st quel virus et comment le supprimer?
 
thx

tiens essaye ça :
 
http://forum.hardware.fr/forum2.ph [...] owntopic=1
 
et ça  
 
http://forum.hardware.fr/forum2.ph [...] =0&subcat=
 
et si ça marche toujours pas reviens avec un nouveau sujet

 
merci, je connais ces posts, mais je ne suis pas à proximité du pc à dépanner et cette personne ne s'y connais vraiment pas (connexion 56k en +).  
 
bon je continue à chercher ....

hum chiant ça alors ... grave un chtit CD avec Spybot, Adaware, Stinger et va faire un tour devant la machine tu te fera moins chier...

 
hum, hum, ... quand je disais "pas à proximité" = il faut prendre l'avion      
 
mais c'est une idée le cd à graver ... lui il peut prendre l'avion

oui mais si la personne ne connais pas du tout...
 
tu me diras j'ai désinfecté une machine au Caire par VNC... c'est lent ... trèèèèèès lent mais ça marche une fois que les 18 virus sont tués, la connex elle tourne pas trop mal en mode 3 couleurs 800x600

 
lol mais c'est une bonne idée    
 
ps: le pc avait plus de 1500 virus, une vraie tuerie ...  tous ces virus éradiqués quand au dernier qui résiste j'en fait maintenant une affaire personnelle    

première page mise à jour sur les derniers Mydoom

Hello !
 
J'ai un pote qui est emmerdé avec son pc. Il venait juste d'installer le net, et PAF il se mange une merde. J'ai eu le coup aussi, je m'étais demerdé en activant le firewall d'XP (kerio et za hs), et ça avait marché. Apparemment pas dans son cas.  
Le pire c'est que, comme le mien, il tue tous les processus lié aux antivirus et aux firewall (enfin, en renommant l'exe, ça passe, mais bon).
 
Enfin bref, il me semblait qu'il y avait les patchs dispo en dl et tout sur un topic, mais apparemment ce n'est pas celui la.  
Pourquoi vous ne les mettez pas ?

comment ça des patchs? si tu regardes le premier message de la première page tu tout les liens pour mettre à jour windows avec les derniers patchs des failles de sécu (sinon de toute façon c'est windowsupdate directement par le menu démarrer de ton pc.
 
si tu parles d'outils spéciaux pour enlever tel ou tel virus c'est pareil les liens sont sur la première page chez différents éditeurs d'antivirus

Le problème, dans son cas, c'est que le net rame comme si le virus bourrait la bp, et que le net coupe ensuite
 
Mais bon, effectivement, y a les liens pour les virus, mais c'est un vrai bordel (pas ton post, mais pour virer tout ce merdier )
 
Merci.

au pire regarde les deux autres topics de ma signature et demande à ton pote de faire un scan avec HijackThis. Reviens sur le forum et crée un nouveau sujet pour poster le résultat du rapport d'Hijack This comme ça on verra les processus qui merdent sur son pc et ceux qui sont lancés au démarrage.
 
pour ne pas te faire fermer le topic explique dedans que tu as demandé ici et que je t'ai dit de faire comme ça

/!\ Deux variantes de W32.Spybot /!\
W32.SPybot.DNB et W32.SPybot.DNC (Symantec)
Propagation :

• pour le .dnb : il exploite les failles MS04-011 et MS01-059
• pour le .dnc : il exploite les failles MS03-026 (TCP port 135), MS04-011, MS02-061 (UDP port 1434),MS03-007 (TCP port 80), MS01-059, MS03-049 (TCP port 445) et les partages réseau.

Symptômes :

• .dnb: se copie en tant que %System%\HPPrint.exe
• .dnc: se copie en tant que %System%\TimeSRV.exe
• ils s'installent dans les clés RUN de la bdr pour se lancer au démarrage

Action :

• .dnb: efface les partages ($ipc $admin $c $d). Ouvre une backdoor vers un canal IRC dans le domaine latina.a.la (TCP port 6667) et attend les commandes suivantes : Download and execute files, Scan the network for servers running back door Trojan horses, List, stop, and start processes, Launch Denial of Service (DoS) attacks, Steal system information and send it to the attacker, Perform port redirection, Start a socks 4 or socks 5 proxy. Vole les mots de passe et les CD keys de nombreux jeux, ainsi que les identifiants Windows, MSN, Yahoo Messenger et AIM.
• .dnc: ouvre une backdoor vers un canal IRC (TCP port 6667) et attend les commandes suivantes : Download and execute files, Scan the network for servers running back door Trojan horses, List, stop, and start processes, Launch Denial of Service (DoS) attacks, Steal system information and send it to the attacker, Log keystrokes and saves them to a file in the %System% folder, Open a backdoor port, Delete, create, and list files, Perform port redirection, Flush local DNS cache, Start a socks proxy. Vole les mots de passe et les CD keys de nombreux jeux.  

 
première page mise à jour

HPPrint.exe les salauds

bah oui car comme tu as vu quand on lit des log HJ venant d'un pc HP on ne fait pas gaffe

## Multiples failles dans le protocole MIME ## Article K-Otik 14/09/2004

rapidement juste pour dire qu'il y a encore une nouvelle version de Mydoom (.X chez Sophos et .W chez Symantec). Plus de détails plus tard.
 
juste un truc : elle effectuera une attaque DoS sur www.symantec.com entre les 29 Septembre 2004 à 14h00m25s et  29 Octobre 2004 à 14h00m25s

encore une info rapide qui mérite d'être développée :
 
article K-Otik article complet

 
le problème est que pour l'instant je n'ai pas trouvé d'éditeur antivirus qui en parle. sauf Norman qui date du mois de mai (mais bon vu les grands écarts entre les éditeurs sur les noms de virus je doute )

encore une info rapide ( purée j'ai du boulot demain moi )
 
deux bulletins de sécurité chez Microsoft :
 
Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987) : MS04-028 qui touche Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Enterprise Edition, Windows NT Server 4.0, Terminal Server Edition, Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, Windows 2000 Professional, Windows XP Home Edition, Windows XP Professional, Windows Server 2003 for Small Business Server, Windows Server 2003, Datacenter Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Standard Edition, Windows Server 2003, Web Edition
 
Vulnerability in WordPerfect Converter Could Allow Code Execution (884933) : MS04-027 qui touche FrontPage 2000, Office 2000, Publisher 2000, Works 2001, FrontPage 2002, Office XP, Publisher 2002, Works 2002, Works 2003, Office System 2003, Publisher 2003, FrontPage 2003, Word 2003
 
 
edit : y a un problème pour le MS04-028 car une fois sur la page juste pour lui on s'aperçoit par exemple que ça concerne surtout office, Visual Studio et d'autres et pas du tout windows 2000 par exemple alors que la page principale Technet dit ce que j'ai copié plus haut

Voila déja pour les patchs Microsoft d'hier :
 
## Microsoft JPEG Processing (GDI+) Buffer Overrun Vulnerability (MS04-028) ## Article K-Otik 14/09/2004

• OS non vulnérables: NT Server 4.0 Service Pack 6a, NT Server 4.0 Terminal Server SP6, 2000 (SP3 et SP4), XP SP2, 98 (FE et SE) et Me
• OS vulnérables: Server 2003 (32 et 64-bit),XP 64-bit (2003 et SP1)et XP (original et SP1 )
• MAIS si vous avez les logiciels Microsoft suivants sur votre pc (même avec un OS non vulnérable) il faut installer le patch adéquat: Internet Explorer 6 SP1, .NET Framework (1.0 SP2, 1.0 SDK SP2 et 1.1), InfoPath 2003, OneNote 2003, Digital Image (Pro 7.0, Pro 9 et Suite 9), Excel (2002 et 2003), FrontPage (2002 et 2003), Greetings 2002, Office (2003 et XP SP3),Outlook (2002 et 2003), Picture It! (2002, 7.0 et 9), Microsoft Platform SDK Redistributable GDI, PowerPoint (2002 et 2003), Microsoft Producer for Office PowerPoint, Project (2002 SP1 et 2003), Publisher (2002 et 2003), Visio (2002 SP2 et 2003), Visual Basic .NET Standard (2002 et 2003), Visual C# .NET Standard (2002 et 2003), Visual C++ .NET (2002 et 2003), Visual J# .NET Standard 2003, Visual Studio .NET (2002 et 2003) et Word (2002 et 2003 )
• Par contre les logiciels suivants ne sont pas concernés: Internet Explorer (5.01 SP3, 5.01 SP4 et 5.5 SP2), .NET Framework (1.0 SP3 et 1.1 SP1), Office (2003 SP1 et 2000), Visio (2003 SP1 et 2000), Project (2003 SP1 et 2000), Digital Image (Suite 10 et Pro 10) et Picture It! Premium 10

Solution : appliquer le patch MS04-028
 
 
## Microsoft WordPerfect 5.x Converter Remote Code Execution (MS04-027) ## Article K-Otik 14/09/2004

• Logiciels Microsoft affectés: Office 2000 SP3 (Word 2000, FrontPage 2000 et Publisher 2000), Office XP SP3 (Word 2002, FrontPage 2002 et Publisher 2002), Office 2003 (Word 2003, FrontPage 2003 et Publisher 2003) et Works Suites (2001, 2002, 2003 et 2004
• Logiciel Microsoft non affecté: Office 2003 SP1

Solution : appliquer le patch MS04-027

En ce qui concerne la (encore :sarcastic) nouvelle variante de Mydoom je ne donne pas de détails car c'est toujours le même fonctionnement : envoi mail en anglais avec pièce attachée (pif , exe, zip....) avec dans le corps du message le nom d'un éditeur d'antivirus connu. Il suffit de ne pas exécuter les pièces jointes et on est tranquille
 
Par contre la nouvelle variante Sdbot est plus intéressante par son mmode de fonctionnement :
 
/!\ Variantes intéressante de Sdbot /!\
Worm_sdbot.uh (Trend) Article K-Otik 14/09/2004
Propagation :par exploitation des failles MS02-061, MS03-007, MS03-026 et MS04-011 puis dans le réseau local grace à des fonctions NetBEUI pour trouver des logins et mot des passes, il se copie dans le répertoire système et cherche à se propager dans le réseau en utilisant sa propre liste de users + mots de passe.
Symptômes :la présence des clés "Microsoft Time Manager" dans HKLM...RUN RUNSERVICES OLEavec comme valeur "dveldr.exe"
Actions :keylogging, backdoor, TFTP serveur qui essaye d'envoyer le virus sous le nom Bling.exe.
En fait le ver essaye de se connecter au serveur irc.t3musso.net pour attendre la liste suivante de commande :     * Update malware from HTTP and FTP URL * Steal CD keys of games * Execute a file * Download from HTTP and FTP URL * Open a command shell * Open files * Display the driver list * Get screen capture * Capture pictures and video clips * Display netinfo * Make a bot join a channel * Stop and start a thread * List all running process * Rename a file * Generate a random nickname * Perform different kinds of distributed denial of service (DDoS) attacks * Retrieve and clear log files * Terminate the bot * Disconnect the bot from IRC * Send a message to the IRC server * Let the bot perform mode change * Change BOT ID * Display connection type, local IP address, and other net information * Log in and log out the user * Issue Ping attack on to a target computer * Display system information: o CPU speed o Amount of memory o Windows platform, build version and product ID o Malware uptime o User name  
Il peut donc faire énormément de choses par le biais de ces commandes et tout connaitre sur le système infecté. Comme beaucoup de malwares actuels il récupère les CD-Keys de plusieurs jeux.
La nouveauté c'est

il peut donc récupérer mots de passe non cryptés et informations de login.

Une petite question : Trouveriez-vous utile qu'en haut de la première page je liste rapidement ce qui est nouveau chaque fois que je fais une mise à jour?
 
et une petite info : le premier post en est à 52876 caractères (espaces compris) donc y a de la marge vu qu'il parait que la limite c'est les 65xxx

## Mozilla / Firefox / Thunderbird Multiple Critical Vulnerabilities ## Article K-Otik 15/09/2004

Solution : passer aux nouvelles versions Mozilla 1.7.3, Firefox 1.0PR et Thunderbird 0.8
 
juste une chose : ça me semble une bonne pub pour faire upgrader les gens que ça soit livré au public le lendemain de le sortie de ces nouvelles versions (je précise que je me sers de FF et de TB depuis longtemps, pas fou
 
et tout le monde se fout si je précise les mises à jour?
 
edit : bon ben c'est fait la notification des dernières modifs en haut de la première page  

 
Bien que je suive ce topic, je trouve que c'est une très bonne idée
Par exemple, avoir une semaine de news sur le premier post (du plus récent au plus ancien), ça permet de recuperer le fil si on s'absente un peu, sans avoir à lire tous les posts.

ben c'est fait
 
juste sur les deux derniers jours pour le moment, mais bonne idée je mettrai la date entre parenthèses désormais

Tu as raison, car le résumé est disponible juste en dessous en fait

bah oui, faut tout lire hein même si ça dépasse largement les 53000 caractères

/!\ Mydoom, ça continue /!\
W32.Mydoom.AB@mm (Symantec) W32/Mydoom.ab@MM (Mac Afee) Win32/Mydoom-Z (Sophos)
Propagation :

• email anglais (sujets "normaux", "Re:" ou "FW:" ; corps de texte avec citation éditeur antivirus ; pièce jointe en .cpl .exe .zip ou .jpg(plein d'espaces).pif)
• par P2P en se copiant dans le répertoire partagé de KaZaA
• par ICQ en envoyant un mail aux contacts du pc infecté

Symptômes :

• il se copie sous le nom services.exe dans le répertoire de windows %Windir%
• il modifie un très grand nombre de clé de la BDR en HKLM et HKCU pour se lancer au démarrage en tant que service directement dans les clés NetBios et il change beaucoup de paramètres de configuration pour la navigation par Internet Explorer (supprime les proxy, modifie le lieu du cache et la taille de celui-ci afin d'essayer de bloquer la navigation)
• il arrête et bloque le lacement d'un très grand nombre d'applications de sécurité (antivirus, anti-spyware, firewall, BDR.......)
• d'après Sophos il modifie une clé du registre pour que le firewall l'autorise à sortir (je suppose que c'est pour le Firewall de XP SP2 car la clé est HKLM\System\CurrentControlSet???\Services\SharedAccress\DomainProfile\AuthorizedApplications\LIst)

Action :télécharge Backdoor.nemog.d (Symantec) BackDoor-CEB.e (Mac Afee) W32/Surila-C (Sophos) qui attend des infos par ICQ et qui modifie le fichier %System%\drivers\etc\hosts pour bloquer l'accès aux sites d'antivirus.

Un conseil, dépêchez-vous de patcher votre système et tenez à jour vos antivirus aussi!!!
 
je viens de recevoir un mail avec fichier attaché comprenant un jpg mal-formé (il est détecté depuis hier ou avant-hier seulement par les éditeurs d'antivirus)
 

 
edit : encore une fois ce virus est choper par le biais d'un mail envoyé au bugtraq de securityfocus

J'ai une question con là, comment les mecs arrivent à codder un truc aussi petit qui fait autant de merde ?!

tu parles de Mydoom ou de l'exploit de la faille MS04-028 du GDI+ avec le jpeg malformé ?

Rapidement une petit info sur un nouveau Virus W32/Squirrel-A (Sophos) qui est un "appending Virus" c'est à dire qu'il essaye d'infecter les fichiers exécutables en scannant disques locaux et réseaux à la recherche de .exe .EXE ou .scr . Sa façon de procéder fait que certains fichiers ne seront pas réparables.
 
plus d'info prochainement j'espère