Reprise du message précédent :
Une nouvelle attaque a été publié sous le nom de "New Dawn". Elle s'attaque à la piles IP. Cette faille existait déjà. Néanmoins, une nouvelle méthode a été élaborée pour provoquer un DoS ou encore Deny of Service. Cette nouvelle attaque se base sur l'envoi d'une partie des fragments d'un paquet fragmenté puis par l'envoi de façon répétée du dernier fragment de ce paquet.
 
Pour rappel, il n'existe pas de réel protection à cette attaque sauf éviter la fragmentation de vos paquets....!
 
Source : http://digital.net/~gandalf/Rose_F [...] lained.htm

Merci BrotherS pour l'info, je savais pas si je devais la mettre ou pas car j'ai pas totalement pigé le risque pour l'utilisateur et surtout comment cela se passerait
 
piouPiou t'as encore posté sans lire 4 messages au-dessus de toi
 
bon je pense faire une bonne mise à jour sur MS04-028 aujourd'hui et surement aussi sur le nouveau Bagle qui est juste sorti

Bon j'ai relu plus attentivement "New Dawn" et c'est pas cool c'est clair. vu que les données fragmentées n'arrivent jamais au firewall il n'y a pas de moyen de bloquer ce type d'attaque pour le moment

Et surtout pas de patch en vue ! A suivre. L'impact pour l'utilisateur est faible mais pour une entreprise....

c'est clair pas glop
 
bon voila le topo sur le nouveau Bagle :  
 
/!\ Un Bagle qui se répend rapidement /!\
W32.Beagle.AR@mm (Symantec) W32/Bagle.az@MM (Mac Afee) W32/Bagle-AZ (Sophos) WORM_BAGLE.AM (Trend) Win32.Bagle.AM (Computer Associates) Bagle.AS (Secuser) Bagle.AS (F-Secure)
Propagation :

• email anglais (sujets "Re:", "Re: Hello", "Re: Thank you!", "Re: Thanks " ou "Re: Hi" ; corps de texte avec juste "" ou ")" ; pièce jointe en .com, .cpl, .exe, or . scr avec nom de fichier "Price", "price" ou "Joke" )
• par P2P en se copiant dans les répertoire comportant la séquence "shar" sous des noms de fichiers connus comme "ACDSee 9.exe", "Adobe Photoshop 9 full.exe", "Ahead Nero 7.exe", "Kaspersky Antivirus 5.0" ou "Windown Longhorn Beta Leak.exe" ; ou alors des cracks tels "Microsoft Office XP working Crack, Keygen.exe" ou "Microsoft Windows XP, WinXP Crack, working Keygen.exe" ; ou encore des fichiers pornos "Porno Screensaver.scr", "Porno pics arhive, xxx.exe" ou "XXX hardcore images.exe".

Symptômes :

• il se copie sous le nom bawindo.exe dans le répertoire système de windows %System% et éventuellement sous les noms bawindo.exeopen, bawindo.exeopen ou bawindo.exeopen
• pour se lancer à chaque démarrage il ajoute la clé suivante à la BDR HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bawindo = "%System%\bawindo.exe"
• il arrête les processus suivants (antivirus, sécurité ou autres virus) : alogserv.exe, APVXDWIN.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, Avconsol.exe, AVENGINE.EXE, AVPUPD.EXE, Avsynmgr.exe, AVWUPD32.EXE, AVXQUAR.EXE, blackd.exe, ccApp.exe, ccEvtMgr.exe, ccProxy.exe, ccPxySvc.exe, CFIAUDIT.EXE, DefWatch.exe, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, FrameworkService.exe, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, LUCOMS~1.EXE, mcagent.exe, mcshield.exe, MCUPDATE.EXE, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, navapsvc.exe, navapw32.exe, NISUM.EXE, nopdb.exe, NPROTECT.EXE, NUPGRADE.EXE, OUTPOST.EXE, PavFires.exe, pavProxy.exe, pavsrv50.exe, Rtvscan.exe, RuLaunch.exe, SAVScan.exe, SHSTAT.EXE, SNDSrvc.exe, symlcsvc.exe, UPDATE.EXE, UpdaterUI.exe, Vshwin32.exe, VsStat.exe, VsTskMgr.exe[i]
• il essaye aussi d'arrêter et de désactiver Internet Connection Firewall (ICF) et Internet Connection Sharing (ICS) service  (the "SharedAccess" service) sous Windows XP

Actions :

• il efface toutes les valeurs contenant les séquences suivantes : [i]9XHtProtect, Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ Net,, ICQNet, Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton Antivirus AV, PandaAVEngine, SkynetsRevenge, Special Firewall Service, SysMonXP, Tiny AV, Zone Labs Client Ex, service des clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• il essaye de télécharger un fichier (exe ou jpg selon les éditeurs antivirus ) sur 146 url prédéfinies (mais actuellement aucune n'est accessible)
• ouvre une backdoor sur le port 81 en UDP et TCP qui peut servir de relais mail
• comme tout les virus il crée un "Mutex" qui évite au virus de tourner en plusieurs exemplaire sur le même pc. dans la liste des "Mutex" il y a les noms suivants : "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D", "'D'r'o'p'p'e'd'S'k'y'N'e't'", "_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_", "[SkyNet.cz]SystemsMutex", "AdmSkynetJklS003", "____--->>>>U<<<<--____" et "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" probablement pour empêcher d'autrse virus (comme Netsky) de tourner en même temps que lui

Autre info mise en première page :
 
/!\ Un virus pour MSN /!\
W32.Snone.A (Symantec)
Pas très répandu mais intéressant pas sa méthode je trouve. Tout commence en par un clic sur une url malicieuse. On accède alors à une page web qui utilise la faille MS04-013 pour exécuter un fichier .CHM
Le virus s'active en terminant ZoneAlarm et d'autres process (Ravmon, Eghost, Mailmon et Netbargp) puis il télécharge et exécute C:\SYShttp1.sys et C:\SYShttp2.sys
 
Le processus est lancé car cela met sur le pc les fichiers suivants :

• %System%\moniker.exe
• %System%\hktt.dll (un fichier légitime qui est utilisé pour intercepté les appels API)
• %Temp%\winX.tmp (une copie de hktt.dll, où X est un entier)

Le virus s'installe dans la clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run comme "realone_nt2003" = "%system%\moniker.exe" pour démarre avec Windows
 
Le principe du virus est alors le suivant : chaque fois qu'un message est envoyé par MSN il y rajoute le lien vers l'URL malicieuse

Voila la mise à jour est finie avec ça :
 
/!\ Exploitation de la faille MS04-028 (JPEG/GDI+) /!\
Tout d'abord un petit mot pour dire que les éditeurs antivirus ont tous réagi pour protéger leurs utilisateurs de cette faille en créant une détection des jpeg malicieux (chacun à sa vitesse )
- Antivir 23.09.2004 17:51 "TR/Exploit.MS04-28 (exact)"
- Bitdefender 24.09.2004 14:21 "Exploit.Win32.MS04-028.Gen"
- Dr. Web 21.09.2004 10:51 "Exploit.MS04-028"
- eTrust (CA Engine) 22.09.2004 22:23 "JPEG.MS04-028.Exploit.Trojan"
- eTrust (VET Engine) 23.09.2004 06:38 partly detected as "JPEG.MS04-028.exploit"
- eTrust (VET Engine) 24.09.2004 06:40 fully detected as "JPEG.MS04-028.exploit"
- F-Secure 20.09.2004 08:46 "Exploit.Win32.MS04-028.gen"
- Kaspersky 23.09.2004 12:56 "Exploit.Win32.MS04-028.gen"
- McAfee 16.09.2004 23:20 "Exploit-MS04-028" and "Exploit-MS04-028.demo"
- Panda 24.09.2004 13:30 partly detected as "Exploit/MS04-028"
- Symantec 16.09.2004 03:38 partly detected as "Bloodhound.Exploit.13"
- Symantec 18.09.2004 03:42 fully detected as "Bloodhound.Exploit.13" and "Download.Trojan"
- Trend Micro 18.09.2004 06:10 "Exploit-MS04-028"  
copyright : http://www.heise.de/newsticker/meldung/51459 (en allemand)
je rajoute Exp/MS04-028 pour Sophos
 
Bonne idée de la part des éditeurs d'antivirus car on entend dire (sur les newsletters) que le patch microsoft n'est pas complet pour toutes les formes de jpeg malicieux. Il semble qu'il existe aussi une autre faille GDI mais qu'elle ne permette que de crasher un ordi, pas plus (mais méfiance....) Les éditeurs détectent aussi des "Kits" permettant la fabrication des ces jpeg mallicieux ( Hacktool.JPEGshell et Hacktool.JPEGDownload (Symantec) Troj/JpegBld-A (Sophos) HKTL-JPEGDEATH.A (Trend) )
 
Pour finir il faut savoir que Symantec détecte deux trojans utilisant cette faille et permettant :
1/ d'exécuter des commandes (téléchargement et exécution programmes) sur le pc infecté Backdoor.Roxe
2/ d'exécuter un programme sur le pc infecté Trojan.Moo
 
/!\ Autres failles protégées par détection heuristique antivirus /!\
Juste un petit mot pour parler de l'utilité d'un antivirus pour des failles non encore patchée (voire ignorées )
 
1/ Mac Afee s'intéresse aussi aux spyware en emettant une protection pour les modifications apportées au fichier hosts QHosts-16
 
2/ Symantec vient de sortir une détection pour des images TIFF malicieuses Bloodhound.Exploit.14 sous XP

 
3/ En ce qui concerne la faille du Drag and Drop concernant Internet Explorer ( 5.5, 5.5 SP1, 5.5 SP2, 6 et 6 SP1 ) Microsoft Internet Explorer Implicit Drag and Drop File Installation Vulnerability (SecurityFocus) Microsoft Internet Explorer drag and drop object access / file exposure vulnerability (Computer Associates) certains éditeurs ont aussi mis en place une détection : JS/Exploit-DragDrop.b.gen (Mac Afee) et JS.Dragdrop.exploit (Computer Associates). Symantec annonce même un trojan qui utiliserait cette faille Backdoor.Sokeven
 
 
Deux petites choses encore :  
 
1/concernant les failles Windows, on peut s'attendre à ce que XP SP2 ne soit pas souvent touché car Microsoft a probablement mis de côté des patchs afin que lors des prochaine sortie on puisse dire "vous voyez le SP2 il est costaud lui"
 
2/ Mon premier post dépassant les 65xxx caractères la fin du message manque et j'en suis désolé. De toute façon et pour plus de clarté je vais redemander à Marc si il peut me donner accès aux deux messages suivant (un de Krapaud et un de Mikala) afin de pouvoir tout loger et en plus pour séparer les trois parties (Failles, Virus et Conseils-Liens) pour plus de facilité d'accès

Un très grand merci à Marc qui m'a donné l'accès aux trois permiers posts de ce topic
 
ainsi, les trois parties sont accessible facilement. Un lien vers Actualité des virus et Infos générales sur la protection est donc mis en début du premier post pour ne plus avoir à scroller si on ne veut voir que les conseils (ou si on recherche les liens vers les scans en ligne) ou que les virus.

Article K-otik : Un CERT français publie un message subliminal dans son alerte GDI+ c'est intéressant de voir ce que certains disent

vulnérabilité :  
 
## Vulnérabilité Buffer Overflow dans dBpowerAmp Player et Music Converter ## dBpowerAMP Audio Player Buffer Overflows Let Remote Users Execute Arbitrary Code et dBpowerAMP Music Converter Buffer Overflows Let Remote Users Execute Arbitrary Code
Plusieurs vulnérabilités ont été notées dans dBpowerAmp Player et Music Converter et il n'y a pas de solution pour le moment

J'ai testé 3DSMax 6 SP1 (utilise GDIPlus.dll 5.1.3100.0) avec ce ShellCode:
http://seclists.org/lists/bugtraq/2004/Sep/0320.html
 
et 3DSMax a reporté un header incorrect. (sur un XP SP2)
(donc à priori 3DS a son propre loader de JPG)

pas top ça
 
première page mise à jour avec le top 10 et le bulletin US-Cert http://www.us-cert.gov/cas/bulletins/SB04-273.html
 
bonne nuit

Finalement encore une petite avant dodo ça n'arrête pas aujourd'hui  
 
## Flaws in RealPlayer ## RealNetworks, Inc. publie une mise à jour destinée à résoudre des problèmes de sécurité. et RealPlayer Flaws May Let Remote Users Execute Arbitrary Code or Delete Known Files Alerte Security Tracker 29/09/2004

Logiciels concernés : RealPlayer 10.5 Beta (6.0.12.1016), RealPlayer 10, et RealOne Player v1 and v2. RealPlayer 8 et RealPlayer Enterprise sont affectés par la première vulnérabilité (fichier RM mal-formé). Pour Mac, RealPlayer 10 et RealOne Player sont affectés par la première vulnérabilité. Et sous Linux, RealPlayer 10 et le Player Helix sont aussi affecté par la première vulnérabilité.
 
Solution : Realnetworks a sorti les patchs. Sous windows, il est possbile de les obtenir par le menu "Outils, Mise à jour" pour installer "RealPlayer 10.5 with Harmony Technology"
 
 
et troisième partie mise à jour avec le site d'alertes Security Tracker

ça me rassure pas toutes ces failles didonc...

oui mais je trouve cela moins pire que ce virus
 
/!\ Quand Mydoom se politise /!\
W32.Mydoom.AC@mm (Symantec)
Nouvelle version de Mydoom qui niveau technique n'apporte rien de nouveau (le fichier mis sur le pc s'appelle Winhook32.exe et se lance au démarrage par la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices , il s'auto-envoi par mail ou se loge sous de faux noms dans les répertoires de partage P2P).  
Le "problème" de cette version est qu'elle est négationniste. Voila les sujets, texte et fichiers attaché du mail :

• Sujet : "Holohoax information", "Hackers for Historical Truth", "Free Ernst Zundel, The holocaust is a lie", "Information about Holocaust", "The Germar Rudolf Report", "Hello, here is your information!" ou  "Jewish Holocaust, another lie"
• Corps du message : "'Courage', the ability to recognizr an iniquitous thing and take action against it: www.???.org", "Ten thousand museums, ten thousand 'survivor' eyewitness testimonies, ten thousand TV documentaries, ten thousand Hollywood movies and ten thousand newspaper and magazine articles would not make a lie a truth. See www.???.com", "If you are interested in the truth regarding the so-called Holocaust please see www.???.org" ou "The Holocaust is an outright lie. Please see www.???.org for much more. The truth deserves to be known."  

N.B.: j'ai viré les adresses web des sujets pour ne pas donner libre tribune ici

• Fichier attaché : body, trusth, holohoax-report, data, file, text, document, info, report avec comme extensions possibles .bat, .cmd, .exe, .scr, .pif

Voila donc un virus qui donne la nausée

deux nouveaux trojans exploitant la faille MS04-028 Trojan.Ducky et Trojan.Ducky.B

eh beh,ils se jettent tous dans le gros trou de jpg...
j'espere qu'en n'étant pas un surfer b00list,j'évite le plus gros du danger

Propagation par mail ou juste image dispo sur un site ? Pas de précision là dessus.

non zarbi Symantec ne dit rien

Faille Samba
 
## Vulnérabilité dans Samba ## Samba DOS Path Conversion Flaw Discloses Files to Remote Users Alertes Security Tracker 30/09/2004 Samba Arbitrary File Access Vulnerability  iDEFENSE Security Advisory 30/09/2004 Samba Remote Potential Arbitrary File Access Vulnerability Article K-Otik 30/06/2004

Logiciels concernés et solution :

• Samba version 3.0.7 : non vulnérable
• Samba  version 3.0.5 et inférieures : Appliquer le patch samba-3.0.5-reduce_name : http://us4.samba.org/samba/ftp/pat [...] name.patch  
• Samba version 2.2.11 et inférieures : mise à jour vers la version 2.2.12 http://us4.samba.org/samba/ftp/samba-2.2.12.tar.gz

samba de amigo?

spa un topic marrant                      
 
Bon voila la suite avec MySQL et PhP :
 
## Vulnérabilités et Bugs dans MySQL ## MySQL 4.1.5 has been released et MySQL Bounded Parameter Statement Remote Buffer Overflow Vulnerability Article K-Otik 30/09/2004

Logiciels concernés et solution : MySQL AB MySQL 4.1.4 et 4.1.3 -beta il faut donc upgrader à la 4.1.5 : http://dev.mysql.com/downloads/mysql/4.1.html  
 
## Vulnérabilités et Bugs dans PhP ## PHP Multiple vulnerabilities and GPC input processing Error Article K-Otik 30/09/2004

Logiciels concernés et solution : PHP versions 4.1.x, 4.2.x, 4.3.8 et inférieures il faut à tout prix mettre à jour vers la version 4.3.9 : http://www.php.net/downloads.php  

info (plus pour entreprise que pour particulier, mais bon)
 
Article K-otik : http://www.k-otik.com/fvns-request/
 

 
Voila pour ceux que ça intéresse (ce ne sera pas mis en première page car c'est vaguement de la pub)

Première page (2ème post) mis à jour avec le nouveau top10 Trend. Mais bon ça donne juste une idée car si on regarde par exemple les deux suivants qui sont 7ème et 10ème du classement ça ne nous avance pas vraiment sur les virus en france
 
DEADLINK_NOVIRUS n'est pas un virus mais une détection générique des "liens morts" dans la BDR
 
et si on regarde les statistiques de WORM_ANIG_A on voit que depuis sa sortie il a infecté (ou attaqué) 54,561 pc en Amérique du nord et 4 en europe (tous en Suède) sur les pc equipés de Trend et participant au référencement
 
pas très concluant pour nous européens
 
bonne nuit
 
 

permier post mis à jour sur les failles realplayer et dBpoweramp
 
bonne journée

Mettez à jour Firefox (10-15 jours après la découverte de la faille ) Merci c0mm0n pour l'info sur le topic Firefox
 
## Vulnérabilité dans Mozilla Firefox ## Important Security Update for Firefox Available Mozilla Press 02/10/2004 et Logiciels : Mise à jour de Firefox recommandée ! Sujet Infos-du-net.com 02/10/2004

Voir le bugzilla correspondant : https://bugzilla.mozilla.org/show_bug.cgi?id=259890
Solution : passer à la version 0.10.1 ou appliquer le patch sur la version 0.10

Microsoft propose t'il encore le CD de mise à jour à commander et à recevoir gratuitement ? L'url que j'ai n'est plus bonne.

je sais pas du tout Janfy, désolé
 
petit lien vers un article  qui donne une info dont on pouvait malheureusement se douter : Microsoft risque de ne pas donner le même niveau de sécurité pour IE à XP et aux autres versions de windows
 
http://www.pcflank.com/news280904.htm
 
et pourtant

Salut, j'ai un poste qui est mal en point depuis quelques jours, mais je n'arrive pas à mettre un nom sur le virus (ca a toutes les chances d'être ça )
 
Les premiers symptomes c'était des freezes complets du pc à l'ouverture d'une vidéo ou par exemple lors de tentatives de connexion au site windows update...
 
Après deux formatages le problème semble résolu, mais maintenant quand je me connecte à windows update, quand j'arrive à 33% de la recherche des mises à jour, une fois sur deux je suis redirigé sur un site de cul (Pareil sur d'autres sites...). Le download est aussi très lent.
 
Voilà donc j'ai bien sur utiliser différents outils de scans antivirus en ligne, Kaspersky 5.0, Spybot, etc... et RAS ils ne trouvent rien du tout.
 
Une idée SVP ?
Merci.

l'idée je pense serait un log Hijack comme dernière idée (mais ne le poste pas dans  ce topic ,par contre si tu n'as pas de réponse sur ton topic c'est que je l'aurai raté [j'ai une vie aussi ] donc mets un lien ici ou préviens moi en MP )

Merci, je vais voir si je peut poster un log Hijack sur le topic dédié.

regarde ton fichier hosts non ?

ben ce ne serait pas une fois sur deux mais tout le temps je pense qu'il y aurait redirection car windows regarde en premier lieu dans le hosts

ça coute rien d'essayer

de toute façon oui il faut le regarder de temps en temps mais un problème dans le fichier hosts bloque tout le temps et pas une fois sur deux

c'est reparti pour les failles et aujourd'hui c'est "Antivirus en folie"  
 
## Vulnérabilité exploitable localement dans Kaspersky## Kaspersky Anti-Virus Authentication Process Can By Bypassed By Local Users Alertes Security Tracker 02/10/2004

Versions concernées : 5.0.x
Solution :pas de solution, comme le dit la personne qui a découvert la faille et notifié ce problème à Kapersky

 
 
## Problème dans Norton Antivirus## Symantec Norton Anti-Virus Fails to Scan Files Named With MS DOS Device Names Alertes Security Tracker 05/10/2004 , Symantec Norton AntiVirus Reserved Device Name Handling Vulnerability iDEFENSE Security Advisory 05/10/2004 et SYM04-015 Bulletin Symantec 05/10/2004
Description du problème : Lors d'un scan auto ou manuel, l'antivirus ne scanne pas les fichiers et dossiers portant des noms incluant des séquences réservées aux périphériques MS-DOS (AUX, CON, PRN, COM1 and LPT1). Si il s'agit d'une pièce jointe envoyée par mail, aucun problème car Norton interceptera le virus quand même.
Utilisation de la faille : Il faut que le fichier réside sur le pc lors du scan (à ce moment là Norton ne le verra pas) donc il faut par exemple le faire télécharger par web à l'utilisateur. Il peut aussi être uploader sur votre pc par un attaquant au travers d'une backdoor ouverte sur votre pc.
Logiciels affectés :Norton Antivirus 2003, 2004 et 2005.
Solution :Symantec a mis au point un fix pour NAV 2004 (les autres viendront sous peu). Les fix sont téléchargeable via LiveUpdate uniquement
 
 
et un truc à suivre Antivirus, Trojan, Spy ware scanner, Nested file manual scan bypass bug. mail envoyé sur le Bugtraq de SecurityFocus

l'auteur a testé cette technique "avec succès" sur les logiciels suivants pour le moment : Mcafee Virus Scan professional (8.0.0.12), Norton Antivirus 2003, Kaspersky 4.5x, Ad-Aware (6.0.1.181), The Cleaner
 
affaire à suivre donc  
 
j'ai fait ajout d'un errata sorti aujourd'hui pour la faille Samba, car en fait la version 3.0.5 n'est pas vulnérable à cette faille.

oula,le dernier truc ça craint du boudin,va falloir trouver une parade,enfin si yen a une
 
comme d'hab,merci minipouss!

ah te voila toi, tu m'as manqué
 
oui spa top ce truc là si une simple question de droit permet d'éviter le scan d'un fichier c'est pas cool. Mais bon ça m'étonne qu'un virus avec les droits d'un simple user puisse lancer cacls.exe pour modifier les droits d'un fichier quand même

c'est un type d'un site de sécurité qui a posté cette alerte?
c'est p-ê qu'un hoax apres tout...non?

sur le bugtraq ça m'étonne, mais bon rien d'impossible. Mais à mon avis d'autres gars vont tester ça, comme il le demande d'ailleurs.

Nouveau Bulletin US-CERT : http://www.us-cert.gov/cas/bulletins/SB04-280.html
 
les principales failles ont déja été données ici (ça me permet de tester si j'ai pas trop mal travaillé )
 
cette semaine il est rigolo de voir le grand nombre de failles linux par rapport aux failles Microsoft (ne vous méprenez pas, si j'avais le temps et le courage je serai entièrement sous linux )
 
et pas beaucoup de nouveaux virus
 
En conséquence seul le 2ème post est mis à jour avec les top 10 US-CERT et Sophos (mois de Septembre)