Reprise du message précédent :
ptete...
ya pas genre un fichier html dans tes dossiers,car dans ce cas là c'est normal,j'ai deja vu ça chez moi.
par contre jvais te raconter mon mystere à moi: à chaque fois que j'installe un soft,à sa 1ere éxecution il essaie de se connecter à cette adresse IP 224.0.0.0, quelque soit le soft hein  donc bon ben je bloque et aucun soft anti spyware ou antivirus n'a trouvé d'où ça venait...:sweat:

 IP 224.0.0.0 (et xxx) correspond à un client multicast comme par exemple le réseau Ethernet, ne m'en demande pas plus  

info K-otik (avant, si j'ai le temps de faire un topo complet des failles et virus la semaine prochaine car j'ai 15 jours de retard ) :  
 
http://www.k-otik.com/news/20041105.MSEarlyWarning.php

et

euh,je vois pas, j'ai pas de réseau d'installé
tiens et aujourdhui j'ai vu ça avec plusieurs softs:

et rien de trouvé par mes anti spywares

petite mise à jour avec les trois top10 virus : Sophos Trend et US-CERT avec l'entrée directe des nouveaux Bagle (que je n'ai pas encore décrits )

/!\ les derniers Bagle!!! /!\
Alerte Secunia

• Symantec : W32.Beagle.AU@mm W32.Beagle.AV@mm W32.Beagle.AW@mm W32.Beagle@mm!cpl
• Mac afee : W32/Bagle.bb@mm W32/Bagle.bc@MM W32/Bagle.bd@MM
• Trend : WORM_BAGLE.AN WORM_BAGLE.AT WORM_BAGLE.AU
• Computer Associates : Win32.Bagle.AP Win32.Bagle.AQ Win32.Bagle.AR
• Sophos : W32/Bagle-AU W32/Bagle-AV
• F-Secure : Bagle.AT Bagle.AU

Propagation : tous par mail en anglais ( sujet en "Re:..." ) avec fichier attaché nommé price ou Joke et extension .com .cpl .exe ou .scr et partage sous des noms de logiciels connus dans les répertoires dont le nom contient "shar"
Symptômes : fichier bawindo.exe ou wingo.exe dans le répertoire %system% et clé RUN correspondante dans la base de registre
Actions :

• arrête les services suivants : "SharedAccess" - Internet Connection Sharing et "wscsvc" - MS security center
• supprime les clé suivantes dans les clés RUN : My AV, Zone Labs Client Ex, 9XHtProtect, Antivirus, Special Firewall Service, service, Tiny AV, ICQNet, HtProtect, NetDy, Jammer2nd, FirewallSvr, MsInfo, SysMonXP, EasyAV, PandaAVEngine, Norton Antivirus AV, KasperskyAVEng, SkynetsRevenge, ICQ Net
• ouvre une backdoor sur le port 81 en TCP
• essaye de télécharger un fichier à partir d'une liste prédéfinie de site web pour le sauver en tant que %System%\re_file.exe

je sais pas pourquoi,ça m'inquietes pas bcp ces virus par mails...
faut dire que maintenant hotmail,yahoo et autres détectent tout seuls une grosse partie des mails infestés.

c'est clair et faut être con pour ouvrir les pièces jointes vu que c'est en anglais

on continue avec des problèmes sous QuickTime et WinRAR
 
## Vulnérabilité dans WinRAR ## WinRAR "Repair Archive" Feature Vulnerability Secunia Advisories 03/11/2004 , WinRAR May Crash When Repairing Malformed Archives Alertes Security Tracker 03/11/2004 et Medium Risk Vulnerability in WinRAR SecurityFocus Bugtraq 02/11/2004
Versions concernées : WinRAR version 3.40 et précédentes
Description : Peter Winter-Smith de NGSSoftware a découvert une vulnérabilité dans WinRAR, pouvant être exploitée par une personne malicieuse pour compromettre le system (au moins crash du logiciel)
Solution : passer à la version 3.41 par http://www.rarlabs.com/download.htm
 
## Vulnérabilités Quicktime ## Quicktime Two Vulnerabilities Secunia Advisories 28/10/2004 (révisé le 03/11/2004)
Versions concernées : Apple Quicktime 6.x
Description : voila les deux vulnérabilités pouvant être exploitées par une personne malicieuse pour compromettre le système.

• Un integer overflow peut être exploité pour exécuter un code arbitraire sous Windows via un document html spécial
• Une erreur de limite dans le decodage des images BMP peut être exploitée pour causer un buffer overflow et exécuter un code arbitraire sous Windows et Mac OS X. However, it has been fixed priorly in Security Update 2004-09-30 for Mac OS X.

Solution : http://www.apple.com/support/downl [...] me652.html pour Mac-OS X mais pas de nouvelles pour windows il me semble

et encore pour Realplayer et Realone
 
## Vulnérabilités Dans Realplayer ## RealPlayer/RealOne Skin File Buffer Overflow Vulnerability Article K-Otik 28/10/2004  
Versions concernées :  RealPlayer 10.5 (6.0.12.1056) et <, RealPlayer 10.5 (6.0.12.1040) et <, RealPlayer 10.5 Beta (6.0.12.1016) et <, RealPlayer 10 et <, RealOne Player v2 et < et RealOne Player v1 et <
Description :

Solution : Utiliser la fonction "vérifier les mises à jour" des logiciels concernés

/!\ Encore un Bagz!!! /!\ W32.Bagz.F@mm et W32.Bagz.H@mm (Symantec), W32/Bagz.f@MM , W32/Bagz.g@MM et W32/Bagz.gen@MM (Mac Afee), WORM_BAGZ.E et WORM_BAGZ.F (Trend), W32/Bagz-F (Sophos) et Win32.Bagz.F (Computer Associates)
Propagation : par mail en anglais, différents sujets, plusieurs corps de texte de 4-5 lignes différents pour amener à ouvrir la pièces jointe qui est un .doc(plein d'espaces).exe ou la même chose mais dans un zip (about admin archivator archives ataches backup docs documentation help inbox manual outbox payment photos rar readme save sqlssl zip)
Symptômes :

• Crée plusieurs fichiers dans le répertoire %system%, à savoir sqlssl.doc[many spaces].exe , sysinfo32.exe (102400 octets) et trace32.exe (40448 octets) ainsi que les dll suivantes permettant de stocker des données ipdb.dll jobdb.dll et wdate.dll (qui contient la date et l'heure de l'infection)
• Enregistre un service avec une clé nommée Xuy v palto ou ALEXORA

sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ avec les propriétés suivantes : "Nom: Windows Secure SSL" "Chemin: %System%\TRACE32.EXE" "Description: This service implements the secure HyperText Transfer Protocol (HTTPS) for the HTTP service."
 
Actions :

• Modifie le fichier hosts pour bloquer l'accès à de nombreux sites web ( sécurité, divers sites microsoft et des sites de pubs (ad.doubleclick.net par exemple) )
• Fouille l'ensemble de la base de registre afin de supprimer un très grand nombre de clés en relation avec pleins d'applications de sécurité
• sysinfo32.exe permet normalement au virus de télécharger et d'exécuter des fichiers à partir des domaines groundworm.biz et warfed.biz mais la fonction semble foireuse

Ayant encore une fois atteint les limites du nombre de caractère, j'ai remanié la première page complètement en séparant chaque chose et en utilisant des posts pour les archives (8 posts en tout )
 

• Infos générales sur la protection (comment se tenir au courant et les scan en ligne)
• Failles de sécurité Microsoft (Windows et logiciels)
• Failles de sécurité des logiciels connus
• Actualité des virus
• Top10 des virus
• Archives Failles MS
• Archives Failles logiciels connus  
• Archives Virus

 
voila, rendez-vous demain pour la faille Iframe de IE

Tu fais vraiment un boulot extraordinaire minipouss!

Merci et bonne nuit sans virus

rapidement (avant de faire les détails dans l'après-midi) :
 
un nouveau Mydoom est sorti et utilise la faille non patchée (je n'ai pas encore pris le temps de la décrire ici) d'IE ausujet des Iframes. La propagation est par mail et l'auteur tente de vous faire cliquer sur lien dans le message, un clic sur ce lien avec IE et boom exécution du virus.

bon ben encore une raison de passer à FF

bon j'ai pas eu le temps aujourd'hui donc les descriptions viendront demain
 
mais avant j'annonce quand même le patch Microsoft de ce mois-ci : MS04-039 qui à mon avis ne va pas concerner grand monde

finalement j'ai pris le temps de faire la mise à jour des failles MS (j'avais du retard depuis le 20 octobre mais y en avait pas trop en fait )
 
## Windows XP et les Wav ## Microsoft Windows XP Error in Explorer in Processing WAV Files Lets Remote Users Deny Service Alerte SecurityTracker 22/10/2004 et [HV-LOW] Unsafe WAV header handling can cause DoS on Windows Security Focus Bugtraq 20/10/2004  
Versions concernées : XP SP1 totalement patché avec Windows Media Player 10
Description : un attaquant distant peut créer un fichier Wav qui, lorsqu'il sera chargé et lu utilisera la totalité des ressources CPU du pc et tournera en boucle indéfiniment
Solution : Microsoft a été contacté le 20 Octobre et toujours pas de réponse donc pas de solution
 
 
## Outlook et image en mode texte ## Microsoft Outlook May Display Images in Plaintext Only Mode Alerte SecurityTracker 22/10/2004
Versions concernées : Outlook Express (et même Outlook jusqu'à la 2003?)
Description : http-equiv rapporte qu'un utilisateur distant peut envoyer un message mail  MIME contenant une image encodée en Base64à un utilisateur d'Outlook Express. Même si ce destinataire a configuré son client mail en mode texte, il verra l'image.
Solution : pas de solution pour le moment
 
 
## IE vulnérabilité critique Iframe et embed ## Internet Explorer Malformed IFRAME Remote Buffer Overflow Article K-Otik 02/11/2004, Internet Explorer IFRAME Buffer Overflow Vulnerability Secunia Advisories 02/11/22004 et [url=http://www.secuser.com/communiques/2004/041102_iexplorer.htm]Vulnérabilité critique dans
Internet Explorer (02/11/04)[/url] Alerte Secuser 02/11/2004
Versions concernées : Internet Explorer 6 et 6 SP1, pas SP2 pour le moment mais méfiance
Description :

Solution : pas de solution malheureusement
 
 
## IE et fichiers locaux ## Microsoft Internet Explorer "res:" URI Handler File Identification Vulnerability Secunia Advisories 09/11/2004 et Microsoft Internet Explorer permits to examine the existence of local files Security Focus Bugtraq 06/11/2004
Versions concernées : IE 6 et 6 SP1
Description :

Solution : pas de solution pour le moment, sauf bien sûr SP2 ou désactiver Active Scripting (comme souvent)
 
 
## Microsoft ISA Server 2000 and Proxy Server 2.0 Vulnerability (MS04-039) ## Article K-Otik 09/11/2004
Descriptif :

Versions vulnérables :

• Proxy Server 2.0 SP1
• ISA Server 2000 SP1
• ISA Server 2000 SP2
• Small Business Server 2000
• Small Business Server 2003 Premium

Solution : appliquer le patch MS04-039
 
 
Voila, le plus gros problème étant "IE et Iframe" car l'exploit ayant été livré au public sans que Microsoft n'ai eu le temps de faire quoi que ce soit, ben y a déja le dernier Mydoom (ou Bofra) qui exploite cette faille, c'est donc aux antivirus de pallier à cette faille d'Internet Explorer (on verra demain pour l'explication sur ce virus et d'autres failles de logiciels connus Samba, Kerio...)
 
Bonne nuit

Et hop voila une série avec les failles des logiciels connus  
 
## Petits problèmes dans LiveUpdate de symantec ## [HV-LOW] Symantec LiveUpdate issues may cause DoS SecurityFocus Bugtraq 04/11/2004  
Versions concernées : LiveUpdate 1.80.19.0 et 2.5.56.0 ont été testées mais il y en  sûrement d'autres
Description : Hexview a découvert deux problèmes dans la fonction LiveUpdate de symantec (mais pour mes exploiter il faut faire télécharger une "fausse" mise à jour à l'utilisateur (en hackant le site Symantec ou en spoofant l'adresse par une faux site.

• Zip Bombing : après téléchargement de l'archive ZIP, LiveUpdate décompresse un groupe de fichiers pré-définis. Mais il ne vérifie pas la taille non-compressée des fichiers donc il est possible de créer un Deni de Service en faisant décompresser un fichier énorme pouvant remplir le disque dur
• Directory Traversal : LiveUpdate décompresse une arborescence sans la vérifier. Il est donc possible d'atteindre n'importe quel répertoire du pc par l'intermédiaire de "..". Cependant comme il ne peut pas écraser un fichier existant, le risque n'est pas énorme.

Solution : pas de solution pour le moment mais Symantec étudie le problème (réponse sur le Bugtraq )
 
 
## DoS dans Kerio ## Kerio Personal Firewall Unspecified Packet Processing Bug May Let Remote Users Deny Service Alertes Security Tracker 08/11/2004
Versions concernées : versions =< 4.1.1 (même les 2.1.x )
Description :

Solution : passer à la version patchée 4.1.2 dospinible à http://www.kerio.com/kpf_download.html
 
 
## Rappel du Buffer Overflow dans Zinf ## Zinf Playlist Buffer Overflow Lets Remote Users Execute Arbitrary Code Alertes Security Tracker 08/11/2004 et Buffer overflow in Zinf 2.2.1 for Win32 SecurityFocus Bugtraq 24/09/2004  
Versions concernées : version 2.2.1 (et peut être les versions windows précédentes ou Linux inférieures à 2.2.5)
Description :

Solution : la dernière versions Linux 2.2.5 est saine mais comme la version windows n'est plus modifiée depuis longtemps, le mieux est de changer de lecteur sous windows.
 
 
## DoS dans Java Sun JRE si plus de 32768 DNS Lookup ## Sun JRE Integer Wraparound Bug in InitialDirContext() Lets Remote Users Deny Service Alertes Security Tracker 08/11/2004 et DOS against Java JNDI/DNS SecurityFocus Bugtraq 08/11/2004  
Versions concernées : JRE 1.4.2_xx et 1.5.0 (5.0) voire plus
Description :

Solution : pas de solution pour le moment
 
 
## Vulnérabilité dans Samba ## Samba Wildcard Filename Matching Denial of Service Vulnerability Secunia Advisories 09/11/2004 , Samba Wildcard Filename Matching Denial of Service Vulnerability Article K-Otik 09/11/2004 , Potential Remote Denial of Service Vulnerability in Samba 3.0.x <= 3.0.7 SecurityFocus Bugtraq 08/11/2004 , Samba Input Validation Error in ms_fnmatch() Lets Remote Authenticated Users Deny Service Alertes Security Tracker 08/11/2004 et CAN-2004-0930 Samba Security Annoucement
Versions concernées : Samba 3.0.x =< 3.0.7
Description :

Solution : un patch pour la version 3.0.7 est disponible à l'adresse http://www.samba.org/samba/ftp/patches/security/
 
 
Voila rendez-vous cet aprèm pour les virus

grrr kerio, j'espere que la 2.15 est épargné
 
edit: http://secunia.com/advisories/13030/

j'espère aussi mais on ne le saura jamais car c'est considéré comme fini cette version (malheureusement pour nous pauvres utilisateurs)
 
merci pour le lien sécunia, je n'y suis pas encore allé cet après-midi   donc je le rajoute à celui de sécurity Tracker en première page

ben apparament ca touche que la version 4 de kerio  
 
Affected products: Kerio Personal Firewall versions 4.0.0 thru 4.1.1

Voila c'est ajouté
 
edit: oui je pense comme toi vu l'article mais ils ne testent peut-être plus la 2
 
tiens ça vient d'arrivé aussi sur le bugtraq de Securityfocus donc faut encore ajouté

Voila des failles corrigées par la nouvelle version de Firefox
 
## Vulnérabilités dans Firefox ## Mozilla Firefox Multiple Vulnerabilities Secunia Advisories 10/11/2004  
Versions concernées : Firefox 0.x
Description : des détails ont été livrés au sujet de failles dans Firefox versions 0.x

Solution : passer à la nouvelle version 1.0 Finale
Note supplémentaire : Cette nouvelle version de Firefox corrige aussi d'autres vulnérabilités à savoir :

• des crashs dûs à des fichiers html malicieux : (cf Web browsers - a mini-farce et Update: Web browsers - a mini-farce (MSIE gives in) du Bugtraq SecurityFocus 18-24/10/2004)
• deux problèmes de prise de focus par javascript (problème qui concerne la totalité des navigateurs par onglet, ie Safari, Konqueror mais aussi les surcouches IE comme maxthon, avant browser...) multiple browsers dialog box spoofing test et multiple browsers form field focus test Secunia Advisories 20/10/2004. J'ai vérifié et c'est ok
• d'autres failles ont été corrigées, cf le changelog non officiel de Firefox (la version officielle sera mise bientôt sur the known-vulnerabilities page après le rush de la sortie de Firefox 1.0)

purée,ça craint pour Norton Antivirus
bon,je vais y passer à la finale de FF didonc

voui pour FF c'est mieux.
 
par contre pour Norton antivirus ou tout autre produit Symantec utilisant LiveUpdate, pas la peine de s'affoler car pas facile de faire télécharger une pseudo mise à jour quand même (il faut hacker le site Symantec ou bien spoofer une adresse mise dans un mail encourageant les gens à le télécharger à la main alors que le principe de LiveUpdate est justement de ne pas le faire à la main donc........ )

ok,donc je m'inquietes pas trop pour ma copine qui a ce truc sur son pc.
par contre,son abonnement est finis et elle est dégoutée par le prix,tout comme norton 2005 en boite c'est plutot cher...

Voila le dernier Mydoom qui exploite une faille non patchée sur IE  
 
/!\ Protection contre la faille non patchée IFRAME /!\ Bloodhound.Exploit.18 (Symantec), Exploit-IframeBO (Mac Afee), HTML_MYDOOM.AG et HTML_MYDOOM.AH (Trend) et JS/Bofra-A (Sophos)
Description : Encore une faille non patchée qui sera protégée heureusement par la plupart des antivirus (cf Un nouveau ver exploite la faille IFRAME d'Internet Explorer Article K-Otik 08/11/2004)
 
 
/!\ nouveau Mydoom qui exploite une faille IE non patchée /!\ W32.Mydoom.AH et W32.Mydoom.AI (Symantec), W32/Mydoom.ag@MM et W32/Mydoom.ah@MM (Mac Afee), WORM_MYDOOM.AG WORM_MYDOOM.AH et WORM_BOFRA.A (Trend), W32/Bofra-A W32/Bofra-B et W32/Bofra-C (Sophos) et Win32.Mydoom.AF Win32.Mydoom.AG et Win32.Mydoom.AH (Computer Associates)
Propagation :  

• Par mail en anglais dont le sujet est Hi!, <blank>, <random characters>, Confirmation, funny photos , hello, hey!, l'en-tête du mail contient une validation disant X-AntiVirus:[i] vérifié par tel ou tel antivirus et le corps du message (voir un site x, voir des photos, recevoir du fric par paypal.........) essaye d'amener le destinataire à cliquer sur un lien html contenant un script utilisant la faille IFRAME non patchée de IE (SP2 est protégé de cette faille) et permettant de télécharger sur le pc une variante de Mydoom qui va s'exécuter
• Une fois exécuter sur un pc il peut se propager par le réseau local et le P2P en se copiant dans les répertoires sous différents noms

Symptômes :

• Une fois exécuté il se copie sous un nom aléatoire dans le répertoire [i]%system% aleatoire32.exe
• Il se met dans les clé RUN pour démarre avec Windows sous le nom "Reactor[chiffre aléatoire]" = "%System%\[aleatoire]32.exe", il essaye aussi de virer les autres clé qui portent ce type de nom pour éviter que plusieurs instances du virus tournent en même temps sur un pc ou il crée un Mutex pour la même raison

Actions : selon les versions

• Peut effacer des clés du registre pour les produits suivants Microsoft Inet Xp, PandaAVEngine, System MScvb, TaskMon, windows auto update
• Peut arrêter certains logiciels de sécurité
• Peut effectuer des attaques DoS sur des sites de sécurité
• Peut se connecter par IRC port TCP 6667 à différents serveurs pour attendre des commandes
• Peut créer un serveur Web sur le port 1639 et attendre des commandes
• peut se cacher en s'injectant dans l'explorer (afin de plus être dans la liste des processus sous son nom

Mise à jour du top10 US-CERT
 
Dernier Bulletin : http://www.us-cert.gov/cas/bulletins/SB04-315.html

http://www.vnunet.fr/actu/article.htm?numero=13010

Merci pour le lien, je vais regarder ça, mais ce qui m'étonne c'est qu'aucun des gros sites de sécurité n'en parle pour le moment

ok voila la news original, merci beaucoup
 
http://www.finjan.com/company/news [...] ase_id=165

rendez-vous demain pour les infos sur les nouvelles versions de Bofra, et pour des failles dans Samba, Eudora, SpySweeper et Skype

## Faille dans Samba ## Samba QFILEPATHINFO Request Handler Buffer Overflow Vulnerability Secunia Advisories 15/11/2004 , Samba QFILEPATHINFO Buffer Overflow Lets Remote Authenticated Users Execute Arbitrary Code Alertes Security Tracker 15/11/2004 et Samba 3.x QFILEPATHINFO unicode filename buffer overflow Article K-Otik 16/11/2004  
Versions concernées : Samba 3.0.x =< 3.0.7
Description :

Solution : passer à la version 3.0.8 disponible à http://www.samba.org/samba/download/
 
 
## Vulnérabilité dans Skype ## Skype "callto:" URI Handler Buffer Overflow Vulnerability Secunia Advisories 15/11/2004 et Skype "callto:" URI Handler Buffer Overflow Vulnerability Article K-Otik 16/11/2004  
Versions concernées : Skype 1.0.*.95 à 1.0.*.98
Description : L'équipe de Skype a trouvé la faille suivante dans son logiciel

Solution : passer à la version 1.0.0.100 disponible à http://www.skype.com/products/skype/windows/
 
 
## Problème dans SpySweeper ## Spy Sweeper Enterprise Password Information Disclosure Vulnerability Secunia Advisories 15/11/2004
Versions concernées : confirmé pour la version 1.5.1.3698 mais les autres sont sûrement vulnérables aussi
Description : Le problème est que le mot de passe administrateur utilisé pour modifier la configuration est stocké en clair dans la base de registre, qui est lisible par n'importe quel utilisateur. Cela peut être exploité en récupérant la valeur de "ap" sous la clé : "HKLM\SOFTWARE\Webroot\Enterprise\Spy Sweeper".
Solution : pour le moment la seule solution est de modifié les droits d'accès sur la clé en question. Mais cela peut affecter le fonctionnement de Spy Sweeper
 
 
Concernant les failles dans XP SP2 découvertes par, rien de neuf. La seule chose que l'on sait c'est Microsoft vérifie la véracité des infos que Finjan lui a fournies.  Microsoft Internet Explorer on XP SP2 Has Unspecified Flaws That Let Remote Users Bypass File Download Restrictions Alertes Security Tracker 14/11/2004
 
On verra bien dans les patchs MS du mois de décembre ce qu'il en était

tiens tu fais les alertes SaMBa

On passe aux virus :
 
/!\ Mydoom/Bofra continue son développement /!\ W32.Mydoom.AJ W32.Mydoom.AK et W32.Bofra.E@mm (Symantec), W32/Bofra-D W32/Bofra-E W32/Bofra-F et W32/Bofra-G (Sophos) et Win32.Bofra.G et Win32.Bofra.H (Computer Associates)
Juste pour les citer car les noms des virus changent mais leur propagation (mail avec texte en anglais pour inciter à cliquer sur un lien malicieux), symptômes (fichier %System%\[aléatoire]32.exe et clé de registre dans HKLM/..../RUN nommée "Reactor[chiffre]" = "%System%\[aléatoire]32.exe" et actions (backdoor TCP, daemon irc, attente de commande irc par connexion sur un serveur, injection dans l'explorer pour se cacher de la liste des processus...)
J'avais oublié de préciser qu'après le 15 Décembre le virus sera inactivé.
En tout cas tout le monde a l'air de s'être mis d'accord sur le nom Bofra
 
 
/!\ nouveau Beagle/Bagle /!\ W32.Mydoom.AH (Symantec),  Win32.Mydoom.AH (Computer Associates)
Propagation : Par mail en anglais ( sujet majoritairement en "Re:..." ) avec fichier attaché protégé par mot de passe (donné dans le corps du message), nommé Information, Details, text_document, Updates, Readme, Document, Info, Details, MoreInfo ou Message avec comme extension .hta .vbs
.exe .scr .com .cpl ou .zip et partage sous des noms de logiciels connus (MS Office, Nero Opera, WinAmp ACDSee... dans les répertoires dont le nom contient "shar"
Symptômes :

• Fichier sysinit.exe dans le répertoire %system% et clé RUN correspondante dans la base de registre
• Affiche une popup d'erreur "Error! Can't find a viewer associated with the file"

Actions :

• arrête les processus suivants : ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVPUPD.EXE, AVWUPD32.EXE, AVXQUAR.EXE, AVXQUAR.EXE, CFIAUDIT.EXE, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, MCUPDATE.EXE, NUPGRADE.EXE, OUTPOST.EXE, sys_xp.exe, sysxp.exe, UPDATE.EXE, winxp.exe, kavsvc.exe
• supprime les clé suivantes dans les clés RUN : My AV, Zone Labs Client Ex, 9XHtProtect, Antivirus, Special Firewall Service, service, Tiny AV, ICQNet, HtProtect, NetDy, Jammer2nd, FirewallSvr, MsInfo, SysMonXP, EasyAV, PandaAVEngine, Norton Antivirus AV, KasperskyAVEng, SkynetsRevenge, ICQ Net afin d'empêcher ces logiciels de démarrer avec Windows
• ouvre une backdoor sur le port 2002 en TCP afin de transformer le pc en relais email
• envoie une requète "HTTP GET" via le port 80 en TCP au domaine webnomey.net où il essaye de contacter un script .php
• essaye de télécharger un fichier à partir d'un site (je ne donne pas le lien ici) pour le sauver en tant que 1.exe

Mise à jour aussi du Top10 Trend

 
ben oui car je ne connais pas trop donc au cas où ça concernerai un peu des utilisateurs windows aussi je le met
 
edit : bon ben je le referai plus

 
 
 
 
joli boulot minipouss    

Merci

+1, minipouss chef sécurité à la maison blanche

jamais ( et de toute façon mes petites connaissances en informatique ne me le permettrait pas )
 
au fait finalement c'est important de mettre les problèmes de Samba ici ou pas vous en pensez quoi? car si j'ai bien compris ceux qui utilisent Samba doivent avoir du Windows quelque part non?