Reprise du message précédent :
tient, j'ai justeùent fait un update de mon realplayer hier soir, et effectivement, y'avais cette MAJ de proposé..
il propose aussi le dl de la dernier version 10.5 ..

bravo pour la tenue du topic  
tiens, un siite d'antivirus en ligne, panda, pas dans la liste http://www.infomagazine.ma/antivirus.html (j'ai pas testé)

je sais mais j'aime pas trop panda à cause des liens du patron avec la sciento donc c'est volontairement que je ne l'ai pas mis. j'ai peut-être tort, mais bon ça me gêne de le mettre

comme tu veux moi je signale et toi tu décides

J'ai quand même mis tout ça en première page donc c'est pas mal
 
1.b Sites de Scan En Ligne :
~~~~~~~~~~~~~~~~~
 
TrendMicro : au choix le scan en ligne habituel (ActiveX donc IE obligatoire) ou un scan en version Bêta (utilisant java2 et donc accessible avec tout les derniers navigateurs [IE, Netscape (4+), Mozilla (all), Firefox (all) and Opera (7+)]
Symantec
Ravantivirus Online Scan : cliquer sur "To continue without subscribing click here" et attendre quelques minutes. Lorsque "Ready" est affiché dans "status", cliquer sur "Scan my PC". (anglais)
Mac Afee Free Scan
Secuser antivirus gratuit en ligne
Bitdefender
Computer Associates eTrust Antivirus Web scanner (anglais)
 
On peut aussi uploader un fichier suspect :
 
Online Malware Scan qui permet de tester le fichier chez 8 éditeurs pas tous très connus ( AntiVir, BitDefender, ClamAV , Dr.Web, F-Prot Antivirus, F-Secure Anti-Virus, Kaspersky Anti-Virus et Norman Virus Control)
Kaspersky mais il est inclus dans le site précédent
Ravantivirus Submit-File

secuser, utilise trendmicro nan, il me semble que c la meme chose.

oui je sais

http://www.checkspy.com/

je regarde ça tout à l'heure

c'est pas pour les virus, y a marqué : SPYWARE, ADWARE, DIALER,  MALWARE, COOKIES, or : COMPUTER PARASITES
 
donc à mettre plutot dans le topic spy (cf ma signature)

mille excuses

spa grave

## Un service pack pour ISA Serveur ## Le Service Pack 1 pour Microsoft ISA Server 2004 est disponible Bulletin K-Otik 04/03/2005
Descriptif :

Solution :  
KB -  http://support.microsoft.com/?kbid=891024
SP1 - http://download.microsoft.com/down [...] 86-FRA.msp
Note - http://download.microsoft.com/down [...] readme.htm
 
 
Et aussi dans les infos Microsoft - Pas de correctifs de sécurité pour ce mois de mars (K-Otik)

on aura pas note patch ce mois, on est en plaine insécurité

C'est la fin du monde  

bande d'accrocs

les 3 Top10 mis à jour et dernier bulletin US-CERT http://www.us-cert.gov/cas/bulletins/SB05-061.html

Même si je trouve cela un peu inutile (car il suffit de ne pas être con pour ne pas se prendre ces virus dans la tronche) voila deux infos sur des virus à forte propagation sous MSN :
 
/!\ Virus Serflog/Fatso/Crog/Sumom sous MSN /!\ W32.Serflog.A (Symantec), W32/Crog.worm (Mac Afee), W32/Sumom-A (Sophos) et WORM_FATSO.A (Trend)
Propagation :  

• s'auto-envoie sous MSN en incluant un lien vers une des copies qu'il a créées sur le pc  
• par P2P sous différents noms  
• par copie sous toute gravure effectuée par le système. Il se met sous le nom AUTORUN.EXE dans le répertoire suivant %USERFOLDER%\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe et crée ou met à jour un AUTORUN.INF au même endroit et contenant OPEN=AUTORUN.EXE

Symptômes : %System% est par exemple C:\Windows\System32, %Windir% peut être C:\Windows, %SystemDrive% sera le disque où Windows est installé ("C:" par défaut) et %UserProfile% est une variable qui se réfère au profil utilisateur donc par défaut C:\Documents and Settings\<Utilisateur>

• il se copie en fichier caché sous les noms %System%\formatsys.exe, %System%\serbw.exe, ]%Windir%\msmbw.exe, %SystemDrive%\Crazy frog gets killed by train!.pif, %SystemDrive%\Annoying crazy frog getting killed.pif, %SystemDrive%\See my lesbian friends.pif, %SystemDrive%\LOL that ur pic!.pif, %SystemDrive%\My new photo!.pif, %SystemDrive%\Me on holiday!.pif, %SystemDrive%\The Cat And The Fan piccy.pif, %SystemDrive%\How a Blonde Eats a Banana...pif, %SystemDrive%\Mona Lisa Wants Her Smile Back.pif, %SystemDrive%\Topless in Mini Skirt! lol.pif, %SystemDrive%\Fat Elvis! lol.pif, %SystemDrive%\Jennifer Lopez.scr, %SystemDrive%\lspt.exe
• afin de se lancer au démarrage de windows, il ajoute les entrées "[Valeur]" = "[nom de fichier]" aux clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run avec valeur pouvant être serpe, ltwob ou avnort et [nom de fichier] choisi parmi %System%\formatsys.exe, %System%\serbw.exe ou %Windir%\msmbw.exe
• pour se propager en P2P il se copie dans les répertoires %SystemDrive%\My Shared Folder, %UserProfile%\Shared et %ProgramFiles%\Program Files\eMule\Incoming sous les noms Messenger Plus! 3.50.exe, MSN all version polygamy.exe et MSN nudge bomb.exe

Actions :

• efface le fichier %SystemDrive%\MESSAGE_TO_BROPIA.txt si il existe
• arrête de très nombreux processus liés à la sécurité
• ajoute pas mal de lignes au fichier hosts afin de bloquer l'accès aux sites web réputés pour la protection
• diminue le niveau de sécurité du pc en mettant à "0" les clés suivantes HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableConfig" et HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore "DisableSR"

 
/!\ Virus Kelvir sous MSN /!\ W32.Kelvir.A (Symantec), W32/Kelvir.worm.b (Mac Afee), W32/Kelvir-B et W32/Kelvir-C (Sophos), WORM_KELVIR.A et  WORM_KELVIR.B (Trend) et Win32.Bropia.T (Computer Associates)
Propagation : s'auto-envoie à tous les contacts sous MSN avec les textes suivants :  

• omg this is funny! [Lien vers le domaine jose.rivera4.home.att.net et le fichier cute.pif]
• [Lien vers le domaine home.earthlink.net et le fichier omg.pif] lol! seeit! u'll like it

Action : si les fichiers .pif sont exécutés ils téléchargent les fichiers

• patch.exe à partir d'une adresse du domaine home.comcast.net et un fichier file.exe du domaine www.yoursite.com qui sont des variantes des virus de la famille des Rbot/Sdbot/Spybot (selon les éditeurs antivirus)
• me.jpg à partir d'une adresse du domaine home.earthlink.net et un fichier file.exe du domaine www.yoursite.com qui sont des variantes des virus de la famille des Rbot/Sdbot/Spybot (selon les éditeurs antivirus)

 
Bonjour, ou est-ce que vous trouvez ces infos? J'ai regardé le site de symantec mais c'est tous en anglais...  
 
Merci

oui c'est en anglais et je regarde sur tous les liens que j'ai donné pour chaque virus afin de prendre le max d'info sur chaque éditeur d'antivirus et je les traduis
 
faut pas hésiter à regarder la première page de ce sujet car j'ai mis pas mal de liens vers des sites de sécurité que je lis (en fait pour la plupart je suis abonné à leur mail-list pour avoir les infos par courrier électronique)

Ah ok Merci Beucoup !

de rien

Petit ajout à l'info précédente avec la détection par symantec et MacAfee de la variante
 
/!\ Virus Kelvir sous MSN /!\ W32.Kelvir.A et W32.Kelvir.B (Symantec), W32/Kelvir.worm.b et W32/Kelvir.worm.c (Mac Afee), W32/Kelvir-B et W32/Kelvir-C (Sophos), WORM_KELVIR.A et  WORM_KELVIR.B (Trend) et Win32.Bropia.T (Computer Associates)
Propagation : s'auto-envoie à tous les contacts sous MSN avec les textes suivants :  

• omg this is funny! [Lien vers le domaine jose.rivera4.home.att.net et le fichier cute.pif]
• [Lien vers le domaine home.earthlink.net et le fichier omg.pif] lol! seeit! u'll like it

Action : si les fichiers .pif sont exécutés ils téléchargent les fichiers

• patch.exe à partir d'une adresse du domaine home.comcast.net et un fichier file.exe du domaine www.yoursite.com qui sont des variantes des virus de la famille des Rbot/Sdbot/Spybot (selon les éditeurs antivirus)
• me.jpg à partir d'une adresse du domaine home.earthlink.net et un fichier file.exe du domaine www.yoursite.com qui sont des variantes des virus de la famille des Rbot/Sdbot/Spybot (selon les éditeurs antivirus)

Vulnérabilité Windows XP et 2003
 
## Vulnérabilité dans Windows XP et Windows 2003 Serveur ## Microsoft Windows XP/2003 Remote Denial of Service Vulnerability Bulletin K-Otik 07/03/2005 et Windows Server 2003 and XP SP2 LAND attack vulnerability SecurityFocus Bugtraq 05/03/2005
Descriptif :

Versions vulnérables :

• 2003 Serveur
• XP SP1/SP2 (Firewall désactivé)

Solution :  pas de solution officielle pour le moment. Conseil : Utiliser le Firewall de Windows sur les postes de travail et utiliser un firewall capable de détecter les "LAND attacks" devant les serveurs.

c pas en mars qu'on aura un patch

j'ai déja dit ça plus haut dans cette page
 
http://forum.hardware.fr/forum2.ph [...] 1#t1948246
 

j'sais, s'pour ca que j'dis ca

ah oki
 
j'me disais que tu étais encore une fois à côté du truc (comme pour le coup de l'anti-spyware)

nan, j'suis attentif

 
Est ce que Zone Alarm 5.1 detecte ca ?

je ne sais pas du tout, y a rien là-dessus sur leur site
 
edit : mais je pense qu'il est possible de créer une règle pour ça. vu que ce type d'attaque fait que le pc essaye de se connecter à lui-m^ "ip source = ip destination"
 
edit 2 : il doit falloir un firewall "Packet filtering" ou "Statefull inspection" pour cela car il testera les ip dans les paquets, mais je ne suis pas du tout un spécialiste de tout ça

Variante de Sober :
 
/!\ Nouvelle variante de Sober /!\ W32.Sober.L@mm (Symantec), W32/Sober-L (Sophos), WORM_SOBER.L (Trend), Win32.Sober.L (Computer Associates), et Sober.L (F-Secure)
Propagation : par mail en anglais ou en allemand au sujet d'un compte mail avec un fichier attaché MailTexte.zip ou acc_text.zip contenant le virus sous la forme d'un fichier mail_text_data[plein d'espaces].pif
 
Symptômes : %System% est par exemple C:\Windows\System32, %Windir% peut être C:\Windows

• il crée les fichiers suivants %Windir%\msagent\system\smss.exe[i] (le virus lui-même), [i]%Windir%\msagent\system\zipzip.zab (copie encodée base 64 du virus), %Windir%\msagent\system\emdata.mmx (fichier dans leuelq le virus va stocker les adresse mails trouvées sur le pc), %System%\nonrunso.ber, %System%\xcvfpokd.tqa, %System%\stopruns.zhz (fichier log du virus) et %System%\read.me (fichier texte contenant "test test test    In diesem Sinne: Odin alias Anon"
• afin de se lancer au démarrage de windows, il ajoute l'entrée "Services.dll" = "%Windir%\msagent\system\smss.exe" aux clés de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• à l'exécution il ouvre une fenêtre Bloc-note disant "Mail-Text : Unzip failed" et plein de caractères

Actions :

• il vérifie si une connexion tourne et essaye de la lancer si elle n'est pas active
• arrête les processus contenant gcas, gcip, giantanti, stinger, hijackthis

 
 
Autre Info: Kelvir (donné hier) continue son évolution avec deux nouvelles variantes qui deviennet plus évoluée, à savoir que la propagation peut aussi se faire par exploitation d'anciennes failles Windows MS03-026 (DCOM-RPC) et MS04-011 (LSASS) et que le virus une fois exécuté se place non seulement dans la Base De Registre pour démarrer avec Windows mais aussi en tant que Service. De plus il peut se connecter à un canal IRC pour attendre les instructions de son auteur.

ça existe un firewall qui ne filtre pas les paquets ?
 
pour le stateful, c'est en gros un type de firewall qui est capable de reconnaitre l'état du paquet (nouvelle connexion, connexion établie, connexion liée etc) ; je vois pas trop  pourquoi ça influerait là

c'est ce que j'ai lu je sais plus où ce matin
 
Mais vu ce que j'ai compris depuis, et ce que tu dis, le packet filtering est suffisant car il regarde ip source et ip destination du paquet donc ça bloque ce type d'attaque.  
 
Et oui je pense que tous les firewall connus peuvent protéger. Après faut savoir si ils le font par défaut ou si il faut soit même créer une règle spéciale

dis, hier un ami qui vient jamais me parler sur msn (oui c'est ptete plus tellement un ami ) hop fenetre et il me dis "aha, look at this" et hop un lien vers un fichier .pif.
betement et pas vraiment éveillé je pense que c'est une photo (oui j'ai confondu avec gif) et je clique sur le lien. il se passe rien alors je copie colle le lien et le met dans FF pour le télécharger. et là quand je vois l'icone du fichier sur mon bureau je comprend que c une saleté, alors vite je l'efface.
voila, là je vais faire un ptit scan en ligne je crois

je pense qu'il vaut mieux

Juste une info (non mise en première page) pour ceux que ça intéresse : premier virus pour téléphone mobile qui se propage par mms (il se propage aussi comme ses quelques prédécesseurs pazr bluetooth) SymbOS.Commwarrior.A (Symantec), SymbOS/Commwarrior.b!sys (Mac Afee) et Commwarrior.A (F-Secure)

Lamentable (encore une fois)
 
http://www.k-otik.com/news/08312004.Guillermito.php

Rappel

ct kel anti-virus

c'est Viguard l'antivirus sans liste de signature de virus

ok, m'en doutais