Reprise du message précédent :
Pour terminer (pour ma part) ce HS :
 
F18 : t'avais qu'à lire v9
 
Romf : panda c'est connu que c'est la sciento donc j'en veux pas
 
Tomate77 : pour l'instant les antivirus free sont pas au niveau concernant les listes de signatures (discussion avec antp quelques pages plus tôt) mais ça commence à venir et tant mieux
 
Voila fin du HS pour moi et bonne nuit car depuis 2-3 page ce topic dévie un peu trop.

 
 
elle est en vente actuellement ?

 
t'as 2 jours de retard
 
et sinon j'ai un copain qui se l'est pris celuila je crois, obligé de changer de carte mère

 
je crois avoir lu que c'est le pdg qui avait aidé la scientologie, mais sans rapport avec son entreprise

K-do
 

 
 
http://www.viruslist.com/eng/viruslist.html?id=1413428

hou la je viens de m'en faire un petit chez mon voisin Win 2K service pack 2 sans rien d'autre... LoveSan, Blaster, BugBear et encore un je ne sais plus quoi ...
 
hu hu le mec : "Je comprends pas il est hyper lent au démarrage..." hu hu

 
  well done

hu hu j'ai oublié, y avait encore une 40 aine de spy

dslagent
gsicon
dumprep O-k
 
y'a t-il un leins avec un virus pour ces processus là ?

nouveau virus ce matin?
 
http://forum.hardware.fr/hardwaref [...] 5504-1.htm
http://forum.hardware.fr/hardwaref [...] 5498-1.htm

J'ai créé un sujet séparé avec des mots-clefs bien spécifiques... comme prévu la faille MS04-11 commence à être exploitée :
 
[hotfix] MS04-11 lsass.exe redemarrage reboot shutdown blaster

 
en tout cas merci du message, je vais mettre à jour

 
je mets ton topic en sujets liés.
Merci

d'après symantec c'est ce worm là : W32.Sasser
 
http://securityresponse.symantec.c [...] .worm.html

 
Surtout que le patch correctif de crosoft est buggé
 
Microsoft a confirmé que la mise à jour de sécurité décrite dans le bulletin MS04-011 était buggée.  
 
Le premier problème concerne toutes les versions de Windows 2000 et cause les symptômes suivants:  
 
Votre ordinateur cesse de répondre au démarrage  
Vous ne pouvez vous logger sous Windows  
L'usage CPU du système approche les 100%  
Le problème apparaîtrait lorsque sont présents sur le système les drivers suivants: Ipsecw2k.sys, Imcide.sys ou Dlttape.sys. Windows essayerait alors sans discontinuer de charger des pilotes qui ne peuvent l'être.  
Microsoft n'a pas encore sorti de correctifs, et conseille sur la page de support liée ci-dessous de désactiver les services incriminés.  
 
Base de connaissances Microsoft - 841382
 
Le second problème concerne les ordinateurs multiprocesseurs sous Windows NT 4 et cause un plantage avec le message d'erreur suivant: "STOP 0x00000079". La procédure de dépannage est décrite dans la page suivante:  
 
Base de connaissances Microsoft - 841384
 
Le troisième problème concerne toutes les installations de Windows et empêche la visualisation de fichier EMF (enhanced metafile format) créés par Adobe Illustrator. Les correctifs sont disponibles via la page suivante:  
 
Base de connaissances Microsoft - 840997
 
D'autres informations liées à ce correctif sont consultables ici:  
 
Base de connaissances Microsoft - 835732
 
 
Ben voila    en attendant

donc j'aurai pas du le mettre  

 
ben a première vu ce n'est pas buggé sur tout type de poste.  
 
 

ca montre a quel point M$ teste ce qu il fait ...

 
lol mdr trop un truc de ouf quoi

c est tout ils testent rien du tout ces boulets

chez moi ça va mon win2k sp4 se porte bien malgré le patch

 
moi aussi on dirait

je croise les doigts hein
 
chui épaté, symantec a mis un 'Rapid Release virus definitions' dès 2:30 (heure US) ce matin pour patcher NAV et SAV bravo pour une fois

 
C'est clair  

par contre mon pc est attaqué sur le port 135 (type blaster) et pas sur le 445 comme le disent les éditeurs d'av.
 
D'ailleurs en cherchant à comprendre tous les processus qui tournent sous le gestionnaire de tâche, je suis tombé sur un super site qui les expliquent très bien (et donne les "mauvais" qui signalent la présence éventuelle d'un virus parmis les plus connus)  
 
http://www.answersthatwork.com/Tas [...] sklist.htm
 
à mettre en première page ou c'est superflu?

 
pas mal j'ai un peu flippé car j'ai un services.exe en processus, mais apparament c'est un virus que s'il est dans windows, pas dans windows/system32

voui c'est ce qu'ils disent
 
edit : y a aussi ce site pour tout ce qui est dans le démarrage
 
http://www.sysinfo.org/startuplist.php

Des alertes concernant le ver W32.Sasser.Worm arrivent de tous les cotés liées aux deux variants W32.Sasser.Worm et W32.Sasser.B.Worm tous deux classés 3/5 chez Symantec.
 
http://securityresponse.symantec.c [...] .worm.html
http://securityresponse.symantec.c [...] .worm.html
et
http://www.sophos.com/virusinfo/an [...] ssera.html
 
J'ai par ailleurs reçu une alerte Sophos sur la liste Emergency Alerts ce qui est exceptionnel. Je crains une explosion d'attaques lundi.
 
Ces deux virus se propagent en P2P grâce à la faille de sécurité LSASS
décrite par MSF dans le patch MS04-011. Il est urgent de déployer ce patch qui a l'air d'avoir été corrigé par microsoft.
 
http://www.microsoft.com/technet/s [...] 4-011.mspx
 
En attendant que ce soit fait, il est prudent de vérifier que les ports TCP 445, 5554, 9996 sont bien fermés TCP/UDP in et out sur tous vos firewalls.
 
 

salut a tous,
 
Bon petite mise a jour...
Le ver Sasser apparu dans la nuit de samedi à dimanche connait une vitesse de propagation assez élevée. Pour plus info, je vous renvoie vers l'excellent topic dédié à ce ver et à la faille MS qu'il exploite, excellent topic réalisé par le non moins excellent Requin
 
C'est ici
 
Sachez qu'après 36 heures d'activité, ce petit ver a déjà connu deux mutations
 
Allez, bonne journée quand même

Un tuto contre sasser pour les non patchés
 
 
Sasser est le premier virus ciblant les ordinateurs vulnérables à la
faille Microsoft LSASS annoncée le 13/04/04. Si une machine connectée à
Internet n'est pas à jour dans ses correctifs, Sasser l'infecte via le
port TCP 445 sans intervention de l'utilisateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables. Le virus n'est pas
destructif mais chaque attaque peut provoquer un plantage de l'ordinateur. La mise à jour des ordinateurs sous Windows NT, 2000, XP
et 2003 est urgente et impérative
 
Voilà ce qu'en dit Microsoft :
http://www.microsoft.com/france/te [...] 4-011.html
 
En premier lieu il faut :
 
 
- Mettre à jour Windows avec Windows Update ou télécharger l'hotfix :
 
Windows 2000 anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows 2000 français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Windows XP anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows XP français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
 
- Mettre à jour l'antivirus de la machine
 
Dernières mises à jour chez les éditeurs de logiciels AV (02.05.2004 à
12h11) :
- Symantec Security Response : W32.Sasser.Worm, W32.Sasser.B.Worm,
W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, W32/Sasser.worm.b,
Exploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A, WORM_SASSER.B
- Sophos : W32/Sasser.worm
- Panda Software : Sasser.A, Sasser.B, DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : Win32.Sasser.A, Win32.Sasser.B, Microsoft
Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser, Sasser.B
- RAV Antivirus : Win32/Sasser.worm, Win32/Sasser.B.worm
- Norman : W32/Sasser.A
- F-Prot : W32/Sasser.A
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b (pages en Russe !)
- Hauri : Worm.Win32.Sasser.15872, Worm.Win32.Sasser.15872.B
 
 
- Effectuer un scan de la machine avec l'utilitaire Symantec (FixTool)
qu'on peut trouver ici :
http://securityresponse.symantec.c [...] .tool.html
 
 
- Vérifier à la main qu'il n'existe plus d'entrée dans le Run de la machine :
 
* windows + R > Exécuter > msconfig (cela ne marche pas sous Windows
2000, il faut passer directemetn via la base de registre :
hkey_local_machine/software/microsoft/windows/current_version/run).
* Décocher l'entrée avserve.exe C:\Windows\avserve.exe
* Décocher l'entrée Msrv32.exe Msrv32.exe (pas sûr qu'il y ait une relation avec le virus par contre)
 
- Vérifier que le fichier C:\Windows\avserve.exe n'existe plus.
- Vérifier dans le gestionnaire des tâches (Ctrl + Alt + Suppr) que
"swchost.exe" dont le nom est "Wandows Sturtup" n'existe pas.
- Vérifier dans C:\Windows ou C:\Windows\system32 qu'il n'existe plus de fichiers <%Nombres variables%>_up.exe
- Vérifier dans C:\Windows ou C:\Windows\system32 qu'il n'existe plus de fichiers DC<%Nombres variables%>.exe
 
 
 
   

ça c'est du complet
 
le sasser.c est là
 
http://securityresponse.symantec.c [...] .worm.html

fix sasser :
 
http://d2new.free.fr/FxSasser.exe
 
source www.secuser.com (qui est indispo depuis ce matin)

sasser à quoi ?

çà le retire si on a pas d anti virus (d apres symantec !)

 

 
sasser a faire chier le monde

sasser trop facile (prononcer é et pas ère )

Et sous Win98, y a des risques ?

non win2000, 2003 et XP seulement pour cette faille

Merci.
Une autre question : les hotfix et le FxSasser.exe suffisent, ou bien faut-il obligatoirement mettre le nez dans la BdR ?

non ça suffit : http://securityresponse.symantec.c [...] .tool.html
 
1/ ça supprime les processus de sasser qui tournent
2/ ça supprime les fichiers du virus
3/ ça supprime ses entrées dans la bdr