Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1521 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  [hotfix] Vers et virus : Sasser et Gaobot ! Reboot à cause de LSASS ?

 

 

 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13
Page Précédente
Auteur Sujet :

[hotfix] Vers et virus : Sasser et Gaobot ! Reboot à cause de LSASS ?

n°1549778
Requin
Posté le 01-05-2004 à 10:23:03  profilanswer
 

http://membres.lycos.fr/cybear/Forum/topicR+.gif  
 
 
Depuis quelques jours a commencé l'exploitation d'une faille de sécurité présente sur les systèmes Windows à base de noyau NT. La faille affecte le service lsass.exe (Security Accounts Manager) et permet au choix d'effectuer un Denial of Service (reboot de la machine) ou d'installer un programme en vue de prendre le controle de la machine distante.
 
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de Sasser le correctif MS04-011 est impératif. Pour parer ce type d'attaques un pare-feu (firewall) est une bonne chose, celui intégré à Windows XP fait tout à fait l'affaire. Un anti-virus ne sera pas particulièrement efficace en vue de prévenir l'attaque, au mieux il pourra réparer les dégats la machine une fois infectée.  
 
 
Microsoft Security Bulletin MS04-011 :
Bulletin en français ou en anglais
 
 
Téléchargements du correctif pour :
 
Windows 2000 anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows 2000 français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Windows XP anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows XP français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
- MBSA Homepage
- Téléchargement MBSA 1.2 anglais
- Téléchargement MBSA 1.2 français
 
 
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Sous Windows 2000 :
- Télécharger shutdown.exe et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
 
Si vous n'arrivez pas à accéder aux sites d'éditeurs de logiciels anti-virus, ouvrez le fichier %WINDIR%\system32\etc\hosts à l'aide du Bloc-Note (Note : %WINDIR% indique le répertoire dans lequel Windows est installé). Ensuite repérez les entrées qui pointent sur 127.0.0.1, effacez les lignes correspondantes sauf "localhost". Enregistrez le fichier.
 
 
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, quatre variantes du vers sont actuellement connues, les symptomes sont les suivants :
- un processus nommé  
   variante A : avserve.exe
   variante B : avserve2.exe
   variante C : avserve2.exe
   variante D : skynetave.exe
   variante E : lsasss.exe (note : ne pas confondre avec lsass.exe qui est un fichier Windows valide)
- un fichier dans le répertoire Windows :
   variante A : avserve.exe
   variante B : avserve2.exe
   variante C : avserve2.exe
   variante D : skynetave.exe
   variante E : lsasss.exe
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur. S'achève par _update.exe pour la variante E.
- la présence d'un fichier :
   variante A : C:\WIN.LOG
   variante B : C:\WIN2.LOG
   variante C : C:\WIN2.LOG
   variante D : C:\WIN2.LOG
   variante E : C:\ftplog.txt
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   variante A : avserve.exe = %Windir%\avserve.exe
   variante B : avserve2.exe = %Windir%\avserve2.exe
   variante C : avserve2.exe = %Windir%\avserve2.exe
   variante D : skynetave.exe = %Windir%\skynetave.exe
   variante E : lsasss.exe = %Windir%\lsasss.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996 (variante D port 9995, variante E ports 1022 et 1023).
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
 
http://www.rathgeb.org/temp/sasser_a.gif
 
http://www.rathgeb.org/temp/sasser_b.gif
 
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
 
 
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne ou un removal tool (voir ci-dessous), en voici quelques-uns :
- Symantec Security Check
- Trend Micro Scanning Housecall
- Panda Software ActiveScan
- BitDefender Free Online Virus Scan
- McAfee FreeScan
- RAV AntiVirus - Scan Online
- Kaspersky Labs Online Virus Scanner (permet uniquement l'envois d'un fichier suspecté d'être un virus)
 
Removal Tools pour Sasser (outils permettant d'éliminer le ver automatiquement) (03.05.2004 à 18h16) :
- McAfee AVERT Stinger
- Trend Micro Sysclean Package
- Symantec FxSasser.exe (W32.Sasser Removal Tool)
- Panda Software PQRemove for Sasser.A
- Microsoft Sasser.A and Sasser.B Worm Removal Tool (KB841720)
- avast! Virus Cleaner - free virus & worm removal tool (variantes A à D)
 
 
Dernières mises à jour chez les éditeurs de logiciels AV (04.05.2004 à 11h30) :
- Symantec Security Response : W32.Sasser.Worm, W32.Sasser.B.Worm, W32.Sasser.C.Worm, W32.Sasser.D.Worm, W32.Sasser.E.Worm, W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, W32/Sasser.worm.b, W32/Sasser.worm.c, W32/Sasser.worm.d, W32/Sasser.worm.eExploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A, WORM_SASSER.B, WORM_SASSER.C, WORM_SASSER.D
- Sophos : W32/Sasser.worm, W32/Sasser-B
- Panda Software : Sasser.A, Sasser.B, Sasser.C, Sasser.D, DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : W32/Sasser.A, W32/Sasser.B, W32/Sasser.C, W32/Sasser.D, Microsoft Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser, Sasser.B, Sasser.C
- RAV Antivirus : Win32/Sasser.worm, Win32/Sasser.B.worm
- Norman : W32/Sasser.A, W32/Sasser.B
- F-Prot : W32/Sasser.A, W32/Sasser.B, W32/Sasser.C, W32/Sasser.D
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b
- Avast : Win32:Sasser
- Hauri : Worm.Win32.Sasser.15872, Worm.Win32.Sasser.15872.B
- Grisoft AVG : I-Worm/Sasser
 
 
Microsoft à propos du vers Sasser :
- Ce que vous devez savoir sur le ver Sasser et ses variantes
- What You Should Know About the Sasser Worm and Its Variants
 
 
Quelques nouvelles :
L'adolescent arrêté avoue avoir créé le virus Sasser
 
 
Note :
Pour ceux qui souhaitent alerter sur d'autres forum, merci de mettre un lien vers cet article plutot que de copier-coller son contenu.


Message édité par Requin le 07-11-2005 à 16:22:29
mood
Publicité
Posté le 01-05-2004 à 10:23:03  profilanswer
 

n°1549824
kaltan1
Posté le 01-05-2004 à 11:08:08  profilanswer
 

pas mal cette info pour le MBSA
je l'ai installé et il a trouvé quelques failles malgré que mes visites sur windows update soient fréquentes
cependant j'ai un souci avec une mise à jour: je la choppe en francais mais lors de l'installation ca me dit que le langage ne correspond pas au langage de mon systéme :/
il s'agit de cette update: Windows2000-KB329115-x86


---------------
TAF n°1 - Kaltan's Watches - Mme Kaltan Cuisine Blog - BMW
n°1549840
cybergland​eur
la glande est une science
Posté le 01-05-2004 à 11:29:20  profilanswer
 

sinon pour ceux qui sont déja infectés, faite : démarrer/executer/regedit/hkey_local_machine/software/microsoft/windows/current_version/run
et enlever la clé qui s'appelle P2P manager.
 
apres avoir fait ca, je n'ai plus eu le message d'erreur

n°1549841
Harigat0
Posté le 01-05-2004 à 11:30:23  profilanswer
 

Plein d'erreurs venant de Windows Xp ce matin en allumant le pc !
Ca vient donc de ça

n°1549847
napalm57
...
Posté le 01-05-2004 à 11:32:40  profilanswer
 

Oui

n°1549865
Asegard
Posté le 01-05-2004 à 11:42:15  profilanswer
 

Et bein, ça sert d'avoir un forum informatique sous la main
je viens d'avoir ça aussi ce matin, et je me suis dit, 1er mai, ça doit couver quelque chose
j'avais aussi le avserve dans windows system, now tout va bien
thanx pour le patch !
Edit: le patch français me dit que la langue n'est pas bonne, alors que mon XP est bien francais.... heu j'fais quoi ?


Message édité par Asegard le 01-05-2004 à 11:45:19
n°1549871
byron
Posté le 01-05-2004 à 11:49:14  profilanswer
 

je n'ai pas cette cle moi.

n°1549872
Requin
Posté le 01-05-2004 à 11:50:02  profilanswer
 

Je n'ai pas mis tous les OS dans la liste, essayez de passer par le bulletin de sécurité qui donne la liste complète des OS, puis permet de choisir la langue :
 
http://www.microsoft.com/technet/s [...] 4-011.mspx

n°1549874
Asegard
Posté le 01-05-2004 à 11:50:53  profilanswer
 

Bah je suis sous WinXP français tout simplement, et ni l'anglais ni le français ne marche
 
Etrange, je suis allé le retélécharger sur le site et ça marche..
Merci  :hello:


Message édité par Asegard le 01-05-2004 à 11:54:06
n°1549887
Profil sup​primé
Posté le 01-05-2004 à 11:59:16  answer
 

Byron a écrit :

je n'ai pas cette cle moi.


moi non plus
mais j'ai eu pire, un truc qui s'appelle aserve.exe et qui m'empechait d'afficher des pages web ce matin :/

mood
Publicité
Posté le 01-05-2004 à 11:59:16  profilanswer
 

n°1549901
Harigat0
Posté le 01-05-2004 à 12:08:04  profilanswer
 

Attention à "swchost.exe" dont le nom est ... "Wandows Sturtup" (?!)
 
 
à éliminer aussi
 
edit : pas sûr que ce soit lié à ce virus, ce n'est peut-être qu'un spyware.


Message édité par Harigat0 le 01-05-2004 à 12:14:33
n°1549911
Zitun
Posté le 01-05-2004 à 12:16:49  profilanswer
 

Quand je kill avserve.exe, il revient parfois quelques temps après sous le nom de 15858up.exe. Ouala, ct juste pour l'info.


---------------
[HardFr]Zitun à la belle époque.
n°1549926
david42fr
Posté le 01-05-2004 à 12:28:57  profilanswer
 

+1 pour l'infection :( ça devient lourd


---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
n°1549927
napalm57
...
Posté le 01-05-2004 à 12:30:29  profilanswer
 

david42fr a écrit :

+1 pour l'infection :( ça devient lourd

Met le patch et fait un win update :o

n°1549929
david42fr
Posté le 01-05-2004 à 12:32:00  profilanswer
 

c'est fait, j'ai suivi les conseils trouvés sur HFR et a priori ça roule. Ca me semble d'ailleurs un peu simple comme désinfection!


---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
n°1549932
napalm57
...
Posté le 01-05-2004 à 12:33:10  profilanswer
 

Oui je c'est on verra pas la suite!

n°1549937
Zitun
Posté le 01-05-2004 à 12:34:51  profilanswer
 

Trendmicro m'indique que avserve.exe et ses copains sont infectés par WORM SASSER.A.


---------------
[HardFr]Zitun à la belle époque.
n°1549942
Harigat0
Posté le 01-05-2004 à 12:36:38  profilanswer
 

Zitun a écrit :

Trendmicro m'indique que avserve.exe et ses copains sont infectés par WORM SASSER.A.


 
Pareil avec Trend Micro, il se contente de m'indiquer ces infections et échoue à faire quoique ce soit  :pfff: ...  
 
d'ailleurs sur un autre pc (connecté à Internet bien sûr) avec Norton Internet Security (& Norton Antivirus), aucune infection (sans l'avoir mis à jour récemment en plus)
 
Deçu par l'"efficacité" du firewall de Trend Micro  :pfff:


Message édité par Harigat0 le 01-05-2004 à 12:41:19
n°1549943
napalm57
...
Posté le 01-05-2004 à 12:37:06  profilanswer
 

ben prend l'utilitaire de desifection sasser.a.

n°1549952
Yoshimitsu
Bulgarie 1-0 France
Posté le 01-05-2004 à 12:40:05  profilanswer
 

Merci les amis ! Un grand merci !
Cem atin je me connecte sous Windows XP et hop, comme par hasard ce fichu virus, depuis je ne peux PLUS ABSOLUMENT PLUS  
 me connecter au net avec WinXP. Heureusement j'ai  un PC avec W98 et les pros du software oujours là pour aider  :jap:  
 
J'avoue cependant que je suis à bout. deux mois que j'ai de ces fichus virus qui transpercent mon firewall et se jouent deKaspersky... j'enrage !

n°1549953
david42fr
Posté le 01-05-2004 à 12:40:11  profilanswer
 

l'antivirus en ligne de secuser.com c'est bien trend housecall? parce que je l'ai exécuté ce matin et il m'a rien trouvé!!!
 
 
edit : en fait il l'avait trouvé effectivement mais pas nettoyé:il m'a parlé d'un malware et non pas d'un virus.


Message édité par david42fr le 01-05-2004 à 12:44:43

---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
n°1549957
Zitun
Posté le 01-05-2004 à 12:42:37  profilanswer
 

Moi il me la trouvé nickel, mais en non cleanable, j'ai viré le tout :D
 
Cest bien Housecall donc je parlais oui.


---------------
[HardFr]Zitun à la belle époque.
n°1549958
david42fr
Posté le 01-05-2004 à 12:43:15  profilanswer
 

à ce propos, quelqu'un a t il entendu parler d'un virus nommer dedler.G?


---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
n°1550001
e-TE
Posté le 01-05-2004 à 13:19:00  profilanswer
 

:pfff: je vois ce topic, je d/l puis installe le patch en prevention... (j'avais encore rien eu...)
et 2minutes apres l'install du patch que vois je apparaitre :??: ce put### de message a la con pour annoncer le reboot  :fou:  
c koi ce patch de mer## y'a vraiment un truc que je pige plus la... on fout les patch pour eviter de se le prendre et en recompense on le choppe quand meme  :fou:

n°1550002
david42fr
Posté le 01-05-2004 à 13:19:07  profilanswer
 

AVG vient de mettre à jour sa base antivirus pour intégrer SASSER . Mettez vos antivirus à jour ;)


---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
n°1550004
parappa
taliblanc
Posté le 01-05-2004 à 13:19:48  profilanswer
 

Requin a écrit :

Addenum : sous 2000 ou XP en effectuant : Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> bouton OK celà permet de stopper le message et d'avoir le temps d'installer le patch.


 
Lorsqu'on fait ça le message "le commande n'existe pas" apparait. "Shutdown", ce serait bien pour un windows US, non ? Le nom de la commande change peut-être pour les Windows (2000) Fr ?  
 
:/


---------------
DU LINO DE BATARD IMITATION CARREAUX DE CIMENTS ILLEGITIMES§§§
n°1550011
e-TE
Posté le 01-05-2004 à 13:22:37  profilanswer
 

je sais pas pour win2000 mais sous XP pro fr shutdown est valide ;)

n°1550017
Requin
Posté le 01-05-2004 à 13:24:30  profilanswer
 

parappa a écrit :

Lorsqu'on fait ça le message "le commande n'existe pas" apparait. "Shutdown", ce serait bien pour un windows US, non ? Le nom de la commande change peut-être pour les Windows (2000) Fr ?  
 
:/


 
Par défaut cette commande n'existe pas sous 2000... je n'arrive pas à me souvenir si je l'ai copiée d'un WinXP sur mon 2000 ou prise dans un resource kit.
 
Si jamais l'équivalent existe sur www.sysinternals.com et s'appelle psshutdown.exe

n°1550034
parappa
taliblanc
Posté le 01-05-2004 à 13:33:53  profilanswer
 

Requin a écrit :

Par défaut cette commande n'existe pas sous 2000... je n'arrive pas à me souvenir si je l'ai copiée d'un WinXP sur mon 2000 ou prise dans un resource kit.
 
Si jamais l'équivalent existe sur www.sysinternals.com et s'appelle psshutdown.exe


 
Ok, j'ai récupéré psshutdown. :)
 
Pour faire en sorte qu'il s'execute en faisant démarrer > executer > "psshutdown -a", je dois le mettre dans quel dossier de windows ?


---------------
DU LINO DE BATARD IMITATION CARREAUX DE CIMENTS ILLEGITIMES§§§
n°1550035
bobdennard
2 in the pink & 1 in the stink
Posté le 01-05-2004 à 13:34:53  profilanswer
 

pt1 j'ai le même genre de souci mes machines sont regulierement mise à jour sur windows update et bien que sans antivirus tout roule impec par contre je me monte un troisieme pc à base de nforce2 j'installe, j'applique le patch pour le blaster puis je vais sur windowsupdate alors là misere j'ai à peine commencé à installer que le net n'est plus accessible, je peux toujours faire des ping free.fr mais pour se connecter au net dans ton cul lulu !
 
je vais dl ce patch pour xp l'appliquer avec celui de blaster sur mon xp pro + sp1 fraichement installer et tenter un windows update !
 
Sincerement c'est de plus en plus emmerdant !

n°1550040
kenzo-styl​e
Posté le 01-05-2004 à 13:36:28  profilanswer
 

Heureusement qu'en allumant mon PC ce matin mon antivir s'est mis à jour ...
je viens d'installer les patchs donc j'espère que ça ira parce que le compte à rebourd ça me fait peur :p

n°1550043
bobdennard
2 in the pink & 1 in the stink
Posté le 01-05-2004 à 13:37:49  profilanswer
 

c'est surtout le fait de ne plus pouvoir se connecter au net là c'est sincerement la misere je pense à ceux qui n'ont qu'un seul pc infecté dans connexion au net tu ne peux rien faire face à ce genre de souci ...

n°1550048
Profil sup​primé
Posté le 01-05-2004 à 13:39:21  answer
 

bobdennard a écrit :

c'est surtout le fait de ne plus pouvoir se connecter au net là c'est sincerement la misere je pense à ceux qui n'ont qu'un seul pc infecté dans connexion au net tu ne peux rien faire face à ce genre de souci ...


j'ai eu ca et suffisait de virer avserve.exe dans le gestionnaire des taches

n°1550056
bobdennard
2 in the pink & 1 in the stink
Posté le 01-05-2004 à 13:42:01  profilanswer
 

Mister_K a écrit :

j'ai eu ca et suffisait de virer avserve.exe dans le gestionnaire des taches


 
bon je vais me fouetter moi ça m'apprendra à pas utiliser windows souvent [:barome]  [:joce]  
 
bon merci du conseil j'espere pouvoir enfin mettre à jour ce nouveau pc et pouvoir lui permettre de surfer sur le nêteux [:groux]

n°1550071
Requin
Posté le 01-05-2004 à 13:46:35  profilanswer
 

parappa a écrit :

Ok, j'ai récupéré psshutdown. :)
 
Pour faire en sorte qu'il s'execute en faisant démarrer > executer > "psshutdown -a", je dois le mettre dans quel dossier de windows ?


 
Perso je le met sous C:\WINNT\ mais n'importe quel dossier dans la varaiable d'environnement PATH permetterait de l'appeler sans avoir à entrer le chemin de l'exécutable.

n°1550075
verdoux
And I'm still waiting
Posté le 01-05-2004 à 13:48:02  profilanswer
 

Si vous utilisez windows update en mode auto le patch a été appliqué.

n°1550081
K-Surf
undercover
Posté le 01-05-2004 à 13:51:35  profilanswer
 


ça vous fait meme avec le firewall de winxp activé ????
 

n°1550082
Profil sup​primé
Posté le 01-05-2004 à 13:53:13  answer
 

ca sert a quoi un firewall [:opus dei]

n°1550083
byron
Posté le 01-05-2004 à 13:53:14  profilanswer
 

Je viens de rebooter et de remettre le firewall sur mon fixe, et tout roule. Je peux lancer un av online et cela m'a permis de me debarasser d'un cheval de troie qui me pourrissait la machine depuis qques temps.

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  [hotfix] Vers et virus : Sasser et Gaobot ! Reboot à cause de LSASS ?

 

Sujets relatifs
probleme de virus (blast ?) et autresNorton anti virus
Personnalisations des dossiers perdu a chaque rebootvirus W32.IRCBot.Gen
Mon Wndows 2000 se fait mitrailler de virus....cherche soft pour compresser une image vers un poids donné
Alerte virus >>>> HELP demandée d'urgenceImpossible d'envoyer un mail depuis myIE vers Thunderbird
Reboot uniquement avec des jeuxpage d'acceuil wanadoo virus inside?
Plus de sujets relatifs à : [hotfix] Vers et virus : Sasser et Gaobot ! Reboot à cause de LSASS ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR