Salut,
 
Alors pour commencer j'ai fais une recherche et lu la plupart des posts trouvés ( http://forum.hardware.fr/forum1.ph [...] aterange=2 )
 
J'ai aussi lu les infos de propag sur http://www.commentcamarche.com/virus/nimda.php3
 
J'ai actuellement 14 serveurs de débranchés, mais les 160 machines qui tournent encore (quasi impossible de les arretter (plusieurs sites)).
 
 
 
LE prb, l'un de nos postes clients au service info (logué en Admin) vient de recevoir plusieurs alertes de Norton dernière version, mis à jour vendredi dernier. Alertes sur des fichiers *.EML (lié à Nimda, j'ai bien lu). On fait une recherche sur ce type de fichiers, et on ne trouve rien.
L'utilisateur de cette machine ne surfait pas, et avait juste Outlook qui tournait (Outlook XP, sous Win XP).
 
J'ai lancé sur la machine http://www.commentcamarche.com/download/Fixnimda.com et rien n'a été trouvé.
 
 
Je suis un perdu là. Je ne vois pas comment y'aurai pu avoir tentatives de copies de fichiers sur le HD, dans "C:\doc and setting, etc..."
 
 
Je ne vois pas où chercher.
 
Autre chose, il y a différentes version de Nimda, quelqu'un a des infos sur w32.nimda.enc ?
 
Si quelqu'un à un lien pour la mise à jour à appliquer sur IIS 4 sur un NT4 SP6a, je suis preneur
 
 
Merci

[jfdsdjhfuetppo]--Message édité par Groody--[/jfdsdjhfuetppo]

In some cases, Norton AntiVirus detects a threat and adds the extension ".enc" to the name of the detection. For example, if a computer has received email infected with W32.Nimda.A@mm, you may also see a detection for W32.Nimda.enc.  
 
The .enc detection is actually a detection of header information or encoded script which can be contained in an email message. The detection of an encoded script is the result of the script using a vulnerability that affects some versions of Microsoft Internet Explorer, and therefore Microsoft Outlook and Outlook Express. This vulnerability, if not patched with a Microsoft program update, allows a virus, worm, or Trojan to be executed just by reading or previewing the email message. Information on this problem, which is known as a MIME header exploit, can be found at:
 
http://www.microsoft.com/technet/s [...] 01-020.asp

MErci à Elca pour le lien en PRV : http://securityresponse.symantec.c [...] 27561.html
 
Wild, bah merde
 
Red, je v voir, merci

il faut que tu effaces l'email infecte, car meme si tu effaces la piece jointe infecte, a chaque fois que tu selectionneras ce message, NAV te dira qu'il est encore infecte (il se base sur le header du mail)
pour effacer,  
1) desactiver la previsualisaion auto du mail
2) supprimer le mail (definitivement , pas juste le mettre ds les elements effaces)

Pour Nimda, une fois que l'utilisateur reçoit le message il se trouve infecté, le virus se copie lui-même dans le dossier WinntSystem32 avec comme nom : LOAD.EXE.
 
il modifie le fichier SYSTEM.INI en ajoutant : shell=explorer.exe load.exe -dontrunold.  
 
Ensuite, il copie un fichier riched20.dll dans le répertoire System (fichier caché). Ceci permet au virus de se lancer à chaque fois qu'une application utilisant cette DLL (comme par exemple Wordpad) est exécutée.
Ensuite, il crée un utilisateur appelé guest puis l'inclut dans le groupe des administrateurs locaux.
Après quoi, il se connecte en tant que l'utilisateur défini ci-dessus et partage le volume C: comme C$.
 
Si le FIX n'a rien trouvé, il y a des chances que le PC ne soit pas vérolé. Pour le savoir fait une recherche sur riched20.dll à la limite Extrait la (MSCONFIG sous XP) et à la limite tu peux reinstaller Office... Mais c'est vraiment par sécurité...

Mon boss (c sur sa machine) n'utilise jamais la prévisualisation, et nous n'avons (il) a pas reçu de mail
 
 
Norton nous a donné à plusieurs reprises des alertes sur des fichiers *.EML sur le C:, introuvable via la recherche (utilisation du même nom de fichier, affichage des fichiers cachés, systèmes, etc.. d'activé)

merci THX, je v voir ça

si effecivement, mail vérolé il y a, je veux savoir qui nous l'envoie.
 
Nous n'avons rien dans la boite de réception.
 
Comment un mail, sans la prévisualisation d'activé, peut se lancer ? J4ai pas suivi ??
 
Et c'est forcément par mail pour celui là ?

Dans ce cas, il ne doit pas être vérolé enfin du moins par Nimda...
 
Si Otulook tournait et qu'il y à eu une alerte, il est possible qu'il est recu un mail automatiquement supprimé par Norton et d'ou le message d'alerte enfin je dis ca mais c'est fort possible...

non non, les alrtes ROUGES de norton indiquait des fichiers EML copiés dans C:\Documents and Settings\All Users\..
 
donc il y a bien eu une action active

 
Si tu veux savoir qui te l'envoies, mais a mon avis l'utilisateur sera "caché", tu sélectionnes le message clic droit propriétés / détails et source du message tu auras l'IP, le nom de l'utilisateur, le nom de son PC etc... etc... mais généralement ce sont des envoies groupés avec un utilisateur bidon et bien caché...  
 
Je crois aussi que Nimda s'envoie de façons aléatoire avec le carnet d'adresse d'un PC vérolé en gros une personne à pu l'envoyer sans le savoir...

j'avais pensé à aller voir l'en tête du mail, mais aucun mail n'est en attente, peut etre bloqué par NAV, mais si je désactivé NAV, j'ai peur que la machine soit réellement vérolé, pour de bon.
 
Pour l'en tête, on verra ptet une IP interne.
 
 
 
 
JE ne comprends tjs pas comment ces fichiers ont été copiés sur la machine sans mail d'ouvert ni de surf

tu as regardé sur ton serveur de messagerie je suppose ?

le serveur de messagerie n'est pas chez nous, je n'ai pas la main dessus, et aucun anti virus ne tourne dessus. INCROYABLE oui je sais, mais je fais tout pour changer ça et le prendre en interne ..

[jfdsdjhfuetppo]--Message édité par Groody--[/jfdsdjhfuetppo]

NAV a fait apparement des faux positifs avec cette version de nimda, mais avec des signatures plus vieilles que celle que tu as...peut être que le problème n'a pas été vraiment réglé ?
Je creuses ...

 
Bah qui sait c'est peut être un cas "J'ai rien fait rien touché"  
 
Généralement quand y'a un "problème" sur un PC l'utilisateur n'a jamais rien fait... finalement tu te rends compte qu'il à bien reçu un mail, qu'il l'a bien ouvert etc...  
 
Enfin bon peut être que Norton l'a bloqué direct à la réception ou un truc du genre...

B-52, ouai j'ai lu ça, à la suite d'un lien donné par Elca : http://www.cisco.com/warp/public/770/fn16592.shtml

THX a écrit a écrit :     Bah qui sait c'est peut être un cas "J'ai rien fait rien touché"     Généralement quand y'a un "problème" sur un PC l'utilisateur n'a jamais rien fait... finalement tu te rends compte qu'il à bien reçu un mail, qu'il l'a bien ouvert etc...     Enfin bon peut être que Norton l'a bloqué direct à la réception ou un truc du genre...

 
Ouai, je connais, mais c mon chef, à l'info, donc ça m'etonnerai qu'il me dise des conneries

Alors, je viens de chercher sur le post :
 
 - RICHED20DLL, il en trouve 3, 2 de ~400Ko dans I386 et dans c:\windows\system32 (même taille, date pour les deux) et un de 212 Ko dans le rep OFFICE10
 - Pas de LOAD.EXE
 - Pas de mail das Outlook
 
 
J'ai débranché le cable réseau, je n'ai PLUS la moindre alerte de Norton ??
 

http://itim.tamu.edu/Security/nimda.html

Nimda infecte aussi les mac ?
edit: forcément c outlook aussi, chuis con

[jfdsdjhfuetppo]--Message édité par elcatalan--[/jfdsdjhfuetppo]

bon, j'ai relancé Outlook avec le cable branché, F5, arrivé d'un mail, pas la moindre alerte.
 
J'ai l'impression que ce n'est pas un mail qui fout la merde là
 
EDIT : si ça vient d'une machine qui est actuellement débranchée, je suis mal barré

[jfdsdjhfuetppo]--Message édité par Groody--[/jfdsdjhfuetppo]

Attention ce sont des virus qui peuve ce propagé part le partage des fichiés

ouai, j'ai lu, mes comment exactement ?
 
ils vont se copier à un endroit, et il faut qu'un couillon aille cliquer dessus ?

va voir ici plus ,bas vers nimda
http://aspirine.altasecu.com/contr [...] #BadtransB

T'a pas moyen de tester ca:
Tu branche ton xp avecc norton actif sur un hub/switch et tu teste un par un les postes debranches ?

on est en train de faire tourner FIXNIMDA.COM sur tous les serveurs et toutees les machines.

T'as vérifié dans le dossier quarantine de norton ?

Mon chef ouai, il n'y avait que des reste de AHAHAH Blanche neige.. (je ne me rappelle plus du nom du worm).
 
Aucune machine n'est pour l'instant détectée comme vérolée.
 
 
J'ai interet à trouver d'où ça venait car là ça m'inquiette

parano

c quand même une des qualité qu'il faut avoir dans ce job  

keep cool and don't be aware
http://home.urbanet.ch/urba0950/beaware/

j'ai oublié un dans mon avant dernier post

Je croyais que Nimda se propageait principalement par les requetes Web vers les serveurs qui ne sont pas patchés. Je n'ai jamais vu de Nimda envoyé par mail. Tu as verifié tes serveurs?

serveur quoi ?
 
Je viens de passer fixnimda sur toutes les machines locales, et les 14 serveurs (13, pas celui sous Nux pardon ), et rien  

si tu parles du serveur mail, j'ai répondu plus haut qu'il ne nous appartient pas, et que je ne peux pas y intervenir.

nimda se propage avec les servers 2IS il me semble, si t'es machines clientes sont des 2000, regarde si elles n'ont pas 2IS qui tourne.

[jfdsdjhfuetppo]--Message édité par costla--[/jfdsdjhfuetppo]

Il faut verifier les serveurs Web si tu en as, et non avec un antivirus, mais verifier les niveaux de patch.

pour verifier les dernieres MAJ pour 2IS, un outil fais pas SupInfo:
 
http://microsoft.supinfo.com/iisecure/
 
ca verifie les dernieres MAJ dispo chez Crosoft et compare avec ton server.

génial, merci
 
Mon IIS n'a pas l'air atteint, mais je v voir ça, puis patché, car ça n'a jamais été fait.
 
 
98 % de mes postes sont des 98, et ils peuvent être aussi atteint