Bonjour à tous,
 
Un tout nouveau virus a débarqué sur nos sites et affectent tous nos PC sous Windows. Même ceux qui sont en SP3 sous XP.
En effet si vous n'avez pas le dernier patch WindowsXP-KB958644-x86-FRA.exe, il scanne le réseau et vous empeche de retirer vos mails, lancer internet et même notre ERP (puisqu'elle marche en réseau).
Ce vers utilise svchost.exe ce qui le rend difficile à l'arreter. Il scanne le port tcp/445 (voir la commande netstat -an)
 
Nous avons enfin trouver une procedure mais c'est super long alors je cherche à acceler le mouvement par deploiement et scripts.
 
Il faut:
-Lancer process explorer.exe (un outil de sysinternal) et "killer" celui qui s'appelle svchost (y'en a plusieurs mais regarder dans les proprietes celui qui a en argument netsvcs).
-Mettre à jours les definitions virus de cette semaine.
-Mettre le patch WindowsXP-KB958644-x86-FRA.exe.
-Analyser c:\documents & settings et c:\windows\system32. (Normalement il trouve une dll et un fichier).
-Rebooter.
 
Le truc qui est chaint c'est que je ne sais pas comment deployer le WindowsXP-KB958644-x86-FRA.exe sans serveur de mise à jours (on la stocker sur les serveurs de fichiers et on installe manuellement).
 
Y'a t'il moyen a l'aide de la commande runas de lancer une installation silencieuse de ce patch et egallement de la mise à jours de norton (un exe qui contient les definitions). Les gens ne sont pas admin de leur poste.
Exemple de definition virus:
http://www.symantec.com/business/s [...] ?gid=savce
(on a norton corp 8)
 
D'avance merci.
 
A mon avis ca va etre la cata dans de nbrses boites car je doute fort que tous vos pc soit au derniers niveaux de patchs MS.
 
PS= J'espere que ce post servira a qqun.

Bonjour,
 
Content de voir qu'on est pas seuls dans la galère.
 
Depuis lundi on déprime dans ma boite.    
 
Déjà, l'antivirus NOD32 trouve pas encore notre virus même scanner la dll qui pose problème y voit rien, peut-être que c'est une variante.
Ca crée et recrée des services avec des nom aléatoires attaché à des dll aléatoire.
Ca fait bien bugger le réseau, les partages, mappings, imprimantes au fait ça mets le Service Serveur tout simplement à l'arrêt...
 
Puis j'ai vu la page sur le site Norton....    
 
Content aussi d'apprendre qu'on vient de se choper une crasse qui vient à peine de sortir puisque la découverte de la faille Windows date d'octobre...    
 
Bref la fin de semaine arrive et on tout au plus une solution à la pour virer la dll comme une brute et empecher qu'elle revienne avec le SP3 + patch mais bon passer sur plus de 300 PC...
 
C'est clair que s'il y a solution pour déployer par le réseau toute la manipulation, je suis à l'écoute.

Bonjour à vous,
 
Pour installer cette MAJ sur tous vos postes, pourquoi ne pas simplement installer un serveur WSUS (même temporaire avec une licence serveur d'essai)? Cela permettrait d'éviter de passer sur chaque poste.
Autrement, voici deux liens qui expliquent la procédure d'instal silencieuse:
http://support.microsoft.com/defau [...] -US;262841
http://support.microsoft.com/defau [...] -us;824687
En résumé:
patchname.exe /quiet /passive /norestart
 
Sinon juste une chose qui m'échappe, mais qui malheureusement ne vous aidera pas trop : cette maj windows a été annoncée partout comme étant extrêmement critique, même Microsoft a dérogé à sa règle des uptades mensuelles rien que pour cette faille. Donc pourquoi ne pas l'avoir installée lors de sa sortie?
De plus, vous n'avez pas de serveur de mise à jour WSUS, cela signifie donc que soit vous êtes en update automatique, soit vous ne faites pas les updates? Si c'est le premier cas, la MAJ aurait du s'installer, et si c'est le second cas, est-ce bien raisonnable de ne pas faire les MAJ Windows en entreprise??
Je suis contient que cette remarque ne va pas régler votre problème dans l'immédiat, mais elle pourra surement vous éviter d'autres soucis à l'avenir.
Bon courage en tout cas.

Bonjour,
Le patch peut être déployé dans un script de demarrage avec les options /quiet et /norestart (pour eviter de redemarrer le pc à ala fin de la mise à jour)
WindowsXP-KB958644-x86-FRA /quiet /norestart
à condition d'avoir XP SP2 au minimun d'installé !
 
Bon courage

Content de voir que moi aussi je ne suis pas le seul.
C'est clair que si on avait un serveur WSUS ça aurait été mieux mais bon c'est trop tard...
 
Concernant le script d'ouverture de session, je suppose qu'il faut etre admin pour l'installer? Un utilisateur non-admin qui demarre ne pourra pas l'installer?
 

Une question : Vous n'avez pas de pare feu sur les PC en interne ? Un pare feu qui contrôlerait le checksum de chaque application sortante ?
 
Si j'ai bien compris, un poste a été contaminé en interne par mail (par exemple) et il se répand sur le réseau, c'est ça ? Il remplace le fichier svchost ?

Non pas de pare-feu interne car ça bloque l'administration à distance.

Un parefeu en interne est loin d'etre indispensable, meme si les fournisseurs sécu tendent à y pousser.
De plus, dans le cas de ce virus (ou plutot ver, mais bon, c'est pas l'objet), un FW est inutile, puisque le ver exploite une faille de sécu dans le service server (le fameux porocess svhost.exe) qui aurait été ouvert dans le FW.
"un parefeu qui controlerait le checksum de chaque applic sortante"
gni ??

les pare feu perso, génèrent un MD5/SHA1 de l'exe qui ouvre le port. Si celui-ci change, plus de connexion.
Ca permet d'éviter qu'un virus/autre remplace une appli autorisée et se voit alors un accès au net.
 
Mais bon, c'est un peu chiant, pour chaque mise à jour et ça protège pas toutes les DLL sous-jacente

Pour pouvoir partager des dossiers, des imprimantes, être dans un domaine, ... le firewall doit pouvoir laisser passer en entrée/sortie le protocole RPC sur les ports 445 et 139.  
Même avec un simple firewall installé, sur un réseau local de confiance, un système d'exploitation windows non à jour est vulnérable à ce type d'attaque.
 
Néanmoins, comme le dit Je@nb un bon firewall reste quand même utile pour les autres types d'attaques sur un réseau local de confiance par prévention.
(évite les PC avec des IP non autorisés, analyse le protocole s'il est conforme, attaque DDos, verif. cheksum, empreintes logiciels, ...) juste le minimum ...
 
Certains anti-virus à jour peuvent le "freiner" même si le système d'exploitation ne l'était pas après plusieurs jours.
 
On ne se demande pas "Quand" mais plutôt "Comment" vais-je réparer en un minimum de temps à toutes éventualités.
Peut-être faut-il revoir un minimum sa politique de sécurité ?
 
IDS, filtrages, anti-virus, serveur WSUS, ... pour un minimum de prévention ...
Oui, pas facile à entendre ...

Il n'y a pas de sécurité efficace à 100% dans le cadre de l'utilisation de micro ordinateurs sur un réseau d'Ent°.
 
Après il faut voir si l'admin est bon (si il existe déjà ), et quel niveau de risque il est prêt à courir, quels moyens on lui donne, tant matériels que politique. Mais je rejoins globalement Je@nb et mmc.
 
Perso, sur les réseaux que j'ai installé, c'était un nt serveur tse, avec des postes terminaux graphiques simples.
 
Après, il y a des cas où ce n'est pas possible, on a besoin de micros, alors il faut sécuriser à fond. Pas de netbios qui circule sur les réseaux pour commencer, un simple partage de 445, adresse ip en dur associée par leur MACs, des restrictions drastiques de communication (en gros, tout ce qui n'est pas explicitement autorisé est strictement interdit), un masque réduit au stricte nécessaire, des droits très limités sur chaque poste, pas d'installation d'applications tierces, un contrôle régulier des postes et de leurs historiques, et programmes, etc.
 
Enfin bon, j'ai toujours été paranoïaque en sécurité réseau, et pour moi, un pc même en interne doit absolument avoir un FW ! Enfin je pense que la sécurité d'un réseau d'une entreprise est un job à part entière.  
 
Ne pas en être conscient c'est forcément se diriger à plus ou moins long terme à un crash qui pourrait être fatal à la société
 
C'est pareil en ce qui concerne la politique de sauvegarde des données.
 
Je veux pas critiquer, hein, je ne connais pas les besoins et les nécessités des ENT° concernées et ça fait un bout de temps que j'ai quitté le domaine de la sécurité des réseaux informatiques, mais, comme dirait ma petite dernière : "feusé gaffe !!!"
 
C'est un très gros boulot si ça doit être fait de manière correcte, et beaucoup d'ENT° ne se rendent pas compte à quel point elles sont dépendantes de leur outil informatique. Le prix à payer pour une bonne sécurisation est élevé, mais c'est un investissement. Il faut gérer cela, pas juste penser que ça n'arrive qu'aux autres, et je le redis, l'informatique dans une société, c'est un travail à part entière. Mais il faut y penser avant
 
cordialement.

Sur le principe, je suis plus que d'accord.
La gestion de la sécurité informatique est primordiale dans une société. Tu parles de politique de backup, et la je t'appuies 3x.
Et effectivement, "la sécurité n'est pas un objectif, c'est un processus" ...
Par contre, sur les moyens, je ne peux pas être d'accord avec toi.
Oui, dans une PME de 10 PC c'est gérable. Mais dans un vrai réseau, tu ne pourras jamais te permettre ce genre de choses (IP et MAC statiques .. bonjours la flexibilité). Ca me fait penser aux pseudo paranos qui sécurisent le WIFI avec filtrage MAC et tout, parce que ca a l'air super dur, alors que c'est pipo.
Pas de netbios, c'est normal.
tout en TSE ?? bonjour le serveur derrière. FW sur les workstation c'est pas indispensable, et je le redis, inutile dans ce cas précis.
Le problème ici est que quelqu'un a pu connecter son PC perso au réseau, et que ce PC avait le ver. C'est donc plus au niveau du controle d'accès qu'il faut agir....
Mais bon, le débat sur la sécu des réseaux est eternel.
quelle que soit la solution, le plus important est d'avoir conscience de la nécessité de la sécu.
Maintenant, grace à ce problème, il va pouvoir chiffrer la perte, et aller voir son DSI pour pouvoir se voir allouer un petit budget sécu, pour mettre en place a ssez rapidement un serveur WSUS, et restrucuturer 2 - 3 petites choses...

Néanmoins, ce patch est disponible depuis plus d'un mois. Et ce n'est pas une attaque 0 days. Sur ce coup là, seul l'admin ne peut que se mordre les doigts.

 
 
Oh que oui, il y a mille est une façon d'envisager la sécurité Je suis tout à fait d'accord avec ce ue tu viens de dire
 
Normalement sur mes réseaux, il n'y a pas d'IP libre, le masque doit être étudié pour ne pas offrir plus d'ip que ce dont on a besoin. et chaque accès sur le lan par une ip/mac inconnue doit déclencher une alerte de sécu. C'est un très gros travail, mais une bonne installation, bien étudiée en fonction de l'Ent° est finalement assez facilement modifiable. On ne change pas un PC toutes les semaines, et en général, il y en a déjà un de près dans les locaux à remplacer celui qui tombe en panne (logicielle ou matérielle la panne). Enfin bon, c'est pour cela que je dis que c'est un métier où on bosse la majorité du temps en dehors des heures d'ouverture de la société ; J'ai bien des anecdotes là dessus
 
Et qui plus est, chaque ENT° a des besoins et des nécessités particuliers. Ce n'étaient que mes solutions à moi, et je me doute bien que d'autres choix étaient possibles. Il est vrai que les utilisateurs n'étaient pas forcément heureux que je réduise les possibilités d'avoir des jeux ou les possibilités de surf etc. Mais un contrôle a distance des postes et des logiciels installés est redoutable -> avertissement puis sanction ; les mails filtrés des pièces jointes, avertissement de ne pas utiliser le matériel de la société à des fins personnelles, etc. C'est tout un travail en amont aussi ; il faut éduquer les gens et leur expliquer pourquoi on fait ceci ou cela, qu'ils risquent un chômage technique par leur mauvaise utilisation de leur outils et éventuellement des poursuites leur expliquer ce que c'est la sécurité informatique, leur expliquer leur outil, le pc, c'est souvent négligé dans une société, on pense que les gens savent se servir d'un PC, comme si c'était un simple stylo, personne ne vous briefe sur un stylo quand vous arrivez dans une Ent°, c'est relativement normal, mais un PC, même si c'est devenu un objet d'utilisation courante, ça n'en reste pas moins un outil extrêmement complexe et très sensible qui rend la société vulnérable.
 
Tout en TSE, y'avait pas qu'un serveur derrière Et je n'ai jamais géré plus d'une cinquantaine de postes, j'ai toujours refusé les grands comptes Je préfère le contact avec le dirigeant plutôt qu'avec des intermédiaires. Mais ça c'est pour la petite histoire, ça n'a pas grand chose à voir avec le sujet
 
Cordialement

mmc a écrit :

 
Bah tu sais, je suis un vieux de la vieille Je ne suis pas soumis aux exigences et contraintes que rencontrent les nouveaux, je choisis, j'ai toujours choisis, enfin je choisissais, je ne travaille plus dans ce domaine C'est plus facile pour moi Mais j'ai toujours réfléchis à long terme, et ça va faire près de 30 ans que je fais de l'informatique Et l'éducation, dans tous les domaines, me paraît préférable à toute autre alternative, même si c'est un investissement, c'est un investissement très couteux, mais d'une incroyable rentabilité.
 
Après, il y a ceux qui "voient" et les autres... C'est bien dommage pour ceux qui ont de bonnes intentions mis qui se mettent des œillères sur certains points en serrant les fesses en disant : "Ça va passer, ça va passer,..." Voire pire, qui disent ça n'a aucune importance, vous racontez des conneries !
 
Bref j'étais parti pour raconter une histoire comme j'ai la faiblesse de m'y laisser aller trop souvent, mais juste pour dire que ce n'est pas facile forcément de justifier la sécurisation d'un réseau en tant que professionnel car les responsables de la société n'ont souvent aucune idée du danger de la permissivité du réseau de leur Ent° et à quel point ils en sont tributaires ! Ils n'ont aucune conscience du fait que leur boite peut fermer et mettre au chômage tous leurs employés et sous-traitants à cause d'un problème informatique, et j'en ai déjà rencontré le cas.
 
C'est bien sûr un cas extrême, mais ça arrive, après il faut former ceux qui décident et leur mettre toutes les cartes en main pour qu'ils prennent leur décision en connaissance de cause. Il y a une sacré différence entre un admin informatique avec tout pouvoir avec un budget bien étudié et un employé dont c'est une "tâche en plus". Après bien sûr chaque société a des besoins particuliers des contraintes spécifiques, hein, ce n'est pas une vérité figée et absolue. Mais l'informatique d'une ENT° dans son intégralité doit faire l'objet d'un poste dans le budget, hors de question d'acheter des PC comme on achète une photocopieuse. Mais c'est parfois tellement difficile à faire comprendre

Pour déployer rapidement, pourquoi ne pas utiliser psexec de Sysinternal
 
http://technet.microsoft.com/en-us [...] 97553.aspx
 
çà marche bien. il faut que le virus n'a pas viré certains services qui te permette l'admin à distance: genre IPC$, registre à distance....

 
Ca peut quand même aider si, dans ma boite actuelle par exemple l'acces au service server (et RPC & co) des stations n'est autorisé que depuis la plage d'IP utilisée par le service info (c'est possible juste avec le firewall de windows + administration centralisée par GPO) : un PC vérolé d'un utilisateur pourra difficilement aller infecter les autres postes utilisateurs par le LAN. Apres les serveurs de fichiers windows ont evidemment intérêt a être patchés eux

Point de vue intéressant ...
J'en prends note, vu que les PC infos sont dans un vlan a part, ca peut etre dans le domaine du posible ...
A garder sous le coude comme idée.

Vous etes dans qu'elle boite sans indiscrétion la mienne aussi est touché je suis resté toute la journée dans un labo ...  
Nous aparament on a une variante pas de fix encore ...  
Si vous avez une précédure par hasard vous pouvez me MP pour demain sa serait super je vais retournée sur place faire des tests ..

Pour infos, chez nous, le virus ce propage par Clé USB port 445 bloqué...  
 
Il crée un autorun.inf a la racine de la clé
un dossier "recycler" avec un sous dossier S-S-23234-12342....... et dedans un fichier .vmx.
Modifie une clé de la BDR
Crée un service...(me rappel plus de son nom)

Quand je dis que c'est la faute des admins et de leurs responsables, c'est pas pour rien !
 
Il ne devrait pas y avoir de possibilité d'introduire des fichiers dans le systèmes qui n'aient été contrôlés par les responsables...

On a Un norton sur le site, il n'est pas patché pour qu'il scan les entrées usb
 
car nous avons des périphérique du type : douchette (scan code barre)  
 
Donc les clés .....  
 
Aprés les admins je sais pas s'il y sont pour quelques chose, je n'ai pas vue beaucoup de site différents dans  ma vie mais celui la comporte 6000 postes informatiques et donc c'est pas simple non plus  
 

C'est quand même curieux puisque normalement, un bon anti-virus, scan toutes les lectures / écritures, non ?
 
6000 postes, c'est vrai que c'est quelque chose de très gros par rapport à ce que j'ai eu a géré (jamais plus de 400 postes si je me souviens bien) Mais y'a pas un service informatique qui intercepte les PC à la livraison pour les "brider" ?
 
Enfin, je me doute que ça doit être galère, mais c'est encore le même principe, si l'Ent° ne mets pas les moyens pour gérer le parc informatique elle se retrouve fatalement en face de problèmes qui auraient dû êtres résolus à la source, qui n'auraient jamais dû arriver jusqu'à l'utilisateur final.
 
Ce sont des politiques de gestion où on privilégie le : "ça n'arrive qu'aux autres" et on gère comme on peut quand ça débarque. Ça semble moins onéreux au départ, mais en cas de clash, les retombées sont énormes !

Pour insoler un domaine Microsoft il y a aussi la possibilité de chiffrer le traffic, ça permet de se prémunir de toute attaque d'un PC extérieur branché sur le LAN.
(mais pas d'un PC du LAN infecté)

bon bah je viens de l'avoir cte merde.....
j'men fous mais jvoudrais juste voir à quel niveau le parc est infecté...
comment je vois ça ?
des idées ?
 
J'ai lu qu'il faut désactiver la gestion "autorun". Ya les méthodes pour faire ça pas de souci par contre y a  
cette variable "HonorAutorunSetting"  
http://support.microsoft.com/kb/953252
 
Mais je comprends pas à quoi elle sert cette Maj XP et cette variable "nouvelle" dans le registre...
 
Z'avez des explications parce que le truc de Microsoft, je comprends rien
 
Merci

Salut, relance de la discution :  
 
Tu peux par GPO interdire le lancement des autorun.inf lorsque ta clé est reconnu par l'os mais lorsqu'un utilisateur quel qu'il soit lance sa clé en double cliquant... et bien l'autorun ce lance ...  
 
a mon avis le patch désactive ce processus.
 
Avez vous des moyens a cette heure qui permette de contenir le Ver car l'éradication n'est toujours pas d'actualiter
 
avez vous regarder les : "at" (taches planifiées)
LE par feu est configuré comment ?  
Est ce qu'il passe les Vlan ?  
 
Merci

up

personne ?

Vraiment rien ?

alors ?