[VIR] /!\ ATTENTION /!\

Xatac · Post by **Xatac** » 12 Aug 2003 - 09:57:56

Suite du post !!

C'est une vrai orgie de ver sur le net !!!!!!!!!

Ca fait deja je sais pas cb de pc que je repare (malgrés aucun corectif eliminent definitivement ce vers!!!).

Apparament ca viendrait directement des sites visitez fait une maj norton pour kil chope le lien.

Alors gaffe ..........

10 h40 :Si ca continue malgrés le patch ouvrez msconfig et viré msblast.exe

Pour le moment apres le patch j'ai trouver que ca de bien

11h13 : voila le mode a suivre en esperant un resultat
http://securityresponse.symantec.com/av ... .worm.html

Yabo · Post by **Yabo** » 12 Aug 2003 - 14:33:31

PC CILLIN à mit un patch dispo tôt ce matin que j'ai dwl mais de toute façon mon firewall veille au grain

Post by **Shub** » 13 Aug 2003 - 01:16:09

Aujourd'hui, beaucoup d'entre vous ont sûrement dû constater des redémarrages intempestifs de Windows 2000/XP.

Il s'agit en fait d'un worm (virus à retardement se répandant par le réseau et se déclenchant à une certaine date) du nom de "W32.Blaster.Worm".

Il profite d'une faille de sécurité de type buffer overflow dans le RPC (Remote Procedure Call) de Windows 2000/XP. Il existe un correctif sur le site de Microsoft que vous pouvez télécharger à ces adresses :

* Patch pour Windows 2000
http://microsoft.com/downloads/details. ... 0354449117
* Patch pour Windows XP
http://www.microsoft.com/downloads/deta ... layLang=fr

La faille est également documentée sur cette page (en anglais).

Il vous faudra effacer toutes les références à "W32.Blaster.Worm" ou "msblast" dans la base de registre et effacer les fichiers concernés. Car si votre PC est patché, msblast pourra cependant encore se répandre chez d'autres personnes en utilisant votre PC.

Si vous utilisez Windows Update régulièrement, votre OS doit logiquement être déjà patché.

Il est également possible d'arrêter la séquence de reboot dans la minute en tapant dans le menu démarrer > exécuter la commande : "shutdown -a"

Symantec vient de mettre en ligne un utilitaire de désinfection gratuit contre "W32.Blaster.Worm". Il est disponible ici.
http://securityresponse.symantec.com/av ... .tool.html

Explication du virus ici
http://securityresponse.symantec.com/av ... .worm.html

Source presence PC et moi même

Steelskinz · Post by **Steelskinz** » 13 Aug 2003 - 07:10:39

Le service DCOM par lequel transite la faille, est désactivé
par défaut sous 95/98/Me.

Windows NT4 Workstation / NT4 Server :
http://download.microsoft.com/download/ ... 23980i.exe

Windows NT4 TSE :
http://download.microsoft.com/download/ ... 23980i.exe

Windows2000 :
http://download.microsoft.com/download/ ... 86-FRA.exe

Windows XP 32 bits:
http://download.microsoft.com/download/ ... 86-FRA.exe

Windows XP 64 bits:
http://download.microsoft.com/download/ ... 64-FRA.exe

Windows Server 2003 32 bits:
http://download.microsoft.com/download/ ... 86-FRA.exe

Windows Server 2003 64 bits:
http://download.microsoft.com/download/ ... 64-FRA.exe

Pour tester son port 135 :
https://grc.com/x/portprobe=135 ( Utile pour tester son Firewall en passant )
Celui-ci doit afficher "Stealth"

Pour fermer le port 135 par le Registre :
"Démarrer", "Exécuter" puis taper "REGEDIT" et Entrée.
Dans la clé HKEY_LOCAL_MACHINE, aller sur Software\Microsoft\OLE. Y chercher
la valeur "EnableDCOM". Lorsque celle-ci est activée, la lettre "Y" est affichée. Pour l'arrêter, changez la en "N". Redémarrez ensuite votre machine.

pharaonix · Post by **pharaonix** » 16 Aug 2003 - 19:27:57

attention cest reparti, tes prêt xatak??? :=)

Nos amis de Krosoft On les changera JAmais Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé la découverte d'une nouvelle modification du ver ' Lovesan ' (aussi connu sous le nom de "Blaster"). Kaspersky Labs pronostique une nouvelle épidémie, dans les heures qui viennent, car les deux modifications de "Lovesan" peuvent coexister sans difficultés sur le même ordinateur.

' En résumé, tous les ordinateurs infectés par la version originale du ver vont bientôt être attaqués par sa nouvelle version. En prenant en considération, que la quantité de systèmes infectés atteint maintenant 300 000, la récidive de l'épidémie signifie au moins le doublement de ce nombre, ce qui va avoir des conséquences imprévisibles. Dans le pire des cas la communauté mondiale s'attend à la répétition de la situation de janvier 2003, quand à cause du ver "Slammer" Internet avait été énormément ralenti, allant même jusqu'à être totalement paralysé dans certaines régions ' a commenté Eugène Kaspersky, le chef des études antivirales de Kaspersky Labs.

D'un point de vue technologique, cette modification de "Lovesan" ne se distingue en rien de la version originale. Les changements concernent seulement le nom du fichier - porteur (TEEKIDS.EXE à la place de MSBLAST.EXE), la technologie de compression utilisée (l'utilitaire FSG au lieu de UPX) et les lignes de texte à l'intérieur du code du programme qui désormais se moquent ouvertement de Microsoft ainsi que de plusieurs sociétés d'antivirus. Pour les utilisateurs de Kaspersky Anti-Virus, la menace n'est pas grande. Avec tous les produits de Kaspersky Labs , la neutralisation de la nouvelle version de "Lovesan" se fera automatiquement, sans mise à jour supplémentaire.

Le lien d'origine

ici

Yabo · Post by **Yabo** » 16 Aug 2003 - 19:52:19

Je me demande toujours si c'est pas les sociétés d'AV qui font les virus parce'que je suis désolé mais si cette phrase :

Pour les utilisateurs de Kaspersky Anti-Virus, la menace n'est pas grande. Avec tous les produits de Kaspersky Labs , la neutralisation de la nouvelle version de "Lovesan" se fera automatiquement, sans mise à jour supplémentaire.

Ca fait pas penser à un énorme coup de pub pour Kaspersky anti-virus ...

Bon je sais que c'est capilo-tracté mais on sait jamais !!!

pharaonix · Post by **pharaonix** » 19 Aug 2003 - 10:50:17

nnnnnnnnnnnnaaaaaaaaaaaaaaaaaaaaannnnnnnnnnnnnnnnn je l'ai sur mon portable! je comprend pas, ce matin, je freeze et je kill un processus ccapp.exe, et hop faille rpc reboot dans 1 min, je peux rien faire.
je me dis **censuré**, chuis infecté.
1 ccapp cest la surveillance (la deuxieme) de norton antivirus et je l'ai desactivé

donc jetais protégé par norton
2 jai verifié et jai le patch de microsft, mais ca a rien , il sert a quoi ce patch.
3 je regarde dans le registre, lentrée de blast, comme par hasard aucune
4 je regarde dans windows, pas de blast.exe ou autre
5 je scanne tout le disque et hop rien du tout non plus.

et pourtant cest bien la petite fenetre du virus que jai vu sur internet.
je comprend pas, cest quoi cet m****

Yabo · Post by **Yabo** » 19 Aug 2003 - 13:40:31

Prends l'utilitaire de symantec il est très très efficace. J'étais infecté mais PC Cillin l'a foutu en quarantaine et symantec l'a butté. Ensuite j'ai installé le SP4 de win2K avec la maj spécial pour boucher la faille.

Xtazy · Post by **Xtazy** » 19 Aug 2003 - 15:37:20

bonne nouvelle pour tout le monde, un vers a ete concu specialement pour detruire le vers blaster, il utilise la meme faille que celui-ci, il detruit le vers, telecharge le correctif de la faille et est reglé a s'autodetruire pour le 1er juillet 2004.

pharaonix · Post by **pharaonix** » 19 Aug 2003 - 17:11:36

oula tes pas a jour toi

depuis il ya eu blaster C avec les exe penis32.exe et un autre et ensuite le blaster D qui telecharge le patch ,mais celui ne marche deja plus. il se connectait a des liens microsoft mais ils se sont amusés a les changer, et malheuresement, le petit virus de 10ko(le D) n'a pas de moteur de recherche google intégré

mais je sens qu'une nouvelle version va pas tarder a sortir, nempeche que pour une fois, microsoft, ils auraient pu le laisser faire car cest evidement un autre gars qui l'a fait.

Xtazy · Post by **Xtazy** » 19 Aug 2003 - 17:20:35

Un nouveau "bon" ver (Nachi) vient de faire son apparition sur la toile. Sa mission est d’éliminer le fameux Blaster (LovSan) et se propage sur Internet en utilisant la même faille de sécurité que ce dernier.

Sa mission est de nettoyer les PC infectés par Blaster, il s’installe et détruit le ver Blaster puis télécharge le correctif de Microsoft pour la faille RPC.

Ce ver a été programmé pour s’autodétruire le 1er janvier 2004...

Paradoxalement, il a tendance à ralentir les connexions Internet et d'exploiter les ressources matérielles des ordinateurs contaminés.

On ne peut pas tout avoir...

NEws du site http://www.Impact-hardware.com envoyé aujourd'hui

pharaonix · Post by **pharaonix** » 19 Aug 2003 - 22:17:21

oula, je sais mais ya deja eu la newsletter de microsoft avant hier et on ma montré sur http://www.trendmicro.com (cet aprem) que je connaissais meme pas.
Et puis le temps que tout le monde le sache... yen a qui vont revenir de vacances sans savoir quil y a eu une serie de virus. leur becane se sera fait infectée puis guerie pendant leur absence

Yabo · Post by **Yabo** » 19 Aug 2003 - 22:32:33

http://www.trendmicro.com -> le site de mon AV (Trend Micro PC Cillin) -> Le meilleur AV

Xtazy · Post by **Xtazy** » 20 Aug 2003 - 00:49:10

Oué donc en gros si je comrpend bien ils nous balances des vers sois disant (correctifs) tout les 30minutes ??? tsss au moin on a pas se genre de prob avec linux lol

Pyrrha · Post by **Pyrrha** » 07 Sep 2003 - 18:34:59

y a pa un moyen d'neelver la creation d1 po1 de restoration systeme pour le patch de crosft paske ca me fait buggé... ou alors ca reste tres tres tres tres [...] tres longtemps au meme point