[VIR] /!\ ATTENTION /!\
Moderators: Shub, Administrateurs - Adjoint, Modérateur, Administrateur, Global Moderator
[VIR] /!\ ATTENTION /!\
Suite du post !!
C'est une vrai orgie de ver sur le net !!!!!!!!!
Ca fait deja je sais pas cb de pc que je repare (malgrés aucun corectif eliminent definitivement ce vers!!!).
Apparament ca viendrait directement des sites visitez fait une maj norton pour kil chope le lien.
Alors gaffe ..........
10 h40 :Si ca continue malgrés le patch ouvrez msconfig et viré msblast.exe
Pour le moment apres le patch j'ai trouver que ca de bien
11h13 : voila le mode a suivre en esperant un resultat
http://securityresponse.symantec.com/av ... .worm.html
C'est une vrai orgie de ver sur le net !!!!!!!!!
Ca fait deja je sais pas cb de pc que je repare (malgrés aucun corectif eliminent definitivement ce vers!!!).
Apparament ca viendrait directement des sites visitez fait une maj norton pour kil chope le lien.
Alors gaffe ..........
10 h40 :Si ca continue malgrés le patch ouvrez msconfig et viré msblast.exe
Pour le moment apres le patch j'ai trouver que ca de bien
11h13 : voila le mode a suivre en esperant un resultat
http://securityresponse.symantec.com/av ... .worm.html
Last edited by Xatac on 12 Aug 2003 - 10:14:17, edited 1 time in total.
"Quand l'homme surpasse les dieux...."[br]"Les dieux leur accordent certaines choses"[br]<color>[br]
[VIR] /!\ ATTENTION /!\
PC CILLIN à mit un patch dispo tôt ce matin que j'ai dwl mais de toute façon mon firewall veille au grain
[VIR] /!\ ATTENTION /!\
Aujourd'hui, beaucoup d'entre vous ont sûrement dû constater des redémarrages intempestifs de Windows 2000/XP.
Il s'agit en fait d'un worm (virus à retardement se répandant par le réseau et se déclenchant à une certaine date) du nom de "W32.Blaster.Worm".
Il profite d'une faille de sécurité de type buffer overflow dans le RPC (Remote Procedure Call) de Windows 2000/XP. Il existe un correctif sur le site de Microsoft que vous pouvez télécharger à ces adresses :
* Patch pour Windows 2000
http://microsoft.com/downloads/details. ... 0354449117
* Patch pour Windows XP
http://www.microsoft.com/downloads/deta ... layLang=fr
La faille est également documentée sur cette page (en anglais).
Il vous faudra effacer toutes les références à "W32.Blaster.Worm" ou "msblast" dans la base de registre et effacer les fichiers concernés. Car si votre PC est patché, msblast pourra cependant encore se répandre chez d'autres personnes en utilisant votre PC.
Si vous utilisez Windows Update régulièrement, votre OS doit logiquement être déjà patché.
Il est également possible d'arrêter la séquence de reboot dans la minute en tapant dans le menu démarrer > exécuter la commande : "shutdown -a"
Symantec vient de mettre en ligne un utilitaire de désinfection gratuit contre "W32.Blaster.Worm". Il est disponible ici.
http://securityresponse.symantec.com/av ... .tool.html
Explication du virus ici
http://securityresponse.symantec.com/av ... .worm.html
Source presence PC et moi même
Il s'agit en fait d'un worm (virus à retardement se répandant par le réseau et se déclenchant à une certaine date) du nom de "W32.Blaster.Worm".
Il profite d'une faille de sécurité de type buffer overflow dans le RPC (Remote Procedure Call) de Windows 2000/XP. Il existe un correctif sur le site de Microsoft que vous pouvez télécharger à ces adresses :
* Patch pour Windows 2000
http://microsoft.com/downloads/details. ... 0354449117
* Patch pour Windows XP
http://www.microsoft.com/downloads/deta ... layLang=fr
La faille est également documentée sur cette page (en anglais).
Il vous faudra effacer toutes les références à "W32.Blaster.Worm" ou "msblast" dans la base de registre et effacer les fichiers concernés. Car si votre PC est patché, msblast pourra cependant encore se répandre chez d'autres personnes en utilisant votre PC.
Si vous utilisez Windows Update régulièrement, votre OS doit logiquement être déjà patché.
Il est également possible d'arrêter la séquence de reboot dans la minute en tapant dans le menu démarrer > exécuter la commande : "shutdown -a"
Symantec vient de mettre en ligne un utilitaire de désinfection gratuit contre "W32.Blaster.Worm". Il est disponible ici.
http://securityresponse.symantec.com/av ... .tool.html
Explication du virus ici
http://securityresponse.symantec.com/av ... .worm.html
Source presence PC et moi même
Shub
--==§§==-- TRAINERS CITY --==§§==--
Visit my youtube channel
>> Never argue with an idiot. They drag you down to their level and then beat you with experience! <<
>> If you can ... cheat. If you can't ... try harder! <<
>> Quand on voit ce qu'on voit, et qu'on entend ce qu'on entend, on a bien raison de penser ce qu'on pense... <<
>> L'avenir appartient à ceux qui se lèvent tôt, c'est une connerie. Prenez les éboueurs... (Jean Yanne) <<
>> Quand on pense qu'il suffirait que les gens n'achètent plus de saloperies pour que ça ne se vende pas ! <<
>>Ils ne savaient pas que c'était impossible, alors ils l'ont fait. (Mark Twain) <<
-
- Global Moderator
- Posts: 882
- Joined: 22 Oct 2002 - 14:37:03
- Location: France
[VIR] /!\ ATTENTION /!\
Le service DCOM par lequel transite la faille, est désactivé
par défaut sous 95/98/Me.
Windows NT4 Workstation / NT4 Server :
http://download.microsoft.com/download/ ... 23980i.exe
Windows NT4 TSE :
http://download.microsoft.com/download/ ... 23980i.exe
Windows2000 :
http://download.microsoft.com/download/ ... 86-FRA.exe
Windows XP 32 bits:
http://download.microsoft.com/download/ ... 86-FRA.exe
Windows XP 64 bits:
http://download.microsoft.com/download/ ... 64-FRA.exe
Windows Server 2003 32 bits:
http://download.microsoft.com/download/ ... 86-FRA.exe
Windows Server 2003 64 bits:
http://download.microsoft.com/download/ ... 64-FRA.exe
Pour tester son port 135 :
https://grc.com/x/portprobe=135 ( Utile pour tester son Firewall en passant )
Celui-ci doit afficher "Stealth"
Pour fermer le port 135 par le Registre :
"Démarrer", "Exécuter" puis taper "REGEDIT" et Entrée.
Dans la clé HKEY_LOCAL_MACHINE, aller sur Software\Microsoft\OLE. Y chercher
la valeur "EnableDCOM". Lorsque celle-ci est activée, la lettre "Y" est affichée. Pour l'arrêter, changez la en "N". Redémarrez ensuite votre machine.
par défaut sous 95/98/Me.
Windows NT4 Workstation / NT4 Server :
http://download.microsoft.com/download/ ... 23980i.exe
Windows NT4 TSE :
http://download.microsoft.com/download/ ... 23980i.exe
Windows2000 :
http://download.microsoft.com/download/ ... 86-FRA.exe
Windows XP 32 bits:
http://download.microsoft.com/download/ ... 86-FRA.exe
Windows XP 64 bits:
http://download.microsoft.com/download/ ... 64-FRA.exe
Windows Server 2003 32 bits:
http://download.microsoft.com/download/ ... 86-FRA.exe
Windows Server 2003 64 bits:
http://download.microsoft.com/download/ ... 64-FRA.exe
Pour tester son port 135 :
https://grc.com/x/portprobe=135 ( Utile pour tester son Firewall en passant )
Celui-ci doit afficher "Stealth"
Pour fermer le port 135 par le Registre :
"Démarrer", "Exécuter" puis taper "REGEDIT" et Entrée.
Dans la clé HKEY_LOCAL_MACHINE, aller sur Software\Microsoft\OLE. Y chercher
la valeur "EnableDCOM". Lorsque celle-ci est activée, la lettre "Y" est affichée. Pour l'arrêter, changez la en "N". Redémarrez ensuite votre machine.
- pharaonix
- Lieutenant Colonel
- Posts: 1189
- Joined: 04 Oct 2002 - 19:54:51
- Location: au pantheon des dieux
- Contact:
[VIR] /!\ ATTENTION /!\
attention cest reparti, tes prêt xatak??? :=)
Nos amis de Krosoft On les changera JAmais Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé la découverte d'une nouvelle modification du ver ' Lovesan ' (aussi connu sous le nom de "Blaster"). Kaspersky Labs pronostique une nouvelle épidémie, dans les heures qui viennent, car les deux modifications de "Lovesan" peuvent coexister sans difficultés sur le même ordinateur.
' En résumé, tous les ordinateurs infectés par la version originale du ver vont bientôt être attaqués par sa nouvelle version. En prenant en considération, que la quantité de systèmes infectés atteint maintenant 300 000, la récidive de l'épidémie signifie au moins le doublement de ce nombre, ce qui va avoir des conséquences imprévisibles. Dans le pire des cas la communauté mondiale s'attend à la répétition de la situation de janvier 2003, quand à cause du ver "Slammer" Internet avait été énormément ralenti, allant même jusqu'à être totalement paralysé dans certaines régions ' a commenté Eugène Kaspersky, le chef des études antivirales de Kaspersky Labs.
D'un point de vue technologique, cette modification de "Lovesan" ne se distingue en rien de la version originale. Les changements concernent seulement le nom du fichier - porteur (TEEKIDS.EXE à la place de MSBLAST.EXE), la technologie de compression utilisée (l'utilitaire FSG au lieu de UPX) et les lignes de texte à l'intérieur du code du programme qui désormais se moquent ouvertement de Microsoft ainsi que de plusieurs sociétés d'antivirus. Pour les utilisateurs de Kaspersky Anti-Virus, la menace n'est pas grande. Avec tous les produits de Kaspersky Labs , la neutralisation de la nouvelle version de "Lovesan" se fera automatiquement, sans mise à jour supplémentaire.
Le lien d'origine
ici
Nos amis de Krosoft On les changera JAmais Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé la découverte d'une nouvelle modification du ver ' Lovesan ' (aussi connu sous le nom de "Blaster"). Kaspersky Labs pronostique une nouvelle épidémie, dans les heures qui viennent, car les deux modifications de "Lovesan" peuvent coexister sans difficultés sur le même ordinateur.
' En résumé, tous les ordinateurs infectés par la version originale du ver vont bientôt être attaqués par sa nouvelle version. En prenant en considération, que la quantité de systèmes infectés atteint maintenant 300 000, la récidive de l'épidémie signifie au moins le doublement de ce nombre, ce qui va avoir des conséquences imprévisibles. Dans le pire des cas la communauté mondiale s'attend à la répétition de la situation de janvier 2003, quand à cause du ver "Slammer" Internet avait été énormément ralenti, allant même jusqu'à être totalement paralysé dans certaines régions ' a commenté Eugène Kaspersky, le chef des études antivirales de Kaspersky Labs.
D'un point de vue technologique, cette modification de "Lovesan" ne se distingue en rien de la version originale. Les changements concernent seulement le nom du fichier - porteur (TEEKIDS.EXE à la place de MSBLAST.EXE), la technologie de compression utilisée (l'utilitaire FSG au lieu de UPX) et les lignes de texte à l'intérieur du code du programme qui désormais se moquent ouvertement de Microsoft ainsi que de plusieurs sociétés d'antivirus. Pour les utilisateurs de Kaspersky Anti-Virus, la menace n'est pas grande. Avec tous les produits de Kaspersky Labs , la neutralisation de la nouvelle version de "Lovesan" se fera automatiquement, sans mise à jour supplémentaire.
Le lien d'origine
ici
Last edited by pharaonix on 16 Aug 2003 - 19:29:04, edited 1 time in total.
Pharaonix
--==§§==-- TRAINERS CITY --==§§==--
[VIR] /!\ ATTENTION /!\
Je me demande toujours si c'est pas les sociétés d'AV qui font les virus parce'que je suis désolé mais si cette phrase :
Bon je sais que c'est capilo-tracté mais on sait jamais !!!
Ca fait pas penser à un énorme coup de pub pour Kaspersky anti-virus ...Pour les utilisateurs de Kaspersky Anti-Virus, la menace n'est pas grande. Avec tous les produits de Kaspersky Labs , la neutralisation de la nouvelle version de "Lovesan" se fera automatiquement, sans mise à jour supplémentaire.
Bon je sais que c'est capilo-tracté mais on sait jamais !!!
- pharaonix
- Lieutenant Colonel
- Posts: 1189
- Joined: 04 Oct 2002 - 19:54:51
- Location: au pantheon des dieux
- Contact:
[VIR] /!\ ATTENTION /!\
nnnnnnnnnnnnaaaaaaaaaaaaaaaaaaaaannnnnnnnnnnnnnnnn je l'ai sur mon portable! je comprend pas, ce matin, je freeze et je kill un processus ccapp.exe, et hop faille rpc reboot dans 1 min, je peux rien faire.
je me dis **censuré**, chuis infecté.
1 ccapp cest la surveillance (la deuxieme) de norton antivirus et je l'ai desactivé
donc jetais protégé par norton
2 jai verifié et jai le patch de microsft, mais ca a rien , il sert a quoi ce patch.
3 je regarde dans le registre, lentrée de blast, comme par hasard aucune
4 je regarde dans windows, pas de blast.exe ou autre
5 je scanne tout le disque et hop rien du tout non plus.
et pourtant cest bien la petite fenetre du virus que jai vu sur internet.
je comprend pas, cest quoi cet m****
je me dis **censuré**, chuis infecté.
1 ccapp cest la surveillance (la deuxieme) de norton antivirus et je l'ai desactivé
donc jetais protégé par norton
2 jai verifié et jai le patch de microsft, mais ca a rien , il sert a quoi ce patch.
3 je regarde dans le registre, lentrée de blast, comme par hasard aucune
4 je regarde dans windows, pas de blast.exe ou autre
5 je scanne tout le disque et hop rien du tout non plus.
et pourtant cest bien la petite fenetre du virus que jai vu sur internet.
je comprend pas, cest quoi cet m****
Pharaonix
--==§§==-- TRAINERS CITY --==§§==--
[VIR] /!\ ATTENTION /!\
Prends l'utilitaire de symantec il est très très efficace. J'étais infecté mais PC Cillin l'a foutu en quarantaine et symantec l'a butté. Ensuite j'ai installé le SP4 de win2K avec la maj spécial pour boucher la faille.
[VIR] /!\ ATTENTION /!\
bonne nouvelle pour tout le monde, un vers a ete concu specialement pour detruire le vers blaster, il utilise la meme faille que celui-ci, il detruit le vers, telecharge le correctif de la faille et est reglé a s'autodetruire pour le 1er juillet 2004.
<div>[br][br]<table><font> <font>X</font><font>t</font><font>a</font><font>z</font><font>y </font></table>--==:¤¤:==-- <font>Bouffons City</font> --==:¤¤:==--
- pharaonix
- Lieutenant Colonel
- Posts: 1189
- Joined: 04 Oct 2002 - 19:54:51
- Location: au pantheon des dieux
- Contact:
[VIR] /!\ ATTENTION /!\
oula tes pas a jour toi depuis il ya eu blaster C avec les exe penis32.exe et un autre et ensuite le blaster D qui telecharge le patch ,mais celui ne marche deja plus. il se connectait a des liens microsoft mais ils se sont amusés a les changer, et malheuresement, le petit virus de 10ko(le D) n'a pas de moteur de recherche google intégré
mais je sens qu'une nouvelle version va pas tarder a sortir, nempeche que pour une fois, microsoft, ils auraient pu le laisser faire car cest evidement un autre gars qui l'a fait.
mais je sens qu'une nouvelle version va pas tarder a sortir, nempeche que pour une fois, microsoft, ils auraient pu le laisser faire car cest evidement un autre gars qui l'a fait.
Pharaonix
--==§§==-- TRAINERS CITY --==§§==--
[VIR] /!\ ATTENTION /!\
NEws du site http://www.Impact-hardware.com envoyé aujourd'huiUn nouveau "bon" ver (Nachi) vient de faire son apparition sur la toile. Sa mission est d’éliminer le fameux Blaster (LovSan) et se propage sur Internet en utilisant la même faille de sécurité que ce dernier.
Sa mission est de nettoyer les PC infectés par Blaster, il s’installe et détruit le ver Blaster puis télécharge le correctif de Microsoft pour la faille RPC.
Ce ver a été programmé pour s’autodétruire le 1er janvier 2004...
Paradoxalement, il a tendance à ralentir les connexions Internet et d'exploiter les ressources matérielles des ordinateurs contaminés.
On ne peut pas tout avoir...
<div>[br][br]<table><font> <font>X</font><font>t</font><font>a</font><font>z</font><font>y </font></table>--==:¤¤:==-- <font>Bouffons City</font> --==:¤¤:==--
- pharaonix
- Lieutenant Colonel
- Posts: 1189
- Joined: 04 Oct 2002 - 19:54:51
- Location: au pantheon des dieux
- Contact:
[VIR] /!\ ATTENTION /!\
oula, je sais mais ya deja eu la newsletter de microsoft avant hier et on ma montré sur http://www.trendmicro.com (cet aprem) que je connaissais meme pas.
Et puis le temps que tout le monde le sache... yen a qui vont revenir de vacances sans savoir quil y a eu une serie de virus. leur becane se sera fait infectée puis guerie pendant leur absence
Et puis le temps que tout le monde le sache... yen a qui vont revenir de vacances sans savoir quil y a eu une serie de virus. leur becane se sera fait infectée puis guerie pendant leur absence
Pharaonix
--==§§==-- TRAINERS CITY --==§§==--
[VIR] /!\ ATTENTION /!\
http://www.trendmicro.com -> le site de mon AV (Trend Micro PC Cillin) -> Le meilleur AV
[VIR] /!\ ATTENTION /!\
Oué donc en gros si je comrpend bien ils nous balances des vers sois disant (correctifs) tout les 30minutes ??? tsss au moin on a pas se genre de prob avec linux lol
<div>[br][br]<table><font> <font>X</font><font>t</font><font>a</font><font>z</font><font>y </font></table>--==:¤¤:==-- <font>Bouffons City</font> --==:¤¤:==--
[VIR] /!\ ATTENTION /!\
y a pa un moyen d'neelver la creation d1 po1 de restoration systeme pour le patch de crosft paske ca me fait buggé... ou alors ca reste tres tres tres tres [...] tres longtemps au meme point