Nouveau virus a lire
ssouri7
Messages postés
1490
Statut
Membre
-
ssouri7 Messages postés 1490 Statut Membre -
ssouri7 Messages postés 1490 Statut Membre -
Bonjour/bonsoir,
Il semble qu'une variante du ver Blaster, nommée Sasser (à confirmer) soit apparue, causant à peu de choses près les mêmes dégats, à savoir :
L'apparition d'un message annonçant un compte à rebours avant le redémarrage de l'ordinateur.
Les effets secondaires sont variés :
un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe apparaît dans le dossier d'installation de Windows. Il existe également une variante B ou l'exécutable s'appelle "avserve2.exe" ;
Plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur, pour rappel, on peut voir les processus dans le gestionnaire de tâches ;
La présence d'un fichier C:\WIN.LOG ;
La présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe dans le registre ;
Il effectue des connexions au port TCP 445, et génère du trafic sur les ports TCP 5554 et 9996.
Ce ver exploite une faille de sécurité dans les Windows à noyau NT. La faille exploite le service lsass.exe (c'est un gestionnaire de comptes de sécurité) et permet au choix d'effectuer un Denial of Service qui fait planter le service -> reboot, ou encore d'installer un troyen qui permet le contrôle à distance de la machine infectée.
Un correctif est disponible chez Microsoft, et un pare-feu permet de se protéger des attaques du ver. Après avoir corrigé la faille, vous aurez besoin d'un antivirus pour éradiquer les restants du ver.
Voici le bulletin de sécurité de Microsoft concernant la faille :
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Le correctif pour Windows 2000 français :
http://download.microsoft.com/download/0/1/6/016bd08b-1a0a-4ce6-9c3f-bc1f4ccb1b9b/Windows2000-KB835732-x86-FRA.EXE
Le correctif pour Windows XP français :
http://download.microsoft.com/download/6/2/e/62e5a992-b54b-4d86-88ed-ea06852c5c46/WindowsXP-KB835732-x86-FRA.EXE
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
Si vous n'avez pas d'antivirus, vous pouvez utiliser l'antivirus en ligne de Secuser pour vous en débarrasser :
www.secuser.com/antivirus/
Vous avez également des outils ciblés pour ce ver :
http://vil.nai.com/vil/stinger/
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
Il semble qu'une variante du ver Blaster, nommée Sasser (à confirmer) soit apparue, causant à peu de choses près les mêmes dégats, à savoir :
L'apparition d'un message annonçant un compte à rebours avant le redémarrage de l'ordinateur.
Les effets secondaires sont variés :
un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe apparaît dans le dossier d'installation de Windows. Il existe également une variante B ou l'exécutable s'appelle "avserve2.exe" ;
Plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur, pour rappel, on peut voir les processus dans le gestionnaire de tâches ;
La présence d'un fichier C:\WIN.LOG ;
La présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe dans le registre ;
Il effectue des connexions au port TCP 445, et génère du trafic sur les ports TCP 5554 et 9996.
Ce ver exploite une faille de sécurité dans les Windows à noyau NT. La faille exploite le service lsass.exe (c'est un gestionnaire de comptes de sécurité) et permet au choix d'effectuer un Denial of Service qui fait planter le service -> reboot, ou encore d'installer un troyen qui permet le contrôle à distance de la machine infectée.
Un correctif est disponible chez Microsoft, et un pare-feu permet de se protéger des attaques du ver. Après avoir corrigé la faille, vous aurez besoin d'un antivirus pour éradiquer les restants du ver.
Voici le bulletin de sécurité de Microsoft concernant la faille :
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Le correctif pour Windows 2000 français :
http://download.microsoft.com/download/0/1/6/016bd08b-1a0a-4ce6-9c3f-bc1f4ccb1b9b/Windows2000-KB835732-x86-FRA.EXE
Le correctif pour Windows XP français :
http://download.microsoft.com/download/6/2/e/62e5a992-b54b-4d86-88ed-ea06852c5c46/WindowsXP-KB835732-x86-FRA.EXE
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
Si vous n'avez pas d'antivirus, vous pouvez utiliser l'antivirus en ligne de Secuser pour vous en débarrasser :
www.secuser.com/antivirus/
Vous avez également des outils ciblés pour ce ver :
http://vil.nai.com/vil/stinger/
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
A voir également:
- Nouveau virus a lire
- Lire le coran en français pdf - Télécharger - Histoire & Religion
- Lire epub - Guide
- Lire fichier bin - Guide
- Virus mcafee - Accueil - Piratage
- Lire iso - Guide
2 réponses
le lien pour windows xp en francais ben je l'es mis et dsl mais ca n'y fait rien j'ai tjs le message....
spaike
spaike
as tu tout tenté ?
même ceux là ?
Vous avez également des outils ciblés pour ce ver :
http://vil.nai.com/vil/stinger/
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
même ceux là ?
Vous avez également des outils ciblés pour ce ver :
http://vil.nai.com/vil/stinger/
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
