Virus Lsass.exe
Fermé
kosmic
Messages postés
121
Date d'inscription
mardi 12 juin 2007
Statut
Membre
Dernière intervention
19 mars 2015
-
4 sept. 2008 à 23:48
kosmic Messages postés 121 Date d'inscription mardi 12 juin 2007 Statut Membre Dernière intervention 19 mars 2015 - 5 sept. 2008 à 00:05
kosmic Messages postés 121 Date d'inscription mardi 12 juin 2007 Statut Membre Dernière intervention 19 mars 2015 - 5 sept. 2008 à 00:05
A voir également:
- Lsass.exe virus
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Virus mcafee - Accueil - Piratage
- Tinyurl.com virus - Forum Virus
2 réponses
sinza93
Messages postés
241
Date d'inscription
mardi 20 novembre 2007
Statut
Membre
Dernière intervention
9 juin 2015
28
4 sept. 2008 à 23:50
4 sept. 2008 à 23:50
Le virus n'est pas LSASS.exe !
NE LE SUPPRIMEZ PAS !
Le virus s'appelle sasser.
Voici quelques informations à son sujet
===========================
NOMS ET ALIAS DU VER :
Sasser (Panda Software)
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)
WORM_SASSER.A (Trend Micro)
Bat.Sasser.a
SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP
Windows NT
Windows 2003
1/ INFORMATIONS ET DETAILS :
Sasser est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE, Avserve2.exe dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").
Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.
Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
2/ PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus Panda avec le PAV.SIG d'aujourd'hui. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système avec ces differents patchs : KB 835732 ( https://docs.microsoft.com/en-us/ ) KB 828741 ( https://docs.microsoft.com/en-us/ ) KB 837001 ( https://docs.microsoft.com/en-us/ ) Grace à ces patchs, dix-neuf vulnérabilités dont sept de niveau critique seront corrigées dans divers composants ou services de Windows XP, 2000, NT 4.0 et 2003 (LSASS, LDAP, PCT, Winlogon, Metafile, Help and Support Center, Utility Manager, Windows Management, Local Descriptor Table, H.323, Virtual DOS Machine, Negotiate SSP, SSL et ASN.1 ?Double Free?). Ces vulnérabilités peuvent permettre à une personne malveillante d'exécuter le code de son choix et de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'insu de l'utilisateur.
3/ DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs disposant d'un antivirus peuvent l'utiliser en analyse à la demande si celui-ci est bien à jour.
Des informations supplémentaire seront disponible sur le site web (en Anglais):
https://www.pandasecurity.com/?ref=www.pandasoftware.com/virus_info/encyclopedia/overview.aspx
https://www.pandasecurity.com/?ref=www.pandasoftware.com/virus_info/encyclopedia/overview.aspx
================================
Comme d'habitude avec ces petits virus qui rebootent vot système,
faut connaître l'astuce anti-reboot.
Dès que la fenêtre indiquant que le système va s'arrêter s'affiche, voilci ce que vous devez faire :
- Cliquez sur démarrer. Le menu s'affiche.
- Cliquez sur exécuter
- Tapez 'cmd' et cliquez sur 'OK'. La fenêtre dite 'de commande' s'affiche.
- Tapez l'instruction suivante : shutdown -a
Et voilou, vous pouvez continuer.
Bonne désinfection
NE LE SUPPRIMEZ PAS !
Le virus s'appelle sasser.
Voici quelques informations à son sujet
===========================
NOMS ET ALIAS DU VER :
Sasser (Panda Software)
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)
WORM_SASSER.A (Trend Micro)
Bat.Sasser.a
SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP
Windows NT
Windows 2003
1/ INFORMATIONS ET DETAILS :
Sasser est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE, Avserve2.exe dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").
Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.
Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
2/ PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus Panda avec le PAV.SIG d'aujourd'hui. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système avec ces differents patchs : KB 835732 ( https://docs.microsoft.com/en-us/ ) KB 828741 ( https://docs.microsoft.com/en-us/ ) KB 837001 ( https://docs.microsoft.com/en-us/ ) Grace à ces patchs, dix-neuf vulnérabilités dont sept de niveau critique seront corrigées dans divers composants ou services de Windows XP, 2000, NT 4.0 et 2003 (LSASS, LDAP, PCT, Winlogon, Metafile, Help and Support Center, Utility Manager, Windows Management, Local Descriptor Table, H.323, Virtual DOS Machine, Negotiate SSP, SSL et ASN.1 ?Double Free?). Ces vulnérabilités peuvent permettre à une personne malveillante d'exécuter le code de son choix et de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'insu de l'utilisateur.
3/ DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs disposant d'un antivirus peuvent l'utiliser en analyse à la demande si celui-ci est bien à jour.
Des informations supplémentaire seront disponible sur le site web (en Anglais):
https://www.pandasecurity.com/?ref=www.pandasoftware.com/virus_info/encyclopedia/overview.aspx
https://www.pandasecurity.com/?ref=www.pandasoftware.com/virus_info/encyclopedia/overview.aspx
================================
Comme d'habitude avec ces petits virus qui rebootent vot système,
faut connaître l'astuce anti-reboot.
Dès que la fenêtre indiquant que le système va s'arrêter s'affiche, voilci ce que vous devez faire :
- Cliquez sur démarrer. Le menu s'affiche.
- Cliquez sur exécuter
- Tapez 'cmd' et cliquez sur 'OK'. La fenêtre dite 'de commande' s'affiche.
- Tapez l'instruction suivante : shutdown -a
Et voilou, vous pouvez continuer.
Bonne désinfection
BeFacmoi
Messages postés
669
Date d'inscription
dimanche 13 janvier 2008
Statut
Membre
Dernière intervention
28 décembre 2008
175
4 sept. 2008 à 23:55
4 sept. 2008 à 23:55
Ca c'est pas bon :
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ads.clicksor.com:80/serving [...] =%23666666
O4 - HKLM\..\Run: [{67c93f2d-ca54-a532-2613-ba1ee27ca858}] D:\WINDOWS\System32\Rundll32.exe "D:\WINDOWS\system32\avpndzkdsdj.dll" DllStart
O4 - HKLM\..\Run: [BM9b24e11b] Rundll32.exe "D:\WINDOWS\system32\lalvxlds.dll",s
Et ca j'ai eu quelques problèmes avec, c'est pas bon non plus il me semble :
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL` )
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
Et encore ceci que je trouve pas beau :
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-F [...] E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] AClient.ca
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ads.clicksor.com:80/serving [...] =%23666666
O4 - HKLM\..\Run: [{67c93f2d-ca54-a532-2613-ba1ee27ca858}] D:\WINDOWS\System32\Rundll32.exe "D:\WINDOWS\system32\avpndzkdsdj.dll" DllStart
O4 - HKLM\..\Run: [BM9b24e11b] Rundll32.exe "D:\WINDOWS\system32\lalvxlds.dll",s
Et ca j'ai eu quelques problèmes avec, c'est pas bon non plus il me semble :
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL` )
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
Et encore ceci que je trouve pas beau :
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-F [...] E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] AClient.ca
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
kosmic
Messages postés
121
Date d'inscription
mardi 12 juin 2007
Statut
Membre
Dernière intervention
19 mars 2015
2
5 sept. 2008 à 00:05
5 sept. 2008 à 00:05
tu les as suprimer comment?
