Régime aux vers - Page 1

J'ai eu un ver que je n'avais jamais eu avant.
Je ne sais pas s'il est nouveau (ce que je crois) ou pas,
mais en tout cas voilà comment il marche:

Il s'envoie par mail, d'un peu n'importe quelle adresse (j'en ai vu de caramail, de wanadoo, etc...)
C'est souvent un "Re: your document" ou "word file" ou "Excel file" en en-tête, avec un corps très court en
minuscules, généralement "here is your file" ou bien "here is your document" ou "see the attached file".
La ruse ne tient pas très longtemps, le fichier joint est toujours un .pif.
Le ver se distribue très massivement, j'en ai eu 7 exemplaires, tous par mail:

document_full.pif
your_file.pif
message_part2.pif
1-your_document.pif
document_excel.pif
document_word.pif
your_document.pif

Comme je ne suis pas sur mon ordi je n'ai pas résisté à l'envie de
les ouvrir. Ils passent à travers tous les anti-virus de la fac,
(résident en mémoire comme Blaster donc c'est pas dur)
et créent un processus de leur nom, qui utilise pas mal
de temps UC (80% environ) en se chargeant en mémoire.
Au final le processus occuppe 3320 Ko, et l'utilisation UC descend,
jusqu'à se faire très discrète. Il y a aussi une utilisation du
disque dur, je sais pas pk.
Apparemment, c'est un ver genre Blaster qui se cale en RAM
et doit peut-être provoquer des effets de bord, et
certainement contenir une backdoor.
C'est un fichier raccourci, mais quand on essaye de voir
vers quel programme il pointe, la tâche explorer plante. ()

je doute que la chartre info de ta fac permette d'installer des virus... d'autant plus que tu le fais volontairement...

Sans doute non, mais je sais que le PC est sacrément protégé, et que tout ce qu'il va permettre, c'est les
vers RPC ou trucs dans le genre. (Même en désactivant les tâches anti-virus et en les tuant à la main s'il le faut,
aucun ordi de la fac ne me laisse exécuter LoveBug...)

Ils passent à travers tous les anti-virus de la fac,

je sais que le PC est sacrément protégé

Ben en attendant m^ avec l'exécution volontaire d'une pièce jointe qui ne pouvait être qu'un ver, pas d'effet indésirable.
La seule chose que le PC ne peut pas faire (heureusement, sinon j'aurais pas pu lancer ce ver) c'est un scan de la RAM
à la recherche du ver. Avant ça se faisait, mais on a arrêté quand les PC ont dépasser les 4/8 Mo de RAM, c'était beaucoup
trop lourd. Pis si ça plante je m'en balance, ce sera loin d'être le premier PC planté de la fac (doit y en avoir 6 à l'instant
où je parle, soit un sur 10 ou 11). Quand à la charte, je l'emmerde, elle interdit tout, m^ l'IRC et le FTP. Je ne serai pas le premier
à la contourner.

Billy Charvet :
Ben en attendant m^ avec l'exécution volontaire d'une pièce jointe qui ne pouvait être qu'un ver, pas d'effet indésirable.
La seule chose que le PC ne peut pas faire (heureusement, sinon j'aurais pas pu lancer ce ver) c'est un scan de la RAM
à la recherche du ver. Avant ça se faisait, mais on a arrêté quand les PC ont dépasser les 4/8 Mo de RAM, c'était beaucoup
trop lourd. Pis si ça plante je m'en balance, ce sera loin d'être le premier PC planté de la fac (doit y en avoir 6 à l'instant
où je parle, soit un sur 10 ou 11). Quand à la charte, je l'emmerde, elle interdit tout, m^ l'IRC et le FTP. Je ne serai pas le premier à la contourner.

NetSky.C et .D

-

bah moi je sais même pas ce que je reçois comme virus
Norton me les efface d'office comme ça, pas de risque de les lancer, même sans le faire exprès
(c moi qui ait configuré norton pr qu'il efface les virus dans les pièces jointes sans me demander : j'en avais marre qu'il me demande 5-6 fois par jour ce que je voulais faire de la pièce jointe que je venais de recevoir)

Orion_ :
faut mettre a jour les antivirus sinon ça sert a rien

mon prof de compta a un AV pour win95 pas mis à jour

Oui, j'ai vu des Netsky.P aujd'hui... Il faut savoir que normalement les anti-virus des sites comme les universités sont mis à jours automatiquement à intervalles réguliers... il suffit d'une heure pour infecter un site (la première version de Netsky n'avait pas de signature utilisable dans les defs deux heures après son lancement), donc ça va très vite :/... mais l'avantage, c'est que Netsky et l'autre virus (je ne sais plus lequel) se détruisent mutuellement (vivent les guerres entre les virus ).

n'empêche que c'est pas bien de faire exprès des virus sur les pc de la fac ... t'iras pas te plaindre après que les pc soient tous plantés

Ou qu'ils interdisent encore un protocole de plus sous prétexte qu'il "favorise l'échange de vers"...

ils devraient bloquer les ports 21 et 80

En général, on ferme plutôt les ports locaux plutôt que les ports distants, non? (mais je me trompe peut-être)

A ce moment-là, ça veut juste dire qu'on peut pas mettre de _serveur_ FTP ou HTTP

ah oui exact


je réfléchirai avant de poster la prochaine fois (dur !)

Enfin y a p-ê des firewalls qui le font ^^

Ca dépend des admins... normalement, tes ports sont vérouillés en sortie, et quelques uns le sont en entrée (p2p, jeux...)

Bah oui mais le P2P et les jeux utilisent aussi des ports en sortie, donc on peut imaginer que ça soit ces ports-là qui soient bloqués, non? (disclaimer : j'y connais rien)

Moi aussi, je reçois exactement le même genre de mèl : environ 15 fois par jour.

Pollux > Pas forcément. Si avec eMule tu te connectes ports de sortie bloqués, tu peux quand même recevoir (mais en LowID)... En plus, les numéros de ports n'ont rien à voir entre les serveurs et les clients.

Flanker > Pour le 21, c'est déjà fait...

Apparemment, c'est une variante de NetSky (encore...)
L'antivirus l'a retrouvé dans les archives supprimées (pk Windaube fait une copie des fichiers supprimés...)

Flanker :
ils devraient bloquer les ports 21 et 80

Moi j'utilise aussi beaucoup le 22 (scp).

Ca me fait trop rire, ils filtrent dans les url les mots "chat" pour empêcher les discussions...
vive l'irc, qui n'est pas filtré.

Et maintenant le filtrage est tellement bien fait qu'il interdit d'aller sur le site officiel de l'université !!!

ÇA, c'est vraiment fort...