Virus Sasser / LSASS - Page 4

spectras
:

Beuh? Tu peux pas savoir de quel processus vient quel paquet...

Ben netfilter le fait très bien (iptables powwaaa)
T'as le pid, l'uid, le gid, et la ligne de commande. Je vois difficilement ce qu'il te faut de plus

Et pour l'intégration à l'os, netfilter est dans le noyau, donc je vois mal aussi comment tu veux intégrer davantage. Sans compter que ton serveur ftp, quitte à avoir un 486 connecté en direct, tu le mets dessus. Comme ça tu peux éteindre ton pc et ne laisser que le 486 allumé quand t'es pas là (ça coute vachement moins cher en électricité).

Donc tu as bien une partie du firewall intégrée dans ton OS, donc ton 486 ne sert à rien en tant que firewall, dsl

(sans compter que la ligne de commande ne suffit pas à garantir que c'est bien ce programme-là qui a été autorisé : le prog en question pourrait très bien avoir été remplacé par une version hackée; et les bons firewalls sont capable de détecter ce genre de pbs)

Flanker>seulement si ton PC est à jour.

Mac> je sais, je voulais juste dire que le firewall n'était pas indispensable pour ç

ok

Un firewall matériel a l'avantage qu'un exploit dans le logiciel firewall ne donne pas le contrôle de ta machine.

arfffff... je pense que ton OS expose des trucs largement plus compliqués et sujets à exploits que ça... sans compter que tu n'as aucun moyen de savoir à distance quel firewall est utilisé

Ce que je dis n'est pas théorique!
http://slashdot.org/article.pl?sid=04/03/21/0023254&mode=thread&tid=126&tid=128&tid=172&tid=185&tid=190&tid=201

Je ne dis pas que c pas possible qu'il y ait une faille dedans, je dis qu'il y a tellement plus de failles dans un OS que bof

une version MS-DOS de Sasser est sortie

Serieux ? Mais sur quelle couche réseau ? Avec quelles failles ? Vu que c'est pas homogène...

Euuuuh cela dit, il ne peut pas infecter un poste DOS only (ou DOS+Win3.1), et une fois sous DOS, il fous la merde, mais ne peut plus se propager, alors c'est un peu moyen de dire que c'est un virus DOS :/

c'est marqué

il peut désormais se propager si l'ordinateur ne s'exécute qu'en Mode DOS !

mais c'est vrai que les ordis en mode DOS se font de plus en plus rare maintenant ...

c'est un site de merde ta source, désolé!

Il utilise un mutex différent : JobakaX.
Il utilise un nom de fichier différent : avservr.exe.
Son MD5 est différent.
Il crée dans le registre une valeur différente : "avservr.exe."
Il modifie les fichiers config.sys et autoexec.bat

Sans blague

Remarques : L'algorithme hash MD5 de ce ver est 0xD5B2CEFF9A9BD152CF63ADD72BC63EE7.

Hum, oué, je vois comment il fonctionne pour DOS, effectivement, il peut facilement se propager :/.

toujours à propos de Sasser, il paraît qu'il y a une méthode simple pour retarder le reboot : un double-clic sur l'horloge et on retarde l'heure j'ai pas essayé, j'ai pas eu la chance d'avoir sasser

le "shutdown -a" est quand même plus pratique

L'auteur présumé (un allemand) a été interpellé. C'est un lycéen de 18 ans.

cf le lien de vark

Donc tu as bien une partie du firewall intégrée dans ton OS, donc ton 486 ne sert à rien en tant que firewall, dsl

Ben si, c'est l'os du 486 qui fait le filtrage entrant pour ce qu'il y a derrière. Et éventuellement aussi le filtrage sortant dans certains cas particuliers.

(sans compter que la ligne de commande ne suffit pas à garantir que c'est bien ce programme-là qui a été autorisé : le prog en question pourrait très bien avoir été remplacé par une version hackée; et les bons firewalls sont capable de détecter ce genre de pbs)

Le truc il file la ligne de commande, après libre à toi d'en faire ce que tu veux. Si tu veux vérifier le binaire, fais-toi plaisir.

En plus, avec un système séparé pour le filtrage, tu peux jouer à mettre des trucs comme Prelude, à mettre un cache Web / cache DNS / autre

spectras
:

Donc tu as bien une partie du firewall intégrée dans ton OS, donc ton 486 ne sert à rien en tant que firewall, dsl

Ben si, c'est l'os du 486 qui fait le filtrage entrant pour ce qu'il y a derrière. Et éventuellement aussi le filtrage sortant dans certains cas particuliers.

Comprends pas : si je veux autoriser les paquets entrants seulement sur les ports ouverts par Apache, par exemple, comment je fais ? (et que par exemple je n'active pas tout le tps Apache et je n'ai pas envie qu'un autre programme vienne s'immiscer sur ce port-là à ces moments-là)

C'est forcément très limité et ça n'apporte pas gd chose au niveau sécurité. Par contre ça peut t'empêcher d'utiliser le FTP ou IRC sur des ports standards, par exemple

(sans compter que la ligne de commande ne suffit pas à garantir que c'est bien ce programme-là qui a été autorisé : le prog en question pourrait très bien avoir été remplacé par une version hackée; et les bons firewalls sont capable de détecter ce genre de pbs)

Le truc il file la ligne de commande, après libre à toi d'en faire ce que tu veux. Si tu veux vérifier le binaire, fais-toi plaisir.

Sauf que le 486 va pas vérifier ton binaire à distance Tu es bien obligé de faire ça sur _ton_ PC.

L'horloge ça marche et ça marchait déjà pour Blaster.

PS: L'horloge marche mieux que shutdown -a

bon question con, je vais reinstaller windows et je ne veux pas me taper tous ces vers donc je veux intaller les patchs etc.. il me faut quoi a part le lien donné par yaro et un firewall du genre kerio?

tu demandes à Microsoft de t'envoyer le cd gratuit de correctifs

avec xp, le firewall intégré suffit.

presque
j'ai eu blaster malgré ca!

ouai mais j'ai l'adsl donc je peux telecharger les patchs, ya moyen de dl le cd a partir du net?