IRC Virus - Page 1

bonjour,

Je soupçonne trés fortement l'un des participants au démo-game de m'avoir refilé un ver. En effet je n'attrape pour ainsi dire jamais de virus, ou alors quand je suis susceptible d'en attraper je teste immédiatement. Et aujourd'hui je voies un process inconnu qui tente d'accéder à Internet. Premier réflexe, je scanne ma machine, c'était bien une saloperie.

Donc, pourquoi est-ce que je dis ça à vous? Et bien, ce que je ne comprenais c'est comment j'ai pu attraper cette petite bête, et bien voyez ce que j'ai lu, j'en ais encore froid dans le dos:

This malware also has backdoor capabilities. It connects to mIRC and acts as a client. As an IRC client, it grants the malicious user remote access over the machine to carryout the following commands:

Obtain system information, such as the following:
CPU speed
Memory size
Windows platform, build version and product ID
Malware uptime
Current user
Disable network shares
Resolve IP or host name by DNS
Execute a .EXE file
Open a file
Flush DNS cache
Disable DCOM
Disconnect/reconnect from IRC server
Change IRC server
Join/leave an IRC channel
Send a private message through IRC
Update the malware through HTTP or FTP
Download and execute a file from an HTTP or FTP server
Restart/shutdown machine
Logoff current user
List/kill all running processes


Je ne vais jamais sur IRC en dehors du démo-game. Forcément quand j'y vais j'autorise IRC à ouvrir certains ports... Je pense donc assez fortement que c'est l'un d'entre vous qui m'a gentiment fait partagé sa ptite bête, et je vous invite à examiner votre PC au plus vite, ne serait-ce que par acquis de conscience.

Il y en a au moins deux sur mon PC qui m'ont été trés probablement transmis par IRC:

- WORM_SDBOT.DA
- WORM_RANDEX.AR

chris.

Bon, suite à ton alerte Chris, je viens de scanner ma machine pendant 59 minutes et 43 secondes avec tous mes trucs antivirus et sécurités machins à jour au 20 déc, et elle était bien toute propre et toute pimpante ! Donc, voilà !

La brave petite, il faut dire que tu n'étais pas allé sur IRC. Je suis presque certain que cela vient de là.

chris.

Ca ne vient pas forcément de quelqu'un du démo. Je crois que tu es le seul à utiliser mIRC, et moi, à utiliser Miranda. Il y a des milliers d'utilisateurs sur kewl.org
Je conseillerais plutôt d'utiliser Miranda

c'est quoi IRC ??? bon pas grave mais Pc cillin (quel nom a la con) me dis que je suis clean .

hum... hum

Perso j'ai pas d'antivirus sur ma machine, parce que je n'ai pas acheté un PC tout fait avec antivirus intégré, mais j'ai fait mon PC moi même avec des pièces détachées. Et l'antivirus ça coutait un peu cher.
Donc j'évite tous les sites un peu louches sur internet, j'ai mes options de sécurité réglées à fond, je ne télécharge jamais rien dont je ne suis pas sûr (à part les saves des PBEM lol ) et régulièrement je nettoie les cookies qui sont sur mon PC.

Mais pourtant je flippe vachement de me chopper une saleté. Donc dorénavant, irc non merci très peu pour moi.
Sinon Chris est ce que tu pourrais me dire comment je peux vérifier si je l'ai choppé ou pas ?

Même cas que Para, c'est à dire pas d'anti-virus et donc aussi en attente de la réponse de Chris

Allez voir là pour scanner votre machine grâce à un AV en ligne : http://www.secuser.com/antivirus/ !
Et vous zêtes un peu gonflés avec l'ADSL ne ne pas en avoir un, d'autant qu'il y en a des gratuits sur le net !

L'idéal, pour surfer en toute sécurité, c'est une machine virtuelle, surtout quand on utilise sa machine en tant qu'administrateur, pour des raisons pratiques.
Vous pouvez même vous en servir pour vous amuser avec des virus
Evidemment, faut un système qui tient la route, comme NT ou Linux.
Et pour la machine virtuelle, un système assez léger à moins d'avoir beaucoup de RAM. Ma machine virtuelle W98 prend 290 Mo sur le disque.

VMWare marche trés bien comme MV.

Pour savoir si vous avez ces saloperies, regarder si les clés suivantes sont dans la base de registre:

- Pour RANDEX.AR

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ServicesMicrosoft UPDATER32="LSASS32.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft UPDATER32="LSASS32.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
xcanxbwv = axcvqvzk.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Servicesxcanxbwv = axcvqvzk.exe

Si au moins l'une de ces clés est présentent, vous êtes atteint.


- Pour le trés méchant WORM_SDBOT.DA:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
Generic Host Process for Win32 Services = "SPSVC.EXE"


HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices
Generic Host Process for Win32 Services = "SPSVC.EXE"

Si au moins l'une de ces clés est présentent, vous êtes atteint.

chris.

Aucun virus détecté avec mon anti-virus (mis à jour), ni avec celui en ligne.

Aucun des fichiers cités n'est sur mon disque dur.

Pas d'anti-virus !
vous êtes des fous furieux ! avec ADSL c'est quand même le trou du C.. ouvert sur le net ! et il est vrai qu'il y a des AV et Firewall gratuit avec MAJ fréquentes quand j'avais un modem effectivement jamais d'AV mais maintenant impossible de l'arrêter même quand je joue a civ

d'autre part je vous conseil ceci http://www.hevanet.com/peace/microsoft-fr.htm et ca me fait rire quand Microsoft offre une Firewall vu comme il (microsoft) est buggé !

je me ballade de temps en temps sur IRC, mais pour Chris je n'ai rien choppé !

Rien choppé non plus.

A partir du moment ou l'on surfe sur internet, un antivirus avec définition des virus à jour est indispensable. Un firewall est fortement conseillé: ça évite de chopper des m.... comme blaster.

Bon, ben chez-moi il est revenu, je creuse la question. Apparement il est pas vraiment anodin le spsvc.exe.

http://www.fatelabs.com/library/broken-walls.pdf

C'est bien que sont censées être les clés de registre ?

voui, perfect de ton coté. Je vais creuser pour savoir d'ou il provient.

chris.

je n'ai pas tout compris, mais tu peux aller voir là: http://vil.nai.com/vil/content/v_100748.htm (c'est la Base de données McAfee)
bonne chance...

Il n'est référéncé chez trend que depuis le 18 décembre. Sous le nom de SPSVC.EXE je ne trouve rien à l'adresse que tu donnes. J'ai un peu progressé, je crois savoir par quelle commande il est rentré chez-moi.

chris.

en fait c'est la combinaison sdbot et randex qui m'a fait tilter, sans percuter que c'était le nom du virus et d'un alias

Bon je pense avoir trouvé comme il se transmettait. Quelq'un veux essayer?

chris.

heu m...ouais !

Au secours je me suis choppé 190 files infected. (j'ai cliqué sur un *%!§* de lien)

J'ai :

WORM KWBOT.C
WORM SDDROP.A
BKDR SDBOT.F

Je suis allé sur le scan online indiqué par Avance dans ce sujet plus haut et il me dit que les fichiers sont "non cleanable". Je flippe un peu là.

Kazaa est une véritable infection, avant de cliquer sur un exe, il faut impérativement vérifier que les fichiers exécutables sont sain.

En suivant les instructions ici, tu devrais t'en sortir sans problème:

WORM KWBOT.C

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_KWBOT.C

WORM SDDROP.A

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDDROP.A

BKDR SDBOT.F

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_SDBOT.F

chris.

WORM KWBOT.C
http://securityresponse.symantec.com/avcenter/venc/data/w32.kwbot.c.worm.html

si ca peut aider, il faut redemarrer en mode "safe" ...

Merci Regor et Chris, je vais essayer ça.

Ensuite est ce que vous pourriez me dire si il y a des risques que je refile ça à d'autres, et comment ça se propage ? Est ce que ça peut se refiler pendant une partie multi de civ3 ?

[size=1] EDIT [/size]: ok c'est fini. "all files are clean" "no virus detected"

Virus Terminated
"hasta la vista babe"

Je ne sais pas si ça peux se refiler dans une partie multi mais sur le Web, il faut vraiment sortir couvert !



En général, ces bestioles se transmettent par des fichiers .exe que l'on active, mais je ne suis pas un spécialiste. Active le parefeu d'XP si tu es sous XP et cherche sur le Web un antivirus et un firewall gratuits.

Bah justement le parefeu je l'ai désactivé (je l'ai pas installé je crois) exprès pour pas etre emm..... euh enquiquiné quand je joue à civ en multi.

Quand tu joues en multi, il ne faut pas lancer des tâches en arrière plan (c'est ma conviction, mais ça doit se discuter) ! Ca doit sûrement ralentir le jeu, bouffer des ressources et en plus s'il se passe quelque chose derrière, c'est à l'insu de ton plein gré ! Personnellement, je désactive mon firewall (uniquement quand je joue, juste au lancement du jeu) et laisse toujours actif mon antivirus à jour !

Mis à part que je ne vois pas l'intérêt d'un pare-feu, c'est facile de jouer en multi derrière. J'ai bien réussi à hoster une partie derrière un routeur.

En effet, il est tout à fait possible de jouer avec un pare feu, mais il faut ouvrir l'ensemble des ports utilisé par l'application, ou donner tous les droits à l'application. Un pare feu est une véritable sécurité. Il empèche les accés non autorisés sur un PC à partir du net. Un exemple simple : un pare feu bien configuré te protège de blaster.

Je ne saurais vous conseiller d'installer un pare feu digne de ce nom, celui de windows XP est loin d'être la panacée. Je vous conseille Kerio en version 2.1.5 (les versions suivantes sont payantes). Il est moins lourd que Zone Alarm et tout aussi efficace. Vous pouvez le trouver à cette adresse : http://www.freelogiciels.com/kerio-personal-firewall/telecharger/405-1.html