Reboots ? => Worm MSBLAST - Page 2

En plus c'est une faille qui était connu, et c'était sûr qu'il y aurait un virus qui en profiterait ...

mouai comme tout system d'exploitation...

Linux un peu moins comme même, et quand une faille est trouvé elle est corrigé dans les 24h générallement.

Un des problème de Windows est comme même Outlook et les scripts des mails qui peuvent s'exécuter automatiquement, ça vous fait une grande ouverture sur les virus ...

nan nan nan maintenant outlook permet de bloquer l'execution auto de scripts justement

et pis là microsoft n'est pas à blamer, le correctif était déjà dispo, c'est les utilisateurs qui n'ont pas mis à jour leur machines

Vark :
pffffffff suffisait d'avoir un firewall (zonealarm powa ) et la faille ne posait aucun pb

le mieux c de pas voir internet chez soi : moi g pas été ennuyé, je vous assure

stoppper les services qui ne servent pas peut aussi être une bonne solution (et que j'entende pas un nunuxien me dire que leur gadget n'installe *QUE* les services et autres démons qui serviront réellement...)

Non, non je ne pense pas que les utilisateurs de Linux (dont je fais partie) ne te dira que les distributions n'installent que les services qui servent.
Si on prend l'exemple des Mandrake, un utilisateur n'ayant jamais installé de Linux va installer une distribution de base et va se retrouver avec une multitude de service, et je suis sûr que le nombre de service installer par une Mandrake sera supérieur à ceux de ceux installer par Windows ...

Olivier51 :
Non, non je ne pense pas que les utilisateurs de Linux (dont je fais partie) ne te dira que les distributions n'installent que les services qui servent. Si on prend l'exemple des Mandrake, un utilisateur n'ayant jamais installé de Linux va installer une distribution de base et va se retrouver avec une multitude de service, et je suis sûr que le nombre de service installer par une Mandrake sera supérieur à ceux de ceux installer par Windows ...

[mode extremiste on] Comparaons ce qui est comparable
Windows ne dispose que d'un seul service: il facilite l'infection par des virus
[mode extremiste off]

Put1 je viens juste d'installer XP sur cette machine, je met les pilotes du modem USB, je me connecte et quoi se passe ?

Le servie RPC plante et paf reboot... et la sa viens de le refaire, put1 de vers !!!

stoppper les services qui ne servent pas peut aussi être une bonne solution (et que j'entende pas un nunuxien me dire que leur gadget n'installe *QUE* les services et autres démons qui serviront réellement...)

C'est ce que je fais, mais il me semble que celui est indispensable pour aller sur le net.
Franchement le créateur a parfaitement monté son coup

ba c'est surtout un attrape-con pour ceux qui ne mettent pas à jour win ou n'utilisent pas de firewalls ...

Pourtant vu le prix que vous payer votre Windows c'est vraiment dommage de ne pas profiter des patchs réguliers

profiteur..

(sur ma debian, comme sur la gentoo de ma gateway, ne tournent *QUE* les services et autres démons qui serviront réellement... d'ailleur les autres ne sont pas installés



(et c'est vrai en plus )

ouf, heureusement que j'utilise windows 98SE

squale92 :
par contre y'a pas quelqu'un qui sait comment j'ai pu le chopper ?
(sachant que j'ai réinstallé windows il y a en gros un mois, que je n'utilise pas de soft de p2p, que je ne fais juste qu'un peu de IE et OE)

Simplement le fait d'installer un XP sans le patch te rend vulnerable, apparement le ver attaque des rangée d'IP en faisant le buffer overflow et en inscrivant sur le DD une copie de lui meme et en se mettant dans le démarrage automatique....

Pas besoin de P2P, warez ou autre pour se faire véroler...

C'est fou, j'ai pas l'air de l'avoir choppé... - à moins que ce soit cette nuit qu'il ait redémarrer, auquel cas, j'espère que NAV va faire son boulot... -

NEWS

IL semblerait que d'autres hackers se soient interessés a ce virus, et depuis hier Symantec annonce l'existence d'une version B & C du worm W32.BLASTER, mais qui cette fois-ci ne semblent toucher que Windows 2000/XP

Plus d'info sur le site de Symantec

Edit
NEWS II

Le ver existe depuis aujourd'hui sous une version 2
L'executable n'est plus MSBLAST.EXE mais TEEKIDS.EXE, (avec en prime quelques petites insultes à MS et aux editeurs d'AV quand on passe l'executable à l'editeur hexa)
Plus d'info ici et là

Cette dernière info vient de Kaspersky, mais leur site est down

Erf... g chopé le ver dans les quelques secondes qui ont suivit ma reconnection au net, à pas comprit, moi

moi g pas le ver :'(

J'ai dépanné un amis hier et d'autre mon envoyé un mail pour me dire qu'ils avaient ce virus. Mais moi j'ai pas ce virus.

vince
: moi g pas le ver :'(

Erf, qu'est-ce que tu as contre microsoft?

a par le fait qu'il facent des produit bourré de failles de sécurité et qu'il les impose via des pratique commerciales douteuses je n'ai absolument rien contre Microsoft

Mon pote qui a choppé le virus a formaté hier. Il a ensuite réinstallé XP, puis il s'est connecté à Internet. En 2 minutes il a de nouveau été infecté !!!!

godzil :
Put1 je viens juste d'installer XP sur cette machine, je met les pilotes du modem USB, je me connecte et quoi se passe ?
Le servie RPC plante et paf reboot... et la sa viens de le refaire, put1 de vers !!!

Je vois que c'est pareil pour toi.


D'où la question : Comment fait ce virus pour s'installer sans qu'on ne fasse rien (p2p douteux comme iMesh, exécution de progs infectés, lecture de mails avec Outlook, etc)

Thibaut :
D'où la question : Comment fait ce virus pour s'installer sans qu'on ne fasse rien (p2p douteux comme iMesh, exécution de progs infectés, lecture de mails avec Outlook, etc)

T'as été lire ce qu'il en dise sur ce site?

Un coup de buffer overflow dans les dents du daemon RPC

Execution de code malicieux pour sauver un fichier (msblast.exe)
Creation d'un canal entre une console (cmd.exe) et le port 4444
Creation d'un Mutex nommé "BILLY"
Lancement du ver et mise en place dans le démarage automatique (In the BDD)
Et attaque sur des SET d'IP plus ou moins en rapport avec le tiens

Se vers a deux effets :
1 -> Tu propage le vers a vitesse grand V (je serait curieus de tester sa, mais je pari que sur un parc de 1000 machines XP non patché tu en infecte une seule et en moins de 2 minutes, tu a tout le reseau d'infecté....)
2 -> Il te casse tout ton reseau en 2Sec 1/2

Ok ! merci bien à vous 2

Question (un peu, mais pas trop qd même) à part, si on a un firewall matériel, genre intégré ds un routeur, configuré pr répondre uniquement aux appels sur les ports de P2P et FTP (ouverts manuellement), et ne répondant pas aux requêtes sur les autres, est-ce que l'ordi connecté derrière est vulnérable dans ce mode "fantôme" ?

je pense pas si t'as que quelques ports d'ouverts (et pas ceux qu'utilisent le vers)

C'est quoi exactement un port ? à qui ça sert ? à quoi ça sert ?