Virus Blaster

[aubutus]

S’il y a bien une chose que je ne comprends pas, c’est la rapidité avec laquelle le virus blaster s’installe sur un ordinateur. <BR>Je viens d’installer un pc sous Windows XP, j’ai configurer la connexion internet (ADSL) et après moins de quelque seconde, le vers blaster était là. Je ne suis aller sur aucun site autre que windows update. J’ai fait plusieurs installation sur plusieurs site et c’est le même problème ! <BR>Alors, j’ai quelque problème de compréhension. Le virus vient bien de quelque part. Microsoft n’a pas éradiqué le virus de ces serveurs ? <BR>Si une personne plus compétente peut m’expliquer le fonctionnement de ce vers-virus <IMG SRC="images/smiles/icon_confused.gif"> je lui en serais reconnaissant. <BR>Merci d’avance <BR> <IMG SRC="images/smiles/icon_bise.gif">

[micjack]

Ben en fait blaster scrute le reseau en permanence de partout ou il est. <BR>C'est une faille M$ qui est conciderécomme un trou tant qu'il n'est pas bouché. <BR> <BR>C'est comme une fuite d'eau chez toi, tant que tu n'est pas au courrant qu'il faille la bouchée! en ben entre temps te recevra des factures astronomiques alors que d'autres en aurront profités. <BR> <BR>Bon allé -> <!-- BBCode auto-link start --><a href="http://www.microsoft.com/downloads/search.aspx?langid=7&displaylang=fr" target="_blank">http://www.microsoft.com/downloads/search.aspx?langid=7&displaylang=fr</a><!-- BBCode auto-link end -->

[Fesch]

Il ne faut pas connecter ton PC sur Internet avant de ne pas avoir installé tous les PATCH. C'est quand même simple, non? <BR> <BR> <BR><IMG SRC="images/smiles/icon_biggrin.gif">

[cain]

Certes Fesch, mais le windowsupdate se fait <!-- BBCode Start --><B>sur</B><!-- BBCode End --> le net <IMG SRC="images/smiles/icon_wink.gif">

[micjack]

Je n'est pas testé, mais certains disent qu'il sufit d' utiliser la command : <BR>demarrer-> executé "shutdown - quelquechose" <BR> <BR>Pour ma part, meme si cela dure qu'une soixantaines de secondes, utilisé des softs comme DAP qui resume le Dl, vous arriverait a votre fin du telechargement et en boucher la faille <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Edit: DAP pour "Download Accelerator Plus" et non LDAP, qui n'a rien a voir <IMG SRC="images/smiles/icon_lol.gif"> <BR><BR><BR><font size=-2></font>

[ashgan]

la commande shutdown -a via le menu demarrer-> executer annule le timer. par contre, gardez la commande sous le coude, le timer reapparait apres quelques instants.

pour erradiquer blaster et derives, un petit lien: anti blaster pour win2000/XP
il suffit de copier le .bat et le patch correspondant (plus la commande reboot pour win2000) sur un floppy et de lancer le .bat en mode sans echec

vous aurez droit a un petit menage dans les fichiers systeme, la base de registre, une application du patch microsoft et un redemarrage a la fin du travail

[aubutus]

Merci de ces quelques informations ! Mais le plus étonnant reste la rapidité avec laquelle ce virus scan le net. <BR>Alors soit ce virus a une méthode de scan particulièrement efficace, soit-il est encore implanté chez énormément de gens ! Mais dans ce cas, les machines ne tourne pas sous W2000 ou XP sinon le virus les déconnecterais automatiquement. Ce virus peut-il s’implanter sur d’autre os comme Win9x ou autre ? Existe t’il un autre virus dont le bute est le déploiement de blaster ? <BR>Dans tous les cas, je suis parfaitement d’accord avec Fesch sur l’utilité d’installer tout les Patch de sécurité, mais comme la si bien dit Cain, les mise à jours se trouve sur le net. <BR>De plus, ne peut-on pas créer un programme scannant à son tours le net à la recherche du virus afin de l’éradiqué. Mais là je dis peut être une grosse $%#&! ! <BR>

[labaisse]

En fait Blaster n'attaque que les os nt cad NT4 W2K et XP pro ou home. C'est une faille dans un service nt.Il ne s'attaque donc pas au os du type w9x .Il existe d'autre virus (du moins des virus reprenant une partie du code de blaster)qui font les meme degats... Il suffit de mettre la rustine m$. <BR> <IMG SRC="images/smiles/icon_smile.gif">

[Fredish]

Ouais, tout le probleme est de pouvoir telecharger la rustine en question. Enfin, sous xp, on peut desactiver le service "affichage des messages" dans executer>"services.msc", le temps de telecharger ce patch. Il est bon de la sauvegarder aussi au cas d'une reinstallation. Enfin, c'est toute une histoire ce blaster...

[Athanase]

Sujet intéressant! <BR> <BR>Certes, le scan de Blaster n'est pas particulièrement lent au sens où il sait exactement ce qu'il cherche et ne test donc qu'un port précis qui est le port 135 (sur lequel tourne le service RPC de windows). En ce sens, il est rapide puisque qu'il parcourera plus rapidement qu'un autre scan une plage donnée d'adresses IP. Seulement dans ton cas, je pense que tu as juste joué de malchance puisqu'une machine infestée sur le réseau de ton ISP a scanné ta machine lors de ta première connexion (au passage le firewall intégré à XP aurait suffit à te protéger dans ce cas). <BR> <BR>Pour ce qui est du vers lui-même, si tu es attaqué par une machine infectée, il ne peut s'agir que d'une machine Windows étant donné qu'elle seule sont touchée. <BR> <BR>Maintenant, je peux te dire qu'il existe sur Internet des programmes fonctionnant sous windows et qui permettent d'attaquer une machine vulnérable. Ces outils en général ont même un scanner de port intégré pour trouver des machines vulnérables. Les programmes en question sont très simples à utiliser: tu indiques l'adresse d'une machine vulnérable, tu cliques sur "exploit" et tu te retrouves avec un shell root sur la machine. Il ne reste plus qu'à utiliser SFTP pour installer ton rootkit. Comble du raffinement, l'outil que j'ai essayé avait même un serveur SFTP intégré pour pouvoir envoyer directement la backdoor sur la machine attaquée. <BR> <BR>Tout ça pour te dire que maintenant la majorité des exploits existent aussi en version Windows avec une belle interface graphique.

[Fredish]

Ouais, on en avait déjà parlé quelque part de ces programmes là; le fait est que dès qu'ils acquierent une "belle interface graphique", ils sont deja depassés. Mais c'est pas tres legal tout ca, non?

[Athanase]

L'outils en question est tout à fait à jour et le sera tant que des utilisateurs se connecteront à Internet avec des installations de Windows non patchées <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Pour ce qui est de la légalité, j'ai un doute. Je ne pense pas que détenir un programme de ce type soit illégal en soit. Je pense que comme toujours, c'est l'utilisation qu'on en fait qui peut être illégal. Dans mon cas, j'ai attaqué une machine qui m'appartenait en utilisant un réseau privé. Tu pense bien que je ne vais pas porter plainte contre moi même. C'est comme le graveur de DVD. Tu peux en avoir un et tu passes dans l'illégalité si tu copies des DVD protégés par des droits d'auteur. <BR> <BR>En fait, je garde le programme sous la main pour un futur test d'intrusion où si un de mes clients m'explique que l'exploitation d'une faille n'est pas à la portée de tout le monde. J'avoues que le jour où j'ai montré à un client comment je pouvais aisément sniffer son traffic réseau malgrès les swithc en utilisant ARP, il a étangement revu ses positions sur la sécurité informatique <IMG SRC="images/smiles/icon_lol.gif">

[Nomenklatura]

Salut tout le monde, <BR> <BR>Juste une remarque sur le virus Blaster et sur le fait qu'il est encore bien présent sur le net. <BR> <BR>Ou plutôt une question en fait: si une machine est patchée, mais ne dispose pas d'antivirus à jour, ne peut elle pas servir de relai à blaster pour attaquer d'autres machines? <BR> <BR>Le patch windows permet de protéger sa machine en empechant le DoS du svchost, mais empeche il, à lui seul, l'activation du virus et sa prolifération vers d'autres machines <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Perso je pense pas et ca ferait un bon nombre de machines patchées et toujours porteuses du virus.

[Athanase]

Laisse moi te répondre. <BR> <BR>Si une machine a été patchée contre la faille DCOM RPC de Windows, il n'y a aucune chance que le vers puisse la contaminer. En effet, si le vers ne peut pas exécuter l'exploit sur la machine, il ne pourra pas exécuter de commande sur le système et lui faire télécharger son code. <BR> <BR>Maintenant, si la machine a déjà été contaminée par le vers, il y a deux solutions: <BR>- l'utilisateur s'en est aperçu. Il a donc appliqué les outils pour supprimer le vers et sa machine est propre. Dans ce cas, il ne contamine plus personne. <BR>- l'utilisateur ne s'en est pas aperçu. Chaque fois qu'il démarre, son PC cherche à infecter de nouvelles machines. Il est donc un vecteur d'infection. <BR> <BR>Pour ce que je sais, et compte tenu du nombre de reboot intempestifs provoqués par le ver, je pense qu'un utilisateur touché par le vers s'est chargé de le supprimer et de patcher sa machine. <BR> <BR>En soit, je ne pense donc pas qu'une machine patché mais sans antivirus soit un vecteur de propagation. <BR> <BR>Ce qui m'inquiète plus en soit, c'est les programme comme celui dont je dispose et qui permet de prendre contrôle de la machine. En gros il exploite la vulnérabilité mais pas pour installer le ver mais bien pour prendre contrôle de la machine. D'ici, le "pirate" peut en effet faire ce qu'il veut et lancer un scanner pour infecter d'autres machines. Seulement, dans ce cas, l'utilisateur ne le sait pas étant donné qu'il n'a pas de symptômes particuliers.

[natlus]

<IMG SRC="images/smiles/icon_rolleyes.gif"> en reponse a athanase sur le blaster; est ce que la personne qui s'est fait <BR> <BR> <BR> <BR>pirater a son insu, ne peut arriver a savoir qu'il y a une augmentation de traffic <BR> <BR> <BR> <BR> <BR>anormal sur sa machine en la questionnant dans les journaux d' activite, ou n'y a t' <BR> <BR> <BR> <BR> <BR>il pas des indices comme snort? <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif">