Bonsoir, je crée ce topic afin de centraliser les récents problème de virus/vers.
(1) Lien vers le topic Avserve : www.wgpower.net/forum/post_view.php?forum=6&sousforum=0&topic=4494&page=1
(2) Copier-collé de clubic.com :
Un nouveau virus défraye la chronique
Publié le 02/05/2004
Pas de répis pour les virus ! En ce lendemain de premier mai, nous apprenons qu´un virus particulièrement contagieux, mais peu dangereux, se répand sur la toile à la vitesse de l´éclair. Il s´agit du virus Sasser identifié par Symantec samedi comme un ver affectant les systèmes d´exploitation Windows 2000, Windows Server 2003 et Windows XP. Le virus utilise la faille LSASS (Local Security Authority Subsystem Service) récemment découverte par Microsoft et se répand par le réseau. Le virus a pour effet d´éteindre votre ordinateur et de le redémarrer en boucle.
Le seul moyen de se prémunir contre ce virus, qui rappelons-le, n´utilise pas l´email pour se propager est d´installer le dernier patch de sécurité de Microsoft en suivant les liens ci-dessous.
Télécharger le patch KB835732 pour Windows XP
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3
Télécharger le patch KB835732 pour Windows 2000
http://download.microsoft.com/download/0/1/6/016bd08b-1a0a-4ce6-9c3f-bc1f4ccb1b9b/Windows2000-KB835732-x86-FRA.EXE
Procédure de nettoyage de votre système du ver Sasser (Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
Télécharger l´outil Microsoft de nettoyage du ver Sasser
http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe
NB : Il est important de préciser que le patch en question contient un bug avec Windows 2000. En effet, suite à l´application de ce correctif, des utilisateurs se sont retrouvés dans l´impossibilité de se logguer, car les machines refusaient sans arrêt la procédure d´identification.
www.clubic.com/n/n12510.html
_____________________________________________________________________________________
Sasser utilise une vulnérabilité appellée "dépassement de tampon" (buffer overrun) dans "Local Security Authority Subsystem Service", et infectera les machines qui :
• Fonctionnent sous XP ou W2K
• N´ont pas passé le patch
• Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard sur le port 445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par connexion FTP sur le port 5554.
La désinfection semble assez simple :
Message édité par WG_Paf le 02/05/2004 - 20:22
(1) Lien vers le topic Avserve : www.wgpower.net/forum/post_view.php?forum=6&sousforum=0&topic=4494&page=1
(2) Copier-collé de clubic.com :
Un nouveau virus défraye la chronique
Publié le 02/05/2004
Pas de répis pour les virus ! En ce lendemain de premier mai, nous apprenons qu´un virus particulièrement contagieux, mais peu dangereux, se répand sur la toile à la vitesse de l´éclair. Il s´agit du virus Sasser identifié par Symantec samedi comme un ver affectant les systèmes d´exploitation Windows 2000, Windows Server 2003 et Windows XP. Le virus utilise la faille LSASS (Local Security Authority Subsystem Service) récemment découverte par Microsoft et se répand par le réseau. Le virus a pour effet d´éteindre votre ordinateur et de le redémarrer en boucle.
Le seul moyen de se prémunir contre ce virus, qui rappelons-le, n´utilise pas l´email pour se propager est d´installer le dernier patch de sécurité de Microsoft en suivant les liens ci-dessous.
Télécharger le patch KB835732 pour Windows XP
www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3
Télécharger le patch KB835732 pour Windows 2000
http://download.microsoft.com/download/0/1/6/016bd08b-1a0a-4ce6-9c3f-bc1f4ccb1b9b/Windows2000-KB835732-x86-FRA.EXE
Procédure de nettoyage de votre système du ver Sasser (Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
Télécharger l´outil Microsoft de nettoyage du ver Sasser
http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe
NB : Il est important de préciser que le patch en question contient un bug avec Windows 2000. En effet, suite à l´application de ce correctif, des utilisateurs se sont retrouvés dans l´impossibilité de se logguer, car les machines refusaient sans arrêt la procédure d´identification.
www.clubic.com/n/n12510.html
_____________________________________________________________________________________
Sasser utilise une vulnérabilité appellée "dépassement de tampon" (buffer overrun) dans "Local Security Authority Subsystem Service", et infectera les machines qui :
• Fonctionnent sous XP ou W2K
• N´ont pas passé le patch
• Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard sur le port 445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par connexion FTP sur le port 5554.
La désinfection semble assez simple :
- Tuer le processus "avserve.exe"
- Effacer ce programme du répertoire Windows
- Retirer avserve du registre :
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"avserve.exe" = "%WinDir%/avserve.exe"
Message édité par WG_Paf le 02/05/2004 - 20:22
Salut,
Cette description confirme ce que je pensais: avserve n´a pour moi rien à voir avec sasser ( il ne redémarre pas le pc, mais se contente de consommé de la mémoire ).
A bientot
Cette description confirme ce que je pensais: avserve n´a pour moi rien à voir avec sasser ( il ne redémarre pas le pc, mais se contente de consommé de la mémoire ).
A bientot
Heu nan justement avserve est le nom de fichier du ver sasser ! 
Paf, je vais faire mentir tes infos, je suis sur internet, j´ai pas de firewall, mais j´ai pas ce vers, faut aussi dire que je suis derrière un routeur, qui déroute (désolé j´ai pas pu m´en empêcher,
) pas mal de virus.
) pas mal de virus.Hum ton routeur est peut-être déjà équipé d´un firewall. Sinon les routeurs effectue des translations d´adresse cela empêche peut-être certains virus de s´implenter. En tout cas, il ne "déroute" surement pas les virus qui passe par mail.
Pour Orgnobi, effacer un virus de son pc n´est effectivement en general pas trop compliqué, il suffit de le supprimer de son disque (si on connais le nom du fichier) et de la clé de démarrage "Run" dans la base de registre. Le virus sasser peut avoir comme nom de fichier : avserve.exe pour la version A et avserve2.exe pour la version B .
Si il y en a qui on du mal a l´enlever, j´ai trouvé des utilitaires de désinfections ici : www.f-secure.com/v-descs/sasser.shtml
Il y est d´ailleurs aussi expliqué pour les derniers sceptiques lol que avserve.exe est bien un virus .
Message édité par WG_Balrog le 02/05/2004 - 21:26
Pour Orgnobi, effacer un virus de son pc n´est effectivement en general pas trop compliqué, il suffit de le supprimer de son disque (si on connais le nom du fichier) et de la clé de démarrage "Run" dans la base de registre. Le virus sasser peut avoir comme nom de fichier : avserve.exe pour la version A et avserve2.exe pour la version B .
Si il y en a qui on du mal a l´enlever, j´ai trouvé des utilitaires de désinfections ici : www.f-secure.com/v-descs/sasser.shtml
Il y est d´ailleurs aussi expliqué pour les derniers sceptiques lol que avserve.exe est bien un virus
.Message édité par WG_Balrog le 02/05/2004 - 21:26
C´est sur que pour ceux qui passent par mail, je pense à Netsky, mon petit routeur est impuissant, le seul moyen de ne pas les choper, c´est de pas ouvrir les pièces jointes suspectes. D´ailleurs, je l´ai peut-être déjà expliqué mais c´est pas grave, pour les utilisateurs de outlook express, allez dans Outils/Options, onglet Sécurité, et cochez Ne pas autoriser l´ouverture ou l´enregistrement des pièces jointes suceptibles de contenir un virus, et là vous verez, plus un seul virus ne vous contaminera. Le revers de la médaille, c´est que vous ne pourrez plus ouvrir une seule pièce jointe, car pour Outlook toutes sont suceptible de contenir un virus; il vous faudra donc vérifier avec la messagerie de votre FAI si par hasard, le copain ou la copine auraient pas envoyé une pièce jointe car dès que le message est dans Outlook, C´EST FINI, ON NE RECUPERE PLUS LA PIECE JOINTE.
Oki, autant pour moi et merci pour les precisions, je l´ai également supprimé du registre
Surprise! Quand je rentre chez moi cet aprème, au beau milieu de la connection un compte à rebour ce place pour me dire que le pc va s´éteindre dans 1 minutes. Ca m´a franchement bien fait rire avec tout les soucis que j´ai eu avec mon pc ces derniers temps lol. Enfin toujours est il que j´ai voulu m´en débarasser. J´ai donc silloner le net après plusieurs re-démarrage et ai trouver comment stopé ce compte à rebour. Tout simplement en tapant dans la fenètre Exécuter : "shutdown -a". Cependant, le virus est toujours là et j´aimerais savoir si le lien que Balrog a mis serais suffisant à l´éradiqué. Car en utilisant le programme disponnible sur secuser.com, il n´a pas repérer le virus… lol. J´ai télécharger le programme et l´ai appliqué et j´aimerais savoir si ca suffirais à m´en débarasser ou si c´était provisoir. Voilà c´est tout pour le moment ^^ merci.
Tu as peut-etre un autre type de ver nommé Blaster qui force le PC à rebooter. Renseigne toi. (recherche google)
Le seul moyen definitif pour dellete un worms, c´est dinstaller les mise a jour critique de windows par dessus sinon il finira par revenir dès la evrsion suivante voir meme dès celle la si ton antivirus est un peu con ou le worms mieux fait que les autres.
Installer ces mises a jour permet d´ailleurs d´eradiquer de maniere preventive tout ptobleme avec les worms ( a differencier des virus pour les non inities
). mais prenez juste les mise a jour tester et approuver depuis quelques semaines sinon vous risquez de vous retrouvez avec une merde windows qui ca ralentir le pc de 50% a cause de leur programmeur a 2 balles (cf etat ddu pc de ma mere apres mise a jour et aavant qu´ils se rendent compte qu´elle etait bugger ^^).
Installer ces mises a jour permet d´ailleurs d´eradiquer de maniere preventive tout ptobleme avec les worms ( a differencier des virus pour les non inities
). mais prenez juste les mise a jour tester et approuver depuis quelques semaines sinon vous risquez de vous retrouvez avec une merde windows qui ca ralentir le pc de 50% a cause de leur programmeur a 2 balles (cf etat ddu pc de ma mere apres mise a jour et aavant qu´ils se rendent compte qu´elle etait bugger ^^).Pour blaster, tu peux, pour pouvoir travailler pénard à sa déinstallation, décaler ton horloge d´un mois en arrière, comme ça il te laissera 30 j pour travailler, du moins jusqu´au prochain redémarrage.
Pour plus d´info sur sa suppression, va sur www.wanadoo.fr dans la partie sécurité, y un article très long qui t´explique comment faut faire, même le dernier des abbrutis peut s´en sortir.
Pour plus d´info sur sa suppression, va sur www.wanadoo.fr dans la partie sécurité, y un article très long qui t´explique comment faut faire, même le dernier des abbrutis peut s´en sortir.