Bon voila la nouvelle faille genre Blaster, c'est sorti ce matin a parement.
 
Donc si un modo pouvait mettre le topic en haut. Merci.
 
 
Voila le liens pour le telechargement du patch >  
http://www.microsoft.com/france/te [...] 4-011.html
 

 
EDIT : Le nom du nouveau ver : Sasser

Attention un nouveau virus de la Famille des Blaster arrive, et ne se propage pas par fichiers mais dirrectement de PC vers PC...
La faille affecte le service lsass.exe (Security Accounts Manager) et permet au choix d'effectuer un Denial of Service (reboot de la machine) ou d'installer un programme en vue de prendre le controle de la machine distante.
 
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de ce type d'attaques un pare-feu (firewall) est nécessaire ; un anti-virus ne sera pas particulièrement efficace, au mieux il pourra réparer les dégats la machine une fois infectée.  
 
Microsoft Security Bulletin MS04-11 :
http://www.microsoft.com/technet/s [...] 4-011.mspx
 
Windows 2000 anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows 2000 français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Windows XP anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows XP français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
- MBSA Homepage
- Téléchargement MBSA 1.2 anglais
- Téléchargement MBSA 1.2 français
 
 
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Sous Windows 2000 :
- Télécharger shutdown.exe et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
 
 
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, les symptomes sont les suivants :
- un processus nommé "avserve.exe", ainsi qu'un fichier avserve.exe dans le dossier d'installation de Windows. MàJ : Apparition d'une variante B ou l'exécutable s'appelle "avserve2.exe"
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur
- la présence d'un fichier C:\WIN.LOG  
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avserve.exe = %Windir%\avserve.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996.
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
 

 

 
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
 
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne, en voici quelques-uns :
- Symantec Security Check
- Trend Micro Scanning Housecall
- Panda Software ActiveScan
- BitDefender Free Online Virus Scan
- McAfee FreeScan
- RAV AntiVirus - Scan Online
- Kaspersky Labs Online Virus Scanner (permet uniquement l'envois d'un fichier suspecté d'être un virus)
 
Removal Tools pour éliminer Sasser automatiquement (02.05.2004 à 7h50) :
- McAfee AVERT Stinger
- Trend Micro Sysclean Package
- Symantec FxSasser.exe (W32.Sasser Removal Tool)
- Panda Software QuickRemover (enregistrement obligatoire)
 
Dernières mises à jour chez les éditeurs de logiciels AV (01.05.2004 à 19h00) :
- Symantec Security Response : W32.Sasser.Worm, W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, Exploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A
- Sophos : W32/Sasser.worm
- Panda Software : Sasser.A & DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : W32/Sasser.A & Microsoft Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser
- RAV Antivirus : Win32/Sasser.worm
- Norman : W32/Sasser.A
- F-Prot : W32/Sasser.A
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b (pages en Russe !)
- Avast : pas d'infos...
- Grisoft AVG : pas d'infos...
 
 
Microsoft à propos de Sasser :
What You Should Know About the Sasser Worm and Its Variants
 
Merci à king_ping de PPC et HFR

Ca fait 3/4 jours que mon serv est infecté
 
Merci en ts cas

 
Serveur et windows, il n'y a pas incompatibilité ? (ceci n'est pas un troll, mais l'exemple flagrant d'une réalité )

http://forum.presence-pc.com/overc [...] 2176-1.htm
 

 
Ca a pas l'air d'etre un problem de vers mais plutot un blem de configuration ton truc...

J'ai quand même apliqué le patch

aller sur http://vil.nai.com/vil/stinger/
lancez le programme et ca marche  
perso j'avais 7575 fichiers infecté de sasser et netsky

 
Putain    
 
Sinon ya aussi celui de symantec qui est bien pour jarter Sasser...

a priori j'aurai réussi à m'en libérer de cette saloperie, mais ce fut chaud chaud quand meme :-/

f**k je vien de le rechopé

plus ca va moins ca chez les OS de krosoft

c clair, obligé de faire une maj deux fois par jour bientot.... vive linux moi jdi, une tite recompilation de noyau de temps en temps et rulezzzz

et encore, c pas pour des virus qu'on doit le faire

 
 
nan, c pour des failles de sécu

 
Un serveur sous Windows

Un bon ptt firewall bloquant toute communication entrante et je suis peinard
Heureusement que je reçois des alertes par mailling lists sinon je ne me rendrais même pas compte des nouveaux vers
Enfin, là ça fait 2 semaines que je traine presque que sous nux donc...
(mais ma copine est sous XP)

change de copine

Mon windows server 2003 à rien
 
alors que sur le reseau sasser fait des siennes partout... sauf chez moi
 
Pourtant il devrait attaquer win 2003 aussi ?

TT a  base de noyaux NT... T petre bie protégé (firewall de l'insa performant ou autre )

Une petite machine linux comme accès au net (et partage de connexion il va de soit) a l'air d'être bien efficace puisque blaster, sasser (sasser à quoi ? ) restent sagement à la porte de chez moi.
C'est peut-être une coïncidence ou une relation de cause à effet mais en tout cas le gars Jimbo est peinard avec windows pour ces "véroles numériques"

Non ça va elle se débrouille bien en plus, elle est pas blonde

Bah avec ma passerelle sous xp pro (oui pas réussi a config le nux encore ) c le server qui a tt pris, les 3 clients sous xp aussi ont absolument rien, aucun na ni le patch blaster et na jamais eu de pb

 
mouais, ya des contre exemples, des blondes intelligentes ( enfin je cherche )
et des chatain/rousse/brune/bleu ( coiffeuse ) qui font des truks con, hain ptite soeur
 
[message subliminal]
/me n'arrive plus a se connecter a forum.jackydawa.com
[/message subliminal]

 
Pas de firewall ni d'antivirus à part moi
 
D'ailleur a chaque fois que je mets un antivirus il fait fouarer mon serveur WINS => obligé de réinstaller le systeme  

Question peu etre bete...  
 
Faut t'il appliqué le patch et ensuite virer le vrus avec un remove tool ou faut til dabord virer le virus avant d'appliquer le patch ?  
 
Sur tous les pc j'ai appliqué le patch avant de désinfecter... mis jai comme un doute now...  
 
Merci de m'aider