Virus type Sasser

Virus type Sasser - Sécurité - Windows & Software

Marsh Posté le 24-07-2004 à 18:35:36    

Bonjour,
 
je viens de remarquer un processus Isass et pas Lsass donc...
 
+ un fichier win.txt à la racine avec dedans
 
NICK ]HyperX[-951970
USER fjyvbh 0 0 :]HyperX[-951970
:HuB.DarK.Com NOTICE AUTH ::[HuB]: *** Checking ident...
:HuB.DarK.Com NOTICE AUTH ::[HuB]: *** No ident response...
:HuB.DarK.Com NOTICE AUTH ::[HuB]: *** Looking up your hostname...
:HuB.DarK.Com NOTICE AUTH ::[HuB]: *** Received identd response...
:HuB.DarK.Com 001 ]HyperX[-951970 :
USERHOST ]HyperX[-951970
MODE ]HyperX[-951970 +B
JOIN #Sasser NðKrXSass
:HuB.DarK.Com 002 ]HyperX[-951970 :
:HuB.DarK.Com 003 ]HyperX[-951970 :
:HuB.DarK.Com 004 ]HyperX[-951970 :
:HuB.DarK.Com 005 ]HyperX[-951970            :
USERHOST ]HyperX[-951970
MODE ]HyperX[-951970 +B
JOIN #Sasser NðKrXSass
:HuB.DarK.Com 005 ]HyperX[-951970            :
USERHOST ]HyperX[-951970
MODE ]HyperX[-951970 +B
JOIN #Sasser NðKrXSass
:HuB.DarK.Com 251 ]HyperX[-951970 :
:HuB.DarK.Com 253 ]HyperX[-951970 :
:HuB.DarK.Com 254 ]HyperX[-951970 :
:HuB.DarK.Com 255 ]HyperX[-951970 :
:HuB.DarK.Com 265 ]HyperX[-951970 :
:HuB.DarK.Com 266 ]HyperX[-951970 :
:HuB.DarK.Com 422 ]HyperX[-951970 :MOTD File is missing
:]HyperX[-951970 MODE ]HyperX[-951970 :+iTxp
:HuB.DarK.Com 302 ]HyperX[-951970 :]HyperX[-951970=+~fjyvbh@134.51.76.83.cust.bluewin.ch    
:HuB.DarK.Com NOTICE ]HyperX[-951970 :Setting/removing of usermode(s) 'ixcstdwzvgmpBSGRVTMQ' has been disabled.
:]HyperX[-951970!~fjyvbh@DarK-97CEA028.cust.bluewin.ch JOIN :#Sasser
:HuB.DarK.Com 332 ]HyperX[-951970 #Sasser :!advscan dcom135 100 5 0 -r
PRIVMSG #Sasser :[SCAN]: Random Port Scan started on 192.168.x.x:135 with a delay of 5 seconds for 0 minutes using 100 threads.
:HuB.DarK.Com 333 ]HyperX[-951970 #Sasser D]a[rK 1090678184
:HuB.DarK.Com 353 ]HyperX[-951970 @ #Sasser :]HyperX[-951970 @]HyperX[-131971  
:HuB.DarK.Com 366 ]HyperX[-951970 #Sasser :End of /NAMES list.
:HuB.DarK.Com 302 ]HyperX[-951970 :]HyperX[-951970=+~fjyvbh@134.51.76.83.cust.bluewin.ch    
:HuB.DarK.Com NOTICE ]HyperX[-951970 :Setting/removing of usermode(s) 'ixcstdwzvgmpBSGRVTMQ' has been disabled.
:HuB.DarK.Com 302 ]HyperX[-951970 :]HyperX[-951970=+~fjyvbh@134.51.76.83.cust.bluewin.ch    
:HuB.DarK.Com NOTICE ]HyperX[-951970 :Setting/removing of usermode(s) 'ixcstdwzvgmpBSGRVTMQ' has been disabled.
:HuB.DarK.Com 404 ]HyperX[-951970 #Sasser :You must have a registered nick (+r) to talk on this channel (#Sasser)
... etc...
 
 
Je sais pas comment me débarasser de ca car Norton ne voit rien !!??

Reply

Marsh Posté le 24-07-2004 à 18:35:36   

Reply

Marsh Posté le 24-07-2004 à 18:37:32    

ah oui j'ai aussi une clé de registre  
 
MicroSoft IE Sasser    Isass.exe
 
dans CurrentVersion/run
 
J'ai shhoté la clé mais elle revient, quelle merde !

Reply

Marsh Posté le 24-07-2004 à 18:43:07    

www.secuser.com/antivirus pour commencer !
 
Ensuite passe un coup de A² http://www.emsisoft.net/fr/software/free/ pour virer ce trojan...


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-07-2004 à 18:47:05    

Ok la je suis en train de faire un RAw Antivirus on-line...
 
C'est un nouveau virus, pour qu'il ne soit pas détecté ? et les symptomes n'ont pas l'air les mêmes que les précédents sasser ?...

Reply

Marsh Posté le 24-07-2004 à 19:31:03    

Ca ressemble plutôt à un trojan en fait. Tu n'as aucune idée d'où ça peut venir (pièce jointe, crack, site de c*l, P2P,...) ?


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-07-2004 à 19:33:56    

p2p surement :-(

Reply

Marsh Posté le 24-07-2004 à 19:41:23    

Bon g désactivé toutes les clé dans la BD contenant Isass en attendant mieux...

Reply

Marsh Posté le 24-07-2004 à 21:31:50    

ah tiens j'ai aussi le SCRGRD.EXE
W32/Rbot-AA
 
 
C'est vraiment des nouveaux virus a ce que j'ai lu :-(
 
 
le premier je crois que c'est le trojan Optix


Message édité par Noisequik le 24-07-2004 à 21:32:15
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed