[hotfix] Vers et virus : Sasser et Gaobot ! Reboot à cause de LSASS ?

Vers et virus : Sasser et Gaobot ! Reboot à cause de LSASS ? [hotfix] - Win NT/2K/XP - Windows & Software

Marsh Posté le 01-05-2004 à 10:23:03    

http://membres.lycos.fr/cybear/Forum/topicR+.gif  
 
 
Depuis quelques jours a commencé l'exploitation d'une faille de sécurité présente sur les systèmes Windows à base de noyau NT. La faille affecte le service lsass.exe (Security Accounts Manager) et permet au choix d'effectuer un Denial of Service (reboot de la machine) ou d'installer un programme en vue de prendre le controle de la machine distante.
 
Un correctif (hotfix) est disponible chez Microsoft, il faudrait l'installer rapidement si ce n'est pas fait. Pour se protéger de Sasser le correctif MS04-011 est impératif. Pour parer ce type d'attaques un pare-feu (firewall) est une bonne chose, celui intégré à Windows XP fait tout à fait l'affaire. Un anti-virus ne sera pas particulièrement efficace en vue de prévenir l'attaque, au mieux il pourra réparer les dégats la machine une fois infectée.  
 
 
Microsoft Security Bulletin MS04-011 :
Bulletin en français ou en anglais
 
 
Téléchargements du correctif pour :
 
Windows 2000 anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows 2000 français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Windows XP anglais :
http://download.microsoft.com/down [...] 86-ENU.EXE
 
Windows XP français :
http://download.microsoft.com/down [...] 86-FRA.EXE
 
Il serait ensuite judicieux de vérifier que votre machine est à jour en terme de sécurité, il existe un utilitaire gratuit et simple d'utilisation qui permet de vérifier la présence des hotfixes sur votre machine, Microsoft Baseline Security Analyzer 1.2 :
- MBSA Homepage
- Téléchargement MBSA 1.2 anglais
- Téléchargement MBSA 1.2 français
 
 
Addenum :
Pour ceux qui n'arrivent pas à télécharger le patch avant de rebooter.
Sous Windows XP :
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Sous Windows 2000 :
- Télécharger shutdown.exe et l'enregistrer dans le répertoire d'installation de Windows.
- Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> Bouton OK
 
Un astuce consisterait, une fois le compte à rebourd apparu, à modifier l'heure du système en enlevant quelques heures pour augmenter le délais nécessaire au téléchargement et à l'installation.
 
Si vous n'arrivez pas à accéder aux sites d'éditeurs de logiciels anti-virus, ouvrez le fichier %WINDIR%\system32\etc\hosts à l'aide du Bloc-Note (Note : %WINDIR% indique le répertoire dans lequel Windows est installé). Ensuite repérez les entrées qui pointent sur 127.0.0.1, effacez les lignes correspondantes sauf "localhost". Enregistrez le fichier.
 
 
Attaques en cours :
Actuellement le vers Sasser semble de loin l'attaque la plus répendue, quatre variantes du vers sont actuellement connues, les symptomes sont les suivants :
- un processus nommé  
   variante A : avserve.exe
   variante B : avserve2.exe
   variante C : avserve2.exe
   variante D : skynetave.exe
   variante E : lsasss.exe (note : ne pas confondre avec lsass.exe qui est un fichier Windows valide)
- un fichier dans le répertoire Windows :
   variante A : avserve.exe
   variante B : avserve2.exe
   variante C : avserve2.exe
   variante D : skynetave.exe
   variante E : lsasss.exe
- plusieurs processus nommés "xxxxx_up.exe" ou xxxxx est un nombre aléatoire de 4 ou 5 chiffres, consommant énormément de ressources processeur. S'achève par _update.exe pour la variante E.
- la présence d'un fichier :
   variante A : C:\WIN.LOG
   variante B : C:\WIN2.LOG
   variante C : C:\WIN2.LOG
   variante D : C:\WIN2.LOG
   variante E : C:\ftplog.txt
- la présence de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   variante A : avserve.exe = %Windir%\avserve.exe
   variante B : avserve2.exe = %Windir%\avserve2.exe
   variante C : avserve2.exe = %Windir%\avserve2.exe
   variante D : skynetave.exe = %Windir%\skynetave.exe
   variante E : lsasss.exe = %Windir%\lsasss.exe
- effectue des connexions au port TCP 445, génère du trafic sur les ports TCP 5554 et 9996 (variante D port 9995, variante E ports 1022 et 1023).
- affiche un message d'erreur similaire à ceux ci-dessous, tentant d'arrêter la machine :
 
http://www.rathgeb.org/temp/sasser_a.gif
 
http://www.rathgeb.org/temp/sasser_b.gif
 
Quelques variantes de Gaoboat / Agobot utilisent aussi cette faille :
- tente de désactiver l'anti-virus
- empeche les mises à jour de l'anti-virus
- installe une porte dérobée (backdoor) sur la machine
 
 
Que faire si mon anti-virus ne fonctionne plus ?
Le plus simple est d'utiliser un logiciel anti-virus en ligne ou un removal tool (voir ci-dessous), en voici quelques-uns :
- Symantec Security Check
- Trend Micro Scanning Housecall
- Panda Software ActiveScan
- BitDefender Free Online Virus Scan
- McAfee FreeScan
- RAV AntiVirus - Scan Online
- Kaspersky Labs Online Virus Scanner (permet uniquement l'envois d'un fichier suspecté d'être un virus)
 
Removal Tools pour Sasser (outils permettant d'éliminer le ver automatiquement) (03.05.2004 à 18h16) :
- McAfee AVERT Stinger
- Trend Micro Sysclean Package
- Symantec FxSasser.exe (W32.Sasser Removal Tool)
- Panda Software PQRemove for Sasser.A
- Microsoft Sasser.A and Sasser.B Worm Removal Tool (KB841720)
- avast! Virus Cleaner - free virus & worm removal tool (variantes A à D)
 
 
Dernières mises à jour chez les éditeurs de logiciels AV (04.05.2004 à 11h30) :
- Symantec Security Response : W32.Sasser.Worm, W32.Sasser.B.Worm, W32.Sasser.C.Worm, W32.Sasser.D.Worm, W32.Sasser.E.Worm, W32.Gaobot.AFW, W32.Gaobot.AFJ, W32.Gaobot.AFC
- McAfee Security : W32/Sasser.worm, W32/Sasser.worm.b, W32/Sasser.worm.c, W32/Sasser.worm.d, W32/Sasser.worm.eExploit-MS04-011, W32/Gaobot.worm.ali
- Trend Micro : WORM_SASSER.A, WORM_SASSER.B, WORM_SASSER.C, WORM_SASSER.D
- Sophos : W32/Sasser.worm, W32/Sasser-B
- Panda Software : Sasser.A, Sasser.B, Sasser.C, Sasser.D, DSScan.A
- Antivir : Worm/Sasser.A
- Computer Associates : W32/Sasser.A, W32/Sasser.B, W32/Sasser.C, W32/Sasser.D, Microsoft Windows LSASS buffer overflow vulnerability
- F-Secure : Sasser, Sasser.B, Sasser.C
- RAV Antivirus : Win32/Sasser.worm, Win32/Sasser.B.worm
- Norman : W32/Sasser.A, W32/Sasser.B
- F-Prot : W32/Sasser.A, W32/Sasser.B, W32/Sasser.C, W32/Sasser.D
- Kaspersky : Worm.Win32.Sasser.a, Worm.Win32.Sasser.b
- Avast : Win32:Sasser
- Hauri : Worm.Win32.Sasser.15872, Worm.Win32.Sasser.15872.B
- Grisoft AVG : I-Worm/Sasser
 
 
Microsoft à propos du vers Sasser :
- Ce que vous devez savoir sur le ver Sasser et ses variantes
- What You Should Know About the Sasser Worm and Its Variants
 
 
Quelques nouvelles :
L'adolescent arrêté avoue avoir créé le virus Sasser
 
 
Note :
Pour ceux qui souhaitent alerter sur d'autres forum, merci de mettre un lien vers cet article plutot que de copier-coller son contenu.


Message édité par Requin le 07-11-2005 à 16:22:29
Reply

Marsh Posté le 01-05-2004 à 10:23:03   

Reply

Marsh Posté le 01-05-2004 à 11:08:08    

pas mal cette info pour le MBSA
je l'ai installé et il a trouvé quelques failles malgré que mes visites sur windows update soient fréquentes
cependant j'ai un souci avec une mise à jour: je la choppe en francais mais lors de l'installation ca me dit que le langage ne correspond pas au langage de mon systéme :/
il s'agit de cette update: Windows2000-KB329115-x86


---------------
TAF n°1 - Kaltan's Watches - Mme Kaltan Cuisine Blog - BMW
Reply

Marsh Posté le 01-05-2004 à 11:29:20    

sinon pour ceux qui sont déja infectés, faite : démarrer/executer/regedit/hkey_local_machine/software/microsoft/windows/current_version/run
et enlever la clé qui s'appelle P2P manager.
 
apres avoir fait ca, je n'ai plus eu le message d'erreur

Reply

Marsh Posté le 01-05-2004 à 11:30:23    

Plein d'erreurs venant de Windows Xp ce matin en allumant le pc !
Ca vient donc de ça

Reply

Marsh Posté le 01-05-2004 à 11:32:40    

Oui

Reply

Marsh Posté le 01-05-2004 à 11:42:15    

Et bein, ça sert d'avoir un forum informatique sous la main
je viens d'avoir ça aussi ce matin, et je me suis dit, 1er mai, ça doit couver quelque chose
j'avais aussi le avserve dans windows system, now tout va bien
thanx pour le patch !
Edit: le patch français me dit que la langue n'est pas bonne, alors que mon XP est bien francais.... heu j'fais quoi ?


Message édité par Asegard le 01-05-2004 à 11:45:19
Reply

Marsh Posté le 01-05-2004 à 11:49:14    

je n'ai pas cette cle moi.

Reply

Marsh Posté le 01-05-2004 à 11:50:02    

Je n'ai pas mis tous les OS dans la liste, essayez de passer par le bulletin de sécurité qui donne la liste complète des OS, puis permet de choisir la langue :
 
http://www.microsoft.com/technet/s [...] 4-011.mspx

Reply

Marsh Posté le 01-05-2004 à 11:50:53    

Bah je suis sous WinXP français tout simplement, et ni l'anglais ni le français ne marche
 
Etrange, je suis allé le retélécharger sur le site et ça marche..
Merci  :hello:


Message édité par Asegard le 01-05-2004 à 11:54:06
Reply

Marsh Posté le 01-05-2004 à 11:59:16    

Byron a écrit :

je n'ai pas cette cle moi.


moi non plus
mais j'ai eu pire, un truc qui s'appelle aserve.exe et qui m'empechait d'afficher des pages web ce matin :/

Reply

Marsh Posté le 01-05-2004 à 11:59:16   

Reply

Marsh Posté le 01-05-2004 à 12:08:04    

Attention à "swchost.exe" dont le nom est ... "Wandows Sturtup" (?!)
 
 
à éliminer aussi
 
edit : pas sûr que ce soit lié à ce virus, ce n'est peut-être qu'un spyware.


Message édité par Harigat0 le 01-05-2004 à 12:14:33
Reply

Marsh Posté le 01-05-2004 à 12:16:49    

Quand je kill avserve.exe, il revient parfois quelques temps après sous le nom de 15858up.exe. Ouala, ct juste pour l'info.


---------------
[HardFr]Zitun à la belle époque.
Reply

Marsh Posté le 01-05-2004 à 12:28:57    

+1 pour l'infection :( ça devient lourd


---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
Reply

Marsh Posté le 01-05-2004 à 12:30:29    

david42fr a écrit :

+1 pour l'infection :( ça devient lourd

Met le patch et fait un win update :o

Reply

Marsh Posté le 01-05-2004 à 12:32:00    

c'est fait, j'ai suivi les conseils trouvés sur HFR et a priori ça roule. Ca me semble d'ailleurs un peu simple comme désinfection!


---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
Reply

Marsh Posté le 01-05-2004 à 12:33:10    

Oui je c'est on verra pas la suite!

Reply

Marsh Posté le 01-05-2004 à 12:34:51    

Trendmicro m'indique que avserve.exe et ses copains sont infectés par WORM SASSER.A.


---------------
[HardFr]Zitun à la belle époque.
Reply

Marsh Posté le 01-05-2004 à 12:36:38    

Zitun a écrit :

Trendmicro m'indique que avserve.exe et ses copains sont infectés par WORM SASSER.A.


 
Pareil avec Trend Micro, il se contente de m'indiquer ces infections et échoue à faire quoique ce soit  :pfff: ...  
 
d'ailleurs sur un autre pc (connecté à Internet bien sûr) avec Norton Internet Security (& Norton Antivirus), aucune infection (sans l'avoir mis à jour récemment en plus)
 
Deçu par l'"efficacité" du firewall de Trend Micro  :pfff:


Message édité par Harigat0 le 01-05-2004 à 12:41:19
Reply

Marsh Posté le 01-05-2004 à 12:37:06    

ben prend l'utilitaire de desifection sasser.a.

Reply

Marsh Posté le 01-05-2004 à 12:40:05    

Merci les amis ! Un grand merci !
Cem atin je me connecte sous Windows XP et hop, comme par hasard ce fichu virus, depuis je ne peux PLUS ABSOLUMENT PLUS  
 me connecter au net avec WinXP. Heureusement j'ai  un PC avec W98 et les pros du software oujours là pour aider  :jap:  
 
J'avoue cependant que je suis à bout. deux mois que j'ai de ces fichus virus qui transpercent mon firewall et se jouent deKaspersky... j'enrage !

Reply

Marsh Posté le 01-05-2004 à 12:40:11    

l'antivirus en ligne de secuser.com c'est bien trend housecall? parce que je l'ai exécuté ce matin et il m'a rien trouvé!!!
 
 
edit : en fait il l'avait trouvé effectivement mais pas nettoyé:il m'a parlé d'un malware et non pas d'un virus.


Message édité par david42fr le 01-05-2004 à 12:44:43

---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
Reply

Marsh Posté le 01-05-2004 à 12:42:37    

Moi il me la trouvé nickel, mais en non cleanable, j'ai viré le tout :D
 
Cest bien Housecall donc je parlais oui.


---------------
[HardFr]Zitun à la belle époque.
Reply

Marsh Posté le 01-05-2004 à 12:43:15    

à ce propos, quelqu'un a t il entendu parler d'un virus nommer dedler.G?


---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
Reply

Marsh Posté le 01-05-2004 à 13:19:00    

:pfff: je vois ce topic, je d/l puis installe le patch en prevention... (j'avais encore rien eu...)
et 2minutes apres l'install du patch que vois je apparaitre :??: ce put### de message a la con pour annoncer le reboot  :fou:  
c koi ce patch de mer## y'a vraiment un truc que je pige plus la... on fout les patch pour eviter de se le prendre et en recompense on le choppe quand meme  :fou:

Reply

Marsh Posté le 01-05-2004 à 13:19:07    

AVG vient de mettre à jour sa base antivirus pour intégrer SASSER . Mettez vos antivirus à jour ;)


---------------
A life spent making mistakes is not only more honorable, but more useful than a life spent doing nothing. -- Shaw -- mon topic de vente photo
Reply

Marsh Posté le 01-05-2004 à 13:19:48    

Requin a écrit :

Addenum : sous 2000 ou XP en effectuant : Menu Démarrer -> Exécuter -> Saisir "shutdown /a" (sans les guillemets) -> bouton OK celà permet de stopper le message et d'avoir le temps d'installer le patch.


 
Lorsqu'on fait ça le message "le commande n'existe pas" apparait. "Shutdown", ce serait bien pour un windows US, non ? Le nom de la commande change peut-être pour les Windows (2000) Fr ?  
 
:/


---------------
DU LINO DE BATARD IMITATION CARREAUX DE CIMENTS ILLEGITIMES§§§
Reply

Marsh Posté le 01-05-2004 à 13:22:37    

je sais pas pour win2000 mais sous XP pro fr shutdown est valide ;)

Reply

Marsh Posté le 01-05-2004 à 13:24:30    

parappa a écrit :

Lorsqu'on fait ça le message "le commande n'existe pas" apparait. "Shutdown", ce serait bien pour un windows US, non ? Le nom de la commande change peut-être pour les Windows (2000) Fr ?  
 
:/


 
Par défaut cette commande n'existe pas sous 2000... je n'arrive pas à me souvenir si je l'ai copiée d'un WinXP sur mon 2000 ou prise dans un resource kit.
 
Si jamais l'équivalent existe sur www.sysinternals.com et s'appelle psshutdown.exe

Reply

Marsh Posté le 01-05-2004 à 13:33:53    

Requin a écrit :

Par défaut cette commande n'existe pas sous 2000... je n'arrive pas à me souvenir si je l'ai copiée d'un WinXP sur mon 2000 ou prise dans un resource kit.
 
Si jamais l'équivalent existe sur www.sysinternals.com et s'appelle psshutdown.exe


 
Ok, j'ai récupéré psshutdown. :)
 
Pour faire en sorte qu'il s'execute en faisant démarrer > executer > "psshutdown -a", je dois le mettre dans quel dossier de windows ?


---------------
DU LINO DE BATARD IMITATION CARREAUX DE CIMENTS ILLEGITIMES§§§
Reply

Marsh Posté le 01-05-2004 à 13:34:53    

pt1 j'ai le même genre de souci mes machines sont regulierement mise à jour sur windows update et bien que sans antivirus tout roule impec par contre je me monte un troisieme pc à base de nforce2 j'installe, j'applique le patch pour le blaster puis je vais sur windowsupdate alors là misere j'ai à peine commencé à installer que le net n'est plus accessible, je peux toujours faire des ping free.fr mais pour se connecter au net dans ton cul lulu !
 
je vais dl ce patch pour xp l'appliquer avec celui de blaster sur mon xp pro + sp1 fraichement installer et tenter un windows update !
 
Sincerement c'est de plus en plus emmerdant !

Reply

Marsh Posté le 01-05-2004 à 13:36:28    

Heureusement qu'en allumant mon PC ce matin mon antivir s'est mis à jour ...
je viens d'installer les patchs donc j'espère que ça ira parce que le compte à rebourd ça me fait peur :p

Reply

Marsh Posté le 01-05-2004 à 13:37:49    

c'est surtout le fait de ne plus pouvoir se connecter au net là c'est sincerement la misere je pense à ceux qui n'ont qu'un seul pc infecté dans connexion au net tu ne peux rien faire face à ce genre de souci ...

Reply

Marsh Posté le 01-05-2004 à 13:39:21    

bobdennard a écrit :

c'est surtout le fait de ne plus pouvoir se connecter au net là c'est sincerement la misere je pense à ceux qui n'ont qu'un seul pc infecté dans connexion au net tu ne peux rien faire face à ce genre de souci ...


j'ai eu ca et suffisait de virer avserve.exe dans le gestionnaire des taches

Reply

Marsh Posté le 01-05-2004 à 13:42:01    

Mister_K a écrit :

j'ai eu ca et suffisait de virer avserve.exe dans le gestionnaire des taches


 
bon je vais me fouetter moi ça m'apprendra à pas utiliser windows souvent [:barome]  [:joce]  
 
bon merci du conseil j'espere pouvoir enfin mettre à jour ce nouveau pc et pouvoir lui permettre de surfer sur le nêteux [:groux]

Reply

Marsh Posté le 01-05-2004 à 13:46:35    

parappa a écrit :

Ok, j'ai récupéré psshutdown. :)
 
Pour faire en sorte qu'il s'execute en faisant démarrer > executer > "psshutdown -a", je dois le mettre dans quel dossier de windows ?


 
Perso je le met sous C:\WINNT\ mais n'importe quel dossier dans la varaiable d'environnement PATH permetterait de l'appeler sans avoir à entrer le chemin de l'exécutable.

Reply

Marsh Posté le 01-05-2004 à 13:48:02    

Si vous utilisez windows update en mode auto le patch a été appliqué.

Reply

Marsh Posté le 01-05-2004 à 13:51:35    


ça vous fait meme avec le firewall de winxp activé ????
 

Reply

Marsh Posté le 01-05-2004 à 13:53:13    

ca sert a quoi un firewall [:opus dei]

Reply

Marsh Posté le 01-05-2004 à 13:53:14    

Je viens de rebooter et de remettre le firewall sur mon fixe, et tout roule. Je peux lancer un av online et cela m'a permis de me debarasser d'un cheval de troie qui me pourrissait la machine depuis qques temps.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed