>>>Recherche connaisseurs du VIRUS NIMDA et de sa propagation... - Windows & Software
Marsh Posté le 19-04-2002 à 12:55:37
Je précise également que je n'utilise AUCUN logiciel type POP3 (outlook ou autres, mais une messagerie sur hotmail, et que je n'ouvre que des mails créés par moi au boulot (fichiers bmp, jamais d'executables)...
[jfdsdjhfuetppo]--Message édité par Taurus--[/jfdsdjhfuetppo]
Marsh Posté le 19-04-2002 à 12:55:39
Regarde si ton serveur IIS est lancé parce que si c'est le acs c'est par la qu'il est passé...sinon un des 2 site que tu as visité est vérollé...mais tu devrait lancé un antivirus pour verifier si le virus est actif ou pas.
parce que chez moi j'avais Nimda-D una autre variante qui écrivait des fichier verolé sur le C: D: E: HttpODBC.dll mais comme mon antivirus était actif il les supprimait à chaque. Au départ j'ai cru qu'il était stocké sur mon PC mais en désactivant IIS plus rien...donc j'en ai conclu que IIS était attaqué...et nimda passe même avec le patch
Du coup aujourd'hui ca va parce que j'ai changé d'IP simplement...
mais nimbda passe aussi via les maila lors regarde sous outlook si tu n'as pas recu un mail un peut bizarre avec une fichier .txt qui lui est pur vérollé.
Marsh Posté le 19-04-2002 à 13:02:02
papangue a écrit a écrit : Regarde si ton serveur IIS est lancé parce que si c'est le acs c'est par la qu'il est passé...sinon un des 2 site que tu as visité est vérollé...mais tu devrait lancé un antivirus pour verifier si le virus est actif ou pas. parce que chez moi j'avais Nimda-D una autre variante qui écrivait des fichier verolé sur le C: D: E: HttpODBC.dll mais comme mon antivirus était actif il les supprimait à chaque. Au départ j'ai cru qu'il était stocké sur mon PC mais en désactivant IIS plus rien...donc j'en ai conclu que IIS était attaqué...et nimda passe même avec le patch Du coup aujourd'hui ca va parce que j'ai changé d'IP simplement... mais nimbda passe aussi via les maila lors regarde sous outlook si tu n'as pas recu un mail un peut bizarre avec une fichier .txt qui lui est pur vérollé. |
Merci de tes infos c'est très sympa & instructif
Comme je l'ai dit un peu plus haut je n'utilise aucun logiciel pop3. DOnc on raye cette possibilité...
En ce qui concerne HttpODBC.dll , je n'ai trouvé aucun processus avec ce nom et aucun fichier sur mon disque dur.
J'ai même fait une recherche du fichier riched20.dll et des fichiers indiqués sur le site AVP, mais aucun n'a été trouvé, ou n'a été infecté (d'ou mon etonnement!!!!!)
De plus, je n'ai desinstallé aucun programme susceptible d'avoir fait propagé le virus...
Reste donc la probabilité d'un site contaminé, mais si c'est le cas, un autre fichier contaminé doit propabalement être sur le disque dur sous une forme ou une autre, non?!? (exe/js au autre...)
[jfdsdjhfuetppo]--Message édité par Taurus--[/jfdsdjhfuetppo]
Marsh Posté le 19-04-2002 à 13:03:52
Nouvelles précisions:
-j'utilise AVP avec mise à jour 18/4/2002... , et j'ai fait un scan global de toute la machine avec 3 'admin.dll' infectés (sur 3 partitions C: D: E: )
-je n'ai pas d'adresse IP fixe (connex modem)
[jfdsdjhfuetppo]--Message édité par Taurus--[/jfdsdjhfuetppo]
Marsh Posté le 19-04-2002 à 13:07:56
si t'as riched20.dll tu doit pas etre infecté..... 2 possibilité soit ton fichier se trouve dans les fichiers cache de IE dans ce cas tu vides tons caches, tu supprimes tous tes cookies, soit c'est des attaques via une faille de sécurité de ton OS ou IE donc tu installes un firewall qui filtres par paquets (tiny personnal firewall) et tu regardes l'activités des protocoles TCP et UDP.
tu log le tout et tu étudies ce qui se passe et si tu n'as pas des attaques extérieurs, et si tout ce qui transite sur ta connexion est légale. PArce que a mon avis c'est plus la 2 possibilité. Dans ce cas tu renouvèles ton IP et t'es tranquille jusqu'a ce qu'on te retrouve!
Marsh Posté le 19-04-2002 à 13:17:07
papangue a écrit a écrit : si t'as riched20.dll tu doit pas etre infecté..... 2 possibilité soit ton fichier se trouve dans les fichiers cache de IE dans ce cas tu vides tons caches, tu supprimes tous tes cookies, soit c'est des attaques via une faille de sécurité de ton OS ou IE donc tu installes un firewall qui filtres par paquets (tiny personnal firewall) et tu regardes l'activités des protocoles TCP et UDP. tu log le tout et tu étudies ce qui se passe et si tu n'as pas des attaques extérieurs, et si tout ce qui transite sur ta connexion est légale. PArce que a mon avis c'est plus la 2 possibilité. Dans ce cas tu renouvèles ton IP et t'es tranquille jusqu'a ce qu'on te retrouve! |
Ouep, c'est fort probable tout ça, mais normalement les fichiers temporaires du web sont censés être scannés par défaut par AVP je crois...
Et absolument tout ce que je fais transiter est 100% légal (en fait pas grand chose, je n'ai rien téléchargé sur ces 2 sites!).
Il est possible donc que ce soit une intrusion. C'est quand même hyper suprenant, quand même: j'utilisais auparavant Win98SE, je passe sous 2000 mercredi soir (formatage, boot sur cd classique), le lendemain soir j'ai un virus.... (sous 98SE pendant plus d'un an avec scann des disques réguliers par AVP: rien de similaire )
Je vais faire des tests de mon coté pour relancer les quelques executables (drivers) que j'avais pu executer après la mise en place de win2K, mais sans certitude...
Donc les deux thèses les plus probables selon moi (par ordre de priorité):
-HFR (page sur forum ou ailleurs) ou The Underdogs était infecté. (AUCUNE TRACE DANS LES TEMPORARY INTERNET FILES/COOKIES et autres detectée par AVP (18/4/2002))
-Je me suis fait attaquer par un hacker (possible aussi, et si c le cas, je le félicite! Le lendemain de ma nouvelle install, alors que pour le moment je n'heberge aucun site et je ne vais sur aucun site sensible/j'ai une adresse IP dynamique
[jfdsdjhfuetppo]--Message édité par Taurus--[/jfdsdjhfuetppo]
Marsh Posté le 19-04-2002 à 13:31:54
je ne suis pas un spécialiste en virus, et il en existe.
Néanmoins je me suis frotté plusieurs fois à ce virus et m'en suis bien sorti à chaque fois, je vais te faire part de mon expérience.
On peut le chopper en allant sur un serveur web contaminer, ça suffit. IE 6 ou IE 5.5 sp 2 sont protégé, encore que je l'ai choppé avec IE 5.5 sp2. mais je m'en suis bien sorti aussi. IE 6 est sûrement mieux patché.
On peut le chopper aussi par mail.
ou dans un exe contaminé (exemple, l'exe décompressé a du html contaminé).
le champ de contamination est donc assez vaste.
Avec Outlook express le seul fait de recvoir un mail html avec le script infectant peut suffir. Outlook Express ayant un peu trop d'initiatives pour être sérieux. Outlook XP ayant des paramètres de sécurité très fort est normalement protégé si on n'ouvre pas le mail.
Si on le choppe. Il crée des mail un peu partout y compris là où il faut pas. Après quelques millions de mails sur le disque dur le système est mort. Et ça va très vite. Il faut donc réagir très vite.
En plus de ça il ouvre des autorisations un peu partout au service des hackers qui ont donc accès à tous les mots de passe.
Une fois je l'ai choppé sur une partition et il est curieusement resté cantonné à cette part. Comme il n'y avait pas grand chose dessus j'ai purement et simplement formatté. Je m'en suis débarassé comme ça.
D'autre fois je l'ai choppé à d'autres endroits. AVP tel qu'iol était mis à jour l'a détecté mais n'était pas suffisant pour le supprimer.
J'ai 2 fixes de Symantec qui sont très efficaces. Il faut les utiliser les 2, et être un peu patient car c'est un peu long. Et surtout cocher toutes les cases pour virer toutes les ouvertures administratives de Nimda. Attention ça peut effecer un travail de droits longuement mis au point par un admin si c'est le cas.
Ce met sur mon ftp ou t'envoie par amil ces fixes (en exe) sur demande. Au total ça fait un petit méga. je n'ai pas l'url directe de ces fixes vers le site de Symantec.
Marsh Posté le 19-04-2002 à 13:40:52
cablator a écrit a écrit : je ne suis pas un spécialiste en virus, et il en existe. Néanmoins je me suis frotté plusieurs fois à ce virus et m'en suis bien sorti à chaque fois, je vais te faire part de mon expérience. On peut le chopper en allant sur un serveur web contaminer, ça suffit. IE 6 ou IE 5.5 sp 2 sont protégé, encore que je l'ai choppé avec IE 5.5 sp2. mais je m'en suis bien sorti aussi. IE 6 est sûrement mieux patché. On peut le chopper aussi par mail. ou dans un exe contaminé (exemple, l'exe décompressé a du html contaminé). le champ de contamination est donc assez vaste. Avec Outlook express le seul fait de recvoir un mail html avec le script infectant peut suffir. Outlook Express ayant un peu trop d'initiatives pour être sérieux. Outlook XP ayant des paramètres de sécurité très fort est normalement protégé si on n'ouvre pas le mail. Si on le choppe. Il crée des mail un peu partout y compris là où il faut pas. Après quelques millions de mails sur le disque dur le système est mort. Et ça va très vite. Il faut donc réagir très vite. En plus de ça il ouvre des autorisations un peu partout au service des hackers qui ont donc accès à tous les mots de passe. Une fois je l'ai choppé sur une partition et il est curieusement resté cantonné à cette part. Comme il n'y avait pas grand chose dessus j'ai purement et simplement formatté. Je m'en suis débarassé comme ça. D'autre fois je l'ai choppé à d'autres endroits. AVP tel qu'iol était mis à jour l'a détecté mais n'était pas suffisant pour le supprimer. J'ai 2 fixes de Symantec qui sont très efficaces. Il faut les utiliser les 2, et être un peu patient car c'est un peu long. Et surtout cocher toutes les cases pour virer toutes les ouvertures administratives de Nimda. Attention ça peut effecer un travail de droits longuement mis au point par un admin si c'est le cas. Ce met sur mon ftp ou t'envoie par amil ces fixes (en exe) sur demande. Au total ça fait un petit méga. je n'ai pas l'url directe de ces fixes vers le site de Symantec. |
Un grand grand merci pour toutes ces infos, cablator
la possibilité d'infection par mail par outlook est a rayer. (je n'utilise pas ce soft et aucun autre...).
pour les méthodes d'eradication, ça m'embete pas trop pour le moment, je peux même formater.
Donc je redonne mes deux thèses:
-HFR (page sur forum ou ailleurs) ou The Underdogs était infecté. (AUCUNE TRACE DANS LES TEMPORARY INTERNET FILES/COOKIES et autres detectée par AVP (18/4/2002))
-Je me suis fait attaquer par un hacker (possible aussi, et si c le cas, je le félicite! Le lendemain de ma nouvelle install, alors que pour le moment je n'heberge aucun site et je ne vais sur aucun site sensible/j'ai une adresse IP dynamique )
[jfdsdjhfuetppo]--Message édité par Taurus--[/jfdsdjhfuetppo]
Marsh Posté le 19-04-2002 à 13:45:19
HappyHarry a écrit a écrit : t'as lancé IIS sur ta machine ? |
Je n'ai pas modifié les services actifs installés par défaut, donc à mon avis, il l'est (je suis encore en phase de découverte de Win2k, mon nouvel OS).
Marsh Posté le 19-04-2002 à 13:52:28
a priori il ne s'installe pas par défaut ...
mais s'il est lancé ne cherche pas plus loin le moyen par lequel tu t'es fait contaminé
Marsh Posté le 19-04-2002 à 13:53:20
Ce qui m'impressionne, c'est quand même la vitesse "qu'aurait" mis mon système pour être attaqué! étonnant!
Marsh Posté le 19-04-2002 à 13:54:23
bah c pas de bol ... ca arrive ... a une epoque j'avais entre 400 et 500 scans de mon port 80 par jour !
Marsh Posté le 19-04-2002 à 13:55:01
HappyHarry a écrit a écrit : a priori il ne s'installe pas par défaut ... mais s'il est lancé ne cherche pas plus loin le moyen par lequel tu t'es fait contaminé |
oué, je pense que c une possibilité car, aucune trace du virus sous forme d'executable ou jde java script n'est présente sur le disque (dans les cookies et autres). Seuls les 'admin.dll' trahissent sa présence!
Marsh Posté le 24-04-2002 à 15:13:57
Bon suite des operations:
formatage de la machine, reinstallation de win2K, et des drivers. (drivers installés temporairement sur C: pour scan virus ultérieur).
connexion à internet, page de démarrage: http://www.hardware.fr
hop je me deconnecte, je redemarre, truc de ouf: presence sur le disque dur C: du fichier Admin.dll!!!!!!
Bon alors là je me tate, je prends en compte vos conseils, je desactive definitivement 'Service d'Administration IIS' (et les autres services dependant (SMTP et autres), je desactive l'IP de mon LAN pour cette machine (je sais pas si c très utile, et si ça peut avoir un impact, et je desactive partage des fichiers et d'imprimantes pour cette machine (pour le LAN=a priori pas d'impact direct).
Ensuite je fais un scan totale de la machine et des drivers/des autres machines sur le LAN avec les dernieres signatures.(AVP 22/04/02)
=>>>Seuls le fichier admin.dll en racine de C: est infecté!!! (aucune trace du virus par ailleurs). Je ne suis allé que sur Hardware.fr pendant environ 5 minutes lors de la première session (impressionant, non!?!).
Depuis hier rien à signaler, donc tout me laisse croire que le virus est passé par le 'Service d'Administration IIS'.
Ma question: comment est-il possible que ça se soit fait si vite?!? En effet, ces sessions n'ont duré que 5 minutes tout au plus (uniquement sur HFR), y'a-t'il un moyen de se faire reperer de l'exterieur très rapidement (même après formatage, alors qu'aucun troyen n'a été detecté sur ma machine?!?).
Merci de vos idées et informations, car là je sèche encore
Marsh Posté le 24-04-2002 à 15:30:26
Bon j'ai trouvé quelques infos mais c vrai que les méthodes d'infections par IIS sont redoutables! (pourtant j'ai une IP dynamique!!!):
To upload its file to a victim machine the worm uses the so-called "Web Directory Traversal exploit", activating a temporary TFTP server on the infected (current) machine to process "get data" command from victim (remote) machine, in the same way as IIS-Worm.BlueCode
As a result the worm uploads to the victim machine its copy with the name ADMIN.DLL, and activates it in there.
To infect other IIS servers the worm starts more than 60 or 200 threads (background processes, their number depends on different conditions), then each thread scans randomly selected IP addresses and tries to attack them.
Marsh Posté le 24-04-2002 à 15:33:39
Taurus a écrit a écrit : Bon j'ai trouvé quelques infos mais c vrai que les méthodes d'infections par IIS sont redoutables! (pourtant j'ai une IP dynamique!!!): |
Nimda s'en fout des histoires d'IP dynamiques ou pas, il scanne les IP de même classe que lui.
Par exemple aujourd'hui, mon IP est 217.128.225.XXX, dans mes logs web, j'ai des attaques de serveur d'IP 217.128.225.YYY.
Marsh Posté le 24-04-2002 à 15:36:52
kadreg a écrit a écrit : Nimda s'en fout des histoires d'IP dynamiques ou pas, il scanne les IP de même classe que lui. Par exemple aujourd'hui, mon IP est 217.128.225.XXX, dans mes logs web, j'ai des attaques de serveur d'IP 217.128.225.YYY. |
Ben c quand même une sacré coincidence quand même: 2 connexions de 5-10 minutes/2 attaques!!!
Maintenant que j'ai desactivé IIS, tout est rentré dans l'ordre semble-t'il (je croise les doigts!). Perso, j'avoue que je suis impressionné par son efficacité!
Marsh Posté le 24-04-2002 à 15:48:53
Moi aussi j'ai été impressionné par son efficacité à se faire défoncer par Nimda
Quand j'ai installé IIS, dans la même journée, mon antivirus s'affolait comme un dingue parce Nimda était rentré. Je l'ai désactiver (IIS, pas l'antivirus ) et tout est rentré dans l'ordre.
Marsh Posté le 24-04-2002 à 15:53:59
Taurus a écrit a écrit : Ben c quand même une sacré coincidence quand même: 2 connexions de 5-10 minutes/2 attaques!!! |
Ca dépend du provider, mais chez wanadoo, je dois avec de l'ordre d'une attaque toutes les 20 minutes. Depuis novemnbre, j'ai accumulé 15Mo de log nimda/codered/etc ...
Une machine que je connais chez wanadoo (et ou j'ai accès aux log depuis le taf) s'est pris 48 attaques depuis 10h30 ce matin.
Marsh Posté le 24-04-2002 à 16:01:35
kadreg a écrit a écrit : Ca dépend du provider, mais chez wanadoo, je dois avec de l'ordre d'une attaque toutes les 20 minutes. Depuis novemnbre, j'ai accumulé 15Mo de log nimda/codered/etc ... Une machine que je connais chez wanadoo (et ou j'ai accès aux log depuis le taf) s'est pris 48 attaques depuis 10h30 ce matin. |
oucchh la vache!
même pour une utilisation perso, je vais devoir installer un firewall moi, parcque ça devient craignos. Ah bas l'insécurité bourdaillll !!
Pour les utilisateurs de Win2K, y'a d'autres faiblesses ou failles importante sur ce système susceptibles d'être exploitées par les hackers?
Marsh Posté le 24-04-2002 à 16:23:15
ouchhh, pi y'en a une paire de virus qui utilisent cette brêche! Code Red/Nimda....
Je me pose une question: comment font les personnes qui souhaitent utiliser IIS pour leur site? Firewall?
[jfdsdjhfuetppo]--Message édité par Taurus le 24-04-2002 à 16:24:57--[/jfdsdjhfuetppo]
Marsh Posté le 24-04-2002 à 16:26:59
Taurus a écrit a écrit : Je me pose une question: comment font les personnes qui souhaitent utiliser IIS pour leur site? Firewall? |
<pas troller, pas troller, pas troller >
Ils mettent à jour IIS avant de brancher la machine sur le net, et ils se tiennent au courant des alertes sécurité afin d'être toujours au top des mises à jours.
Mais se tenir au courant des alertes, c'est important lorsque l'on administre un serveur.
Marsh Posté le 24-04-2002 à 16:31:18
kadreg a écrit a écrit : <pas troller, pas troller, pas troller > Ils mettent à jour IIS avant de brancher la machine sur le net, et ils se tiennent au courant des alertes sécurité afin d'être toujours au top des mises à jours. Mais se tenir au courant des alertes, c'est important lorsque l'on administre un serveur. |
ouep perso j'attend un peu pour utiliser ces outils, mais je préfère me tenir au courant avant, plutot que d'etre surpris
Marsh Posté le 19-04-2002 à 12:50:51
Salut à tous!
Je souhaiterai savoir comment peut se propager NIMDA, en effet sur une machine nouvellement formatée & installée (avec Win2K), je trouve sur le disque dur dans tous les dossiers le fichier Admin.dll... (y compris le C: ). Bref la manifestation concrète du virus NIMDA (Concept Virus).
Je cherche donc à comprendre d'ou peut venir le virus:
machine non connecté à un LAN (pour le moment)
Je me suis connecté sur internet pour aller sur 2 sites (uniquement 2 sites): HFR & The Underdogs (abandonwares)
Si quelqu'un a déjà eu ce virus ou une de ses variantes, je souhaiterai comment il a pu se propager de la sorte sur ma machine.
Je précise que pour que ce fichier infecte de façon "traditionnelle" la machine, il doit à priori se propager à partir d'un fichier executable infecté.(pas sure pour le moment).
Or tous les drivers et programmes que j'ai sur installé SUR ma machine ont leurs sources (fichiers d'install/Zip/exe) sur le disque dur C: (scanné sans rien trouver).
Donc il n'existe que ces fichiers Admin.dll, et je n'ai aucune idée de la source, et je suppose qu'ils ont infecté un des serveurs internet suivants:HFR (peu probable?) ou The Underdogs...
Vous avez d'autres idées, parcque là je sèche (c'est une des première fois )
Merci de vos infos avisées
[jfdsdjhfuetppo]--Message édité par Taurus--[/jfdsdjhfuetppo]
---------------
[:taurus] C O M M O D O R E -=/Only The Best!\=- !HA/V Powered!