problème de virus

[Franck66]

je viens de reinstaller mon pc de A à Z. comme à mon habitude j'ai installé un anti-virus pour ne pas avoir de problème.

depuis l'installation du pc, en quelques heures mon anti-virus a détecté 4 fois un virus de type w32.welchia.b.worm sur le fichier svchost.exe situé dans le repertoire system32

ma question est la suivante : comment ce virus est arrivée là alors que je viens juste d'installer mon pc et que mon anti-virus scanne les mails et que de plus je n'ai rien reçu sur ma nal depui l'installation du pc .

merci

[Shin]

Vérifie tes CD d'install.
Moi ça m'est déjà arrivé qu'un CD (de magazine par exemple) contienne un virus.
Conséquence : j'étais infecté avant même d'aller sur Internet.
T'as mis Windows à jour, aussi ?

[NDY 259 - Alain]

faitun tet avec un autre antivirus...

Norton est reputé pour trouver des virus la ou il n'y en a pas toujours...

Il y a une foule de logiciel gratuit (AVAST par exemple) ou de test en ligne (http://www.antivirus.com).

Tu sera fixé.

[Franck66]

visiblement Norton et mes cd ne sont pas en cause ce virus est tout recent et ne passe pas par la messagerie. La parade semble passer par un pare feu. pour l'instant j'ai activé celui de windows XP.

[NDY 259 - Alain]

En attendant =>

http://www.trendmicro.com/vinfo/virusen ... RM_NACHI.A

[Franck66]

je viens de mettre a jour mon windows, visiblement il en avais besoin vu le nombre de patch qu'il a rajouté

je devrais être un peu plus tranquille maintenant

merci pour le lien

[NDY 259 - Alain]

Pas de probs. Ca sert (aussi) à ca un forum

[Soron_12f]

utilise tu EMULE ? était tu bien connecté à ce moment (de la détection sur internet) ?

[Franck66]

:non je n'utilise pas emule de plus je venais juste de terminer l'installation du pc lors de la première detection. depuis que j'ai mis XP à jour et activé le pare feu d'XP, plus de detection. avant la mise à jour j'ai eu 4 detections en moins de 3H

je précise que mon av ne le detecté pas à l'arrivée mais une fois dans le repertoire system32.

enfin c'est de l'histoire ancienne

[pateretou]

Par hasard, tu n'es pas freeboxé ?
parce que les viriis utilisant certaines failles (genre RPC) windows peuvent infecter ta machine des que celle ci est connecté.
Or une freebox est en permanence connecté, resultat, si tu re installes et que ta freebox est connecté tu vas automatiquement te faire infecter ....

[NDY 259 - Alain]

Par hasard, tu n'es pas freeboxé ?
parce que les viriis utilisant certaines failles (genre RPC) windows peuvent infecter ta machine des que celle ci est connecté.
Or une freebox est en permanence connecté, resultat, si tu re installes et que ta freebox est connecté tu vas automatiquement te faire infecter ....

C'est quoi ca ????? Une nouvelle légende urbaine ?

En quoi le fait d'être connecté en permanence te collerais automatiquement des virus ?!!!!!

Une belle co...... que cette affirmation.

Renseigne toi sur comment ca fonctionne (et la freebox et les virus), tu verra que ton affirmation ne tiens pas debout.

Les virus ne sont pas apparus avec la freebox, loin de là.

[Franck66]

pas la peine de s'enerver Charo

non je ne suis pas sur fre ..quel horreur

puis mon pb est résolu, il suffit de patcher windows

[pateretou]

Alain :
avant d'etre aussi affirmatif, renseignez-vous peut etre ...
Connaissez vous le mode de propagation de blaster ?
Pour votre info, il check une plage d'ip voisine de l'ip du poste infecté et contamine automatiquement les postes ayant une ip voisine et non patché (si vous avez besoin de plus d'infos precises, MP et je vous en donnerais puisque je travaille dans la sécurité informatique, je sais donc je quoi je parle ...)
OR, lorsque une freebox est branchée elle est AUTOMATIQUEMENT connecté au reseau de free et posséde sa propre IP. Il suffit qu'un pc infecté soit dans la plage d'ip voisine pour qu'il envoie des requetes sur votre freebox.
OR si vous venez d'installer votre pc, il n'est par definition non patché contre blaster et se retrouvera donc infecté ...

Alors avant de crier au scandale, renseignez vous peut etre ...
Je suis nouveau sur ce forum et si ce genre de comportement est monnaie courante, je ne veux malheureusement pas rester longtemps, etre agressif a l'egard de qqn qu'on ne connait pas sur un sujet qu'on ne connait a priori pas plus .....

Cordialement,

Pateretou

[NDY 259 - Alain]

Comment ai-je été infecté ?

Le virus blaster fait un scan réseau à la recherche d'ordinateurs vulnerables à la faille MICROSOFT DCOM RPC.
Remote Procedure Call (RPC) est un protocole utilisé par Windows, qui fournit un mécanisme de communication inter-processus permettant à un programme tournant sur un système d’exécuter du code sur un système distant.
La faille concernant ce service résulte d’un traitement défectueux des messages malformés, et affectent l’interface DCOM à l’intérieur du service RPCSS, qui gère les requêtes d’activation d’objets DCOM envoyées d’une machine à une autre.
Le virus exploite cette faille et utilise alors le programme tftp.exe pour se répandre sur les autres ordinateurs en se copiant dans les dossiers systèmes et en s'inscrivant dans la base de registre.



Comment fonctionne Blaster ?


Etape 1 : Contamination du poste de travail

Lorsqu'il se répand, Blaster va ajouter les clés suivantes au niveau de la base de registre :

Dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run

La variante A de Blaster va ajouter :

"windows auto update" = MSBLAST.EXE

La variante B de Blaster va ajouter :

"windows auto update" = PENIS32.EXE

La variante C de Blaster va ajouter :
"Microsoft Inet xp.." = TEEKIDS.EXE

La variante E de Blaster va ajouter :
"Nonton Antivirus=mspatch.exe"

La variante F de Blaster va ajouter :
"Windows Automation" = "mslaugh.exe"

La variante G de Blaster va ajouter :
"www.hidro.4t.com"="enbiei.exe"

Et oui, il y'a hélas pour tous les administrateurs des variantes de Blaster...
Maintenant qu'il est installé dans la base de registre et qu'il est positionné au niveau de la clé Run, il pourra se lancer à chaque démarrage.



Pour information voici les tailles des fichiers :

PENIS32.EXE : 7,2 Ko
TEEKIDS.EXE : 5,3 Ko
MSPATCH.EXE : 11,7 Ko
MSLAUGH.EXE : 6,1 Ko
ENBIEI.EXE : 11,8 Ko

Etape 2 : La propagation

Blaster va se propager à travers le réseau via le protocole TCP/IP. Il va utiliser l'algorithme suivant :

1er cas (probabilité de 0,4)

Il va prendre l'adresse IP du poste : X.Y.Z.T

On positionne T=0

Si Z est supérieur à 20 alors l'on retire une valeur aléatoire comprise entre 0 et 20

Ensuite Blaster va incrémenter T et essayer de se connecter à tous les ordinateurs du réseau, puis il va incrémenter Z.

2ème cas (probabilité de 0,6)

Blaster va calculer des adresses IP aléatoires

X, Y et Z seront des valeurs aléatoires (comprises entre 0 et 255), il pourra ensuite incrémenter T pour atteindre les postes des réseaux.



Etape 3 : L'introduction de Blaster

Blaster va essayer de s'introduire sur toutes les adresses IP qu'il aura calculé. Pour cela, il va essayer d'envoyer des données sur le port 135 afin d'exploiter la vulnérabilité DCOM RPC.

Si cela fonctionne, il va créer sur le poste distant un processus shell distant (cmd.exe) qui va écouter sur le port 4444.

Il va lui même, à partir du poste qui est à la base de la contamination, écouter sur le port 69 en UDP. Dès qu'il reçoit une requête, il va retourner le fichier msblast.exe.

Il va alors demander à l'ordinateur distant qu'il souhaite infecter de se connecter sur lui et de télécharger msblast.exe via tftp.

Une des solutions pour ne pas se le choper... Sans forcement patcher. =>

Sous windows XP ou toute technologie NT Faites : démarrer - executer , puis taper Regedit, HT LOCAL MACHINE, SOFTWARE, MICROSOFT, OLE, ENABLE DCOM,Mettre N dans cette rubrique.

De plus cela ne concerne pas QUE Free mais tous les PC connectés et non protégés (notamment par un firewall) car supprimer Blaster ne suffit pas toujours.

Et attention ! Ca se trouve même en croisant un gars qui a son PC infecté nous pourrions le propager

... On refait un coup de copier coller ?

Je sais moi aussi faire tourner un serveur 2000
Je suis moi aussi avec un clavier US (mais je sais faire les accents avec) etc... etc...
Je sais faire fonctionner un routeur etc...

Je suis pas chez Free, et pourtant, je suis aussi susceptible de manger du Blaster (et d'autres virus d'ailleurs) mais je sais me proteger.

Moi aussi je suis dans l'informatique... Ca tombe bien.

Bon j'arrete là c'est promis.

Allez sur ce amis Freeboxés dormez bien. (m'en fout,je suis chez tele2 donc je ne risque rien )

A oui j'oubliais !!

La dernier machine que j'ai nettoyée était chez Tiscali via une cxion RTC.... (oui ca existe encore à la montagne).

[Shin]

Moi aussi je suis dans l'informatique.
C'est dingue, j'ai plein de potes ici

Le coup de la FreeBox peut créer un mouvement de panique, Pateretou.
En fait, personne n'est à l'abri quel que soit le fournisseur d'accès chez lequel on est.
Le fait de ne spécifier que "Freebox" peut donner une mauvaise pub à Free alors
que ce n'est pas la Freebox en elle même qui en est la cause (tu en conviens aussi).
Cool pour tes explications, Alain, je ne les connaissais pas en détail.

Pour le ton d'Alain, Pateretou, moi je l'ai plutôt interprété comme une
profonde stupéfaction (je l'ai eue aussi).
Ca ne s'est certainement pas très bien matérialisé à la fin du message, par contre (pas glop).

[pateretou]

Mon but n'etait pas de créer un "mouvement de panique" mais bien de faire comprendre que lorsque on reinstalle son windows si freebox on a, freebox on doit debrancher pdt la reinstall et ne la rebrancher qu'une fois patchée!
Pour Alain je vais voir ca avec lui en MP car je ne suis pas fan du ton adopté...

[Shin]

Oui, mais tâchez de ne pas aller trop loin.
Quand tu écris sur un forum, il peut y avoir défférentes interprétations.
Le ton n'est pas toujours facilement transcriptible.
Ne vous prenez pas la tête...