Un ver qui fait rebooter les ordinateurs sous Windows

[Nitou]

Beaucoup de gens ont eu la mauvaise surprise d'avoir des erreurs puis des reboots depuis hier, la cause ? Un ver qui exploite une énorme faille (RPC : Remote Procedure Call) découverte dans le systeme windows en juillet dernier, cette faille touche pratiquement tous les windows, c'est pourquoi ce ver va se répandre très très vite (si ce n'est déjà fait)... donc mettez le patch correctif, une personne avertie en vaut deux :wink:

Un nouveau ver dévastateur vient d'être découvert il y'a peu, celui-ci se propageant par e-mail, peer-to-peer ou encore par scan d'IP, il devient urgent de vous protéger ! Ce ver utilise la faille récemment découverte dans le système d'exploitation Microsoft Windows, la faille RPC, N'attendez plus, protégez-vous ! Pour le faire, lire la suite de la news...

Le ver "Autorooter DCOM-RPC", qui se propage par e-mail, échange de fichiers (peer-to-peer), scan des adresses IP, etc... donne un accés total (root) à un pirate sur les machines fonctionnant sous Windows NT (XP), via l'installation de chevaux de troie. Il permet des opérations tel que le formatage du disque dur, la lecture des fichiers s'y trouvant,...
Ce ver ce propage à une vitesse fulgurante, malgrés l'ancienneté de la faille utilisée.
Le signe caractéristique de l'infection est un redémarrage (impossible à arrêter) de l'ordinateur suite à un plantage du service RPC, ou "Un ordre de reboot distant".

Protection :

- Installez le patch microdoft disponible ici: http://download.microsoft.com/download/ ... 86-FRA.exe.
- Bloquez les ports TCP 135, 139 et 445 à l'aide de votre firewall.
- Mettez à jour vos antivirus.

Désinfection :

Si vous avez déjà été infecté par le ver (signe significatif : redémarrage de l'ordinateur avec un message d'erreur RPC) :
- Effectuez les opérations décrite dans "Protection".
- Mettez à jour votre anti-virus ou installez-en un (F-Secure Anti-Virus est trés performant pour ce ver).
- Localisez et supprimez les fichiers suivants sur votre disque dur:
* rpc.exe -> Exploit RPC
* rpctest.exe -> Exploit RPC
* tftpd.exe -> Serveur FTP (non contaminant)
* dcomx.exe -> Backdoor (détécté par les antivirus mis à jour)
* lolx.exe -> Backdoor (détécté par les antivirus mis à jour)
* worm.exe -> archive auto-extractible qui crée les fichiers rpc.exe, rpctest.exe et tftp.exe

Source :

http://www.infos-du-net.com/modules/new ... -1060.html

Articles liés :

http://www.infos-du-net.com/modules/new ... -1031.html
http://www.infos-du-net.com/modules/new ... e-959.html

 

[moutyk]

salut

Mon dieu j y ai eu droit hier soir j'ai passé une nuit atroce

Je vous conseils d'installer ce patch tres rapidement

une fois connecté j'avais 2 min pour allé sur un forum et poster un message pour demander de l'aide

Bye++

 

[luckyluk]

ben tiens!!!


j'y ai pas echapé!!

le contraire m'aurai etonner!!

 

[phil54]

J'ai également eu la mauvaise surprise de voir mon ordinateur rebooter sans cesse depuis hier soir, on doit être nombreux car en appelant wanadoo, ils m'ont dit avoir eu plusieurs appels pour le meme problème, mais ils n'étaient pas au courant pour ce ver... Mais comment j'ai pu "l'attraper", alors que je n'ouvre aucune pièce jointe de mails... et pourquoi tout se déclenche hier, c'est un ver à retardement :?: Bon, en tout cas, j'ai téléchargé le patch en espèrant qu'il n'y ait plus de soucis.
Merci Nitou pour l'info, sinon, je serais encore en train de me tirer les cheveux !!

 

[zehunter]

<troll>
ah, c'est ca la joie d'avoir un systeme linux!
</troll>

 

[hetzeld]

<troll>
ah, c'est ca la joie d'avoir un systeme linux!
</troll>

Avec win XP pro, un firewall hardware et les mises à jour d'antivirus et d'O/S, pas de souci non plus :lol:

Dan

PS: c'est quoi, un reboot ? :wink:

 

[moutyk]

salut

Dan,

Reboot = Redemarrage :roll:

bye ++

 

[luckyluk]

PS: c'est quoi, un reboot ? :wink:

heu, tu la vois celle là!!
tu vas l'avoir!! :wink:

moi non seulement il reboot!!!
mais en plus il gueule!!
le cri du pc...vous connaissez??c'est stressant!!!!!!!on a l'impression qu'il y a un truc à l'interieur qui va exploser...

je me demandais ce qu'il avait...en esperant que ce ne soit que çà
je verrais ça ce midi...

 

[moutyk]

sinon moi suite a ce ver
J'ai eu des problemes au niveau du son
Que j'ai d'ailleur tjrs pas resolu 8O

est ce que vous avez le meme probleme que moi ou d'autre probleme suite a ce ver ?

 

[phil54]

PS: c'est quoi, un reboot ? :wink:

Pffffffffffff, c'est pas beau de se moquer . Bon, désormais j'irai télécharger quotidiennement les patchs correctifs de windows pour ne plus avoir de problème :!:

 

[hetzeld]

salut

Dan,

Reboot = Redemarrage :roll:

bye ++

Merci moutyk... tu n'avais pas vu le smiley ?
J'ai bossé comme admin Unix en Californie, au Canada et à Londres... :lol:

 

[Mirgolth]

PS: c'est quoi, un reboot ? :wink:

Demande à Roselyne Bachelot,elle va bientôt t'expliquer :"Si la canicule persiste, des coupures d'électricité pourraient intervenir la semaine prochaine" :cry:

Sinon, coté virus et autres vers, je fais très attention depuis que j'ai été victime de Tchernobyl en Avril 99 !

Mirgolth

 

[moutyk]

dan,

Oui lol la je me sens con tres con mais alors tres tres con

je m'en doutai un peu mais je me suis dit je vais quand meme repondre c t'on jamais


Moi je sors lol ++

 

[hetzeld]

... je m'en doutai un peu mais je me suis dit je vais quand meme repondre c t'on jamais
Moi je sors lol ++

MDR

 

[loupeti]

vin' nan ! ça c du virus qui se propage vite ! c'est l'apocalypse chez les windowsxpiens !
et samedi tout les ordinateurs du monde si j'ai bien compris vont attaquer windows update !

 

[mixmax06]

mrd suis touché grave, j'ai du faire fdisk et format, plus aucun moyen de rentrer dans mes progs, et dire que mon hebergeur passe les mails à l'antivirus...

Bref, sui sur mon vieux coucou et je n'arrive plus a faire un format meme avec partition magic, ca coince a la moitié...
Si qq1 à des sugestions, je suis preneur aussi sur les conséquences de ce put1 de ver.....

André

 

[Nitou]

mixmax, ton anti-virus n'y peut rien, c'est un ver qui scan les ports et il exploite très bien la faille car si tu n'as pas de firewall, il s'engoufrera sur ton ordinateur !

A tous : dites vous bien que si vous n'avez plus de reboot, tout n'est pas fini, il reste le petit programme qui cause ce reboot qui continue de contaminer les autres, donc n'oubliez pas de supprimer MSblast (voir premier message).

Et cette horreur se propage aussi par le peer to peer !

A+

 

[BZHcool]

Voici un autre lien qui peut vous aidez à comprendre ce VIRUS.

http://www.secuser.com/alertes/2003/lovsan.htm

Un conseil s'il n'est pas trop tard c'est de prévenir votre entourage...
:wink:

 

[pggv]

Sur ce site secuser ils prétendent que seuls les systèmes suivant sont concernés. :
SYSTEME(S) CONCERNE(S) :
Windows NT
Windows 2000
Windows XP

Celles et ceux qui ont été contaminés peuvent-ils confirmer cette affirmation.
Je suis personnellement sous windows Me

 

[maïsse]

je voudrais bien aussi avoir confirmation: je suis sous Me , et j'espère que ça n'a rien à voir, mais mon carnet d'adresse a "été endommagé" et est totalement vide ...

 

[hetzeld]

Salut à tous les malheureux ! :cry:

Selon Symantec, ce ver s'attaque à windows 2000/XP :
http://securityresponse.symantec.com/av ... .worm.html

Ils mettent à dispo un outil de nettoyage automatique depuis aujourd'hui:
http://securityresponse.symantec.com/av ... .tool.html

Attention: pour ceux tournant sous XP, il faut désactiver le system restore


Dan

PS: je suggère à tous ceux qui ont le moindre doute de mettre leur antivirus à jour et de télécharger l'outil de symantec

 

[hetzeld]

je voudrais bien aussi avoir confirmation: je suis sous Me , et j'espère que ça n'a rien à voir, mais mon carnet d'adresse a "été endommagé" et est totalement vide ...

Maïsse,

Windows ME n'est pas impacté par ce ver, mais un carnet d'adresse qui "dégage" est souvent mauvais signe. As-tu un antivirus à jour ?

 

[maïsse]

bouhh...tu penses que c'est signe de quoi, au juste? vas-y, achève-moi...
Norton ne détecte rien du tout...

 

[hetzeld]

Faut pas pleurer... tu as toujours l'accès au "system restore" de windows ME, non ?
Si Norton - à jour - ne détecte rien, c'est peut-être simplement un "couac" de fichier...

 

[maïsse]

oh, pleurer, non, quand même :? C'est la tablette de chocolat qui est sous mon nez qui va morfler, puis voilà, ça ira mieux après :lol:

 

[hetzeld]

oh, pleurer, non, quand même :? C'est la tablette de chocolat qui est sous mon nez qui va morfler, puis voilà, ça ira mieux après :lol:

Il n'y a bien que les femmes qui combattent les problèmes d'ordinateur avec des tablettes de chocolat. :lol:

 

[american]

pareil pour moi sur xp pro je reboutai toutes les 5 minutes

 

[phil54]

Suis sur XP Pro également. J'ai installé le patch Microsoft contre la faille de sécurité, mais effectivement, si je n'avais plus de problème, le ver était toujours présent, donc nettoyage avec le patch Symantec, depuis, mon ordi est comme neuf :wink: Cela dit, je viens d'activer le pare feu sous XP (je croyais qu'il l'était par défaut), bref, normalement, suis tranquille pour quelque temps.

 

[tuisp]

Il n'y a bien que les femmes qui combattent les problèmes d'ordinateur avec des tablettes de chocolat. :lol:

Dan, toi vivre dangereusement (mais tu le sais...) :lol:
De toute façon c'est ça ou la clope, alors :wink:

Signé : le mec qui a pris une demi-douzaine de kilos parce qu'il a arrêté de descendre un paquet de blondes chaque fois qu'il devait installer quelque chose sur sa bécane :roll:

 

[hetzeld]

Signé : le mec qui a pris une demi-douzaine de kilos parce qu'il a arrêté de descendre un paquet de blondes chaque fois qu'il devait installer quelque chose sur sa bécane :roll:

Tu n'es pas sympa avec tes collègues de travail blondes...

MDR

 

[Gilbert Wayenborgh]

Voici un removal

http://www.deepindex.com/stinger.exe
681.01Ko

surveillez le gestionnaire de taches/onglet Process/ et dès que vous voyez MBLAST.exe Terminez le process... pendant que Stinger recherche/élémine le virus qui ce trouve dans le repertoire système32 ....

Bon courage

 

[herveG]

J ai eu des reboot deux fois hier. avec la description bien comme il faut et tout et tout (compte a rebours 60 seconces puis pfuit reboot) !! donc certain de m etre choper le virus en question , j´installe les patch de mises a jour (bien sur c etait la premiere fois que je ne les installais pas "tout de suite" !!), je fais passer le correctif, scan et removal....et il me dit : le virus en question n a pas été détecté sur mon pc......!!!

question : est ce qu il y en aurait plusieurs exemplaires de ces betes la par hasard ?

a+
hervé

 

[Gilbert Wayenborgh]

Pour te donner une vague idée ...

J'ai eu le cas chez un de mes clients (50 postes infectés) : en appliquant stinger et le patch dans la foulé... cela semble être résolu.

Donc si stinger n'a pas trouvé mblast (c'est l'executable de ce fameux ver) ton pc risuqe de soit d'avoir un autre virus ... soit un bon coup de maintenance ;-)

Attention STINGER est un removal pour des virus spécifiques !!! Il en détecté 26 ! Le mieux c'est de s'équiper correctement d'un antivirus ... d'un firewall hard ... et de passer les mises à jour de l'antivurs ....

Cordialement

ps: il y a peut etre d'autres versions ...

 

[herveG]

c est ce que je craignais.....

j ai pas d antivirus, pas de firewall...... c est mal parti cette histoire.....!!

merci !
hervé

 

[phil54]

J ai eu des reboot deux fois hier. avec la description bien comme il faut et tout et tout (compte a rebours 60 seconces puis pfuit reboot) !!

Oui, c'est exactement ce qui m'est arrivé avec ce ver... As-tu pensé à vérifier ton ordi avec un anti-virus en ligne, genre
http://www.secuser.com/outils/antivirus.htm
Ce programme détecte bien ce ver, ainsi que les virus connus à ce jour, au moins, tu sauras si ton PC est infecté. :roll:

 

[herveG]

j essaye ca ce soir...! merci !
a+

 

[mixmax06]

En fait, cette salo....rie etait encore presente des ma premiere connection apres un fdisk et format.
Donc le plus efficace apres avoir telecharger les tuerurs stingers,le patch windows et celui de norton, c'est de ce placer derriere un firewall (pour xp) et la , ca redevient bon.

André

 

[hetzeld]

Voici le message posté sur la mailing liste d'OVH

Salut,
Un virus utilisant une faille de securité sur le windows
est en train de se balader sur le net. Comme son but est d'affecter la machine (sous windows) et chercher d'autres machines, nous avons bloqué le port 135 en tcp et udp.

Octave

 

[Nitou]

Nouveau ver de type Blaster : Sasser

Un nouveau ver de type blaster se nommant Sasser vient de faire son apparition et exploite une nouvelle faille de Windows découverte récemment, ce ver fait redémarrer les ordinateurs en plantant Isass.exe

La solution :
http://www.infos-du-net.com/news/article-2683.html

 

[milkiway]

La véritable solution c'est celle ci http://www.mandrakelinux.com/fr/

 

[lezard]

La véritable solution c'est celle ci http://www.mandrakelinux.com/fr/

pourquoi faut t'il toujours que des que y a un truc qui va pas sous windows on nous bassine avec linux !

meme si c'est un bon produit ca devient saoulant !

 

[milkiway]

Non ce qui est saoulant c'est qu'on nous bassine à chaque fois que cette passoire est ridiculisée alors que tout le monde sait très bien que ça va recommencer dans 2 mois.

 

[lezard]

ecoute tous les gens peuvent pas utiliser linux pour des raisons diverses c'est comme ca. Quand quelque chose fait courrir un grand risque a une communauté c'est bien d'en parler

de plus le topic est " Un ver qui fait rebooter les ordinateurs sous Windows' donc t'etais pas obligé d'etre soualé puisque tu etais pas obligé de lire le thread.

Disons que ce que reproche a ton post est d'etre sterile alors que t'as des gens qui sont en traind e se filer des tuyaux pour parer le probleme
et je penses qu'ils etaient deja au courant que linux exsistait

sans rancune

 

[milkiway]

Tu as parfaitement raison, excuse moi.

 

[Quentin_]

ça me démange dsl...
milkiway ptet que mdk est plus sécu que win... mais plus lent qu'un xp... conseille leur un vrai distrib au moin... (qui a parlé de slacwkare ??? )

 

[ybet]

af, il y a autant de faille de sécurité sous linux que sous Windows, faut pas réver. Un bon vieux firewall hardware, y a que ca ...: A part recevoir un mail d'host alert, s'il est bien configuré, ca bouge jamais

D'après les infos, utilise le port TCP 445.