Un ver qui fait rebooter les ordinateurs sous Windows

N
Nitou
WRInaute impliqué
Beaucoup de gens ont eu la mauvaise surprise d'avoir des erreurs puis des reboots depuis hier, la cause ? Un ver qui exploite une énorme faille (RPC : Remote Procedure Call) découverte dans le systeme windows en juillet dernier, cette faille touche pratiquement tous les windows, c'est pourquoi ce ver va se répandre très très vite (si ce n'est déjà fait)... donc mettez le patch correctif, une personne avertie en vaut deux :wink:

Un nouveau ver dévastateur vient d'être découvert il y'a peu, celui-ci se propageant par e-mail, peer-to-peer ou encore par scan d'IP, il devient urgent de vous protéger ! Ce ver utilise la faille récemment découverte dans le système d'exploitation Microsoft Windows, la faille RPC, N'attendez plus, protégez-vous ! Pour le faire, lire la suite de la news...

Le ver "Autorooter DCOM-RPC", qui se propage par e-mail, échange de fichiers (peer-to-peer), scan des adresses IP, etc... donne un accés total (root) à un pirate sur les machines fonctionnant sous Windows NT (XP), via l'installation de chevaux de troie. Il permet des opérations tel que le formatage du disque dur, la lecture des fichiers s'y trouvant,...
Ce ver ce propage à une vitesse fulgurante, malgrés l'ancienneté de la faille utilisée.
Le signe caractéristique de l'infection est un redémarrage (impossible à arrêter) de l'ordinateur suite à un plantage du service RPC, ou "Un ordre de reboot distant".

Protection :

- Installez le patch microdoft disponible ici: http://download.microsoft.com/download/ ... 86-FRA.exe.
- Bloquez les ports TCP 135, 139 et 445 à l'aide de votre firewall.
- Mettez à jour vos antivirus.

Désinfection :

Si vous avez déjà été infecté par le ver (signe significatif : redémarrage de l'ordinateur avec un message d'erreur RPC) :
- Effectuez les opérations décrite dans "Protection".
- Mettez à jour votre anti-virus ou installez-en un (F-Secure Anti-Virus est trés performant pour ce ver).
- Localisez et supprimez les fichiers suivants sur votre disque dur:
* rpc.exe -> Exploit RPC
* rpctest.exe -> Exploit RPC
* tftpd.exe -> Serveur FTP (non contaminant)
* dcomx.exe -> Backdoor (détécté par les antivirus mis à jour)
* lolx.exe -> Backdoor (détécté par les antivirus mis à jour)
* worm.exe -> archive auto-extractible qui crée les fichiers rpc.exe, rpctest.exe et tftp.exe
Cliquez pour agrandir...

Source :

http://www.infos-du-net.com/modules/new ... -1060.html

Articles liés :

http://www.infos-du-net.com/modules/new ... -1031.html
http://www.infos-du-net.com/modules/new ... e-959.html
 
M
moutyk
WRInaute impliqué
salut

Mon dieu j y ai eu droit hier soir j'ai passé une nuit atroce

Je vous conseils d'installer ce patch tres rapidement

une fois connecté j'avais 2 min pour allé sur un forum et poster un message pour demander de l'aide

Bye++
 
P
phil54
WRInaute discret
J'ai également eu la mauvaise surprise de voir mon ordinateur rebooter sans cesse depuis hier soir, on doit être nombreux car en appelant wanadoo, ils m'ont dit avoir eu plusieurs appels pour le meme problème, mais ils n'étaient pas au courant pour ce ver... Mais comment j'ai pu "l'attraper", alors que je n'ouvre aucune pièce jointe de mails... et pourquoi tout se déclenche hier, c'est un ver à retardement :?: Bon, en tout cas, j'ai téléchargé le patch en espèrant qu'il n'y ait plus de soucis.
Merci Nitou pour l'info, sinon, je serais encore en train de me tirer les cheveux !!
 
H
hetzeld
WRInaute passionné
zehunter a dit:
<troll>
ah, c'est ca la joie d'avoir un systeme linux!
</troll>
Cliquez pour agrandir...
Avec win XP pro, un firewall hardware et les mises à jour d'antivirus et d'O/S, pas de souci non plus :lol:

Dan

PS: c'est quoi, un reboot ? :wink:
 
L
luckyluk
WRInaute occasionnel
hetzeld a dit:
PS: c'est quoi, un reboot ? :wink:
Cliquez pour agrandir...

heu, tu la vois celle là!!
tu vas l'avoir!! :wink:

moi non seulement il reboot!!!
mais en plus il gueule!!
le cri du pc...vous connaissez??c'est stressant!!!!!!!on a l'impression qu'il y a un truc à l'interieur qui va exploser...

je me demandais ce qu'il avait...en esperant que ce ne soit que çà
je verrais ça ce midi...
 
M
moutyk
WRInaute impliqué
sinon moi suite a ce ver
J'ai eu des problemes au niveau du son
Que j'ai d'ailleur tjrs pas resolu 8O

est ce que vous avez le meme probleme que moi ou d'autre probleme suite a ce ver ?
 
P
phil54
WRInaute discret
hetzeld a dit:
PS: c'est quoi, un reboot ? :wink:
Cliquez pour agrandir...
Pffffffffffff, c'est pas beau de se moquer :oops: . Bon, désormais j'irai télécharger quotidiennement les patchs correctifs de windows pour ne plus avoir de problème :!:
 
M
moutyk
WRInaute impliqué
dan,

Oui lol la je me sens con tres con mais alors tres tres con

je m'en doutai un peu mais je me suis dit je vais quand meme repondre c t'on jamais


Moi je sors lol ++
 
L
loupeti
WRInaute discret
vin' nan ! ça c du virus qui se propage vite ! c'est l'apocalypse chez les windowsxpiens !
et samedi tout les ordinateurs du monde si j'ai bien compris vont attaquer windows update !
 
M
mixmax06
WRInaute occasionnel
mrd suis touché grave, j'ai du faire fdisk et format, plus aucun moyen de rentrer dans mes progs, et dire que mon hebergeur passe les mails à l'antivirus...

Bref, sui sur mon vieux coucou et je n'arrive plus a faire un format meme avec partition magic, ca coince a la moitié...
Si qq1 à des sugestions, je suis preneur aussi sur les conséquences de ce put1 de ver.....

André
 
N
Nitou
WRInaute impliqué
mixmax, ton anti-virus n'y peut rien, c'est un ver qui scan les ports et il exploite très bien la faille car si tu n'as pas de firewall, il s'engoufrera sur ton ordinateur !

A tous : dites vous bien que si vous n'avez plus de reboot, tout n'est pas fini, il reste le petit programme qui cause ce reboot qui continue de contaminer les autres, donc n'oubliez pas de supprimer MSblast (voir premier message).

Et cette horreur se propage aussi par le peer to peer !

A+
 
P
pggv
WRInaute discret
Sur ce site secuser ils prétendent que seuls les systèmes suivant sont concernés. :
SYSTEME(S) CONCERNE(S) :
Windows NT
Windows 2000
Windows XP

Celles et ceux qui ont été contaminés peuvent-ils confirmer cette affirmation.
Je suis personnellement sous windows Me
 
M
maïsse
Guest
je voudrais bien aussi avoir confirmation: je suis sous Me , et j'espère que ça n'a rien à voir, mais mon carnet d'adresse a "été endommagé" et est totalement vide ...
 
H
hetzeld
WRInaute passionné
H
hetzeld
WRInaute passionné
maïsse a dit:
je voudrais bien aussi avoir confirmation: je suis sous Me , et j'espère que ça n'a rien à voir, mais mon carnet d'adresse a "été endommagé" et est totalement vide ...
Cliquez pour agrandir...
Maïsse,

Windows ME n'est pas impacté par ce ver, mais un carnet d'adresse qui "dégage" est souvent mauvais signe. As-tu un antivirus à jour ?
 
M
maïsse
Guest
bouhh...tu penses que c'est signe de quoi, au juste? vas-y, achève-moi...
Norton ne détecte rien du tout...
 
H
hetzeld
WRInaute passionné
Faut pas pleurer... tu as toujours l'accès au "system restore" de windows ME, non ?
Si Norton - à jour - ne détecte rien, c'est peut-être simplement un "couac" de fichier...
 
M
maïsse
Guest
oh, pleurer, non, quand même :? C'est la tablette de chocolat qui est sous mon nez qui va morfler, puis voilà, ça ira mieux après :lol:
 
H
hetzeld
WRInaute passionné
maïsse a dit:
oh, pleurer, non, quand même :? C'est la tablette de chocolat qui est sous mon nez qui va morfler, puis voilà, ça ira mieux après :lol:
Cliquez pour agrandir...
Il n'y a bien que les femmes qui combattent les problèmes d'ordinateur avec des tablettes de chocolat. :lol:
 
P
phil54
WRInaute discret
Suis sur XP Pro également. J'ai installé le patch Microsoft contre la faille de sécurité, mais effectivement, si je n'avais plus de problème, le ver était toujours présent, donc nettoyage avec le patch Symantec, depuis, mon ordi est comme neuf :wink: Cela dit, je viens d'activer le pare feu sous XP (je croyais qu'il l'était par défaut), bref, normalement, suis tranquille pour quelque temps.
 
T
tuisp
WRInaute passionné
hetzeld a dit:
Il n'y a bien que les femmes qui combattent les problèmes d'ordinateur avec des tablettes de chocolat. :lol:
Cliquez pour agrandir...
Dan, toi vivre dangereusement (mais tu le sais...) :lol:
De toute façon c'est ça ou la clope, alors :wink:

Signé : le mec qui a pris une demi-douzaine de kilos parce qu'il a arrêté de descendre un paquet de blondes chaque fois qu'il devait installer quelque chose sur sa bécane :roll:
 
H
hetzeld
WRInaute passionné
tuisp a dit:
Signé : le mec qui a pris une demi-douzaine de kilos parce qu'il a arrêté de descendre un paquet de blondes chaque fois qu'il devait installer quelque chose sur sa bécane :roll:
Cliquez pour agrandir...
Tu n'es pas sympa avec tes collègues de travail blondes...

MDR
 
H
herveG
WRInaute accro
J ai eu des reboot deux fois hier. avec la description bien comme il faut et tout et tout (compte a rebours 60 seconces puis pfuit reboot) !! donc certain de m etre choper le virus en question , j´installe les patch de mises a jour (bien sur c etait la premiere fois que je ne les installais pas "tout de suite" !!), je fais passer le correctif, scan et removal....et il me dit : le virus en question n a pas été détecté sur mon pc......!!!

question : est ce qu il y en aurait plusieurs exemplaires de ces betes la par hasard ?

a+
hervé
 
G
Gilbert Wayenborgh
WRInaute occasionnel
Pour te donner une vague idée ...

J'ai eu le cas chez un de mes clients (50 postes infectés) : en appliquant stinger et le patch dans la foulé... cela semble être résolu.

Donc si stinger n'a pas trouvé mblast (c'est l'executable de ce fameux ver) ton pc risuqe de soit d'avoir un autre virus ... soit un bon coup de maintenance ;-)

Attention STINGER est un removal pour des virus spécifiques !!! Il en détecté 26 ! Le mieux c'est de s'équiper correctement d'un antivirus ... d'un firewall hard ... et de passer les mises à jour de l'antivurs ....

Cordialement

ps: il y a peut etre d'autres versions ...
 
H
herveG
WRInaute accro
c est ce que je craignais.....

j ai pas d antivirus, pas de firewall...... c est mal parti cette histoire.....!!

merci !
hervé
 
P
phil54
WRInaute discret
herveG a dit:
J ai eu des reboot deux fois hier. avec la description bien comme il faut et tout et tout (compte a rebours 60 seconces puis pfuit reboot) !!
Cliquez pour agrandir...
Oui, c'est exactement ce qui m'est arrivé avec ce ver... As-tu pensé à vérifier ton ordi avec un anti-virus en ligne, genre
http://www.secuser.com/outils/antivirus.htm
Ce programme détecte bien ce ver, ainsi que les virus connus à ce jour, au moins, tu sauras si ton PC est infecté. :roll:
 
M
mixmax06
WRInaute occasionnel
En fait, cette salo....rie etait encore presente des ma premiere connection apres un fdisk et format.
Donc le plus efficace apres avoir telecharger les tuerurs stingers,le patch windows et celui de norton, c'est de ce placer derriere un firewall (pour xp) et la , ca redevient bon.

André
 
H
hetzeld
WRInaute passionné
Voici le message posté sur la mailing liste d'OVH

Salut,
Un virus utilisant une faille de securité sur le windows
est en train de se balader sur le net. Comme son but est d'affecter la machine (sous windows) et chercher d'autres machines, nous avons bloqué le port 135 en tcp et udp.

Octave
Cliquez pour agrandir...
 
M
milkiway
WRInaute accro
Non ce qui est saoulant c'est qu'on nous bassine à chaque fois que cette passoire est ridiculisée alors que tout le monde sait très bien que ça va recommencer dans 2 mois.
 
L
lezard
Nouveau WRInaute
ecoute tous les gens peuvent pas utiliser linux pour des raisons diverses c'est comme ca. Quand quelque chose fait courrir un grand risque a une communauté c'est bien d'en parler

de plus le topic est " Un ver qui fait rebooter les ordinateurs sous Windows' donc t'etais pas obligé d'etre soualé puisque tu etais pas obligé de lire le thread.

Disons que ce que reproche a ton post est d'etre sterile alors que t'as des gens qui sont en traind e se filer des tuyaux pour parer le probleme
et je penses qu'ils etaient deja au courant que linux exsistait ;)

sans rancune :)
 
Q
Quentin_
WRInaute occasionnel
ça me démange dsl...
milkiway ptet que mdk est plus sécu que win... mais plus lent qu'un xp... conseille leur un vrai distrib au moin... (qui a parlé de slacwkare ??? :p)
 
Y
ybet
WRInaute accro
af, il y a autant de faille de sécurité sous linux que sous Windows, faut pas réver. Un bon vieux firewall hardware, y a que ca ...: A part recevoir un mail d'host alert, s'il est bien configuré, ca bouge jamais

D'après les infos, utilise le port TCP 445.
 
Vous devez vous connecter ou vous inscrire pour répondre ici.
1.fr
Discussions similaires
M
redirection de l' adresse ip ver le nom de domaine
Réponses
3
Affichages
4K
miglo
M
L
nom de domaine -> redirection ver une page spécifique d'un autre domaine
Réponses
1
Affichages
2K
jeanluc
J
M
Redirection 301 oscommerce ver prestashop
Réponses
9
Affichages
3K
jeckyl
J
R
Black Marketing: + de 24 000 redirections ver un même site?
Réponses
12
Affichages
2K
Rod la Kox
R
A
SWF ver FLA
Réponses
9
Affichages
5K
bee_human
B
O
Qualité des lien interne ver d'autre site populaire
Réponses
9
Affichages
2K
phpmikedu83
P
B
IMPORTANT : Ver touchant les forums de type PHPBB
Réponses
66
Affichages
14K
hedonism
H
L
Le ver appelé Mydoom ou Norvag
Réponses
51
Affichages
7K
WebRankInfo
WebRankInfo
O
Consommation d'énergie des ordinateurs vs chauffage
Réponses
49
Affichages
6K
Suede
S
1
Différencier plusieurs ordinateurs ayant la meme ip.
Réponses
3
Affichages
2K
Ohax
O
R
Positionnement différent suivant les ordinateurs
Réponses
7
Affichages
2K
HawkEye
H
O
Ordinateurs tatoués
Réponses
6
Affichages
3K
squawk
S
Haut