Virus très gênant (aka MySql bot)

Blini · 27 Janvier 2005

Bonsoir les gars du café.

Petit hors sujet, mais il paraît qu'ici on peut. Je me suis fait véroler mon PC, et apparemment par un truc pas beau: W32.Spybot.Worm.
Je l'ai repéré parce que j'avais un processus "spoolcll.exe" qui me bouffait presque 100% de mon CPU, et surtout, plus d'accès Internet (connexion toujours OK, mais les browsers moulinaient dans la semoule).

Ce qui est très étrange, c'est que Google ne m'a donné que 3 réultats pour la requête "spoolcll"... Des gars parlent de cette cochonnerie ici:
http://whirlpool.net.au/forum-replies.cfm?t=291921&p=1

Si vous avez plus d'infos, je suis preneur, même si pour le moment, il est neutralisé.

Ah au fait, VirusScan de MacAfee n'a rien vu.

Bonne nuit.
(non merci, pas de café à c't'heure-ci)

Grantome · 27 Janvier 2005

Ahhhh les fameux SpyBot....

Ce sont des fichiers que l'on exécute malencontreusement soit à travers la pièce jointe d'un mail, ou un fichier récupéré via P2P qui lance ce ver.

Il ne fait rien de grave si tu à un firewall bien configurer.
Son boulot est d'espionner les acces clavier et de les envoyer.

VirusScan connait ces types de vers, tu as donc un soucis du coté de ton AV.

Pour le virer, il existe des méthodes chez tous les editeurs d'AV.

vpx · 27 Janvier 2005

Quand le truc vient de sortir, Les antivirus ne le reconnaissent pas forcement... J'ai eu l'honneur il y a quelques mois "d'inaugurer" un nouveau malware, et ca fait bizarre de voir que personne ne connait le problème sur Google. Cela dit, ca se diffuse vite... Au bout de quelques jours, des milliers de PC sont touchés et les editeurs d'antivirus sortent les mises à jour.
Je recommande Spysweeper, ou HijachThis (pour les utilisateurs avertis, ce dernier). Ils sont generalement plus performant que les plus connus.

e-kiwi · 28 Janvier 2005

>> VirusScan de MacAfee n'a rien vu.

ben oui, utilise un vrai antivirus

kaspersky, avk, ...

Blini · 28 Janvier 2005

Code:

                             _________________
                            |                 |
                   /|  /|   |    Please do    |
                   ||__||   |       NOT       |
                  /  (O(O\__|    feed  the    |
                 /          \      Troll      |
                /      \     \                |
               /   _    \     \_______________'
              /    |\____\     \     ||
             /     | | | |\____/     ||
            /       \|_|_|/  \      _||
           /   / \            |____/ ||
          |   |   | /|        |      --|
          |   |   |//         |_____ --|
   * _    |  |_|_|_|          |     `-'
*-- _--\ _ \     //           |
  /  _     \\ _ //   |        )
*  /   \_ /- | -     |       /
  *          c_c_c_C/ \C_c_c_c

Plus sérieusement, c'est arrivé sur mon PC maison (pas de firewall, oui, oui, je sais, pas taper...), utilisé principalement par ma femme.
Solution court terme: ce week-end, je la bascule de force sur FireFox + Thunderbird et j'évacue IE et Oulook Express...

Grantome · 28 Janvier 2005

vpx a dit:
Quand le truc vient de sortir, Les antivirus ne le reconnaissent pas forcement...

La plus part des éditeurs pondent une maj voir un outil de désinfection moins de 24h après sa découverte...

e-kiwi a dit:
>> VirusScan de MacAfee n'a rien vu.

ben oui, utilise un vrai antivirus kaspersky, avk, ...

Ridicule

La quasi totalité des AV fonctionne très bien.
Ils ne travail pas de la même façon et n'ont donc pas les même résulats pour chaque type d'infection, mais aucun n'est fiable à 100%

Exemple flagrant:
Norton AV, le plus connue et le plus courant et parmis les plus fiable contrairement à tout ce que les gens en disent...
Seulement, un AV sans Firewall ne sert pas à grand chose.
Aujourd'hui, les attaque se passe bien souvent via les ports de communication. Une fois entrèe, ils bloquuent l'AV et infectent la machine.
Comme Norton est sur 90% des post, les éditeur de virus s'attaque à lui en premier.

Blini · 28 Janvier 2005

Bon OK, OK, je vais installer un firewall... Des noms de firewalls gratuits ? (rem: c'est pour un Windows 2000)

[edit] hier soir sur Google: 3 résultats seulement pour spoolcll, aujourd'hui, 19...

[re-edit] Apparemment, le ver passe par mySql

ckarone · 28 Janvier 2005

Bonjour,

J'utilise SYGATE personal firewall pro qui fonctionne trés bien

Il offre une version gratuite :wink:

*ttp://smb.sygate.com/products/spf_standard.htm

Blini · 28 Janvier 2005

Bon OK. Plus d'infos ici:
http://news.google.com/news?hl=en&ned=u ... earch+News

Je sais, pas de firewall + weak root account sur MySql, je cherche les emmerds... A ma décharge, je ne me rappelais plus que le service MySql était en démarrage auto... Mea culpa.

e-kiwi · 28 Janvier 2005

pour un truc aussi grave tu n'a pas d excuses

au moins tu fera plus l'erreur ^^

Blini · 28 Janvier 2005

Tu m'étonnes...

Grantome · 28 Janvier 2005

Blini a dit:
Solution court terme: ce week-end, je la bascule de force sur FireFox + Thunderbird et j'évacue IE et Oulook Express...

Erreur, ce n'est pas en changeant de voiture que la panne d'essence n'arrivera pas.

Look'n Stop

Il est gratuit en version Lite.
39€ en version complete. C'est actuellement le meilleur du marché dans sa catégorie. Il bloque trèsbien, se configure grace aux règle, n'est pas "trop" connue donc, pas "trop" attaqué.
La version gratuite est très bien. Celle payante te permet d'avoir quelques options supplémentaire comme le filtrage logiciel, dll, et j'en passe.

Blini · 28 Janvier 2005

Oui, au moment de ce post, je ne savais pas comment était arrivé ce virus (PJ de mail ou autre ActiveX).
Maintenant que je sais comment il entre, je vais fermer la bonne porte

Merci pour la suggestion Look'n stop. Je regarderai.

dahane · 28 Janvier 2005

perso, j'ai bitdefender 8 pro et no pb ( 40 euros, 2ans de MAJ toute les 3 heures et licence pour 2 pc).