Index du forum ‹ Hors sujet

[Mark5]

Tout de suite, avec de l'information anglo saxonne, on a une version beaucoup plus crédible concernant le mode de propagation :

Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts. Retrieves the IP addresses of the infected computer, using the Windows API, gethostbyname. Generates another IP address, based on one of the IP addresses retrieved from the infected computer (This process is made up of 128 threads, which demands a lot of CPU time. As a result, an infected computer may become so slow and barely usable). Connects to the generated IP address on TCP port 445 to determine if a remote computer is online. If a connection is made to a remote computer, the worm will send shell code to it, which may cause it to open a remote shell on TCP port 9996. Creates a ftp script file cmd.ftp on the attacked computer. Uses the shell on the remote computer to reconnect to the infected computer's FTP server, running on TCP port 5554, and retrieve a copy of the worm.

Tout y est expliqué et confirme de manière claire et imparable ce que je viens de dire : il FAUT IMPERATIVEMENT une machine infectée sur le réseau local pour que l'infection se propage. Et c'est la machine infectée qui ordonne à sa cible (via une faille de LSASS.EXE) de se connecter à la machine infectée pour y télécharger (download) le vers et ensuite l'exécuter.
Donc, moralité, sur un réseau sain, connectée ou pas au net, une machine ne PEUT PAS s'infecter toute seule.
Ensuite, toute action de l'utilisateur pourra pourrir quelque chose, je suis bien d'accord.
Si ton réseau n'est pas sain (donc contient une machine infectée), alors la problématique est différente.

Je traduis pour les anglophobes :
"Démarre un serveur ftp sur le port 5554. Ce serveur est utilisé pour propager le ver vers d'autres machines. Récupère l'adresse IP de la machine infectée en utilisant les API (Application Programming Interface NDT) windows gethostbyname. Génère une nouvelle adresse IP basée sur celle récupérée sur la machine infectée (ie : même classe d'IP) (ce processus peut générer jusqu'à 128 fils d'exécution qui bouffent tout le CPU. Le résultat est que la machine infectée devient lente et difficilement utilisable). Se connecte aux adresses IP générées sur le port 445 pour vérifier si une machine est présente. Si la connexion est établie vers l'ordinateur distant (cible), le ver lui envoie du code qui va déclencher l'exécution d'un shell distant sur le port 9996. Crée un script ftp (cmd.ftp) sur l'ordinateur ciblé. Utilise le shell crée sur l'ordinateur cible pour se connecter à l'ordinateur infecté (serveur) pour y télécharger (download) le contenu du ver."

En clair, si pas de machine infectée, pas de propagation possible.
C'est pas que je sois têtu, c'est juste que je peux pas laisser passer des légendes urbaines.
C'est ce que je voulais dire avec mon histoire de bâton de dynamite.
Si ta baraque est en feu, tu te promène pas avec un bâton de dynamite.
Si ton réseau local n'est pas sain, tu n'y connectes pas de nouvelle machine.
CQFD.

[Formol]

Ah... Windows 2000 est quand même un bon système, par rapport à certaines daubes du Petit Mou. Mais normalement, avec les mises à jour, il est protégé contre ce ver.

Quand j'y repense, c'est vraiment une histoire de fou, puisque d'une part, un patch avait été appliqué pour corriger le problème, la première fois, il y a presque 10 ans ; d'autre part, entretemps, j'avais installé un pare-feu.
Que d'avoir simplement viré l'antivirus et redémarré l'ordinateur ait suffi à se faire à nouveau véroler par cette merde de Sasser, est quelque chose qui me fascine

Hum... peut-être une variante ou une fausse indication de la part de l'antivirus. Je veux dire par là que ce n'était peut-être pas Sasser mais une autre cochonnerie ; il arrive souvent que les antivirus se trompent sur le nom ou la nature des virus, même s'ils les détectent.

Mais il y a eu tellement de version de ce ver... tous les pirates en herbe se le sont approprié, en le modifiant très légèrement pour dire "C'est moi qui l'ait fait" (des petits cons entre 15 et 18 ans la plupart du temps, avec que des 0 et des 1 à la place du cerveau).

[Formol]

Tout de suite, avec de l'information anglo saxonne, on a une version beaucoup plus crédible concernant le mode de propagation :

Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts. Retrieves the IP addresses of the infected computer, using the Windows API, gethostbyname. Generates another IP address, based on one of the IP addresses retrieved from the infected computer (This process is made up of 128 threads, which demands a lot of CPU time. As a result, an infected computer may become so slow and barely usable). Connects to the generated IP address on TCP port 445 to determine if a remote computer is online. If a connection is made to a remote computer, the worm will send shell code to it, which may cause it to open a remote shell on TCP port 9996. Creates a ftp script file cmd.ftp on the attacked computer. Uses the shell on the remote computer to reconnect to the infected computer's FTP server, running on TCP port 5554, and retrieve a copy of the worm.

Tout y est expliqué et confirme de manière claire et imparable ce que je viens de dire : il FAUT IMPERATIVEMENT une machine infectée sur le réseau local pour que l'infection se propage. Et c'est la machine infectée qui ordonne à sa cible (via une faille de LSASS.EXE) de se connecter à la machine infectée pour y télécharger (download) le vers et ensuite l'exécuter.
Donc, moralité, sur un réseau sain, connectée ou pas au net, une machine ne PEUT PAS s'infecter toute seule.
Ensuite, toute action de l'utilisateur pourra pourrir quelque chose, je suis bien d'accord.
Si ton réseau n'est pas sain (donc contient une machine infectée), alors la problématique est différente.

Je traduis pour les anglophobes :
"Démarre un serveur ftp sur le port 5554. Ce serveur est utilisé pour propager le ver vers d'autres machines. Récupère l'adresse IP de la machine infectée en utilisant les API (Application Programming Interface NDT) windows gethostbyname. Génère une nouvelle adresse IP basée sur celle récupérée sur la machine infectée (ie : même classe d'IP) (ce processus peut générer jusqu'à 128 fils d'exécution qui bouffent tout le CPU. Le résultat est que la machine infectée devient lente et difficilement utilisable). Se connecte aux adresses IP générées sur le port 445 pour vérifier si une machine est présente. Si la connexion est établie vers l'ordinateur distant (cible), le ver lui envoie du code qui va déclencher l'exécution d'un shell distant sur le port 9996. Crée un script ftp (cmd.ftp) sur l'ordinateur ciblé. Utilise le shell crée sur l'ordinateur cible pour se connecter à l'ordinateur infecté (serveur) pour y télécharger (download) le contenu du ver."

En clair, si pas de machine infectée, pas de propagation possible.
C'est pas que je sois têtu, c'est juste que je peux pas laisser passer des légendes urbaines.
C'est ce que je voulais dire avec mon histoire de bâton de dynamite.
Si ta baraque est en feu, tu te promène pas avec un bâton de dynamite.
Si ton réseau local n'est pas sain, tu n'y connectes pas de nouvelle machine.
CQFD.

Evidemment, il faut avoir téléchargé quelque chose qui contient Sasser.exe avant (le plus souvent un fichier attaché à un mail ou encore caché dans un logiciel piraté). Il ne peut pas arriver dans un PC sans aucune intervention.

[Mark5]

Evidemment, il faut avoir téléchargé quelque chose qui contient Sasser.exe avant (le plus souvent un fichier attaché à un mail ou encore caché dans un logiciel piraté). Il ne peut pas arriver dans un PC sans aucune intervention.

Et c'est pourtant bien le propos de Reno.
Et ce contre quoi je m'insurge.

[Formol]

Evidemment, il faut avoir téléchargé quelque chose qui contient Sasser.exe avant (le plus souvent un fichier attaché à un mail ou encore caché dans un logiciel piraté). Il ne peut pas arriver dans un PC sans aucune intervention.

Et c'est pourtant bien le propos de Reno.
Et ce contre quoi je m'insurge.

[Nico_le_Normand]

Ben oui... Intel, AMD, Microsoft, Corel, Adobe, Sun, Macrovision (où j'ai bossé)... même combat. On met au point de nouveaux processeurs, matériels ou logiciels incompatibles, on oblige ainsi les gens à acheter du neuf, alors que leur machines sont parfaitement opérationnelles et bien suffisantes pour ce qu'ils font.
C'est le business...

A qui le dis-tu !!!
Tiens... jette un oeil là dessus.

Mon PC est un vieux HP qui date de l'époque d'Europe 2, la radio.
Je l'avais récupéré dans un destockage d'ordis.
Bon, il pèse lourd comme un âne mort et doit tailler un bon 45x45x25 mais il pète le feu.
En plus il ne m'a rien coûté.
Pourquoi irais-je mettre 450 / 500 billets dans un truc qui ne me servira pas plus ni mieux ?
Il me suffit pour une utilisation basique (MSoffice - OpenOffice / VLC / SoundForge / Lightroom et quelques autres).
Le seul jeu auquel je joue, c'est PinBall 3D, qui n'a même pas été récupéré sur Seven.
Je traîne sur quelques forums Internet, trois ou quatre.
Ma maison n'est pas connectée... ce qui évite les engueulades entre le frigo et la cafetière sur l'heure d'ouverture de la porte du garage.
So... what ze fuck ???

[Paflechat]

C'est marrant cette vieille légende qui dit qu'un PC se pourri tout seul.
Il suffit de l'allumer, et, sans aucune intervention de quelque utilisateur que ce soit, deux semaines plus tard, on se retrouve avec tous les spywares/malwares de la planète.
Alors moi, je dis total utter bullshit.
Le PC n'est pourri QUE et EXCLUSIVEMENT QUE par l'utilisateur.
Pas de négociation possible.

Alors pourquoi ça n'arrive (pratiquement) pas sur Mac ?
Tout simplement parce que le marché est insignifiant.
Le jour ou il y aura plus de Mac que de PC, il y aura plus de malware/spyware sur Mac que sur PC.
Et c'est pareil pour l'ensemble des Unix/Linux.

Rhaaa mais enfin quelqu'un qui me comprend!!

[Formol]

C'est marrant cette vieille légende qui dit qu'un PC se pourri tout seul.
Il suffit de l'allumer, et, sans aucune intervention de quelque utilisateur que ce soit, deux semaines plus tard, on se retrouve avec tous les spywares/malwares de la planète.
Alors moi, je dis total utter bullshit.
Le PC n'est pourri QUE et EXCLUSIVEMENT QUE par l'utilisateur.
Pas de négociation possible.

Alors pourquoi ça n'arrive (pratiquement) pas sur Mac ?
Tout simplement parce que le marché est insignifiant.
Le jour ou il y aura plus de Mac que de PC, il y aura plus de malware/spyware sur Mac que sur PC.
Et c'est pareil pour l'ensemble des Unix/Linux.

Rhaaa mais enfin quelqu'un qui me comprend!!

Mais non ! La grande majorité des utilisateurs d'ordinateurs (donc de PC) pense la même chose. Et pour enfoncer encore un peu plus le clou, je passe mon temps à dépanner des MAC plantés dans ma résidence (architectes, médecins, dentistes). La légende urbaine qui voudrait que les Apple soient plus stables que les PC est fausse aussi. S'ils sont moins souvent en panne, c'est qu''il n'y a pratiquement rien comme applications comparé aux centaines de milliers qui existent pour PC.

Quant à Linux... à peine plus de 1% du marché... alors qu'il est gratuit.

[Formol]

Ben oui... Intel, AMD, Microsoft, Corel, Adobe, Sun, Macrovision (où j'ai bossé)... même combat. On met au point de nouveaux processeurs, matériels ou logiciels incompatibles, on oblige ainsi les gens à acheter du neuf, alors que leur machines sont parfaitement opérationnelles et bien suffisantes pour ce qu'ils font.
C'est le business...

A qui le dis-tu !!!
Tiens... jette un oeil là dessus.

Mon PC est un vieux HP qui date de l'époque d'Europe 2, la radio.
Je l'avais récupéré dans un destockage d'ordis.
Bon, il pèse lourd comme un âne mort et doit tailler un bon 45x45x25 mais il pète le feu.
En plus il ne m'a rien coûté.
Pourquoi irais-je mettre 450 / 500 billets dans un truc qui ne me servira pas plus ni mieux ?
Il me suffit pour une utilisation basique (MSoffice - OpenOffice / VLC / SoundForge / Lightroom et quelques autres).
Le seul jeu auquel je joue, c'est PinBall 3D, qui n'a même pas été récupéré sur Seven.
Je traîne sur quelques forums Internet, trois ou quatre.
Ma maison n'est pas connectée... ce qui évite les engueulades entre le frigo et la cafetière sur l'heure d'ouverture de la porte du garage.
So... what ze fuck ???

Très bonne machine ! Tant que tu ne fais pas du montage vidéo ou de la 3D, tu n'as pas besoin de plus. Ce que beaucoup de "geek" ne comprennent pas.

A ce propos, sais-tu qu'il existe un SP4 pour XP (informel) qui regroupe toutes les mises à jours Microsoft ? Si tu dois un jour formater et réinstaller.

[Reno]

Tout de suite, avec de l'information anglo saxonne, on a une version beaucoup plus crédible concernant le mode de propagation :

Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts. Retrieves the IP addresses of the infected computer, using the Windows API, gethostbyname. Generates another IP address, based on one of the IP addresses retrieved from the infected computer (This process is made up of 128 threads, which demands a lot of CPU time. As a result, an infected computer may become so slow and barely usable). Connects to the generated IP address on TCP port 445 to determine if a remote computer is online. If a connection is made to a remote computer, the worm will send shell code to it, which may cause it to open a remote shell on TCP port 9996. Creates a ftp script file cmd.ftp on the attacked computer. Uses the shell on the remote computer to reconnect to the infected computer's FTP server, running on TCP port 5554, and retrieve a copy of the worm.

Tout y est expliqué et confirme de manière claire et imparable ce que je viens de dire : il FAUT IMPERATIVEMENT une machine infectée sur le réseau local pour que l'infection se propage. Et c'est la machine infectée qui ordonne à sa cible (via une faille de LSASS.EXE) de se connecter à la machine infectée pour y télécharger (download) le vers et ensuite l'exécuter.
Donc, moralité, sur un réseau sain, connectée ou pas au net, une machine ne PEUT PAS s'infecter toute seule.
Ensuite, toute action de l'utilisateur pourra pourrir quelque chose, je suis bien d'accord.
Si ton réseau n'est pas sain (donc contient une machine infectée), alors la problématique est différente.

Je traduis pour les anglophobes :
"Démarre un serveur ftp sur le port 5554. Ce serveur est utilisé pour propager le ver vers d'autres machines. Récupère l'adresse IP de la machine infectée en utilisant les API (Application Programming Interface NDT) windows gethostbyname. Génère une nouvelle adresse IP basée sur celle récupérée sur la machine infectée (ie : même classe d'IP) (ce processus peut générer jusqu'à 128 fils d'exécution qui bouffent tout le CPU. Le résultat est que la machine infectée devient lente et difficilement utilisable). Se connecte aux adresses IP générées sur le port 445 pour vérifier si une machine est présente. Si la connexion est établie vers l'ordinateur distant (cible), le ver lui envoie du code qui va déclencher l'exécution d'un shell distant sur le port 9996. Crée un script ftp (cmd.ftp) sur l'ordinateur ciblé. Utilise le shell crée sur l'ordinateur cible pour se connecter à l'ordinateur infecté (serveur) pour y télécharger (download) le contenu du ver."

En clair, si pas de machine infectée, pas de propagation possible.
C'est pas que je sois têtu, c'est juste que je peux pas laisser passer des légendes urbaines.
C'est ce que je voulais dire avec mon histoire de bâton de dynamite.
Si ta baraque est en feu, tu te promène pas avec un bâton de dynamite.
Si ton réseau local n'est pas sain, tu n'y connectes pas de nouvelle machine.
CQFD.

Oui oui oui, je comprends bien.

Sauf que chez moi, il n'y avait pas de "réseau".

Les deux seules machines qui se trouvaient chez moi étaient :

• mon Mac
• le netbook

Les deux avaient accès à internet via la Freebox, mais n'étaient pas en "réseau" l'un avec l'autre, et quand bien même, un Mac et un PC…


Du coup, je m'interroge : ton cas de figure n'est pas valide dans mon cas.

Ce qui laisse à penser que le netbook a été "contaminé" via une autre machine… mais par quel prodige, ô druide ?

Et puis surtout, à mon avis, ça ne change rien à l'affaire. JE N'Y SUIS POUR RIEN, je n'ai "rien fait"

Du coup, c'est étrange.