Index du forum ‹ Hors sujet

[tinitini]

@Mark5 : J'aime bien le mot "televerser" pour un telechargement en upload.

J. (qui utilise un pc sous windows quand il y est obligé, mais qui a été élevé à la Debian depuis l'école maternelle)

[Formol]

Et cette petite modif qui permet de prolonger le support technique de Win XP jusqu'en 2019... tu en penses quoi ?

[HKEY_LOCAL_MACHINESYSTEMWPAPosReady]
“Installed”=dword:00000001

Cela peut fonctionner, sans danger en tout cas. Mais Microsoft va aussi abandonner les mises à jour pour la version "Embedded PosReady 2009".

Quel dommage, le nombre de machines sous Windows XP SP3 est encore très important.

[Nico_le_Normand]

Mouaip... en 2019... c'est justement çà, le problème.
Ça marche encore trop bien, ça nuit à d'autres produits de la maison.
Alors on va le rendre inutilisable par d'autres moyens : foutre une trouille monstre aux derniers résistants qui - ah les vilains - ne sont pas encore passés à W10.
Pardon ? Leur PC ne suivra pas le rythme ?
Eh bin... qu'ils en changent.
Au lieu de migrer gratuitement vers W10... il vont carrément signer un chèque de 500 billets pour s'acheter un portable Toupuri chez Carrefouette !

[Reno]

Et je persiste et signe : sasser ne s'installe PAS tout seul.
Contrairement aux conneries écrites dans le wiki français, ce vers/virus doit impérativement être déjà présent sur le réseau local (donc sur une machine) pour être "poussé" vers la machine cible.

Qu'est-ce que tu appelles "réseau local" ?

Parce qu'à l'époque où ça m'est arrivé sur le FUJISTU, j'étais chez moi, et le seul autre ordinateur à "partager" la connexion internet (les deux n'étant par ailleurs pas en réseau), sur la Freebox, c'était mon Mac

Ca n'est PAS la cible qui télécharge le virus mais le PC infecté qui INJECTE le ver.

Ouais… mais ça je n'en disconviens pas (enfin là j'accepte ton présupposé qu'il y ait un PC infecté sur le réseau, mais j'attends que tu précises ta pensée, parce que dans mon cas, je ne vois pas bien de quoi il s'agit). Juste, ça ne change rien au fait qu'aucune opération de l'utilisateur n'est nécessaire… en d'autre terme, et à nouveau, l'utilisateur n'a RIEN FAIT pour se faire infecter. En gros, ça s'est fait "tout seul".

Et ça, ça change tout (le problème du français, c'est que nous n'avons qu'un seul mot la ou les anglo-saxon en ont deux : upload/download = télécharger)

À titre personnel, j'emploie le terme "remonter" quand j'euplaude (mais bon, c'est un délire perso )

En effet, lorsque j'ai un bâton de dynamite dans la poche, je ne vais pas m'amuser au milieu d'un incendie.
Pareil pour un réseau local.
Si le réseau comporte une machine infectée, alors il faut au préalable trouver et éradiquer la source du mal.

Mmmmoui, mais là encore, j'ai besoin d'éclaircissements. Quelle est cette machine infectée dont tu parles ? Un autre PC sur le réseau Free, qui serait en réseau avec le mien, sans que je le sache ?

Encore une fois, il faut rester PLUS QUE CIRCONSPECT quant à ce qu'on peut lire sur le net, en particulier sur les forum, et plus généralement les sources d'informations française.
la réponse la plus répandue sur les forums français, c'est "reformatter" alors que ça n'est nécessaire que dans de très très très rares cas de figures.

Tiens, une autre source : http://www.softpanorama.org/Malware/Mal ... sser.shtml

(…)
One of the main reasons why Sasser caused problems was because it propagated over the network by exploiting a recently discovered vulnerability in the Local Security Authority Subsystem Service (LSASS) described in Microsoft Security Bulletin MS04-011. It spreads by scanning the randomly selected IP addresses for vulnerable systems.

When an infected machine would attempt to connect to a randomly generated Internet Protocol address through an unprotected port, it would copy code to the target machine. (see http://www.f-secure.com/v-descs/sasser.shtml)

J'imagine que c'est ça dont tu fais mention, quand tu parles de machine infectée sur un réseau local ?

It creates a mutex named Jobaka3l to ensures that no more than one instance of the worm can run on the computer at any time.

Copies itself as %Windir%\avserve.exe. Adds the value "avserve.exe"="%Windir%\avserve.exe" to the registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

so that the worm runs when you start Windows.

Donc, par amour du logos et même par respect pour une certaine morale, je voudrais, en mettant de côté les modalités d'application de la propagation du bazar, que tu finisses par admettre que dans un tel cas de figure (certes peu courant et sans doute pas très représentatif des mésusages ordinaires de l'utilisateur lambda qui va sur grosnichonslaiteux.com et qui télécharge des petits jeux rigolos pendant ses heures de bureau), l'utilisateur n'a strictement rien fait (ni activement, ni même indirectement), pour que son ordinateur se retrouve infecté.

Tu allumes ton bouzin, bing, tu te prends le message en pleine poire, et ça redémarre. T'as même pas eu le temps de lancer ton navigateur, rien, que dalle.

T'es têtu comme une mule

Ou alors c'est moi qui n'ait rien compris, mais c'est vraiment une hypothèse à laquelle il me serait douloureux de souscrire

It uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer.

See W32.Sasser.Worm - Symantec.com

Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts. Retrieves the IP addresses of the infected computer, using the Windows API, gethostbyname. Generates another IP address, based on one of the IP addresses retrieved from the infected computer (This process is made up of 128 threads, which demands a lot of CPU time. As a result, an infected computer may become so slow and barely usable). Connects to the generated IP address on TCP port 445 to determine if a remote computer is online. If a connection is made to a remote computer, the worm will send shell code to it, which may cause it to open a remote shell on TCP port 9996. Creates a ftp script file cmd.ftp on the attacked computer. Uses the shell on the remote computer to reconnect to the infected computer's FTP server, running on TCP port 5554, and retrieve a copy of the worm.

In July 8, 2005 the author of the Sasser and Netsky worms was sentenced in a German court Friday to one year and nine months of probation.
Sven Jaschan was 17 years old when he was arrested by German authorities in May 2004 for creating and distributing two of the most damaging e-mail worms in Internet history.

He was charged in September 2004 and pled guilty to data manipulation, computer sabotage, and interfering with public corporations. The sentence was handed down following a four-day trial in Verden, Germany.

The teen escaped a jail sentence "by the skin of his teeth" because he was arrested shortly before his 18th birthday, avoiding trial as an adult. In addition to probation, Jaschan is required to complete 30 hours of community service.

Microsoft said it is awarding $250,000 to two individuals who helped identify Jaschan as part of the company's anti-virus reward program. The program was established in November 2003 by Microsoft, the FBI, Interpol and the U.S. Secret Service to provide an incentive to get people to identify cyber-wrongdoers.

Nancy Anderson, Microsoft vice president and deputy general counsel, said the company is pleased about the Friday announcement and that the Sasser writer is being held accountable for his actions.

"It has been important and gratifying to collaborate with and support law enforcement in this case, and we're glad to provide a monetary reward to those individuals who provided credible information that helped the German police authorities solve this case," she said in a statement.

C'est une grande leçon mes amis, l'argent corrompt tout, l'argent, c'est le mal absolu.
Dans un acte d'amour universel, dans une démarche cosmique, je vous enjoie donc, pour le salut de vos âmes, à vous débarrasser de vos bien matériels. Vous m'envoyez tout, les numéros de comptes au Panama, tout ça, je me débrouille.
Et après, pour vous, c'est bon.

[Reno]

Le ver Sasser date de 2004.

Microsoft a corrigé son système fin 2004 pour le rendre inoffensif même en cas de déclenchement involontaire, sans antivirus et sans pare-feu. Il exploitait une des nombreuses failles de Windows (port 445). Par FTP sur le port 5554, il pouvait se déclencher à distance, sans intervention de l'utilisateur. Les premiers exemplaires connus de ce ver ont été détectés dans des versions piratées de jeux infectés du virus Mydoom. Il ne pouvait s'attaquer qu'aux systèmes Windows XP, Windows 2000 et Server 2003.

Mais ceci est du passé. Windows est enfin, et depuis un certain temps déjà, sécurisé. Avec le pare-feu de base et un antivirus quelconque gratuit, on ne risque plus grand-chose (sachant qu'il y aura toujours l'éventualité d'une faille mais de plus en plus improbable).

Windows XP SP3 est protégé contre ce genre d'attaque, sans problème.

Jean-Jacques (alias Formol, Most Valuable Professional Microsoft Windows Shell/User).

Manque de bol pour moi, mon netbook était en Windows 2000 du coup, j'ai à nouveau eu droit à ce gag l'an passé, en 2015

[Reno]

Encore une fois, il faut rester PLUS QUE CIRCONSPECT quant à ce qu'on peut lire sur le net, en particulier sur les forum, et plus généralement les sources d'informations française.

et encore plus quand c'est reno qui l'écrit

Toi, je vais te péter ta p'tite gueule

[Formol]

Mouaip... en 2019... c'est justement çà, le problème.
Ça marche encore trop bien, ça nuit à d'autres produits de la maison.
Alors on va le rendre inutilisable par d'autres moyens : foutre une trouille monstre aux derniers résistants qui - ah les vilains - ne sont pas encore passés à W10.
Pardon ? Leur PC ne suivra pas le rythme ?
Eh bin... qu'ils en changent.
Au lieu de migrer gratuitement vers W10... il vont carrément signer un chèque de 500 billets pour s'acheter un portable Toupuri chez Carrefouette !

Ben oui... Intel, AMD, Microsoft, Corel, Adobe, Sun, Macrovision (où j'ai bossé)... même combat. On met au point de nouveaux processeurs, matériels ou logiciels incompatibles, on oblige ainsi les gens à acheter du neuf, alors que leur machines sont parfaitement opérationnelles et bien suffisantes pour ce qu'ils font.

C'est le business...

[Formol]

Encore une fois, il faut rester PLUS QUE CIRCONSPECT quant à ce qu'on peut lire sur le net, en particulier sur les forum, et plus généralement les sources d'informations française.

et encore plus quand c'est reno qui l'écrit

Toi, je vais te péter ta p'tite gueule

Du sang, du sang !

[Formol]

Le ver Sasser date de 2004.

Microsoft a corrigé son système fin 2004 pour le rendre inoffensif même en cas de déclenchement involontaire, sans antivirus et sans pare-feu. Il exploitait une des nombreuses failles de Windows (port 445). Par FTP sur le port 5554, il pouvait se déclencher à distance, sans intervention de l'utilisateur. Les premiers exemplaires connus de ce ver ont été détectés dans des versions piratées de jeux infectés du virus Mydoom. Il ne pouvait s'attaquer qu'aux systèmes Windows XP, Windows 2000 et Server 2003.

Mais ceci est du passé. Windows est enfin, et depuis un certain temps déjà, sécurisé. Avec le pare-feu de base et un antivirus quelconque gratuit, on ne risque plus grand-chose (sachant qu'il y aura toujours l'éventualité d'une faille mais de plus en plus improbable).

Windows XP SP3 est protégé contre ce genre d'attaque, sans problème.

Jean-Jacques (alias Formol, Most Valuable Professional Microsoft Windows Shell/User).

Manque de bol pour moi, mon netbook était en Windows 2000 du coup, j'ai à nouveau eu droit à ce gag l'an passé, en 2015

Ah... Windows 2000 est quand même un bon système, par rapport à certaines daubes du Petit Mou. Mais normalement, avec les mises à jour, il est protégé contre ce ver.

[Reno]

Ah... Windows 2000 est quand même un bon système, par rapport à certaines daubes du Petit Mou. Mais normalement, avec les mises à jour, il est protégé contre ce ver.

Quand j'y repense, c'est vraiment une histoire de fou, puisque d'une part, un patch avait été appliqué pour corriger le problème, la première fois, il y a presque 10 ans ; d'autre part, entretemps, j'avais installé un pare-feu.
Que d'avoir simplement viré l'antivirus et redémarré l'ordinateur ait suffi à se faire à nouveau véroler par cette merde de Sasser, est quelque chose qui me fascine