Alerte Orange virus Zotob.D et IRCBot.KB

à tous ! (je suis dans le jus en ce moment, je vous dis pas )

PandaLabs a récemment enregistré différentes

attaques provenant de deux nouveaux vers, Zotob.D et IRCBot.KB.

Ils exploitent la vulnérabilité du service Plug and Play (PnP) de Windows,

qui autorise l’exécution d’un code à distance permettant à un hacker d’avoir un total contrôle sur le système.

Ils ne se propagent qu’à travers les ordinateurs dotés des systèmes d’exploitation Windows 2000, XP et Server 2003.

Plusieurs médias, comme CNN, ABC et le New York Times, le Congrès Américain et

la société Caterpillar ont d’ores et déjà été infectés.

Le symptôme le plus visible de ces vers est le redémarrage permanent et automatique des ordinateurs infectés, les rendant inutilisables. Ils peuvent donc avoir des effets plus que dommageables, en particulier pour les entreprises.

@ +

Bonjour,

Voici l'alerte Panda (un extrait)

Citation :

ALERTE VIRALE: IRCBot.KC et Zotob.D
Encore plus de protection avec Titanium Antivirus 2005

Deux nouveaux vers, IRCBot.KC et Zotob.D, se répandent actuellement très rapidement. Le plus grand danger réside dans
leur capacité à exploiter une vulnérabilité, qui permet la prise de contrôle à distance des systèmes.
De grandes organisations, telles que CNN, le New York Times ou l'aéroport de San Francisco ont déjà été infectées.

Le symptôme principal de ces vers est le redémarrage permanent des ordinateurs. Leur mode opératoire est le suivant :

1.-Générer aléatoirement des adresses IP pour exploiter la vulnérabilité du service Plug and Play de Windows.

2.-Lorsque la faille a été détectée, ils s'installent sur l'ordinateur en modifiant une clé de registre afin de s'exécuter
à chaque démarrage.

3.- Ils se connectent à un canal IRC pour permettre à un attaquant externe de contrôler tous les ordinateurs infectés.
Ils ne se propagent qu'à travers les ordinateurs sous Windows.

Etant donné la probabilité des incidents, qui peuvent être provoqués par IRCBot.KC et Zotob.D, Panda Software recommande
aux utilisateurs de prendre leurs précautions, de garder leurs logiciels antivirus à jour et d'appliquer le patch de
Microsoft.

On les trouve où ces patchs ?

J'ai fait Windows Update mais si je veux avoir ces patchs sous la main, quelqu'un sait-il où les télécharger individuellement ?

Tu les a ici (au paragraphe "critique(3)" :

http://www.microsoft.com/france/technet/securite/ms05-aug.mspx



A+

Nickel merci !

Parce que j'ai des clients qui risques d'appeler mardi.


Et j'ai pas trop envie de connecter tous les PC un par un...je suis pas sorti !

Ils t'appellent rien que pour les majs ?

Hé.........!!
Je viens juste de recevoir ça :

Informations pour se désinscrire à la Newsletter à la fin de cet émail

Bonjour landry,

cette Newsletter vous informe des dangers actuels dans l'Internet.

Mise en garde contre le Ver Mytob (Zotob)!

Les nouvelles variantes du Ver Mytob utilisent un point faible dans l'interface du Plug&Play de Windows, pour infecter le système de Windows. a-squared reconnait le Ver en tant que Net-Worm.Win32.Mytob.cd, Mytob.cf, Mytob.ch ainsi que le Trojan-Backdoor installé automatiquement sous le nom de Backdoor.Win32.IRCBot.et. Toutefois, souvent les médias utilisent le terme générique de Zotob-Worm.

Ce point faible concerne principalement Windows 2000, mais peut toutefois, être utilisé aussi avec les systémes de Windows XP et 2003 Serveurs de Microsoft. Les systèmes Windows 98 et ME ne sont pas concernés.

Le Ver télécharge un IRC Trojan-Backdoor de l'Internet, par lequel le PC contaminé pourra être pris en charge, c.à.d que le pirate aura le plein control de l'ordinateur.

Remède:

Assurez-vous que le Patch pour Windows avec le Numéro KB899588 soit installé dans votre systéme. Vous pouvez soit télécharger le Patch manullement chez Microsoft, ou soit vous servir du Windows-Update automatique.

KB899588: http://www.microsoft.com/france/technet/securite/ms05-039.mspx
Windowsupdate: http://www.windowsupdate.com

Les utilisateurs de a-squared Free devraient faire absolument la mise à jour en ligne et scanner leur système, afin que le Ver puisse être supprimé après une infection.

Les utilisateur de a-squared Personal sont aussi protégés sans faire de mise à jour, puisque la nouvelle technologie IDS du gardien d'arrière-plan est intégrée, donc le ver sera immédiatement reconnu au moyen de l'analyse de comportement, aussitôt qu'il montrera un comportement nuisible.

C'est donc celui-là : KB899588

Une seconde et demie de retard derriére ton lien

On a reçu la même alors

Mais ce n'est pas la seule maj critique (cf mon lien) : il ya aussi celle concernant le spouleur d'impression, notamment.

J'ai vu.

Mais en faisant Windows Update je suis censé avoir la totale, non ?

Vi...(j'ai vérifié : elles y sont sont)

mais pour tes amis, il les faut aussi.

Et tu les vois où ?

Dans ajout-suppréssion j'ai pas pas les correctifs affichés.

Si si...elles s'appellent "mise à jour de sécurité pour windows XP" et j'ai la KB899588 (entre autres).

Autrement dans l'historique des maj dans windows update

J'avais juste pas coché "afficher les mises à jour"

Ca rentre même pas dans la prise d'écran.
Mais c'est bon...

Décidement :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
S E C U S E R S E C U R I T E 18/08/05
http://www.secuser.com/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Vulnérabilité critique dans un composant COM de Windows
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE
2. LOGICIEL(S) CONCERNE(S)
3. CORRECTIF DISPONIBLE
4. AIDE ET DISCUSSION
5. FAIRE CONNAITRE SECUSER SECURITE
6. CONTACTER SECUSER.COM
7. DESABONNEMENT ET CHANGEMENT D'ADRESSE


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Une vulnérabilité a été découverte dans certaines versions du composant
Microsoft DDS Library Shape Control (Msdds.dll). Cette faille permet à un
individu malveillant d'exécuter du code à distance sur l'ordinateur de sa
victime lors de la consultation d'une page web piégée avec le navigateur
Internet Explorer. Le fichier vulnérable n'est pas présent par défaut dans
Windows mais peut avoir été installé par une application Office ou .NET.
http://www.secuser.com/communiques/2005/050818_msdds.htm

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2. LOGICIEL(S) CONCERNE(S)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Compte tenu du caractère précipité de la divulgation de cette faille, pour
l'instant il n'existe pas de liste fiable des applications susceptibles
d'installer une version vulnérable du composant COM. Certaines versions
de Microsoft Office et Visual Studio .Net devraient en faire partie.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3. CORRECTIF DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Le découvreur de la faille ayant fait le choix de ne pas coopérer avec
l'éditeur, aucun correctif n'est disponible pour le moment et le risque
d'exploitation malveillante est maximal car le détail du code permettant
d'exploiter la faille a été rendu public. Les utilisateurs concernés
peuvent appliquer diverses mesures pour réduire les risques de piratage.
http://www.secuser.com/communiques/2005/050818_msdds.htm#correctif

Ca y va en ce moment....

Je n'avais pas saisi ta question :

Citation :

Ils t'appellent rien que pour les majs ?

Non, mais pour demander s'ils peuvent apporter leur PC..(en cas d'infection)


C'est pour ça aussi qu'il me faut les patchs correctifs et utilitaires de désinfection.*

*Pour IRCBot.KC j'ai trouvé l'utilitaire de désinfection chez Panda et quant à Zotob.D chez Symantec. valable pour Zotop A,B,D,E et F.

J'ai pas le fichier msdds.dll

Tu le veux ?

Je vais au pieu.

Aujourd'hui j'ai ramené (en plusieurs voyages) 1.5 tonne de sable.
J'ai acheté du ciment et une masse avec un manche en plastique (celle avec le manche en bois a cassé).

Et demain je défracte le mur et je le remonte (enfin une partie) ds la journée.

A plus.................

Citation :

une masse avec un manche en plastique

Garantie à vie !

Enfin...ça fait des années que j'ai une pioche avec un manche comme ça et pas de problème. Avant, je compte pas les manches en bois que j'ai pu casser...

Ca fait le troisiéme PC dont on me parle aujourd'hui (ils arrivent demain ) qui ont le même problème.

Windows s'ouvre jusqu'au logo et plus rien, la machine reste comme ça avec soit le logo Windows ou soit l'écran qui devient noir.

C'est le fameux virus qui fait ça ?

Renard !

Voici les infos dont je dispose à ce jour, si j'ai autre chose je te ferais suivre (désolé si c'est un peu long à lire) :

Rapport hebdomadaire Panda Software
sur les virus et les intrusions

POISSY, le 22 août 2005

Cette semaine le rapport de Panda Software étudiera un cheval de Troie, Mitglieder.EK, un outil de piratage (hacking tool), ModemSpy et cinq vers, Zotob.A, Zotob.B, Zotob.D, IRCBot.KC et IRCBot.KD. A l’exception de cet outil de piratage, qui n’est pas un code malveillant, tous ces spécimens de malware ont été détectés et neutralisés par les Technologies TruPrevent™ avant même d’avoir été préalablement identifiés.

Mitglieder.EK est un cheval de Troie dont l’objectif est de mettre fin à tous les processus relatifs aux applications antivirus ou pare-feu (firewall), comme à leurs systèmes de mise à jour, en effaçant, modifiant ou créant des clés dans la base de registre. Il crée également lui-même une clé de registre pour s’assurer, à chaque fois que l’ordinateur contaminé redémarre, d’être lancé à son tour. Par ailleurs, il essaie de télécharger un fichier dénommé OSA4.GIF, qui tente de se faire passer pour une image alors qu’il s’agit d’un fichier exécutable. Comme tous les chevaux de Troie, il ne peut se propager par ses propres moyens et par conséquent doit se diffuser manuellement par emails, programmes de P2P...



Zotob.A et Zotob.B sont deux vers qui fonctionnent dans la même logique. Ils exploitent, par débordement de mémoire tampon (buffer overflow), une faille de sécurité du service Plug and Play de Windows, annoncée par Microsoft dans le rapport MS05-039, et qui affecte Windows 2000, Windows XP, et Windows 2003 Server. Ces vers se propagent en exploitant cette vulnérabilité, générant des adresses IP aléatoires auxquelles ils essaient de se connecter par le port 445, tout en vérifiant que l’ordinateur en question dispose également de cette vulnérabilité. Si tel est le cas, ils installent alors un serveur FTP sur la machine contaminée et essaient de télécharger une copie d’eux-mêmes via le port 33333. Lorsqu’ils atteignent l’ordinateur contaminé, ils entreprennent deux actions : ils bloquent l’accès aux sites web des éditeurs d’antivirus et ouvrent une porte dérobée (backdoor) sur la machine en question afin de recevoir de nouvelles lignes de commandes via IRC, qui notamment permettent de télécharger, d’exécuter ou bien d’effacer des fichiers.



Zotob.D, IRCBot.KC et IRCBot.KD sont trois vers qui présentent un fonctionnement similaire. Comme les vers précédents, ils essaient de se diffuser par l’intermédiaire de la vulnérabilité du service Plug and Play. Ces vers génèrent également des adresses IP aléatoires via le port 445 pour rechercher des systèmes d’exploitation vulnérables. Une fois trouvés, ils envoient l’instruction de télécharger une copie du vers par TFTP. Ensuite les actions entreprises varient d’un vers à l’autre : Zotob.D efface les différents programmes de type adware ou spyware, tout comme les variantes A, B et C des précédents vers. IRCBot.KD essaie de mettre fin à tous les processus liés aux versions précédentes de Zotob et IRCBot, ainsi qu’à ceux d’autres malwares. Ils partagent néanmoins la caractéristique d’ouvrir une porte dérobée (backdoor) par laquelle ils reçoivent des instructions via une connexion à certains canaux IRC.



En conclusion, ModemSpy est un outil de piratage informatique. Bien que ce soit une application légale, son utilisation peut être détournée entre les mains de hackers. Ce logiciel permet à un hacker d’enregistrer des conversations téléphoniques, de les écouter ou de les envoyer par email, d’identifier les interlocuteurs ou même les messages enregistrés, en utilisant tout simplement un microphone. De plus, il contient une fonction qui lui permet de passer totalement inaperçu aux yeux des utilisateurs grâce à son mode « discrétion ».

@ + L'ami

C'est gai

Petite question comme ça...: les "surveillants" de registre comme le tea timer de spybot ou même spywareguard ou spywareblaster peuvent-ils empêcher la modification des clés dans le cas d'infections comme celles-là ?

Spybot me prévient quand il y a des modifications du registre, notamment au moment des mises à jour (antivirus ou windows update) : à moi d'accepter ou pas.

A+

Bonne question !!

Ce virus passe t-il outre la demande d'autorisation de Spybot (enfin la fait-il sauter)
Ou est-il repéré ?

Bon dans tous les cas mes PC doivent avoir un autre problème. Je regarde cet aprés-midi.

les gars !

ortale a écrit:

Petite question comme ça...: les "surveillants" de registre comme le tea timer de spybot ou même spywareguard ou spywareblaster peuvent-ils empêcher la modification des clés dans le cas d'infections comme celles-là ?

Spybot me prévient quand il y a des modifications du registre, notamment au moment des mises à jour (antivirus ou windows update) : à moi d'accepter ou pas.

A+

Ben c'est uen trés bonne question ça ! je te remercie de l'avoir posé ! Honnetement J'en sais strictement rien ! je dirais que oui, il doit te signaler que quelque chose veut modifier la BR, mais je n'en suis absolument pas sur !

Tru-Prevent (le fameux TRSRV dont on parlait l'autre fois) lui surveille le comportement des fichiers dans ton PC, et d'autres choses comme le Buffer overflow, je sais que ca a permis de bloquer Zotob dés qu il est apparut sur la toile ! (c'est un peu lourd, mais éfficace ! )

@ +