Kommunauty
Connexion
Inscription

[Help] Attaque DCOM exploit


Azura Messages : 224

Salut

Voilà, j'ai besoin d'aide et j'ai plus confiance en vous qu'en les internautes de Tom's Guide. ><

Depuis quelques heure, avast (Oui avast ) me signale une attaque DCOM. Je me suis renseigné sur les vers, virus Nachi et Blaster etc...

Le problème c'est que je n'ai toujours pas compris comment me débarrasser de ce virus >.<

Si quelqu'un peut m'expliquer comment faire.

Et aussi, quel firewall gratuit me conseillez vous ?

samedi 17 juillet 2010

Mizur Messages : 6616

Yop!

T'es vraiment tombé sur un truc emmerdant là! M'enfin, ca va se resoudre.

Alors, le truc, c'est que toute notre activité d'aide va etre figée jusqu'a fin Aout dès que je pars en vacances, c'est a dire dans 50 minutes, alors pour aider ca va etre dur, etant donné que ce probleme est long a resoudre...

Je te donne quelques infos en plus tiréee de Symantec:

En raison du nombre décroissant de virus soumis, Symantec Security Response a réévalué cette menace q du Niveau 4 au Niveau 3 à partir du 8 octobre 2003.

W32.Blaster.Worm est un ver qui exploite la vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité Microsoft MS03-026 en utilisant le port TCP 135. Le ver ne vise que les machines exécutant Windows 200 Windows XP. Les machines Windows NT et Windows 2003 Server sont vulnérables à l'exploitation mentio haut (si le correctif n'a pas été appliqué aux machines), cependant, le ver n'est pas codé pour se duplique systèmes. Ce ver tente de télécharger le fichier msblast.exe dans le répertoire %WinDir%system32 puis e'exécuter. Ce ver n'a pas de fonctionnalité d'envoi en masse de courrier électronique.

Des informations complémentaires, ainsi que l'adresse d'un site sur lequel vous pouvez télécharger le cor Microsoft, sont disponibles dans l'article de Microsoft intitulé What You Should Know About the Blaster W Its Variants.

Nous conseillons aux utilisateurs de bloquer l'accès au port TCP 4444 au niveau du firewall, puis de bloqu suivants, s'ils n'utilisent pas les applications énumérées:

* Port TCP 135, "DCOM RPC"

* Port UDP 69, "TFTP"

Le ver tente également de réaliser une attaque de type déni de service (DoS) sur Windows Update. Cette attaque vis à vous empêcher d'appliquer un correctif sur votre ordinateur afin de vous protéger contre la vulnérabilité DCOM RPC. Cliquez ici pour en savoir plus sur la vulnérabilité que ce ver exploite et pour connaître les produits Symantec qu peuvent vous aider à limiter les risques causés par cette vulnérabilité.

Dommages:

* Elément déclencheur : Si la date est le 16 du mois et ce jusqu'à la fin de ce mois si antérieur à août, et chaque jour à partir du 16 août jusqu'au 31 décembre.

* Charge utile : Réalise une attaque de type déni de service sur windowsupdate.com

Provoque l’instabilité du système : Peut bloquer les machines

Compromet les paramètres de sécurité : Ouvre un shell distant cmd.exe caché.

Distribution:

* Ports : TCP 135, TCP 4444, UDP 69

* Cible de l’infection : Machines exécutant des services DCOM RPC vulnérables.

En gros, c'est pas cool. Pour avoir quelques jours devant toi et comme nous ne pourrons pas t'aider, rends toi sur infos-du-net.com en leur expliquant le probleme et en leur montrant un rapport que tu auras fait en installant et lancant HijackThis

Voila, bon c'est pas genial, mais voila >< Allez, arrangez moi ca jeune homme!

dimanche 18 juillet 2010

Azura Messages : 224

Omg pourquoi moi T_T

J'espère qu'il est pas trop tard, je file sur info du net.

Au pire, un formatage ferait du bien à mon PC non ?

dimanche 18 juillet 2010

Azura Messages : 224

Bon un petit double post, parce que j'ai bien plus d'info.

Enfaite ce ne sont que des attaques DCOM et LSASS, j'ai lu que ce n'était qu'un hackeur qui essayais d'hacker ma machine, mais que l'antivirus empêchait ça, donc si j'ai bien compris chaque message d'alerte me signifie le moment ou il essaye de m'hacker.

Ça me rassure à mort =)

dimanche 18 juillet 2010

Mizur Messages : 6616

Oui, c'est possible aussi, mais qu'est ce que tes ports foutent ouverts? c'est certainement (parceque generalement) par le port 135, en quelques recherches sur Google tu trouveras un programme pour les fermer.

dimanche 18 juillet 2010

Azura Messages : 224

Ah, donc rien de grave

Merci, je vais chercher ca

dimanche 18 juillet 2010

Ancienasgard Messages : 333

En pare feu il y a zone alarm (bon pas gratuit certes) que j'aime bien

lundi 19 juillet 2010

Azura Messages : 224

Salut

En pare feu j'ai installé SPF, l'ancien Kerio.

lundi 19 juillet 2010

Azura Messages : 224

Désolé du double-post :

lundi 19 juillet 2010

Mizur Messages : 6616

Mais oui fuck, bloque ton port 135 quoi c'est pas les logiciels qui manquent sur google!

lundi 19 juillet 2010

Page suivante »