La Taverne des Hobbits

Bievenue chez les Hobbits

Vers le contenu

Virus

De l'aide, des conseils, un tutorial par rapport à un logiciel, je vous en prie, prenez place.
Répondre

Virus

Messagepar Amilcar » Lun 8 Mar 2004 21:19

Je m'en vais vous compter une petite aventure survenue ce week end sur mon pc.

L'intérêt n'est pas ici de raconter ma vie mais plutôt de donner un aperçu des merdes que l'on subit, d'aider peut être de futures victimes de tels virus, et d'entraîner des conseils de personnes plus chevronnées (non pas de conseil de type va voir chez google...). N'hésitez donc pas à compléter ou modifier mes informations.



J'ai tout d'abord constaté que mon pc subissait de gros ralentissements sous un jeu :colere: . Quand on sait que le jeu en question est Hearts of Iron, on a peur, car ce type de jeu est peu gourmand en ressource...

Après un ctrl-alt-sup (gestionnaire de tâches) je m'aperçois que mon UC tourne à 100% au repos... :D

Bref le processus svchost.exe pompe 70% du temps processeur. C cool.

Je supprime le dit processus et Windows me signale qu'il va alors éteindre le pc dans 55s. :mad: J'annule tout.

je lance mon antivirus, qui ne démarre pas... :bravo: Nickel.

Je vais sur le net sur Google et tape svchost.exe en rubrique français.

La multitude de réponses (aller voir sur http://www.faqxp.com/f/33.asp , un site de faq sur Windows XP, mais aussi http://forum.clubic.com/forum2.php3?post=20026&cat=6) m'indiquent qu'il s'agit d'un virus gaobot qui exploite des erreurs liées à Windows XP (une sorte de ver).

Manifestement il empêche mon antivirus de lancer un scan ou une Live Update... Et a configuré celui ci pour se désactiver... Donc je fais un scan en mode sans échec. MAIS la mise à jour (toute récente car je les fait quasi quotidiennement) n'est pas "au courant" et comme je ne peux pas lancer internet en mode sans échec...

Suite à qques balades sur différents forums, j'en conclue qu'il faut supprimer définitivement gaobot (qques explication sur lui à http://www.secuser.com/alertes/2003/gaobot.htm) : lancer fixgaobot une 1ère fois(dispo à http://securityresponse.symantec.com/avcenter/FxGaobot.exe) en ayant désactivé la restauration du système auparavant. Puis relancer ensuite fixgaobot après avoir rédémarré en mode sans échec.

Ouai, on va le faire...

Je le fais donc, et bof...

J'installe donc le patch microsoft WindowsXP-KB823980-x86-FRA qui paraît-il le blinde contre ce type d'attaque.

Pour info je l'ai topé à http://forum.hardware.fr/forum2.php3?post=135991&cat=4&config=&interface=&cache=&sondage=&owntopic=&p=1&trash=&subcat=

ET ça marche. :-D



Mais un processus "Zsoft32" bouffe toujours de l'UC...

Il est 2h00 et ça fait 2h30 que je cherche, ras le c.. et :dodo:



Lendemain dimanche je passe sur le net et trouve une mise à jour de mon antivirus Norton

- infos à http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.banpaes.c.html

- téléchargement à http://securityresponse.symantec.com/avcenter/defs.download.html

qui me permette de régler le pb restant.

Exécutée, je lance Windows XP en mode sans échec qui trouve deux virus.

En fait il s'agit du virus W32.HLLW.Gaobot.gen qui infecte :

- winhlpp32.exe

- Zsoft32.exe



L'antivirus les corrigent dans la foulée, et je les mets en quarantaine (question : Quel effet réel ?... No sé)

Ensuite je redémarre en mode normal, et ça roule depuis. :banana1:



BREF

- Le virus Gaobot a empêché mon antivirus de fonctionner (scan et mise à jour) en mode normal

- Le virus Gaobot a infecté trois processus qui monopolisaient tout le temps processeur dispo

- Une mise à jour de l'antivirus est possible en allant sur le net (au début mes pistes partent toutes de Google). On télécharge un exécutable qui mets l'antivirus à jour, on le démarre en mode sans échec, l'antivirus résout l'affaire

- L'installation du patch Windows pour XP réduit (?! :perplexe: ) les failles de celui ci vis à vis de virus de type vers

- Le virus Gaobot est une saloperie



Bonne journée.
Your Smile Is Commercial Food
Avatar de l’utilisateur
Amilcar
Valar
 
Messages: 602
Inscription: Ven 28 Nov 2003 09:39
Localisation: Mégara
Haut

Messagepar Mehorn » Lun 8 Mar 2004 21:59

un petit mot sur le principe des vers, trojan et autres virus sympathiques:



Leur mode de fonctionnement et pratiquement pour tous le même.



1- on s'introduit sur le pc cible par l'intermédiaire d'un download, d'un mail, d'une disquette, et j'en passe.....



(en fait il se cache dans un fichier parmis tant d'autre, mais de préférence un exécutable)



2- sortir de sa cachette:



le gentils monsieur qui m'as fais rentrer dans sa machine sans le savoir va certainement finir par utiliser ce fichier et j'en profite pour sortir et me cacher dans un autre fichier (nom aléatoire pour les virus les plus intelligent ou un nom de fichier système pour les plus méchant)





3- sécuriser ma position (maintenant que j'y suis, j'y reste):



bon un coup d'oeil a gauche, un coup d'oeil a droite et....

oh oh un antivirus ?? vite désactivons le !

comme le monsieur qui m'a libéré possède le droit d'administrer sa machine, il me les as aussi donner en m'installant donc rien ne m'empêche d'arréter le processus de l'antivirus et de le bloquer ad vitam eternam.... (ou du moin jusqu'a ce que quelqu'un s'en aperçoive, mais ce sera dèjà trop tard)





4 - maintenant que je suis chez moi, je vais fonder une famille, on sait jamais je pourrais disparaitre....



Donc le virus ou le ver (rarement les trojans) se multipli par copier-coller (genre de division cellulaire chez les virus informatiques ;) )





5- et puis tant qu'on y est, j'envoie ma famille en vacances chez tous les gens qui se trouve dans l'annuaire mis a ma disposition par outlook !!



Le cycle se reproduit chez les différents contacts du possesseur du premier PC infecté !



6 - bon maitenant on vérifie le planing pour savoir quand on fais péter la charge virale (si charge virale il y a)



et la on peut tout faire !



augmenter les tension de la carte-mère, overcloker ou underclocker le processeur, effacer des fichiers précis (genre tous les fichiers Word), ouvrir une porte dérobé à travers le firewall (puisqu'il se trouve qu'il est en statefull-inspection), faire perdre le contrôle du PC à son propriétaire ou encore effacer la MBR (ça c'est trop marrant parcequ'après, il faut tout réinstaller ou alors prendre sa calculatrice, un éditeur hexadécimal, un deuxième PC et avoir énormément de temps ).



Mais ces réjouissance sont toutes simple comparé au fait que votre PC peut se tranformer en "ZOMBIE" et attaquer sur commande certain site ou entreprises bien ciblées et là c'est votre responsabilité qui est engagée !!



(j'expliquerai les termes statefull-inspection et zombie plus tard si cela interresse du monde ou alors renseignez vous auprès d'autres sources)







En ce moment j'en reçois environ 5 par jours. De toutes façons, une fois que vous avez était la cible d'un virus, vous voyez débarquer tous ses petit frères, cousins, oncles,etc... dans les semaines qui suivent !!



comment se protéger ??



utiliser un anti-virus avec des mise a jour journalière (c'est treè important) et une automatisation du scan des mail et pièces jointes et de tous les fichier downloadé.

il faut aussi procéder à un scan du ou des disques au moin une fois par semaine.



utiliser en plus un anti-trojan avec un scan au moin une fois par semaine (scan complet du ou des disques dur)



pour les plus parano, il reste à mettre en place un firewall mais si vous ne regardez pas les log de façon journalière, cela ne sert pas a grand chose non plus puisque vous ne saurez pas si vous êtes surveillé, sous une tentative d'attaque ou autre)

Si quelqu'un vous dit qu'un firewall protége efficacement un PC ou un réseau a lui tout seul, c'est un imbécile !!



enfin la seule et véritable protection contre les virus et autre bestiole, c'est vous !!

verifiez deux fois le contenu de vos mails, et leur provenance avant de les ouvrir !

si vous ne connaissez pas la provenance, n'ouvrez jamais une pièce jointe !!



voilà !!





Pour ta réponse Amilcar sur la mise en quarantaine, cela dépends de la configuration de ton anti-virus !

mais la mise en quarantaine ne détruit pas le virus et le met seulement à l'écart dans un répertoire précis sur ta machine ou sur le serveur de quarantaine de ton fournisseur d'anti-virus.

tant que tu n'y touche pas, tu ne risque rien !!



Autre précision, le processus SVCHOST.EXE n'est pas un virus !! c'est juste un conteneur qui permet à des processus indeterminé d'avoir accés aux ressources du PC ne les supprimez pas tous par peur du virus !! (effectivement un virus se fais souvent passer pour un processus SVCHOST.EXE mais ce n'est pas une généralité ! c'est comme quand diablo se fait passer pour le Gnome sur le forum: on dirait le gnome mais ce n'est pas le gnome !!!



C'est looong mais c'est fini :tous1:
plus la femme est légére, plus les dépenses sont lourdes
Mehorn
Noldo
 
Messages: 236
Inscription: Mar 2 Déc 2003 16:12
Localisation: Rohan
Haut

Messagepar alkinor » Lun 8 Mar 2004 22:21

Ce que dit Mehorn est exact à un détail près : la plupart des virus actuels ont pour cible windows et outlook (si vous vous êtes sous beOS, vous avez peu de chance de vous trouver vérolé). D'ailleurs, c'est bien connu : le plus gros virus du monde est outlook ! N'hésitez pas à l'effacer et à le remplacer par quelque-chose de mieux ;)



Sur les conseils du barbare (et il a bien raison) 8)
Avatar de l’utilisateur
alkinor
Le testeur fou
 
Messages: 555
Inscription: Mar 25 Nov 2003 10:55
Localisation: Ithilien
Haut

Messagepar Amilcar » Sam 13 Mar 2004 10:06

Merci pour ttes ces infos bien intéressantes. :cool:

Pour ma part suis sous Norton antivirus et firewall. Mis à jour ts deux quasi tous les 1/2 jours...

Je ne passe pas par Outlook mais utilise le centre Wanadoo (signalé comme une grosse daube sur certains forums).

Passant je le pense sous peu au rythme "Aide Des Sots Lens" je compte toper un bon logiciel de messagerie.

J'ai entendu parler de Eudora.

Qqun connaît ?

Ou a un autre logiciel à proposer ?

Et pourkoa pas un qui soit vraiment gratuit :prostern: et offert en ligne ?
Your Smile Is Commercial Food
Avatar de l’utilisateur
Amilcar
Valar
 
Messages: 602
Inscription: Ven 28 Nov 2003 09:39
Localisation: Mégara
Haut

Messagepar Olivier the barbarian » Sam 13 Mar 2004 14:26

Oui, ca existe (et ca a une bonne réputation) :

http://www.free-av.com/

aka AntiVir

Tester à l'époque pas si lointaine où j'utilisais un OS qui était surtout un gros trou de sécurité.... Et ca marchait très bien, mise à jour régulière, etc...

C'est une boite qui propose des services aux entreprises et qui cherche à se faire de la pub en offrant ses services aux particuliers.

Par contre, ce n'est pas libre (on a pas le code source, on peut pas redistribuer). Donc ne venez pas vous plaindre si ça devient payant :colere:
--
The barbarian blog
--
"Cette population flottante doit être occupée, ou tenue. Or on n’a pas trouvé à ce jour de meilleure méthode disciplinaire que le salariat."
Le Comité invisible in L'insurrection qui vient
Avatar de l’utilisateur
Olivier the barbarian
Noldo
 
Messages: 249
Inscription: Sam 3 Jan 2004 12:13
Localisation: Paris
Haut
Répondre

Retourner vers Logiciels

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 29 invités

Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
cron