La bonne année! Les bons voeux! Plein de zordinateurs en bonne santé ET SANS TROJAN!!! Acrédidjou de merdvindiou!!!
Si ça peut aider quelqu'un, je voulais juste attirer votre attention sur le trojan FLUX.101.
Parce que j'ai réussi à m'en débarrasser tout seul, mais je ne comprends pas du tout par où il est passé, et surtout pourquoi aucune alerte n'a gueulé, entre mon firewall (Kerio 4.1.2) et l'anti-virus (AVG 7 virusbase 265.6.7 du 30/12/04).
Ils n'ont rien dit, mais c'est grâce à Kerio et aux outils de Sysinternals (http://www.sysinternals.com) que je m'en suis sorti!
Alors qu'aucun process n'accédait (pardon n'était censé accéder) au Net, Kerio indiquait une activité sur son icône de la barre des tâches. L'activité était au niveau du process system (qui regroupe tout ce que fait le noyau sur le stack réseau, y compris en local).
En lançant TcpView, je vois le process système qui tente d'accéder à une adresse chez t-dialin.net sur le port 1472? Et en se servant de Firefox (paramétré comme navigateur par défaut) pour cela??? Groumpf??? Déjà là, c'est bien vu de la part du trojan, puisque c'est le navigateur par défaut et que c'est le system qui le lance, Kerio ne va pas gueuler qu'une appli lance une autre appli non autorisée.
Donc, tout de suite, dans Kerio, une petite "règle de filtrage" dans "Sécurité du Réseau" pour empêcher Firefox de sortir à l'adresse et au port non désiré. Ensuite, grâce à un autre outil de Sysinternals, ProcessExplorer, je m'aperçois que c'est explorer.exe qui lance Firefox. Donc, une autre petite règle dans Kerio, au niveau "Sécurité du système", on empêche explorer.exe de lancer tout autre application sans demander.
Fermer la session, re-rentrer dans la session, et hop, Kerio montre une alerte à chaque fois qu'un process est lancé par explorer.exe! Ca tombe bien, au démarrage de la session, il y en a plein, entre ceux du système et les applis que vous avez demandé à démarrer avec Windows.
Là, je tombe sur un truc qui ne me dit rien, et qui ne me dit rien qui vaille d'ailleurs! WinSet32.exe...
Pour l'enveler, d'abord dézinguer le winset32.exe qui s'est tranquillement posé dans le path system32 de Windows. Ensuite un coup de regedit pour retrouver les clés qui contiennent winset32.exe. Comme d'habitude, c'est EN-DESSOUS des clés: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run que l'on trouve le cas délictueux... Effaçage des clés beuark qui contiennent winset32.exe (si vous ne connaissez pas regedit, faîtes pas ça tout seul)!
On continue la recherche et il y a une autre clé avec le codage suivant: {68A60B18-1A5C-4A3D-3B7E-72A3A412D1D2} qui contenait winset32.exe, dézinguage de la dîte clé aussi...
Fermer la session, re-rentrer dans la session, Y A PLUS RIEN QUI MOUFTE!!!
Ouf! Sympa le démarrage de l'année!!!
Mais je ne comprends toujours pas par où il est passé, ça c'est plus inquiétant... Ni ce qu'il est censé faire ce trojan?
Marsh Posté le 03-01-2005 à 16:21:27
Salut à toutes et à tous,
La bonne année! Les bons voeux! Plein de zordinateurs en bonne santé ET SANS TROJAN!!! Acrédidjou de merdvindiou!!!
Si ça peut aider quelqu'un, je voulais juste attirer votre attention sur le trojan FLUX.101.
Parce que j'ai réussi à m'en débarrasser tout seul, mais je ne comprends pas du tout par où il est passé, et surtout pourquoi aucune alerte n'a gueulé, entre mon firewall (Kerio 4.1.2) et l'anti-virus (AVG 7 virusbase 265.6.7 du 30/12/04).
Ils n'ont rien dit, mais c'est grâce à Kerio et aux outils de Sysinternals (http://www.sysinternals.com) que je m'en suis sorti!
Alors qu'aucun process n'accédait (pardon n'était censé accéder) au Net, Kerio indiquait une activité sur son icône de la barre des tâches. L'activité était au niveau du process system (qui regroupe tout ce que fait le noyau sur le stack réseau, y compris en local).
En lançant TcpView, je vois le process système qui tente d'accéder à une adresse chez t-dialin.net sur le port 1472? Et en se servant de Firefox (paramétré comme navigateur par défaut) pour cela??? Groumpf??? Déjà là, c'est bien vu de la part du trojan, puisque c'est le navigateur par défaut et que c'est le system qui le lance, Kerio ne va pas gueuler qu'une appli lance une autre appli non autorisée.
Donc, tout de suite, dans Kerio, une petite "règle de filtrage" dans "Sécurité du Réseau" pour empêcher Firefox de sortir à l'adresse et au port non désiré. Ensuite, grâce à un autre outil de Sysinternals, ProcessExplorer, je m'aperçois que c'est explorer.exe qui lance Firefox. Donc, une autre petite règle dans Kerio, au niveau "Sécurité du système", on empêche explorer.exe de lancer tout autre application sans demander.
Fermer la session, re-rentrer dans la session, et hop, Kerio montre une alerte à chaque fois qu'un process est lancé par explorer.exe! Ca tombe bien, au démarrage de la session, il y en a plein, entre ceux du système et les applis que vous avez demandé à démarrer avec Windows.
Là, je tombe sur un truc qui ne me dit rien, et qui ne me dit rien qui vaille d'ailleurs! WinSet32.exe...
Je vérifie sur le net: http://startup.iamnotageek.com/srch-nse.html
Et j'apprends que c'est une saloperie de merde de trojan: FLUX.101.
Pour l'enveler, d'abord dézinguer le winset32.exe qui s'est tranquillement posé dans le path system32 de Windows. Ensuite un coup de regedit pour retrouver les clés qui contiennent winset32.exe. Comme d'habitude, c'est EN-DESSOUS des clés:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
que l'on trouve le cas délictueux... Effaçage des clés beuark qui contiennent winset32.exe (si vous ne connaissez pas regedit, faîtes pas ça tout seul)!
On continue la recherche et il y a une autre clé avec le codage suivant:
{68A60B18-1A5C-4A3D-3B7E-72A3A412D1D2}
qui contenait winset32.exe, dézinguage de la dîte clé aussi...
Fermer la session, re-rentrer dans la session, Y A PLUS RIEN QUI MOUFTE!!!
Ouf! Sympa le démarrage de l'année!!!
Mais je ne comprends toujours pas par où il est passé, ça c'est plus inquiétant... Ni ce qu'il est censé faire ce trojan?
Tchô