tentative d'intrusion

tentative d'intrusion - Sécurité - Windows & Software

Marsh Posté le 08-08-2006 à 12:32:40    

salut à tous
 
ce matin, je vais voir mon pc (qui reste allumé la nuit) et je vois un truc bizarre :
 
BitDefender (9 Pro +) me dit qu'un fichier est infecté alors que je ne lui ai pas demandé de lancer un scan.
Seule possibilité : que ce fichier arrive sur mon pc mais alors comment ?
 
Et le plus louche : je vois la fenêtre "éxecuter" ouverte... rien d'ecrit dedans mais je la ferme, la relance et je vois donc la dernière ligne tappée à savoir :
 
http://video-shani.webcindario.com/msconfig2.exe
 
j'ai essayé de la relancer d'un autre poste mais l'antivirus bloc ce fochier infecté visiblement...
 
qu'en pensez-vous ?

Reply

Marsh Posté le 08-08-2006 à 12:32:40   

Reply

Marsh Posté le 08-08-2006 à 12:40:42    

msconfig2 est effectivement un virus connu. il suffti qu'il est été installé sur ton pc avant que ton av le détecte ( avant une maj), et qu'il se soit lancer tout seul (c'est un virus !), là ton bitdefender à ticker !

Reply

Marsh Posté le 08-08-2006 à 12:46:52    

oui mais comment la ligne http://video-shani.webcindario.com/msconfig2.exe est-elle arrivé dans la fentre "éxecuter" ? est-il possible que ce soit une personne qui ai pris le controle de ma machine ?

Reply

Marsh Posté le 10-08-2006 à 08:55:43    

Oui, ca m'intéresse aussi...
 
Mon antivirus (nod32) m'a bloqué le téléchargement du fichier mais pas la ligne dans la commande Exécuter...
 
 
EDIT :
J'ai lu qu'il semblerait que ce soit lié à VNC (programme permettant le controle à distance)...
Est-ce que ceux qui ont eu ce problème peuvent me dire s'ils avaient ou pas vnc activé ?


Message édité par DarkZombie le 10-08-2006 à 09:01:17
Reply

Marsh Posté le 10-08-2006 à 09:10:37    

DarkZombie, tu as eu la même attaque c'est bien celà ?
j'ai bien vnc et je l'avais configurer avec un mot de passe (assez simple). Je viens de rajouter le "prompt local user"
vnc n'a pas l'air de faire de log de connexion en plus :(

Reply

Marsh Posté le 10-08-2006 à 09:31:46    

Oui, même attaque, mais mon antivirus a bloqué le téléchargement (et l'exécution donc) de "msconfig2.exe"
 
Il semblerait que ce soit tout récent car tous les sujet de topic qui en parle date de lundi au plus tard...
J'avais, sur mon routeur, ouvert les ports de 5900 à 5999 et laissé le port par défaut dans VNC (5900)...
Maintenant, je n'ai ouvert qu'un des ports entre 5900 et 5999 et utilisé un autre que le 5900 dans vnc...
 
Dans mon cas, je ne saurais pas mettre le "prompt local user" vu que j'ai besoin d'activer mon vnc à distance...
 
EDIT : Mon mot de passe n'était pas si simple pourtant... Je ne pense pas qu'un controle du pc par qqu d'autre a été possible...

Message cité 1 fois
Message édité par DarkZombie le 10-08-2006 à 09:32:29
Reply

Marsh Posté le 10-08-2006 à 09:56:21    

Quand je vais voir dans les rapport de mon antivirus, je vois donc qu'à 8h21, il a bloqué le téléchargement du fichier msconfig2.exe.
Et 6 secondes plus tard, il a supprimer le fichier : "xetuss9c.exe" se trouvant dans "Local Settings\Temp" de mon répertoire personnel dans "Document And Settings" qui selon lui a été créé par l'application FireFox (mon navigateur internet)... Maintenant, ca n'a p-e rien avoir...

Reply

Marsh Posté le 10-08-2006 à 11:38:02    

DarkZombie a écrit :

Oui, même attaque, mais mon antivirus a bloqué le téléchargement (et l'exécution donc) de "msconfig2.exe"
 
Dans mon cas, je ne saurais pas mettre le "prompt local user" vu que j'ai besoin d'activer mon vnc à distance...
 
EDIT : Mon mot de passe n'était pas si simple pourtant... Je ne pense pas qu'un controle du pc par qqu d'autre a été possible...


j'ai mis le prompt temporairement car j'en ai aussi besoin quand personne n'est en face.
il faudrait que vnc ai un log on pourrais voir s'il y a eu une connexion distante avant l'attaque.

Reply

Marsh Posté le 10-08-2006 à 12:58:03    

Oui mais à part un fichier "logmessages.dll" dans le répertoire RealVNC qui n'est pas exploitable (du moins via le bloc note), je n'en trouve pas...

Reply

Marsh Posté le 10-08-2006 à 14:04:27    

Citation :

J'ai lu qu'il semblerait que ce soit lié à VNC (programme permettant le controle à distance)...


Ne jamais laisser les services VNC server et/ou relatifs Windows desktop assistance démarrés s'ils ne sont pas nécessaires.
 
Si vous en avez malgré tout besoin, changez le port par défaut et protégez par un mot de passe. Solution intermédiaire : cochez l'option d'acceptation par l'utilisateur chez qui on prend le contrôle.
 

Citation :

Oui mais à part un fichier "logmessages.dll" dans le répertoire RealVNC qui n'est pas exploitable


C'est une librairie binaire, pas un fichier de log.
 

chailloug a écrit :

ton bitdefender à ticker !


:ouch:


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 10-08-2006 à 14:04:27   

Reply

Marsh Posté le 10-08-2006 à 14:20:36    

tu vas dire quoi sircam en réponse à "ton bitdefender a ticker" ?

Reply

Marsh Posté le 10-08-2006 à 14:36:55    

sircam a écrit :

Citation :

[quote]Oui mais à part un fichier "logmessages.dll" dans le répertoire RealVNC qui n'est pas exploitable


C'est une librairie binaire, pas un fichier de log.


 
Bon oui, c'est pour ca que je dis qu'il n'est pas expoitable...  :whistle:

Reply

Marsh Posté le 10-08-2006 à 14:52:40    

thomas1230 a écrit :

tu vas dire quoi sircam en réponse à "ton bitdefender a ticker" ?


ton bitdefender à ticker => a tiqué [:kiki]
 
Ca paraît con, mais c'est assez difficile à lire : ceux qui sont à l'aise avec la grammaire ont le cerveau déformé. Ils ont tendance à déduire le sens sur base de distinction subtiles telles que "à" / "a"; "é" / "er"; "ses"/"ces"/"c'est"/"s'est", etc.
 
Quand le sens de la phrase est en conflit avec l'orthographe, on tique, comme un lecteur CD sur une grosse griffe et faut relire plusieurs fois.  [:airforceone]


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 10-08-2006 à 14:55:44    

thomas1230 a écrit :

il faudrait que vnc ai un log on pourrais voir s'il y a eu une connexion distante avant l'attaque.


Yep; si tu as un log sur ton routeur, ou un firewall, ... Y'a moyen d'en tirer qq chose, voir même de coincer l'intrus. :/


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
Reply

Marsh Posté le 10-08-2006 à 15:08:45    

Ah oui "a tiqué"... j'ai compris la phrase maintenant :lol:...
 
Faudra que je matte les log de mon routeur oui... On verra...

Reply

Marsh Posté le 10-08-2006 à 15:24:48    

Ca doit être un exploit.
 
Mettez à jour avec la dernière version.
Ceux qui n'ont pas essayé, regardez du côté d'UltraVNC (mon préféré depuis des années).
Utilisez un autre port (bien différent) et ajoutez-y le cryptage des données (clef pré-créée manuellement à copier côté client et serveur), et ça ira.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 10-08-2006 à 17:04:28    

sircam a écrit :

ton bitdefender à ticker => a tiqué [:kiki]
 
Ca paraît con, mais c'est assez difficile à lire : ceux qui sont à l'aise avec la grammaire ont le cerveau déformé. Ils ont tendance à déduire le sens sur base de distinction subtiles telles que "à" / "a"; "é" / "er"; "ses"/"ces"/"c'est"/"s'est", etc.
 
Quand le sens de la phrase est en conflit avec l'orthographe, on tique, comme un lecteur CD sur une grosse griffe et faut relire plusieurs fois.  [:airforceone]


 
 
OUPs !
 
Mea culpa

Reply

Marsh Posté le 11-08-2006 à 13:22:55    

Pareil depuis Mercredi 9 Aout 2006 j'ai des prompts (Un par jour) avec ce lien mais en fait il reste bloqué en attente par mon gestionnaire de telechargement qui me demande ou je veux le mettre.
 
Je suis sur internet en DMZ et j'ai RealVNC 4.1.1 installé (avec un pass relativement long)
 
++
 
J'ai pas encore trouvé la solution.


Message édité par justic7 le 11-08-2006 à 13:25:31
Reply

Marsh Posté le 11-08-2006 à 13:46:07    

Idem, j'ai RealVNC 4.1.1...
Et idem, mon prompt de FireFox restait bloqué sur la demande de téléchargement et en même temps, mon A/V s'est donc affolé sur le fichier pour m'en empêcher le téléchargement...

Reply

Marsh Posté le 11-08-2006 à 15:40:04    

Idem (RealVNC + DMZ + msconfig2.exe dl automatiquement par firefox) heureusement que je ne l'ai pas executé car Avast m'a rien arreté.
Je vien de lancer un scan en ligne House Call il l'a detecté et il dit l'avoir suprimer à voir.
Avez vous un ordinateur portable ou un fixe ? Car je suis sur un portable et mes deux ordis sont des portables et ils ont tous les deux eu ce virus. Peut etre propagation par réseau mais mon 2nd ordi qui à été infecté n'est pas en partage. En effet aprés avoir vu la premiere fois ce msconfig2.exe j'ai tout desuite coupé la plupart des processus dans msconfig dont synaptics le logiciel de pointage pour la souris du portable. Une fois désactivé je n'avais plus rien. Je vien de le réactivé et voilà le prb que je vien d'avoir
Tout à l'heure, je me suis pissé dessus :cry:  
J'étais entrain de manger tranquil avec mon père quand tout d'un coup la charmante voix d'Avast me crie "Vous avez un virus"  :??:  :??:  :??:  :??:  
Pas bien ça pas bien.  :non:  
J'arrive en courant et quesque je vois, VNC connecté à un client et ma souris qui bouge sur une page de site de téléchargement (je me souvien plus du nom c'est un truc avec deux S et écrit en bleu et qui est trés utilisé dans les forum de dl Warez  :sol: )
Le client de mon serveur VNC essayé de dl un fichier Psybnc.3.5.exe qui à été bloqué avant par avast.
Heureusement je n'ai pas bougé ma souris pour voir ce que le client faisait. Mais il s'est barré quand VNC à donné l'alerte.
Résultat j'ose pas changer mes mdp mais bon faudrait que je le fasse.
Y a que CA.Com qui m'a l'air d'avoir trouvé le moyen d'eradiquer ce virus.
Je vais virer Avast qui à été bidon sur ce coup et je vais installer Kasperky on va try.
Aussi j'ai fait le con avec VNC, j'ai facilité le truc j'ai pas mis de mot de passe xD je voulais juste l'uriliser comme visualiseur.
Je vien de suprimer VNC, définitivement.
PS : je vien de lancer un contre scan sur Trend Micro House Call pour voir si le virus à bien été suprimé.

Reply

Marsh Posté le 11-08-2006 à 16:04:54    

Victoire lol l'éditeur d'antivirus CA.com vien de publier un patch gratuit con tre ce logiciel : http://www3.ca.com/securityadvisor [...] ?cid=59264
 
Voilà vous le téléchargez et executer le .com.
Et y a pas besoin d'avoir leur antivirus, et c'est totalement gratuit :)

Reply

Marsh Posté le 12-08-2006 à 23:56:06    

J'ai la même merde... deux tentatives avec les adresses que vous indiquez + la dernière "http://209.85.49.36/h4x/b.exe" qui m'a été signalé par AVAST.  
 
J'utilise aussi VNC 4.1.1, le truc que je comprend pas, c'est comment il arrive à passer à travers mon firewall (Kerio), ni comment j'ai pu le choper.
 
Bon le truc c'est que je trouve pas ces noms quand je fais une recherche sous windows, aucun processus de nouveaux dans le gestionnaire des tâches, rien qui se lance au démarrage (j'ai regclean).
 
Bref, même si j'applique le "patch" (au fait, merci pour la tranche de rire... "CA.com vient de publier" ---> ça date de 2004), j'sais même pas si je verrais une différence, car ça m'est arriver peu de fois c'truc là.
 
Par contre j'ai ça que son mon ordi principal auquel j'accède par VNC... et rien sur mon portable à partir duquel j'accède à mon autre PC. (Vous allez me dire, c'est normal car il n'y a pas de serveur dessus... mais bon, si c'est un virus ou autre, comme je suis en réseau, ça aurait infiltré l'autre, non?)


Message édité par Samkurt le 12-08-2006 à 23:59:52
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed