[virus, hoax] Microsoft Security update

15/05/2003, 17h42

[Message effacé à la demande de l'auteur]

Louloune · 15/05/2003, 17h50

Merci

Glirhuin · 15/05/2003, 17h53

Merci , les patchs je les dl toujours à partir du site officiel , y a moins de risques d'avoir des virus tout de même , quoi que....

Foerdom-ex Demiosien · 15/05/2003, 18h00

Tiens, je profite de ce topic pour vous signaler un nouveau virus bien virulent. Pas de hoax, c'est une alerte officielle du CERT RENATER pour mon école...

Citation :

Bonjour,

Un avis du CERT RENATER nous informe de la circulation d'un nouveau virus nommé FIZZER.
Merci d'en tenir compte en étant toujours particulièrement vigilant sur les fichiers attachés aux messages reçus.

Pour plus d'infos, veuillez lire le descriptif complet de l'alerte CERT ci-après.

Merci de votre attention.

Win32/Fizzer Worm
--------------

Fizzer est un ver Internet qui se propage au moyen de la messagerie electronique, de reseaux Peer-to-Peer d'echange de contenu "Kazaa").
Ce ver prend pour cible les systemes Windows. Il semble qu'il soit apparu aux alentours du 7 ou du 8 Mai (varie suivant les sources). Mais depuis peu, sa propagation semble s'accelerer enormement dans le monde. La plupart des editeurs de logiciels anti-virus placent cette menace a un niveau eleve.
De nombreuses infections ont deja ete detectees en France.

Dans le mecanisme de propagation par la messagerie électronique, Fizzer se dissimule dans une piece jointe d'un message. Les messages envoyes sont tres differents les uns des autres. Le sujet du message, le texte contenu dans le corps du message, le nom de la piece jointe, l'adresse de l'emetteur sont
tous generes de facon aleatoire. Cependant il semble que le nom de la piece jointe soit toujours dotee d'une des extensions suivantes: .exe, .pif, .scr ou .com et peuvent être combinées avec ini pour donner les doubles extensions ini.exe, ini.com, ini.pif ou ini.scr. (des fichiers contenant du code executable).

Pour trouver des destinataires, le ver examine:
- les fichiers presents sur le disque infecte a la recherche d'adresse e-mail
- le carnet d'adresses Windows/Outlook

L'execution du ver provoque l'installation de divers outils:

- une backdoor qui lui permet de communiquer avec un
attaquant distant par le biais de canaux IRC sur un
certain nombre de serveurs. L'attaquant peut ainsi
prendre le controle du systeme;
- un outil permettant de lancer des attaques en Deni de
Service;
- un outil permettant d'enregistrer tout ce que
l'utilisateur tape sur son clavier (keylogger). Il
semble qu'il soit utilise pour recuperer des donnees
de connexion (login/mot de passe) et diverses autres
informations. Les donnees capturees sont enregistrees
dans un fichier pour une utilisation ulterieure.
- un serveur HTTP en ecoute sur le port 81/TCP

Le ver met aussi en place des backdoors supplementaires en ecoute sur les ports TCP 2018 a 2021. Il est aussi susceptible d'utiliser AIM (Aol Instant Messenger) pour prendre le controle du systeme.
Le ver est concu pour desactiver un certain nombre de logiciels antivirus eventuellement mise en place sur le systeme victime.

Pour se proteger de ce type de menace:

- prendre soin de mettre regulierement a jour tous vos
systemes, notamment les logiciels Oulook Express et
Internet Explorer dont des vulnerabilites sont tres
souvent utilisees dans le mecanisme de propagation de
nombreux vers Internet;
- mettre en place une protection anti-virale sur tous
les systemes vulnerables a ce type d'attaque (Windows
notamment). Configurer l'outil avec soin;
- mettre a jour tres regulierement le logiciel anti-virus
et sa base de signatures (prendre en compte que de
nouvelles menaces apparaissent presque tous les jours);
- manipuler les pieces jointes avec beaucoup de prudence.
Dans certains cas l'emetteur du message n'est pas connu,
mais dans de tres nombreux cas il l'est. Ne surtout pas
hesiter a demander confirmation de l'envoi a l'emetteur.
Se mefier des messages bizarres. Privilegier l'option
"enregistrement de la piece jointe sur le disque" a
l'"ouverture immediate" du fichier. Les logiciels anti-virus
sont souvent configures pour analyser les fichiers lors
de l'ouverture ou de l'enregistrement de fichiers sur le
disque.
Le logiciel anti-virus ne peut bien inter-agir avec votre
logiciel de messagerie que s'ils sont concus pour
travailler ensemble. L'option "enregistrement de la piece
jointe" est donc preferable.
Bien sur, cela ne peut etre efficace que si logiciels et
base de signatures anti-virales sont a jour.
- rester toujours tres vigilant

Pour plus de details, se referer aux analyses suivantes:

"W32/Fizzer-A" (en francais)
http://www.sophos.fr/virusinfo/analyses/w32fizzera.html

"W32/Fizzer@MM, W32/Fizzer.A, Sparky"
http://www.f-secure.com/v-descs/fizzer.shtml

"W32.HLLW.Fizzer@mm"
http://securityresponse.symantec.com...fizzer@mm.html

"Virus details: W32/Fizzer.A "
http://www.messagelabs.com/viruseye/...e=W32/Fizzer.A

Cordialement,

=========================================================
Les serveurs de référence du CERT-Renater
http://www.urec.fr/securite
http://www.cru.fr/securite
http://www.renater.fr
=========================================================
+ CERT-RENATER | tel : 01-53-94-20-44 +
+ 151 bd de l'Hopital | fax : 01-53-94-20-41 +
+ 75013 Paris | email: certsvp@renater.fr +
=========================================================

Un Simple Guitariste · 15/05/2003, 18h03

Moi quand j'ai a faire a Microsoft, c'est Windows Update et rien d'autre de toute maniere.

eMRaistlin · 15/05/2003, 18h08

Merci

(a noter que Window n'envoi pas de mail, en regle general, pour les failles de securite : il laisse faire l'updater. De toute facon, j'laurai pas crut ^^)

Aloïsius · 15/05/2003, 18h28

Citation :

Provient du message de Lumina
Je reçois hier cet email :

Il y a une pièce jointe, et il y a 100% de chances que ce soit un virus car :
- Microsoft n'envoie pas de pièces jointes
- l'adresse de retour est Shane@btopenworld.com

Le message est bien imité, en HTML, et n'est pas encore référencé sur hoaxbuster.com, donc j'avertis ici. [/QUOTE]
J'ai reçu des faux mails d'alerte me disant que des courriers que j'avais envoyé contenait le worm klez, ou quelque chose comme ça. (je n'avais bien sûr envoyé aucun mail à personne). Un peu avant, c'était des messages netsend de "micrasoft" me disant qu'il y avait un virus sur mon PC, et encore un peu avant, des mails sans texte avec juste une grosse pièce jointe executable... ça commence à bien faire...

15/05/2003, 19h20

[Message effacé à la demande de l'auteur]

Mélancolie Invité	[Message effacé à la demande de l'auteur]
15/05/2003, 17h42

Glirhuin Prophète	Merci , les patchs je les dl toujours à partir du site officiel , y a moins de risques d'avoir des virus tout de même , quoi que....
15/05/2003, 17h53

Un Simple Guitariste Bagnard	Moi quand j'ai a faire a Microsoft, c'est Windows Update et rien d'autre de toute maniere.
15/05/2003, 18h03

eMRaistlin Alpha & Oméga	Merci (a noter que Window n'envoi pas de mail, en regle general, pour les failles de securite : il laisse faire l'updater. De toute facon, j'laurai pas crut ^^)
15/05/2003, 18h08

Mélancolie Invité	[Message effacé à la demande de l'auteur] [Message effacé à la demande de l'auteur]
15/05/2003, 19h20

[virus, hoax] Microsoft Security update

Connectés sur ce fil