La meilleure sécurité c'est l'utilisateur

petit message a tous les pros qui parcourent ce site !
VOUS ! oui vous qui pronez l’abscence d’antivirus et de firewall sur sa machine parce que putain ca sert a rien, ca fait rien que ralentir la machine et qu’il faut vraiment etre un noob pour se faire infecter… lisez donc cet article
ca a un rapport avec le virus bsblast (enfin plutot ses proches parents) qui fait chié son monde en ce moment…
que pouvons nous y lire ?
Ce virus ne s’attrape pas par le biais d’un mail mais par une simple connexion sur le réseau…
FEAR !!!
on peut attraper un virus simplement en se connectant maintenant ?! dur…
un bon firewall et il n’y paraitra plus…
 
ps: pub !
je remercie kerio qui pourtant me faisait chié il y a qques jours a toujorus me demander: truc veut accéder, truc veut accéder, etc…

Euh, ça faisait un bail qu’on le savait non ? C’est d’ailleurs pour cette raison que tant de monde est infecté par cette belle merde de worm ! J’ai eu bien de la chance également d’avoir un firewall sur ce coup la. ( merci mon dieu, dieu des pc … )

Mais ce que je ne comprends toujours pas avec msblaster, c’est comment on se retrouve avec un fichier msblast.exe sur sa machine, qui n’est pas là auparavant… si on est pas infecté par mail. Y’a un serveur quelque part qui héberge cet exécutable et qui le balance sur toutes les machines à infecter? J’ai rien capter au bazar ?

ca fait un bail qu’on savait quoi ?
en fait ce thread n’est pas la pour parler de bsblast.exe masi juste pour dire que ceux qui n’ont pas d’antivirus ni de firewall ne sont ps protégé, me^me si ce sont des kaisers de l’informatique !

Tututut, si tu avais ton Windows à jour (grâce à www.windowsupdate.com), tu n’aurais eu AUCUN problème, firewall ou pas.  Voilà ce que JE dis personnellement : Windows MIS À JOUR, firewall de Windows XP, anti-virus à la rigueur (mais à jour aussi, sinon il ne sert à rien). Comme le dit ton thread, la meilleure sécurité, c’est l’utilisateur, donc s’il ne met pas à jour son OS, quel qu’il soit, il est vulnérable, même vis-à-vis des failles DÉJÀ corrigées, encore plus s’il installe nawak, et qu’il passe ses journées en administrateur…
Ce message a été édité par xentyr le 16/08/2003

idem que Xentyr, si votre pc est à jour il n’y a pas de problème, ca sert a rien de mettre 10 milles protections si rien est à jour.

BuGaLooD > je me suis pas renseigné pour celui la, mais le comportement habituel des vers/virus c’est que ca infecte une machine puis se renvoi automatiquents vers d’autres machines pour se reproduire.
S’il y avait un serveur central, le créateurse serai vite fait repéré (sauf si c’est un serveur hacké évidemment) et il serai facile d’arreter la propagation du vers en faisant couper le serveur.

bah persos, un Winupdate par semaines (tout les 15 jours grand maximum), un firewall (sygate personnal firewall) et un antivurs gratuit [merci Joystick] (j’ai oublié le nom mais il est à jour), j’ai même pas eu de scan de port …

sinon pour la reproduction de MSblast, il utilisais une faille dans le RPC au niveau d’un port qui reste ouvert, il “s’engoufrait” dans ce port et s’éxecutait tout seul comme un “grand”.

Ce qui est intéressant à dire aussi c’est que ce sont les pc infectés qui essayent de se connecter à d’autres pour le transmettre le virus. Une IP est calculée de façon aléatoire et le virus essaye d’exploiter la faille si elle est présente.

Ce qui est drole, c’est que le backtrace de mon firewall m’apprend que ceux qui essayent de me refiler ce truc sont des pc de sociétés de sécurité informatique aux USA.

En passant, en général, le principal problème en informatique, c’est l’interface chaise-clavier alors…

Et la seconde c’est l’interface magasin-acheteur

[quote]Ce qui est intéressant à dire aussi c’est que ce sont les pc infectés qui essayent de se connecter à d’autres pour le transmettre le virus. Une IP est calculée de façon aléatoire et le virus essaye d’exploiter la faille si elle est présente.

Ce qui est drole, c’est que le backtrace de mon firewall m’apprend que ceux qui essayent de me refiler ce truc sont des pc de sociétés de sécurité informatique aux USA.[/quote]d’ailleurs si quelqu’un saurait comment il calcule l’IP à attaquer ca m’interresse…

Parce que j’ai remarqué que y a que des gens de chez free (mon FAI) qui tentent de rentrer chez moi sans être invités

Windows Update change d’adresse !!!

En effet, afin de contrer la tentative de DOS automatique de msblaster, Microsoft vient tout simplement de supprimer l’adresse DNS http://www.windowsupdate.com pour la remplacer par http://windowsupdate.microsoft.com. Ainsi, si vous vous connectez sur la première adresse, vous recevrez une vulgaire erreur 400.

mais d’utres virus pourront attaquer cette adresse !
faudrait une vraie solution parce que ca, c’est du rafistolage super court terme en fait…

Euh, dans le cas où d’autres virus le feraient, ils rechangeraient d’adresse, je vois pas le pépin, là. Il fallait empêcher immédiatement une version largement diffusée d’un virus qui chercherait automatiquement à niquer www.windowsupdate.com, empêchant les utilisateurs de pouvoir appliquer le patch, ben on change l’adresse.

Effectivement, l’apparition de ce virus VII (l’équivalent du VIH en informatique ) va poser certains problèmes, si l’on part du principe qu’il n’y a QU’une source de patch. Or l’intérêt d’Internet, c’est son caractère distribué. Donc la solution à long terme est déjà toute trouvée. Elle est inhérente à Internet. Ce qui permet au virus de se diffuser rapidement permet également au vaccin de le faire : Internet est un vecteur très neutre de ce point de vue-là.
Ce message a été édité par xentyr le 17/08/2003

[quote]Euh, dans le cas où d’autres virus le feraient, ils rechangeraient d’adresse, je vois pas le pépin, là.[/quote]ben c’est justement ce que je trouve chiant… rechanger d’adresse !
le mieux est de trouver une VRAIE solution car bon… retenir une nouvelle adresse a chaque fois c’est chiant…
imaginons que ca arrive à… euh… cafzone.
la seule solution serait de renommer le site cafezone puis cafzonne puis lacafzone puis quoi apres ? la cacafzone ?
pas glop !

EDIT
fautes…
Ce message a été édité par titibgosse le 17/08/2003

Sauf que Microsoft, ils s’en foutent, vu le site qu’ils ont. Deux lignes à changer sur le DNS et roule cocotte. Il n’y a AUCUNE vraie solution à un virus qui attaque une adresse depuis plusieurs points non prédéfinis. Tout ce que tu peux faire, c’est jouer au chat et à la souris. Le truc que le end-user lambda fait, dans ce cas, ce n’est plus retenir l’adresse, mais cliquer sur des liens à jour, genre depuis la maison-mère de Microsoft. De toute manière, une fois la vague msblaster passée (quand beaucoup de monde aura patché sa bête), ils vont revenir à l’ancienne URL. Ce n’est qu’une mesure temporaire…

le pb c’est que les ordis se connectaient plus à windowsupdate.com depuis un moment, ca ne faisait que rediriger sur l’autre site… (d’ailleurs elle m’a bien fait chier leur erreur 400, je passait toujours par là jusqu’à jeudi)

Par contre si un autre virus prend l’autre addresse… là ils sont mal, vu que les utilisateur pourront pas deviner que la nouvelle URL est http://www.ouindauseupdatte.us )… ca se fête )
Ce message a été édité par lucasbfr le 17/08/2003

[quote]d’ailleurs si quelqu’un saurait comment il calcule l’IP à attaquer ca m’interresse…

Parce que j’ai remarqué que y a que des gens de chez free (mon FAI) qui tentent de rentrer chez moi sans être invités[/quote]

60%du temps au hasard 40% du temps sur une IP proche donc il est normal d’avoir pas mal d’attaques de ton FAI.

[quote]Mais ce que je ne comprends
toujours pas avec msblaster, c’est comment on se retrouve avec un
fichier msblast.exe sur sa machine, qui n’est pas là auparavant… si
on est pas infecté par mail. Y’a un serveur quelque part qui héberge
cet exécutable et qui le balance sur toutes les machines à infecter?
J’ai rien capter au bazar ? [/quote]
Ton PC est le PC Y, Un PC X est infecté.

Le PC X as donc un serveur SFTP (transfert de fichier) sur un de ses
ports je sais plus le quel faut voir les advisories, il as aussi un
controle à distance sur le port 4444 ces deux là étant évidement
ouverts par le virus. Et vien sur il as msblast.exe qui fait ça

Le virus qui essaye tout les un certain temps d’infecter d’autres
machines prends une IP et tombe sur la tienne (pas de cul) il se
connecte allors au PC Y (le tiens) sur le port 135 (RPC) et tente
d’utiliser la faille de sécuritée, il réussie et fait exécuter à ton PC
un petit bout de code qui lui se connecte au PC X sur le port du SFTP
et y télécharge msblast.exe puis l’exécute (là à cause d’un bug dans le
code du virus il fait planter le service RPC et toi tu reboot dans les
60s ) Et apprès bien sur ton PC sert de base d’attaque pour attaquer
d’autres gentilles personnes.
Ce message a été édité par Black-Fox le 17/08/2003
Ce message a été édité par Black-Fox le 17/08/2003