En gros ils expliquent qu’un virus qui se repend par mail, et qui a deja
infecte pres de 100 Millions de machines, doit se declencher ce soir, a
19h UTC precise (21h en france, le virus se syncronise a partir de
serveurs ntp), pour se connecter a l’une des 20 machines dont l’ip est
contenue dans une liste crypte dans le code du virus, et telecharger
sur ces machines un programme encore inconnu …
Les gens de f-secure, quand ils ont reussis a decrypter cette liste ont
commence tenter de faire deconnecter ces machines, mais chacune d’elle
etant chez des operateurs differents, cela complique un peu la tache.
Apparement le programme n’est pas encore disponibles sur ces machines,
les auteurs du virus vont surement le mettre dessus quelques secondes
avant.
Je suis curieux de savoir ce que fait ce programme
[quote]With Sobig.E, the worm downloaded a program which removed the virus itself (to hide its tracks), and then started to steal users network and web passwords. After this the worm installed a hidden email proxy, which has been used by various spammers to send their bulk commercial emails through these machines without the owners of the computers knowing anything about it. Sobig.F might do something similar – but we won’t know until 19:00 UTC today.[/quote]Voilà un rappel qui va peut-être encouragé les pouvoirs publics à se bouger le cul pour niquer ces con**** de spammers !
Traduction porcasse:
“Avec Sobig.E, le ver téléchargeait un programme qui détruisait le ver lui-même (pour nettoyer les traces d’infection), et commençait ensuite par voler les mots de passe internet et réseau des utilisateurs. Ensuite, le ver installait un proxy email caché, qui a été utilisé par plusieurs spammers afin d’envoyer leurs merdes commerciales à travers ces machines sans que leur propriétaire en ait même conscience. Sobig.F pourrait faire quelque chose de similaire - mais nous n’en saurons rien avant 21h00 ce soir.”
Allez hop, H-2… Ce message a été édité par xentyr le 22/08/2003
F-Secure can confirm that 18 of the 20 master servers are currently down or unreachable.
Update on 17:00 UTC
F-Secure can confirm that 17 of the 20 master servers are currently
down. Apparently one of the machines was not disconnected by an ISP and
has been booted up by its owner.
We’re working together with CERTs, FBI and Microsoft to stop the last three.
Update on 18 UTC
F-Secure can confirm that ALL the master server machines are
currently down or unreachable. One of them seems to still respond to
PING but not to 8998 UDP.
We have one hour to go to see if this really is the case.
Update on 18:20 UTC
Unfortunately one server is up right now after all. And one might be enough for the attack to start succesfully.
Update on 19:00 UTC
When deadline for the attack was passed, one machine was still
(somewhat) up. However, immediately after the deadline, this machine
(located in the USA) was totally swamped under network traffic.
We’ve tried connecting to it, just like the virus does. We do this
from three different sensors from three different machines in three
different countries. We haven’t been able to connect to it once. If we
can’t connect, neither can the viruses.
So the attack failed. Whoa.
We’ll keep monitoring until 22:00 UTC. If we’re not able to connect once, we can safely say that the attack was prevented.
Update on 19:50 UTC
Still not a single connection from any of our sensors to any of the servers.
Ha, c’est dommage, j’etait curieux de voir ce qui allait se passer
[quote]Update on 16:00 UTC F-Secure can confirm that 18 of the 20 master servers are currently down or unreachable. Update on 17:00 UTC F-Secure can confirm that 17 of the 20 master servers are currently down. Apparently one of the machines was not disconnected by an ISP and has been booted up by its owner. We’re working together with CERTs, FBI and Microsoft to stop the last three. Update on 18 UTC F-Secure can confirm that ALL the master server machines are currently down or unreachable. One of them seems to still respond to PING but not to 8998 UDP. We have one hour to go to see if this really is the case. Update on 18:20 UTC Unfortunately one server is up right now after all. And one might be enough for the attack to start succesfully. Update on 19:00 UTC When deadline for the attack was passed, one machine was still (somewhat) up. However, immediately after the deadline, this machine (located in the USA) was totally swamped under network traffic. We’ve tried connecting to it, just like the virus does. We do this from three different sensors from three different machines in three different countries. We haven’t been able to connect to it once. If we can’t connect, neither can the viruses. So the attack failed. Whoa. We’ll keep monitoring until 22:00 UTC. If we’re not able to connect once, we can safely say that the attack was prevented. Update on 19:50 UTC Still not a single connection from any of our sensors to any of the servers[/quote]ouah ! ya du suspens et tous ! tu rajoute une scene de combat de 43 minute avec des homme gangourous qui saute partous et sa fait le prochain Matrix !
Wild Ce message a été édité par Wild le 22/08/2003
Mmmh, moi je verrai plus cela comme le bogue de l’an 2000 où tout le monde s’est ensuite justifié : vous voyez, s’il n’y a rien eu, c’est qu’on a bien bossé… En empêchant complètement un truc inconnu de se produire, on peut toujours dire n’importe quoi sur ce truc inconnu. Ça se trouve, en fait, il allait juste télécharger et installer KaZaA pour que les 20 ordis les redistribuent, ou bien alors ces 20 ordis allaient télécharger par une faille de sécurité les codes nucléaires des USA (qui bien sûr les ont laissés disponibles sur le net, hein, kissoncons ces Amerloques) pour les redistribuer à Al Qaïda, bref on ne sait rien du tout !
Au fait, on s’est préoccupé de savoir qui il y avait derrière les 20 IP, pour les prévenir, ou les arrêter ? Car bon, sur 20 IP connues plusieurs jours à l’avance (donc fixes), c’est assez simple de repérer ne serait-ce qu’une personne pour voir ce qu’elle avait effectivement à voir avec ça, non ? On y arrive bien quand il s’agit de choper un pirate de 600 chansons, donc pour les cibles connues d’un virus qui se propage dans le monde entier, on doit bien pouvoir y arriver aussi !
[quote]Au
fait, on s’est préoccupé de savoir qui il y avait derrière les 20 IP,
pour les prévenir, ou les arrêter ? Car bon, sur 20 IP connues
plusieurs jours à l’avance (donc fixes), c’est assez simple de repérer
ne serait-ce qu’une personne pour voir ce qu’elle avait effectivement à
voir avec ça, non ? On y arrive bien quand il s’agit de choper un
pirate de 600 chansons, donc pour les cibles connues d’un virus
qui se propage dans le monde entier, on doit bien pouvoir y arriver
aussi !
Toute la subtilité est dans ton “sans doute”… Pour tout t’avouer, je m’en doutais bien, hein. /wink.gif">
*car en se mettant à la place des IP piratés, j’aurais apprécié avoir été prévenu avant si on en avait eu la capacité. C’est comme s’il y avait un moustique sur ma joue et que tu voulais l’écraser à tout prix, car elle pourrait te piquer. Recevoir une baffe dans la gueule sans être prévenu alors qu’on aurait pu le faire, ben j’avoue que j’apprécierais moyennement… Ce message a été édité par xentyr le 23/08/2003
si si, ça a un rapport.[/quote]Et lorsque les gens cessent de s’en servir, le fabriquant ramene pleins d’ours en fraude. Ca ne m’étonnerais qu’a moitié que certains virus viennent des boites d’antivirus.
[quote]car en se mettant à la place des IP piratés, j’aurais apprécié avoir été prévenu avant si on en avait eu la capacité. C’est comme s’il y avait un moustique sur ma joue et que tu voulais l’écraser à tout prix, car elle pourrait te piquer. Recevoir une baffe dans la gueule sans être prévenu alors qu’on aurait pu le faire, ben j’avoue que j’apprécierais moyennement…[/quote]Hum, risquer les donner de tonnes d’ordinateur contaminer pour eviter quelques desagrements (une soirée, voir une semaine sans internet) a quelques utilisateurs, moi a leurs place j’aurais pas hesiter beaucoup.
De plus rien de prouve que les IP ne soit pas aux machines des pirates, sa serait si compliquer que sa de brancher une vieille machine dans un coin perdus mais avec prise telephonique ? si les gars on pus faire se virus ils peuvent trouver une tonnes de facon de brancher des machines a eux sur le reseau sans se faire prendre.
Pour reprendre l’analogie du moustique, je n’ai jamais dit qu’il ne fallait pas le tuer, j’ai même dit qu’il était potentiellement dangereux ! Je précise juste que tu ferais mieux de me prévenir avant si tu voulais pas te recevoir une tartalagueule en retour…
Wild, on parle d’IP fixe ici, donc c’est assez bidon de retrouver le lieu, surtout quand on sait que c’est une cible (victime ou complice, OSEF) d’un virus*. On le fait bien pour un petit piratin. J’dis pas qu’on pouvait trouver les 20 IP à tous les coups, hein. Je ne dis pas non plus de ne rien faire, je dis que la courtoisie aurait été de tenter de les prévenir avant ! Et pour tout dire, je doute TRÈS fortement, tout comme BokLM, que les ordinateurs soient ceux des pirates, hein, car si le ver fonctionnait, de toute manière, il y aurait engorgement sur leurs propres machines, et s’il y en avait bien quelques uns qui pensaient voir se déployer le ver, ce sont évidemment les pirates…
Enfin, tu ne sais pas du tout ce qu’aurait fait ce ver. Pour le coup, ça a l’odeur d’un gros FUD qui est passé parfaitement ici, bien à court terme, mais à long terme ? C’est bien, il est mort mais on n’a toujours AUCUNE idée de ce qu’il aurait fait, donc si ça se reproduit sur 5000 IP, ben on a l’air con. En sniffant les IP, on aurait par exemple pu remonter jusqu’aux spammers qui utilisaient Sobig.E, mais non, en bloquant tout, ben au final, on sait rien.
Sous un angle southparkien, ça donnerait :
Tirez d’abord, il aura tout le temps de nous répondre ensuite…
Chef, chef, euh, il est mort !
De toute manière, tout le monde savait que c’était un dangereux criminel.
Mais euh chef, on l’avait même pas interrogé !
Reeeeeeespecte mon autorité !
c’-à-d. qu’on se donne les moyens de trouver le lieu. Ce message a été édité par xentyr le 23/08/2003
[quote]De plus rien de prouve que les IP ne soit pas aux machines des pirates, sa serait si compliquer que sa de brancher une vieille machine dans un coin perdus mais avec prise telephonique ? si les gars on pus faire se virus ils peuvent trouver une tonnes de facon de brancher des machines a eux sur le reseau sans se faire prendre.[/quote]Oui mais pourquoi s’emmerder a essaier de brancher une vingtaine de machines sur 20 reseaux differents de facon anonyme, quand il est si simple de pirater quelques machines d’utilisateurs inconnus pour en faire ce que l’on veux
[quote]Enfin, tu ne sais pas du tout ce qu’aurait fait ce ver. Pour le coup, ça a l’odeur d’un gros FUD qui est passé parfaitement ici, bien à court terme, mais à long terme ? C’est bien, il est mort mais on n’a toujours AUCUNE idée de ce qu’il aurait fait, donc si ça se reproduit sur 5000 IP, ben on a l’air con. En sniffant les IP, on aurait par exemple pu remonter jusqu’aux spammers qui utilisaient Sobig.E, mais non, en bloquant tout, ben au final, on sait rien. [/quote]Ce qu’ils auraient pu faire c’est prendre le controle de l’une des 20 machines pour regarder qui allait tenter de se connecter quelques secondes/minutes avant l’heure pour tenter d’envoyer le programme (ou url), et ainsi peu etre connaitre les auteurs. Mais je doute que les pirates aient prevu d’envoyer ca depuis chez eux, ils ont sans doute programme ca sur une 21eme machine qui ne leur appartient pas, sur laquelle ils ont egalement pris soin d’effacer les logs.
ND Baph : le bouton editer la prochaine fois, merci (ça commence a me saouler cette mode de poster plusieur fois de suite…)
C’est pas grave que la 21ème machine (je dirais même qu’il devait y avoir 4 ou 5 tampons avant d’arriver à l’origine) n’ait pas grand chose. Le deuxième plus grand ennemi de la sécurité, c’est l’ignorance*. Donc mieux vaut suivre une fois le chemin complet pour savoir de quoi il en retourne car ÇA se reproduira, c’est SÛR…
*Le premier étant bien sûr, la croyance en une sécurité mal calibrée.