[résolu]Problème de réseau (WORM_SDBOT inside)

Tech
1

Accrochez vous les gars, vous n’allez rien comprendre!! Enfin bon, sait-on jamais…

J’ai donc un petit problème avec ma connection internet en fait.
J’ai un PC relié en RJ45 avec ma Freebox. Le problème est que la connection semble fonctionner par intermitence. Cà marche pendant 1 minute et puis çà marche plus et ainsi de suite sans que cela cesse.
J’ai essayé de rebrancher mon ancien modem/routeur ADSL, pareil.
Les modems ne sont pas en cause, ceux-ci fonctionnant parfaitement avec un autre PC.

Mais le plus étrange est à venir. Pendant que « j’essayais » de surfer, j’ai lancé un petit ping -t sur l’adresse 192.168.0.254 qui doit être l’adresse IP de ma freebox si je ne me trompe pas. Lorsque je ne navigue pas, le ping revient, mais quand je demande un changement de page, il ne revient plus. Parfois en relançant le navigateur, çà repart mais peut-être est-ce une coïncidence. Sur une période de test d’environ 15 minutes, j’ai eu 25% de pertes de paquets ICMP.
J’ai jeté un oeil sur mon antivirus qui fait également office de firewall et là j’ai remarqué qu’il avait enregistré des conflits d’ARP :stuck_out_tongue: . Voici la description de l’évenement:
Direction: ENTREE Protocole: ARP Adresse IP de la source: 0.0.0.0
Port source: S/O Adresse IP de destination: 0.0.0.0 Port de destination: S/O
Description: Conflit d’ARP

Concernant la config de ma carte réseau, elle est en IP auto, rien de plus. Sinon le PC est sous Windows 2000

Alors? Une idée? :stuck_out_tongue:

2

cable reseau defectueux ou subissant des interferences ?

3

Non, je ne pense pas. J’ai changé le cable et le problème persiste.

4

mais euh je capte pas, pourquoi ta freebox est en 192.168.0.254 ? tu l’utilises comme un routeur? dans ce cas ne laisse pas ta carte réseau en ip libre ou désactive la fonction routeur de ta bobox.

Après tu vas soigner cette mauvaise peau et seulement après tu te permets. :stuck_out_tongue:

5

Pour te faire plaisir, je suis allé tester ta solution et j’ai le regret de t’anoncer que çà n’a rien fait.
J’ai désactivé la fonction routeur mais le problème persiste. Avec le 2ème PC, çà fonctionne toujours.

De toutes façons, je pense que le pb vient du PC lui même et pas de la FreeBoite ou des cables vu que çà marche très bien sur un autre PC.

6

[quote name=‘peuh_’ date=’ 14 Jan 2005, 11:12’]mais euh je capte pas, pourquoi ta freebox est en 192.168.0.254 ?  tu l’utilises comme un routeur? dans ce cas ne laisse pas ta carte réseau en ip libre ou désactive la fonction routeur de ta bobox.

Après tu vas soigner cette mauvaise peau et seulement après tu te permets. :P[/quote]
je vois pas où est le problème. c tout à fait normal ce qu’il a fait. freebox=routeur avec dhcp. je viens de faire la même chose cette semaine avec le wifi de la freebox en plus et du forward de port. aucun souci, bon matos.

7

Bon, j’ai réglé le problème. Il semblerait que cela vienne en fait d’un virus ou d’un ver. J’espère que c’est çà. Pour le moment, tout refonctionne impec.

Puisqu’on parle de routeur et de Freebox, alors allons-y.

Je dois partager la connexion de ma FreeBoite pour au minimum 2 PC en RJ45.
Pour cela, je dispose de la boite et de mon ancien modem/routeur/switch ADSL D-Link DSL 604+ ansi que d’un cable croisé.

La boite dispose d’une seule E/S RJ45 et mon routeur de 4.
Logiquement, il faudrait relier par le cable croisé la boite avec le routeur et brancher le reste des PC dessus.
Mais pour le routage proprement dit, dois-je activer la fonction routeur de la boite (que j’ai désactivé pour le moment) et utiliser le routeur D-Link en tant que simple switch ou bien laisser la boite en config « par défaut » et utiliser mon routeur pour faire le routage???

Vous êtes toujours là? Ah bon, je croyais que vous étiez partis… :stuck_out_tongue:

Edit: je viens de remarquer qu’avec une seule machine de branchée, j’ai pas mal de soucis avec la freebox en mode routeur.
La je suis en config « par défaut » et çà fonctionne. Mais lorsque je fais un arp -a dans une fenêtre dos, il m’afiche jusqu’à 25 adresses de type 82.253.62.X ou X est compris entre 1 et 254. L’adresse physique est la même pour toutes ces adresses. A quoi çà correspond?

8

Finalement, çà ne marche toujours pas, alors reprenons depuis le début.
Oublions la Freebox et retournons à mon ancienne config qui fonctionnait très bien.
Un petit dessin me parait la solution idéale pour résumer la situations

Edit: a force de chercher, on finit par en savoir un peu plus.
J’ai commencé une surveillance de mon réseau local avec Ethereal et EtherApe.
Je me suis donc aperçu que mon PC2 envoyait énormément de requetes ARP.
Je suis en train de chercher si il existe ou pas un virus ou un ver qui ferait de “l’ARP flooding”, sans résultats pour l’instant…

9

Un petit UP sur mon thread, car çà fait maintenant 4 jours que je suis bloqué.
Impossible de contacter microsoft, D-Link ne veut pas me fournir de support et mes recherches sur le net ne donnent rien.

Pour résumer, mon PC envoie donc des requêtes ARP vers des adresses inexistantes. Je pense que c’est à cause de çà que je ne peux plus exploiter ma connexion réseau.
Autre certitude, le pb est logiciel car en connectant la freebox en USB c’est pareil, et en faisant tourner Knoppix sur ce PC, il n’y a aucun PB.

Merci d’avance

10

Juste une question idiote, c’est quoi ton OS sur lequel ca merde ?

au debut j’ai crus que c’estait windows a cause du “microsoft”, mais j’ai vu etherape et je crois qu’il n’y en a pas pour windows.

tu es sur que cela vient de l’arp ?

as tu essayé les commandes; netstat, arp, netmon (je crois que ca marche sous Win 2K).

as tu essaye de voir avec un “netmonitor”, ce voir qu’il se passe exatement, qui ou quoi se connecte ? et comment ? et de facon claire ? (bon le mien estintégré dans le firewall, mais y’en a de bien et gratuit).

sinon ca me parrait curieux que se soit virus.

11

L’OS en question est Windows 2000. Je l’ai évoqué au tout début.
Lorsque j’ai parlé de EtherApe, c’est bien sur pour linux. Mais oublions EtherApe qui ne pas donné beaucoup d’informations.

Concernant les commandes, netmon ne fonctionne pas.
arp -a → voir le schéma un peu plus haut.

netstat → t’es sur que veux le résultat de la commande?

Proto Adresse locale Adresse distante Etat
TCP mcremic:1029 storm.chuj.co.uk:26418 ESTABLISHED
TCP mcremic:1633 192.168.xxx.xxx:epmap SYN_SENT
TCP mcremic:1634 192.168.xxx.xxx:epmap SYN_SENT
TCP mcremic:1635 192.168.xxx.xxx:epmap SYN_SENT
TCP mcremic:1636 192.168.xxx.xxx:epmap SYN_SENT

Et çà continue encore et encore, c’est que le début, d’ac… bon ok :stuck_out_tongue:

Pour les résultats complets de la commande, voir les creenshots ici, ici, et ici

l’adresse distante est toujours aléatoire mais commence par 192.168.
L’adresse locale incrémente de 1 à chaque ligne. J’ai pas attendu que çà finisse. Je me suis arrêté à 1810.
Curieusement, à la place de 1723, il me mets pptp.
Concernant la première adresse, je ne sais pas du tout ce que c’est.

j’ai retapé la même commande un peu plus tard et j’ai eu çà en première ligne
TCP mcremic:2732 mcremic:microsoft-ds TIME_WAIT

Un autre screenshot ici

J’ai téléchargé un programme netmonitor, mais rien n’a l’air de se passer.

Edit: mais comment çà se fait qu’il me supprime les espaces de mon tableau??!!!
Edit2: ajout des screenshots

12

Regarde un peu la, tu n’est pas le seul avec ce pbm apparament:

http://www.google.fr/search?q=cache:UQ6Gf_…tml+epmap&hl=fr

Qques trucs qui ont été essayés :
Post 1:
i) new computer, fresh windows installation
ii) recieved blaster virus from the dial-up
iii) remove the blaster virus
iv) patch windows, http://www.sophos.com/virusinfo/analyses/w32blastera.html

  1. Now, looking in my Task Manager, under networking, the dialup is constantly sending epmap packets out on ports 3000+
  2. using the command line to check, typed netstat /a to see the list of epmap processes sending
  3. checked the Task Manager, under processes, there are two bogus processes, DLLHOST and SVCHOST (both in caps). End those processes
  4. goto your Windows\system32\wins directory (if it exists). Delete the DLLHOST and SVCHOST files. If you did not kill the process before, you will not be able to delete them.
  5. click Start, run, type in regedit. do search for windows\system32\wins
  6. delete the entry whenever you see this.

This is how I solved it.

Post 2:
This of course didn’t work. I was still getting hit with epmap connections that seemed to come from every direction. I decided to close one port at a time and monitor the connections with TCPView. I started with the SMTP port and much to my surprise, I think I hit the jackpot. My epmap connections went away. I reopened the port and noticed the epmap connections trickling back in. The port is now closed until I do some research. I will get back with my findings.

Bon courage…

13

Comme le disait Ulat ca peut etre les effets d’un ver_balster.

http://mi.cnrs-orleans.fr/Download/Virus/BlasterUtility.htm

http://www.01net.com/telecharger/windows/U…ches/26951.html

http://securityresponse1.symantec.com/sarc…moval.tool.html

sinon tu peux aussi regarder les processus actif;

le vrai, appartenant a windows c’est svchost.exe

si tu en trouve d’autre du genre; Svchost.exe, svshost.exe, SVCHOST.exe, ect… c’est un ver !

mais, quand memeil faudrais que tu trouves un netmonitor qui marche cela t’indiqueras plus facilement quel est le programe qui se connecte.

j’ai vu un ItCanNet103Full.exe qui peut etre interessant d’essayer.

14

J’ai téléchargé TCPview. Simple et efficace. Voici un de ses logs

Attention, vous allez pleurer. Et encore, vous avez pas la couleur!
J’ai un peu de blanc, autant de vert mais beaucoup beaucoup de rouge!!

Enfin, et j’aurais du le tester beaucoup plus tot, mais tout fonctionne en mode sans échec avec prise en charge du réseau.

Preuve donc qu’il s’agit bien d’un ver, mais peut-être pas un blaster car l’outil qui aurait du le virer n’a rien trouvé.
Dans mes processus, j’ai effectivement un svchostss.exe, mais même en le tuant, çà ne change rien.

15

Et sinon tu as fouillé un peu dans ta base de registres?
Rien d’anormal dans

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System

?

16

/me roule une pelle virtuelle à Ulat :stuck_out_tongue:

Eh bien je ne sais pas comment te remercier.
Je suis allé faire un tour dans la base aux emplacement indiqués, et dans les run, il y avait des exe plutot louches comme svchostss.exe, ixplorer.exe et securenet.exe

Pour le dernier, je suis pas sur qu’il soit responsable, mais en attendant, je les ai tous virés. Après un reboot, tour refonctionne impec.

Du moins, pour le moment. Si s’agissait bien d’un ver, il n’a pas été éffacé encore.
Va falloir finir le boulot maintenant. :stuck_out_tongue:

Je reposterai ici pour vous tenir au courant.

PS: merci également à tous les autres pour leur contribution

17

Confirmation ce qu’on avait dit, il s’agissait bien d’un ver. Voici le log de mon antivirus après mise à jour:

« WORM_SDBOT.ANC »,« C:\Documents and Settings\McRemic\ixplorer.exe »,« Quarantaine réussi(e) »,""
« WORM_SDBOT.AJM »,« C:\Documents and Settings\McRemic\securenet.exe »,« Quarantaine réussi(e) »,""
« WORM_SDBOT.ANC »,« C:\ixplorer.exe »,« Quarantaine réussi(e) »,""
« WORM_SDBOT.AJM »,« C:\securenet.exe »,« Quarantaine réussi(e) »,""
« WORM_SDBOT.GEN »,« C:\WINNT\jumsvc32.exe »,« Quarantaine réussi(e) »,""
« WORM_SDBOT.ANC »,« C:\WINNT\system32\ixplorer.exe »,« Quarantaine réussi(e) »,""
« WORM_SDBOT.GEN »,« C:\WINNT\system32\jumsvc.dat »,« Quarantaine réussi(e) »,""
« WORM_SDBOT.GEN »,« C:\WINNT\system32\jumsvc32.exe »,« Quarantaine réussi(e) »,""
« WORM_SDBOT.AJM »,« C:\WINNT\system32\securenet.exe »,« Quarantaine réussi(e) »,""

Ce sont des vers relativement puissants. Si vous voulez un aperçu de leurs possibilités, je vous recommande ces 2 pages, très détaillées (en anglais):
WORM_SDBOT.AJM
WORM_SDBOT.GEN

Pour résumer vite fait, ils sont capables de s’introduire dans le système grace à une patite base de données composées de logins et de mots de passes, de voler des CD-Keys de différents jeux, de désactiver des antivirus, de lancer de multiples attaques DoS, et peuvent se comporter comme un client IRC en se connectant sur un serveur sur lequel un utilisateur peut accéder à votre PC de façon complètement transparente pour la victime.

Pour finir (et pour vous rassurer), même si ce ver à de grosses cpacités de propagation, paradoxalement le nombre de victimes recensées n’est pas très élevé.

Ce fut une expérience interressante, mais nerveusement éprouvante :stuck_out_tongue:

18

et tu peux toujours te connecter a tes comptes ? ^^
genre Hl², War3, Wow et tout ca …
c’est pas pour te faire flipper hein :stuck_out_tongue:

19

Au final:

  1. c’est chouette que tu aies pu t’en sortir et nettoyer ton PC
  2. Antivirus à jour, antivirus à jour, antivirus à jour!!!
  3. Tes posts étaient plein d’humour, c’était chouette à lire
  4. J’ai parlé d’un BON antivirus à jour?

PS: quand je dis BON, ça veut dire pas les antivirus aux services marketing à la puissance technique contre-proportionnelle à la puissance du service marketing de l’éditeur

PPS: autogomme à troll: pas de noms d’antivirus concernés par le PS :stuck_out_tongue:

20

Je rajouterais juste : sans façons pour la pelle :stuck_out_tongue: