Virus Spybot.worm & planificateur

Tech
1

Salut a tous.

Nous subissons depuis quelques temps dans ma boite plusieurs vagues d’attaque virale.

J’ignore comment le W32.Spybot.worm a pu entrer et nous emmerder autant vu qu’il est detecté par tous les antivirus depuis avril. Nous somme « protegé » par Norton Corporate sur la grande majorité des postes maintenus automatiquement à jour. Le serveur de messagerie Domino dont je m’occupe et lui aussi protégé par Norton antivirus pour Domino et est a jour lui aussi.

Cette saloperie joue l’arlésienne et s’incruste sur les machines même protégées. L’antivirus se reveille, degage le virus et au bout de quelques temps il reviens. En fait, il créé des tache planifiées qui relance le virus.

La ou je comprends pas:

  1. Je n’ai strictement trouvé aucune info concernant cette methode de propagation pour le virus en question.

  2. Les machines etant protégées et les serveurs aussi, je ne comprends pas comment le fichier « cnnet.exe » (executé par les taches planifiées) peut subsister sur les lecteurs locaux ou partages des machines protégées, de façon a ce que le planificateur de tache le réinstalle. (Des taches nommées AT1…2…3… s’enregistrent sur des machines protégés et Norton ne les vire pas)

  3. Comment fait-il pour ajouter des taches a distance (elle sont créées par un netjob) alors qu’il faut avoir les droits d’admin de domaine ou local. J’en deduit qu’il s’exécute avec les privilèges admin de domaine et donc a partir d’un serveur ou d’une machine de l’info loguée en admin. Si tel est le cas, toutes les machines sous 2000 et XP sont protégé sans exception par un AV…

HHHHHEEEELLLLPPPPP :stuck_out_tongue:

PS: Nous en avons un autre, plus récent et rentré sur le reseau parce que les maj de norton n’etaient pas encore sorties. Le Randex ou un truc du genre. Ce petit malin s’amuse a essayer de casser les comptes utilisateurs en essayant quelques mots de passes bateau du genre « admin », « 123 » etc… Résultat, notre politique de gestion des comptes les verouille au bout de 5 essais infructueux. En 10 minutes tla moitier des comptes du domaine (environ 1000) se retrouvent vérouillés. Je ne sais pas ou il recup la liste des comptes users pour aller si vite. Tous les controleurs de domaine sont bien protégés.

PS2: Nous sommes sous Active Directory mode natif avec une majorité de poste en 2000 et XP mais avec environ 20% de clients W9x.

Merci de ne pas troller sur Norton, je fais avec. Et comme solution d’administration a distance et MAJ auto, c’est vraiment pas mal !!

A++ :stuck_out_tongue:

2

Question con : toutes tes machines windows sont bien mises à jour ?

Sinon ce vers (et bien d’autre) passent par la faille de LASS.EXE (port 445), qui leur donnne les privillèges root…
Il a du surement arriver avec un putain de portable non mis à jour et branché sur le réseau de ta boite, apres avoir choppé le virus sur le net.

Bonne chance.

3

Si tu es dans une boite « sensible », ou qui possède des concurrents féroces, tu peux t’interroger sur le possibilité que ce soit quelqu’un qui intentionnellement réinjecte des méchancetés sur ton réseau.
Attention à ne pas non plus sombrer dans la parano :stuck_out_tongue:

4

Pour les machines, elle sont a jour niveau windows autant que faire ce peut…

C’est a dire,

  1. W9x bof bof… environ 25% du parc AV Ok

  2. W2000 oui, nous avons un serveur SUS on nous validons les MAJ qui sont automatiquement envoyées aux clients. 65% AV Ok

  3. W XP oui, idem W2000 et a savoir ce sont pour la grande majorité des portables qui sont rarement sur le reseau pour prendre les MAJ Windows. Les MAJ AV sont prioritaires. 10% le SP2 n’est pas encore validé (seul certains hotfix)

  4. Serveurs sous W2003 ou W2000 mis a jours (environ 30 machines)

  5. Quelques serveurs NT4 SP6… la par contre, a part l’AV… Mais bon , les serveurs ne naviguent pas sur le net ni n’ouvrent les pieces jointes d’email avec un fichier attaché genre « britneyspearsnude.jpg.exe » le tout expédié par un inconnu bizare dans une langue etrangère :stuck_out_tongue:

Pour la sensibilité de la boite, j’ai travaillé jadis quelques années chez Novartis et c’etait une autre paire de manches mais la, chez Mamie Nova, je doute que ce soit l’attaque d’un concurant :stuck_out_tongue:

OOoooOOOoohhhh Mamy !! OOOOooooOOoooH Mamy blue, Oh mamy bluesssss…

(Oh Mamy Mamy !!) :stuck_out_tongue: