Salut a tous.
Nous subissons depuis quelques temps dans ma boite plusieurs vagues d’attaque virale.
J’ignore comment le W32.Spybot.worm a pu entrer et nous emmerder autant vu qu’il est detecté par tous les antivirus depuis avril. Nous somme « protegé » par Norton Corporate sur la grande majorité des postes maintenus automatiquement à jour. Le serveur de messagerie Domino dont je m’occupe et lui aussi protégé par Norton antivirus pour Domino et est a jour lui aussi.
Cette saloperie joue l’arlésienne et s’incruste sur les machines même protégées. L’antivirus se reveille, degage le virus et au bout de quelques temps il reviens. En fait, il créé des tache planifiées qui relance le virus.
La ou je comprends pas:
-
Je n’ai strictement trouvé aucune info concernant cette methode de propagation pour le virus en question.
-
Les machines etant protégées et les serveurs aussi, je ne comprends pas comment le fichier « cnnet.exe » (executé par les taches planifiées) peut subsister sur les lecteurs locaux ou partages des machines protégées, de façon a ce que le planificateur de tache le réinstalle. (Des taches nommées AT1…2…3… s’enregistrent sur des machines protégés et Norton ne les vire pas)
-
Comment fait-il pour ajouter des taches a distance (elle sont créées par un netjob) alors qu’il faut avoir les droits d’admin de domaine ou local. J’en deduit qu’il s’exécute avec les privilèges admin de domaine et donc a partir d’un serveur ou d’une machine de l’info loguée en admin. Si tel est le cas, toutes les machines sous 2000 et XP sont protégé sans exception par un AV…
HHHHHEEEELLLLPPPPP
PS: Nous en avons un autre, plus récent et rentré sur le reseau parce que les maj de norton n’etaient pas encore sorties. Le Randex ou un truc du genre. Ce petit malin s’amuse a essayer de casser les comptes utilisateurs en essayant quelques mots de passes bateau du genre « admin », « 123 » etc… Résultat, notre politique de gestion des comptes les verouille au bout de 5 essais infructueux. En 10 minutes tla moitier des comptes du domaine (environ 1000) se retrouvent vérouillés. Je ne sais pas ou il recup la liste des comptes users pour aller si vite. Tous les controleurs de domaine sont bien protégés.
PS2: Nous sommes sous Active Directory mode natif avec une majorité de poste en 2000 et XP mais avec environ 20% de clients W9x.
Merci de ne pas troller sur Norton, je fais avec. Et comme solution d’administration a distance et MAJ auto, c’est vraiment pas mal !!
A++