attention ver

Jeu 14-08-2003, 8:30

Paramètres / Panneau de configuration / Outils d'administration / Services / Parefeu de connection ----> clic droit Connecter Wink

Jeu 14-08-2003, 8:43

Jeu 14-08-2003, 8:56

Jeu 14-08-2003, 9:10

Lovsan est le premier virus ciblant les ordinateurs vulnérables à la faille RPC de Microsoft. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Lovsan l'infecte via le port 135 TCP puis scanne le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour lancer une attaque par déni de service contre le site WindowsUpdate à partir du 16/08/03, afin de tenter d'empêcher les retardataires de télécharger le correctif nécessaire à leur système. La mise à jour des ordinateurs sous Windows NT, 2000, XP et 2003 est urgence et impérative.

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille RPC exploitée par le virus pour s'exécuter automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FixBlast pour rechercher et éliminer le virus.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Poza (CA);

W32/Lovsan@mm (F-Secure);

Worm.Win32.Lovesan (Kaspersky);

W32/Lovsan.worm (Mc Afee);

W32/Blaster-A (Sophos);

W32.Blaster.Worm (Symantec)
WORM_MSBLAST.A (Trend Micro);

TAILLE :
6.176 octets

DECOUVERTE :
11/08/2003

DESCRIPTION DETAILLEE :
Lovsan est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Lovsan l'infecte via le port 135 TCP en utilisant la faille RPC de Microsoft : il provoque le téléchargement d'un fichier MSBLAST.EXE dans le répertoire System32 de Windows via TFTP, puis son exécution à distance sans aucune intervention de l'utilisateur.

Une fois l'ordinateur infecté, le virus modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis scanne ensuite continuellement le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour lancer une attaque par déni de service contre le site WindowsUpdate à partir du 16/08/03, afin de tenter d'empêcher les retardataires de télécharger le correctif nécessaire à leur système.

Le virus rend souvent le système instable. Sous Windows 2000, cela se traduit par un plantage de l'ordinateur et/ou un message d'erreur impliquant le processus svchost.exe. Sous Windows XP/2003, un message d'erreur à l'initiative du système ("AUTHORITE NTSYSTEM") indique "Windows doit redémarrer car le service d'appel de procédure distante (RPC) s'est terminé de façon inattendue" puis l'ordinateur redémarre automatiquement après 60 secondes. L'utilisateur doit alors télécharger le correctif Windows au plus vite dès sa connexion à internet, ou utiliser pour ce faire un autre ordinateur et installer le correctif sur le premier sans le connecter au réseau.

Une propagation massive de Lovsan et d'éventuelles variantes pourrait causer des perturbations dans le fonctionnement d'Internet, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative

voila la description de la bete Wink

Jeu 14-08-2003, 9:13

et voila une des solution :

Solution:

AUTOMATIC REMOVAL INSTRUCTIONS

To automatically remove this malware from your system, please use the Trend Micro System Cleaner.

MANUAL REMOVAL INSTRUCTIONS

Terminating the Malware Program

This procedure terminates the running malware process from memory.

Open Windows Task Manager, press
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs, locate the process:
MSBLAST.EXE

Select the malware process, then press the End Process button.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
"windows auto update" = MSBLAST.EXE
Close Registry Editor.
NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.
Additional Windows ME/XP Cleaning Instructions

Running Trend Micro Antivirus

Scan your system with Trend Micro antivirus and delete all files detected as WORM_MSBLAST.A. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro’s free online virus scanner.

Applying Patches

TrendLabs advises all affected users to apply the patch issued by Microsoft at the following page:

Microsoft Security Bulletin MS03-026

TrendLabs also asks users to filter access to port 135 and allow trusted and internal sites only.

Jeu 14-08-2003, 9:16

et en francais ca donne un truc comme ca non?

VOICI LA PROCEDURE:

voila la procedure a suivre pour enlever toute trace car le patch corrige pas tout.

1. Couper toute connexion au net.
2. ctrl+alt+suppr pour avoir le gestionnaire des tâches.
3. s'il y a un processus msblast.exe, le stopper.
4. utiliser la fonction recherche de windows sur msblast.exe et supprimer
les 2 endroits où il se trouve (de mémoire : system32 et un répertoire
pref???[avec le $ dedans]).
5. lancer regedit (menu démarrer..executer et faire une recherche sur
msblast (pas besoin du .exe) et SUPPRIMEZ toutes les occurences (faire
Rechercher puis supprimer la 1ère occurence et ensuite F3 pour poursuivre la
recherche jusqu'à la prochaine). Ne pas hésiter à supprimer la valeur
"windows auto update" dans
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
6. Se connecter au net et suivre le lien de la première page de ce topic
pour télécharger le correctif.
7. sitôt téléchargé (donc, dès le début de l'install), couper la connexion
internet.
8. terminer l'install du patch et rebooter.
9. vérifier avec le gestionnaire des tâches que msblast.exe n'est plus
chargé.

Mar 19-08-2003, 12:28

Merci pour ces infos sur le "ver", au boulot, on l'a tous eu jeudi midi, heureusement nos informaticiens veillaient au grain.
J'en ai profité pour faire la correction à la maison avant d'être touché.
Thank you, gracias....

Mar 19-08-2003, 13:31

Autrement il suffit de désactiver le redémarrage dans le service RPC, d'aller sur www.secuser.com, télécharger FixBlast, scanner le PC, surtout mettre a jour Windows et sont antivirus.
Apparement une nouvelle version du ver est en circulation plus néfaste celle-ci.

Mar 19-08-2003, 14:36

je tenais juste à faire remarquer que si l'Europe est beaucoup moins touchée par lovsan que les USA, le Canada, etc..., c'est parce que la proportion des serveurs UNIX est nettement supérieure chez nous.
VIVE LINUX et autres unix en tout genre !!!

Mar 19-08-2003, 14:42

Mar 19-08-2003, 14:44

je suis arkaïque moi, j'ai encore la 9.1
désolé, pitié, pitié Embarassed

Mar 19-08-2003, 15:03

moi suis en redhat 8 sur un de mes pc et ca marche tellement bien.

vive linux

Mar 19-08-2003, 15:35

Moi aussi je vais m'y mettre, VIVE LINUX!!!
D'ici 2008 1 PC sur 5 sous linux parait-il, linux est devenu aussi facile à utiliser qu'un systéme windows, sauf que linux est plus stable que sont concurent mais surtout beaucoup moins cher..

Mar 19-08-2003, 15:37

les differentes fonctions disponible sous linux commence juste a etre inclu avec windows.

et le prix n'est pas le meme c clair.

Mar 19-08-2003, 15:37

ouais et sauf que les jeux, y'en a pas des masses qui tournent sous linux... Confused

et généralement (quoique avec le net, ça a un peu changé), l'une des raisons principales de l'achat de l'ordinateur (même si elle n'est pas avouée), c'est le jeu.

	Integralsport - Le forum du tir à l'arc depuis 2001 Index du Forum -> Sites webs et logiciels	Toutes les heures sont au format GMT + 1 Heure Aller à la page Précédente 1, 2, 3 Suivante
Page 2 sur 3