Journal Nouvelle variante de Blaster qui déchire tout !

Posté par  .
Étiquettes : aucune
0
30
jan.
2004
Ben voilà, pour sauver l'ordinateur de mon petit frère, je viens d'affronter à distance via UltraVNC la nouvelle variante de Blaster, et celle là elle fait très mal !

Tout d'abord, chose impressionnante, l'infection est très rapide, voire quasi instantanée. Genre il a réinstallé 3 fois son Windows XP (proprement, avec formatage), et il a à peine eu le temps d'installer son modem adsl et de commencer un Windows Update à chaque fois... Et à aucune moment il a pu le finir, ça rebootait avant !

Heureusement, il avait conservé quelque part le fichier d'installation d'ultraVNC, ce qui m'a permis de me mesurer à la bête.

Tout d'abord, une connexion via VNC, sachant qu'il faut qu'il se connecte, puis qu'il me donne par téléphone son adresse IP, et que moi j'ai le temps de me connecter sur sa machine avant qu'elle ne reboot. Bilan des courses, heureusement que taper la commande shutdown -a ne prend pas longtemps, enfin, c'était juste quand même !

Cette variante est assez spéciale, elle se copie en plusieurs exemplaires, et j'ai pu repérer qu'une machine infectée pouvait se faire surinfecter, et j'ai donc identifié les fichiers suivants :
teekids.exe
msblast.exe
mslaugh.exe
Bill1boy.exe

Pas de bol, une fois que le virus est en mémoire, même si on termine le processus correspondant, la plupart des fonctions windows restent désactivées : il n'est plus possible de rechercher un fichier par exemple, ni d'activer le pare feu intégré à Windows XP, ou de faire pas mal d'autres choses.

Encore plus pervers...

J'ai lancé un msconfig et un regedit afin de nettoyer la base de registre et le démarrage de Windows pour redémarrer dans de saines conditions. Ce qui m'a octroyé quelques secondes de repis après un redémarrage, car chose impressionnante, le virus est revenu avant même que je puisse lancer le firewall Windows XP !

C'est là que j'ai découvert que les fichiers .exe lancé alors que le virus est en mémoire sont à leur tour infectés !

Ainsi, le fait de lancer à nouveau msconfig et regedit après le redémarrage réinfecte joyeusement la machine que l'on croyait être dans un état sain. Le pire, c'est qu'on ne fait pas attention à ces noms là dans le gestionnaire de tâche vu qu'on les a volontairement lancés en général.

Bref, il a fallu que d'une part, j'abuse en permanence de la commande shutdown -a, qu'ensuite je nettoie le run de la base de registre, et que pour finir, je télécharge un firewall (zone alarm) dans le temps imparti.

Ensuite, il faut rebooter, installer Zone Alarm avant de se connecter à internet, et bloquer tout ce qui va entrer ou sortir de pas normal (notamment du trafic netbios) lors de la connexion, et autoriser la connexion VNC entrante en ce qui me concerne ;) et c'est là qu'on rigole tellement c'est une autoroute Bretonne Windows XP.

A partir de là, déjà, la machine ne reboot plus, mais il ne faut pas lancer les fichiers préalablement infectés : msconfig et regedit notemment, et c'est pourquoi j'avais fait préalablement réinstaller une nouvelle fois à mon frère, histoire de remettre une base saine et de pas trop me prendre la tête, faut dire que sur sa machine, ça prend à peine 10 minutes, parce que je ne suis pas certains que seuls msconfig.exe et regedit.exe aient été infectés (pourquoi pas rundll32.exe ou même zonealarm.exe ?). En tout cas, je vois mal comment il est possible de gérer proprement et sans risque, sans réinstaller...

Il faut surtout penser à installer installer un antivirus à partir de là et mettre à jour avant de scanner intégralement le système.

Il m'a fallu batailler 2 heures pour éradiquer la bestiole complètement et protéger efficacement la machine de mon petit frère, qui m'a d'ailleurs demander de lui passer les CD de la Mandrake 9.2 au passage ;)

Je ne sais pas ce que vous en pensez, mais je crois que cette variante là va faire très mal ;)

  • # Re: Nouvelle variante de Blaster qui déchire tout !

    Posté par  . Évalué à -1.

    Déchire tout, faut le dire vite !
    Ma machine windows est aussi XP, et la seule conséquence notable de ce virus a été de provoquer l'apparition d'une alerte de mon firewall (Kerio).

    • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

      Posté par  . Évalué à 0.

      Sauf qu'en l'occurence, tu avais ton firewall déjà installé.

      Mon petit frère a réinstallé sa machine suite à des plantages réguliers (étant sous Windows, comme moi, tu dois savoir qu'il n'y a pas 36 solutions à ce problème), et alors qu'il venait juste de reconfigurer son accès internet pour utiliser windows update et autre : PAF !

      Et il a tenté de réinstaller 3 fois avant de me demander d'intervenir, c'est pour dire !

      J'ai déjà eu affaire aux versions précédentes de nombreux virsu (c'est mon boulot en quelques sortes), et aucune d'entre elles n'arrive à la cheville de celle ci. Les autres, tu les dégageais d'un vulgaire shutdown -a suivi d'une nettoyage du run de la base de registre et une suppression des fichiers .exe correspondants.

      Maintenant, tes fichiers .exe du système sont infectés aussi (donc je pense explorer.exe par exemple), le virus se recopie sous différent noms, et quelqu'un qui ne s'y connait pas un minimum n'a à mon avis aucune chance de s'en sortir seul.

      Cela dit, mon petit frère était effectivement passé au travers de toutes les autres vagues de virus avant d'avoir à réinstaller sa machine, je lui avait préconfigurée et blindée en quelque sorte.

      On sait tous qu'un Windows ça peut-être "secure", le problème, c'est que pour que ce soit un minimum "secure", ben faut pas que ce soit M. Tout le monde qui installe sa machine, sinon, en 1 minute montre en main après l'installation d'internet et la connexion, la machine reboot.

      Windows <= XP n'est plus prêt pour le webdesktop !

      • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

        Posté par  (site web personnel) . Évalué à 0.

        Une solution qui en vaut une autre: telecharger les patches sur ta machine a la mano, ensuite les refiler a la machine windows en esperant que l'exe ne se fasse pas infecter aussi, et couper tout le reseau... bon evidemment ca marche pas top via vnc :)

      • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

        Posté par  (site web personnel) . Évalué à 4.

        Je vais peut être dire une bétise, je n'ai pas windows, mais tu sembles indiquer que windows XP possède un part feu intégré... Pourquoi ne pas l'avoir configuré avant la première connexion pour empécher le traffic indésirable ? Après, ça te donner le temps necéssaire de téléchzrger ce que tu veux...

        • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

          Posté par  (site web personnel, Mastodon) . Évalué à -5.

          parce que le pare-feu intégré se résume à une croix : "activer le pare-feu"


          Pas d'autre configuration disponible... ;)

          (et son effet est plus proche du placebo qu'autre chose)

          Mes livres CC By-SA : https://ploum.net/livres.html

        • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

          Posté par  . Évalué à 3.

          Parce que c'est là que réside la différence entre un utilisateur de Windows qui sait installer Windows et un administrateur : mon petit frère sait se dépatouiller, rien de plus : il n'a même pas connaissance de ce qu'est un firewall et qu'il y en a un (de merde, capable de te faire chier même théoriquement arrêté) intégré à Windows XP.

          La réinstallation d'un Windows est pourtant monnaie courante aujourd'hui, contrairement à ce qu'annonce régulièrement PBPG. Les gens n'ont d'une part pas envie de se taper des bouquins ou des TechNet pour résoudre leur problème, et d'autre part, réinstaller se fait en quelques minutes, alors que chercher une panne sous Windows peut parfois se révéler être un calvaire de plusieurs heures/mois/années, voire même parfois relever simplement de l'utopie !!!

          Solution de facilité certes, mais les gens l'applique, et il est désolant de voir qu'aujourd'hui, il n'est plus possible à un utilisateur de Windows standard de réinstaller une machine destinée à être connectée à Internet...

          Et je vois encore PBPG venir nous raconter que si on avait lu je ne sais quel bouquin, ben on maîtriserait tout ces problèmes sans se faire chier. Ca m'a toujours fait rire ça, le fait de faire passer les bogues de Windows sur la soit disant incompétence des techniciens ou le soit disant boguage des pilotes tiers. C'est jamais la faute à Microsoft, d'ailleurs, pourquoi ils ne le fourguent pas avec leur gruyère ce soit disant bouquin chez Microsoft ?

          Bientôt, il faudra toute une bardée de certifications "sécurité" pour installer Windows. Qui a parlé des MCP/MCSE et autre ? bah voilà, la boucle est bouclée !

      • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

        Posté par  . Évalué à 1.

        Mon petit frère a réinstallé sa machine suite à des plantages réguliers (étant sous Windows, comme moi, tu dois savoir qu'il n'y a pas 36 solutions à ce problème), et alors qu'il venait juste de reconfigurer son accès internet pour utiliser windows update et autre : PAF !

        Si justement, il y a 36 solutions, mais pour ca il faut faire l'effort de comprendre comment Windows marche.
        Sous Linux tu lis les howtos, pose des questions sur les forums, etc... faut faire la meme chose sous Windows, pas de miracle.

        • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

          Posté par  . Évalué à 2.

          Si justement, il y a 36 solutions, mais pour ca il faut faire l'effort de comprendre comment Windows marche.
          Sous Linux tu lis les howtos, pose des questions sur les forums, etc... faut faire la meme chose sous Windows, pas de miracle.

          Exact.
          Tout ordinateur (tout OS) doit être un minimum maintenu et protégé. Contrairement à ce qu'essaie de nous faire croire certaines pubs, l'utilisation d'un ordinateur n'est pas intuitive : l'homme _doit_ s'adapter à son environnement informatique et il doit appréhender quelques notions pour l'exploiter dans de bonnes conditions, en particulier quand l'ordinateur est connecté à la jungle Internet (qu'est-ce qu'un virus,un vers, un pare-feu, un service ...).
          Indépendamment de l'OS...

        • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

          Posté par  . Évalué à 3.

          "Si justement, il y a 36 solutions, mais pour ca il faut faire l'effort de comprendre comment Windows marche.
          Sous Linux tu lis les howtos, pose des questions sur les forums, etc... faut faire la meme chose sous Windows, pas de miracle."

          Moi ça me fait rire de te lire à chaque fois débiter ce genre d'âneries.

          Tu es certainement très câlé, ton niveau de connaissance Windows/Linux paraît être même élevé, mais je ne comprends pas pourquoi tu t'obstines à raconter ce genre de "conneries" qui au final ne font que de te déservir. C'est un peu comme l'histoire de ton bouquin qu'il suffit de lire pour comprendre Windows et ne plus avoir de problèmes.

          Ca fait 15 ans que je bouffe du Microsoft à toutes les sauces, alors t'écouter balancer ce genre d'absurdités, ça finit par passer difficilement !

          J'ai connu l'époque des DOS 3.x, DOS 4 (mouarf), l'épopée des DOS 6.2/6.21 (magnifique de vendre un produit avec moins de fonctionnalités comme une mise à jour, encore plus fort de le vendre). Je passe sur Win3x. J'ai connu la merde inommable qu'était Windows 95, puis OSR1, OSR2, OSR2.5, les écrans bleus à l'installation sur les processeurs K6-2, les plantages sur le fait de taper l'adresse "c:/con/con" dans démarrer/exécuter. J'ai eu affaire à Windows 98 et sa gestion problèmatique de l'USB, puis à 98SE et ses plantages sur les disques durs de grande capacité, sans compter le fait qu'au delà d'une certaine quantité de mémoire, le système se vautre. Est venu ensuite Windows Me, une merde incomparable, le plug and play des WC pour ainsi dire, tu t'assieds devant et c'est parti pour toute une chiassée de plantages et autres fonctionnement ératiques et aléatoires. J'ai aussi tâté du Windows NT4.0 TSE, et toutes ses merdes avec la gestion des imprimantes en multi-user (ahhh ça j'ai aimé !!! que de temps de ma vie gâché là dessus, combien d'incompétents Microsoft au bout du fil pendant des journées entières...)... Je vais m'arrêter là, parce qu'avec Windows 2000 et Windows XP, il y a eu du progrès, mais entretemps, mon intérêt pour ces systèmes a disparu...

          Si pour moi l'informatique devait aujourd'hui se résumer à Microsoft, je crois que je préfèrerais encore m'acheter une petite ferme dans un coin de campagne paumé et vivre du produit de ma terre loin de toute cette chienlit numérique.

          S'il suffisait de lire un bouquin pour tout savoir de Windows, ça se saurait, et si les pannes et le fonctionnement de Windows étaient logiques, ben y a longtemps qu'il n'y en aurait plus, parce que plus de 90% du marché mondial depuis plus de 10% pour finalement n'avoir encore que ce truc infâme qu'est Windows, ça fout les boules quand même...

          Pour en revenir au fait qu'il n'y ait pas de miracles quand à la lecture des how-tos et autre, ben, sous Linux, ça ne me gêne pas de me taper des heures de recherche pour résoudre un problème, parce que jusqu'à présent, je n'ai rien trouvé d'illogique dans la résolution de mes problèmes Linux, contrairement à ceux rencontrés avec Windows dont la résolution relève désormais de pratiques shamaniques.

          Désolé d'être cru, mais je viens de perdre 2 heures de ma nuit sur une merde intimmement liée à un gros bug de Windows, alors évidemment, ça conditionne pas mal !

          • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

            Posté par  . Évalué à 1.

            petite correction :

            "plus de 90% du marché mondial depuis plus de 10 ans"

          • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

            Posté par  . Évalué à 1.

            S'il suffisait de lire un bouquin pour tout savoir de Windows, ça se saurait, et si les pannes et le fonctionnement de Windows étaient logiques, ben y a longtemps qu'il n'y en aurait plus, parce que plus de 90% du marché mondial depuis plus de 10% pour finalement n'avoir encore que ce truc infâme qu'est Windows, ça fout les boules quand même...

            Moi je te propose de reflechire 2 secondes :

            Windows fait de la magie ? Non, c'est du langage C compile, comme Linux.
            Un bug ca se trouve de la meme maniere sous Windows et Linux quand on connait l'architecture, ce n'est qu'un soft, rien d'illogique la dedans, un ordinateur ca fait pas des truc aleatoires.

            Pour en revenir au fait qu'il n'y ait pas de miracles quand à la lecture des how-tos et autre, ben, sous Linux, ça ne me gêne pas de me taper des heures de recherche pour résoudre un problème, parce que jusqu'à présent, je n'ai rien trouvé d'illogique dans la résolution de mes problèmes Linux, contrairement à ceux rencontrés avec Windows dont la résolution relève désormais de pratiques shamaniques.

            Bref, tu dis que tu veux pas chercher a comprendre car c'est illogique.
            Tu prends le probleme a l'inverse, tu crois que c'est illogique car tu comprends pas.

      • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

        Posté par  . Évalué à 1.

        Il faut installer un firewall avant de se connecter à Internet, ca me semble assez simple comme première règle de sécurité. C'est la première chose à installer juste après windows, avant même les patchs de sécurité.

  • # Re: Nouvelle variante de Blaster qui déchire tout !

    Posté par  . Évalué à 2.

    Nettoyage de virus a partir d'un LiveCD, c par ici:
    http://www.isrec.isb-sib.ch/~agrosdid/projects/antemium/index.html(...)

  • # Re: Nouvelle variante de Blaster qui déchire tout !

    Posté par  . Évalué à 1.

    dans les trois réinstall de son windows, il est pas venu une fois à l'esprit de ton petit frère qu'il aurait pu de désactiver le netbios pour sa connection internet ?
    il est en administrateur sous windows, ou ce virus arrive à faire tant de bordel en tant que simple utilisateur ? (y-a déjà plein de monde autour de moi à l'avoir eu)

    • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

      Posté par  (site web personnel) . Évalué à 0.

      il est en administrateur sous windows, ou ce virus arrive à faire tant de bordel en tant que simple utilisateur ?

      Si c'est Windows XP, il n'a pas vraiment la notion d'administrateur (je crois). Elle est présente sur XP pro.

      ... j'ai bon ?

    • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

      Posté par  (site web personnel) . Évalué à 2.

      Ce n'est pas par Netbios qu'on chope Blaster, mais par le port ouvert par le service RPC de Windows (port 135).

      Ce service ont peut pas l'arrêter car après il y a plein de trucs qui marchent plus comme l'a dit manchot (la recherche de fichier, le firewall etc...)

      Donc soit on installe un firewall pour filtrer le port 135, soit on désactive le support de TCP par le service (les programmse ont d'autres méthodes pour utiliser le service, et ça ne gêne pas le fonctionnement de Windows normalement). Mais la désactivation de TCP pour le service se fait par un petit utilitaire pas forcément évident à trouver et à utiliser pour un utilisateur "de base".

      Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment

    • [^] # Re: Nouvelle variante de Blaster qui déchire tout !

      Posté par  . Évalué à 2.

      Mon petit frère est déjà capable de s'installer sa machine tout seul, et de dépanner pour les petits problèmes la famille dans le coin.

      Cela dit, affronter un virus ou régler des problèmes plus avancé n'est pas à la portée de tout le monde.

      Au début, il a simplement cru que son numéro de série XP avait été interdit par Microsoft puisqu'à chaque fois qu'il faisait un Windows Update, ça le rebootait ! (sic !)

      Ensuite, sous Windows, lorsque tu viens d'installer, ton compte a les droits admin par défaut, et c'est à toi de faire les modifications nécessaire pour changer cela.

      Et sinon, j'ai déjà dépanné des Blaster and co qui n'était pas aussi teigneux, c'est bien pour cela que je précise qu'il s'agit d'une "méchante" variante :p (pou rinfo, les adresses ip qui menaient les connexions sur la machine hier venaient toutes du Japon et des Philippines)

  • # Re: Nouvelle variante de Blaster qui déchire tout !

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    pour eviter le reboot avec blaster, il suffisait pas de reculer l'horloge ?????

  • # Re: Quelques stats

    Posté par  . Évalué à 4.

    Tout d'abord, chose impressionnante, l'infection est très rapide, voire quasi instantanée
    Juste pour info, quelques chiffres extraits de mes logs IPTables (1 adresse IP publique, du 1er juin 2003 au 29 janvier 2004)
                       nombre d'accès au port 135/tcp
  an  | mois | total (*) | moyenne par jour (*) 
--------+----+---------+---------
 2004 |    1 |  3766 |     134
 2003 |   12 |  4382 |     141
 2003 |   11 |  3837 |     127
 2003 |   10 |  3732 |     120
 2003 |    9 |  3501 |     116
 2003 |    8 |  2495 |     138
 2003 |    7 |    14 |       1
    (*) on ne compte bien sûr qu'une seule fois chaque adresse IP source ; de plus on ne compte que les jours où il y a eu effectivement des accès au port 135/tcp. Il n'y en a pas eu en juin, quelques tentatives d'accès en juillet (essais "manuels" d'exploitation de la faille RPC ?), et enfin l'apparition de Blaster vers le 18 août. Notez qu'il n'y a pas d'IDS (Snort, Prelude,...) donc je ne peux pas être sûr à 100% que tous ces accès soient dus à Blaster, mais c'est très très probable...
    D'après les infos ci-dessus, il y a donc en moyenne 1 tentative d'accès de Blaster (ou d'une de ses variantes) toutes les 12 minutes sur une adresse IP donnée, ce qui fait qu'il y a 1 "chance" sur 12 d'être infecté dès la 1er minute de connexion (calculs à la louche, hein, c'est pas tout à fait exact d'un point de vue purement mathématique, mais bon, ça donne une assez bonne idée de la vitesse de propagation...).
    Pour en revenir au sujet, je n'ai pas l'impression qu'il y ait un grand changement dans la vitesse de propagation depuis août. Et comme il a déjà été dit plus haut, il ne faut pas brancher une machine non patchée et non protégée sur Internet (c'est valable quelque soit l'OS, bien sûr, mais à l'heure actuelle c'est d'autant plus vrai pour les OS de Microsoft).

  • # Re: Nouvelle variante de Blaster qui déchire tout !

    Posté par  (site web personnel) . Évalué à 1.

    Pour info c'est pas une nouvelle variante, les fichiers que tu cites sont sortis juste après le blaster original.
    Le créateur de teekids a même déjà été arrêté je crois.
    Personnellement quand j'installe une machine windows (bah oui personne n'est parfait) depuis l'apparition de blaster, je ne branche son cable réseau qu'une fois le firewall et le correctifinstallé. Et je télécharge le correctif anti blaster en bootant sur une Knoppix auparavant :-)

  • # Re: Nouvelle variante de Blaster qui déchire tout !

    Posté par  . Évalué à 1.

    aargh, c'est la première fois que je lis les journaux, et a chaque fois que j'en vois un de manchot ca s'enflamme :) C'était pour dire y'a 2 trucs contre blaster (pour finir l'install des patchs par ex) :

    * Démarrer > Exécuter : shutdown -a
    * Changer vite la date (à une date antérieure, genre 1 mois avant). Et là vous verrez que votre pc va s'éteindre dans 231907843 secondes lol.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.