Bonsoir,
> Vendredi, je m'interesse rapidement a MS.Blaster et je fais quelques
> rapides stats de mon firewall.
> jusqu'au 10 aout, 1-5 tentatives de connections sur le port 135 /24h
> a partir du 11 : 1500 tentatives de ce genre.
>
> En gros ca fait plus de 1 toute les minute en moyenne, au vu de cela
> j'avartis les gens de mon labo de ne pas se connecter a internet de chez
> eux car leur ordi (lire M$ XP) n'est pas a jours, ils n'ont pas l'AV (a
> jours).
J'ai lu un truc intéressant à ce sujet :
http://lists.insecure.org/lists/honeypots/2003/Jul-Sep/0071.html
En bref, il s'agit d'un honeypot (port de miel) servant à attendre les
connexions de machines XP contaminées par MSBlaster. Puis, on soigne le
mal par le mal, en utilisant la même faille de sécurité que MSBlaster a
utilisé pour se propager : Un buffer overflow sur le demon RPC qui
tourne derrière le port 135, et qui permet d'accéder à un shell. Là, on
lance quelques commandes pour supprimer le virus de la mémoire vive, du
disque dur, et de la base de registre, et on reboot la machine...
La technique est intéressante, mais assez "limite" au niveau éthique.
D'autant qu'en détournant cette technique, on peut imaginer toute sorte
d'utilisation moins pacifique : suppression des fichiers du disque dur,
récupération des adresses email, etc...
Olivier
