Re: [HS] virus

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: Guilde Linux
Subject: Re: [HS] virus
    Bonsoir,

> Vendredi, je m'interesse rapidement a MS.Blaster et je fais quelques
> rapides stats de mon firewall.
> jusqu'au 10 aout, 1-5 tentatives de connections sur le port 135 /24h
> a partir du 11 : 1500 tentatives de ce genre.
>
> En gros ca fait plus de 1 toute les minute en moyenne, au vu de cela
> j'avartis les gens de mon labo de ne pas se connecter a internet de chez
> eux car leur ordi (lire M$ XP) n'est pas a jours, ils n'ont pas l'AV (a
> jours).


    J'ai lu un truc intéressant à ce sujet :
http://lists.insecure.org/lists/honeypots/2003/Jul-Sep/0071.html


    En bref, il s'agit d'un honeypot (port de miel) servant à attendre les 
connexions de machines XP contaminées par MSBlaster. Puis, on soigne le 
mal par le mal, en utilisant la même faille de sécurité que MSBlaster a 
utilisé pour se propager : Un buffer overflow sur le demon RPC qui 
tourne derrière le port 135, et qui permet d'accéder à un shell. Là, on 
lance quelques commandes pour supprimer le virus de la mémoire vive, du 
disque dur, et de la base de registre, et on reboot la machine...


    La technique est intéressante, mais assez "limite" au niveau éthique. 
D'autant qu'en détournant cette technique, on peut imaginer toute sorte 
d'utilisation moins pacifique : suppression des fichiers du disque dur, 
récupération des adresses email, etc...


                    Olivier