DCOM Exploit !?!?!?

Questions, trucs, astuces, coup de pouce sur le vaste thème du réseau...
Installation, configuration, partage, WiFi, CPL, dépannage, les libelluliens sont prêts à vous aider.

Modérateur: Modérateurs

DCOM Exploit !?!?!?

Messagepar Mr_Finest » 27 Avr 2006 09:00

Bonjour à tous..

Hier soir il m'est arrivé qqch d'inhabituel.

J'étai sur le net quand tout a coup Avast home scan à l'accès (bouclier réseau) me signale ceci :

"DCOM EXPLOIT" bloqué attaque de **.***.**:135/tcp (si jamais les étoiles représente une ip).

Je me dis c'est bon pas de souci avast l'a bloqué mais le message est réapparu plusieurs fois sans posé de problème pour autant il me semble.

Ce qui m'a paru bizarre c'est que ce fichier DCOM se trouve dans Windows\system et dans I386 alors j'aimerai savoir si il faut que je m'inquiète ou pas.

Je précise que j'étai connecté à un reseau sans fil non sécurisé...

Et il possible d'avoir une localisation de l'adresse ip sur une carte avec l'adresse du bâtiment par hasard ?

Car si sa recommence j'aimerai m'informé sur cette personne sans arrière pensée bien sur...
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar letal » 27 Avr 2006 10:16

hello,

le port 135 est un port courant pour les attaques je crois.

j'utilise aussi avast, mais je n'ai pas eu encore ce type d'attaque :-D
letal
Libellulien Junior
Libellulien Junior
 
Messages: 339
Inscription: 02 Sep 2005 13:40

Messagepar Mr_Finest » 27 Avr 2006 10:27

ok..

Mais comment faire pour bloquer ce port ???

J'utilise Kerio personal firewall et avast home..

Y'a t'il une solution avec un de ces deux programmes ?
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar Mr_Finest » 27 Avr 2006 10:40

Je suis tombé sur deux liens intéressant.

Si jamais pour ceux que sa intéresse les voici :

http://securis.info/securis/ker/

http://www.zebulon.fr/articles/protectionPC_1.php

Je pense qu'avec cela je devrai pouvoir faire qqch.

Si vous avez déjà une soluce je suis quand même preneur...
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar Mr_Finest » 27 Avr 2006 10:50

Apparement c'est un sujet déjà bien couvert sur le net

J'ai trouvé ceci de la par de Symantec, même si je n'aime pas leur produit ce détail technique est bien fais pour ma part :

En raison du nombre décroissant de virus soumis, Symantec Security Response a réévalué cette menace qui passe du Niveau 4 au Niveau 3 à partir du 8 octobre 2003.

W32.Blaster.Worm est un ver qui exploite la vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité de Microsoft MS03-026 en utilisant le port TCP 135. Le ver ne vise que les machines exécutant Windows 2000 et Windows XP. Les machines Windows NT et Windows 2003 Server sont vulnérables à l'exploitation mentionnée plus haut (si le correctif n'a pas été appliqué aux machines), cependant, le ver n'est pas codé pour se dupliquer sur ces systèmes. Ce ver tente de télécharger le fichier msblast.exe dans le répertoire %WinDir%\system32 puis essaie de l'exécuter. Ce ver n'a pas de fonctionnalité d'envoi en masse de courrier électronique.

Des informations complémentaires, ainsi que l'adresse d'un site sur lequel vous pouvez télécharger le correctif Microsoft, sont disponibles dans l'article de Microsoft intitulé What You Should Know About the Blaster Worm and Its Variants.

Nous conseillons aux utilisateurs de bloquer l'accès au port TCP 4444 au niveau du firewall, puis de bloquer les ports suivants, s'ils n'utilisent pas les applications énumérées :

* Port TCP 135, "DCOM RPC"
* Port UDP 69, "TFTP"


Le ver tente également de réaliser une attaque de type déni de service (DoS) sur Windows Update. Cette attaque vise à vous empêcher d'appliquer un correctif sur votre ordinateur afin de vous protéger contre la vulnérabilité DCOM RPC.

Cliquez ici pour en savoir plus sur la vulnérabilité que ce ver exploite et pour connaître les produits Symantec qui peuvent vous aider à limiter les risques causés par cette vulnérabilité.

Remarque : Cette menace sera détectée par les définitions de virus avec :

* Defs Version: 50811s
* Sequence Number: 24254
* Extended Version: 8/11/2003, rev. 19

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Blaster.Worm.

Webcast W32.Blaster.Worm
Ce webcast détaille les stratégies destinées à limiter et à remédier à l'attaque de déni de service et offre également une description complète de l'attaque.

http://enterprisesecurity.symantec.com/ ... bcastid=63

Security Response propose des informations complémentaires destinées aux administrateurs réseau, afin de les aider à détecter sur leur réseau les machines infectées par W32.Blaster.Worm. Pour en savoir plus, veuillez consulter le document intitulé Detecting traffic due to RPC worms.

Egalement appelé : W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]

Type : Ver
Etendue de l’infection : 6 176 octets



Systèmes affectés : Windows 2000, Windows NT, Windows Server 2003, Windows XP
Systèmes non affectés : Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
Références CVE : CAN-2003-0352



Dommages

* Elément déclencheur : Si la date est le 16 du mois et ce jusqu'à la fin de ce mois si antérieur à août, et chaque jour à partir du 16 août jusqu'au 31 décembre.
* Charge utile : Réalise une attaque de type déni de service sur windowsupdate.com
o Provoque l’instabilité du système : Peut bloquer les machines.
o Compromet les paramètres de sécurité : Ouvre un shell distant cmd.exe caché.

Distribution

* Ports : TCP 135, TCP 4444, UDP 69
* Cible de l’infection : Machines exécutant des services DCOM RPC vulnérables.

détails techniques

Lorsque W32.Blaster.Worm s'exécute, il agit ainsi :

Il vérifie si un ordinateur est déjà infecté et si le ver s'exécute. Si c'est le cas, le ver n'infectera pas l'ordinateur une seconde fois.
Il ajoute la valeur :

"windows auto update"="msblast.exe"

à la clé de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


de façon à ce que le ver s'exécute lorsque vous démarrez Windows.
Il génère une adresse IP et tente d'infecter l'ordinateur possédant cette adresse. L'adresse IP est générée à partir des algorithmes suivants :
Dans 40% des cas, l'adresse IP générée prend la forme A.B.C.0, où A et B correspondent aux deux premières parties de l'adresse IP de l'ordinateur infecté.

C est également calculé en fonction de la troisième partie de l'adresse IP du système infecté ; cependant, dans 40% des cas, le ver vérifie si C est supérieur à 20. Si c'est le cas, une valeur aléatoire inférieure à 20 est soustraite à C. Une fois l'adresse IP calculée, le ver tentera de trouver et d'exploiter un ordinateur avec une adresse IP A.B.C.0.

Le ver incrémentera alors de 1 la partie 0 de l'adresse IP, et essaiera de trouver et d'exploiter d'autres ordinateurs en se basant sur la nouvelle adresse IP, et ce jusqu'à atteindre 254.

Avec une probabilité de 60%, l'adresse IP générée est entièrement aléatoire.
Il envoie des données sur le port TCP 135 pouvant exploiter la vulnérabilité DCOM RPC. Il envoie des données sur le port TCP 135 pouvant exploiter la vulnérabilité DCOM RPC. Le ver envoie un seul type de données sur deux pour exploiter soit Windows XP, soit Windows 2000.

Dans 80% des cas, il enverra des données pour Windows XP ; et dans 20% des cas, des données pour Windows 2000.
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar Falkra » 27 Avr 2006 13:46

Bonjour, c'est une attaque qu'un firewall doit configuré. Si le réseau n'est pas sécurisé, il faut le faire, et pour ne plus être embêté, un cuop de mises à jour windows update et ça repart.

Voici un outil qui ferme les ports couramment attaqués :
http://www.firewallleaktester.com/wwdc.htm
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar Mr_Finest » 27 Avr 2006 17:25

Merci Falkra pour le petit prog...

D'après lui tout est safety diseable...

Mais est ce que sa suffit ou il faut que je configure Kerio aussi ??

Après un scan avec A-squared il a trouvé ceci :

C:\Documents and Settings\mon nom d'utilisateur\Cookies\mon nom d'utilisateur@tradedoubler[1].txt

Sa me fait un peu flippé car il a mon nom de session... :?
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar Falkra » 27 Avr 2006 17:28

C'est un cookie, rien de bien méchant (ça stocke des préférences, ou des habitudes de surf, des paramètres comme la résolution). Parmi les spywares, le cookie est la chose la moins ennuyeuse.

Kerio, comme tout firewall a besoin d'être configuré un minimum (autoriser tel ou tel programme à accéder à internet, ou à ne pas y accéder, sinon ils peuvent se connecter librement, envoyer des données, etc...).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar Mr_Finest » 27 Avr 2006 17:37

Ok..

J'ai fais un scan supplémantaire avec hijackthis qui n'a rien trouver d'anormal.

Mon pare-feux est configuré pour les prog que j'utilise et en plus il me demande l'autorisation pour tout ce qui rentre et qui sort que je n'ai pas réglé.

Mais hier j'ai eu un avertissement de ce genre :

Alerte de connection entrante
Generic host process for win32

Et j'ai créer une règle qui l'autorise, pour qu'il arrête de tout le temps me demander ce que je dois faire..

Est ce que je devrai annuler cette règle ou c'est normal qu'il s'exécute ?
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar Falkra » 27 Avr 2006 17:42

Refuse, c'est une connexion depuis l'extérieur vers ta machine, et vois si ça pose problème, ce qui m'étonnerait.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar Mr_Finest » 27 Avr 2006 18:02

J'ai un léger problème.. :(

Apparement dans Kerio il ne s'appel pas comme je le pensai à savoir "Generic host process for win32".

J'ai fais toute ma liste de programme sans rien trouvé.

La seule indication que j'ai trouvé c'est dans le journal et il me dis ceci :

"ICMP redirect host <- in"

se serai possible qu'il change de nom comme ça ou c'est une autre application et je ne cherche pas le bon nom ??
Dernière édition par Mr_Finest le 27 Avr 2006 18:15, édité 2 fois.
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar Mr_Finest » 27 Avr 2006 18:09

J'ai une parti de mon poste qui disparait quand je l'envoi.

J'ai essayé de le rééditer mais ça n'a rien changé.
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar Mr_Finest » 27 Avr 2006 18:36

En cherchant sur le net j'ai trouver qu'il s'appelai "svchost.exe"

Certain forum disent que les virus s'en servent pour je ne sais quoi et sur d'autre forum il dise que c'est normal.

Il dise de faire la mise à jour critique de windows ce que j'ai fais en arrivant chez moi mais il parle aussi d'un patch qui se nomme "ke patch de microsoft" mais je pense au moins que windows update l'a fait ou je me trompe ?

Moi je ne m'y connais pas assez pour tout comprendre mais j'ai désactivé l'autorisation de son exécution cachée et je lui est dis de me posé la question.

Et je verai bien si il y a denouveau un message de kerio à propos de "generic host process for win32".
Avatar de l’utilisateur
Mr_Finest
Libellulien Junior
Libellulien Junior
 
Messages: 147
Inscription: 16 Aoû 2005 18:51
Localisation: Lausanne

Messagepar Falkra » 27 Avr 2006 21:33

SVCHOST est un processus générique, qui sert à lancer des services contenus
dans des DLL.

voici un post bien renseigné et plein de liens, plutôt que de les recopier, je te donne le lien vers le post : sur cette page
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1


Retourner vers Réseaux

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités