Les attaques réseaux par le virus Helkern IP

[@YvesJean01@]

J'aimerait assez débattre de ce virus qui possède du code malveillant il ce fait nommer HELKERN, il est assez vicieux, tout les anti-virus ne les bloques pas;

en tout cas il faut que votre anti-virus soit équipé de la protection en temps réel pour ètre protégé et qu'il reconnesse la signature.

il est assez dur a ciblé car il change d'IP constament,et de nombreuses machines sont infectées et ce traduise le plus souvent par un ralentissement de la connexion internet des machines voir un bloquage de la connexion logique par saturation, vous pouvez toujours monter les Kbs il sera toujours présent

alors qu'en est il de Helkern

[Jackwade]

Cette attaque n'est pas très grave, elle fait exécuter du code malveillant par l'intermédiaire d'envoi de paquets UDP spéciaux ce qui fait ralentir la connexion à internet. Ce virus date de 2002, je crois. Il doit avoir des variantes aujourd'hui.

Voici un lien pour ceux qui possèdent Kapersky.
_________________
Allez les Verts, c'est cette année ou jamais !!

[@YvesJean01@]

Dsl , ce n’est pas un virus mais un ver en ca base quoi que sont croisement a lieu ensuite, je prêche pas mes infos chez Kaspersky car il en font une synthèse cartésienne et ne tien pas en restez la c’est pourquoi j’ai opté pour un débat de fond

Visiblement ont est pas dans le courrant chez nous car j’ai été obligé du visualiser ces infos chez des confrère de l’autre cotés de la manche

J’ai noté que ce vers n'infecte pas des machines d'utilisateur mais les serveurs 2000 ou MSDE 2000 de Microsoft SQL.
Les utilisateurs peuvent seulement noter ce ver en raison de la lenteur de réseau tout possesseurs de ces serveur devrait donc avoir Kaspersky pour s’autocontrôler lolll

Le problème de font est qu’il produit des quantités massives de paquets de réseau, surchargeant leurs serveurs donc ralentissent le trafic de réseau, c’est le port 1434 de UDP (qui est un protocole simple) qui est affecté

Caractéristiques Techniques:

Le code de ver est 376 bytes en taille, Il existe seulement comme paquets de réseau et dans des processus courants sur les ordinateurs infectés donc ne s’écrit pas sur le disque des visiteurs.

Une fois que le ver a écrit sur le système vulnérable il obtient des adresse de certaines fonctions de système et commence avec une boucle infinie d’autre serveurs vulnérable sur Internet, voila donc pourquoi la solution simple pour un particulier reste géré de désactiver les attaques, quoi que le mot n’est pas juste car Kaspersky ne le désactive pas mais fait ignorer ces attaques aux yeux des utilisateurs particulier ce qui n’est pas la même chose et devrait le signifier plus explicitement dans leurs tutos.

En tout cas ce ver est éradiquable si vous avez un prob de server des adresses existes pour faire un p’tits nettoyage sélectif.

[blackduty]

Bonjour,

petite question, quel sont ces adresses pour le nettoyage sélectif

Je reçois depuis hier cette alerte.... comme par hasard, j'ai installé le nouveau kaspersky hier... l'ancien ne me faisait pas ça...

merci

[@YvesJean01@]

Bonjour,

Si tu na pas de serveur inhibe cette alerte de Kaspersky, dans l'autre cas je te donnerait un lien pour l'éradiqué

[blackduty]

Mon ordinateur ne sert pas en lui meme de serveur mais j'ai un forum net... n'y a t'il aucun risque que je contamine mon forum en utilisant les programmes client ftp (genre Filezilla)

[@YvesJean01@]

Le port sers au service MSSQL$UDDI vue que tu n’a pas de serveur pas de problème, par contre si tu rencontre ce problème sur ton site signale le a ton hébergeur, au besoin envoie lui ce lien de synthèse, mais il ce peut que ce soit ton F-A-I qui est le prob il ne faut pas les oubliers...

Tu peut faire une analyse de tes fichiers avec FixSQLex
Je ne mais pas de lien direct, recherche sont nom sur la liste et exécute le, a la fin de sont exécution tu aura les infos sur un fichier nommé « FixSqlex.log » que l’application va créer sous le même nom.

A la fin si u a le message “Your computer does not appear to be vulnerable” c’est que ton ordi n’est pas vulnérable tu peut don opter pour le blocage du message d’alerte sous Kaspersky

Voici pour les informations supplémentaires :

Pour les Administrateur ceux qui utilise Microsoft SQL Server 2000 Service Pack 2 ou inférieur voici un correctif lisez bien les annotations de Microsoft ou bien ce patch est compris dans le SP3 (service pack 3) et maintenant le SP4 (service pack 4) sous ce Lien

Dans tout les cas, si vous ne savez pas quelle action choisir faite un Update sur le Site Microsoft il ce chargera d’une mise a jour de votre système.

Ce ne sont que des mesure préventive de protection, ensuite il faudra l’éradiquer avec l’utilitaire que vous trouvez sous ce lien FixSQLex

Ont peut ce rendre compte qu’en faite Kaspersky n’est pas le seul a l’avoir ciblé car il existe aussi sous plusieurs alias dont voici la listes :

Sapphire (F-Secure)
Worm.SQL.Helkern (Kaspersky)
W32/SQLSlammer.worm (Mc Afee)
W32/SQLSlam-A (Sophos)
W32.SQLExp.Worm (Symantec)
WORM_SQLP1434.A (Trend Micro)

Nota : un grand merci au Site sécuriser.com et Symantec pour leur outil gratuit qui nous permette une avancée sur ce ver.

[blackduty]

Il semblerait qu'en activant le mode Furtif de Kaspersky, on evite les attaques réseaux. (en tout cas, je teste depuis hier et rien. Par contre dès que je désactive, c'est reparti pour un tour :))

[@YvesJean01@]

Oui, ont peut désactiver les alertes réseaux tout en concervant la protection en tant réel

[blackduty]

Apres avoir fait un petit coup d'avast, il semblerait que Kelkern ou SQLSlammer a réussi a infecter des fichiers (je les ai mis en quarantaine vu que je n'ai pas réussi a les réparer).

Le hic, c'est que le petit programme que tu m'avais donné a l'époque me dit que mon PC est protégé... des nouvelles sur les moyens de flinguer cette bestiole

PS: Je me sers d'easy php sur mon ordi, ça a peut etre un rapport.

[Jackwade]

Salut Blackduty, c'est pas Kelkern mais Elkern. Je t'ai trouvé un lien où tu peux télécharger des utilitaires qui sont spécifiques pour certains trojans, virus... Dans ton cas, tu peux essayer de télécharger stinger, klez, I-Worm Kit - clrav.

Par contre, pense à désactiver ta restauration système et même de lancer ses utilitaires en mode sans echec
_________________
Allez les Verts, c'est cette année ou jamais !!

[blackduty]

Je me base la dessus et je fais une superbe faute en passant

[blackduty]

[Jackwade]

Pour désactiver la restauration système, tu fais bouton droit sur poste de travail puis propriété, tu vas sur l'onglet "restauration du système" et tu décoches la case.

Pour le mode sans echec, tu redemarres windows et tu fais quelques F8 et tu vas voir un menu s'afficher et tu choisis mode sans echec.
_________________
Allez les Verts, c'est cette année ou jamais !!

[blackduty]

Mouais ! Bon avast a du fumer parce qu'aucun des 3 programmes ne l'a trouvé...

[@YvesJean01@]

J'ai pas tout compris la, pourquoi pense tu etre infecté

[blackduty]

Durant le petit controle anti-virus d'avast, ce dernier m'a annoncer que 4 fichiers etait infecté par win32sqlslammer.

Un exemple tiré du rapport d'avast

[@YvesJean01@]

Ca sen le SQL.

Pour te protéger active la protection résidente d’Avast tu ne devait pas l’avoir antérieurement ou bien en a tu une autres mal ou a reconfigurer, cette chose n’est pas très méchante rassure toi bon maintenant il te la fixé ce vers d’après ce que je comprend donc pas de souci si tu ne remarque pas d’instabilité durant une semaine, vire le de la 40eme.

En option : Rien ne t’empêche d’utiliser d’autre outil gratuit sous ce lien et au besoin faire un hijackthis au final, je te laisse visualiser
http://pc-informatique.net/forum/ftopic146-8-0-asc-.php

[blackduty]

Oui, j'avais deja utilisé un paquet de ces programmes gratuit
Mais je crois que je vais faire un petit coup hijackthis, histoire de finir le nettoyage :)
J'ouvrirais un petit topic a ce moment là