backdoor.bot smitfraud-c.gp serveur W2K et W2K3

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

totof

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par totof »

Encore moi... je déduis de ta réponse plus haut, que c'est un virus récent ? j'ai bien déduit ou pas ?
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par Malekal_morte »

Pour McAfee, je sais pas, c'est aléatoire, je peux pas te dire quand ils vont l'ajouter.


Sinon ton truc, c'est un simple processus qui se se charge sur la clef Run. Rien de vraiment exceptionnel.
Si tu charges qq chose à partir de la clef RunOnce, au démarrage de Windows ce sera executé avant, donc un charger un simple batch qui supprime le fichier et la charge un .reg qui nettoye la clef Run marchera mais si le PC est pas patché, il sera réinfecté aussitôt.

Par contre, tu peux faire qq chose, c'est modifier les permissions de ce msmsgs.exe et notamment enlever les droits en lecture/exécution.
Du coup.... au démarrage, popup "vous avez pas les droits lblablla", comme c'est un simple bot tout con... il aucun mécanisme pour éviter cela.

Voir cacls : http://support.microsoft.com/kb/162786/fr
Qq chose comme :
cacls C:\WINDOWS\system32\msmsgs.exe /P "Tout le monde":N
cacls C:\WINDOWS\system32\msmsgs.exe /P "SYSTEM":N
cacls C:\WINDOWS\system32\msmsgs.exe /P "Administrateurs":N
Par exemple à mettre dans un script de login du domaine et au prochain démarrage...

Du coup si tentative de réinfections, comme C:\WINDOWS\system32\msmsgs.exe est encore, impossible d'écrire dessus, tu devrais avoir la paix.
Quand les PC auront tous rebooter une fois, le SDBot ne sera plus actif sur le réseau normalement.

A tester quand meme sur un PC avant de lancer sur tous, histoire de voir comment ça réagit.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
totof

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par totof »

ok, encore merci (décidément), au fait en scannant avec a2cmd j'ai trouvé ça :

C:\Documents and Settings\admin_agr>E:\a2cmd\a2cmd.exe /m /quick

a-squared Command Line Scanner v. 4.0.0.29
(C) 2003-2008 Emsi Software GmbH - http://www.emsisoft.com

a-squared Command Line Scanner - Version 4.0
Last update: N/A

Scan settings:

Objects: Memory, Traces, Cookies
Scan archives: Off
Heuristics: Off
ADS Scan: Off

Scan start: 08/01/2009 20:58:04

c:\winnt\system32\msmsgs.exe detected: Trace.File.SmitFraud!A2
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par Malekal_morte »

ouaip mais il va revenir si le PC pas patché est sur le réseau,
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
totof

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par totof »

Malekal_morte a écrit :ouaip mais il va revenir si le PC pas patché est sur le réseau,
Ben de toute façon, il est pas parti... ça ne fait que le détecter.
Visiblement, avec le patch que j'ai cité (ou la mise à jour que tu m'as donné) plus désinfection, ça n'a pas l'air de revenir (pour l'instant du moins)... donc je vais patcher mes serveurs à la main + script pour virer la page ie par défaut + gpo pour désactiver msmsgs.exe. Pour les PCs, on verra avec le wsus...
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par Malekal_morte »

oki.
Bon courage! PDT_001
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par Malekal_morte »

McAfee l'a ajouté :
Avert™ Sample Analysis

McAfee Avert™ Labs, Automation

Thank you for submitting your suspicious file(s). We have determined that the following submissions are handled by our AV signature DAT files.

Analysis Id: 5057653
--------------------

File Name Findings Detection Type
========= ======== ========= ====
msmsgs.exe detected generic.dx trojan

Analysis Id: 5057680
--------------------

File Name Findings Detection Type
========= ======== ========= ====
msmsgs.exe detected generic.dx trojan


DAT version 5490 provides cover against all of the submissions shown above.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
totof74

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par totof74 »

Bonjour Malekal,

Ce petit post, pour te remercier du coup de main.

Effectivement j'ai vu le lendemain que McAfee avait ajouté le virus. C'est la première fois dans ma carrière d'informaticien que je rencontre un virus "nouveau" (ou plutôt non référencé par l'antivirus), jusqu'à maintenant, j'étais toujours tombé sur des pc non protégés ou avec un AV pas à jour.

Pour info, le patch KB958644 de Microsoft a provoqué sur un de nos serveurs (windows 2000 SP4) des problèmes de communication réseaux sur une application de laboratoire (Empower 1 de la société WATERS)... Nous sommes en train de voir ça avec l'éditeur, car de toute façon nous ne pouvons pas prendre le risque de rester "non patché", cela est probablement lié au matériel, surement des drivers des cartes réseaux.

Pour ce qui est du problème de virus, j'avais fini par le résoudre en scriptant le kill des process / la suppression des clefs de registre et des fichiers infectés en VBS au logon des machines, + GPO pour bloquer les "exe" comme nous en avions discuté. Maintenant avec McAfee à jour, je souffle un peu !

Ca fait un bail que je parcours le web, les forums, etc... C'est la première fois que j'ai des réponses aussi rapides et aussi pertinentes. Félicitations pour tout le boulot que tu fais ici.
Ce forum, si ce n'est déjà fait, devrait être déclaré d'utilité publique.
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par Malekal_morte »

Pour info, le patch KB958644 de Microsoft a provoqué sur un de nos serveurs (windows 2000 SP4) des problèmes de communication réseaux sur une application de laboratoire (Empower 1 de la société WATERS)... Nous sommes en train de voir ça avec l'éditeur, car de toute façon nous ne pouvons pas prendre le risque de rester "non patché", cela est probablement lié au matériel, surement des drivers des cartes réseaux.
Certainement une des raisons pour laquelle vous patchiez pas.

Mais au final, c'est bien que vous patchiez surtout MS08-067 et Win32/Conficker qui fait parler de lui.

Ce que je veux dire c'est que d'un certains côtés vous avez de la chance c'est une "simple" SDBot (je veux dire un simple processus) qui ne fait pas d'énormes modifications sur le système et simple à supprimer (pas comme les rootkits etc) et à bloquer (le nom n'est pas aléatoire).
Vous avez aussi bloqué le C&C du coup, rien d'autre n'a été téléchargé.

Enfin ça prend quand même du temps quand c'est le réseau entier qui est infecté.
Vaut mieux prévenir que guérir.
Dans 6 mois tu en rigoleras lol.

Sinon merci pour les compliments.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par Malekal_morte »

Encore une nouvelle exploitable à distance : http://forum.malekal.com/viewtopic.php?f=12&t=16642
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
totof74

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par totof74 »

Oui, pour le temps passé, c'est particulièrement impressionnant !
Si on compte : la recherche du problème initial, les renseignements sur le net, les scripts / gpo, etc... la corrections des problèmes qui découlent du virus, la gestion des appels d'utilisateur, la communications aux utilisateurs et a la hiérarchie, les autres tâches à gérer...Il m'a fallu, près de 4 jours (fortement majoré dû à notre problème de patch sur le serveur dont je parlais).
Pour 200 machines et 25 serveurs.

Sinon pour le problème de patch, disons que ce n'est pas spécifiquement à cause de ce KB qu'on ne patchais pas, mais à cause des risques potentiels (comme celui qu'on a eu) qui peuvent découler des patchs. L'editeur à certifié que son soft fonctionne avec le patch (j'avais vérifié avant de le passer) : ils testent systématiquement toutes les MAJ Microsoft sur tous les systèmes, mais en l'occurrence, je pense que ça vient plus d'un problème de driver sur le serveur.

Merci pour l'info sur la nouvelle maj critique ! Je crois que je vais venir régulièrement chez toi à partir de maintenant : ;)
Malekal_morte
Messages : 115631
Inscription : 10 sept. 2005 13:57

Re: backdoor.bot smitfraud-c.gp serveur W2K et W2K3

par Malekal_morte »

Totof74 a écrit :Sinon pour le problème de patch, disons que ce n'est pas spécifiquement à cause de ce KB qu'on ne patchais pas, mais à cause des risques potentiels (comme celui qu'on a eu) qui peuvent découler des patchs.
C'est ce que je sous entendais.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »