Les exe attaqués par Win32.Sality

randriano · 03/03/2010, 11h39

Bonjour,

Je suis le nouveau recru d'une boîte de dév et bizarrement mon AV détecte des centaines de fichiers infectés dans mes dossiers partagés sous WINDOWS XP

Le plus bizarre c'est que ma clé USB et mon DD portable se trouvent partagés à mon insu. Comment un virus arrive à faire cela? Son infection consiste à infecter les fichiers XP

Mon but c'est de discuter sur ce virus car il y a peu d'info sur le net

kovrov · 03/03/2010, 15h32

Salut,
Y’a 2 mois que j’avais le même problème avec ce mauvais virus, c’est vraiment dangereux il infecte tous les .exe et rien ne marche plus, mais ne t’inquiète pas y’a une solution pour ça.
fais attention ton antivirus peut supprimer les fichiers infectés s’il ne peut pas les désinfecter.
Alors la seule méthode que j’ai trouvé c’était un removal rmslt.exe sur le site d’AVG (2.7 MB) il désinfecte tout les fichiers touchés par ce virus.
bonne chance

kovrov · 03/03/2010, 15h38

je l'ai telecharger de ce lein: http://www.avg.com/in-en/virus-removal

homeostasie · 09/03/2010, 12h09

Citation:

Envoyé par randriano

Le plus bizarre c'est que ma clé USB et mon DD portable se trouvent partagés à mon insu. Comment un virus arrive à faire cela? Son infection consiste à infecter les fichiers XP

Je ne pense pas que cela soit spécifique à XP. D'autre part, juste comme cela des fichiers XP, ca ne veut pas dire grand chose. ;-)
Ce virus s'attaque aux fichiers .scr et .exe.

Citation:

Envoyé par www.microsoft.com/security

Virus:Win32/Sality is a family of polymorphic file infectors that target Windows executable files with extensions .SCR or .EXE. They may execute a damaging payload that deletes files with certain extensions and terminates security-related processes and services.

Le lien en question, dans un premier temps, pour un complément d'information:
http://www.microsoft.com/security/po...Win32%2fSality

EDIT: Un autre lien qui explique la propagation sur support amovible -> http://www.avertlabs.com/research/bl...ovable-drives/

0x44-0x43-0x53-0x43 · 18/03/2010, 10h57

Quelque mots sur le fonctionnement de ce vers.

L'infection des fichiers ce fait par un procédé d'injection ou autrement appeler ( bind ) , il va chercher tout les fichiers exécutable du disque ( .exe , .scr , .bat , .com ) et injecter chaque application qui ne sont pas en cours d'utilisation dans un stub génère qui contiendra le virus et l'exécutable qui fus remplacer .
Donc lorsque vous allez exécuter un exe ( notepad , calc , write ) par exemple les deux ressources ( virus et programme original ) vont se lancer en mémoire sans même s'inscrire sur le disque uniquement a partir du flux ressource.

hint : pour la recherche de fichier il utilise un simple FindNext...FindClose en balayant la totalité des disques qu'il détecte au préalable.
Pour la propagation USB c'est un jeu d'enfant , il va hooker un message qui lorsqu'un nouveau média va se connecter au port USB va éditer ou crée un fichier autorun.inf qui contiendra une section de lancement automatique , et bien sur le virus autocopie sur la clé pour être lancer automatiquement par le fichier autorun.inf.

Enfin en programmation il est très simple de forcer un partage de média qui par la suite est utilisé pour partager les ressources sur le réseaux ou même les axe de p2p (peer to peer).

randriano · 19/03/2010, 09h15

Merci pour l'explication

Citation:

Envoyé par randriano

Le plus bizarre c'est que ma clé USB et mon DD portable se trouvent partagés à mon insu. Comment un virus arrive à faire cela? Son infection consiste à infecter les fichiers XP

En fait, il semble que cela n'avait rien avoir avec le ver, c'est que le lecteur F: était partagé avant moi, dès que j'ai mis la clé, c'est partagé. Je ne sais pas si c'est vrai

pi-2r · 27/03/2010, 11h05

Bonjour,

j'ai lu dans le dernier n° de MISC, que le vers réside en en mémoire pour pouvoir se propager.
Il possède un système d'auto protection pour éviter que les processus infectés ne se termine.
Par la même occasion, il désactive le gestionnaire des taches (par le biais de la base de registre) ainsi que que la base de registre et les clé qui permettent a l'ordinateur de redémarrer en mode sans échec.....

03/03/2010, 11h39	#1
randriano Membre chevronné Rija Randriano Inscription : janvier 2007 Messages : 960 Détails du profil Informations personnelles : Nom : Rija Randriano Localisation : Madagascar Informations forums : Inscription : janvier 2007 Messages : 960 Points : 712 Points : 712	Les exe attaqués par Win32.Sality Bonjour, Je suis le nouveau recru d'une boîte de dév et bizarrement mon AV détecte des centaines de fichiers infectés dans mes dossiers partagés sous WINDOWS XP Le plus bizarre c'est que ma clé USB et mon DD portable se trouvent partagés à mon insu. Comment un virus arrive à faire cela? Son infection consiste à infecter les fichiers XP Mon but c'est de discuter sur ce virus car il y a peu d'info sur le net __________________ randriano.dvp.com
	00

03/03/2010, 15h32	#2
kovrov Nouveau Membre du Club Inscription : mars 2007 Messages : 133 Détails du profil Informations forums : Inscription : mars 2007 Messages : 133 Points : 32 Points : 32	Salut, Y’a 2 mois que j’avais le même problème avec ce mauvais virus, c’est vraiment dangereux il infecte tous les .exe et rien ne marche plus, mais ne t’inquiète pas y’a une solution pour ça. fais attention ton antivirus peut supprimer les fichiers infectés s’il ne peut pas les désinfecter. Alors la seule méthode que j’ai trouvé c’était un removal rmslt.exe sur le site d’AVG (2.7 MB) il désinfecte tout les fichiers touchés par ce virus. bonne chance
	00

03/03/2010, 15h38	#3
kovrov Nouveau Membre du Club Inscription : mars 2007 Messages : 133 Détails du profil Informations forums : Inscription : mars 2007 Messages : 133 Points : 32 Points : 32	je l'ai telecharger de ce lein: http://www.avg.com/in-en/virus-removal
	00

18/03/2010, 10h57	#5
0x44-0x43-0x53-0x43 Membre régulier Développeur informatique Inscription : septembre 2009 Messages : 164 Détails du profil Informations personnelles : Localisation : France Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : septembre 2009 Messages : 164 Points : 86 Points : 86	Quelque mots sur le fonctionnement de ce vers. L'infection des fichiers ce fait par un procédé d'injection ou autrement appeler ( bind ) , il va chercher tout les fichiers exécutable du disque ( .exe , .scr , .bat , .com ) et injecter chaque application qui ne sont pas en cours d'utilisation dans un stub génère qui contiendra le virus et l'exécutable qui fus remplacer . Donc lorsque vous allez exécuter un exe ( notepad , calc , write ) par exemple les deux ressources ( virus et programme original ) vont se lancer en mémoire sans même s'inscrire sur le disque uniquement a partir du flux ressource. hint : pour la recherche de fichier il utilise un simple FindNext...FindClose en balayant la totalité des disques qu'il détecte au préalable. Pour la propagation USB c'est un jeu d'enfant , il va hooker un message qui lorsqu'un nouveau média va se connecter au port USB va éditer ou crée un fichier autorun.inf qui contiendra une section de lancement automatique , et bien sur le virus autocopie sur la clé pour être lancer automatiquement par le fichier autorun.inf. Enfin en programmation il est très simple de forcer un partage de média qui par la suite est utilisé pour partager les ressources sur le réseaux ou même les axe de p2p (peer to peer).
	00

27/03/2010, 11h05	#7
pi-2r Rédacteur Inscription : juin 2006 Messages : 1 385 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 385 Points : 2 215 Points : 2 215	Bonjour, j'ai lu dans le dernier n° de MISC, que le vers réside en en mémoire pour pouvoir se propager. Il possède un système d'auto protection pour éviter que les processus infectés ne se termine. Par la même occasion, il désactive le gestionnaire des taches (par le biais de la base de registre) ainsi que que la base de registre et les clé qui permettent a l'ordinateur de redémarrer en mode sans échec..... __________________ Les pièges de l'Internet Helix, réponse à une intrusion [ Pas de questions techniques en MP ] "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius "Si j’ai vu si loin, c’est que j’étais monté sur des épaules de géants." Isaac Newton
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email