Voila le lien pour partager le fichier qui nous mis une tres grosse pagaille...
http://www.sendbox.fr/9fa3b33063d9180e/vivi1.rar
le mot de passe de l’archive dans l'archive est 123456
----- Original Message ----- From: "ay pierre" aypierre07@gmail.com To: frsag@frsag.org Sent: Tuesday, 1 September, 2015 09:12:33 Subject: [FRsAG] [tech] virus
Voila le lien pour partager le fichier qui nous mis une tres grosse pagaille...
http://www.sendbox.fr/9fa3b33063d9180e/vivi1.rar
le mot de passe de l’archive dans l'archive est 123456 _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour Pierre.
Outre le fait que tu recréé un thread pour te répondre à toi-même, il y a quelquechose qui me chagrine.
Donc ton fichier est un .exe, dans un .zip, dans un .rar protégé par mdp, dans un .rar protégé par mdp. Je suppose que tu fais ça pour éviter que n'importe qui qui pourrait tomber sur le fichier RAR soit plus ou moins bloqué (d'un côté, "123456", ça se passe facilement avec une attaque par dico...). Mais franchement, ça n'inspire pas confiance.
Pourrais-tu expliquer rapidement comment tu t'es retrouvé ennuyé par ce virus ?
Est-ce que c'est une machine infectée sur le réseau qui s'est retrouvée à chatouiller le firewall ou autre équipement réseau ?
Et biensûr, quels sont les symptômes rencontrés. Comme ça, si ça nous arrive, on aura déjà lu des infos sur ce virus.
Merci.
alors on ne sais pas comment il est arriver chez nous nous somme équipe de fortinet sur notre data center principal. Ce fichier .exe a etait exécuté sur une session en rds sans même savoir comment il est arrivé jusqu' a l’utilisateur le plus effrayant c'est qui bypass le fait que l'utilisateur ne peux même pas executé de .exe dans une session rds autre que ce autorisé par gpo
les symptôme il remplace tout les extensions pdf mdb doc xls txt zip en .abc il ajoute un page html au menu demander pour payer une rançon . Dans un environnement rds comme le mien il aussi touchez toutes les ressources réseau dont l'utilisateur a le droit .( on a quasi fini la restauration des donnés jusqu’à très tôt ce matin 4h)
Pour le moment le forti client est a jour et permet de mettre en quarantaine le .exe et de l’empêchez de s’exécuter... il exploite selon les export sophos une faile 0 day (mais la quelle ? ) pas plus d'info je vous joint aussi le le lien de la signature http://www.fortiguard.com/encyclopedia/virus/6875514
Moi aussi j'aimerai comprendre comment il est venue jusqu'a nous et comment il a pus ainsi bypass des droits ...
Viendrait il d'un site malveillant qui utilisent une faille dans le navigateur permettant de sur élevé les droits sur le la session? j'aimerai vraiment comprendre .
je reste sans réponse pour le moment c'est un serveur d'ou est partie l'infection un serveur rds pour session dans un environnement citrix, il a absolument declancher aucune erreur d'antivirus.
Je reste a votre disposition
Le 1 septembre 2015 10:33, Cyril Lavier cyril.lavier@davromaniak.eu a écrit :
----- Original Message ----- From: "ay pierre" aypierre07@gmail.com To: frsag@frsag.org Sent: Tuesday, 1 September, 2015 09:12:33 Subject: [FRsAG] [tech] virus
Voila le lien pour partager le fichier qui nous mis une tres grosse pagaille...
http://www.sendbox.fr/9fa3b33063d9180e/vivi1.rar
le mot de passe de l’archive dans l'archive est 123456 _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour Pierre.
Outre le fait que tu recréé un thread pour te répondre à toi-même, il y a quelquechose qui me chagrine.
Donc ton fichier est un .exe, dans un .zip, dans un .rar protégé par mdp, dans un .rar protégé par mdp. Je suppose que tu fais ça pour éviter que n'importe qui qui pourrait tomber sur le fichier RAR soit plus ou moins bloqué (d'un côté, "123456", ça se passe facilement avec une attaque par dico...). Mais franchement, ça n'inspire pas confiance.
Pourrais-tu expliquer rapidement comment tu t'es retrouvé ennuyé par ce virus ?
Est-ce que c'est une machine infectée sur le réseau qui s'est retrouvée à chatouiller le firewall ou autre équipement réseau ?
Et biensûr, quels sont les symptômes rencontrés. Comme ça, si ça nous arrive, on aura déjà lu des infos sur ce virus.
Merci.
Cyril "Davromaniak" Lavier KeyID 59E9A881 http://www.davromaniak.eu
Bonjour,
Je me permet d'intervenir dans cette discussion j'ai eu un soucis de ce genre avec un ransomware dans mon établissement.
La porte d'entrée de ce virus était un poste qui n'était pas à jour au niveau de Flash player, l'utilisateur a voulu consulter une vidéo sur le gaspillage alimentaire (chef de cuisine) et le virus s'est installé en tâche de fond discrètement.
Même symptôme à quelque différences près, isolation du poste et restauration des données depuis une sauvegarde.
La signature du virus avait a peine 24h, l'antivirus client et serveur ne le connaissaient pas.
Théoriquement la restriction d’exécution des executables préviens ce genre de virus, cela n'a pas suffit dans mon cas.
Bon courage.
Alexandre GAUVRIT Responsable Informatique Collège Saint-Jacques 85540 - Moutiers les Mauxfaits
Le 1 septembre 2015 10:46, ay pierre aypierre07@gmail.com a écrit :
alors on ne sais pas comment il est arriver chez nous nous somme équipe de fortinet sur notre data center principal. Ce fichier .exe a etait exécuté sur une session en rds sans même savoir comment il est arrivé jusqu' a l’utilisateur le plus effrayant c'est qui bypass le fait que l'utilisateur ne peux même pas executé de .exe dans une session rds autre que ce autorisé par gpo
les symptôme il remplace tout les extensions pdf mdb doc xls txt zip en .abc il ajoute un page html au menu demander pour payer une rançon . Dans un environnement rds comme le mien il aussi touchez toutes les ressources réseau dont l'utilisateur a le droit .( on a quasi fini la restauration des donnés jusqu’à très tôt ce matin 4h)
Pour le moment le forti client est a jour et permet de mettre en quarantaine le .exe et de l’empêchez de s’exécuter... il exploite selon les export sophos une faile 0 day (mais la quelle ? ) pas plus d'info je vous joint aussi le le lien de la signature http://www.fortiguard.com/encyclopedia/virus/6875514
Moi aussi j'aimerai comprendre comment il est venue jusqu'a nous et comment il a pus ainsi bypass des droits ...
Viendrait il d'un site malveillant qui utilisent une faille dans le navigateur permettant de sur élevé les droits sur le la session? j'aimerai vraiment comprendre .
je reste sans réponse pour le moment c'est un serveur d'ou est partie l'infection un serveur rds pour session dans un environnement citrix, il a absolument declancher aucune erreur d'antivirus.
Je reste a votre disposition
Le 1 septembre 2015 10:33, Cyril Lavier cyril.lavier@davromaniak.eu a écrit :
----- Original Message ----- From: "ay pierre" aypierre07@gmail.com To: frsag@frsag.org Sent: Tuesday, 1 September, 2015 09:12:33 Subject: [FRsAG] [tech] virus
Voila le lien pour partager le fichier qui nous mis une tres grosse
pagaille...
http://www.sendbox.fr/9fa3b33063d9180e/vivi1.rar
le mot de passe de l’archive dans l'archive est 123456 _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour Pierre.
Outre le fait que tu recréé un thread pour te répondre à toi-même, il y
a quelquechose qui me chagrine.
Donc ton fichier est un .exe, dans un .zip, dans un .rar protégé par
mdp, dans un .rar protégé par mdp. Je suppose que tu fais ça pour éviter que n'importe qui qui pourrait tomber sur le fichier RAR soit plus ou moins bloqué (d'un côté, "123456", ça se passe facilement avec une attaque par dico...). Mais franchement, ça n'inspire pas confiance.
Pourrais-tu expliquer rapidement comment tu t'es retrouvé ennuyé par ce
virus ?
Est-ce que c'est une machine infectée sur le réseau qui s'est retrouvée
à chatouiller le firewall ou autre équipement réseau ?
Et biensûr, quels sont les symptômes rencontrés. Comme ça, si ça nous
arrive, on aura déjà lu des infos sur ce virus.
Merci.
Cyril "Davromaniak" Lavier KeyID 59E9A881 http://www.davromaniak.eu
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour le liste ! Commencer par ne plus utiliser windows ca peut être bien comme début de solution, vraiment ! Sinon, je pars du principe que l'info que tu veux, tu ne l'auras j'amais complètement si tu ne vas pas la chercher toi même => http://repo.mynooblife.org/.priv8/Mag/Misc/Misc%2005.pdf (Ne pas se fier au nom du site, ce qui est important c'est le contenu ^^) A partir de la page 40: Analyse d'un vers par désassemblage. Très instructif et permet de récupérer quelques infos intéressante. Bon courage :)
----- Mail original ----- De: "ay pierre" aypierre07@gmail.com À: "Cyril Lavier" cyril.lavier@davromaniak.eu, frsag@frsag.org Envoyé: Mardi 1 Septembre 2015 10:46:08 Objet: Re: [FRsAG] [tech] virus
alors on ne sais pas comment il est arriver chez nous nous somme équipe de fortinet sur notre data center principal. Ce fichier .exe a etait exécuté sur une session en rds sans même savoir comment il est arrivé jusqu' a l’utilisateur le plus effrayant c'est qui bypass le fait que l'utilisateur ne peux même pas executé de .exe dans une session rds autre que ce autorisé par gpo
les symptôme il remplace tout les extensions pdf mdb doc xls txt zip en .abc il ajoute un page html au menu demander pour payer une rançon . Dans un environnement rds comme le mien il aussi touchez toutes les ressources réseau dont l'utilisateur a le droit .( on a quasi fini la restauration des donnés jusqu’à très tôt ce matin 4h)
Pour le moment le forti client est a jour et permet de mettre en quarantaine le .exe et de l’empêchez de s’exécuter... il exploite selon les export sophos une faile 0 day (mais la quelle ? ) pas plus d'info je vous joint aussi le le lien de la signature http://www.fortiguard.com/encyclopedia/virus/6875514
Moi aussi j'aimerai comprendre comment il est venue jusqu'a nous et comment il a pus ainsi bypass des droits ...
Viendrait il d'un site malveillant qui utilisent une faille dans le navigateur permettant de sur élevé les droits sur le la session? j'aimerai vraiment comprendre .
je reste sans réponse pour le moment c'est un serveur d'ou est partie l'infection un serveur rds pour session dans un environnement citrix, il a absolument declancher aucune erreur d'antivirus.
Je reste a votre disposition
Le 1 septembre 2015 10:33, Cyril Lavier cyril.lavier@davromaniak.eu a écrit :
----- Original Message ----- From: "ay pierre" aypierre07@gmail.com To: frsag@frsag.org Sent: Tuesday, 1 September, 2015 09:12:33 Subject: [FRsAG] [tech] virus
Voila le lien pour partager le fichier qui nous mis une tres grosse pagaille...
http://www.sendbox.fr/9fa3b33063d9180e/vivi1.rar
le mot de passe de l’archive dans l'archive est 123456 _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour Pierre.
Outre le fait que tu recréé un thread pour te répondre à toi-même, il y a quelquechose qui me chagrine.
Donc ton fichier est un .exe, dans un .zip, dans un .rar protégé par mdp, dans un .rar protégé par mdp. Je suppose que tu fais ça pour éviter que n'importe qui qui pourrait tomber sur le fichier RAR soit plus ou moins bloqué (d'un côté, "123456", ça se passe facilement avec une attaque par dico...). Mais franchement, ça n'inspire pas confiance.
Pourrais-tu expliquer rapidement comment tu t'es retrouvé ennuyé par ce virus ?
Est-ce que c'est une machine infectée sur le réseau qui s'est retrouvée à chatouiller le firewall ou autre équipement réseau ?
Et biensûr, quels sont les symptômes rencontrés. Comme ça, si ça nous arrive, on aura déjà lu des infos sur ce virus.
Merci.
Cyril "Davromaniak" Lavier KeyID 59E9A881 http://www.davromaniak.eu
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Salut,
Bonjour le liste ! Commencer par ne plus utiliser windows ca peut être bien comme début de solution, vraiment !
Oulà si tout le monde et les "gens" qui codent des trucs avec des machins proprio (aller : java, activex, ...) pouvaient coder des truc plus ouvert ça serait mieux. Suis le premier a dire : utilisez autre chose que Windows, et je suis usé par le fait que le "peuple" réfléchis avec ses pieds.
Bref, laisses-les s'emmerder avec des virus et utilises ton temps a faire des choses constructives.
(De mon coté quand on me demande "puisque tu es informaticien, tu peux me régler mon probleme <whatever> avec windows version <whatever> ?", ma réponse est "j'y connais rien je fais que du FreeBSD", simple et je passe un bon week-end et je ne perds pas de temps avec le PC vérolé de mon cousin, voisin, whatever).
Sinon, je pars du principe que l'info que tu veux, tu ne l'auras j'amais complètement si tu ne vas pas la chercher toi même => http://repo.mynooblife.org/.priv8/Mag/Misc/Misc%2005.pdf (Ne pas se fier au nom du site, ce qui est important c'est le contenu ^^) A partir de la page 40: Analyse d'un vers par désassemblage. Très instructif et permet de récupérer quelques infos intéressante. Bon courage :)
Très intéressant papier et magazine qui à l'époque ne devais pas intéresser beaucoup de monde (comme debug magazin, le virus infos...) hélas.
Xavier
-
Alexandre GAUVRIT -
ay pierre -
Cyril Lavier -
figuiere.clement@free.fr -
Xavier Beaudouin