Logo ToutWindows.com

WINDOWS, IIS ET LA SECURITE
 

             Sommaire :
Menu
Cette page aborde en détail les conséquences techniques des virus CodeRep et Nimda ainsi que des conseils pour réduire leur conséquences ou les éviter.
 
 Effets des virus CodeRed et NIMDA  

Le virus CodeRed affecte  les serveurs en surchargeant le processeur en remplaçant les pages HTML par une page contenant le message :
Welcome to http:// www.worm.com !
Hacked By Chinese!
puis il lance une requête web (ayant pour effet de surcharger le site) vers www.whitehouse.gov.
Ce virus se désactive ensuite mais laisse des "portes" ouvertes aux personnes mal intentionnées... 

Pour en savoir plus consultez le très complet site www.symantec.com notamment la page : http://securityresponse.symantec.com/avcenter/venc/data/codered.worm.html

Le virus NIMDA (nom complet : W32.Nimda.A@mm) se propage à la fois par e-mail mais aussi en scannant le réseau à partir d'un serveur infecté.

Celui ci remplace de nombreux fichiers sur les disques durs, infecte les pages HTM publiées et continue d'essayer d'infecter les autres serveurs et d'envoyer des mails.

Consultez http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html pour en savoir plus.

The CodeRed Worm affects Microsoft Index Server 2.0 and the Windows 2000 Indexing service on computers running Microsoft Windows NT 4.0 and Windows 2000 that run IIS 4.0 and 5.0 Web servers. The worm uses a known buffer overflow vulnerability contained in the file Idq.dll. Information about this vulnerability and a Microsoft patch is located at:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

NIMDA

The worm sends itself out by email, searches for open network shares, attempts to copy itself to unpatched or already vulnerable Microsoft IIS web servers, and is a virus infecting both local files and files on remote network shares

Précautions  

Mettre à jour les serveurs c'est bien, les protéger par anti-virus c'est bien aussi, avoir un firewall efficace très bien aussi mais avez vous songé à tous vos serveurs de fichier, impression, applicatifs qui ont IIS installé et fonctionnant sans que ceci soit justifié ? Arretez ou désinstallez donc les services inutiles sur chaque serveur (serveur www, serveur ftp, index service, ...)

Dépannages  

Les conseils qui suivent peuvent s'appliquer différemment suivant le contexte technique de votre entreprise, je ne garantit en rien leur fonctionnement dans votre entreprise.

1 - Le virus NIMDA s'appuie sur Outlook express : la plupart des PC d'entreprise n'en n'ont pas besoin, supprimez donc ce programme (en supprimant les fichiers exécutables, tout simplement)
2 - des fichiers sont placés en nombre sur les PC et les serveurs, les anti-virus savent les supprimer, mais un simple batch permet déjà d'en supprimer la plupart (attention ce batch ne remplace pas un anti-virus, il permet d'aller plus vite )

Voici un batch effectuant les deux opérations sous NT4 : (je vous conseille de rediriger les messages vers un fichier de log pour vérifier ce qui se passe)

@ECHO OFF
echo Nettoyage PC en cours.....
echo Ceci peut prendre quelques minutes, ne pas fermer la fenetre.
echo BY Laurent Gébeau http://wintech.free.fr
echo %COMPUTERNAME% - %USERNAME%
DEL "C:\Program Files\Outlook Express\*.EXE"
DEL C:\*.eml /s
DEL D:\*.eml /s
DEL C:\*.nws /s
DEL D:\*.nws /s
DEL C:\mep*.exe /s
DEL D:\mep*.exe /s

 
    
  Sommaire  |  Blog   |    www.MToo.net   |     Météo    |    Photos   |    Prestations    |    A propos  

   Retour accueil