Virus très gênant (aka MySql bot)

[Blini]

Bonsoir les gars du café.

Petit hors sujet, mais il paraît qu'ici on peut. Je me suis fait véroler mon PC, et apparemment par un truc pas beau: W32.Spybot.Worm.
Je l'ai repéré parce que j'avais un processus "spoolcll.exe" qui me bouffait presque 100% de mon CPU, et surtout, plus d'accès Internet (connexion toujours OK, mais les browsers moulinaient dans la semoule).

Ce qui est très étrange, c'est que Google ne m'a donné que 3 réultats pour la requête "spoolcll"... Des gars parlent de cette cochonnerie ici:
http://whirlpool.net.au/forum-replies.cfm?t=291921&p=1

Si vous avez plus d'infos, je suis preneur, même si pour le moment, il est neutralisé.

Ah au fait, VirusScan de MacAfee n'a rien vu.

Bonne nuit.
(non merci, pas de café à c't'heure-ci)

[Grantome]

Ahhhh les fameux SpyBot....

Ce sont des fichiers que l'on exécute malencontreusement soit à travers la pièce jointe d'un mail, ou un fichier récupéré via P2P qui lance ce ver.

Il ne fait rien de grave si tu à un firewall bien configurer.
Son boulot est d'espionner les acces clavier et de les envoyer.

VirusScan connait ces types de vers, tu as donc un soucis du coté de ton AV.

Pour le virer, il existe des méthodes chez tous les editeurs d'AV.

[vpx]

Quand le truc vient de sortir, Les antivirus ne le reconnaissent pas forcement... J'ai eu l'honneur il y a quelques mois "d'inaugurer" un nouveau malware, et ca fait bizarre de voir que personne ne connait le problème sur Google. Cela dit, ca se diffuse vite... Au bout de quelques jours, des milliers de PC sont touchés et les editeurs d'antivirus sortent les mises à jour.
Je recommande Spysweeper, ou HijachThis (pour les utilisateurs avertis, ce dernier). Ils sont generalement plus performant que les plus connus.

[e-kiwi]

>> VirusScan de MacAfee n'a rien vu.

ben oui, utilise un vrai antivirus kaspersky, avk, ...

[Blini]

Code: Tout sélectionner

                             _________________
                            |                 |
                   /|  /|   |    Please do    |
                   ||__||   |       NOT       |
                  /  (O(O\__|    feed  the    |
                 /          \      Troll      |
                /      \     \                |
               /   _    \     \_______________'
              /    |\____\     \     ||
             /     | | | |\____/     ||
            /       \|_|_|/  \      _||
           /   / \            |____/ ||
          |   |   | /|        |      --|
          |   |   |//         |_____ --|
   * _    |  |_|_|_|          |     `-'
*-- _--\ _ \     //           |
  /  _     \\ _ //   |        )
*  /   \_ /- | -     |       /
  *          c_c_c_C/ \C_c_c_c


Plus sérieusement, c'est arrivé sur mon PC maison (pas de firewall, oui, oui, je sais, pas taper...), utilisé principalement par ma femme.
Solution court terme: ce week-end, je la bascule de force sur FireFox + Thunderbird et j'évacue IE et Oulook Express...

[Grantome]

Quand le truc vient de sortir, Les antivirus ne le reconnaissent pas forcement...

La plus part des éditeurs pondent une maj voir un outil de désinfection moins de 24h après sa découverte...

>> VirusScan de MacAfee n'a rien vu.

ben oui, utilise un vrai antivirus kaspersky, avk, ...

Ridicule

La quasi totalité des AV fonctionne très bien.
Ils ne travail pas de la même façon et n'ont donc pas les même résulats pour chaque type d'infection, mais aucun n'est fiable à 100%

Exemple flagrant:
Norton AV, le plus connue et le plus courant et parmis les plus fiable contrairement à tout ce que les gens en disent...
Seulement, un AV sans Firewall ne sert pas à grand chose.
Aujourd'hui, les attaque se passe bien souvent via les ports de communication. Une fois entrèe, ils bloquuent l'AV et infectent la machine.
Comme Norton est sur 90% des post, les éditeur de virus s'attaque à lui en premier.

[Blini]

Bon OK, OK, je vais installer un firewall... Des noms de firewalls gratuits ? (rem: c'est pour un Windows 2000)

[edit] hier soir sur Google: 3 résultats seulement pour spoolcll, aujourd'hui, 19...

[re-edit] Apparemment, le ver passe par mySql

[ckarone]

Bonjour,

J'utilise SYGATE personal firewall pro qui fonctionne trés bien

Il offre une version gratuite

*ttp://smb.sygate.com/products/spf_standard.htm

[Blini]

Bon OK. Plus d'infos ici:
http://news.google.com/news?hl=en&ned=u ... earch+News

Je sais, pas de firewall + weak root account sur MySql, je cherche les emmerds... A ma décharge, je ne me rappelais plus que le service MySql était en démarrage auto... Mea culpa.

[e-kiwi]

pour un truc aussi grave tu n'a pas d excuses

au moins tu fera plus l'erreur ^^

[Blini]

Tu m'étonnes...

[Grantome]

Solution court terme: ce week-end, je la bascule de force sur FireFox + Thunderbird et j'évacue IE et Oulook Express...

Erreur, ce n'est pas en changeant de voiture que la panne d'essence n'arrivera pas.


Look'n Stop

Il est gratuit en version Lite.
39€ en version complete. C'est actuellement le meilleur du marché dans sa catégorie. Il bloque trèsbien, se configure grace aux règle, n'est pas "trop" connue donc, pas "trop" attaqué.
La version gratuite est très bien. Celle payante te permet d'avoir quelques options supplémentaire comme le filtrage logiciel, dll, et j'en passe.

[Blini]

Oui, au moment de ce post, je ne savais pas comment était arrivé ce virus (PJ de mail ou autre ActiveX).
Maintenant que je sais comment il entre, je vais fermer la bonne porte
Merci pour la suggestion Look'n stop. Je regarderai.

[dahane]

perso, j'ai bitdefender 8 pro et no pb ( 40 euros, 2ans de MAJ toute les 3 heures et licence pour 2 pc).