blocage de net send sur règle Climenole { E.99}

Discussion in 'LnS French Forum' started by bdetarade, Dec 16, 2006.

Thread Status:
Not open for further replies.
  1. bdetarade

    bdetarade Registered Member

    Joined:
    Dec 15, 2006
    Posts:
    7
    Salut à tous.

    Après avoir appliqué la liste de règles de Climenole "légèrement" modifiée, j'ai des attaques du genre

    C'est quoi ce truc?


    0000:04 00 28 00 10 00 00 00 ..(....
    0008:00 00 00 00 00 00 00 00 ........
    0010:00 00 00 00 00 00 00 00 ........
    0018:F8 91 7B 5A 00 FF D0 11 ø‘{Z.ÿÐ
    0020:A9 B2 00 C0 4F B6 E6 FC ©².ÀO¶æü
    0028:12 22 91 DE AC D7 DA 65 "‘Þ¬×Úe
    0030:A9 96 14 08 22 8D BC 8A ©–."¼Š
    0038:00 00 00 00 01 00 00 00 ........
    0040:00 00 00 00 00 00 FF FF ......ÿÿ
    0048:FF FF 36 02 00 00 00 00 ÿÿ6.....
    0050:11 00 00 00 00 00 00 00 .......
    0058:11 00 00 00 57 49 4E 44 ...WIND
    0060:4F 57 53 20 52 45 47 49 OWS REGI
    0068:53 54 52 59 00 00 00 00 STRY....
    0070:11 00 00 00 00 00 00 00 .......
    0078:11 00 00 00 57 49 4E 44 ...WIND
    0080:4F 57 53 20 55 53 45 52 OWS USER
    0088:00 00 00 00 00 00 00 00 ........
    0090:EA 01 00 00 00 00 00 00 ê.......
    0098:EA 01 00 00 43 72 69 74 ê...Crit
    00A0:69 63 61 6C 20 53 79 73 ical Sys
    00A8:74 65 6D 20 45 72 72 6F tem Erro
    00B0:72 21 0D 0A 0D 0A 59 6F r!....Yo
    00B8:75 72 20 57 69 6E 64 6F ur Windo
    00C0:77 73 20 72 65 67 69 73 ws regis
    00C8:74 72 79 20 61 70 70 65 try appe
    00D0:61 72 73 20 74 6F 20 62 ars to b
    00D8:65 20 69 6E 66 65 63 74 e infect
    00E0:65 64 20 61 6E 64 2F 6F ed and/o
    00E8:72 20 63 6F 72 72 75 70 r corrup
    00F0:74 65 64 2E 0D 0A 0D 0A ted.....
    00F8:50 6C 65 61 73 65 20 67 Please g
    0100:6F 20 74 6F 20 74 68 65 o to the
    0108:20 4D 69 63 72 6F 73 6F Microso
    0110:66 74 20 52 65 67 69 73 ft Regis
    0118:74 72 79 20 52 65 70 61 try Repa
    0120:69 72 20 74 6F 6F 6C 20 ir tool
    0128:61 74 20 77 77 77 2E 77 at www.w
    0130:69 6E 72 65 67 69 73 74 inregist
    0138:72 79 63 6C 65 61 6E 65 rycleane
    0140:72 2E 63 6F 6D 20 74 6F r.com to
    0148:20 73 63 61 6E 20 61 6E scan an
    0150:64 20 72 65 70 61 69 72 d repair
    0158:20 74 68 65 20 73 79 73 the sys
    0160:74 65 6D 20 72 65 67 69 tem regi
    0168:73 74 72 79 2E 0D 0A 0D stry....
    0170:0A 55 52 4C 3A 20 77 77 .URL: ww
    0178:77 2E 77 69 6E 72 65 67 w.winreg
    0180:69 73 74 72 79 63 6C 65 istrycle
    0188:61 6E 65 72 2E 63 6F 6D aner.com
    0190:0D 0A 0D 0A 53 65 76 65 ....Seve
    0198:72 69 74 79 3A 20 45 78 rity: Ex
    01A0:74 72 65 6D 65 0D 0A 53 treme..S
    01A8:79 6D 70 74 6F 6D 73 3A ymptoms:
    01B0:20 4D 65 73 73 61 67 65 Message
    01B8:73 20 73 75 63 68 20 61 s such a
    01C0:73 20 74 68 65 73 65 2C s these,
    01C8:20 61 73 20 77 65 6C 6C as well
    01D0:20 61 73 20 62 75 66 66 as buff
    01D8:65 72 20 6F 76 65 72 66 er overf
    01E0:6C 6F 77 20 65 78 70 6C low expl
    01E8:6F 69 74 20 61 6C 6C 6F oit allo
    01F0:77 69 6E 67 20 6D 61 6C wing mal
    01F8:69 63 69 6F 75 73 20 75 icious u
    0200:73 65 72 73 20 74 6F 20 sers to
    0208:67 61 69 6E 20 61 63 63 gain acc
    0210:65 73 73 20 74 6F 20 79 ess to y
    0218:6F 75 72 20 63 6F 6D 70 our comp
    0220:75 74 65 72 2E 0D 0A 0D uter....
    0228:0A 43 75 72 65 3A 20 44 .Cure: D
    0230:6F 77 6E 6C 6F 61 64 20 ownload
    0238:74 68 65 20 73 63 61 6E the scan
    0240:6E 65 72 20 61 6E 64 20 ner and
    0248:61 6C 6C 6F 77 20 69 74 allow it
    0250:20 74 6F 20 63 6C 65 61 to clea
    0258:6E 20 61 6E 64 20 72 65 n and re
    0260:70 61 69 72 20 79 6F 75 pair you
    0268:72 20 4D 69 63 72 6F 73 r Micros
    0270:6F 66 74 20 57 69 6E 64 oft Wind
    0278:6F 77 73 20 72 65 67 69 ows regi
    0280:73 74 72 79 2E 00 stry..
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Pour éviter d'avoir à décoder le paquet à la main, peux-tu nous donner le protocole, ports, et autres infos affichées par Look 'n' Stop ?

    Merci,

    Frédéric
     
  3. bdetarade

    bdetarade Registered Member

    Joined:
    Dec 15, 2006
    Posts:
    7
    Source
    adresse : 00:07:CB:40:0C:75
    IP : 24.134.176.146
    Port : UDP 19909

    Destiantion
    adresse : la mienne
    IP : mon IP
    Port : UDP 1026


    Mais cela ressemble fort à un scan de port car j'ai plein de variante avec des IP approchante sur des port différent, mais toujours avec les même données
     
  4. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Salut,

    Du spam sous forme de net send en direction de ton PC. Si le jeu de regles n'avait pas stoppé ce paquet (et que le service windows adequate tournait), tu aurais eu une belle pop-up pour te dire que ton PC est en danger et qu'il te faut absolument telecharger le logiciel capable de remedier au supposé désastre... logiciel qui integre surement un malware (spyware, trojan, virus....). En gros, il suffit d'apporter autant de consideration a ce message qu'a un spam mail : aucune ;).
     
  5. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Salut à tous :)

    Réponse à la question initiale:

    ce n'est pas une "attaque" ... :rolleyes:

    D'ailleurs l'explication est donnés dans cet article:
    http://climenole.wordpress.com/look-n-stop-3/

    «
    Commentaire: cette règle concerne les datagrammes UDP du service d’affichage des messages détournées par les “spammeurs” (principalement originaires du “Pacific Ring” ou des pays d’Europe de l’est.). Si votre système est à jour et correctement configuré vous ne devriez pas être ennuyés par ces messages. Toutefois j’ai inclu cette règle afin de différencier le blocage du Net Send Messenger des autres blocages UDP. Cette règle est optionnelle mais pratique pour des raisons de débogage des applications utilisant l’UDP et pour une journalisation plus précise.
    »

    Cette règle (optionnelle) permet de bloquer des paquets UDP provenant du spam utilisant le Service d'affichage des Messages de M$...

    Si ton PC est correctement configuré cela ne te cause aucun ennui avec ou sans cette règle. Cependant elle permet de différencier le blocages de paquets UDP de Net Send Messneger des autres ... Tu la garde si cela t'es utile... Capice ?

    Ce paquets arrivent en général sur les ports UDP 1026, 1027 ...

    Explication des BillouZ' BoyZ :

    http://support.microsoft.com/kb/330904/fr

    Voili voilou !

    :)
     
    Last edited: Dec 16, 2006
  6. bdetarade

    bdetarade Registered Member

    Joined:
    Dec 15, 2006
    Posts:
    7
    P....N de spameur!!!

    je m'en doutais un peu mais je préfère demander l'avis d'expert.


    Merci
     
Thread Status:
Not open for further replies.