Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

problème (complexe) de diffusion d'un virus

2 réponses
Avatar
paul POULAIN
Bonjour,

j'ai installé dans une association avec une quarantaine de salariés la
plate-forme suivante, pour l'accès aux mail et au net :
- firewall sous linux
- zone démilitarisée sous linux, le bastion héberge les mails et le webmail
(imp).
- postes locaux sous winXP. Un anti-virus a été installé récemment sur
chaque machine. L'accès au net est libre depuis les postes locaux.

L'accès aux messages ne se fait QUE par webmail, et via mozilla (pas
d'Internet Explorer).

Depuis quelques jours, une machine bien identifiée par les headers (la
192.168.0.20) inonde les autres d'un virus que j'identifie comme étant
Netsky.d au vu la pièce jointe (41ko, beaucoup de message.scr en PJ,
adresse From: aléatoire et probablement toujours inexistante. D'un autre
coté, je ne travaille que sous linux, donc je ne suis pas spécialiste des
virii, c'est peut être un autre)

J'en conclus que la machine a été infectée par un virus et que :
1- l'anti-virus n'est pas à jour, ou bien mal installé
2- l'utilisatrice n'a pas respecté les règles et a du cliquer sur une PJ. Ou
bien récupérer ca sur le web puisque l'accès web est libre.

La machine a été réinstallée complètement (dixit la responsable, ce n'est
pas moi qui ai fait). Et pourtant, quelques jours après la réinstallation,
l'infection reprend.
Quelqu'un aurait il une explication sur les possibles raisons ?
Je me doute que je ne peux pas avoir une réponse précise, mais je cherche
juste des pistes de recherche :
* réinfection par un clic malencontreux ET anti-virus mal installé ou pas à
jour => l'utilisatrice assure ne pas cliquer sur les PJ, elle n'utilise pas
Outlook (qui n'est pas configuré) mais uniquement le webmail, via mozilla
(donc élimine les failles IE)
* réinfection par un ver qui a utilisé une faille windows depuis le net (=>
pour moi c'est impossible puisque le réseau local est invisible du net,
seul le serveur de mail du bastion DMZ est visible)

Une autre idée ?

PS : une solution pour éliminer les conséquences de l'infection pourrait
évidemment être de ne pas autoriser le SMTP sur les postes locaux. Mais ça
ne résoudrait pas le pb de l'origine du pb.
--
Paul

2 réponses

Avatar
Olivier Miakinen

[ Infection par un virus malgré un firewall faSSiste ]

Une autre idée ?


L'utilisatrice pourrait-elle avoir le virus sur une disquette ?

Avatar
Roland Garcia
Thierry Schollier wrote:


I-Worm.Magistr.a


Je ne connais pas la taille, mais cf. plus bas.


Très variable, le *ver* Magistr est constitué d'un exécutable quelconque
infecté par le *virus* Magistr.

--
Roland Garcia