iosdt.exe
iosdt.exe
|
||||
| |
| Alias : | iosdt.exe et la variante actuelle (2004) du hijack (hijacker - hijacking) du client de calcul distribué dnet de distributed.net Les parasites suivants ont servi par le passé (anciennes variantes) ou servent actuellement à diffuser le client dnet : W32/Msinit, profile, Trojan.Win32.Bymer, W32.HLLW.Bymer, Dnet.Dropper, mycollection.exe, VBS.Network, VBS.NetLog, W32.QAZ.worm, W32.HLLW.Qaz.A, QAZ.Trojan, Trojan/Notepad, note.com, Bymer.scanner |
|
| Classes : | Hijacker (détournement d'un processus et zombiification de la machine infestée), trojan |
|
| Risque : |   |
|
| Editeur : | Distributed.net est une société oeuvrant dans le monde de la sécurité informatique (chiffrement, cryptographie...). Elle coordonne les challenges organisés par d'autres sociétés comme RSA Security. Pour ses tests, comme il faudrait des centaines ou des milliers d'années pour y arriver avec les seuls moyens informatiques qu'une société peut raisonablement acquérir, distributed.net découpe ses tests en petits tronçons et distribue le travail à des centaines de milliers d'ordinateurs adhérants volontairement à ces travaux. Pour encourager les possesseurs de PC à adhérer, elle organise ses tests sous forme de challenges récompensés par des prix (en argent) au propriétaire de la machine qui aura trouvé ce qu'elle cherchait et aux propriétaires des machines ayant le plus contribué à leur cause. Les participants peuvent intervenir seuls ou se regrouper en équipes. Le client dnet (le programme installé sur nos machines) est donc accompagné d'une identification du contributeur (le code identifiant est une adresse e-mail servant de compte sous lequel sont comptabilisées les statistiques de contributions appelées "blocs"). Plus vous ou votre équipe totalise de "blocs" et plus vous avez des chances de gagner un prix. Certains cherchent à fausser les règles du jeu. Le hijack appelé iosdt.exe semble donc provenir majoritairement de personnes (ou groupe de personnes - équipes) tentant de fausser les résultats des statistiques d'usage du client dnet, maintenues par le site distributed.net, afin de gagner les prix que ce site offre. Ils implantent donc de force, par cheval de Troie interposé, le client dnet, avec leur code d'identification, sur un maximum de machines qu'ils arrivent à pénétrer. Voici le sort réservé aux tricheurs chez distributed.net : Un hijack plus profond pourrait aussi provenir de gangs utilisant la technologie de distributed.net pour créer des réseaux cachés de super-calculateurs distribués pour leur propre compte et pour des finalités inconnues. Il suffit de modifier l'adresse de la machine de distributed.net dans le code du client dnet. |
|
| Découverte : | Dès 1997 des variantes de cette usurpation sont apparues. Actuellement (2003-2004) lorsque vous lancez votre gestionnaire de tâches (touches simultanées Alt/Ctrl/Suppr), vous pouvez voir un programme appelé iosdt.exe mobiliser jusqu'à 100% des ressources de votre ordinateur si celui-ci n'a rien d'autre à faire. |
|
| Installation : | Le client de calcul distribué dnet n'est pas un parasite et ne sera jamais détecté comme tel par aucun antivirus ni aucun anti-trojan. Vous pouvez parfaitement et légitimement l'avoir installé sur votre machine et avoir autorisé distributed.net à utiliser vos temps morts de calcul (cycles CPU inutilisés) pour les récupérer dans le cadre de leurs travaux sur le chiffrement RSA (recherches en cryptographie) au même titre que d'autres projets de calculs distribués existent comme l'analyse de signaux en provenance de l'espace pour la recherche de formes de vies extraterrestres ou le travail sur le génome humain dans le cadre de recherches sur des maladies rares etc. ... Autres projets de calcul distribué :
Un trojan du nom de "Mega Emoticon Pack" circule. Il installe quelques émoticons et installe dnetc dans le répertoire system32 au profit des statistiques du compte koe@gameparty.net. Utilise un proxy nommé protoss.2y.net. [Oct 2003] Un trojan prétendant être un utilitaire d'activation de logiciels piratés, "Product Activation tool", s'instale dans system32\iosdt\ au profit du compte nordom@o2.pl. Il envoie ses logs par e-mail sur smtp.o2.pl. Vous pouvez voir un processus du nom de iosdt.exe dans le gestionnaire de tâches. Le domaine 02.pl est enregistré à Varsovie (Pologne) au nom de company: O2.PL SP. Z O.O. street: UL. PULAWSKA 48/16 city: 02-559 WARSZAWA location: PL [Août 2003] Découverte de nombreuses machines sous Windows 2000 (utilisation d'une faille de sécurité non identifiée uniquement sous Windows 2000) utilisant une version non autorisée du client dnet et un kit de furtivité au profit du compte rc5@molice.nl et à travers un proxy à 80.247.214.170. Le site www.darkrider.nl est également suspecté d'avoir un rôle (indéterminé) dans le déploiement du kit de furtivité sur les machines compromises. Le kit de furtivité contient la logique pour cacher la racine elle même du kit et le processus dnetc aux autres utilitaires tel le gestionnaire de tâches (logique appelée hook). Le kit de furtivité peut être découvert par la présence de services nommés "yyzvxf", "yyzvxrk" et "yyzvxshl". De telles machines ont également un répertoire nommé C:\Winnt\system32\yyzvxDIR contenant les fichiers "yyzvxf.exe", "yyzvxrk.exe", "yyzvxrk.ini", "yyzvxshl.exe", "yyzvxgina.reg" et "yyzvxinfo.exe". Le kit de furtivité embarque également un keylogger de mots de passe, un robot IRC, un serveur de fichiers FTP et d'autres fonctionnalités inconnues. La vulnérabilité DCOM de Windows 2000 est suspectée (bulletin MS03-026) car, à ce moment là, des "utilitaires" pour exploiter cette faille sont justement disponibles. On pense que toutes les machines ont été attaquées "à la main" et non par l'utilisation d'un ver. Note : l'utilitaire "wormfree" de distributed.net ne permet pas de nettoyer les machines compromises de la sorte. [Avril 2002] Nombreuses machines infestées par le client dnet configuré au profit du compte dpc_de@hotmail.com et pour l'utilisation d'un proxy personnel à l'adresse 62.195.38.112 (domaine node-d-2670.a2000.nl). Le prefixe dpc de l'adresse e-mail laisse à penser à une relation avec l'équipe "Dutch Power Cows" bien que rien n'ait pu le prouver officiellement. On pense que le trojan a été distribué au travers du réseau FastTrack (KaZaA) dans un programme prétendant être un utilitaire de hack de MSN. [Dec 2000] Nouveau ver. Installe le client dnetc sous DN2.EXE dans le répertoire Windows. Le .ini précise le compte bénéficiaire : Vinokurov@inbox.ru ou jitchenko@usa.net. Le client est configuré pour se connecter au travers du proxy keyserver à bobik.2y.net. [Dec 2000] Nouveau ver installant la version du client dnetc v2.8002.446 sous le nom de INTERNAT.EXE dans le répertoire Windows. Le client est configuré pour se lancer depuis la clé: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices LangSupportEx="C:\WINDOWS\internat.exe -hide" au profit du compte cehghbp@yahoo.com. Il se connecte au travers d'un proxy vers 62.76.120.4 (domaine video.krasu.ru) sur le port 2065. Ce ver semble capable d'infester les partages ouverts (non protégés) ayant des noms arbitraires et pas seulement celui nommé "C". [octobre 2000] Variantes des parasites ci-dessous avec technique de réplication identique. Il installe, en plus, le fichier WININIT.EXE d'une taille d'environ 220Ko dans le répertoire WINDOWS\SYSTEM. Comporte également, probablement, un système de contrôle à distance via une backdoor comme le font penser la taille de sa charge utile et son utilisation d'APIs de sockets réseau. Les fichiers DNETC.EXE et DNETC.INI sont aussi déployés dans le répertoire WINDOWS\SYSTEM, et le client est configuré pour fonctionner sous les adresses email ogr@gala.net, mereel@gmx.de, mama@papa.net, gentleps@muohio.edu ou postmaster@127.0.0.1 [septembre 2000] Un ver (W32/Msinit, profile, Trojan.Win32.Bymer, W32.HLLW.Bymer, Dnet.Dropper) infecte les machines Win9x ayant des partages ouverts en accès total (tout le volune C: et pas de mot de passe). Il se réplique en scannant des machines sur des adresses IP au hasard et tente de se connecter au répertoire en partage. S'il y arrive, il y copiera plusieurs fichiers, dont le client dnet, dans les répertoires "\WINDOWS\Start Menu\Programs\StartUp\" et "\WINDOWS\SYSTEM\" :
Au cours du processus d'infection, la ligne suivante peut avoir été ajoutée dans le fichier \WINDOWS\WIN.INI : load=c:\windows\system\msxxx.exe (le nom de fichier peut varier) Lorsqu'un des deux premiers EXEs a été exécuté une fois, sous la clé de registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\, la valeur de registre suivante a pu être ajoutée: MSINIT=c:\windows\system\msxxx.exe (le nom de fichier peut varier) Puisque le ver exécute également la commande "dnetc.exe -hide -install", il y aura aussi l'ajout d'une autre valeur dans le registre afin de démarrer automatiquement le client dnet. Notez que l'existence d'une autre valeur dans le registre ne signifie pas en soi automatiquement qu'un ver a installé le client dnet de façon illicite. En effet, l'administrateur de la machine aurait très bien pu avoir installé le client dnet auparavant et de manière tout à fait légitime. Les utilisateurs peuvent se protéger contre ce type de ver en s'assurant qu'ils ne partagent pas leur disque dur C: en accès total et sans mot de passe. [août 2000] Un ver (W32.QAZ.worm, W32.HLLW.Qaz.A, QAZ.worm, QAZ.Trojan, Trojan/Notepad, note.com) se réplique en renommant votre fichier Windows NOTEPAD.EXE en NOTE.COM et en mettant à la place un notepad aux apparences identiques mais modifié en cheval de troie. Le trojan s'exécute donc chaque fois que vous lancez notepad. Il essaie alors de se dupliquer sur d'autres ordinateurs appartenant à votre "Voisinage Réseau". Se comporte également en RAT (prise de contrôle à distance) donnant aux hackers un accès direct et complet à toute votre machine et tous ses fichiers. Le client dnetc.exe de distributed.net est installé. Utilitaire quazfix de Symantec [juin 2000] Le thème de bureau LiteStep, qui ressemble au style du thème StarCraft "Zerg", a été distribué sous le nom "installtheme.exe" sur certains sites web. Lorsque ce thème, qui s'auto installe, est installé, il installe simultanément une copie hijackée du client distributed.net. [avril 2000] Deux versions du ver VBS.Network (Norton) ou VBS.Network (CA) ou VBS.NetLog (McAfee) distribuent les versions 2.8005.455 ou 2.8007.45X du client dnetc.exe qui figurent dans leur charge utile (CERT advisory about the netlog worm). Ce virus/ver peut être identifié par la présence de "network.vbs" et "microsoft_office.lnk" dans le groupe Démarrage de Windows, et de "network.log" dans la racine du disque c:\. Des copies de dnetc.exe et dnetc.ini sont placées dans le répertoire c:\windows\ avec une des adresses email suivantes: bl4ckr0d@hotmail.com, jdefoe@linuxstart.com ou nugget@slacker.com Ce ver infecte les machines ayant des partages ouverts en accès total (tout le volume C: et pas de mot de passe). Il se réplique en scannant des machines sur des adresses IP au hasard et tente de se connecter au répertoire en partage. S'il y arrive, il essaie d'y copier les fichiers infectés directement dans le groupe Démarrage. Les utilisateurs peuvent se protéger contre ce type de ver en s'assurant qu'ils ne partagent pas leur disque dur C: en accès total et sans mot de passe. [mai 1998] Cheval de Troie sur le groupe Usenet consacré aux X-files. Il se déguisait sous la forme d'un puzzle d'une image de Gillian Anderson, qui installait les fichiers rc5desg.exe et ini. Ce cheval de Troie a été posté deux fois, une fois en mai 1998, une autre fois en juin 1998. Vérification impossible car les archives de ce groupe Usenet ne sont plus disponibles. [décembre 1997] La version 2.6403 du logiciel client win32gui a circulé compressée au format ZIP sous le nom de ipspoof.zip, contenant les fichiers ipspoof.dat, ipspoof.dll, ipspoof.exe, et readme!.txt. L'exécution de cet installateur copie le logiciel client dans le répertoire \windows\system\rc564gui.exe et paramètre le client pour démarrer automatiquement en mode caché et comptabiliser les blocs au profit de l'utilisateur fbicrasher@hotmail.com. Cette version semble avoir été distribuée sous cette forme-là à partir de décembre 1997. [1997] Un prétendu lecteur d'images comportant des images à caractère pornographique, dénommé "mycollection.exe", a été distribué automatiquement par un robot sur IRC via dcc lors de la connexion sur certains canaux IRC. Ce cheval de Troie est un programme qui installe les fichiers rc5desg.exe et ini dans le dossier système de windows, les cache et les lance. [1997] Un cheval de Troie nommé cindyply.zip installe Back Orifice avec le plug- in Butt Trumpet sur votre ordinateur. Il a été distribué dans les forums de binaires sur Usenet comme collection de fichiers et lecteur AVI. |
|
| Affectés : | Tous les systèmes Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP |
|
| Epargnés : | Les systèmes d'exploitation DOS, Linux, Macintosh, OS/2, UNIX |
|
| Activité : | Exploitation des cycles CPU en Idle (non utilisés). |
|
| Vie privée : | Directement, non, mais la caractéristique RAT de certaines variantes permet la visite intégrale du contenu d'une machine. L'activité Keylogger de certaines variantes compromet les mots de passe et donc la totalité des informations privées contenues sur la machine infectée ainsi que toutes les données en ligne (banque etc. ...) |
|
| Faille : | Oui, grave : installation de keylogger et de RAT |
|
| Instabilité : | Ralentit considérablement le fonctionnement du système |
|
| Conséquences : | Aucune conséquence après éradication si ce n'est retrouver la vitesse de sa machine. |
|
| Précautions : | Réglage de l'antivirus au maximum Sauvegarde de la base de registre Désactiver les points de restauration Redémarrer en mode sans échec |
Éradication automatique
Scan avec votre antivirus
Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer le scan.
Analyse avec votre anti-trojan
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main.
Éradication en utilisant un outil spécialement développé contre ce parasite
Distributed.net met à disposition un utilitaire en "open source" qui peut trouver un certain nombre de variantes de l'infection basée sur leur travail et nettoyer la machine compromise.
http://www1.distributed.net/~bovine/wormfree.zip
Voici un exemple de log de cet utilitaire :
Checking currently running processes...
Checking win.ini run key...
Checking win.ini load key...
Checking registry "Software\Microsoft\Windows\CurrentVersion\RunServices"...
Checking registry "Software\Microsoft\Windows\CurrentVersion\RunServices-"...
Checking registry "Software\Microsoft\Windows\CurrentVersion\Run"...
Checking registry "Software\Microsoft\Windows\CurrentVersion\Run-"...
Checking for dnetc registry preferences...
Checking for existence of "c:\network.log"...
Checking for existence of "c:\network.vbs"...
Checking for existence of "C:\Documents and Settings\pierre\Menu DÚmarrer\Progra
mmes\DÚmarrage\microsoft_office.lnk"...
Checking for existence of "C:\Documents and Settings\pierre\Menu DÚmarrer\Progra
mmes\DÚmarrage\network.vbs"...
Checking for existence of "C:\Documents and Settings\pierre\Menu DÚmarrer\Progra
mmes\DÚmarrage\network.exe"...
Checking for existence of "C:\WINDOWS\system\wininit.exe"...
Checking for existence of "C:\Documents and Settings\pierre\Menu DÚmarrer\Progra
mmes\DÚmarrage\msclient.exe"...
Checking for existence of "C:\WINDOWS\system\info.dll"...
Checking for existence of "C:\WINDOWS\internat.exe"...
Checking for existence of "C:\WINDOWS\internat.ini"...
Checking for existence of "C:\WINDOWS\point.tms"...
Checking for existence of "C:\WINDOWS\vsrin.rc5"...
Checking for existence of "C:\WINDOWS\vsrout.rc5"...
Checking for existence of "C:\WINDOWS\vsrin.ogr"...
Checking for existence of "C:\WINDOWS\vsrout.ogr"...
Checking for existence of "C:\WINDOWS\dn2.exe"...
Checking for existence of "C:\WINDOWS\dn2.ini"...
Checking for existence of "C:\WINDOWS\dnetc.exe"...
Checking for existence of "C:\WINDOWS\dnetc.ini"...
Checking for existence of "C:\WINDOWS\rc564gui.exe"...
Checking for existence of "C:\WINDOWS\rc564gui.ini"...
Checking for existence of "C:\WINDOWS\rc5desg.exe"...
Checking for existence of "C:\WINDOWS\rc5desg.ini"...
Checking for existence of "C:\WINDOWS\buff-out.rc5"...
Checking for existence of "C:\WINDOWS\buff-in.rc5"...
Checking for existence of "C:\WINDOWS\buff-out.ogr"...
Checking for existence of "C:\WINDOWS\buff-in.ogr"...
Checking for existence of "C:\WINDOWS\system\dnetc.exe"...
Checking for existence of "C:\WINDOWS\system\dnetc.ini"...
Checking for existence of "C:\WINDOWS\system\rc564gui.exe"...
Checking for existence of "C:\WINDOWS\system\rc564gui.ini"...
Checking for existence of "C:\WINDOWS\system\rc5desg.exe"...
Checking for existence of "C:\WINDOWS\system\rc5desg.ini"...
Checking for existence of "C:\WINDOWS\system\buff-out.rc5"...
Checking for existence of "C:\WINDOWS\system\buff-in.rc5"...
Checking for existence of "C:\WINDOWS\system\buff-out.ogr"...
Checking for existence of "C:\WINDOWS\system\buff-in.ogr"...
Checking for existence of "C:\Documents and Settings\pierre\Menu DÚmarrer\Progra
mmes\DÚmarrage\fftload.vbs"...
Checking for existence of "C:\Documents and Settings\pierre\Menu DÚmarrer\Progra
mmes\DÚmarrage\ttfloads.vbs"...
Checking for existence of "C:\WINDOWS\fonts\ttfloads.vbs"...
Checking for existence of "C:\WINDOWS\fonts\sndload.vbs"...
Checking for existence of "C:\WINDOWS\fonts\sndvol.vbs"...
Checking for existence of "C:\WINDOWS\system\ttfload.dll"...
Checking currently shared directories...
.../...
Done checking!
This program was written by http://www.distributed.net/ in an effort
to counter the increasing number of infected computers. If this program
has been useful to you, please feel free to email abuse@distributed.net
Éradication manuelle
Nous traitons ici de l'éradication de la variante iosdt.exe, les autres variantes étant plus anciennes et étant prises en charge par de nombreux anti-trojans et antivirus.
Précautions initiales génériques
- Régler votre antivirus et votre anti-trojans au maximum
Si la procédure manuelle suivante vous suggère d'utiliser, à un moment donné, votre antivirus ou votre anti-trojans (généralement en fin de procédure manuelle), pensez à les régler au maximum.
Comment régler mon antivirus au maximum
- Faire une sauvegarde de la base de registre
Comment sauvegarder de la base de registre
- Révélez tous les fichiers et répertoires cachés
Comment révéler (voir) les fichiers et répertoires cachés
- Vider tous les caches, détruisez tous les cookies inconnus ou inutiles
Utiliser SpyBot Search & Destroy
- Vider la poubelle de Windows
Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
- Désactiver les points de restauration
Comment désactiver les points de restauration
- Redémarrer en mode sans échec
Comment redémarrer en mode sans échec
Tuer les processus suivants, s'il sont lancés
Comment tuer un processus
iosdt.exe
Nota : lorsque cette tâche a fini son premier "job" elle tente de le dire à distributed.net (pour marquer des points - des "blocs") et recevoir un autre job à exécuter. Nous devrions donc trouver, également, une application inconnue communiquant sur le Net et qui devrait être identifiée dans le firewall. Regardez de ce côté là et demandez-vous pourquoi votre firewall ne vous a pas alerté ou pourquoi vous avez laissé passer cette demande de connexion la première fois. Si cette tâche avait été bloquée par le firewall, elle n'aurait pas eu de second job à exécuter ni plus aucun autre et n'aurait pas mobilisé les cycles CPU.
Voir et supprimer tous les attributs
Recherchez le répertoire ..\system32\iosdt\
Voir et supprimer tous les attributs de ce répertoire et de chacun des fichiers contenus. Se reporter, pour savoir le faire, à :
Voir et modifier les attributs des fichiers et des répertoires
On doit trouver, dans ..\system32\iosdt\, les fichiers suivants - S'il y a la moindre différence, me la signaler car il s'agirait d'une nouvelle variante, merci.
check.dat (il devrait avoir l'attribut A)
indt.r72 (il devrait avoir l'attribut A)
iosdt.com (il devrait avoir les attributs RHS)
iosdt.exe
iosdt.ini (il devrait avoir les attributs RHS)
iosdt.log (il devrait avoir l'attribut A)
outdt.r72 (il devrait avoir l'attribut A)
Supprimer leurs attributs. (l'attribut "A" est sans importance ici) :
Passez en mode ligne de commande (invite de commande)
- Démarrer > Tous les programmes > Accessoires > Invite de commande
- Saisissez (recopiez)
- attrib /D /S -R -H -S %systemroot%\system32\iosdt\ et appuyez sur la touche "Entrée"
- attrib -R -H -S %systemroot%\system32\iosdt\iosdt.com et appuyez sur la touche "Entrée"
- attrib -R -H -S %systemroot%\system32\iosdt\iosdt.ini et appuyez sur la touche "Entrée"
- Ces commandes retirent les attributs des fichiers R (Lecture seule - Read only) et H (Caché - Hidden) et S (Système - System)
Désenregistrer les DLLs suivantes
Comment désenregistrer une DLL
En mode invite de commande, dés-enregistrez le service iosdt.exe
Saisir (recopier)
regsvr32 /U iosdt.exe
Fermez l'invite de commandes.
Redémarrer en mode sans echec
Comment démarrer / redémarrer en mode "sans échec"
Supprimer les clés et/ou entrées suivantes lorsqu'elles existent.
Comment détruire une clé de registre - Comment détruire une entrée d'une clé de registre
Attention : Les utilisateurs de Windows 2000, doivent installer les "Windows 2000 Support Tools" qui se trouvent sur le CD.
reg unload "HKLM\SOFTWARE\Distributed Computing Technologies, Inc."
reg unload "HKLM\SYSTEM\ControlSet001\Services\dnetc"
reg unload "HKLM\SYSTEM\ControlSet002\Services\dnetc"
reg unload "HKLM\SYSTEM\CurrentControlSet\Services\dnetc"
reg delete "HKLM\SOFTWARE\Distributed Computing Technologies, Inc." /f /va
reg delete "HKLM\SYSTEM\ControlSet001\Services\dnetc" /f /va
reg delete "HKLM\SYSTEM\ControlSet002\Services\dnetc" /f /va
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\dnetc" /f /va
Détruire les répertoires suivants, s'ils existent (et tout ce qu'ils contiennent).
Comment détruire un répertoire
Avant de détruire les fichiers, regarder le contenu de iosdt.ini et alerter distributed.net par e-mail sur abuse@distributed.net. Joindre tous les fichiers en pièce jointe. Le fichier iosdt.ini comporte une adresse e-mail qui est l'identifiant de celui à qui le crime profite (le compte distributed.net bénéficiaire des points ainsi obtenus frauduleusement).
Détruire iosdt
Videz la poubelle
Voici, pour l'exemple, un contenu de fichier iosdt.ini - sur sa seconde ligne on découvre le compte du fraudeur (l'adresse e-mail).
[parameters]
id=nordom@o2.pl <=== (le compte bénéficiaire de la fraude)
[buffers]
checkpoint-filename=check.dat
frequent-threshold-checks=3
buffer-file-basename=indt
output-file-basename=outdt
[misc]
project-priority=RC5-72,OGR=0
[triggers]
restart-on-config-file-change=yes
[display]
progress-indicator=auto-sense
detached=yes
[ogr]
fetch-workunit-threshold=0
[logging]
mail-log-via=smtp.o2.pl
mail-log-max=81920
mail-log-from=nordom@o2.pl
log-file-limit=200
log-file=iosdt.log
log-file-type=fifo
mail-log-dest=nordom@o2.pl
[networking]
firewall-type=http
keyserver=*:80
nettimeout=300
[rc5-72]
fetch-time-threshold=336
Ressources
Des informations complémentaires peuvent être trouvées sur ces pages
http://www.distributed.net
http://www.distributed.net/trojans.php.fr
Nous avons échangé certaines de nos traductions avec eux et des portions de traductions de cette page ont été faites par eux-mêmes.
Challenge RSA Security
Symantec Security Response - W32.HLLW.Bymer
SARC AntiVirus Newsletter
PestPatrol Pest Info - Worm.Bymer
Les grands projets de calcul distribué
Calcul distribué
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music