Pare-Feu SYGATE PERSONAL - Question

Salut Wildou,

Surtout pas ! Il peut très bien s'agir d'une "attaque" d'un ver du type Blaster . Ce manque de fermeté est d'ailleurs reproché à Sygate Personal Firewall, l'idéal étant de fermer le port 135 - ce que font certains FAI sans nous demander notre avis (Wanadoo bloque aussi le port 445, utilisé par Sasser) - en désactivant le service Windows qui crée la vulnérabilité : DCOM/RPC.

http://www.commentcamarche.net/virus/lovsan-blaster.php3
http://www.grc.com/port_135.htm
http://www.commentcamarche.net/forum/affich-1118308

Cordialement,
pierrotlefou

Re-Bjr pierrotlefou,
Comment désactiver DCOM/RPC ?
Le site grc.com/port_135.htm est exclusivement en anglais qui n'est pas ma langue maternelle et je ne suis pas sûr de bien faire !
Peux-tu m'aider car le message du pare-feu s'affiche toutes les 5 mn...
Merci

Salut Wildou,

Pas de panique ! Je n'ai pas dit que tu étais infecté par le ver Blaster, je voulais simplement dire que c'est probablement un ver utilisant la faille DCOM/RPC pour infecter une machine qui "frappe à la porte" (numéro 135).

Pour désactiver DCOM/RPC, le plus simple est d'exécuter DCOMbobulator (29 ko), téléchargeable sur le site grc.com (dans l'onglet DCOMbobulate Me!, clique sur le bouton Disable DCOM, c'est tout). Ca n'est pas forcément indispensable, dans la mesure où ton système est à jour des correctifs de sécurité. Quoi qu'il en soit, DCOM/RPC ne nous sert à rien (le processus est de toute façon réversible), et normalement, cela devrait "calmer" ton pare-feu.

DCOMbobulator : http://www.grc.com/files/DCOMbob.exe
Explications : http://www.commentcamarche.net/forum/affich-1118308

Cordialement,
pierrotlefou

Bsoir pierrotlefou,

J'ai suivi ton conseil et désactivé DCOM/RPC en passant par DCOMbobulator.
Je ne reçois plus le message lancinant de mon pare-feu. Ouf!
J'espère en revanche ne pas avoir besoin de DCOM/RPC à l'avenir.
Au cas où, puisque l'opération n'était pas irréversible, je pense pouvoir le réinstaller si besoin en passant par le même site, non ??

Grand merci à toi.
Wildou

Salut Wildou,

A priori, il est vraiment très peu probable que tu aies un jour besoin de DCOM, mais télécharge quand même DCOMbobulator sur ton disque dur (clic droit, Enregistrer la cible sous...), car si j'ai bien compris, tu l'as exécuté depuis le site officiel. Quoi qu'il en soit, DCOMbobulator permet effectivement de réactiver DCOM (Enable DCOM).

Je ne connais pas bien Sygate Personal Firewall, mais d'après le manuel officiel, cocher la case "Remember my answer, and do not ask me again for this application." avant de cliquer sur "No" aurait modifié ou créé une règle concernant DCOM, et tu n'aurais plus été alerté... Mais bon, il ne faut pas regretter, car même en cas de défaillance de ton pare-feu, tu restes protégé contre tout DCOM exploit. Pour information, le site Les Manuels d'Aide en Français propose une traduction non officielle du manuel de la version 5.5 :

http://www.manuelsdaide.com/Internet/Sygate/Sygate.htm
http://www.manuelsdaide.com/Internet/Sygate/SPF.zip (875 ko) (attention, ce fichier au format chm semble utiliser des contrôles ActiveX "pas très frais")

Enfin, l'excellent site grc.com offre deux autres petits patches de sécurité :

1. UnPlug n' Pray -> Universal Plug and Play (ports 1900 et 5000)
http://www.grc.com/unpnp/unpnp.htm
http://www.grc.com/files/UnPnP.exe (22 ko)

2. Shoot The Messenger -> Messenger Service
http://www.grc.com/stm/shootthemessenger.htm
http://www.grc.com/files/ShootTheMessenger.exe (22 ko)

Voili voilo, bonne fin d'année à toi ;-)
pierrotlefou