Fichier mmc.exe
Fermé
marguerite
Messages postés
228
Date d'inscription
lundi 19 novembre 2001
Statut
Membre
Dernière intervention
25 janvier 2003
-
19 nov. 2001 à 10:08
benamar - 16 mai 2008 à 23:15
benamar - 16 mai 2008 à 23:15
A voir également:
- Fichier mmc.exe
- Fichier rar - Guide
- Fichier host - Guide
- Fichier iso - Guide
- Comment réduire la taille d'un fichier - Guide
- Ouvrir fichier .bin - Guide
9 réponses
_jeune_padawan_
Messages postés
2659
Date d'inscription
mardi 16 octobre 2001
Statut
Membre
Dernière intervention
3 mars 2006
11
19 nov. 2001 à 10:14
19 nov. 2001 à 10:14
si tu avais nomda tu t'en serrais rendu compte ..... perte de performance et autres symptomes ki ne trompent pas ...
si tu as nimda .... bon courage te bonne chance a ta machine !
si tu as nimda .... bon courage te bonne chance a ta machine !
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
585
20 nov. 2001 à 10:07
20 nov. 2001 à 10:07
Salut Mister BeeGee,
Merci pour cette info !
En conclusion pouvons nous dire :
-il est normal de trouver MMC.exe sur certains postes (NT, 2000 ou XP) ; il faut un 2ème élément douteux
-par contre, si MMC.exe est trouvé sur un poste sous Win9x, il y a toujours alerte
Quelqu'un peut-il dire quelle sont les tailles de MMC.exe sous NT, 2000 & XP... et quelques sont/quelle est la taille du fichier virusé ?
Merci pour cette info !
En conclusion pouvons nous dire :
-il est normal de trouver MMC.exe sur certains postes (NT, 2000 ou XP) ; il faut un 2ème élément douteux
-par contre, si MMC.exe est trouvé sur un poste sous Win9x, il y a toujours alerte
Quelqu'un peut-il dire quelle sont les tailles de MMC.exe sous NT, 2000 & XP... et quelques sont/quelle est la taille du fichier virusé ?
marguerite
Messages postés
228
Date d'inscription
lundi 19 novembre 2001
Statut
Membre
Dernière intervention
25 janvier 2003
25
20 nov. 2001 à 14:52
20 nov. 2001 à 14:52
Ah! le problème c'est que je tourne sous windows 98 SE.
Donc, je récapitule: j'ai un fichier mmc.exe (sain d'après norton) qui pèse 476 ko et j'ai également dans le systemini shell=explorer.exe (dont il est question dans l'article envoyé par mister beegee) mais pas de load.exe
ce qui fait 3 éléments douteux ( win 98Se, mmc.exe et explorer.exe)
Donc, je récapitule: j'ai un fichier mmc.exe (sain d'après norton) qui pèse 476 ko et j'ai également dans le systemini shell=explorer.exe (dont il est question dans l'article envoyé par mister beegee) mais pas de load.exe
ce qui fait 3 éléments douteux ( win 98Se, mmc.exe et explorer.exe)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut ma belle marguerite il existe 3 variantes de nimda nimdaA,nimda je sais plus quoi et nimdaE les 3 degrades ta machine de manière importante.
Le principe est simple si tu as NT 4 ou 2000 ou Xp il sature ton réseau en se créant un compte admin.
Il se présente soit sur la forme d'un point exe soit sous la forme d'un fichier EML.
En gros on l'attrappa par mail (+transmit par le carnet d'adrs si tu as outlook) ou tout betement en surfant sur le Web car il contamine également les serveurs IIS.
Pour l'eradiquer il faut telecharger fixnimdaA et fixnimdaE et les lancer..C tout en connaissance de cause mefie toi du loup car certains de ces fichiers présents sur le net hébergent un troyen.
Pour eviter de le rattraper il faut mettre a jour IE avec un path spécial... mail moi pour+
Le principe est simple si tu as NT 4 ou 2000 ou Xp il sature ton réseau en se créant un compte admin.
Il se présente soit sur la forme d'un point exe soit sous la forme d'un fichier EML.
En gros on l'attrappa par mail (+transmit par le carnet d'adrs si tu as outlook) ou tout betement en surfant sur le Web car il contamine également les serveurs IIS.
Pour l'eradiquer il faut telecharger fixnimdaA et fixnimdaE et les lancer..C tout en connaissance de cause mefie toi du loup car certains de ces fichiers présents sur le net hébergent un troyen.
Pour eviter de le rattraper il faut mettre a jour IE avec un path spécial... mail moi pour+
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
585
20 nov. 2001 à 23:28
20 nov. 2001 à 23:28
Marguerite,
Comment ?
Hey... tu exagères là !
>>>3 éléments douteux ( win 98Se, mmc.exe et explorer.exe)
Saches que shell=explorer.exe dans System.ini est tout à fait normal et, je dirais même absolument obligatoire !!! c'est le load.exe en paramètre qui n'est pas normal !
Quel problème avec Win98Se ?
Le seul élément troublant dans ton système est la présence de MMC.exe mais tu as peut-être une option qui peut l'expliquer !
Depuis ton premier post (19/11 10h), Nimda n'aurait pas perdu de temps et tu saurais s'il était là ! (fichiers .eml, fichiers riched20.dll dans chaque répertoire infecté, la date de chaque répertoire infecté modifié à la date du jour, etc.)
Je ne crois pas que tu sois infectée par Nimda !
Comment ?
Hey... tu exagères là !
>>>3 éléments douteux ( win 98Se, mmc.exe et explorer.exe)
Saches que shell=explorer.exe dans System.ini est tout à fait normal et, je dirais même absolument obligatoire !!! c'est le load.exe en paramètre qui n'est pas normal !
Quel problème avec Win98Se ?
Le seul élément troublant dans ton système est la présence de MMC.exe mais tu as peut-être une option qui peut l'expliquer !
Depuis ton premier post (19/11 10h), Nimda n'aurait pas perdu de temps et tu saurais s'il était là ! (fichiers .eml, fichiers riched20.dll dans chaque répertoire infecté, la date de chaque répertoire infecté modifié à la date du jour, etc.)
Je ne crois pas que tu sois infectée par Nimda !
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
585
19 nov. 2001 à 10:58
19 nov. 2001 à 10:58
Je dirais la même chose que _Jeune_Padawan, si tu avais Nimda, tu le saurais... avec le temps...
Nimda change la date des répertoires infectés en même temps qu'il inserre un fichier riched20.dll et un fichier .eml
Bien sûr, mon post ne veut pas dire : attendez de voir ces fichiers !
N'oubliez pas d'être prudents !
Concernant MMC.exe, je ne comprends pas pourquoi certains trouvent ce fichier sur leur disque car il ne fait pas partie du système Win98 SE.
Quelqu'un aurait-il une explication ?
Nimda change la date des répertoires infectés en même temps qu'il inserre un fichier riched20.dll et un fichier .eml
Bien sûr, mon post ne veut pas dire : attendez de voir ces fichiers !
N'oubliez pas d'être prudents !
Concernant MMC.exe, je ne comprends pas pourquoi certains trouvent ce fichier sur leur disque car il ne fait pas partie du système Win98 SE.
Quelqu'un aurait-il une explication ?
lcfnancy
Messages postés
246
Date d'inscription
vendredi 13 avril 2001
Statut
Membre
Dernière intervention
22 octobre 2003
53
19 nov. 2001 à 11:17
19 nov. 2001 à 11:17
C'est la mmc qui est au coeur de la gestion de W2K et XP. toute l'administration de la machine se fait par elle. Elle s'installe également sur du NT si on monte IIS, Exchange, Proxy Server...
Moi, je ne la virerais pas !!!
Moi, je ne la virerais pas !!!
marguerite
Messages postés
228
Date d'inscription
lundi 19 novembre 2001
Statut
Membre
Dernière intervention
25 janvier 2003
25
19 nov. 2001 à 22:02
19 nov. 2001 à 22:02
Bon, merci pour toutes ces explications. Mon micro se porte bien, alors je garde ce fichier.
@+
@+
ipl
Messages postés
5723
Date d'inscription
lundi 8 octobre 2001
Statut
Contributeur sécurité
Dernière intervention
14 avril 2012
585
19 nov. 2001 à 11:23
19 nov. 2001 à 11:23
Merci pour ces informations précieuses !
Maintenant je saurai !
Maintenant je saurai !
Je viens de constater que MMC.EXE peut être aussi une composante du virus NIMDA.
Infos trouvées à :
http://aspirine.altasecu.com/control.html?encyclo
TYPE: virus de fichiers Windows 32 bits, ver Internet
TAILLE: 56 ko pour le fichier .exe, 78 ko pour le fichier .eml
CARACTERISTIQUES: n'a besoin d'aucune intervention de l'utilisateur
utilise des failles de sécurité dans Internet Explorer, Outlook et IIS (serveur web de Microsoft) -- Installez les patches !
modifie des sites web existants
DECOUVERT: 18 septembre 2001
Description générale :
Nimda a été découvert le 18 septembre, et semble se propager extrêmement rapidement à travers le monde. Il utilise des moyens très variés pour cela :
Envoi massif de mails à toutes les adresses trouvées dans MS Exchange et dans les pages HTML contenues sur le disque.
Copie de fichiers infectés sur les dossiers partagés en réseau local.
Attaque de serveurs Web IIS pour infecter des sites sur le Net. Les visiteurs de ces sites seront infectés à leur tour.
Tout ceci se fait en exploitant des failles de sécurité des logiciels Microsoft, donc de manière complètement invisible pour les victimes. Les fichiers attachés sont sauvegardés et lancés automatiquement, les paramètres de sécurité sont inutiles.
Pour s'en protéger, appliquer les patches disponibles en téléchargement chez Microsoft :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp (en anglais)
Détails techniques :
Installation :
Nimda se copie dans le dossier de Windows, sous le nom MMC.EXE, et dans le dossier système, sous les noms RICHED20.DLL (à la place de l'original de Windows) et LOAD.EXE.
Il se copie aussi dans le dossier temporaire (C:\Windows\Temp) sous des noms aléatoires comme mep01A2.TMP ou mep1A0.TMP.exe.
Les fichiers .exe ont les attributs "caché" et "système".
Pour être lancé à chaque démarrage de Windows, Nimda modifie le fichier SYSTEM.INI en ajoutant :
[boot]
shell=explorer.exe load.exe -dontrunold
Transmission par mail :
Nimda collecte des adresses email en se connectant à MS Exchange par le système MAPI, et en scannant les fichiers HTML.
Il envoie à toutes ces adresses un message sans texte, parfois sans sujet, parfois avec un sujet portant le nom d'un fichier choisi au hasard sur la machine infectée. Le message contient une pièce jointe, readme.exe,
Transmission sur les réseaux locaux :
Nimda parcourt tous les lecteurs locaux et réseau, et infecte tous les dossiers trouvés de 2 manières :
Il crée des fichiers .eml (courriers Outlook) et quelques ficheirs .nws (fichiers Microsoft Internet News). On retrouve ces fichiers partout, il peut y en avoir des milliers. Ils contiennent un courrier infecté. Si on ouvre l'un de ces fichiers avec une version d'Outlook non patchée, le ver s'installe.
Il cherche tous les fichiers HTML, HTM et ASP dont le nom contient DEFAULT, INDEX, MAIN ou README. Il leur ajoute un petit JavaScript qui ouvre le fichier infecté README.EML, créé dans le même dossier. C'est en partie comme ça que des sites web se retrouvent infectés.
Il infecte les fichiers .exe .
Transmission par échange de fichiers :
Au cours de son exploration des lecteurs locaux et réseaux, Nimda infecte les fichiers .exe . L'échange entre utilisateurs de ces fichiers aide le virus à se répandre.
Transmission par attaque de serveurs IIS :
Nimda peut se télécharger (Upload) sur des serveurs web IIS : il scanne des adresses IP au hasard, et quand il trouve un serveur IIS vulnérable, il le force à télécharger un fichier infecté, ADMIN.DLL, et à l'exécuter. Le serveur web se retrouve contaminé, et Nimda peut scanner et infecter les pages de tous les sites hébergés sur ce serveur. Ainsi les utilisateurs d'Internet Explorer qui visiteront ces sites seront à leur tour infectés.
Autres actions :
Sur les ordinateurs infectés, Nimda effectue quelques modifications dont les effets peuvent être dramatiques.
Sur les réseaux locaux, il partage tous les lecteurs en lecture/écriture.
Il ajoute un administrateur de réseau, du nom de "Guest", sans mot de passe, qui a donc tous les droits.
Les utilisateurs d'Outlook qui ajoutent une signature HTML à leurs courriers transmettront Nimda dans la signature, à la manière de Kak.
Nimda a quelques bugs qui l'empêchent de se propager ou plantent l'ordinateur dans certaines situations.
Il contient une notice de copyright, jamais affichée :
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
Infos trouvées à :
http://aspirine.altasecu.com/control.html?encyclo
TYPE: virus de fichiers Windows 32 bits, ver Internet
TAILLE: 56 ko pour le fichier .exe, 78 ko pour le fichier .eml
CARACTERISTIQUES: n'a besoin d'aucune intervention de l'utilisateur
utilise des failles de sécurité dans Internet Explorer, Outlook et IIS (serveur web de Microsoft) -- Installez les patches !
modifie des sites web existants
DECOUVERT: 18 septembre 2001
Description générale :
Nimda a été découvert le 18 septembre, et semble se propager extrêmement rapidement à travers le monde. Il utilise des moyens très variés pour cela :
Envoi massif de mails à toutes les adresses trouvées dans MS Exchange et dans les pages HTML contenues sur le disque.
Copie de fichiers infectés sur les dossiers partagés en réseau local.
Attaque de serveurs Web IIS pour infecter des sites sur le Net. Les visiteurs de ces sites seront infectés à leur tour.
Tout ceci se fait en exploitant des failles de sécurité des logiciels Microsoft, donc de manière complètement invisible pour les victimes. Les fichiers attachés sont sauvegardés et lancés automatiquement, les paramètres de sécurité sont inutiles.
Pour s'en protéger, appliquer les patches disponibles en téléchargement chez Microsoft :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp (en anglais)
Détails techniques :
Installation :
Nimda se copie dans le dossier de Windows, sous le nom MMC.EXE, et dans le dossier système, sous les noms RICHED20.DLL (à la place de l'original de Windows) et LOAD.EXE.
Il se copie aussi dans le dossier temporaire (C:\Windows\Temp) sous des noms aléatoires comme mep01A2.TMP ou mep1A0.TMP.exe.
Les fichiers .exe ont les attributs "caché" et "système".
Pour être lancé à chaque démarrage de Windows, Nimda modifie le fichier SYSTEM.INI en ajoutant :
[boot]
shell=explorer.exe load.exe -dontrunold
Transmission par mail :
Nimda collecte des adresses email en se connectant à MS Exchange par le système MAPI, et en scannant les fichiers HTML.
Il envoie à toutes ces adresses un message sans texte, parfois sans sujet, parfois avec un sujet portant le nom d'un fichier choisi au hasard sur la machine infectée. Le message contient une pièce jointe, readme.exe,
Transmission sur les réseaux locaux :
Nimda parcourt tous les lecteurs locaux et réseau, et infecte tous les dossiers trouvés de 2 manières :
Il crée des fichiers .eml (courriers Outlook) et quelques ficheirs .nws (fichiers Microsoft Internet News). On retrouve ces fichiers partout, il peut y en avoir des milliers. Ils contiennent un courrier infecté. Si on ouvre l'un de ces fichiers avec une version d'Outlook non patchée, le ver s'installe.
Il cherche tous les fichiers HTML, HTM et ASP dont le nom contient DEFAULT, INDEX, MAIN ou README. Il leur ajoute un petit JavaScript qui ouvre le fichier infecté README.EML, créé dans le même dossier. C'est en partie comme ça que des sites web se retrouvent infectés.
Il infecte les fichiers .exe .
Transmission par échange de fichiers :
Au cours de son exploration des lecteurs locaux et réseaux, Nimda infecte les fichiers .exe . L'échange entre utilisateurs de ces fichiers aide le virus à se répandre.
Transmission par attaque de serveurs IIS :
Nimda peut se télécharger (Upload) sur des serveurs web IIS : il scanne des adresses IP au hasard, et quand il trouve un serveur IIS vulnérable, il le force à télécharger un fichier infecté, ADMIN.DLL, et à l'exécuter. Le serveur web se retrouve contaminé, et Nimda peut scanner et infecter les pages de tous les sites hébergés sur ce serveur. Ainsi les utilisateurs d'Internet Explorer qui visiteront ces sites seront à leur tour infectés.
Autres actions :
Sur les ordinateurs infectés, Nimda effectue quelques modifications dont les effets peuvent être dramatiques.
Sur les réseaux locaux, il partage tous les lecteurs en lecture/écriture.
Il ajoute un administrateur de réseau, du nom de "Guest", sans mot de passe, qui a donc tous les droits.
Les utilisateurs d'Outlook qui ajoutent une signature HTML à leurs courriers transmettront Nimda dans la signature, à la manière de Kak.
Nimda a quelques bugs qui l'empêchent de se propager ou plantent l'ordinateur dans certaines situations.
Il contient une notice de copyright, jamais affichée :
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
