Conficker continue de se répandre

[Jean-Philippe Dubé]

Alors que les médias ont détourné leur attention du ver conficker, celui-ci continue à faire des ravages. Le Conficker Working Group affirme que le nombre d'adresses IP contaminées est passé de 3,7 millions en mai à 5,7 millions en juin ce qui veut dire que le nombre d'adresses IP contaminé à augmenté de 1,4 million en 1 mois. Cependant, le Conficker Working Group soutient que le nombre d'ordinateurs contaminé représente entre 25% à 75% le nombre d'adresses IP contaminées. La divergence entre le nombre de PC contaminé et le nombre d'adresses IP contaminé est dû au fait que les ordinateurs sur un même réseau partagent la même adresse IP. Selon les chiffes du Conficker Working Group, on peut conclure qu'il y a un minimum de 1,2 million d'ordinateurs infectés par conficker. Le laboratoire de Trend Micro affirme quant à lui qu'il y aurait 1,9 million d'ordinateurs touchés par conficker. Jusqu'a maintenant, conficker aurait été utilisé surtout pour inciter les utilisateurs infectés à acheter de faux antivirus et à exploiter l'ordinateur pour l'envoie de SPAM.

La rédaction de la rubrique sécurité conseille à tous les utilisateurs des produits Microsoft Windows de télécharger et d'installer le correctif MS08-067 qui corrige la faille utilisée par conficker. L'utilisation d'un antivirus et d'un pare-feu à jour est aussi recommandé.

Qu'en pensez-vous?

[kmaniche]

Que propose Microsoft pour y remédier, sans doute Windows 7 avec l'activation du kill switch

Comment peut-on sûr si le système est infecté par ce Confiker ?

[Firwen]

Je ne venere pas les créateurs de virus, loin de là..mais j'avoue que celui/ceux qui ont codé cette saleté ont fait fort .

La bete desactivent les anti-virus, bloque les mise à jour de sécurité, bloque l'accés aux sites permettant de l'enlever, s'auto-update en mutant, peut servir de cracker brut force ou encore au transfert p2p....le tout en quelques kilo-octets seulement.....

[kabkab]

Bonjour,

Autrement, je me suis chopé ce virus. Je peux dire qu'il est colosse, il se répand sur tous le réseau à travers les partages mappés. Récupères du net un autre virus et l'installe qui lui bloque les anti-virus. Il ajoute des tâches dans le planificateurs de tâches. Le tout ralentit jusqu'à bloquer le réseau.
Une constatation personnelle aussi dont je n'ai pas trouvé trace sur le net, s'il trouve un OS windows serveur, il change je ne sais quoi qui fait que les dossiers partagés sont limités en nombre d'utilisateurs. Le dépassement en nombre de connexion à ces dossiers aboutit à un plantage du partage. Seule parade, si j'ose dire, formatage. Je n'ai rien trouvé sur le net qui en parle et, donc, donne une solution. J'en parles ici d'ailleurs.
Mon post

[Jean-Philippe Dubé]

Citation:

Envoyé par kmaniche

Comment peut-on sûr si le système est infecté par ce Confiker ?

Les symptômes de ce virus sont un très bon indice.

[FillPCA]

Salut,

Conficker est une saleté pas très facile à virer. Elle cherche aussi les machines vulnérables du réseau à la recherche de mots de passe faible, et se met à jour quotidiennement à travers un certain nombre de sites Web qui changent très souvent.

FillPCA

[superpatoch]

Citation:

Envoyé par kabkab

Autrement, je me suis chopé ce virus. Je peux dire qu'il est colosse, il se répand sur tous le réseau à travers les partages mappés. Récupères du net un autre virus et l'installe qui lui bloque les anti-virus. Il ajoute des tâches dans le planificateurs de tâches. Le tout ralentit jusqu'à bloquer le réseau.
Une constatation personnelle aussi dont je n'ai pas trouvé trace sur le net, s'il trouve un OS windows serveur, il change je ne sais quoi qui fait que les dossiers partagés sont limités en nombre d'utilisateurs. Le dépassement en nombre de connexion à ces dossiers aboutit à un plantage du partage. Seule parade, si j'ose dire, formatage. Je n'ai rien trouvé sur le net qui en parle et, donc, donne une solution. J'en parles ici d'ailleurs.
Mon post

Salut, j'ai eu les mêmes symptômes avec 2 clients, les partages au bout de quelques heures tombent. Et à chaque fois le virus était présent. j'ai fait tous ce qu'il fallait faire pour virer le ver, mais le probléme reste, et je ne vois que le reformatage pour revenir à la situation normal, car je n'ai strictment rien trouvé sur Internet pour réparer. Les OS en questions sont des XP Pro.

[FillPCA]

Salut,

Pour savoir si le pc est toujours infecté, il faut regarder si l'accès aux éditeurs antivirus principaux est possible.

L'infection rajoute aussi des données dans la valeur de registre

Citation:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"

Fill

[Telemak]

Salut,
vous conseillez quel anti virus...pour ce virus...
Moi je n'en ait pas installé pour l'instant sur mon vista...

?

[FillPCA]

Salut,

La plupart des grands éditeurs détectent correctement l'infection, la meilleure prévention restant la mise à jour de windows, en particulier la MS08-067
Maintenant, si une machine (ou un parc) est infectée, l'antivirus ne suffit pas pour rétablir les modifications apportées par le malware, qui est une machine de guerre utilisant pas mal de fonctionnalités avancées.

Fill

[pi-2r]

Bonsoir,

pour ma part je trouve que ce vers est extrême bien pensé...

Tout d'abord il exploite la faille MS08-067 de chez Microsoft pour infecter les autres machines d'un réseau.

Il commence part créer un réseau local pour infecter les autres ordinateurs d'un parc en envoyant des requête RPC malicieuse, qui exploite un débordement de tampon et dés qu'il marche sur une machine, le code malicieux s'exécute (shellcode) pour enfin télécharger dans son intégralité le vers. Il va par la suite utiliser les droits admin (les Credentials) pour pouvoir se répandre.....
Il utilise aussi divers méthode pour connaitre la liste des utilisateurs d'un ordi ainsi que leur mot de passe tout en identifiants leurs droits (malin l'animal )

Une fois logé, le vers va se diffuser par les ports USB (avec un dossier nommé "RECYCLER"). Il va aussi créer une clé de registre afin de s'exécuter à chaque démarrage tout en supprimant les service de sécurité et les résolutions DNS contenant des mots affilié à des éditeurs d'antivirus. En gros il interdit toute mise à jours des antivirus.
D'autre part, Conficker ouvre des ports afin de ce diffuser et supprime tout les points de restaurations du système infecter et comble du comble, il est capable de de "patcher" la machine infecter afin que d'autre vers ne viennent empiéter sur "sa machine"

comment éviter d'être infecter ?
-appliquer les correctifs comme l'a indiqué Jean-Philippe
-Mettre à jours l'antivirus
-Scanner la machine avec un live CD
-Interdire les lancements automatiques

note: il semblerait que le créateur du vers soit d'origine Ukrainienne... Si vous avez des infos qui conduit à l'arrestation de l'auteur de Conficker, Microsoft offre une prime de 250 000 $

[repié]

Mais quel est le moyen de diffusion du ver? (au hasard, Internet Explorer?)

[kabkab]

Bonjour,
repié, non plus dangereux encore. Moi je me le suis chopé juste en me connectant à un nouveau ISP en wimax directement sur ma machine sans le passer par un routeur. Donc je n'avais pas de firewall pour contrer ses attaques il est entré tout bonnement par le service netbios. C'est celà sa force. C'est surtout mon erreur parce que j'avais eu des avertissements de teatimer-spybot mais j'ai accepté une entrée.
Bien sûr un support magnétique où il serait installé avec un autorun aurait aussi fait son affaire.

[randriano]

Je croyais que ce virus était de l'histoire ancienne en France puisque ça date de 2008

Ici à Madagascar, Conficker ou Downadup fait encore des ravages retardant même la livraison de projet comme ce qui venait de nous arriver hier!

Ce que je me demande aussi comment il se lance à chaque redémarrage car il ne crée pas d'entrée dans "Run" du registre?

[Linkin]

Il y a plein de techniques: services, dll ajoutée à l'explorateur etc.

[kuranes]

Citation:

Envoyé par Firwen

Je ne venere pas les créateurs de virus, loin de là..mais j'avoue que celui/ceux qui ont codé cette saleté ont fait fort .

La bete desactivent les anti-virus, bloque les mise à jour de sécurité, bloque l'accés aux sites permettant de l'enlever, s'auto-update en mutant, peut servir de cracker brut force ou encore au transfert p2p....le tout en quelques kilo-octets seulement.....

Comme quoi des gens capables d'optimiser leur code, ça existe encore

[pi-2r]

Bonjour,

j'ai trouvé quelques outils de désinfection pour ceux que cela intéresse.


-McAfee Conficker Detection Tool
-Bitdifender
-Downatool
-Memory Disinfector
-Detecting Conficker Files and Registry
-Nonficker Vaxination Tool

étape à suivre:

1- lancer les outils de détection et de désinfection
2- installer le Patch de Microsoft
3- re-démarrer votre machine

[entreprise38]

Truc bête : les Vista SP2 ne sont pas concernés par la mise à jour ? Le correctif est déjà intégré ?
Je vois bien les patchs pour Vista et Vista SP1, mais point d'SP2, et le patch pour le SP1 -évidemment- indique qu'il ne prend pas en charge le SP2.

[ghost emperor]

Mais une petite question sur ce vers :
Comment fait-il pour bloquer les accès à certains sites sans modifier le fichier host ?

Sinon mon entreprise l'a chopé aussi, on a paralysé le parc une journée car les pc se réinfectaient. On a bien lutté pour l'éradiquer. Mais je dois reconnaître que l'exploit est de taille (dans les deux sens du terme).

Encore un qui ferait mieu de se laisser attraper, à mon avis il finira dans une société de sécurité informatique, comme la plupart des grands de ce milieu.

[RTFMRTFM]

Nmap s'avère utile ici pour les sysadmins afin de vérifier l'intégrité de leur réseau : http://www.skullsecurity.org/blog/?p=209
Et une analyse en prime : www.honeynet.org/files/KYE-Conficker.pdf