IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Conficker continue de se répandre

  1. #1
    Membre émérite
    Avatar de Jean-Philippe Dubé
    Homme Profil pro
    Analyse système
    Inscrit en
    Mai 2006
    Messages
    1 266
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Analyse système
    Secteur : Service public

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 266
    Points : 2 641
    Points
    2 641
    Par défaut Conficker continue de se répandre
    Alors que les médias ont détourné leur attention du ver conficker, celui-ci continue à faire des ravages. Le Conficker Working Group affirme que le nombre d'adresses IP contaminées est passé de 3,7 millions en mai à 5,7 millions en juin ce qui veut dire que le nombre d'adresses IP contaminé à augmenté de 1,4 million en 1 mois. Cependant, le Conficker Working Group soutient que le nombre d'ordinateurs contaminé représente entre 25% à 75% le nombre d'adresses IP contaminées. La divergence entre le nombre de PC contaminé et le nombre d'adresses IP contaminé est dû au fait que les ordinateurs sur un même réseau partagent la même adresse IP. Selon les chiffes du Conficker Working Group, on peut conclure qu'il y a un minimum de 1,2 million d'ordinateurs infectés par conficker. Le laboratoire de Trend Micro affirme quant à lui qu'il y aurait 1,9 million d'ordinateurs touchés par conficker. Jusqu'a maintenant, conficker aurait été utilisé surtout pour inciter les utilisateurs infectés à acheter de faux antivirus et à exploiter l'ordinateur pour l'envoie de SPAM.

    La rédaction de la rubrique sécurité conseille à tous les utilisateurs des produits Microsoft Windows de télécharger et d'installer le correctif MS08-067 qui corrige la faille utilisée par conficker. L'utilisation d'un antivirus et d'un pare-feu à jour est aussi recommandé.

    Qu'en pensez-vous?

  2. #2
    Membre chevronné
    Avatar de kmaniche
    Inscrit en
    Janvier 2006
    Messages
    1 717
    Détails du profil
    Informations forums :
    Inscription : Janvier 2006
    Messages : 1 717
    Points : 1 884
    Points
    1 884
    Par défaut
    Que propose Microsoft pour y remédier, sans doute Windows 7 avec l'activation du kill switch

    Comment peut-on sûr si le système est infecté par ce Confiker ?
    Les règles Les cours La fonction rechercher

    N'oubliez pas de mettre en et de voter.

    La terre n'est pas un héritage de nos parents, mais un emprunt que nous faisons à nos enfants. La protection de notre environnement est la responsabilité de tous. Ne reculez plus devant l'urgence, agissez !

  3. #3
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    Je ne venere pas les créateurs de virus, loin de là..mais j'avoue que celui/ceux qui ont codé cette saleté ont fait fort .

    La bete desactivent les anti-virus, bloque les mise à jour de sécurité, bloque l'accés aux sites permettant de l'enlever, s'auto-update en mutant, peut servir de cracker brut force ou encore au transfert p2p....le tout en quelques kilo-octets seulement.....
    It's not a bug, it's a feature

  4. #4
    Membre éprouvé
    Homme Profil pro
    Touche à tout informatique autodidacte
    Inscrit en
    Janvier 2007
    Messages
    808
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Touche à tout informatique autodidacte

    Informations forums :
    Inscription : Janvier 2007
    Messages : 808
    Points : 912
    Points
    912
    Par défaut
    Bonjour,

    Autrement, je me suis chopé ce virus. Je peux dire qu'il est colosse, il se répand sur tous le réseau à travers les partages mappés. Récupères du net un autre virus et l'installe qui lui bloque les anti-virus. Il ajoute des tâches dans le planificateurs de tâches. Le tout ralentit jusqu'à bloquer le réseau.
    Une constatation personnelle aussi dont je n'ai pas trouvé trace sur le net, s'il trouve un OS windows serveur, il change je ne sais quoi qui fait que les dossiers partagés sont limités en nombre d'utilisateurs. Le dépassement en nombre de connexion à ces dossiers aboutit à un plantage du partage. Seule parade, si j'ose dire, formatage. Je n'ai rien trouvé sur le net qui en parle et, donc, donne une solution. J'en parles ici d'ailleurs.
    Mon post

  5. #5
    Membre émérite
    Avatar de Jean-Philippe Dubé
    Homme Profil pro
    Analyse système
    Inscrit en
    Mai 2006
    Messages
    1 266
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Analyse système
    Secteur : Service public

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 266
    Points : 2 641
    Points
    2 641
    Par défaut
    Citation Envoyé par kmaniche Voir le message

    Comment peut-on sûr si le système est infecté par ce Confiker ?
    Les symptômes de ce virus sont un très bon indice.

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    Juin 2008
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2008
    Messages : 90
    Points : 124
    Points
    124
    Par défaut
    Salut,

    Conficker est une saleté pas très facile à virer. Elle cherche aussi les machines vulnérables du réseau à la recherche de mots de passe faible, et se met à jour quotidiennement à travers un certain nombre de sites Web qui changent très souvent.

    FillPCA

  7. #7
    Candidat au Club
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1
    Points : 2
    Points
    2
    Par défaut
    Citation Envoyé par kabkab Voir le message
    Autrement, je me suis chopé ce virus. Je peux dire qu'il est colosse, il se répand sur tous le réseau à travers les partages mappés. Récupères du net un autre virus et l'installe qui lui bloque les anti-virus. Il ajoute des tâches dans le planificateurs de tâches. Le tout ralentit jusqu'à bloquer le réseau.
    Une constatation personnelle aussi dont je n'ai pas trouvé trace sur le net, s'il trouve un OS windows serveur, il change je ne sais quoi qui fait que les dossiers partagés sont limités en nombre d'utilisateurs. Le dépassement en nombre de connexion à ces dossiers aboutit à un plantage du partage. Seule parade, si j'ose dire, formatage. Je n'ai rien trouvé sur le net qui en parle et, donc, donne une solution. J'en parles ici d'ailleurs.
    Mon post
    Salut, j'ai eu les mêmes symptômes avec 2 clients, les partages au bout de quelques heures tombent. Et à chaque fois le virus était présent. j'ai fait tous ce qu'il fallait faire pour virer le ver, mais le probléme reste, et je ne vois que le reformatage pour revenir à la situation normal, car je n'ai strictment rien trouvé sur Internet pour réparer. Les OS en questions sont des XP Pro.

  8. #8
    Membre régulier
    Profil pro
    Inscrit en
    Juin 2008
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2008
    Messages : 90
    Points : 124
    Points
    124
    Par défaut
    Salut,

    Pour savoir si le pc est toujours infecté, il faut regarder si l'accès aux éditeurs antivirus principaux est possible.

    L'infection rajoute aussi des données dans la valeur de registre
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
    "netsvcs"
    Fill

  9. #9
    Membre actif
    Profil pro
    Inscrit en
    Avril 2002
    Messages
    465
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2002
    Messages : 465
    Points : 241
    Points
    241
    Par défaut
    Salut,
    vous conseillez quel anti virus...pour ce virus...
    Moi je n'en ait pas installé pour l'instant sur mon vista...

    ?

  10. #10
    Membre régulier
    Profil pro
    Inscrit en
    Juin 2008
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2008
    Messages : 90
    Points : 124
    Points
    124
    Par défaut
    Salut,

    La plupart des grands éditeurs détectent correctement l'infection, la meilleure prévention restant la mise à jour de windows, en particulier la MS08-067
    Maintenant, si une machine (ou un parc) est infectée, l'antivirus ne suffit pas pour rétablir les modifications apportées par le malware, qui est une machine de guerre utilisant pas mal de fonctionnalités avancées.

    Fill

  11. #11
    Rédacteur
    Avatar de pi-2r
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2006
    Messages
    1 483
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Juin 2006
    Messages : 1 483
    Points : 2 440
    Points
    2 440
    Par défaut
    Bonsoir,

    pour ma part je trouve que ce vers est extrême bien pensé...

    Tout d'abord il exploite la faille MS08-067 de chez Microsoft pour infecter les autres machines d'un réseau.

    Il commence part créer un réseau local pour infecter les autres ordinateurs d'un parc en envoyant des requête RPC malicieuse, qui exploite un débordement de tampon et dés qu'il marche sur une machine, le code malicieux s'exécute (shellcode) pour enfin télécharger dans son intégralité le vers. Il va par la suite utiliser les droits admin (les Credentials) pour pouvoir se répandre.....
    Il utilise aussi divers méthode pour connaitre la liste des utilisateurs d'un ordi ainsi que leur mot de passe tout en identifiants leurs droits (malin l'animal )

    Une fois logé, le vers va se diffuser par les ports USB (avec un dossier nommé "RECYCLER"). Il va aussi créer une clé de registre afin de s'exécuter à chaque démarrage tout en supprimant les service de sécurité et les résolutions DNS contenant des mots affilié à des éditeurs d'antivirus. En gros il interdit toute mise à jours des antivirus.
    D'autre part, Conficker ouvre des ports afin de ce diffuser et supprime tout les points de restaurations du système infecter et comble du comble, il est capable de de "patcher" la machine infecter afin que d'autre vers ne viennent empiéter sur "sa machine"

    comment éviter d'être infecter ?
    -appliquer les correctifs comme l'a indiqué Jean-Philippe
    -Mettre à jours l'antivirus
    -Scanner la machine avec un live CD
    -Interdire les lancements automatiques

    note: il semblerait que le créateur du vers soit d'origine Ukrainienne... Si vous avez des infos qui conduit à l'arrestation de l'auteur de Conficker, Microsoft offre une prime de 250 000 $
    Les pièges de l'Internet
    Helix, réponse à une intrusion


    "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
    "Si j'ai vu plus loin, c'est en me tenant sur les épaules de géants." Isaac Newton

  12. #12
    Membre actif
    Avatar de repié
    Profil pro
    Inscrit en
    Décembre 2004
    Messages
    335
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : Décembre 2004
    Messages : 335
    Points : 281
    Points
    281
    Par défaut
    Mais quel est le moyen de diffusion du ver? (au hasard, Internet Explorer?)
    Pti Pié

  13. #13
    Membre éprouvé
    Homme Profil pro
    Touche à tout informatique autodidacte
    Inscrit en
    Janvier 2007
    Messages
    808
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Touche à tout informatique autodidacte

    Informations forums :
    Inscription : Janvier 2007
    Messages : 808
    Points : 912
    Points
    912
    Par défaut
    Bonjour,
    repié, non plus dangereux encore. Moi je me le suis chopé juste en me connectant à un nouveau ISP en wimax directement sur ma machine sans le passer par un routeur. Donc je n'avais pas de firewall pour contrer ses attaques il est entré tout bonnement par le service netbios. C'est celà sa force. C'est surtout mon erreur parce que j'avais eu des avertissements de teatimer-spybot mais j'ai accepté une entrée.
    Bien sûr un support magnétique où il serait installé avec un autorun aurait aussi fait son affaire.

  14. #14
    Membre expérimenté
    Avatar de randriano
    Homme Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 218
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 218
    Points : 1 437
    Points
    1 437
    Par défaut
    Je croyais que ce virus était de l'histoire ancienne en France puisque ça date de 2008

    Ici à Madagascar, Conficker ou Downadup fait encore des ravages retardant même la livraison de projet comme ce qui venait de nous arriver hier!

    Ce que je me demande aussi comment il se lance à chaque redémarrage car il ne crée pas d'entrée dans "Run" du registre?
    randriano.dvp.com
    Développeur. Product Owner [Agile]. Sites web, mobile apps, système d'information (SI).

  15. #15
    Membre chevronné

    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2002
    Messages
    1 288
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Août 2002
    Messages : 1 288
    Points : 1 936
    Points
    1 936
    Par défaut
    Il y a plein de techniques: services, dll ajoutée à l'explorateur etc.
    Delphi 7/XE2/XE3
    C#
    Oracle 9i à 12c
    SQL Server 2008 à 2014

  16. #16
    Membre éclairé
    Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2002
    Messages
    465
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2002
    Messages : 465
    Points : 805
    Points
    805
    Par défaut
    Citation Envoyé par Firwen Voir le message
    Je ne venere pas les créateurs de virus, loin de là..mais j'avoue que celui/ceux qui ont codé cette saleté ont fait fort .

    La bete desactivent les anti-virus, bloque les mise à jour de sécurité, bloque l'accés aux sites permettant de l'enlever, s'auto-update en mutant, peut servir de cracker brut force ou encore au transfert p2p....le tout en quelques kilo-octets seulement.....
    Comme quoi des gens capables d'optimiser leur code, ça existe encore

  17. #17
    Rédacteur
    Avatar de pi-2r
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2006
    Messages
    1 483
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Juin 2006
    Messages : 1 483
    Points : 2 440
    Points
    2 440
    Par défaut comment supprimer Conficker
    Bonjour,

    j'ai trouvé quelques outils de désinfection pour ceux que cela intéresse.


    -McAfee Conficker Detection Tool
    -Bitdifender
    -Downatool
    -Memory Disinfector
    -Detecting Conficker Files and Registry
    -Nonficker Vaxination Tool

    étape à suivre:

    1- lancer les outils de détection et de désinfection
    2- installer le Patch de Microsoft
    3- re-démarrer votre machine

    Les pièges de l'Internet
    Helix, réponse à une intrusion


    "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
    "Si j'ai vu plus loin, c'est en me tenant sur les épaules de géants." Isaac Newton

  18. #18
    Inactif  
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    885
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 885
    Points : 1 320
    Points
    1 320
    Par défaut
    Truc bête : les Vista SP2 ne sont pas concernés par la mise à jour ? Le correctif est déjà intégré ?
    Je vois bien les patchs pour Vista et Vista SP1, mais point d'SP2, et le patch pour le SP1 -évidemment- indique qu'il ne prend pas en charge le SP2.
    *graou* et même *graou*, ou encore *graou*

  19. #19
    Membre régulier Avatar de ghost emperor
    Profil pro
    Technicien Help Desk
    Inscrit en
    Septembre 2007
    Messages
    170
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Technicien Help Desk

    Informations forums :
    Inscription : Septembre 2007
    Messages : 170
    Points : 122
    Points
    122
    Par défaut
    Mais une petite question sur ce vers :
    Comment fait-il pour bloquer les accès à certains sites sans modifier le fichier host ?

    Sinon mon entreprise l'a chopé aussi, on a paralysé le parc une journée car les pc se réinfectaient. On a bien lutté pour l'éradiquer. Mais je dois reconnaître que l'exploit est de taille (dans les deux sens du terme).

    Encore un qui ferait mieu de se laisser attraper, à mon avis il finira dans une société de sécurité informatique, comme la plupart des grands de ce milieu.
    - "Pourquoi t'as pas de signature ?"

  20. #20
    Futur Membre du Club
    Profil pro
    Étudiant
    Inscrit en
    Septembre 2009
    Messages
    6
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Septembre 2009
    Messages : 6
    Points : 9
    Points
    9
    Par défaut
    Nmap s'avère utile ici pour les sysadmins afin de vérifier l'intégrité de leur réseau : http://www.skullsecurity.org/blog/?p=209
    Et une analyse en prime : www.honeynet.org/files/KYE-Conficker.pdf

Discussions similaires

  1. Conficker continue de se répandre
    Par Jean-Philippe Dubé dans le forum Sécurité
    Réponses: 0
    Dernier message: 04/07/2009, 20h16
  2. Figer colonnes dans formulaire continu
    Par Mr.Gus dans le forum IHM
    Réponses: 10
    Dernier message: 30/11/2003, 14h59
  3. L'instruction continue ?
    Par Patrick PETIT dans le forum C
    Réponses: 11
    Dernier message: 10/03/2003, 09h05
  4. [VB6] attendre un événement pour continuer l'exécution
    Par Argonz dans le forum VB 6 et antérieur
    Réponses: 21
    Dernier message: 12/11/2002, 14h08
  5. [langage] Continuer a parser une ligne
    Par D[r]eadLock dans le forum Langage
    Réponses: 5
    Dernier message: 30/09/2002, 19h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo