Ver Conficker*
1. Présentation
Depuis courant Octobre 2008, un ver dénommé Conficker (ou Downadup, Kido *) se propage massivement sur le web en exploitant une vulnérabilité publiée par Microsoft dans le bulletin de sécurité MS08-067 (disponible à l'url suivante : http://www.microsoft.com/france/technet/security/Bulletin/MS08-067.mspx) qui expliquait :
"Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Serveur. La vulnérabilité pourrait permettre l'exécution de code à distance si un système affecté recevait une requête RPC spécialement conçue. Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d'authentification. Il serait possible d'utiliser cette vulnérabilité dans la création d'un ver. "
La propagation automatique du ver ne nécessite aucune action de la part de l'utilisateur. La machine peut, après infection être contrôlée à distance par un agresseur (introduction de Chevaux de Troie). Le ver a construit un réseau mondial qui comporte déjà plusieurs millions de machines.
Remarque : ( Pour les professionnels de santé ) Les ordinateurs ne sont pas les seuls hôtes potentiels ! Les systèmes utilisant une version embarquée de MS-Windows tels que les IRM ou Scanners connectés à un réseau non dédié sont aussi vulnérables.
Le ver va plus loin : au sujet de la détection des machines infectées, il embarque des composants lui permettant de tromper plusieurs moyens de détection. Une machine infectée désactive le déploiement de correctifs et la détection à partir d'un antivirus (ceci reste théorique, et varie selon les différents outils de détection et protection).
2. Détection et éradication du ver Conficker
Fiche techniqueFonctionnement Global et détection - Le ver balaie l'ensemble des adresses IP du réseau interne (local) de manière incrémentale, chaque machine infectée reproduit cette action, ce qui rend le ver facilement remarquable.
- Le ver utilise le protocole HTTP pour établir une connexion entre deux machines sur des ports anormaux choisis aléatoirement (requêtes typiques), la requête est de la forme : http://[ADRESSE_IP]:[PORT ALEATOIRE]/[NOM DE FICHIER]. Les machines compromises communiquent vers leur contrôleur via HTTP, la requête est alors de la forme : <DOMAINE>/search?q=<XXX>&aq=7.
- Il cherche également à contacter des adresses IP au hasard pour texter leur exploitation.
- Le ver établit des tentatives de connexion sur le partage ADMIN$ et recherche de comptes et de mots de passe, qui peut entraîner le blocage de certains compte dans le domaine Windows, qui sont temporairemet verrouillés.
- Sur une machine, il y a plusieurs traces de l'infection :
- Un nom aléatoire dans la clé de registre HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
- Un nouveau service (du même nom) dans la clé HKLM\SYSTEM\CurrentControlSet\Services\<NOM ALEATOIRE>
- Présence de fichiers AUTORUN (autorun.inf) à la racine des lecteurs du système.
Procédure de désinfection globale
- Identification des machines compromises, en particulier par surveillance des paquets transitant sur le port 445/TCP.
- Eradication du ver sur les machines infectées.
- Déploiement de correctifs et remise en fonctions des divers services désactivés par le ver.
- Mise en place d'un système de protection en profondeur tel que le filtrage/surveillance du port 445/TCP sur les équipements réseau.
Actions à entreprendre
- Chercher dans les logs de pare-feux toute tentative de communication entre une machine internet et une machine externe sur son port (445/TCP).
- Regarder au niveau du proxy Web sortant les tentatives de connexion vers les trois sites qui servent d'indicateurs pour récupérer l'adresse IP publique : (http://checkup.dyndns.org, http://getmyip.co.uk, http://www.getmyip.org).
- Fermer les partages superflux (ADMIN$ si c'est le cas).
Plusieurs solutions pour désinfecter les postes ont été signalées dans le bulletin CERTA-2009-ACT-004 (niveau gouvernemental).
- Outil de suppression MICROSOFT (MSRT)
- Outil de suppression F-SECURE
- Outil de suppression SYMANTEC
- Standalone System Sweeper (Microsoft Desktop Optimization Pack 6.0)
- Procédures manuelles, voir les sources suivantes pour plus d'informations.
Restez Vigilants.
Pour plus d'informations, vous pouvez consulter les sources suivantes :
http://www.securite-informatique.gouv.fr
xxi.ac-reims.fr/lyc-chrestien-de-troyes/IMG/Contre_le_virus_Conficker.pdf
Source générale : Haut fonctionnaire d'état de défense et de sécurité, dans sa lettre du 29 Janvier 2009 aux directeurs généraux des établissements de santé.
Postez vos commentaires ici
 Proposer un tips
|
Notre avis :
Votre avis :
Réactions :
0
Votants :
1
Visites :
9756
|
