Bonjour,
Liens a utiliser pour la Detection:
====================================
Afin de faciliter la detection des postes infectes, deux liens
permettant de tester directement les postes en ligne ont
ete mis en place. Il suffit de cliquer sur ces liens a partir de
n'importe quel poste pour verifier si le poste est infectes ou non.
(Ces liens peuvent etre diffuse a l'ensemble des utilisateurs)
Conficker Eye Chart:
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Conficker Online Infection Indicator:
http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
L'utilisation de scanner pour la detection est aussi possible:
http://isc.sans.org/diary.html?storyid=6097
Les traces de connections a rechercher concerne les access sur le port
80 de vos log (facilement detectable dans les log des proxy),
elle sont du type :
"GET http://aaa.bbb.ccc.ddd/search?q=0 HTTP/1.0"
"GET http://aaa.bbb.ccc.ddd/search?q=n+1 HTTP/1.0"
...
Description du malware:
- -----------------------
Le ver W32/Conficker ainsi que ces variantes les plus récentes
(Conficker.B, alias Downadup.B) utilisent plusieurs moyens
de propagation: il exploite la vulnérabilité corrigée dans Windows
Server Service (MS08-067) en devinant les mots de passe réseau
et en infectant les clés USB.
Une fois infectées le ver va modifier la configuration de
la machine pour se propager. Il va s'executer dans le processus
de demmarrage, modifier les droits d?accès aux fichiers et clés de
registre du ver de sorte que l?utilisateur ne puisse ni les supprimer,
ni les changer. Ainsi qu'empecher toutes mises a jour des PC infectees.
Pour éviter la contamination :
- -------------------------------
- - Assurez-vous que les derniers correctifs de Microsoft ont été
appliqués notammant le correctif MS08-067**
- - Assurez-vous que l?antivirus est bien à jour
- - Vérifiez que l?antivirus a bien téléchargé les dernières mises à jour
- - Désactivez les modes AUTORUN et AUTOPLAY pour les clés USB
Disabling AutoRun on Microsoft Windows:
http://www.us-cert.gov/cas/techalerts/TA09-020A.html
Il semble que la reinstallation complete du systeme soit la
meilleur solution pour eradiquer completement ce ver.
Description du ver "conficker" :
- --------------------------------
http://vil.nai.com/vil/content/v_153464.htm
http://isc.sans.org/diary.html?storyid=5671
http://cert.lexsi.com/...
http://blogs.technet.com/...
...
Removal W32.downadup:
http://www.symantec.com/...
http://www.microsoft.com/security/malwareremove/default.mspx
http://blogs.technet.com/...
Pour rappel, une liste mise a jour d'outils la detection et
l'eradication du ver est disponible ici:
http://isc.sans.org/diary.html?storyid=5860
Analyse et desinfection de la derniere version Conficker.C
==========================================================
http://mtc.sri.com/Conficker/addendumC/
http://cert.lexsi.com/weblog/index.php/2009/03/17/288-detection-de-confickerc
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.C
Analyse et desinfection de la derniere version Conficker.D
==========================================================
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
--
West Coast !
La valeur d'un homme se mesure au poids de ses pensées (IAM)Configuration: Carte-mère ASUS Striker II Extrême 790i Ultra SLi
Intel Pentium Core 2 Quad Q9650 3Ghz FSB 1333 Mhz + Ventirad Noctua HU-12P
Dual-Sli 2 * MSI Nvidia GTX280 1 Go Version OC
G Skill 2 * 2 Go DDR3-PC3 12800 1600 Mhz CAS 7
Raid 0 2 * HDD Western Digital 1 To 32 Mo Cache Caviar Black
Alim Antec TruePower Quattro 1000 Watts
Boîter Grand Tour Antec Twelve Hundred
Windows Vista Business 64 Bits
Protection Anti Malware:
Routeur/ADSL en mode Pare-feu matériel
Comodo Firewall Pro
Avira Antivir PE 2009
CA Anti-Spyware PestPatrol
Spybot S&D
SpywareBlaster
Windows Defender
HijackThis
Panda Anti-Rootkit
BlackLight Anti-Rootkit
CCleaner
Secunia PSI
