Sécurité : Le ver Conficker continue de se répandre

Le , par Jean-Philippe Dubé, Membre émérite
Alors que les médias ont détourné leur attention du ver conficker, celui-ci continue à faire des ravages. Le Conficker Working Group affirme que le nombre d'adresses IP contaminées est passé de 3,7 millions en mai à 5,7 millions en juin ce qui veut dire que le nombre d'adresses IP contaminé à augmenté de 1,4 million en 1 mois. Cependant, le Conficker Working Group soutient que le nombre d'ordinateurs contaminé représente entre 25% à 75% le nombre d'adresses IP contaminées. La divergence entre le nombre de PC contaminé et le nombre d'adresses IP contaminé est dû au fait que les ordinateurs sur un même réseau partagent la même adresse IP. Selon les chiffes du Conficker Working Group, on peut conclure qu'il y a un minimum de 1,2 million d'ordinateurs infectés par conficker. Le laboratoire de Trend Micro affirme quant à lui qu'il y aurait 1,9 million d'ordinateurs touchés par conficker. Jusqu'a maintenant, conficker aurait été utilisé surtout pour inciter les utilisateurs infectés à acheter de faux antivirus et à exploiter l'ordinateur pour l'envoie de SPAM.

La rédaction de la rubrique sécurité conseille à tous les utilisateurs des produits Microsoft Windows de télécharger et d'installer le correctif MS08-067 qui corrige la faille utilisée par conficker. L'utilisation d'un antivirus et d'un pare-feu à jour est aussi recommandé.

Qu'en pensez-vous?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de FillPCA FillPCA - Membre régulier https://www.developpez.com
le 05/07/2009 à 20:53
Salut,

La plupart des grands éditeurs détectent correctement l'infection, la meilleure prévention restant la mise à jour de windows, en particulier la MS08-067
Maintenant, si une machine (ou un parc) est infectée, l'antivirus ne suffit pas pour rétablir les modifications apportées par le malware, qui est une machine de guerre utilisant pas mal de fonctionnalités avancées.

Fill
Avatar de pi-2r pi-2r - Rédacteur https://www.developpez.com
le 05/07/2009 à 21:13
Bonsoir,

pour ma part je trouve que ce vers est extrême bien pensé...

Tout d'abord il exploite la faille MS08-067 de chez Microsoft pour infecter les autres machines d'un réseau.

Il commence part créer un réseau local pour infecter les autres ordinateurs d'un parc en envoyant des requête RPC malicieuse, qui exploite un débordement de tampon et dés qu'il marche sur une machine, le code malicieux s'exécute (shellcode) pour enfin télécharger dans son intégralité le vers. Il va par la suite utiliser les droits admin (les Credentials) pour pouvoir se répandre.....
Il utilise aussi divers méthode pour connaitre la liste des utilisateurs d'un ordi ainsi que leur mot de passe tout en identifiants leurs droits (malin l'animal )

Une fois logé, le vers va se diffuser par les ports USB (avec un dossier nommé "RECYCLER"). Il va aussi créer une clé de registre afin de s'exécuter à chaque démarrage tout en supprimant les service de sécurité et les résolutions DNS contenant des mots affilié à des éditeurs d'antivirus. En gros il interdit toute mise à jours des antivirus.
D'autre part, Conficker ouvre des ports afin de ce diffuser et supprime tout les points de restaurations du système infecter et comble du comble, il est capable de de "patcher" la machine infecter afin que d'autre vers ne viennent empiéter sur "sa machine"

comment éviter d'être infecter ?
-appliquer les correctifs comme l'a indiqué Jean-Philippe
-Mettre à jours l'antivirus
-Scanner la machine avec un live CD
-Interdire les lancements automatiques

note: il semblerait que le créateur du vers soit d'origine Ukrainienne... Si vous avez des infos qui conduit à l'arrestation de l'auteur de Conficker, Microsoft offre une prime de 250 000 $
Avatar de repié repié - Membre actif https://www.developpez.com
le 06/07/2009 à 5:49
Mais quel est le moyen de diffusion du ver? (au hasard, Internet Explorer?)
Avatar de kabkab kabkab - Membre éclairé https://www.developpez.com
le 06/07/2009 à 12:16
Bonjour,
repié, non plus dangereux encore. Moi je me le suis chopé juste en me connectant à un nouveau ISP en wimax directement sur ma machine sans le passer par un routeur. Donc je n'avais pas de firewall pour contrer ses attaques il est entré tout bonnement par le service netbios. C'est celà sa force. C'est surtout mon erreur parce que j'avais eu des avertissements de teatimer-spybot mais j'ai accepté une entrée.
Bien sûr un support magnétique où il serait installé avec un autorun aurait aussi fait son affaire.
Avatar de randriano randriano - Membre éprouvé https://www.developpez.com
le 16/07/2009 à 16:27
Je croyais que ce virus était de l'histoire ancienne en France puisque ça date de 2008

Ici à Madagascar, Conficker ou Downadup fait encore des ravages retardant même la livraison de projet comme ce qui venait de nous arriver hier!

Ce que je me demande aussi comment il se lance à chaque redémarrage car il ne crée pas d'entrée dans "Run" du registre?
Avatar de Linkin Linkin - Membre chevronné https://www.developpez.com
le 16/07/2009 à 16:53
Il y a plein de techniques: services, dll ajoutée à l'explorateur etc.
Avatar de kuranes kuranes - Membre éclairé https://www.developpez.com
le 16/07/2009 à 17:08
Citation Envoyé par Firwen  Voir le message
Je ne venere pas les créateurs de virus, loin de là..mais j'avoue que celui/ceux qui ont codé cette saleté ont fait fort .

La bete desactivent les anti-virus, bloque les mise à jour de sécurité, bloque l'accés aux sites permettant de l'enlever, s'auto-update en mutant, peut servir de cracker brut force ou encore au transfert p2p....le tout en quelques kilo-octets seulement.....

Comme quoi des gens capables d'optimiser leur code, ça existe encore
Avatar de pi-2r pi-2r - Rédacteur https://www.developpez.com
le 26/07/2009 à 10:30
Bonjour,

j'ai trouvé quelques outils de désinfection pour ceux que cela intéresse.

-McAfee Conficker Detection Tool
-Bitdifender
-Downatool
-Memory Disinfector
-Detecting Conficker Files and Registry
-Nonficker Vaxination Tool

étape à suivre:

1- lancer les outils de détection et de désinfection
2- installer le Patch de Microsoft
3- re-démarrer votre machine

Avatar de entreprise38 entreprise38 - Inactif https://www.developpez.com
le 26/07/2009 à 13:17
Truc bête : les Vista SP2 ne sont pas concernés par la mise à jour ? Le correctif est déjà intégré ?
Je vois bien les patchs pour Vista et Vista SP1, mais point d'SP2, et le patch pour le SP1 -évidemment- indique qu'il ne prend pas en charge le SP2.
Avatar de ghost emperor ghost emperor - Membre régulier https://www.developpez.com
le 02/09/2009 à 16:37
Mais une petite question sur ce vers :
Comment fait-il pour bloquer les accès à certains sites sans modifier le fichier host ?

Sinon mon entreprise l'a chopé aussi, on a paralysé le parc une journée car les pc se réinfectaient. On a bien lutté pour l'éradiquer. Mais je dois reconnaître que l'exploit est de taille (dans les deux sens du terme).

Encore un qui ferait mieu de se laisser attraper, à mon avis il finira dans une société de sécurité informatique, comme la plupart des grands de ce milieu.
Avatar de RTFMRTFM RTFMRTFM - Futur Membre du Club https://www.developpez.com
le 03/09/2009 à 22:36
Nmap s'avère utile ici pour les sysadmins afin de vérifier l'intégrité de leur réseau : http://www.skullsecurity.org/blog/?p=209
Et une analyse en prime : www.honeynet.org/files/KYE-Conficker.pdf
Offres d'emploi IT
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil