vendredi 29 janvier 2010

Ver Conficker

Sujet : Ver Conficker








Les symptômes :
  • Création des fichiers autorun.inf et RECYCLED\ {SID<.... onmouseover="parent.Highlight.Apply(this);" onmouseout="parent.Highlight.Clear();" id="TR_2_6">}\RANDOM_NAME.vmxsur les disques amovibles et sur les partages réseau
  • Il stocke dans le système comme un fichier DLL avec un nom aléatoire, par exemple, le c:\ windows \ system32 \ zorizr.dll
  • Il s'enregistre dans les services de système avec un nom aléatoire, par exemple, le knqdgsm
  • Il tente d'attaquer les ordinateurs du réseau via 445 SSL ou le port TCP 139 Netbios, à l'aide de MS Windows vulnérabilités MS08-067
  • Il tente de se connecter aux sites suivants ( http://www.whatsmyipaddress.com , http://www.whatismyip.org , http://checkip.dyndns.org , http://schemas.xmlsoap.org/SOAP/Envelope/ , http://schemas.xmlsoap.org/SOAP/Encoding/)
Lorsque conficker attaque un serveur, le journal de sécurité peut rapidement être saturé si la stratégie en place ne remplace les événements :http://derieppe-maxence.blogspot.com/2010/01/ouverture-de-session-impossible-journal.html

Pour empêcher les tous les postes de travail et serveurs de fichiers d'être infectés par le ver, il est conseillé d'effectuer les opérations suivantes :
  • Installez le correctif de Microsoft, qui couvre la vulnérabilité MS08-067 , MS08-068 , MS09-001
  • Assurez-vous que le mot de passe du compte administrateur local n'est pas évident et ne peut pas être piraté facilement – le mot de passe doit contenir 6 lettres minimum ; utiliser un mélange de majuscules et minuscules, chiffres et caractères non alphanumériques tels que des marques de ponctuation
  • Désactiver l'exécution automatique du fichier exécutable à partir de disques amovibles
  • Désactiver Netbios et WINS si cela ne vous ait plus utile dans votre infra
L'utilitaire KK.exe de kaspersky peut être exécuté localement sur l'ordinateur infecté, ou à distance à l'aide de Kaspersky Administration Kit :
http://usa.kaspersky.com/threats/fight-conficker.php

Mots : Ver , conficker , verouillage , session , sécurité , dll , 444 SSL , 139 netbios , ms08-067 , événements , mot de passe , administrateur local , wins , kk , kk.exe , infecté , kaspersky