W32/Conficker.B, l'Armée de l'air et les Rafales ...

February 6 2009 at 9:46 AM Olivier Fournier

Secret Défense : "Les armées attaquées par un virus informatique" :
http://secretdefense.blogs.liberation.fr/d...rmes-attaq.html

Euh, pas terribles les systèmes de sécurité informatique de l'Air : un petit ver informatique banal apparu en fin 2008 (1ère version : WIN32/conficker.A alias downadup), a semé la pagaille au début 2009 dans sa 2ème version : WIN32/conficker.B.

.
Voir entre cent autres :
http://www.f-secure.com/weblog/
http://arstechnica.com/security/news/2009/...in-24-hours.ars

.
Il suffisait pourtant de surveiller "svchost.exe" des Windows pour s'apercevoir de son activité bizarre. Et tous les bon antivirus, même les gratuits légers, l'ont vite répertorié !

.
Pas sérieux tout ça quand on ne va pas voir et lire les sites américains toujours en avance d'un virus ...

Mais o� sont les cyber-gendarmes ? -> ip information
BANZA� ! ..... Euh, s'cusez moi, j'ai une urgence ---> [linked image]


Respond to this message
Auteur Reply
Olivier Fournier

86.201.201.109
Re: W32/Conficker.B, l'Armée de l'air et les Rafales ...
February 6 2009, 2:03 PM


Tiens,

une petite traduction de ce qu'on sait sur Conficker, ça pourra aider la "sécurité militaire" s'ils ne lisent pas l'Américain :

---------------------------------------------------------------------------------------------------------------------------
Nom: Worm/Conficker

Date de la découverte: 14/01/2009
Type: Ver

En circulation: Oui

Infections signalées Moyen
Potentiel de distribution: Moyen
Potentiel de destruction: Moyen
Fichier statique: Non

Taille du fichier: ~160.000 Octets
Version IVDF: 7.01.01.115

Général Méthodes de propagation:
Le réseau local
Mapped network drives

Alias:
Symantec: W32.Downadup.B
Kaspersky: Net-Worm.Win32.Kido.fw
F-Secure: Worm:W32/Downadup.gen!A
Sophos: Mal/Conficker-A
Panda: Trj/Downloader.MDW
Grisoft: I-Worm/Generic.CJY
Eset: a variant of Win32/Conficker.AE worm
Bitdefender: Win32.Worm.Downadup.Gen

Détection similaires:
Worm/Kido

Plateformes / Systèmes d'exploitation:
Windows 96
Windows 99
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows XP
Windows 2003

Effets secondaires:
Il modifie des registres
Il emploie les vulnérabilités de software
Il facilite l'accès non autorisé à l'ordinateur

Fichiers : il s'autocopie dans les emplacements suivants:
%tous les dossiers partagés% \RECYCLER\S-%nombre%\%chaîne de caractères aléatoire%.vmx
%ProgramFiles%\Internet Explorer\%chaîne de caractères aléatoire%.dll
%ProgramFiles%\Movie Maker\%chaîne de caractères aléatoire%.dll
%System%\%chaîne de caractères aléatoire%.dll
%Temp%\%chaîne de caractères aléatoire%.dll
%ALLUSERSPROFILE%\Application Data\%chaîne de caractères aléatoire%.dll

Le fichier suivant est créé:
...%tous les dossiers partagés%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
%random comments%
shellexecute rundll32.exe ,%chaîne de caractères aléatoire%
%random comments%

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

HKLM\SYSTEM\CurrentControlSet\Services\%mots aléatoires%\
Parameters\
ServiceDll" = ""

HKLM\SYSTEM\CurrentControlSet\Services\%mots aléatoires%\
"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"

Les clés de registre suivantes sont changées:

[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004

[HKLM\SYSTEM\CurrentControlSet\Services\BITS]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004

[HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
La nouvelle valeur:
"Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000

Infection du réseau Afin de assurer sa propagation :
le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il emploie les informations d'identification suivantes afin d'accéder à la machine distante:
La liste suivante de mots de passe:
000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; ****; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz


Création d'adresses IP:
Il crée des adresses IP aléatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les

adresses crées.

Processus d'infection:
Il fait télécharger par la machine ciblée le malware à partir de l'ordinateur source infecté.
Le fichier téléchargé est stocké sur la machine dans : .:\RECYCLER\S-%nombre%\%chaîne de caractères aléatoire%.vmx

Hôtes L'accès aux liens URL suivants est effectivement bloqué :
ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate

Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org

Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com

Modification du fichier:
Pour augmenter le nombre des connexions il a la capacité de modifier le fichier tcpip.sys. Le fichier pourra subir du dégât et linterconnexion

des circuits pourra être interrompue.

La technologie Rootkit est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications

de sécurité et à la fin, à l'utilisateur.

Méthode utilisée:
s'introduit dans les fonctions API suivantes:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto

Détails du fichier :
langage de programmation : MS Visual C++.
Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description inséré par Alexander Neth sur Fri, 16 Jan 2009 06:55 (GMT+1)
--------------------------------------------------------------------------------------------------------------------------------

AH la la, quelle idée de faire confiance à Ms$ft/Bilou/Windows !