Aide
Commencer un sujet
Ajouter une réponse
comme je me suis fait jeter des forums sécurité de Zeb (?), très très pros et "sérieux" maintenant, voici de la NEWS sur un malware qui ne semble pas bien connu,
même des spécialistes français (rien aprés recherche ici, sur tout Zeb. et ailleurs).
Alors voilà ce que j'ai écrit sur un forum particulier (faites passer à Gérard / IPL_001) :
Citation
W32/Conficker.B, l'Armée de l'air et les Rafales ...
February 6 2009 at 9:46 AM Olivier Fournier
Secret Défense : "Les armées attaquées par un virus informatique" :
http://secretdefense.blogs.liberation.fr/d...rmes-attaq.html
Euh, pas terribles les systèmes de sécurité informatique de l'Air : un petit ver informatique banal apparu en fin 2008 (1ère version : WIN32/conficker.A alias downadup), a semé la pagaille au début 2009 dans sa 2ème version : WIN32/conficker.B.
.
Voir entre cent autres :
http://www.f-secure.com/weblog/
http://arstechnica.com/security/news/2009/...in-24-hours.ars
.
Il suffisait pourtant de surveiller "svchost.exe" des Windows pour s'apercevoir de son activité bizarre. Et tous les bon antivirus, même les gratuits légers, l'ont vite répertorié !
.
Pas sérieux tout ça quand on ne va pas voir et lire les sites américains toujours en avance d'un virus ...
Mais o� sont les cyber-gendarmes ? -> ip information
BANZA� ! ..... Euh, s'cusez moi, j'ai une urgence ---> [linked image]
Respond to this message
Auteur Reply
Olivier Fournier
86.201.201.109
Re: W32/Conficker.B, l'Armée de l'air et les Rafales ...
February 6 2009, 2:03 PM
Tiens,
une petite traduction de ce qu'on sait sur Conficker, ça pourra aider la "sécurité militaire" s'ils ne lisent pas l'Américain :
---------------------------------------------------------------------------------------------------------------------------
Nom: Worm/Conficker
Date de la découverte: 14/01/2009
Type: Ver
En circulation: Oui
Infections signalées Moyen
Potentiel de distribution: Moyen
Potentiel de destruction: Moyen
Fichier statique: Non
Taille du fichier: ~160.000 Octets
Version IVDF: 7.01.01.115
Général Méthodes de propagation:
Le réseau local
Mapped network drives
Alias:
Symantec: W32.Downadup.B
Kaspersky: Net-Worm.Win32.Kido.fw
F-Secure: Worm:W32/Downadup.gen!A
Sophos: Mal/Conficker-A
Panda: Trj/Downloader.MDW
Grisoft: I-Worm/Generic.CJY
Eset: a variant of Win32/Conficker.AE worm
Bitdefender: Win32.Worm.Downadup.Gen
Détection similaires:
Worm/Kido
Plateformes / Systèmes d'exploitation:
Windows 96
Windows 99
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows XP
Windows 2003
Effets secondaires:
Il modifie des registres
Il emploie les vulnérabilités de software
Il facilite l'accès non autorisé à l'ordinateur
Fichiers : il s'autocopie dans les emplacements suivants:
%tous les dossiers partagés% \RECYCLER\S-%nombre%\%chaîne de caractères aléatoire%.vmx
%ProgramFiles%\Internet Explorer\%chaîne de caractères aléatoire%.dll
%ProgramFiles%\Movie Maker\%chaîne de caractères aléatoire%.dll
%System%\%chaîne de caractères aléatoire%.dll
%Temp%\%chaîne de caractères aléatoire%.dll
%ALLUSERSPROFILE%\Application Data\%chaîne de caractères aléatoire%.dll
Le fichier suivant est créé:
...%tous les dossiers partagés%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
%random comments%
shellexecute rundll32.exe ,%chaîne de caractères aléatoire%
%random comments%
Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:
HKLM\SYSTEM\CurrentControlSet\Services\%mots aléatoires%\
Parameters\
ServiceDll" = ""
HKLM\SYSTEM\CurrentControlSet\Services\%mots aléatoires%\
"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"
Les clés de registre suivantes sont changées:
[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004
[HKLM\SYSTEM\CurrentControlSet\Services\BITS]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004
[HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
La nouvelle valeur:
"Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000
Infection du réseau Afin de assurer sa propagation :
le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.
Il emploie les informations d'identification suivantes afin d'accéder à la machine distante:
La liste suivante de mots de passe:
000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; ****; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz
Création d'adresses IP:
Il crée des adresses IP aléatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les
adresses crées.
Processus d'infection:
Il fait télécharger par la machine ciblée le malware à partir de l'ordinateur source infecté.
Le fichier téléchargé est stocké sur la machine dans : .:\RECYCLER\S-%nombre%\%chaîne de caractères aléatoire%.vmx
Hôtes L'accès aux liens URL suivants est effectivement bloqué :
ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate
Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org
Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com
Modification du fichier:
Pour augmenter le nombre des connexions il a la capacité de modifier le fichier tcpip.sys. Le fichier pourra subir du dégât et linterconnexion
des circuits pourra être interrompue.
La technologie Rootkit est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications
de sécurité et à la fin, à l'utilisateur.
Méthode utilisée:
s'introduit dans les fonctions API suivantes:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
Détails du fichier :
langage de programmation : MS Visual C++.
Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.
Description inséré par Alexander Neth sur Fri, 16 Jan 2009 06:55 (GMT+1)
--------------------------------------------------------------------------------------------------------------------------------
AH la la, quelle idée de faire confiance à Ms$ft/Bilou/Windows !
February 6 2009 at 9:46 AM Olivier Fournier
Secret Défense : "Les armées attaquées par un virus informatique" :
http://secretdefense.blogs.liberation.fr/d...rmes-attaq.html
Euh, pas terribles les systèmes de sécurité informatique de l'Air : un petit ver informatique banal apparu en fin 2008 (1ère version : WIN32/conficker.A alias downadup), a semé la pagaille au début 2009 dans sa 2ème version : WIN32/conficker.B.
.
Voir entre cent autres :
http://www.f-secure.com/weblog/
http://arstechnica.com/security/news/2009/...in-24-hours.ars
.
Il suffisait pourtant de surveiller "svchost.exe" des Windows pour s'apercevoir de son activité bizarre. Et tous les bon antivirus, même les gratuits légers, l'ont vite répertorié !
.
Pas sérieux tout ça quand on ne va pas voir et lire les sites américains toujours en avance d'un virus ...
Mais o� sont les cyber-gendarmes ? -> ip information
BANZA� ! ..... Euh, s'cusez moi, j'ai une urgence ---> [linked image]
Respond to this message
Auteur Reply
Olivier Fournier
86.201.201.109
Re: W32/Conficker.B, l'Armée de l'air et les Rafales ...
February 6 2009, 2:03 PM
Tiens,
une petite traduction de ce qu'on sait sur Conficker, ça pourra aider la "sécurité militaire" s'ils ne lisent pas l'Américain :
---------------------------------------------------------------------------------------------------------------------------
Nom: Worm/Conficker
Date de la découverte: 14/01/2009
Type: Ver
En circulation: Oui
Infections signalées Moyen
Potentiel de distribution: Moyen
Potentiel de destruction: Moyen
Fichier statique: Non
Taille du fichier: ~160.000 Octets
Version IVDF: 7.01.01.115
Général Méthodes de propagation:
Le réseau local
Mapped network drives
Alias:
Symantec: W32.Downadup.B
Kaspersky: Net-Worm.Win32.Kido.fw
F-Secure: Worm:W32/Downadup.gen!A
Sophos: Mal/Conficker-A
Panda: Trj/Downloader.MDW
Grisoft: I-Worm/Generic.CJY
Eset: a variant of Win32/Conficker.AE worm
Bitdefender: Win32.Worm.Downadup.Gen
Détection similaires:
Worm/Kido
Plateformes / Systèmes d'exploitation:
Windows 96
Windows 99
Windows 98 SE
Windows NT
Windows ME
Windows 2000
Windows XP
Windows 2003
Effets secondaires:
Il modifie des registres
Il emploie les vulnérabilités de software
Il facilite l'accès non autorisé à l'ordinateur
Fichiers : il s'autocopie dans les emplacements suivants:
%tous les dossiers partagés% \RECYCLER\S-%nombre%\%chaîne de caractères aléatoire%.vmx
%ProgramFiles%\Internet Explorer\%chaîne de caractères aléatoire%.dll
%ProgramFiles%\Movie Maker\%chaîne de caractères aléatoire%.dll
%System%\%chaîne de caractères aléatoire%.dll
%Temp%\%chaîne de caractères aléatoire%.dll
%ALLUSERSPROFILE%\Application Data\%chaîne de caractères aléatoire%.dll
Le fichier suivant est créé:
...%tous les dossiers partagés%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
%random comments%
shellexecute rundll32.exe ,%chaîne de caractères aléatoire%
%random comments%
Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:
HKLM\SYSTEM\CurrentControlSet\Services\%mots aléatoires%\
Parameters\
ServiceDll" = ""
HKLM\SYSTEM\CurrentControlSet\Services\%mots aléatoires%\
"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"
Les clés de registre suivantes sont changées:
[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004
[HKLM\SYSTEM\CurrentControlSet\Services\BITS]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004
[HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
L'ancienne valeur:
"Start"=dword:00000003
La nouvelle valeur:
"Start"=dword:00000004
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
La nouvelle valeur:
"Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000
Infection du réseau Afin de assurer sa propagation :
le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.
Il emploie les informations d'identification suivantes afin d'accéder à la machine distante:
La liste suivante de mots de passe:
000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; ****; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz
Création d'adresses IP:
Il crée des adresses IP aléatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les
adresses crées.
Processus d'infection:
Il fait télécharger par la machine ciblée le malware à partir de l'ordinateur source infecté.
Le fichier téléchargé est stocké sur la machine dans : .:\RECYCLER\S-%nombre%\%chaîne de caractères aléatoire%.vmx
Hôtes L'accès aux liens URL suivants est effectivement bloqué :
ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate
Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org
Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com
Modification du fichier:
Pour augmenter le nombre des connexions il a la capacité de modifier le fichier tcpip.sys. Le fichier pourra subir du dégât et linterconnexion
des circuits pourra être interrompue.
La technologie Rootkit est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications
de sécurité et à la fin, à l'utilisateur.
Méthode utilisée:
s'introduit dans les fonctions API suivantes:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
Détails du fichier :
langage de programmation : MS Visual C++.
Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.
Description inséré par Alexander Neth sur Fri, 16 Jan 2009 06:55 (GMT+1)
--------------------------------------------------------------------------------------------------------------------------------
AH la la, quelle idée de faire confiance à Ms$ft/Bilou/Windows !
Je suis un V.C. et j'aime ça ! Elles aussi ...
... 
Multi-citation
