Marc Blanchard Virus Docteur

Voici un plan de cablage du contient africain qui devrait voir le jour début 2011.

100 millions d'internautes sont attendus avec une interconnexion océanique à 1300 gigabits directe avec les backbones francais.

... portes ouvertes aux développements encore plus denses des botnets et ghostnet.

..à suivre...

Samedi 8 mai 2010 – dans la soirée

Pour sa deuxième édition, l’iAWACS (International Alternative Workshop on Aggressive Computing and Security) organisé par ESIEA (Ecole Supérieure d’informatique, électronique et Automatisme) a démontré qu’aucun antivirus du marché n’empêche l’exécution de programmes malveillants. Les défenses basées sur les listes noires de programmes d’attaques des antivirus laissent passer des attaques, dont certaines sont assez simples ou assez anciennes.

Suivez le lien sur MagSecurs.com

Même si je suis anti-contest de ce type, j'aimerai apporter un commentaire aujourd'hui, car vous êtes nombreux à me solliciter pour connaître mon point de vue :

Le challenge de l'IAWACS permet comme dans tout contest (les sécurités linux, réseaux, applicatifs, etc) de démontrer que tout ce qui est créé par l'homme peut être détruit par l'homme.

Dans un premier point, ce contest est intéressant, et montre bien, que les analyses actuelles ont leurs limites, mêmes celles qui utilisent des technologies de proactivités.

Le second point démontre également, que des attaques non référencées développées dans le but de nuire à une entreprise ou à un individu sont tout à fait possible sans aucune détection.

Mais il ne faut pas que le lecteur, au vu de ces résultats qui sont des résultats logiques de part les développements de malwares spécifiques, s'imagine que les antivirus et autres suites de sécurité n'ont aucune utilité.

Une suite antivirus est la ceinture de sécurité de l'ordinateur de l'utilisateur. Cela n'empêchera pas d'avoir un accident, mais les risques seront minimes et le protègera au maximum.

Le SANS Internet Storm Center nous indique que sans protection, une machine connectée au net a un temps de survie de moins de 3 minutes, ensuite les attaques réseau ou de malwares sont tellement nombreuses que la machine finie par deny of service de sa couche réseau voire du système.

Par conséquent, un antivirus arrête 99% des attaques et codes malveillants dits In The Wild, c'est à dire les codes malveillants transitant de façon autonome, transparente sur le réseau et USB, seront arrêtés et nettoyés...l'utilisateur pourra continuer d'utiliser sans problème son ordinateur.

Sans antivirus, l'ordinateur serait un véritable vivier de codes malveillants et un soldat de botnet et ghostnet de deny of services pour contribuer à des attaques d'institutions ou de pays, voire même participant actif de groupes d'hacktistes notoires.

Ca laisse à réfléchir!!!

Aller, je vais faire mon ecologiste

Je ne sais pas vous, mais beaucoup de mails que je recois ont de petites notations interessantes apres la signature de mes correspondants :

Ne gaspillons pas! N'imprimez ce mail que si nécessaire....

Oui, ok, alors je me suis amuse a faire un petit calcul dont le sujet est :

Entre un emetteur d'un email et le receveur, le mail passe environ sur 7 ordinateurs (incluant les machines des internautes, serveurs mails, dns, etc) Chaque ordinateur consomme en moyenne 500watts, et ce n'est qu'une moyenne.

J'ai pris des donnees de fabrication de l'electricite d'une petite centrale nucleaire, qui a elles toutes en France, representent quand meme 80% de notre consommation.

Ensuite, entre les joules, les volts, les intensites, les watts, etc, j'ai reussi a atteindre les resultats suivants :

A CHAQUE MAIL QUE NOUS ENVOYONS, 0.0021 NANO GRAMME D'URANIUM EST UTILISE.

Etant donne qu'on ne sait pas quoi faire de nos dechets, alors qu'un arbre peut etre plante, replante, pensez vous qu'on dit revenir au papier, sachant qu'il est recycle ou envoyer un email qui pollue franchement beaucoup plus???

A mediter....

PROTOCOLE d’ACTION en cas de ver DOWNADUP/CONFIKER nouvelle génération sur un réseau Entreprise

Bit Defender Client Security 3.1.7 ou supérieur :

NMAP version 5.00 ou supérieur

KB security patch Microsoft

Bloquer sur les parefeux de l’entreprise le port 445

Lien Produits BitDefender 3.1.7 et pour la Console : http://download.bitdefender.com/SMB/Workstation_Security_and_Management/BitDefender_Client_Security/Windows/Current/FR/Version_3.0/

Les Addons pour la Console: http://download.bitdefender.com/SMB/Workstation_Security_and_Management/BitDefender_Client_Security/Windows/Current/FR/Version_3.0/server_addon/BitDefender_Security_for_Windows_Servers_Server_Addon_(for_32_bit_Management_Servers)_fr.exe

Antivirus du serveur http://content-down.bitdefender.com/SMB/Windows%20Servers/Current/FR/

Outil de désinstallation serveur en cas de nécessité: ftp://ftp.editions-profil.fr/Versions_Evaluation/BitDefender/Windows/Serveurs/v2/Windows_Servers_Uninstall_Tool.exe

NMAP :

http://nmap.org/dist/nmap-5.00.tar.bz2

KB Microsoft :

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx

http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx

Outil de désinfection BitDefender

PROTOCOLE A APPLIQUER : En cas de pandémie de ver/worm/stormworm

Méthodes et plan d’action.

ATTENTION : Respecter cette méthode dans l’ordre décrit. Si une des étapes est oubliée, le ver risque de réagir et changer de comportement, et par conséquent incontrôlable.

PS : cette procédure est actuellement adaptée au ver CONFIKER/DOWNADUP, et nous nous réservons le droit de la modifier sans préavis et en temps réel pour répondre aux résultantes des attaques zero day.

Préparations :

1/ Prendre une machine sous linux, la connecter au réseau instable, et installer NMAP comme noté dans ce bulletin

2/ Installer ou passer en version BitDefender console Client Security 3.1.7, BitDefender Business client 11.0.0.8 et BitDefender Security for Windows Server 3.3.0 sur tous les postes et serveurs.

3/ Télécharger les KB de Microsoft sur la machine ou se trouve la console BitDefender Client Security 3.1.7

4/ Appliquer la règle suivante sur les parefeux connectés à internet :

Inbound : Deny : source 0.0.0.0 destination 0.0.0.0.0 port : source 445 destination 445 on TCP+UDP

Outbound : Deny : source 0.0.0.0 destination 0.0.0.0.0 port : source 445 destination 445 on TCP+UDP

Préparations et Procédures d’installations / Migrations

NOTA : Cette section n’est pas le plan d’action (voir plus bas)

Installation NMAP sur la machine Linux:

Si vous avez une distribution RedHat, CentOs ou Fedora récente téléchargez le package comme suit :

yum install nmap

Sinon téléchargez les sources puis compilez le. Attention si vous étes sur une plateforme 64bits, il faut installer les librairies libstdc++

wget http://nmap.org/dist/nmap-5.00.tar.bz2 tar xjfv nmap-5.00.tar.bz2 cd nmap-5.00 ./configure make make install

Utilisation qu’il faudra lancer lors de l’étape du plan d’action :

Pour tester le réseau :

nmap -PN 192.168.0.0/24 -p139,445 -n -v script smb-check-vulns script-args safe=1

Pour loguer le résutat :

nmap -PN 192.168.0.0/24 -p139,445 -n -v script smb-check-vulns script-args safe=1 >> /directory/resultat.log

Tous postes infectés seront taggué comme INFECTED.

Si POSSIBLY INFECTED, soit NMAP n’arrive pas à tester (imprimantes réseaux, SAN, Samba Linux, etc) ou soit une vulnérabilité sur cette machine reste active si elle est sous Windows --> Cette machine devra être analysée par l’administrateur

Installation / Migration des produits BitDefender :

I ) LES PRES REQUIS D'INSTALLATION

Les postes serveurs: Net Framework version 2 minimum *(SP2)* Dernière Mise à jour Windows *(SP2 minimum)* Pare-feu Windows désactivé (PAR LES SERVICES) Partage de fichiers et d’imprimantes activé 800 Mo (minimum) de libre sur le lecteur C:\ Workgroup: partage simple désactivé

Les postes clients Net Framework version 2 minimum *(SP2)* Dernière Mise à jour Windows *(SP2 minimum)* Partage de fichiers et d’imprimantes activés 115 Mo (minimum) de libre sur le lecteur C:\ Workgroup: partage simple désactivé TOUS LES POSTES CLIENTS DOIVENT ETRE ALLUMES.

II ) INSTALLATION DE LA CONSOLE

1] Suppression des programmes Allez dans l'ajout/suppression de programmes de windows. Désinstallez tous les produits BitDefender étant sur la machine serveur.

2] Appliquez l'utilitaire de désinstallation « Windows_Server_Uninstall_Tool.exe » (utilitaire téléchargé précédemment)

3] Redémarrer votre serveur.

AVANT D’ALLER PLUS LOIN IL EST IMPERATIF QUE TOUS LES PRE REQUIS DU SERVEUR SOIENT MIS EN PLACE.

4] Installation BitDefender Client Security.

Sélectionnez une installation personnalisée Gardez les paramètres par défauts et faites suivant. Selon les besoins sélectionnez votre type de serveur. Conservez les ports par défauts Installez une nouvelle base SQL. Garder les options par défaut. Si vous rencontrez des problèmes changer l’instance en « BDMS2 »

7] Installation de l'addon (téléchargé précédemment). BitDefender_Security_for_Windows_Servers_Server_Addon_(for_32_bit_Management_Servers)_fr.exe

III ) INSTALLATIONS DE BITDEFENDER FOR FILE SERVER

1] Installation Installez BitDefender Security for File Server que vous avez téléchargé précédemment. BitDefender_Security_for_Windows_Servers_v3_(x64 ou x86)_FR.exe

2] Choix des composants Sélectionnez le composant BitDefender for File Server uniquement.

3] Terminez l’installation

4] Redémarrer le poste serveur (important)

Installez BitDefender for File Server sur tous les serveurs de votre parc

IV ) DEPLOIEMENT DES POSTES CLIENTS

1] Lancez BitDefender Client Security Double-cliquez sur l’application BitDefender Client Security présente sur le bureau.

2] Identification Identifiez-vous sur la console. Le mot de passe par défaut étant « admin » BitDefender Management Console sous forme de deux fenêtres, celle de gauche permettant de sélectionner les différents menus puis celle de droite qui vous permet de configurer les paramètres.

3] Authentification Rendez-vous dans l’onglet « outils », puis cliquez sur « Administrateurs des authentifications » enfin cliquez sur le boutons « + » en haut à droite.

Renseignez les champs.

4] Enregistrement du produit. Allez dans l’onglet « outils », puis dans « enregistrement » enfin rentrez votre clef d’activation Bitdefender Client Security.

5] Création d’un groupe. Pour administrer les postes clients, la création d’un groupe est nécessaire. Au niveau de la fenêtre de gauche de la console, allez dans « dossier ordinateur ». Dans cette arborescence, 3 menus sont présents. Cliquez droit sur le premier (ordinateurs administrés) et créer un groupe.

6] Création d’une politique Antivirus Dans l'arborescence de gauche, rendez-vous dans le module "politiques". Allez dans créer une nouvelle politique, puis dans l’écran de droite, double cliquez sur « Paramètre Antivirus »

7] Paramétrage de la politique Cochez la protection en temps réel. Mettez le niveau de protection en "Personnalisée" Modifier les actions appliquées en cas de détection :

Action à appliquer lorsqu'un fichier infecté est trouvé Première action : Désinfecter le fichier Deuxième action : Mettre en quarantaine

Action à appliquer lorsqu'un fichier suspect est trouvé Première action : Désinfecter le fichier Deuxième action : Mettre en quarantaine

Conservez les autres options par défaut. Cliquez sur terminer.

8] Affectation de la politique APPLIQUER CETTE POLITIQUE AU GROUPE QUE VOUS AVEZ CRÉÉE

Pour se faire, mettez le groupe en surbrillance. Planification: "Une fois" Puis cliquer sur "cliquez ici pour affecter cette politique"

Grâce à cette politique, chaque nouveau poste intégrant ce groupe recevra l'antivirus automatiquement.

9] Déploiement de l'agent. Rendez-vous dans l'onglet "outils" et sélectionnez le module "Network Builder"

Dans le cadran de gauche vous retrouverez tous les postes du réseau. Dans le cadran de droite vous retrouverez vos groupes.

Grâce au procédé glisser/déposer, déplacez les postes clients dans le groupe créé.

Attention! Ne rentrez pas les serveurs dans ce groupe.

Enfin cliquez sur "Appliquer les modifications"

10] Notifications des utilisateurs Une fenêtre nommé "Déploiement de l'agent" s'affiche.

Dans celle ci, cocher les options suivantes:

Installer l'agent sans interface utilisateur Faire un ping des ordinateurs cibles avant le déploiement Ne pas redémarrer à la fin de l'installation

Enfin vérifiez le nom du serveur et lancez le déploiement.

11] Etat de l’avancement Gardez la fenêtre de contrôle Network Builder jusqu'à la fin du déploiement. Certains postes seront en échec. Cela signifie que ces postes ne disposent pas des prés requis énoncé ci-dessus. Il est donc important de faire le nécessaire pour pouvoir procéder au déploiement.

Faites les mises à jours Windows et net Framework de ces postes.

12] Création d’un serveur de mise à jour Vous pouvez définir un serveur local de mises à jour Pour se faire, allez dans « démarrer », « programmes files », « Bitdefender Management Server » puis « Serveur de mise à jour BitDefender ».

Dans l’assistant de configuration gardez l’adresse par défaut.

Indiquez ensuite un répertoire de stockage de mises à jour. C’est ici que les bases virales seront téléchargées Utilisez le port 80 (ou bien un port libre et ouvert sur votre Firewall).

Sélectionnez les composants Business Client et File server Faites suivant.

Un écran résume les paramètres de la configuration. Pour terminer appuyer sur le bouton « Mettre à jour »

13] Création des politiques

Retourner dans la console. Pour terminer ce déploiement, rendez-vous dans les politiques.

Créer les deux politiques suivantes :

Politique « Paramètre du Pare-feu »

Cochez les options suivantes :

Pare-feu activé Appliquer le profil générique à tous les réseaux Profil générique Profil actuel Règles essentielles

Laissez les réponses automatiques par défaut et terminer la configuration Appliquez cette politique au groupe créé.

Politique « Mise à jour planifiée »

Emplacement principal : http://adresse_ip_serveur Emplacement secondaire http://upgrade.bitdefender.com (cochez la case si un proxy existe)

Paramétrez votre proxy (si proxy il y a)

Puis terminer la politique

Assignez-la au groupe créé.

La migration est terminée

Installation des mises en place des KB de Microsoft prêt à être déployé lorsque le plan d’action le demandera:

Créer un script WMI

Dans la console, allez dans le menus « Script WMI », créer un nouveau script et double cliquez sur le script « exécuter le programme ».

Configuration du script WMI

Sélectionnez «L’application se trouve sur cette machine. Renseignez le chemin ou se trouve les patchs de sécurité Windows. Cochez l’option « paramètres » et rentrez la commande suivante :  /quiet  Cochez « Exécuter avec les droits de l’utilisateur actuel ». Terminer la configuration. Faites de même pour chaque KB de windows

IMPORTANT CHAQUE POSTE DU PARC EST CONCERNE PAR CES MISES A JOUR.

ATTENTION ! Si un seul poste ne dispose pas des versions XP SP2, Net Framework 2.0 SP2 et les KB de windows, le parc sera vulnérable aux nouvelles infections !

Installation des mises en place de l’outil de désinfection prêt à être déployé lorsque le plan d’action le demandera:

Créer un script WMI

Dans la console, allez dans le menus « Script WMI », créer un nouveau script et double cliquez sur le script « exécuter le programme ».

Configuration du script WMI

Sélectionnez «L’application se trouve sur cette machine. Renseignez le chemin ou se trouve l’outil de désinfection. Cochez « Exécuter avec les droits de l’utilisateur actuel ». Terminer la configuration.

IMPORTANT: CHAQUE POSTE DU PARC DOIT APPLIQUER CET OUTIL.

PROTOCOLE DE PLAN D’ACTION CONFIKER

Suivez cette procédure scrupuleusement dans l’ordre indiqué :

1. Fermer les ports 445 inbound et outbound sur les parefeux de l’entreprise y compris pour les réseaux interconnectés avec les règles suivantes: Inbound : Deny : source 0.0.0.0 destination 0.0.0.0.0 port : source 445 destination 445 on TCP+UDP

Outbound : Deny : source 0.0.0.0 destination 0.0.0.0.0 port : source 445 destination 445 on TCP+UDP

NOTA : Pensez bien à remonter ces règles au plus haut des règles globales

2. Migration / Installation de BitDefender (BD) en version 3.1.7 sur un serveur.

3. Installer BitDefender antivirus sur ce serveur et lancer une mise à jour.

4. Vérifier que l’analyse temps réel de ce serveur soit avec les options pour les fichiers infectés et suspects : 1ere action : désinfecter – 2eme action : 40aine

5. Aller dans la console de management BD (ne pas confondre avec la console de l’antivirus serveur) installée sur ce serveur.

6. Application et déploiement sur tous les postes et serveurs d’une politique de l’analyse temps réel de BD (BitDefender) sur TOUS LES FICHIERS pour les fichiers infectés et suspects Action : Désinfecter / Mise en 40aine

7. Vérifier, via la console BD, que toutes les machines du réseau soient à jour avec cette politique de sécurité, et appliquer cette règle pour les nouveaux postes connectés. Il est à noter que certaines machines du réseau ne seront pas forcément à jour au niveau moteur d’analyse ou signatures. Notez ces postes, mais n’intervenez pas tout de suite physiquement. Passer au point suivant.

8. Mettez en place une politique de règles du firewall de BitDefender à partir de la console BD avec les règles suivantes. Ces règles sont temporaires mais doivent être obligatoirement déployées.

Configuration de la politique du pare-feu

Paramètre général Activer le pare-feu : a coché Bloquer le trafic : ne pas cocher Utiliser un profil générique pour tous réseaux : ne pas cocher

Paramètres du profil Profil Générique : a cocher

Appliquer les paramètres à: Profil actuel : a cocher

Vérifiez que toutes les autres options soient décochées exceptés "les politiques d'administration".

Nous allons temporairement pour la désinfection bloquer les ports suivants :

445 en TCP et UDP 139 en TCP et UDP

Appliquez les régles suivantes :

a. Blocage du port 445/TCP

Cliquez sur "Gérer Les Règles" Cliquez sur "Ajouter une règle" Dans processus, laisser décochée cette option Protocol : basculez sur TCP Direction : basculez sur Tout Action : basculez sur refuser

Source Adresse IP : mettez à 0.0.0.0 Mask : appliquer à 0.0.0.0 Port : basculez sur spécifier un port et écrire "445"

Destination Adresse IP : fixer à 0.0.0.0 Mask : fixer à 0.0.0.0 Port : déclarer "N'importe quel ports"

Cliquez sur "ajouter"

b. Blocage du port 445/UDP

Cliquez sur "Gérer Les Règles" Cliquez sur "Ajouter une règle" Dans processus, laisser décochée cette option Protocol : basculez sur UDP Direction : basculez sur Tout Action : basculez sur refuser

Source Adresse IP : mettez à 0.0.0.0 Mask : appliquer à 0.0.0.0 Port : basculez sur spécifier un port et écrire "445"

Destination Adresse IP : fixer à 0.0.0.0 Mask : fixer à 0.0.0.0 Port : déclarer "N'importe quel ports"

Cliquez sur "ajouter"

c. Blocage du port 139/TCP

Cliquez sur "Gérer Les Règles" Cliquez sur "Ajouter une règle" Dans processus, laisser décochée cette option Protocol : basculez sur TCP Direction : basculez sur Tout Action : basculez sur refuser

Source Adresse IP : mettez à 0.0.0.0 Mask : appliquer à 0.0.0.0 Port : basculez sur spécifier un port et écrire "139"

Destination Adresse IP : fixer à 0.0.0.0 Mask : fixer à 0.0.0.0 Port : déclarer "N'importe quel ports"

Cliquez sur "ajouter"

d. Blocage du port 139/UDP

Cliquez sur "Gérer Les Règles" Cliquez sur "Ajouter une règle" Dans processus, laisser décochée cette option Protocol : basculez sur UDP Direction : basculez sur Tout Action : basculez sur refuser

Source Adresse IP : mettez à 0.0.0.0 Mask : appliquer à 0.0.0.0 Port : basculez sur spécifier un port et écrire "139"

Destination Adresse IP : fixer à 0.0.0.0 Mask : fixer à 0.0.0.0 Port : déclarer "N'importe quel ports"

Cliquez sur "ajouter" Cliquez ensuite sur « terminer »

Une fois toutes les règles ajoutées, allez dans "autres paramètres"

Dans les "autres paramètres", vérifiez que les réponses automatiques soient sur "OUI IMPOSE"

9. Lancer NMAP avec la machine linux :

nmap -PN 192.168.0.0/24 -p139,445 -n -v script smb-check-vulns script-args safe=1 >> /directory/etape1.log

Garder précieusement ce log, il servira de référence pour les analyses ultérieures lorsque la procédure sera terminée. Ne pas s’inquiéter sur le nombre de machines qui seront notées comme INFECTED, nous allons les traiter dans les points suivants de ce plan d’action

10. Prendre la console BD, et déployer le script WMI concernant tous les patchs KB de Microsoft (notés dans la procédure de ce document) sur tout le parc. Même si vous pensez que les machines sont à jour, repassez le script WMI, si les KB sont déjà installés, ils ne seront pas réinstallés.

11. Prendre la console BD, et déployer le script WMI de blocage des USB temporairement, le temps du nettoyage du parc. Cette étape est OBLIGATOIRE car un des vecteurs de ce ver est les unités USB via leurs insertions dans les ordinateurs.

12. Lancer NMAP avec la machine linux :

nmap -PN 192.168.0.0/24 -p139,445 -n -v script smb-check-vulns script-args safe=1 >> /directory/etape2.log

13. Vérifier ce log en prêtant attention aux machines notées INFECTED. N’intervenez physiquement pas encore sur ces machines. On les traitera plus tard dans le protocole.

14. Vérifier dans la console BD si ces machines ont bien subies une mise à jour des KB, de la politique concernant le temps réel de l’antivirus, et des scripts WMI et USB. Si tel n’est pas le cas, reforcer ces postes sur les politiques. Si cela ne fonctionne pas, noter ces adresses IP et passer à l’étape suivante

15. Créer et déployer sur tout le parc, la règle de déploiement de l’outil de désinfection. Attendre que cette règle soit lancée sur tous les postes et serveurs.

16. Forcer une règle de mise à jour des signatures et moteurs BitDefender sur l’ensemble des machines et serveurs du parc.

17. Créer une règle d’analyse forcée pour tous les postes et serveurs du parc sur le root (C:\), le répertoire Windows et le répertoire Documents & Settings sur TOUS LES FICHIERS pour les fichiers infectés et suspects: Action : Désinfecter / Mise en 40aine

18. Vérifier que cette opération a été effectuée pour tous les postes et serveurs du parc

19. Lancer NMAP avec la machine linux :

nmap -PN 192.168.0.0/24 -p139,445 -n -v script smb-check-vulns script-args safe=1 >> /directory/etape3.log

20. Vérifier ce log en prêtant attention aux machines notées INFECTED et POSSIBLY INFECTED.

Aller physiquement sur ces machines INFECTED et déconnectez les du réseau, ces machines sont vulnérables. Il faudra les patcher manuellement.

Si ce sont des machines NT, Win98, ME, il faudra ne plus les reconnecter du réseau. Aucun support de KB n’est fourni par Microsoft.

Pour les machines POSSIBLY INFECTED, il s’agit souvent de machines Linux avec samba et ces machines ne sont pas vulnérables à ce ver.

Si il s’agit d’une machine Windows, déconnectez les immédiatement physiquement du réseau, il faut appliquer les KB et outil de désinfection manuellement.

21. Relancer NMAP avec la machine linux :

nmap -PN 192.168.0.0/24 -p139,445 -n -v script smb-check-vulns script-args safe=1 >> /directory/etape4.log

22. Vérifier si aucune machine est noté INFECTED dans le log. Si tel est le cas, plus aucune machine n’est infectée, aller au point suivant du protocole

23. Aller sur la console BD et redonner les accès a tout le parc des clefs USB via le script WMI prévu à cet effet.

24. Toujours sur la console BD, redonnez les politiques du firewall BD qui étaient déclarées avant l’infection. Déployer ces règles de firewall.

25. Relancer NMAP avec la machine linux :

nmap -PN 192.168.0.0/24 -p139,445 -n -v script smb-check-vulns script-args safe=1 >> /directory/etape5.log

Vérifier si aucune machine est noté INFECTED dans le log. Si tel est le cas, plus aucune machine n’est infectée, aller au point suivant du protocole. Sinon des machines restent INFECTED et si il s’agit d’une machine Windows, déconnectez les immédiatement physiquement du réseau, il faut appliquer les KB et outil de désinfection manuellement.

26. Le cas important : les ordinateurs portables. Selon la politique de votre entreprise, il y a plusieurs possibilités de forcer les mises à jour de ces postes.

- Modifier le fichier DHCP.CONF avec des mac-address en forçant les portables à binder une IP qui n’est pas celle du réseau lorsqu’ils se connectent sur la RJ45, et faire une intervention manuelle.

- Dans le même esprit, ouvrir un WLAN sur votre réseau physique sur lequel serait installé un autre serveur BitDefender qui appliquerait les opérations ci-dessus. Une fois effectuées, désinstaller l’agent BD de cette machine, et la reconnecter au réseau initial. L’agent BD du réseau local sera réinstallé avec les politiques de l’entreprise.

- Ou donner à l’administrateur ce portable pour vérification manuelle sur laquelle les KB, installation de l’antivirus devront être installées.

NOTES IMPORTANTES : Si dans le réseau des machines NT, ME, Windows 98 ou Windows 95 sont connectées, ces machines sont vulnérables et aucun patch n’a été fourni par Microsoft.

Le temps d’application du protocole, ces machines doivent IMPERATIVEMENT être déconnectées du réseau. Par la suite, des solutions s’offrent à vous :

- Faire migrer ces machines avec des OS plus récents. - Installer un pare-feu logiciel en bloquant les Inbounds et Outbound sur les ports 139 et 445 - Installer un pare-feu physique (des petits boîtiers aujourd’hui sont commercialisés) en bloquant les Inbounds et Outbound sur les ports 139 et 445

Nombre d'entre vous me contacte pour me demander conseils de nettoyage pour ce botnet.

Je vous propose donc d'effectuer les procédures suivantes qu'il vous faut suivre scrupuleusement.

1. L'installation du patch est obligatoire sur tous les postes clients et serveurs du réseaux windows (OBLIGATOIRE).

Installer le patch Microsoft ( KB958644 ) disponible sur le lien ci-dessous:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx

2. Il vous faut bloquer temporairement les accès aux périphériques usb de votre réseaux afin d'éviter aux utilisateur de se faire réinfecter en connectant un périphérique disque usb.

Allez dans BitDefender management console, "créer un script WMI" Sélectionner "désactivez la mémoire de masse usb"

3. Modifier la politique "paramètres antivirus", et basculez le niveau de protection par défault en mode PERSONALISE en cochant toutes les options sauf analyse reseau et analyse des archives

Il faut, pour toutes les options en cas de detection malware, passer les actions que BitDefender doit entreprendre en cas de détection, METTRE EN QUARANTAINE

Assurez vous également que les mise à jour antivirus soient à jour la plus récente en appliquant la politique de "demande de mise à jour"

4. Modifier la politique "Politique d'Analyse",

5. Basculez le niveau de protection par défault en mode PERSONNALISE en verifiant si toutes les options sont cochées.

6. Vérifier que dans l'option Analyse sur fichier que l'Analyse tous les fichiers soit cochée .

7. Dans Action d'analyse, positionner toutes les premieres et secondes actions soit programmées en Mise en 40aine

8. Lancer une analyse sur chacun des postes du reseau

9. Si vous avez des OS Microsoft NT ou Windows Seven, même protégés, deconnectez PHYSIQUEMENT ces ordinateurs du réseau, ils sont vulnérables à ce jour, et Microsoft n'a pas encore sorti de hotfix sur la faille décrite sur le KB958644.

10. Si l'infection continue, prendre quelques postes remontés dans la console comme infecté.

10.1 Deconnecter ce poste physiquement du réseau local (retirer la prise réseau)

10.2 Lancer une analyse manuelle sur tout le disque

Si ce poste est contaminé offline, verifiez si le patch Microsoft ( KB958644 ) a ete installe par le biais d'ajout et Suppression de programmes

Si il n'est pas contaminé, refaire la procédure du point 10 sur quelques postes et / ou serveur. Cela implique qu'un des postes ou serveurs de votre réseau est encore contaminé et ne possède pas le patch Microsoft.

Si il est contaminé (offline), il vous faudra alors IMPERATIVEMENT le déconnecter physiquement (retirer la prise RJ45)

Il faut le patcher et l'eradiquer avec BitDefender.

Nota : Tant que ce poste n'est pas patché et que l'antivirus n'a pas fini son analyse, ne pas le reconnecter sur le réseau.

Si l'infection continue, cela implique qu'un des postes ou serveurs de votre réseau est encore contaminé et ne possède pas le patch Microsoft.

Il vous faudra le(s) trouver et appliquer la procédure à partir du point 10

CONCLUSION : Ce type d'infection représente un travail fastidieux à la désinfection. Appliquez les procédures à la lettre, et vous gangnerez votre temps.

Bon courage

Confiker est toujours là !

Il évolue de jour en jour, et est redéveloppé au quotidien.

Pourquoi évolue-t-il de cette façon ?

Comme nous pouvons le constater avec l'image ci-dessous, une enveloppe vide est chargée en mémoire sans aucun code.

Cela implique que l'enveloppe attend un code dynamiquement et en temps réel venant via une technologie botnet pour agir.

Dans ce cas d'enveloppe vide, un antivirus traditionnel ne peut dans ce cas détecter ce type code. Seules des solutions de détections actives peuvent répondre à ce type d'egene.

C'est typiquement le fonctionnement de Confiker, qui, de par ses changements subtentiels, évolue à un vitesse fulgurente.

C'est pourquoi de nombreuses variantes maintiennent le réseau Confiker, un peu comme en dents de scie, au fur et à mesure que les détections génériques ou heuristiques puissent être mises à jour, pour déctecter de nouvelles variantes...on entre ainsi dans une course contre la montre ....

...à suivre....

Je redoutais quelque chose lorsque j'ai ecrit ce post Les éditeurs antivirus ciblés par les attaquants

Ca y est nous sommes confrontés à un nouveau fléau avec la variante de Confiker.C.

Confiker dont la version B vient d'à peine être éradiquée (mais sévie encore dans de nombreux réseaux informatiques), que la variante C est dores et déjà lancée mais sera réellement active le 1er Avril 2009, selon les premiers échantillons. pour renforcer et développer le réseau parallele de même nom.

La variante C enrichie le nombre de sites de mises a jour des différents antivirus et de Microsoft updates...je vous en dirais plus à la fin de ce document.

Confiker.C (alias Downadup, Kido, Shadow.base etc selon les conventions de noms des éditeurs antivirus) s'attaque aux experts. En effet, cette variante ne permet pas à un expert de faire une analyse poussée, avec des outils de reverse enginering, car si ces outils sont chargés en mémoire, confiker.c interdit tout simplement leurs executions !

Par conséquent, on y voit une volonté féroce, dans cette variante, de faire exister et d'éllaborer un réseau zombies de grande ampleur !!! et ce n'est pas les 250000$ offert par Microsoft qui vont faire reculer les concepteurs, car les commenditaires de ce réseau parallele payent bien plus que 250000$ ... Des donneurs d'ordres sans scrupule demandant de lancer des vagues de spam (revenus environ 35millions de $ annuel, rien que pour exemple d'un simple spam), des vagues de Denis de services sur des sites commerciaux, des attaques sur les serveurs gouvernementaux, etc... et tout cela grâce à vos machines, chers internautes, qui restent vulnérables soit par manque de mises à jour de microsoft associées à cela l'utilisation d'outils antivirus de mauvaises qualités...dommage!

Bref, pour faire simple, le réseau parallele Confiker est un réseau P2P fonctionnant sur 2 ports TCP et UDP.

Dans le genre, les codes de confiker.c (je dis les codes car de nouveaux sont bien évidemment téléchargeables en temps réel...on est sur des technologies d'infections actives) représentent toutes les particularités d'un storm worm avec des tentatives d'infections toutes en douceur et et a des temps calculés!

Dans un rapport de mon confrére chercheur Philip Porras, il nous indique que d'après les premiers résultats sur des opérations en milieu infecté controllé, confiker.c lance des tentatives de connexions tcp sur seulement 60 hosts toutes les 5 minutes, jusqu'à 2500 hosts en udp dans la même période de temps, et 6 connexions http sur des serveurs qui pourraient contenirs de nouveaux exploits à télécharger....ce qui est très peu par rapport à une propagation du vers Nimda ou Slammer, souvenez vous!

Ceci dit, cette variante de confiker.c, embarque une mine de technologies de dernières générations.

Pour n'en citer que quelques unes référencées, mais qui pourraient changées à partir du 1er avril lors de son activation réelle, on constatera l'utilisation de la technologie MUTEX (presque impossible à detruire le process en ram), anti outils de reverse engineering, utilisation de cryptage de répertoire et données en MD6 (oui oui vous avez bien lu MD6 derniere version car la précédente avait des bugs, mais qui à peine sortie en domaine publique!), utilisation de la techniques de compétences transversales (voir mes comptes-rendus sur le sujet) afin de tester si la machine, qui est en cours d'infection, a déjà été touchée par une ancienne version de confiker. Si oui, le process se connecte sur la machine déjà infectée par une version antérieure a la variante C, l'update en version C, avec mise à jour ou création d'une DLL dans un répertoire temporaire crypté en MD6. La dll s'exécute par svchost, lance des requettes sur des dns defacés via un dns changer au cas ou. Confiker.C possède des retro actions pour patcher les règles des parefeux logiciels présents sur la machine exploitée. Il interdit les mises a jour de windows via msupdate et les mise à jour des solutions de securite installes sur la machine victime sur leurs sites de mises à jours. Confiker.C patche les packages Microsoft de mise à jour via des outils de déploiement en réseau, et utilise dans ses codes de l'obscursing autours des process qui sont lancés par svchost et fait de l'obscursing de registres sur netscvs...

Ouf ! la liste est je pense complète au moment ou j'écris ce message, mais sachez que ce stormworm peut changer à tout moment en se connectant sur un serveur pour downloader de nouveaux exploits, mais également changer et charger de nouveaux codes pour sa DLL qui est vue comme un fichier temporaire dans le repertoire crypté en MD6!

Ce storm s'auto-défend à toute agression d'outils d'experts et confiker.c met en place des contre-mesures de façon aléatoire notamment sur des permissions sur la NTFS qui permettront d'effacer les fichiers de Confiker.c avec beaucoup de difficultés...même si on est administrateur de la machine.

Cette variante de ce storm valide ou non son existance par une vérification de connexion internet et ne télécharge que de nouvelles attaques/exploits à diffuser si et seulement si son repertoire est encrypté en MD6 (pour court-circuiter les protections temps réels des antivirus) et que si et seulement si les trames tcp/udp correspondent bien à une machine déja infectée par confiker.

En conclusion : Vous comprennez mieux le titre de cette section maintenant, car les désinfections vont s'avérées sportives.....sauf peut être, si vos editeurs antivirus sont ou ont été réactifs, et détectent via leurs temps reel dores & déjà cette variante de ce storm.

Un petit conseil : mettez a jour TOUS vos antivirus et les patchs Microsoft AVANT le 1er avril 0h00 ... sinon prevoyez un seau pour la sueur !

Le 7 février 2009 : Kaspersky subit une attaque sur son site USA, et les bases antivirales innaccessibles pendant plus de 1h30

Le 9 février 2009 : BitDefender subit également une attaque.

Le 11 février 2009, c'est le tour de F-Secure.

Tout cela me laisse penser qu'il s'agit d'une guerre que commencent les cyber delinquants contre les seuls freins : les éditeurs d'antivirus.

Il faut dire que ces derniers temps, les cyber-délinquants n'y vont pas de main morte. Si on prend quelques exemples dont on ne parle pas en presse, car les alertes virus semblent ne plus interesser personne, ceci dit, elles continuent de plus en plus.

Nous subissons la guerre du numérique, et personne ne semble réagir, ormis notre gouvernement qui a quand même mis la main à la poche pour lutter contre ce cyber-terrorisme.

En exemple, on nommera le Confiker (Autorunner.5555), les DNS changers (vous croyez etre sur un site, vous êtes sur un autre, et un pirate vous espionne), Poison.51 qui met en marche la webcam et le microphone de ses victimes en y ajoutant un key logger sophistiqué qui prend les abscisses et les ordonnées des clicks de souris que l'internaute effectue et audite tout ce que la victime tape au clavier (et si un clavier virtuel est lancé, la code malicieux prend une image), Virut qui lui fait son petit chemin de propagation pour afecter ses victimes dans un reseau zombie de grande ampleur, etc, bref de petites vermines qui font bien des déboires, pour au final, un seul résultat : l'appat du gain ! C'est bien connu, celui qui a le gain et la maitrise peut provoquer ce qu'il souhaite....

Il est clair que la réactivité des antivirus sur les mises a disposition des antidotes inquiétent les cyber-delinquants. Il leurs faut développer des freins.

Alors que certains éditeurs d'antivirus optent leurs technologies et leurs publicités sur le 'CLOUDING' (envoi des fichiers des utilisateurs sur des serveurs antivirus sur internet pour les analyser en temps réel), les dernieres attaques des editeurs antivirus démontrent bel et bien que le clouding ou le management des flux internet déportés chez un tier, qui n'est que ni plus ni moins l'editeur antivirus, est très dangereux.

C'est ce que j'expliquais dans un de mes posts sur le bon choix d'un antivirus

Bref, les freins dont je parle, sont relativement simples :

a. Les codes malicieux qui déroutent les DNS soit sur le 127.0.0.1 soit sur un serveur internet qui ne contient que des données notamment des fichiers très anciens des antidotes des editeurs antivirus

Résultat : pas de mise a jour

Conséquence : liberté pour le cyber-délinquant de publier ses malwares qui ne seront détectés que bien plus tard.

b. Utilisant la même technique, éviter que les systèmes Windows, linux ou autre ne se mettent a jour pour palier aux failles de sécurités de l'OS.

c. S'attaquer à la source : c'est à dire mettre un cyber-désordre chez les éditeurs antivirus, firewall, antispam, etc, afin de rendre innaccessible les sites de mises à jour.

A ce niveau, il faut s'inquiéter.

C'est pourquoi, certains éditeurs, qui utilisent des techniques de mises a jours moins sophistiquées que par exemple le clouding ou les services managés, se retrouvent beaucoup moins vulnérables, car il démultiplient leurs serveurs de mises à jour, changent les adresses IPs plus que régulièrement, ainsi que les noms DNS, permettant ainsi un risque bien moins grand.

Microsoft met un peu de temps pour corriger la faille permettant de transformer l'ordinateur de l'internaute en machine zombie.

C'est tout a fait normal. En programmation, il existe des fichiers librairies appellés DLL. Ces fichiers sont des points communs inter logiciels. Ils permettent ainsi d'optimiser la lourdeur de plusieurs applications qui utiliseraient les mêmes fonctions.

En linux, ou solaris, ou encore Mac OS, il en est de même quant aux méthodes de programmations de ce type.

Quelles sont les conséquences de l'utilisation de ces librairies conjointes ?

La réponse est simple : une lenteur pour corriger les bugs ou trous de sécurité.

On prend l'expemple de Internet Explorer, voici une liste non exhaistive que IE utilise:

IEXPLORE.EXE 18172 ntdll.dll, kernel32.dll, msvcrt.dll,

                                USER32.dll, GDI32.dll, SHLWAPI.dll,          
                                ADVAPI32.dll, RPCRT4.dll, SHDOCVW.dll,       
                                comctl32.dll, SHELL32.dll, ole32.dll,        
                                MSCTF.dll, BROWSEUI.dll, browselc.dll,       
                                COMCTL32.dll, appHelp.dll, CLBCatQ.DLL,      
                                OLEAUT32.dll, COMRes.dll, VERSION.dll,       
                                UxTheme.dll, WININET.dll, CRYPT32.dll,       
                                MSASN1.dll, Secur32.dll, cscui.dll,          
                                CSCDLL.dll, SETUPAPI.dll, urlmon.dll,        
                                shdoclc.dll, mlang.dll, wsock32.dll,         
                                WS2_32.dll, WS2HELP.dll, mswsock.dll,        
                                wshtcpip.dll, RASAPI32.DLL, rasman.dll,      
                                NETAPI32.dll, TAPI32.dll, rtutils.dll,       
                                WINMM.dll, rdpsnd.dll, WINSTA.dll,           
                                PSAPI.DLL, msv1_0.dll, sensapi.dll, SXS.DLL, 
                                USERENV.dll, DNSAPI.dll, rasadhlp.dll,       
                                mshtml.dll, PDM.DLL, mdmui.dll, MSDBG2.DLL,  
                                msimtf.dll, IMM32.DLL, msohev.dll,           
                                jscript.dll, iepeers.dll, WINSPOOL.DRV,      
                                MSLS31.DLL, mshtmled.dll, imgutil.dll,       
                                pngfilt.dll, Flash9e.ocx, comdlg32.dll,      
                                msacm32.drv, MSACM32.dll, vbscript.dll,      
                                MFC42.DLL, MFC42LOC.DLL, schannel.dll,       
                                ddrawex.dll, DDRAW.dll, DCIMAN32.dll,        
                                dxtrans.dll, ATL.DLL, dxtmsft.dll

Ces DLLs sont communes avec des logiciels Microsoft de type MSN, OutLook, Office.

Par consequent, il est indispensable pour Microsoft de passer en bancs tests toutes les applications de leurs gammes afin d'assurer des bons fonctionnements pour la totalité des applications fonctionnant autour de ces librairies.

Ce n'est pas une chose facile, car cette faille ne touche pas seulement une version particulière mais pratiquement toutes les versions d'internet explorer.

Mais cette faille n'est pas uniquement la faille qui transforme les machines des internautes en machines zombies ou machines soldats

Pour resumer, il n'est pas forcement nécessaire d'avoir une faille dans votre navigateur pour être toucher par un zombie, que vous soyez en linux, ou windows, la problematique reste et restera toujours la même et encore plus aujourd'hui et demain car les infections se font de plus en plus de la façon que j'ai expliquée ici

Il faut alors se munir d'antivirus qui sont capables de détecter et d'agir lors d'infections actives, lisez plutot ici.

Des failles OS ou applicatifs sont publiées chaque jour et exploitées par les pirates en moins de 10 minutes. On ne pourra jamais corriger en temps reel toutes les failles, par consequent un antivirus et un parefeux de qualité vous éviteront bien des déboires, même si une de vos applications est vulnérable.

Nota : Bons nombres de navigateurs gardent des beaucoups de failles ....mais on le dit moins regardez une console zombie de ce type:

Comme vous pouvez le constater, en haut a gauche, un certain nombre de navigateurs qui ont et sont exploités par les réseaux zombies, failles ou pas.

Gardez en tête cette information capitale :

Tout logiciel, programme que vous exécutez sur votre ordinateur peut potentiellement contenir un code suspect.

Tout ce qui vient du monde libre, n'est pas forcément un code bienfaisant, car les codes sources peuvent etre modifiés tres facilement et remis en circulation sur des sites.

Donc méfiance !

Dans cette vidéo tout public, j'explique les techniques et tactiques employées par les pirates pour faire prendre conscience à l'internaute que les oridinateurs peuvent etre des soldats de la guerre du numérique.

Un site d'un editeur de sécurité a été victime d'une attaque HTTP d'un storm worm sous forme de IFRAME, comme je l'ai expliqué dans le post http://marc-blanchard.com/blog/index.php/2007/12/21/41--dfinitionexplications-les-storm-worm-et-storm-botnet

Il s'agit d'une attaque IFRAME.

Une IFRAME est un redireteur d'une page web ou d'un téléchargement d'un fichier ou d'une image présent sur un autre serveur web.

En général, si il s'agit d'un storm worm, cette iframe est transparente à l'affichage et le téléchargement peut-être transparent sans popup selon le navigateur utilisé.

Les attaques storm worm en web/HTTP sont de plus en plus fréquentes....attention lorsque vous recherchez une information sur les moteurs de recherches...

Voici le post de JD-NET : Vendredi 14 mars 2008, 11h40 :

Alors que l'éditeur de sécurité mettait justement en garde les internautes contre la diffusion de programmes malveillants via l'intégration dans des pages Web légitimes d'iframe, il a lui même été pris pour cible.

Plusieurs pages Trend Micro comportaient ainsi un JavaScript redirigeant de façon invisible le navigateur vers un serveur hébergé en Chine installant un code malveillant destiné à dérober des identifiants d'accès.

Le 13 mars, McAfee comptabilisait 20 000 pages Web ainsi infectées. Les experts cherchent encore à identifier le mode d'attaque employé par les pirates pour infecter massivement des pages. Une faille dans la technologie Active Server Page (ASP) de Microsoft pourrait avoir été exploitée.

Attendez vous à recevoir une nouvelle technique de SPAM dans vos boites aux lettres.

En effet, depuis ce matin, les boites aux lettres commencent à recevoir un spam qui contient un fichier MP3, qui fait une annonce d'une entrée en bourse d'une entreprise du net appelee EXIT ONLY Inc...

Voici des echantillons mp3 quasiment inaudibles qui arrivent dans vos boites aux lettres :

Echantillon MP3 du fichier qui arrive par mail 118 ko

Autre Echantillon MP3 de 109 ko

Cette technique est une mise à l'épreuve de technique de spams vocaux. Il est à noter que les fichiers qui arrivent dans les boites aux lettres sont de tailles différentes, représentant ainsi des échantillonnages de la voie différents, et des noms des fichiers MP3 différents.

A quoi faut-il s'attendre demain avec cette technique?

Il sera simple de recevoir des spams en MP3, qui inciteront les internautes à aller visiter des sites internet.

Ces sites contiendront des codes malveillants afin de contaminer les internautes, avec des trojans downloaders (malwares qui se téléchargent et s'installent automatiquement à l'insu de l'utilisateur).

Le but, pour les cyber-délinquants, est d'accroître et de maintenir en fonctionnement un parc de machines zombies sur la planete afin de les exploiter au maximum...à des fins cyber-criminelles, tels que le spam, des denis de services, de l'espionage, des chantages et toutes autres attaques numériques.

Un webmaster m'a fait part d'une attaque d'un réseau zombie qu'il a subi dernièrement sur ses serveurs web. Je vais essayé de vous l'expliquer le plus simplement possible.

Perception de l'attaque :

a. Coté utilisateur : Trés grosses lenteurs d'accès aux pages web du site, voire impossibilité d'affichage de la page d'index (la page de bienvenue du site)

b. Coté serveur internet : Le microprocesseur est à 100% d'utilisation, des milliers de processus du serveur web/http surchargent la mémoire

c. Coté administrateur / webmaster : Vérification des régles de parefeux : Rien d'anormal, vérifications auprès du provider internet : rien d'anormal...

Que se passe-t-il ?

1. Après investigation du webmaster et de l'administrateur, des milliers d'ordinateurs sont en train de télécharger un fichier présent au téléchargement sur le site web attaqué.

2. Ces milliers d'ordinateurs téléchargent le fichier du site web attaqué avec une toute petite bande passante.

Que peut-on constater dans ce cas :

1. On s'appercoit, sur le serveur web attaqué, qu'une multitude de processus de serveur http sont chargés en mémoire, visant à faire tomber la machine via un 100% CPU (micro-processeur) et qu'une saturation mémoire et swap sont proches

2. Que ces processus de serveur http ne s'arreteront pas tant que le fichier n'est pas totalement téléchargé, ne liberant ainsi le serveur que dans quelques heures.

Différentes théories de paliatifs contre cette attaque de denis de service (appelé D.O.S) :

1. Imposer des limites de processus au système, mais elles peuvent nuire à la production habituelle du nombre de pages web visitées au quotidien

2. Filtrer les adresses IP : Mais certaines IP peuvent avoir un incident de blocage de connexion pour l'utilisateur non perturbateur, car son adresse IP peut être filtrée

Solution :

Partant de ce constat, il s'est avéré que la seule méthode, la plus efficace, était de capturer (blacklister) ces IP perturbatrices, non pas en les annulant, car l'attaquant pourrait attendre que toutes les adresses IP de son réseau zombie changent, mais de lui faire croire que son attaque fonctionne sans pour autant perturber le système.

Pour ce faire, une solution de 'pot noir' en linux existe qui consiste à répondre à la requête d'une adresse IP mais la diriger vers 'rien'

Aprés une fantastique saisie des adresses IP, et une recherche de géolocalisation des adresses IP, il s'est avéré que l'attaque venait d'Asie. Par conséquent, un 'pot noir' temporaire des adresses IP venant de ce pays s'est avéré la solution la plus efficace, sans trop de perte de productivité commerciale pour l'entreprise.

Conclusion :

Les hackers qui contrôlent les réseaux zombies peuvent provoquer un cyber-désordre d'une entreprise, d'un grand groupe international, juste en télécommandant des attaques programmées, par pays, par région sous forme de denis de services (D.O.S.), pour ensuite effectuer des chantages financiers ....un arret de l'attaque contre une somme d'argent...

Les machines zombies ne sont, en fait, que des ordinateurs que nous utilisons au quotidien, mais qui ont été infectés par une backdoor (porte dérobée) et d'un BOTNET (qui envoie régulièrement l'adresse IP de la machine au hacker). Le hacker peut ainsi prendre le contrôle du poste en entrant dans le système via la porte dérobée.

La seule solution aujourd'hui, pour éviter que notre ordinateur n'entre dans un réseau zombie, est une protection antivirale équipée d'un module proactif de défense, une analyse heuristique qui complète une mise à jour des bases antivirale (la plus fréquente possible), et une analyse en temps réel qui analyse TOUT TYPE de fichiers.

Les hackers d'aujourd'hui ne sont plus les hackers que nous avions, il y a 10 ans encore (qui ne montraient que des preuves comme quoi les systèmes pouvaient être vulnérables)... Non! les hackers d'aujourd'hui sont bel et bien de réels businessmen, et là ......

Où s'arrêteront leurs limites? Dans ce cas, est-ce que la limite est celle qu'un homme peut attendre dans sa quête de richesse ou de pouvoir ?

ALERTE Un vers se propage sur le réseau Skype et sa VoIP

Les noms de ce vers varient selon les éditeurs AV, Skipi chez Kaspersky, se propage sous forme de messages provenant du carnet d'adresse des utilisateurs skype infectés.

Arrivée du malware

Le worm arrive si les utilisateurs de Skype recevant ces messages ayant des liens sur lesquels une image érotique peut etre téléchargée.

Activation du malware :

L'activation se fait des le téléchargements d'une de ces images, qui en fait est un fichier JPG.SCR. L'extension SCR, selon les operating systems est cachée.

Si l'utilisateur clique sur le bouton "OUVRIR", l'infection de la machine commence, car le vers utilise l'API de skype.

Si l'utilisateur a son Skype de lancé, le vers enverra ses liens sous forme de messages (au nom de la personne infectée) à tout le carnet d'adresse Skype du poste.

Méthode d'infection :

Des que le code est exécuté, il copie ces fichiers dans le répertoire \Windows\System32 :

winlgcvers.exe mshtmldat32.exe wndrivs32.exe sdrivew32.exe

Il patche les clefs de registres :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Deux clefs sont crées :

HKEY_CURRENT_USER\Software\RMX

HKEY_LOCAL_MACHINE\SOFTWARE\RMX

Le vers télécharge son code sur les sites suivants :

cpa-site.com lookingat.us www.freewebs.com www.gamesforum.com www.kale45.php0h.com 4444mb.com zopa.110mb.com mylawsite.net attorney-site.com ragezone.com blog.co.uk kupralana77.110mb.com members.lycos.co.uk ragai.myartsonline.com bedclip.com alladultmale.com

Technologie de retrovirus :

Afin de ne pas être détecté, et lui permettant de changer son propre code malicieux à volonté, le vers patche le fichier HOSTS tous les sites des serveurs de mises à jour des antivirus les plus connus.

Nota : Ce fichier doit être, en théorie, vide de nom de domaines.

Recommandation :

Forcez les mises à jour des bases antivirales.

Si l'antivirus refuse de se mettre à jour :

- Ouvrez notepad puis accédez au fichier HOSTS situé dans c:\windows\system32\drivers\etc

- effacez les noms de domaines inscrits dans ce fichier

Voici pour exemple un fichier hosts sain :

- Relancez la mise a jour de votre antivirus

Avec 1 IPhone Apple vendu toutes les secondes dans le monde, c'est tout ce que Steve Jobs a toujours rèvé sans jamais l'avoir atteind.

Et bien c'est fait ! et on peut que l'en félicité !

Par contre 74 jours seulement, pour qu'un développement underground puisse être mis sur les sites peu scrupuleux pour faire sauter les sécurités SIM (notamment en ne dédiant plus le IPhone a utiliser qu'un seul opérateur téléphonique, mais multi-opérateurs), pour la modique somme de 30 euros !!!

Effectivement, le calcul par les crackers est rentable !

Après la mise en ligne de la version 1.02 du firmware, Apple est de nouveau en cours de révision de celui-ci...

Histoire à suivre...très très bientôt