Aller au contenu


Collection d'outils destinés à l'infection "Confiker"


  • Vous ne pouvez pas répondre à ce sujet
12 replies to this topic

#1 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 11 mars 2009 - 09:26

Bonjour,

voici une collection d'outils destinés à la lutte et l'éradication du ver "Confiker" aussi appelé "Downadup", ou "Kido" compilée par le site web "Sans internet storm center".
Ce malware a plusieurs caractéristiques:

  • il exploite une vulnérabilité de Windows référencée MS08-067.
  • Il essaye de forcer le mot de passe administrateur
  • Il infecte les périphériques amovibles en créant un fichier autorun.inf. F-Secure a aussi indiqué que ce fichier contenait beaucoup de données aléatoire (environ 60 Ko de déchet) afin de tromper les AV mal réglés.
  • Il désactive les points de restauration.
  • Il empêche l'accès à certains site d'éditeurs anti-virus et au service de mise à jour Microsoft (Microsoft update).


Son but est de créer un réseau de PC zombie

Le lien: http://isc.sans.org/...toryid=5860 (en anglais)

Vous remarquerez qu'outre la "collection" d'outils, ils ont centralisé toutes les infos des différents acteurs de la sécurité sur ce malware dont j'ai tiré un petit résumé sans atteindre la précision de certains liens.
En effet, certains de ces liens sont très techniques et le but de ce post est surtout de signaler la collection d'outils, pas de se gaver de détails qui ne sont utiles qu'aux vrais spécialistes.

Édit: Rajout du lien vers l'explication de la vulnérabilité

"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#2 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 11 mars 2009 - 13:09

Salut !

bonne idée, je me joins immédiatement à ton initiative:

CITATION
Plusieurs variantes du virus Conficker (appelé également "Downadup" ou "Kido") se propagent en utilisant les réseaux et les médias amovibles (clés USB...).

La plupart du temps, les symptômes sont les suivants :

- Plusieurs comptes Administrateurs et/ou Utilisateurs sont verrouillés,
- Plusieurs services importants sont arrêtés et désactivés,
- Vous ne pouvez pas accéder au site Web Microsoft Update et à certains sites Web d'éditeurs antivirus,
- Vous rencontrez des problèmes liés à Svchost.exe

...

Étant donné que Conficker utilise de multiples méthodes de propagation, le plus grand soin devrait être apporté au nettoyage du réseau afin de ne pas réinfecter les machines précédemment nettoyées.


Source: http://blogs.technet...-conficker.aspx



#3 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 30 mars 2009 - 05:19

Salut,

le malware évolue, et il semble qu'il faille se méfier de la version C.
Le problème est que cette version est sensée sortir le 1 avril, l'ISC nous fait un petit exposé de leurs certitudes et à l'aide de différents liens essaye de démêler le vrai du faux: http://isc.sans.org/...ml?storyid=6091

N'hésitez pas non plus a cliquer sur le lien de mon premier message, vous verrez qu'il y a des mises à jours.

"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#4 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 03 avril 2009 - 10:46

Salut,

en faisant un tour sur le site du Internet Storm Center, j'ai découvert l'éxistence d'un groupe de travail sur ce malware.
Ce groupe est constitué par:
* Afilias
* AOL
* Arbor
* Cisco
* ESET
* F-Secure
* Facebook
* Global Domains International
* ICANN
* Internet Storm Center
* Internet Systems Consortium
* Juniper
* Kaspersky
* McAfee
* Microsoft
* Neustar
* NIC Chile
* SecureWorks
* Shadowserver
* SRI International
* Support Intelligence
* Symantec
* Team Cymru
* Trend Micro
* Verisign
et est accessible ici: http://www.conficker...p/Main/HomePage

"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#5 Thelwin Argon

Thelwin Argon

    Thelwinneur

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 268 Messages :
  • Gender:Male
  • Location:Suisse

Posté 09 avril 2009 - 11:07

Hello, bon, je vais rajouter ma pierre à l'édifice :
http://av-fsb.com/fo...3a9401b21d#p300

Je cite :
CITATION
Le worm se présente sous la forme suivante : un fichier Autorun.inf et le worm sous la forme d'une DLL.

- Le fichier autorun.inf a pour rôle d'obliger L'explorateur Windows à exécuter le DLL du worm lors de l'insertion du medium USB à travers rundll32.exe

- Le Dll du worm, une fois chargé en mémoire : il va s'occuper de faire son sale travail.

Bien que le concept autorun.inf / clef usb n'est pas nouveau du tout comme approche d'infection, il s'avère tout de même que le concept reste très efficace à cause d'une erreur chaotique de la firme Microsoft dans son design algorithmique de la façon dont l'explorateur Windows traite les fichiers autorun.inf !

Car contrairement aux virus habituels profitant de la fonctionnalité autorun pour s'exécuter dans l'ordinateur hôte, le worm conficker quand à lui profite de la stratégie de parsing des fichiers autorun.inf par l'explorateur Windows à travers sa libraire shell32.dll !! comment ça ?

- Support du format UNICODE pour les autorun.inf
- Insertion des junks sous forme de commentaires.
- Error tolerant parsing du shell avec les fichiers autorun.inf ( je vais revenir sur ce point ).

C'est pas pour rien que Microsoft demande la tête du concepteur de ce worm icon_lol.gif

Tout ce qui va suivre comme explication, est biensur développé d'un point de vue Antiviral, je t'expliques les choses comme étant vues par un antivirus roll.gif

L'erreur algorithmique de Microsoft que je juges chaotique, et je pèse bien mes mots : se résume dans le fait que l'explorateur de Windows traite les fichiers autorun.inf comme étant des fichier .ini, donc il applique le même parseur INI lors du traitement des fichiers autorun.inf ; L'auteur ou les auteurs de Conficker en totale conscience de cette erreur, ont profité de la manière dont windows Parse les fichier ini pour évader les détecteurs antiviraux ou mêmes quelques humains soucieux de vérifier certaines choses par leurs propres yeux icon_lol.gif

(+) Support Unicode :

Le support unicode pour les fichiers autorun.inf, pour être honnête j'ai jamais entendu parlé avant d'avoir eu à faire à monsieur conficker icon_mrgreen.gif

Donc en partant du principe qu'un fichier autorun.inf est un fichier non unicode, les parseurs antiviraux ne sont pas capablent de comprendre par exemple que "[Autorun]" == "[,0x,A,0x,u,0x,t,0x,o,0x,r,0x,u,0x,n,0x,]" alors que l'explorateur Windows est capable de comprendre qu'ils sont identiques, et le fichier autorun.inf reste parfaitement exécutable !

Jusqu'à la version 0.6a que tu testes actuellement, le FSB Antivirus est aussi vulnérable à cette attaque ! :( Mais la version 0.7 qui est en cours de finalisation n'est pas vulnérable 8)

(+) Les Junks sous forme de commentaires :

Bein c'est pas nouveau et le concept de cette méthode a été introduit exclusivement avec la famille Vundo qui se propage par clefs USB.

La méthode consiste à introduire des lignes de commentaires avant et entre les champs exécutif du fichier autorun.inf afin de contrer les stupides engins antiviraux qui commencent par vérifier si la 1ère ligne du fichier autorun.inf contient bien le texte suivant : "[Autorun]" icon_mrgreen.gif

Le FSB Antivirus 0.6a n'est pas vulnérable à ma connaissance à cette attaque.

(+) Error tolerant parsing :

C'est ce que j'ai qualifié de chaotique chez Microsoft, et c'est vraiment le prix à payer quand on applique le même parseur INI pour traiter un fichier autorun.inf !!

Avec conficker, la barre a été poussé vraiment très très loin ! comment ça ?

Bein , en profitant de la flexibilité abusive du parseur Windows des fichiers INI, monsieur Confiture, lol pardon je voulais dire monsieur conficker icon_mrgreen.gif s'est permis de présenter un fichier autorun.inf, non conforme, mutilé et supposé être non exécutable même à l'oeil nu : mais que Windows valide et exécute quand même !!!! ( dites merci Microsoft !! allez dites merci !! icon_lol.gif )

En fait la ligne qui est supposée valider et mettre à exécution le contenu du fichier autorun.inf a été tellement mutilée par conficker à un point où elle contient en fait le fragment suivant :

 [AUTorUN

Et là le gentil parseur INI de microsoft valide la ligne et la rend équivante à "[autorun]" et l'explorateur Windows exécute sans aucun problème le contenu du fichier autorun.inf !!!

Supposons ici que le parseur antiviral est capable de traiter le format UNICODE, serait il normal qu'il valide une ligne pareille ? biensur que nonnnnnnnnn !!!

La version 0.6a du FSB Antivirus est malheureusement vulnérable à cette stupidité algorithmique icon_mrgreen.gif car il faut être aussi stupide que Windows pour valider une telle ligne icon_mrgreen.gif

Si la stupidité est le prix à payer pour détecter des virus qui profiteront de cette faille pour vous infecter, bein sachez que la version 0.7 du FSB Antivirus est encore plus stupide que Windows sur ce point :lol: puisque nous venons de terminer les modifications ce soir sur l'engin Heur.Exploit et donc la version 0.7 prendra en charge les 3 failles que j'ai cité en plus de beaucoup d'autres que je ne peux pas citer :x

Bon, en parlant de stupidité cher tristan, j'ai voulu pousser la barre plus haut mais même si le thème de cette soirée s'intitule autours de la stupidité : il ya tout de même une limite à tout !! d'ailleurs je suis prêt à t'envoyer le fichier que j'ai envoyé à virus total pour que tu vérifies par toi même...

Sachant que j'ai une copie du fichier autorun.inf d'infection du worm conficker, j'ai supprimé les 10 kb qui se trouvent à la fin de ce fichier et qui contiennent les commandes vulnérables. De manière à ce que le fichier soit totalement inoffensif et surtout invalide : puisqu'il contient alors que des junks et aucune commande pouvant être validée par notre cher explorateur. Et après j'ai envoyé ce bout de fichier invalide à notre corbeille mondiale de la sécurité sur virus total icon_lol.gif

http://www.virustota...m/analisis/8c06 ... df2cc5dee2 Les résultats ? ils sont exceptionnels icon_lol.gif

File autorun.inf received on 03.03.2009 23:10:09 (CET)
Current status: finished
Result: 7/39 (17.95%)

AhnLab-V3 5.0.0.2 2009.02.27 TextImage/Autorun ( vive la corée icon_mrgreen.gif )
AVG 8.0.0.237 2009.03.03 Worm/Generic_c.ZY ( on triche pas avec moi svp !! c'est pas heuristique clindoeil.gif )
BitDefender 7.2 2009.03.03 Worm.Autorun.VHG
GData 19 2009.03.03 Worm.Autorun.VHG ( n'achetez plus roumain la prochaine fois :lol: )
Microsoft 1.4306 2009.03.03 Worm:Win32/Conficker.B!inf ( N'oubliez pas de remercier Microsoft icon_lol.gif )
Panda 10.0.0.10 2009.03.03 W32/Conficker.C.worm ( une variante C ? elle n'existe pas encore icon_lol.gif )
VirusBuster 4.5.11.0 2009.03.03 INF.Conficker.F

==> les antivirus qui ont fait des détections ici, n'ont pas un support heurisitique des fichiers autorun.inf puisqu'ils ont reporté un fichier invalide comme étant Conficker et c'est dû à quoi ? tout simplement à des signatures débiles, tellement débiles qu'elles prennent en charge le début junk du fichier pour afficher une alerte !! donc monsieur AVG arrêtez svp avec vos tricheries de quel worm générique parlez vous :?: :!: vous venez tout simplement de détecter un fichier texte poubelle grâce à vos signatures comme étant un worm, c'est donc ça vos heuristiques AVG exceptionnelles :?: :lol:

Conclusion ?

Là un scénario fort probable va se passer : les collecteurs automatisés des autres firmes antivirus reliés au service virus total des autres antivirus vont probablement ajouter la signature du fichier invalide autorun.inf à leurs propres bases de données !!

Sauf pathologie mentale profonde, tout le monde est bon en maths. | Albert Jacquard
——————————————————
Deux excès : exclure la raison, n'admettre que la raison. | Blaise Pascal

#6 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 10 avril 2009 - 06:15

Bonjour et merci Thelwin Argon.

Ça bouge enfin du coté du ver qui, d'après les différents experts en sécurité, aurait dû s'activer le 1er Avril, mais cela n'a pas été le cas.
Apparemment, il y a eu une mise à jour ces jours-ci venant d'un serveur en Corée via le P2P.
Le ver essaye de contacter également à un nom de domaine nommé waledac et tente de télécharger un nouveau fichier crypté.
Plus de détails: http://www.cnn.com/2...ated/index.html
À noter que le site du groupe de travail s'occupant de Confiker a été inaccessible pendant quelques heures:
http://isc.sans.org/...ml?storyid=6163

"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#7 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 10 avril 2009 - 06:35

Je ne sais pas vraiment ce que cela vaut, mais voici un test en ligne pour tester une éventuelle infection à Conficker:
http://www.conficker...cfeyechart.html

#8 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 10 avril 2009 - 06:40

CITATION(noisette @ 10/04/2009, 07:35:42) <{POST_SNAPBACK}>
Je ne sais pas vraiment ce que cela vaut, mais voici un test en ligne pour tester une éventuelle infection à Conficker:
http://www.conficker...cfeyechart.html

Oui , c'est le test du groupe de travail et il est sur leurs site, et comme toi, je ne sais pas ce que cela vaut et donc je ne l'ai pas mit en exergue.

"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#9 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 10 avril 2009 - 11:39

Un résumé de Seb Sauvage sur cette menace: http://www.sebsauvag...belle-saloperie

"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#10 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 15 avril 2009 - 18:10

Un point de vue, de nouveau: http://sid.rstack.or...eu-de-faiblesse

#11 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 16 avril 2009 - 11:34

CITATION(noisette @ 15/04/2009, 19:10:13) <{POST_SNAPBACK}>
Un point de vue, de nouveau: http://sid.rstack.or...eu-de-faiblesse
Ce qu'a écrit SID constitue un des meilleurs articles possibles sur ce sujet. J'aime sa logique et pense qu'il a profondément raison.
Le coup de l'infection liée à un "patch" de sécurité urgent non appliqué sur des millions d'ordinateurs est symptomatique du laisser-aller en matière de sécurité et pas seulement de la part des néophyes.

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#12 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 07 mai 2009 - 06:47

Quelques nouveaux outils de détection et de désinfection:




Source

#13 Visiteur_PegHorse_*

Visiteur_PegHorse_*
  • Invités

Posté 03 juillet 2009 - 01:52

Conficker fait tellement de bruits que j'aimerai bien l'avoir pour pouvoir tester la réaction des produits biggrin.gif



0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)