Ver Conficker
Numéro : AL09-003
Date : 25 mars 2009
Objet
Cette alerte a pour objet d’attirer votre attention sur une nouvelle variante du ver Conficker (« Conficker.C ») dont on a beaucoup parlé récemment. Ce ver est aussi connu sous le nom « Downanup ». Le CCRIC diffuse ce produit pour sensibiliser les gens à cette nouvelle variante et pour diffuser de l’information sur les façons de la détecter et de l’atténuer.
Évaluation
Aperçu de la nouvelle variante :
* La nouvelle variante sera activée le 1er avril. On constatera très peu d’activité réseau dans les ordinateurs infectés d’ici le 1er avril. Cependant, des changements de configuration dans les ordinateurs infectés aideront à les détecter avant et après le 1er avril.
* Le ver utilise des vulnérabilités et des techniques connues pour infecter des ordinateurs.
* MS08-067 Vulnérabilité du service Serveur de Windows
* Supports amovibles à l’aide de la fonction Autorun/Autoplay
* Partage de réseau ADMIN$ protégé par des mots de passe faibles Des correctifs existent déjà pour éliminer ces vulnérabilités et un grand nombre de produits d’information ont été diffusés par le Centre canadien de réponse aux incidents cybernétiques (CCRIC) pour sensibiliser les gens.
* Lors de son activation le 1er avril, le ver sera à l’origine d’activité réseau causée par une routine de génération d’un nouveau nom de domaine et par une fonctionnalité d’égal à égal (P2P).
* On croit que la famille de vers Conficker a permis de créer un des plus grands réseaux de zombies en activité.
Mesure suggérée
• PRÉVENTION
Pour empêcher l’infection initiale, le CCRIC recommande fortement aux administrateurs de systèmes :
1. de s’assurer que toutes les mises à jour de sécurité de Microsoft sont installées, surtout MS08-067; http://www.microsoft.com/france/technet/security/Bulletin/MS08-067.mspx
http://www.securitepublique.gc.ca/prg/em/ccirc/2008/av08-080-fra.aspx
2. de désactiver les fonctions autorun et autoplay dans les ordinateurs Windows; http://www.securitepublique.gc.ca/prg/em/ccirc/2008/tr08-004-fra.aspx
3. de désactiver les services Serveur et Computer Browser, comme on le décrit dans le bulletin de sécurité Microsoft MS08-067, pendant que vous éliminez l’infection; http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
4. de s’assurer que tous les logiciels anti-virus et les SDI/SPI sont dotés de fichiers de signatures à jour et qu’ils sont en cours d’exécution;
5. d’appliquer des politiques pour s’assurer que les mots de passe respectent les pratiques exemplaires actuelles relatives aux mots de passe forts.
• DÉTECTION
Avant le 1er avril
-----------------
1. Le CCRIC recommande de chercher toute trace des indicateurs ci-dessous pour optimiser la recherche d’hôtes infectés :
Un grand nombre de fournisseurs de logiciels anti-virus ont créé des signatures pour la variante .C. Cependant, le ver empêche les systèmes infectés de communiquer avec les services de sécurité en ligne connus, comme les principaux sites de mise à jour de logiciels anti-virus, Windows Update ou les services d’analyse en ligne.
On sait que ce ver désactive les services de sécurité suivants :
* Service Windows Security Center
* Service Windows Update Auto Update
* Service Background Intelligence Transfer
* Windows Defender
* Service Error Reporting
* Service Windows Error Reporting
Tout ordinateur qui n’est pas doté du dernier fichier de signatures ou dans lesquels les services ci-dessus ont été désactivés doivent faire l’objet d’un examen approfondi décrit à l’étape 2.
2. Pour les hôtes suspects, les administrateurs de systèmes peuvent confirmer qu’il y a eu une infection à l’aide des indicateurs suivants :
Les administrateurs de systèmes doivent chercher le fichier binaire de chaque service.
* Identifiez la date et l’heure du fichier binaire kernel32.dll dans le répertoire %racinesystème%\System32
* Pour tous les services activés, cherchez le fichier binaire ayant la même date et la même heure que le fichier kernel32.dll et dont les privilèges de suppression et d’écriture ont été révoqués.
* De plus, si la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot est introuvable dans le système, il est très probable que cet ID d’hôte a été infecté.
Après le 1er avril
-----------------
L’algorithme de génération d’un nouveau nom de domaine sera activé le 1er avril. Cela entraînera une augmentation des réponses DNS NXDOMAIN de l’ordre de 400 à 500 réponses par jour par hôte infecté. La hausse des NXDOMAIN serait une bonne indication des réseaux infectés par le ver Conficker.C. Les requêtes seront générées pour 110 domaines de premier niveau (TLD). Dans la cache des serveurs DNS, il devrait y avoir une hausse des domaines de premier niveau géographique (ccTLD) en cache, sans sous-entrées autres que NS.
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca