Ver Conficker

Numéro : AL09-003
Date : 25 mars 2009

Objet

Cette alerte a pour objet d'attirer votre attention sur une nouvelle variante du ver Conficker (« Conficker.C ») dont on a beaucoup parlé récemment. Ce ver est aussi connu sous le nom « Downanup ». Le CCRIC diffuse ce produit pour sensibiliser les gens à cette nouvelle variante et pour diffuser de l'information sur les façons de la détecter et de l'atténuer.

Évaluation

Aperçu de la nouvelle variante :

La nouvelle variante sera activée le 1er avril. On constatera très peu d'activité réseau dans les ordinateurs infectés d'ici le 1er avril. Cependant, des changements de configuration dans les ordinateurs infectés aideront à les détecter avant et après le 1er avril.

Le ver utilise des vulnérabilités et des techniques connues pour infecter des ordinateurs.

Lors de son activation le 1er avril, le ver sera à l'origine d'activité réseau causée par une routine de génération d'un nouveau nom de domaine et par une fonctionnalité d'égal à égal (P2P).

On croit que la famille de vers Conficker a permis de créer un des plus grands réseaux de zombies en activité.

Mesure suggérée

Prévention

Pour empêcher l'infection initiale, le CCRIC recommande fortement aux administrateurs de systèmes :

  1. de s'assurer que toutes les mises à jour de sécurité de Microsoft sont installées, surtout MS08-067;
  2. de désactiver les fonctions autorun et autoplay dans les ordinateurs Windows; http://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2008/tr08-004-fra.aspx
  3. de désactiver les services Serveur et Computer Browser, comme on le décrit dans le bulletin de sécurité Microsoft MS08-067, pendant que vous éliminez l'infection; http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
  4. de s'assurer que tous les logiciels anti-virus et les SDI/SPI sont dotés de fichiers de signatures à jour et qu'ils sont en cours d'exécution;
  5. d'appliquer des politiques pour s'assurer que les mots de passe respectent les pratiques exemplaires actuelles relatives aux mots de passe forts.

Détection

Avant le 1er avril
-----------------

  1. 1. Le CCRIC recommande de chercher toute trace des indicateurs ci-dessous pour optimiser la recherche d'hôtes infectés :

    Un grand nombre de fournisseurs de logiciels anti-virus ont créé des signatures pour la variante .C. Cependant, le ver empêche les systèmes infectés de communiquer avec les services de sécurité en ligne connus, comme les principaux sites de mise à jour de logiciels anti-virus, Windows Update ou les services d'analyse en ligne.

    On sait que ce ver désactive les services de sécurité suivants :

    Service Windows Security Center
    • Service Windows Update Auto Update
    • Service Background Intelligence Transfer
    • Windows Defender
    • Service Error Reporting
    • Service Windows Error Reporting
    • Tout ordinateur qui n'est pas doté du dernier fichier de signatures ou dans lesquels les services ci-dessus ont été désactivés doivent faire l'objet d'un examen approfondi décrit à l'étape 2.
  2. Pour les hôtes suspects, les administrateurs de systèmes peuvent confirmer qu'il y a eu une infection à l'aide des indicateurs suivants :

    Les administrateurs de systèmes doivent chercher le fichier binaire de chaque service.

    • Identifiez la date et l'heure du fichier binaire kernel32.dll dans le répertoire %racinesystème%\System32
    • Pour tous les services activés, cherchez le fichier binaire ayant la même date et la même heure que le fichier kernel32.dll et dont les privilèges de suppression et d'écriture ont été révoqués.
    • De plus, si la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot est introuvable dans le système, il est très probable que cet ID d'hôte a été infecté.

Après le 1er avril
-----------------

L'algorithme de génération d'un nouveau nom de domaine sera activé le 1er avril. Cela entraînera une augmentation des réponses DNS NXDOMAIN de l'ordre de 400 à 500 réponses par jour par hôte infecté. La hausse des NXDOMAIN serait une bonne indication des réseaux infectés par le ver Conficker.C. Les requêtes seront générées pour 110 domaines de premier niveau (TLD). Dans la cache des serveurs DNS, il devrait y avoir une hausse des domaines de premier niveau géographique (ccTLD) en cache, sans sous-entrées autres que NS.

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :