[ALERTE] Patch de sécurité critique-MS08-067-Virus ConFicker

[le-novice]

Bonjour,

j aimerais savoir comment le virus arrive a verrouiller les sessions win meme si le DC n est pas infecte?

autre cas j accede avec un compte local je parametre outlook avec un compte du domaine qui n est rentre nulle part d autre et pourtant ce compte de domaine se verrouille a chaque fois, comment se passe t il ?

merci

[bigstyle]

Bonjour,

j aimerais savoir comment le virus arrive a verrouiller les sessions win meme si le DC n est pas infecte?

autre cas j accede avec un compte local je parametre outlook avec un compte du domaine qui n est rentre nulle part d autre et pourtant ce compte de domaine se verrouille a chaque fois, comment se passe t il ?

merci

Bonjour,


il verrouille les comptes car il tente de se connecter via un compte de domaine à des partage SMB et tu as probablement une politique de mot de passe sur ton domaine qui verrouille le compte utilisateur au bout de X tentatives infructueuses d'authentification.

Concernant le compte utilisé par Outlook, tu es certain que ce compte n'est pas ouvert sur un autre poste ? Je vais essayer de retrouver la méthode utilisée par Conficker pour lister les comptes utilisateurs. Je l'ai su mais je ne m'en souviens plus

[le-novice]

Oui je suis sur que le compte n est pas ouvert sur autre post.
sinon pour la methode de listage des users peux tu me donner la manip stp Bigstyle, j ai une intervention aujourd hui soir

merci bcp aussi si t as d autres conseils pou moi

merci

[moxo01]

bonjour,
j'avoue que c'est la premiere fois que je suis confronté au probleme
un peu en panique (surtout ne pas paniqué)
j'ai un parc de 80 postes a peu pres et je rencontre des soucis depuis aujourd'hui depuis 15h de ce virus

j'ai compris la procedure pour les xp notamment lu ici
- Installation de la KB (comme déjà indiqué sur le forum)
- Arrêter les points de restauration
- Arrêter l’autorun des clefs USB. Attention pour réaliser efficacement cette étape, il faut installer la KB953252 (http://support.microsoft.com/kb/967715/)
- Arrêter le service server et le mettre en manuel (arrêt de l'ensemble des partages)
- Arrêter le service planificateur des tâches et le mettre en manuel
- Reboot de la machine.
- Passer un fix efficace (par exemple celui de Symantec) et avoir un antivirus à jour (encore qu’aujourd’hui aucun anti virus n’éradique le virus)
- Supprimer les tâches planifiées (si crées par le virus)
- Démarrer les services BITS et Windows update (si arrêté par le virus)

A éviter toute connexion avec un compte administrateur du domaine et même un compte du domaine ( se connecter en local si possible).


par contre j'avais une question concernant les serveurs 2000 et 2003 quel procedure appliqué sachant que je ne peux pas arreter comme ca les services serveurs? et je suis obligé de me connecter sous un compte admin du domaine.
merci d'avance de vos reponses et vous tien au courant de mes avancées.

[bigstyle]

Hello,

il te faut alors en priorité patcher tes serveurs avec le KB et SURTOUT NE PAS OUVRIR DE SESSION EN ADMIN DU DOMAINE.

Pourquoi nous indiques-tu que tu es obligé d'ouvrir une session admin du domaine ?

Tu ne peux pas faire de "runas" avec des droits d'admin depuis une session utilisatrice sans droit ?

[moxo01]

donc
pour le dc, je me connecte donc en simple utilisateur
je passe les kb qui vont bien via le run as et ce la suffit?(j'ai le probleme sur des serveur qui sont deja en sp2 (2003))
j'execute aussi l'outil de logiciel malveillant en run as?
dois je passer le fix de symantec egalement?
et derniere question je commence par le dc et continue sur toutes les autres serveurs?
vraiment désolé pour toutes ces questions en meme temps, je gere en meme les utilisateurs qui si plaigent des messasges de trend micro officescan.
merci de votre aide

[bigstyle]

donc
pour le dc, je me connecte donc en simple utilisateur
je passe les kb qui vont bien via le run as et ce la suffit?(j'ai le probleme sur des serveur qui sont deja en sp2 (2003))
j'execute aussi l'outil de logiciel malveillant en run as?
dois je passer le fix de symantec egalement?
et derniere question je commence par le dc et continue sur toutes les autres serveurs?
vraiment désolé pour toutes ces questions en meme temps, je gere en meme les utilisateurs qui si plaigent des messasges de trend micro officescan.
merci de votre aide

Pour le DC, tu ne pourras pas te logguer sans droit avancé, à moins de modifier les GPOs adéquates afin de te le permettre.

Le passage de la Kb et la désactivation de l'autorun et l'arret de l'ouverture de session en admin du domaine vont empêcher la réinfection des postes mais cela ne suffira pas à les désinfecter.
Pour les désinfecter, il te faudra utiliser le fix symantec s'il est efficace chez toi.

Tu n'as pas d'antivirus sur tes postes et serveurs qui reconnait et supprime ce virus ? Si oui tu n'as pas besoin du fix symantec.

[moxo01]

donc si je ne traite pas le dc (plutot les dc, j'en ai 2) en priorité, a mon avis je n'eradiquerais rien, ils seront toujours présent.
tu sais quel sont les gpo a modifier? si tu le sais rapidement sinon je chercherais ca doit etre genre autoriser ouverture locale dans l'ou domain controller. je met un utilisateur en particulier (un simple user) ou un groupe (genre utilisateur du domaine)?

Sur les postes xp que j'ai essayé de traiter
la kb c'est bon (je me fais jeter a chaque fois que je l'installe "SP plus recent que cette mise à jour")
l'autorun (j'ai mis en place la gpo hier soir) et depuis je n'ai plus le clique droit execution automatique sur les lecteur cd notamment, je ne sais comment verifier autrement.
je ne me connecte pas en admin du domaine (je le faisais sur un xp qui me sert de console pour gerer mes serveur depuis mon poste mais depuis l'infection je ne me connecte plus telquel)
par contre je desactive les 2 services mais a a chaque redemarrage, le service serveur se met en route alors qu'il est en manuel (je le desactive?)
apres redemarrage je passe le fix symantec et il ne me trouve rien.
je me connecte en utilisateur du domaine, et de temps en temps j'ai une alerte officescan disant qu'il met un fichier en quarantaine (hier il n'arrivait pas le mettre en quarantaine une amelioration?) dans mes logs trend d'habitude je vois le nom de la machine infecté ainsi que le nom d'utilisateur local mais la c'est marrant car c'est toujours le nom de la machine mais cette fois si l'utilisateur est du type "nom de serveur\administrateur" qui prouve qu'il y a vraiement un souci au niveau des serveurs.

bah je vais essayer de traiter les serveur en particulier (j'ai un antivirus sur mes serveurs serverprotect de trend qui ont l'air a jour, je vais appler mon support trend pour verif)
merci de ton aide en tout cas je suis moins stress

[bigstyle]

Pour se logguer sur ton DC il faut lui ajouter le droit "Allow logon locally" et eventuellement "Allow logon through Terminal Services" (si tu te connectes en RDP) (et rajouter les droits au niveau des proprietes du serveur)

Au pire un psexec depuis un autre poste pour lancer les KB

Bon courage

[moxo01]

bon j'ai l'impression que tous mes serveurs sont debarrassé de conflicker
en simple utilisateur tout les icones apparaissent quand je vais sur https://conficker.sie.isc.org/
Puis je enfin me connecter dessus en admin du domaine?
par contre tous mes utilisateurs n'etaient pas la aujourd'hui du coup est ce que lundi ce qui sont ne sont pas desinfecter risque t'il poser probleme? comme c'est des simpls utilisateur risque t'il d'attaquer les serveurs maintenant qu'ils sont desinfecter?
encore merci cette longue journée se termine

[bigstyle]

bon j'ai l'impression que tous mes serveurs sont debarrassé de conflicker
en simple utilisateur tout les icones apparaissent quand je vais sur https://conficker.sie.isc.org/
Puis je enfin me connecter dessus en admin du domaine?
par contre tous mes utilisateurs n'etaient pas la aujourd'hui du coup est ce que lundi ce qui sont ne sont pas desinfecter risque t'il poser probleme? comme c'est des simpls utilisateur risque t'il d'attaquer les serveurs maintenant qu'ils sont desinfecter?
encore merci cette longue journée se termine

Ne te loggue plus en admin du domaine !
Il faut justement prendre l'habitude d'ouvrir une session en utilisateur simple et utiliser du runas !!

EN se connectant lundi les postes infectés tenteront d'infecter les autres PC du réseau mais cela sera sans effet si tu as bien désactivé l'autorun; que tu n'as pas de mot de passe faible sur tes postes ou serveurs; et que tu as bien installé le patch Microsoft.

Dis moi si tu as encore des questions

[maxtofurious]

Moi j'ai des questions ^^

SI j'ai bien compris, si je met a jour windows XP et mon antivirus, et que je supprime KIDO via kapersky... je ne serais plus em****dé avec ce virus ?

J'ai 300 machines d'infecté sur le parc que je viens de reprendre... meme mes serveurs sont infectés.... quelle solution s'ouvre a moi =) ?

Merci d'avance

[bigstyle]

Moi j'ai des questions ^^

SI j'ai bien compris, si je met a jour windows XP et mon antivirus, et que je supprime KIDO via kapersky... je ne serais plus em****dé avec ce virus ?

J'ai 300 machines d'infecté sur le parc que je viens de reprendre... meme mes serveurs sont infectés.... quelle solution s'ouvre a moi =) ?

Merci d'avance

Si tu as Kaspersky sur tes postes et serveurs, il faut juste mettre à jour tes signatures.
A coté de cela il faut également penser à désactiver l'autorun sur tes postes et serveurs;ne plus ouvrir de session en tant qu'admin du domaine (ou en tout cas admin de plusieurs postes);supprimer les taches planifiées si présentes etc...

On le repète plusieurs fois tout au long de ce topic

[maxtofurious]

Si tu as Kaspersky sur tes postes et serveurs, il faut juste mettre à jour tes signatures.
A coté de cela il faut également penser à désactiver l'autorun sur tes postes et serveurs;ne plus ouvrir de session en tant qu'admin du domaine (ou en tout cas admin de plusieurs postes);supprimer les taches planifiées si présentes etc...

On le repète plusieurs fois tout au long de ce topic

Oui j'ai lu opresque tout le topic mais ca part dans tous les sens ^^

Donc je vais mettre en place une mise a jour auto des sugnature de kapersky, un serveur wsus et faire une gpo pour désactiver l'autorun, le serviuce serveur et suppression de staches planifiées... c'est faisable ?

[bigstyle]

Ca part dans tous les sens car à l'époque nous n'avions pas le même niveau d'information qu'aujourd'hui

Pour ce que tu proposes c'est OK et vérifies également que tu n'as pas de mot de passe "faible" sur tes comptes utilisateurs et le plus important (je sais je me repete) ne plus ouvrir de session en tant qu'admin des postes sur aucun poste ni serveur. Il faut ouvrir une session utilisateur simple et faire un runas si besoin.

Bon courage