Pour information, une nouvelle variante de Conficker, nommé Conficker.C est programmé pour entrer en action à partir du 01 Avril.
Conficker.C a été particulièrement étudié pour outrepasser les protections mise en oeuvre comme le blocage des URLs générées par Conficker.A et Conficker.B.
Conficker.C possède un système de mise à jour P2P , permettant ainsi de se mettre à jour depuis un autre ordinateur infecté, rendant ainsi la tâche de blocage de la mise à jour de ce virus quasi impossible, notamment en entreprise.
Conficker.C génère une liste de 50 000 sites uniques chaque jour et une liste aléatoire de 500 sites parmi ces 50 000 sont choisis pour pour également mettre à jour Conficker si besoin. Une vérification est effectuée pour voir si la résolution d'un des domaines générés ne renvoit pas vers une adresse IP privée, du localhost ou une des adresses bloquées par le consortium. Cela rend ainsi impossible de chiffrer le nombre de postes infectés par ce moyen.
.
Conficker.C n'a plus pour vocation de se répandre sur les autres ordinateurs, bien que pour l'instant personne ne sait ce qu'il va se passer car les auteurs du virus peuvent potentiellement faire ce qu'ils veulent sur ces ordinateurs. Le plus vraisemblable serait qu'ils revendent l'accès au net pour de la diffusion de spam etc...
Conficker.C empêche l'utilisation d'outil comme le MSRT etc... et il faudra renommer les executables pour pouvoir les lancer.
Le vers supprime la possibilité de booter en mode sans echec.
========================================================================================================================
Voici également la communication officielle de Microsoft à ce sujet :
Microsoft a publié de nouvelles informations sur les liens suivants :
Microsoft Conficker guidance page for IT Professionals and those focused on security in the enterprise:
http://www.microsoft.com/conficker.
Microsoft Conficker guidance page for consumers and home users:
http://www.microsoft.com/protect/comput ... icker.mspx.
The Microsoft Malware Protection Center (MMPC) encyclopedia page for the Conficker family of malware:
http://www.microsoft.com/security/porta ... /Conficker.
The Microsoft Malware Protection Center blog:
http://blogs.technet.com/mmpc/.
The Microsoft Security Response Center Blog:
http://blogs.technet.com/msrc/.
Veuillez utiliser ces ressources comme point de départ pour des conseils sur Conficker. Le contenu sera mis à jour périodiquement lorsque de nouvelles informations seront disponibles.
Réponses aux questions :
Q: Que va t’il se passer le 1er Avril 2009?
R: D’après nos analyses techniques, nous avons déterminé que les systèmes infectés par la version la plus récente de Conficker commenceront à utiliser un nouvel algorithme pour déterminer quels domaines internet contacter. Nous n’avons pas identifié d'autres actions qui pourraient avoir lieu le 1er avril 2009,
Q: Est-ce qu’une mise à jour de Conficker se propagera le 1er Avril 2009 sur les systèmes déjà infectés ?
R: Il est possible que les systèmes avec la version la plus récente de Conficker recevront une nouvelle version de Conficker le 1er Avril 2009, en communiquant avec les domaines internet indiqués sur la nouvelle liste. Toutefois, ces systèmes pourraient être aussi bien mis à jour avant ou après le 1er Avril 2009 par les canaux "peer-to-peer" dans la version la plus récente de Conficker.
Q: Le grand public devrait être alarmé ? Pourquoi ou pourquoi pas ?
R: Non, le grand public ne doit pas être alarmé. La plupart des utilisateurs domestiques a été protégée par la mise à jour du bulletin de sécurité Microsoft MS08-067 (
http://www.microsoft.com/france/technet ... 8-067.mspx) appliquée automatiquement.
Q: Que doivent faire les personnes qui s’inquiètent de ce que Conficker pourrait faire le 1er Avril 2009 ?
R: Nous recommandons aux particuliers qui n'ont pas encore activé les mises à jour automatiques de le faire et de s’assurer que leur logiciel de sécurité est à jour avec les dernières signatures antivirus pour Windows Live OneCare, ou le produit antivirus qu'ils utilisent. Nous recommandons aux entreprises de continuer à suivre les conseils de Microsoft et prendre plusieurs mesures pour réduire le risque d’infection :
Installez le bulletin MS08-067 (
http://www.microsoft.com/france/technet ... 8-067.mspx) sur tous les systèmes Windows. Comme 100% de déploiement réussi peut être difficile à atteindre pour certaines entreprises, les étapes suivantes peuvent aussi aider à réduire le risque :
Utilisez un produit antivirus ayant une très bonne détection de Conficker. De tels programmes antivirus doivent être capable de bloquer le ver et l’empêcher de se copier lui-même sur d’autres machines. Pour exemple, Microsoft Forefront Client Security et Windows Live OneCare peuvent détecter et bloquer ce ver depuis le premier jour de sa découverte.
Utilisez des mots de passe fort aussi bien pour les comptes utilisateurs que pour les partages de fichiers.
Veillez à utiliser uniquement les options de la lecture automatique (AutoPlay) que vous connaissez car d’autres options peuvent avoir été ajoutées par les logiciels malveillants. Certains clients peuvent préfèrer désactiver complètement la fonctionnalité AutoRun.
Évaluez ces bonnes pratiques de sécurité conformément aux politiques et procédures de votre organisation.
CONCERNANT LA COHÉRENCE DEs INFORMATIONs
Nous nous efforçons pour vous fournir des informations précises en statique (ce courriel) et en contenu dynamique (Sites internet). Les contenus en ligne Microsoft sur la Sécurité sont mis à jour régulièrement pour refléter les informations de dernière minute. Si cela entraînait une incohérence entre les informations présente dans ce courriel et les informations de sécurité sur les sites en ligne de Microsoft, les données de sécurité Microsoft disponibles en ligne font autorités.
========================================================================================================================
========================================================================================================================
Divers OUTILS :
Vous trouverez sur ce site un certain nombre d'outils permettant de détecter la présence ou non de Conficker sur votre réseau, de connaitre les URLs générées, de protéger votre ordinateur contre une infection de Conficker etc... :
http://iv.cs.uni-bonn.de/wg/cs/applicat ... -confickerUn lien sur le fonctionnement de Conficker.A et Conficker.B :
http://mtc.sri.com/Conficker/Un lien sur le fonctionnement de Conficker.C :
http://mtc.sri.com/Conficker/addendumC/Un lien vers un script permettant de scanner tout votre réseau à la recherche de Conficker :
http://www.doxpara.com/?p=1291========================================================================================================================
En conclusion... protégez vos postes dés que possible, passez des scans antivirus et tenez-vous informés de ce qu'il va se passer aprés le 1er Avril
J'essaierai également de vous tenir informé !
A bientôt
Freddy
par bigstyle sur Jeu 12 Fév 2009, 18:50 
:
).
