[ALERTE] Patch de sécurité critique-MS08-067-Virus ConFicker

[bigstyle]

En fait, je souhaitais appliquer le patch corrigeant la faille MS08-067 et c'est comme cela que je me suis aperçu qu' à part la mise à jour de janvier 2009 (KB890830), je n'ai pas pu appliquer d'autres patchs ce qui me paraît étonnant

Comme on s'eloigne un peu du sujet principal, si tu veux résoudre ce problème, merci de créer un autre topic

[ouebman]

http://www.vnunet.fr/news/un_ver_a_perc ... se-2030084

[bigstyle]

http://www.vnunet.fr/news/un_ver_a_perce_les_lignes_de_defense_de_l_armee_francaise-2030084

Au fait ouebman, tu as pu t'en sortir sur ton réseau avec le vers ?

[borazy]

Hello,

Je rencontre également ce problème sur une 20ène de poste malgré l'installation du hotfix microsoft et des outils de désinfection f-secure et symantec, ce maudit ver revient toujours ...

Auriez vous une procédure pour l'éradication ?

Merci

[bigstyle]

Bonjour,

dans les pages précédentes de ce même topic nous en avons discuté :

1. Fermer les sessions utilisant les comptes avec pouvoir « administrateur » des ordinateurs (compte admin du domaine, ou compte admin local ayant le meme mot de passe sur tous les ordinateurs etc…). Il faut se logguer avec un compte utilisateur classique et utiliser la commande « Run as » pour les tâches d’admin courantes. Pour les serveurs présentant des cas particuliers comme sauvegarde, ce serveur doit être protégés et désinfecté en priorité. Le principe du RunAs doit être respecté pour ce serveur également.
2. Supprimer les tâches planifiées existantes at /delete /yes (cela supprimera TOUTES les taches planifiées de l’ordinateur). Vous pouvez au préalable sauvegarder les tâches planifiées en faisant une copie du dossier %windir%\tasks (copy %windir%\tasks\*.* c:\tasks\*.*) (le dossier c:\tasks devra être crée avant de lancer cette commande).
3. désactiver le service « Planificateur de tâches »
4. Lancer le script subinacl afin de protéger la base de registre en empêchant l'écriture sur cette clé (et ainsi éviter d’avoir à couper le service « Serveur » en modifiant la sécurité sur svchost de façon temporaire, le temps de supprimer le vers du réseau). Le script est le suivant :
- sauvegarde de la sécurité de la clé via la commande : subinacl.exe /outputlog=c:\PreviousSvchost.log /keyreg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost" /display=sddl- Modification de la sécurité de la clé via la commande :
subinacl.exe /playfile c:\ReadOnlySvchost.log

Le fichier ReadOnlySvchost.log contient ceci :

Code: Tout sélectionner

+KeyReg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
/sddl=O:BAG:SYD:PARAI(D;CI;DC;;;WD)(A;CI;KA;;;BA)(A;CIIO;KA;;;CO)(A;CI;RC;;;WD)(A;CI;KR;;;PU)(A;CI;KA;;;SY)(A;CI;KR;;;BU)

5. Désactiver l’autorun sur les lecteurs réseaux. Cf hotfix ici : http://support.microsoft.com/kb/953252 (différent pour XP et 2000). Attendre que le patch soit installé pour modifier la base de registre en lancant la commande reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAuto /t REG_DWORD /d 0xff /f
6. Mettre à jour le fichier de signature et Effectuer des scans antivirus réguliers et complets sur les ordinateurs (uniquement sur System32 normalement) et choisir de déplacer automatiquement les virus trouvés.
7. Une fois le virus supprimé, rebooter l’ordinateur en question afin de supprimer les processus "rundll32" infectés.

Cela ne constitue qu'une 1ere etape car ensuite il faudra prévoir le nettoyage des postes en redémarrant les services désactivés, en remodifiant les clés de registre (TCPNumConnections), modifier à nouveau les droits sur netsvcs en lancant la commande "subinacl.exe /playfile c:\PreviousSvchost.log" etc...

Dans ton cas, le vers revient sous quelle forme ? Service recrée ? Tâches planifiées ajoutées ?

[Joel de amorin]

Bonjour,

Une procédure microsoft :

http://blogs.technet.com/mathieum/archive/2009/01/12/instructions-pour-la-suppression-de-conficker.aspx

http://technet.microsoft.com/en-us/security/dd452420.aspx

Joël

[borazy]

je ne sais pas sous quelle forme il revient ...

Comment le voir ? Je le sais car Trend me le detecte et le met en quarantaine quand c'est possible ...

Mais le correctif microsft ne resoud pas le problème une fois le pc désinfecté ?

[Joel de amorin]

Bonjour,

as-tu suivi la procédure de Freddy ou celle de microsoft ?
Le virus se propage par l'admin$ :
- tu arrêtes le service serveur,
- tu supprimes les tâches planifiées ATX

Revient-il ?

Joël

[bigstyle]

je ne sais pas sous quelle forme il revient ...

Comment le voir ? Je le sais car Trend me le detecte et le met en quarantaine quand c'est possible ...

Mais le correctif microsft ne resoud pas le problème une fois le pc désinfecté ?

Qu'est ce que te détecte Trend ?
un autorun.inf ? une dll ?

Si tu regardes la liste de tes taches planifiées, tu en as que tu ne connais pas ?

Tu es sûr que Trend te supprime correctement le vers? Le removal tool de Symantec est pas mal.
MSRT de Microsoft aussi.

[Joel de amorin]

Bonjour,

(salut freddy )

sans redire ce qui a déjà été dit :
- arrêt service serveur
- arrêt service planif de tâches
- passage fix symantec
- suppression des dll restantes (éventuellement), sous DOS :

Code: Tout sélectionner

del /A:SH fichier.dll

-p'tit reboot

en fait je viens de redire ce qui a déjà été dit...
Joël

[ouebman]

http://www.vnunet.fr/news/un_ver_a_perce_les_lignes_de_defense_de_l_armee_francaise-2030084

Au fait ouebman, tu as pu t'en sortir sur ton réseau avec le vers ?

oui, il reste quelques postes sur lesquels il y a encore des détections, mais globalement ca fonctionne. Une belle cochonnerie quand même

[bigstyle]

J'avoue qu'il est super bien fait et aussi trés intéressant à étudier

[hedizboss]

Bonjour,

j'ai lu avec attention toutes les pages de cette discussion, je dispose sur mon parc de station et serveurs avec un antivirus Sophos. Tous le flus web passe par un proxy en 8080. Je voulais savoir ce que je pourrais vérifier ou quel test je pourrais effectuer sur mon réseau pour voir si ce ver existe ou pas, car jusqu'a présent j'ai pas eu de pb et je voudrai prendre toutes les precautions.

Merci

[Joel de amorin]

Bonjour,

si ton Sophos est à jour, il détecte le virus sans problème (de là à l'éradique c'est autre chose ). Sinon, tu peux scanner des postes tests avec le fix de symantec disponible en téléchargement sur le site de symantec. Mais avant toute chose, il s'agit de vérifier que le patch cité est bien appliqué partout.

Joël

[bigstyle]

Bonjour,

si tu n'as pas de verrouillage de compte utilisateurs AD (ou locaux) inexpliqués alors c'est bon signe.

Tu peux également lancer un sniff sur ton réseau et vérifier s'il y a un scan SMB avec l'appel à NetPathCanonicalize (cela te permettra de détecter la tentative d'attaque via la faille MS08-067);

Tu peux aussi regarder si des requêtes "NTLMSSP_NEGOTIATE" sont régulièrement rejouées sur un même compte utilisateur (si tu lances le snif depuis ton DC et que tu as désactivé le verrouillage automatique des comptes après x tentatives (car autrement, tu auras juste à vérifié si ces comptes avaient été verrouillés comme dit plus haut).

Sur un gros réseau, il y a des outils cisco permettant de détecter et bloquer le vers sur ton coeur de réseau (cf mes posts précédents)


Tu peux également te baser sur la détection par ton proxy d'accès à des sites web de la liste fournie par f-secure (en redirigeant les DNS de cette liste vers un site web interne que tu auditeras).
Tu peux également écouter les requêtes DNS (ou de ton IDS) ayant la forme : "nomdomaine.ext/search ?q=%d"

A bientôt