Da Vinci Code
1 semaine et demie déjà. Je n’arrive toujours pas vraiment à faire le point. A faire le tri entre la réalité ou la paranoia.
Les attaques se multiplient, les souspons s’intensifie.
Combien de machine dans mon entourage ou de manière bien plus vaste sont-elles infectées par Conficker D et/ E… ou autres. Aucun outil à l’heure actuel ne peut réelement permettre de le détecteur (uniquement les variante A,B,C)… Une fois Windows devenait Zombie, que se passe-t-il … que risque-t-on…. Le site sur lequel je suis est-il bien le site sur lequel je souhaite aller ? M’authentifier est il sur ? J’ai pris la décision de ne faire aucun virement bancaire en ligne jusqu’à nouvel ordre et d’éviter toutes authentification superflue également.
FAITS
Mars 2009 : 2 machines au bureau rebootent de manière intempestive
01 avril : machine de Hervé, Sophos détecte 50 virus
02 avril : machine de Hervé, Sophos détecte 2 virus
06 avril : machine de Hervé, Sophos détecte 1 virus et un fichier suspect : Hervé.exe
07 avril : 75% des sites que nous gérons ont été piraté par une balise i-frame, tous les compte FTP utilisé par Hervé cette semaine ont été hackés.
07 avril : ma machine A reboote de manière intempestive
07 avril : machine de Hervé reformatée
08 avril log suspect reçu de la sécurité informatique concernant les machine 21, 53 et 74
08 avril Analyse réseau poussée sur ma machine A montre des ASP_Backdoor et DNS Spuff notament vers Windows Update et d’autres sites.
08 avril Machine 74, 44, 18 et 53 suspecte, problème DNS et Accès Update microsoft.
08 avril analyse de la machine 53 cobaye via Sophos : clean, Malware Bytes : Clean, Spybot : Clean
08 avril : impossible de télécharger des fichier Symantec sur la machine 53
08 avril : investigation sur les Rootkit et Conficker A,B,C
08 avril : Anti-Rootkit Symantec, Sophos : Clean. Unhackme : nettoyage. Réparateur de Windows Update lancé.
08 avril : Machine 53 refonctionne, mise à jour fonctionne mais aucune à faire. Installe Symantec en lieu et place de Sophos. Détection de 2 rootkit.
08 avril : Machine 53 ok. Peu de traffic anormal via « SAX2 ».
08 avril : Machine 19 se comporte bizarrement. Pourtant en Vista et Conficker ne devrait atteindre les VISTA.
08 avril : test la machine Perso V et Q à la maison. La perso V semble atteinte, impossible de télécharger depuis le site de Symantec.
08 avril : découvre qu’il existe depuis le 7 une variante D de Conficker. Mais indetectable et nettoyable, ainsi qu’une variante E mais aucune info sup.
09 avril : la machine 53 redevient suspecte, la 19 s’envenime. La machine 74 ne va guère mieux, et la 4 est également suspecte. cherche de nouveaux outil pour controler. Ré-initialise les règles de Firewall. Comportement suspect. Demande fréquente et récurente d’autoristation en accès DNS vers des IPs ne correspondant pas à mon DNS.
09 avril : sortie d’un nettoyeur Conficker de Bitdefender. ne trouve rien.
10 avril : mise en commun avec équipe réseau pro, aucune solution trouvée. situation toujours aussi floue et suspecte. D’autre machines ailleurs ont des comportements suspect de DNS nottamenent
10 avril : machine 4 annoncé comme atteinte de Torpics par équipe pro, mais aucune confirmation trouvée par GMER.
10 avril : machine V, Q et A à la maison suspecte également.
11 avril : Jérome me confirme que 3 à 400 machine à l’ALE sont atteintes d’un mal étrange.
11 avril : machine Q reboote intempestif
11 avril : site perso attaqué, mais comportement différent et actuellement non compris.
Je prend donc le risque de communiqué via le blog ces infos en espérant trouver d’autres personnes aux symptomes similaires pour avancer dans la recherche de solution.
Il arrive parfois que l'on souhaite masquer un compte, Administrateur par exemple, lors de page de login de Windows. Voici (Lire la suite)
Bon, je vous avouerais que ce Windows 8, je ne l'ai jamais aimé ! J'ai fait des efforts, j'ai essayé, (Lire la suite)
Cette semaine (enfin, c'était il y a bientôt un mois maintenant), je suis en train de mettre en place mon (Lire la suite)
2 réflexions sur « Da Vinci Code »
Pfuuuuh … nous sommes maintenant le 14 avril. Pourrais-je enfin me dire que tout est clean ? Entre les différents saut à l’hopital pour s’assurer que madame et Charly vont bien… et tout de même un peu avancer dans mes mariages. J’essaie de m’assurer que le comportement de mes machines à la maison est saint…. Vu que je suis en vacance, je n’ai plus accès ou très peu, à mon parc.
Au fond, qu’ai-je reporté depuis chez moi. 2 « anciens » hébergements ont été attaqués. Des hébergements dont j’avais les accès au bureau. Vu qu’il est claire (au moins sur base du rapport de traffic) que ma machine 53 a été infecté le mardi 7 en tentant de résoudre les problèmes de sites piratés ce jour là.
Si dans un premier temps, je n’ai pas compris pourquoi mon « blog » était reporté contenant un virus par Sophos alors que tout semblait clean, … c’était pcq une i-frame sur celui ci liant l’application « Nabaztag » depuis un de mes anciens serveur, était elle piratée, mais cette fois via une URL non interprétée par Sophos. Bref, les 2 sites ont été nettoyés à la main et sont mnt saint.
Du coup, j’étais inquiet concernant mes 3 machines à la maison. J’ai là aussi lancé l’armada de scanner anti espion et détection de rootkit sans rien trouvés.
J’ai finalement, suite à des recherches sur le comportement de Zone Alarm et discussion avec Dan (celui qui a détecté la faille DNS utilisée dans Conficker) que je faisais plus que probablement fausse route. Le problème n’est pas lié à Conficker.
Peut-il être lié à une page infectée qui aurait infecté une machine, puis une autre… je n’en suis pas persuadé.
Cependant, la page infectée non-détectée par Sophos tentait d’ouvrir un fichier PDF via Acrobat Reader et d’installer une visionneuse via un Active X.
Mes 3 machines sont-elles saines ? c’est évidemment la question qui m’importe pour cette semaine, tant que je ne serais pas rentré au boulot, et ce afin de pouvoir me donner confiance sur l’état de mon parc. Aucune des trois machines n’a montré de signes concret depuis un rapport de Sophos, Sophos Rootkit, Symantec Antivirus, Symantec Conficker Detection, Spybot, Hijackthis et autres.
Seul la machine « Q » m’a vraiment inquiété. et ce part des reboot non souhaité. Ceci dit, Les reboot se font toujours lorsque je ne suis plus dessus,… au bout du longue période. Sophos a détecté un fichier « non scannable suspect » et lors d’une tentative de coupure de l’ordi, j’ai une un message m’annoncant que gbhdzm.exe devait se terminer. C’est suspect, c’est sûr,… mais rien de plus. Ai-je bien pris note de ce processus ? le fichier non scanable ne pose plus de problème une fois scanné en mode sans échec…. et pour les reboots… j’ai tout de même eu quelques message d’erreur sur les accès à mon disque dur c’est dernier temps, peut-etre un scandisk d’intégrité montrerait-il quelques petite erreur à régler… qui bloque la défragmentation automatique qui se lance lorsque l’ordinateur est inactif.
Bref, sous peu je vous communiquerai quelques infos sur comment s’assurer que le systeme est « clean ».
http://vil.nai.com/vil/content/v_153464.htm
Pour autant que je puisse en juger, tu auras du mal à l’éradiquer à l’aide de Sophos, vu qu’il fait partie de sa « liste de processus à infecter ». Ce site liste aussi une série de liens que le virus tentera d’utiliser, certains pour obtenir l’adresse publique (hxxp://www.getmyip.org, hxxp://checkip.dyndns.org, hxxp://whatsmyipaddress.com, etc.) et un trojan sur trafficconverter.biz
J’aurais tendance à dire que bloquer les dyndns.org en entreprise pourrait aider à ralentir la progression du ver s’il est assez bourrin pour tenter une résolution dyndns sur une adresse déjà publique, mais ces cocos-là sont rarement des bourrins sauf quand il s’agit d’infecter ou de détruire :-/