Conficker – Les Mondes de Cyborg Jeff

Avril propice au web-terrorisme ?

17 avril 2010 cyborgjeff Commentaires 5 commentaires - Post Views: 5

Comme les années précédentes, le mois d’Avril rime avec virus et autres joyeusetés du genre ! Tirant mes vacances de Pâques en longueur, je me savais revenir pour une fin de semaine énergique au boulot, mon collègue J. m’aillant laissé un petit mail tôt le lundi matin : « Ma machine est infectée ! »

En soit, l’attaque n’a pas pris trop d’ampleur, mais tout de même deux autres machines avaient été infectée également, sans être mise en relation… mais un de nos serveurs web avaiet lui aussi été infecté… Les attaques sur serveurs sont de plus en plus nombreuses… 3 à 4 vagues par an sur un ou plusieurs des serveurs web que j’ai à gérer… Il s’agissait cette fois d’un code crypté en JavaScript appelant une application JAVA exploitant une ou plusieurs failles de sécurité de ce logiciel pour infecter les machines visitant le site web.

Tout commence donc le 11 avril, je peux difficilement à l’heure actuelle savoir si le site a été attaqué avant la première machine ou l’inverse… Ce qui est sur c’est que le 16 avril, notre anti-virus Sophos était toujours incapable de détecter le code malicieux dans les pages web, ce qui me semble être assez problématique… Il a de toute manière fallu attendre 5 jours (le 16 donc), pour que Sun annonce qu’une faille critique avait été trouvée dans leur outil JAVA…. sans solution !

J’ai nettoyé notre serveur, j’ai pu remettre 2 des 3 machines en orde, trouvant tout de même de nombreux virus, dont Confiker.A qui m’avait rendu fou l’année dernière, et qui maintenant s’élimine plus facilement… Sur la première machine, il reste un RootKit sérieux qui a résisté à mon armada de programmes : Sophos, MalwareBytes, Gmer, ZoneAlarm, ProcessExplorer, KillIt… J’ai reformaté la machine, chose que je n’aime vraiment pas faire… Heureusement, 7 s’installe tellement vite !

Bon, mes investigations vont maintenant vers un outil plus préventif que mon anti-virus… Quelques choses qui permettrait au navigateur de pouvoir détecter du code suspect sur une page web… Certes beaucoup m’ont proposé d’utiliser No Script qui bloque Flash, Java et Javascript,… mais bon, autant ne pas aller sur le Web si c’est pour fonctionner de la sorte… A l’heure actuelle j’ai trouvé le plugin Dr.Web pour Firefox…. Il permet d’analyser un lien web avant d’accéder à la page… Pas de temps réél, mais déjà un premier pas pour mieux se protéger… Mais pas pratique pour un utilisateur Lambada… Un bon outil de protection contre les virus sur Clef USB, simple, m’intéresserait aussi….

Vive Linux ??? Euh, à non, il ne veut pas lire mon stick MicroUSB :(

Passés sous silence…

6 janvier 2010 cyborgjeff Commentaires 0 Commentaire - Post Views: 8

Et oui, c’est l’heure de ressortir du placard les articles passés à la trappe durant l’année 2009… Le plus souvent par manque d’inspiration pour rendre le sujet attractif pour vous mes cher(e)s lecteurs/trices…

Un élan de positivisme dans « A bien y réfléchir »
Un début de review du film District 9 « En direct du District 9 »
Toujours en réflexion sur le sujet Alienware « Un PC Alienware, réfléchissez y à 2x ! »
Un essai de promotion de l’outil Facebook « Facebook, à quoi ça sert ? »
Avant de sombrer dans la folie ? « Le point »
Enfin, une vidéo du jeu Lost Planet 2 qui je croyais allait peut-être me plaire « Lost Planet »
…

Lire la suite Lire la suite

Da Vinci Code

11 avril 2009 cyborgjeff Commentaires 2 commentaires - Post Views: 1

1 semaine et demie déjà. Je n’arrive toujours pas vraiment à faire le point. A faire le tri entre la réalité ou la paranoia.

Les attaques se multiplient, les souspons s’intensifie.

Combien de machine dans mon entourage ou de manière bien plus vaste sont-elles infectées par Conficker D et/ E… ou autres. Aucun outil à l’heure actuel ne peut réelement permettre de le détecteur (uniquement les variante A,B,C)… Une fois Windows devenait Zombie, que se passe-t-il … que risque-t-on…. Le site sur lequel je suis est-il bien le site sur lequel je souhaite aller ? M’authentifier est il sur ? J’ai pris la décision de ne faire aucun virement bancaire en ligne jusqu’à nouvel ordre et d’éviter toutes authentification superflue également.

FAITS

Mars 2009 : 2 machines au bureau rebootent de manière intempestive
01 avril : machine de Hervé, Sophos détecte 50 virus
02 avril : machine de Hervé, Sophos détecte 2 virus
06 avril : machine de Hervé, Sophos détecte 1 virus et un fichier suspect : Hervé.exe
07 avril : 75% des sites que nous gérons ont été piraté par une balise i-frame, tous les compte FTP utilisé par Hervé cette semaine ont été hackés.
07 avril : ma machine A reboote de manière intempestive
07 avril : machine de Hervé reformatée
08 avril log suspect reçu de la sécurité informatique concernant les machine 21, 53 et 74
08 avril Analyse réseau poussée sur ma machine A montre des ASP_Backdoor et DNS Spuff notament vers Windows Update et d’autres sites.
08 avril Machine 74, 44, 18 et 53 suspecte, problème DNS et Accès Update microsoft.
08 avril analyse de la machine 53 cobaye via Sophos : clean, Malware Bytes : Clean, Spybot : Clean
08 avril : impossible de télécharger des fichier Symantec sur la machine 53
08 avril : investigation sur les Rootkit et Conficker A,B,C
08 avril : Anti-Rootkit Symantec, Sophos : Clean. Unhackme : nettoyage. Réparateur de Windows Update lancé.
08 avril : Machine 53 refonctionne, mise à jour fonctionne mais aucune à faire. Installe Symantec en lieu et place de Sophos. Détection de 2 rootkit.
08 avril : Machine 53 ok. Peu de traffic anormal via « SAX2 ».
08 avril : Machine 19 se comporte bizarrement. Pourtant en Vista et Conficker ne devrait atteindre les VISTA.
08 avril : test la machine Perso V et Q à la maison. La perso V semble atteinte, impossible de télécharger depuis le site de Symantec.
08 avril : découvre qu’il existe depuis le 7 une variante D de Conficker. Mais indetectable et nettoyable, ainsi qu’une variante E mais aucune info sup.
09 avril : la machine 53 redevient suspecte, la 19 s’envenime. La machine 74 ne va guère mieux, et la 4 est également suspecte. cherche de nouveaux outil pour controler. Ré-initialise les règles de Firewall. Comportement suspect. Demande fréquente et récurente d’autoristation en accès DNS vers des IPs ne correspondant pas à mon DNS.
09 avril : sortie d’un nettoyeur Conficker de Bitdefender. ne trouve rien.
10 avril : mise en commun avec équipe réseau pro, aucune solution trouvée. situation toujours aussi floue et suspecte. D’autre machines ailleurs ont des comportements suspect de DNS nottamenent
10 avril : machine 4 annoncé comme atteinte de Torpics par équipe pro, mais aucune confirmation trouvée par GMER.
10 avril : machine V, Q et A à la maison suspecte également.
11 avril : Jérome me confirme que 3 à 400 machine à l’ALE sont atteintes d’un mal étrange.
11 avril : machine Q reboote intempestif
11 avril : site perso attaqué, mais comportement différent et actuellement non compris.

Je prend donc le risque de communiqué via le blog ces infos en espérant trouver d’autres personnes aux symptomes similaires pour avancer dans la recherche de solution.