Conficker aka Worm.Downadup

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 114713
Inscription : 10 sept. 2005 13:57

Conficker aka Worm.Downadup

par Malekal_morte »

Les sujets Conficker commencent à arriver en désinfection, voici donc une petite page informative sur l'infection.

Méthode de propagation

Conficker aka Worm.Downadup est un ver qui se propage : Quelques précisions :
Concernant le grand public, la une vulnérabilité à distance ne devait être trop génante dans le sens où la majorité des personnes se connectent via un routeur/box, les PC derrière le routeur/box ne sont pas directement suceptibles d'être infecté (principe du NAT).
La seule manière d'être infecté via la vulnérabilité et de connecter un portable infecté sur le réseau local et avoir sur ce réseau des PC non patchés sans pare-feu filtrant (ceci concerne donc plutôt les entreprises).
Les personnes se connectant avec modem doivent bien sûr patcher et installer un pare-feu filtrant (voir partie Tutorial et Guide Logiciels du forum)

Concernant la propagation par médias amovibles, le grand public est bien sûr bien plus vulnérable, voir la page Sécurité : Maitriser ses médias amovibles

Si Conficker est arrivé par la vulnérabilité à distance, il convient d'isoler la machine et/ou la patcher durant la désinfection pour éviter une réinfection immédiate.

Symptômes et modifications du système

Un sujet désinfecté avec Conficker : viewtopic.php?f=3&t=18637

Conficker détruit les clefs SafeBoot pour empécher le démarrage en mode sans échec, il bloque aussi la connexion au serveur d'antivirus pour empécher les mises à jour de l'antivirus.
La page suivante permet de tester ou non ces connexions pour déterminer la présence ou non de Conficker sur le système : http://www.confickerworkinggroup.org/in ... chart.html

Concernant les modifications sur le systèmes, un rapport ComboFix montre les éléments suivants :
R1 AxPsHook11;AxPsHook11; [x]
R2 gupdate1c95913fee817a6;Google Update Service (gupdate1c95913fee817a6);c:\program files\Google\Update\GoogleUpdate.exe [2008-12-08 133104]
R2 Tapiagent;Backup Image;c:\windows\system32\svchost.exe [2004-08-20 14336]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
R3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-10-06 33752]
R3 Imapdy_gelq;Imapdy_gelq; [x]
R3 kvpndev;Kerio VPN adapter;c:\windows\system32\DRIVERS\kvpndrv.sys [2004-10-25 59392]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-09-03 7408]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2009-04-13 325640]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2009-04-13 108552]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2008-09-03 8944]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2008-09-03 55024]
S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-04-13 908056]
S2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-04-13 298264]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Tapiagent

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tapiagent]
"ServiceDll"="c:\windows\system32\ovbub.dll"
Autre Exemple :
R2 Remote Solver for COSMOSFloWorks 2008;Remote Solver for COSMOSFloWorks 2008;c:\program files\SolidWorks\COSMOSFloWorks\FloWorks\binCFW\StandAloneSlv.exe [2008-06-04 237568]
R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXPFlt.sys [2007-10-30 205328]
R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\tmpreflt.sys [2007-10-30 36368]
S2 gupdate1c9a25192db0aca;Service Google Update (gupdate1c9a25192db0aca);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-11 133104]
S2 uxturvzrp;nelry;c:\windows\system32\svchost.exe -k netsvcs [2007-10-29 14336]
S3 getPlus® Helper;getPlus® Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-08-21 31592]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
uxturvzrp
.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uxturvzrp]
"ServiceDll"="c:\windows\system32\nevimh.dll"
Du côté de catchme, cela nous donne :
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kseznj]
"DisplayName"="Boot Installer"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Fournit le mappeur du point de sortie et divers services RPC."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kseznj\Parameters]
"ServiceDll"=str(2):"C:\WINDOWS\system32\nevimh.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kseznj]
"DisplayName"="Boot Installer"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Fournit le mappeur du point de sortie et divers services RPC."

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kseznj\Parameters]
"ServiceDll"=str(2):"C:\WINDOWS\system32\nevimh.dll"
C'est donc une DLL qui se charge via un service avec un nom aléatoire (deux mots pris dans une liste).
Conficker utilise des fonctionnalités de rootkits pour se dissimuler.

Le PC une fois désinfecté, l'utilisation d'USBFix peut s'avérer utile pour nettoyer les médias amovibles.
Les fichiers et répertoires de ce type apparaissent alors (les noms sont aléatoires) :
################## [ Fichiers # Dossiers infectieux ]

Deleted ! G:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Deleted ! H:\"autorun.inf"
Deleted ! H:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Autres liens relatifs à Conficker :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
ѠOOT

Hidden Conficker Discovered in Martel Police Body Camera

par ѠOOT »

iPower Technologies a écrit :We discovered the following security vulnerability in the Martel Frontline Camera with GPS. This product is sold and marketed as a body camera for U.S official police department use. We are currently working to develop a cloud based video storage system for U.S government agencies and police departments to store and search camera video.

During testing and evaluation of the Martel Electronics product, Jarrett Pavao and Charles Auchinleck, discovered that multiple body cameras had been shipped to iPower preloaded with the Win32/Conficker.B!inf worm virus.

"That being said, as the Internet of Things (IoT) continues to grow into every device we use in our businesses and home lives each day, it becomes even more important that manufactures have stringent security protocols. If products are being produced in offshore locations, what responsibilities lie with the manufacturer to guarantee our safety? Ultimately, the public has to understand that pretty much any device we use today that connects to the internet or a computer, has the potential to be compromised. This discovery has a huge impact, as these devices are being shipped every day to our law enforcement agencies."
→ ( November 12th, 2015 ) Hidden Virus Discovered in Martel Police Body Camera
Haut

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »