#1 Le 14/08/2009, à 17:32
- freaxmind
Conficker en entreprise
Beaucoup en on parlé, et j'espère que peu l'on subit. Conficker est reputé comme étant 'le virus windows de l'année', pas particulièrement innovant mais tout de même très embetant.
Aujourd'hui, vers 10 h se matin, les antivirus de mon entreprise ont émis un énorme flot d'alerte. 10, 50 ,150 poste infectés. Comment un ver peut se propager à une tel vitesse dans un parc ? C'est presque du simple copier/coller/executer.
Après avoir consulté les log, il s'agissait de downadup aussi connu sous le nom de conficker. Une fois la cible connu, la bataille a commencé !
Ce virus bloque tout ce qui peut le mettre en danger : site web, antivirus installé et peut parfois fermer des comptes utilisateurs. Il n'est pas très violent mais fait tout pour rester sur nos bons vieux windows.
Beaucoup de site mettait en oeuvre des solutions pour s'en débarasser. Bien sur, pas centralisé par microsoft. La solution se fait en deux étape :
- Installer un patch windows qui permet d'empecher le virus de s'installer de nouveau
- Enlever un virus avec un outils qui doit être executé en mode sans echec.
Deux points sombre dans tout ca : redémarrer en mode sans échec est vraiment contraignant ( pas de driver, pas de possibilité d'utiliser windows installer ). Et en plus, cela est difficilement scriptable !
Et oui, car la première idée qui vient dans les admins d'un parc de plus de 120 poste, c'est une manière de déployer facilement cela.
C'est vraiment la que l'enfer a commencé ! Le batch est vraiment très limité et tous ces points exe n'offrent pas de nombreux arguments permettant une installation efficace et transparente.
Après plusieurs tentative de faire un script qui s'execute à distance, avec les bons droits et installe le patch puis scan le disque nous avons rennoncé. Trop compliqué car il ne fallait pas que l'ordinateur ne se fasse infecté de nouveau.
Pourquoi les fournisseurs de solutions de sécurité ne peuvent pas installer le patch dans leur executable ? Et pourquoi microsoft faire un scan quand il s'installe ? Curieux ...
Heureusement, bitdefender met en place un logiciel qui permet d'installer et de redémarrer les pc concercné en forcant à quitter les applications. C'est vraiment étrange qu'un logiciel de sécurité puisse faire cela sans droit particulier ... c'est comme si windows était une tel passoire que les solutions de sécurité n'ont aucune contrainte à ce niveau.
Bref, après une journée passé remettre à niveau le parc, une chute total du réseau, un danger pour les serveurs et un chomage technique pour toutes les personnes utilisant un pc, je trouve cela très choquant !
Rappellons que ce ver se retrouver très facilement en utilisant un autorun sur les clé USB, et s'installe ensuite sur les réseaux locaux.
Pour ma part, j'avais le seul ordinateur sous ubuntu, que j'utilise pour faire du développement. Et c'était le seul utilisable.
Après cela, mon DBA a aussi décider d'essayer linux.
Voila un petit témoignage, si vous avez les votres poster les ou donner vos avis !
Hors ligne
#2 Le 14/08/2009, à 17:56
- Adhémar
Re : Conficker en entreprise
Chez nous, avant que je n'arrive, le réseau linux a été envahi par un hacker particulièrement malin. En gros, il a modifié toutes les commandes du système pour rendre ses programmes invisibles: ls, top, etc... Il était totalement invisible.
L'admin l'a débusqué en recompilant les commandes rm et ls
Hors ligne
#3 Le 14/08/2009, à 18:49
- haile_selassie
Re : Conficker en entreprise
Chez nous, avant que je n'arrive, le réseau linux a été envahi par un hacker particulièrement malin. En gros, il a modifié toutes les commandes du système pour rendre ses programmes invisibles: ls, top, etc... Il était totalement invisible.
Un rootkit quoi
Hors ligne
#4 Le 14/08/2009, à 19:33
- Grünt
Re : Conficker en entreprise
Chez nous, avant que je n'arrive, le réseau linux a été envahi par un hacker particulièrement malin. En gros, il a modifié toutes les commandes du système pour rendre ses programmes invisibles: ls, top, etc... Il était totalement invisible.
L'admin l'a débusqué en recompilant les commandes rm et ls
Bref, le "hacker" en question était un gros naze qui n'avait pas pensé à modifier gcc afin que gcc compile les outils avec son hack à lui, et bien sûr que gcc compile gcc en incluant aussi le hack.
Red flashing lights. I bet they mean something.
Hors ligne
#5 Le 14/08/2009, à 21:06
- lawl
Re : Conficker en entreprise
C'est vraiment étrange qu'un logiciel de sécurité puisse faire cela sans droit particulier
Euh un logiciel de sécutité à des droits d'"admin" sinon comment pourrait il fonctionner....
Hors ligne
#6 Le 14/08/2009, à 21:44
- JLK
Re : Conficker en entreprise
Tiens,je vais répéter une histoire que j'ai déjà poster une fois sur le forum (il me semble).
J'ai chopé ce ver sur l'ordinateur de la bibliothèque de mon université.
Une fois rentré à la maison, avast le découvre, et le bloque. Bon, là OK.
En utilisant Ubuntu (j'ai un dual boot) sur ma machine, je écouvre le topo : il y a un autorun.inf invisible sur la clé USB qui se réfère à un autre fichier (dans le RECYCLER, ou le SYSTEM-VOLUME-INFORMATION-MACHIN-CHOSE-DONT-J'AI-OUBLIE-LE-NOM qui est bien entendu caché).
Je vire ces intrus, et plus de ver Dafy Duck/Confit de canard/Mikado.
Heureusement que j'avais Ubuntu. Merci le manchot et le gnou.
Hors ligne
#7 Le 14/08/2009, à 22:24
- freaxmind
Re : Conficker en entreprise
Euh un logiciel de sécutité à des droits d'"admin" sinon comment pourrait il fonctionner....
Bien sur, mais pour le coup se logiciel était un simple executable, même pas installé ou authentifié, et il a put déployer des mises à jours, redémarrer des pcs et leur envoyer des infos. Et cela, en le lancant depuis un compte utilisateur sur un ordinateur ( peut être avec quelques privilèges ).
Hors ligne
#8 Le 14/08/2009, à 22:34
- haile_selassie
Re : Conficker en entreprise
Il y a eu un truc dans le genre à mon université : chaque fois que quelqu'un branchait une clé USB, il se retrouvait avec une saloperie dessus. Ce qui fait qu'au bout de quelques jours, tout le monde était infecté. Sauf les linuxiens
Le truc empêchait parfois les gens d'explorer leurs disques durs... double clic sur c: , paf, erreur ^^ et c'était bien entendu le même topo que pour JLK: un petit autorun caché dans les clés. Il me semble qu'il était aussi visible sur le disque dur, dans program files.
Dernière modification par haile_selassie (Le 14/08/2009, à 22:34)
Hors ligne
#9 Le 15/08/2009, à 08:39
- lawl
Re : Conficker en entreprise
Oui c'est pourquoi certaine grosse entreprise supprime prise usb et lecteur DVD.
Hors ligne
#10 Le 15/08/2009, à 09:34
- J@rod
Re : Conficker en entreprise
J'ai lu dans le magazine Hakin9 que Microsoft offrait de l'argent à celui qui aiderais à trouver l'auteur du ver conficker !!
#11 Le 15/08/2009, à 10:41
- JLK
Re : Conficker en entreprise
Il y a eu un truc dans le genre à mon université : chaque fois que quelqu'un branchait une clé USB, il se retrouvait avec une saloperie dessus. Ce qui fait qu'au bout de quelques jours, tout le monde était infecté. Sauf les linuxiens
Le truc empêchait parfois les gens d'explorer leurs disques durs... double clic sur c: , paf, erreur ^^ et c'était bien entendu le même topo que pour JLK: un petit autorun caché dans les clés. Il me semble qu'il était aussi visible sur le disque dur, dans program files.
Question : tu es à quelle université ? On est peut-être dans la même.
Il y en a qui ne jure que par la sécurité de Windows, et d'autres par leur antivirus, mais peuvent toujours se faire véroler.
Dernière modification par JLK (Le 15/08/2009, à 11:25)
Hors ligne
#12 Le 15/08/2009, à 10:41
- haile_selassie
Re : Conficker en entreprise
Ils veulent l'embaucher ? ^^
Hors ligne
#13 Le 15/08/2009, à 12:32
- cyril_remy
Re : Conficker en entreprise
Ils veulent l'embaucher ? ^^
Remarque, c'est pas le créateur de Sasser qui bosse pour un éditeur d'antivirus ?
Mieux vaut être une vraie croyante qu'une fausse sceptique.
Hors ligne
#14 Le 15/08/2009, à 13:49
- haile_selassie
Re : Conficker en entreprise
Désolé, je n'avais pas vu ta question JLK :
Question : tu es à quelle université ? On est peut-être dans la même.
poitiers.
@cyril_remy : oui mais si microsoft embauche tous les créateurs de virus, ils vont faire faillite
Hors ligne
#15 Le 15/08/2009, à 15:13
- enrix
Re : Conficker en entreprise
Conficker, c'est pas le vers informatique qui à infecter la marine nationale et cloué des rafales au sol ?
Hors ligne
#16 Le 15/08/2009, à 15:18
- compte supprimé
Re : Conficker en entreprise
et ça se chope comment ? par mail ? par surf ? par excécutable ? Les trois ?
#17 Le 15/08/2009, à 15:21
- Grünt
Re : Conficker en entreprise
et ça se chope comment ? par mail ? par surf ? par excécutable ? Les trois ?
Par Windows
Sérieusement, il se choppe principalement:
- via le partage réseau Windows (SMB),
- via les périphériques amovibles quand l'autorun est activé.
Red flashing lights. I bet they mean something.
Hors ligne
#18 Le 15/08/2009, à 17:27
- freaxmind
Re : Conficker en entreprise
Voila, en gros il te suffit de brancher une clé sur un pc ou bien de mettre ta machine en réseau pour contaminer toute une entreprise !
Comment peut on faire pire ? en moins de /h, tous les PC ont été infecté par une vielle clé USB !
C'est lamentable ...
Hors ligne
#19 Le 15/08/2009, à 17:39
- Grünt
Re : Conficker en entreprise
Voila, en gros il te suffit de brancher une clé sur un pc ou bien de mettre ta machine en réseau pour contaminer toute une entreprise !
Ça dépend de comment est configuré le partage réseau. Avec des mots de passe solides tu es protégé (conficker fait du bruteforce).
Et si Conficker se copie tout seul dans ta clef USB, en désactivant l'autorun il n'infecte pas les autres machines et reste dans la clef.
Red flashing lights. I bet they mean something.
Hors ligne
#20 Le 15/08/2009, à 21:29
- J@rod
Re : Conficker en entreprise
Conficker fait quand même quelque sueur froide à Microsoft
#21 Le 15/08/2009, à 23:32
- freaxmind
Re : Conficker en entreprise
Ça dépend de comment est configuré le partage réseau. Avec des mots de passe solides tu es protégé (conficker fait du bruteforce).
Et si Conficker se copie tout seul dans ta clef USB, en désactivant l'autorun il n'infecte pas les autres machines et reste dans la clef.
Je pense qua la politique de sécurité de la boite ou je suis est correcte, mais c'est vrai que c'est difficile entre les virus, les sauvegardes et le pire : les utilisateurs ! C'est le grand maillon faible d'un système d'information.
Pour l'autorun des clés, ils l'avaient déjà désactivé mais suite à des plaintes des utilisateurs : ' la clé ne marche pas, je peux pas travailler ' et le directeur qui en remet une couche ... difficile.
Et puis les mots de passe, j'ai envie de dire que cla irite vite les gens les mots de passes trop long. Beaucoup d'utilisateur ont des mots de passe à 2 caractères !
Conficker n'a rien d'innovant et s'appuie sur des faiblesses basiques ! Je trouve cela dingue qu'il fasse autant de dégat.
Et puis le fait de devoir :
-Supprimer le virus en mode sans échec, sinon il bloque les services
- Devoir installer ensuite en mode normal, car en mode sans echec il n'y a pas de windows installer.
Hors ligne
#22 Le 15/08/2009, à 23:36
- Grünt
Re : Conficker en entreprise
Ce que j'ai du mal à comprendre c'est le fait que des utilisateurs boulets fassent la loi quand il s'agit d'informatique..
Autrement dit, comment ça se fait que le patron accepte de mettre en danger la sécurité de son parc informatique quand un commercial va se plaindre de l'absence d'autorun sur sa clef USB.
"Tu veux pas une Porsche comme voiture de fonction, aussi? Soit t'apprends à te servir du matériel de l'entreprise, soit tu dégages: les files d'attente de l'ANPE sont pleines".
Non mais
Red flashing lights. I bet they mean something.
Hors ligne
#23 Le 16/08/2009, à 01:24
- hypsen
Re : Conficker en entreprise
Parce que souvent le patron lui-même veut que l'autorun soit activé pour une histoire de facilité.
Dernière modification par hypsen (Le 16/08/2009, à 01:25)
Hors ligne
#24 Le 16/08/2009, à 06:50
- lawl
Re : Conficker en entreprise
Pour l'autorun des clés, ils l'avaient déjà désactivé mais suite à des plaintes des utilisateurs : ' la clé ne marche pas, je peux pas travailler ' et le directeur qui en remet une couche ... difficile.
Et puis les mots de passe, j'ai envie de dire que cla irite vite les gens les mots de passes trop long. Beaucoup d'utilisateur ont des mots de passe à 2 caractères !
Ouai ben la le problème c'est pas microsoft mais c'est votre DSI !
Hors ligne
#25 Le 16/08/2009, à 09:02
- Gage
Re : Conficker en entreprise
Parce que souvent le patron lui-même veut que l'autorun soit activé pour une histoire de facilité.
Dans ce cas, c'est au DSI de refuser et de lui expliquer pourquoi. Et s'il est infichu d'expliquer pourquoi, il n'a rien à faire à un poste de direction, qui requiert autant de compétences de communication que de compétences techniques.
Ça, ce sont les sources. Le mouton que tu veux est dedans.
Merci, c'est tout à fait comme ça que je le voulais ! Crois-tu qu'il faille beaucoup de ressources à ce mouton ? Parce que ma config est toute petite...
Ça devrait aller. Tu peux te compiler un petit mouton.
Pas si petit que ça. Tiens ! il s'est mis en veille...
Hors ligne