Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 14/08/2009, à 17:32

freaxmind

Conficker en entreprise

Beaucoup en on parlé, et j'espère que peu l'on subit. Conficker est reputé comme étant 'le virus windows de l'année', pas particulièrement innovant mais tout de même très embetant.

Aujourd'hui, vers 10 h se matin, les antivirus de mon entreprise ont émis un énorme flot d'alerte. 10, 50 ,150 poste infectés. Comment un ver peut se propager à une tel vitesse dans un parc ? C'est presque du simple copier/coller/executer.

Après avoir consulté les log, il s'agissait de downadup aussi connu sous le nom de conficker. Une fois la cible connu, la bataille a commencé !

Ce virus bloque tout ce qui peut le mettre en danger : site web, antivirus installé et peut parfois fermer des comptes utilisateurs. Il n'est pas très violent mais fait tout pour rester sur nos bons vieux windows.

Beaucoup de site mettait en oeuvre des solutions pour s'en débarasser. Bien sur, pas centralisé par microsoft. La solution se fait en deux étape :
- Installer un patch windows qui permet d'empecher le virus de s'installer de nouveau
- Enlever un virus avec un outils qui doit être executé en mode sans echec.

Deux points sombre dans tout ca : redémarrer en mode sans échec est vraiment contraignant ( pas de driver, pas de possibilité d'utiliser windows installer ). Et en plus, cela est difficilement scriptable !
Et oui, car la première idée qui vient dans les admins d'un parc de plus de 120 poste, c'est une manière de déployer facilement cela.

C'est vraiment la que l'enfer a commencé ! Le batch est vraiment très limité et tous ces points exe n'offrent pas de nombreux arguments permettant une installation efficace et transparente.
Après plusieurs tentative de faire un script qui s'execute à distance, avec les bons droits et installe le patch puis scan le disque nous avons rennoncé. Trop compliqué car il ne fallait pas que l'ordinateur ne se fasse infecté de nouveau.

Pourquoi les fournisseurs de solutions de sécurité ne peuvent pas installer le patch dans leur executable ? Et pourquoi microsoft faire un scan quand il s'installe ? Curieux ...

Heureusement, bitdefender met en place un logiciel qui permet d'installer et de redémarrer les pc concercné en forcant à quitter les applications. C'est vraiment étrange qu'un logiciel de sécurité puisse faire cela sans droit particulier ... c'est comme si windows était une tel passoire que les solutions de sécurité n'ont aucune contrainte à ce niveau.

Bref, après une journée passé remettre à niveau le parc, une chute total du réseau, un danger pour les serveurs et un chomage technique pour toutes les personnes utilisant un pc, je trouve cela très choquant !

Rappellons que ce ver se retrouver très facilement en utilisant un autorun sur les clé USB, et s'installe ensuite sur les réseaux locaux.

Pour ma part, j'avais le seul ordinateur sous ubuntu, que j'utilise pour faire du développement. Et c'était le seul utilisable.
Après cela, mon DBA a aussi décider d'essayer linux.

Voila un petit témoignage, si vous avez les votres poster les ou donner vos avis !

Hors ligne

#2 Le 14/08/2009, à 17:56

Adhémar

Re : Conficker en entreprise

Chez nous, avant que je n'arrive, le réseau linux a été envahi par un hacker particulièrement malin. En gros, il a modifié toutes les commandes du système pour rendre ses programmes invisibles: ls, top, etc... Il était totalement invisible.

L'admin l'a débusqué en recompilant les commandes rm et ls smile

Hors ligne

#3 Le 14/08/2009, à 18:49

haile_selassie

Re : Conficker en entreprise

Adhémar a écrit :

Chez nous, avant que je n'arrive, le réseau linux a été envahi par un hacker particulièrement malin. En gros, il a modifié toutes les commandes du système pour rendre ses programmes invisibles: ls, top, etc... Il était totalement invisible.

Un rootkit quoi tongue

Hors ligne

#4 Le 14/08/2009, à 19:33

Grünt

Re : Conficker en entreprise

Adhémar a écrit :

Chez nous, avant que je n'arrive, le réseau linux a été envahi par un hacker particulièrement malin. En gros, il a modifié toutes les commandes du système pour rendre ses programmes invisibles: ls, top, etc... Il était totalement invisible.

L'admin l'a débusqué en recompilant les commandes rm et ls smile

Bref, le "hacker" en question était un gros naze qui n'avait pas pensé à modifier gcc afin que gcc compile les outils avec son hack à lui, et bien sûr que gcc compile gcc en incluant aussi le hack. tongue


Red flashing lights. I bet they mean something.

Hors ligne

#5 Le 14/08/2009, à 21:06

lawl

Re : Conficker en entreprise

C'est vraiment étrange qu'un logiciel de sécurité puisse faire cela sans droit particulier

Euh un logiciel de sécutité à des droits d'"admin" sinon comment pourrait il fonctionner....

Hors ligne

#6 Le 14/08/2009, à 21:44

JLK

Re : Conficker en entreprise

Tiens,je vais répéter une histoire que j'ai déjà poster une fois sur le forum (il me semble).

J'ai chopé ce ver sur l'ordinateur de la bibliothèque de mon université.
Une fois rentré à la maison, avast le découvre, et le bloque. Bon, là OK.

En utilisant Ubuntu (j'ai un dual boot) sur ma machine, je écouvre le topo : il y a un autorun.inf invisible sur la clé USB qui se réfère à un autre fichier (dans le RECYCLER, ou le SYSTEM-VOLUME-INFORMATION-MACHIN-CHOSE-DONT-J'AI-OUBLIE-LE-NOM qui est bien entendu caché).
Je vire ces intrus, et plus de ver Dafy Duck/Confit de canard/Mikado.

Heureusement que j'avais Ubuntu. Merci le manchot et le gnou. smile

Hors ligne

#7 Le 14/08/2009, à 22:24

freaxmind

Re : Conficker en entreprise

Euh un logiciel de sécutité à des droits d'"admin" sinon comment pourrait il fonctionner....

Bien sur, mais pour le coup se logiciel était un simple executable, même pas installé ou authentifié, et il a put déployer des mises à jours, redémarrer des pcs et leur envoyer des infos. Et cela, en le lancant depuis un compte utilisateur sur un ordinateur ( peut être avec quelques privilèges ).

Hors ligne

#8 Le 14/08/2009, à 22:34

haile_selassie

Re : Conficker en entreprise

Il y a eu un truc dans le genre à mon université : chaque fois que quelqu'un branchait une clé USB, il se retrouvait avec une saloperie dessus. Ce qui fait qu'au bout de quelques jours, tout le monde était infecté. Sauf les linuxiens big_smile
Le truc empêchait parfois les gens d'explorer leurs disques durs... double clic sur c: , paf, erreur ^^ et c'était bien entendu le même topo que pour JLK: un petit autorun caché dans les clés. Il me semble qu'il était aussi visible sur le disque dur, dans program files.

Dernière modification par haile_selassie (Le 14/08/2009, à 22:34)

Hors ligne

#9 Le 15/08/2009, à 08:39

lawl

Re : Conficker en entreprise

Oui c'est pourquoi certaine grosse entreprise supprime prise usb et lecteur DVD.

Hors ligne

#10 Le 15/08/2009, à 09:34

J@rod

Re : Conficker en entreprise

J'ai lu dans le magazine Hakin9 que Microsoft offrait de l'argent à celui qui aiderais à trouver l'auteur du ver conficker !!

#11 Le 15/08/2009, à 10:41

JLK

Re : Conficker en entreprise

haile_selassie a écrit :

Il y a eu un truc dans le genre à mon université : chaque fois que quelqu'un branchait une clé USB, il se retrouvait avec une saloperie dessus. Ce qui fait qu'au bout de quelques jours, tout le monde était infecté. Sauf les linuxiens big_smile
Le truc empêchait parfois les gens d'explorer leurs disques durs... double clic sur c: , paf, erreur ^^ et c'était bien entendu le même topo que pour JLK: un petit autorun caché dans les clés. Il me semble qu'il était aussi visible sur le disque dur, dans program files.

Question : tu es à quelle université ? On est peut-être dans la même. tongue

Il y en a qui ne jure que par la sécurité de Windows, et d'autres par leur antivirus, mais peuvent toujours se faire véroler. big_smile

Dernière modification par JLK (Le 15/08/2009, à 11:25)

Hors ligne

#12 Le 15/08/2009, à 10:41

haile_selassie

Re : Conficker en entreprise

Ils veulent l'embaucher ? ^^

Hors ligne

#13 Le 15/08/2009, à 12:32

cyril_remy

Re : Conficker en entreprise

haile_selassie a écrit :

Ils veulent l'embaucher ? ^^

Remarque, c'est pas le créateur de Sasser qui bosse pour un éditeur d'antivirus ? tongue


Mieux vaut être une vraie croyante qu'une fausse sceptique.

Hors ligne

#14 Le 15/08/2009, à 13:49

haile_selassie

Re : Conficker en entreprise

Désolé, je n'avais pas vu ta question JLK :

JLK a écrit :

Question : tu es à quelle université ? On est peut-être dans la même. tongue

poitiers.

@cyril_remy : oui mais si microsoft embauche tous les créateurs de virus, ils vont faire faillite tongue

Hors ligne

#15 Le 15/08/2009, à 15:13

enrix

Re : Conficker en entreprise

Conficker, c'est pas le vers informatique qui à infecter la marine nationale et cloué des rafales au sol ?

Hors ligne

#16 Le 15/08/2009, à 15:18

compte supprimé

Re : Conficker en entreprise

et ça se chope comment ? par mail ? par surf ? par excécutable ? Les trois ?

#17 Le 15/08/2009, à 15:21

Grünt

Re : Conficker en entreprise

weenu a écrit :

et ça se chope comment ? par mail ? par surf ? par excécutable ? Les trois ?

Par Windows tongue

Sérieusement, il se choppe principalement:
- via le partage réseau Windows (SMB),
- via les périphériques amovibles quand l'autorun est activé.


Red flashing lights. I bet they mean something.

Hors ligne

#18 Le 15/08/2009, à 17:27

freaxmind

Re : Conficker en entreprise

Voila, en gros il te suffit de brancher une clé sur un pc ou bien de mettre ta machine en réseau pour contaminer toute une entreprise !

Comment peut on faire pire ? en moins de /h, tous les PC ont été infecté par une vielle clé USB !
C'est lamentable ...

Hors ligne

#19 Le 15/08/2009, à 17:39

Grünt

Re : Conficker en entreprise

freaxmind a écrit :

Voila, en gros il te suffit de brancher une clé sur un pc ou bien de mettre ta machine en réseau pour contaminer toute une entreprise !

Ça dépend de comment est configuré le partage réseau. Avec des mots de passe solides tu es protégé (conficker fait du bruteforce).
Et si Conficker se copie tout seul dans ta clef USB, en désactivant l'autorun il n'infecte pas les autres machines et reste dans la clef.


Red flashing lights. I bet they mean something.

Hors ligne

#20 Le 15/08/2009, à 21:29

J@rod

Re : Conficker en entreprise

Conficker fait quand même quelque sueur froide à Microsoft

#21 Le 15/08/2009, à 23:32

freaxmind

Re : Conficker en entreprise

Ça dépend de comment est configuré le partage réseau. Avec des mots de passe solides tu es protégé (conficker fait du bruteforce).
Et si Conficker se copie tout seul dans ta clef USB, en désactivant l'autorun il n'infecte pas les autres machines et reste dans la clef.

Je pense qua la politique de sécurité de la boite ou je suis est correcte, mais c'est vrai que c'est difficile entre les virus, les sauvegardes et le pire : les utilisateurs ! C'est le grand maillon faible d'un système d'information.

Pour l'autorun des clés, ils l'avaient déjà désactivé mais suite à des plaintes des utilisateurs : ' la clé ne marche pas, je peux pas travailler ' et le directeur qui en remet une couche ... difficile.

Et puis les mots de passe, j'ai envie de dire que cla irite vite les gens les mots de passes trop long. Beaucoup d'utilisateur ont des mots de passe à 2 caractères !

Conficker n'a rien d'innovant et s'appuie sur des faiblesses basiques ! Je trouve cela dingue qu'il fasse autant de dégat.

Et puis le fait de devoir :
-Supprimer le virus en mode sans échec, sinon il bloque les services
- Devoir installer ensuite en mode normal, car en mode sans echec il n'y a pas de windows installer.

Hors ligne

#22 Le 15/08/2009, à 23:36

Grünt

Re : Conficker en entreprise

Ce que j'ai du mal à comprendre c'est le fait que des utilisateurs boulets fassent la loi quand il s'agit d'informatique..

Autrement dit, comment ça se fait que le patron accepte de mettre en danger la sécurité de son parc informatique quand un commercial va se plaindre de l'absence d'autorun sur sa clef USB.

"Tu veux pas une Porsche comme voiture de fonction, aussi? Soit t'apprends à te servir du matériel de l'entreprise, soit tu dégages: les files d'attente de l'ANPE sont pleines".

Non mais big_smile


Red flashing lights. I bet they mean something.

Hors ligne

#23 Le 16/08/2009, à 01:24

hypsen

Re : Conficker en entreprise

Parce que souvent le patron lui-même veut que l'autorun soit activé pour une histoire de facilité.

Dernière modification par hypsen (Le 16/08/2009, à 01:25)

Hors ligne

#24 Le 16/08/2009, à 06:50

lawl

Re : Conficker en entreprise

Pour l'autorun des clés, ils l'avaient déjà désactivé mais suite à des plaintes des utilisateurs : ' la clé ne marche pas, je peux pas travailler ' et le directeur qui en remet une couche ... difficile.

Et puis les mots de passe, j'ai envie de dire que cla irite vite les gens les mots de passes trop long. Beaucoup d'utilisateur ont des mots de passe à 2 caractères !

Ouai ben la le problème c'est pas microsoft mais c'est votre DSI !

Hors ligne

#25 Le 16/08/2009, à 09:02

Gage

Re : Conficker en entreprise

hypsen a écrit :

Parce que souvent le patron lui-même veut que l'autorun soit activé pour une histoire de facilité.

Dans ce cas, c'est au DSI de refuser et de lui expliquer pourquoi. Et s'il est infichu d'expliquer pourquoi, il n'a rien à faire à un poste de direction, qui requiert autant de compétences de communication que de compétences techniques.


Ça, ce sont les sources. Le mouton que tu veux est dedans.
Merci, c'est tout à fait comme ça que je le voulais ! Crois-tu qu'il faille beaucoup de ressources à ce mouton ? Parce que ma config est toute petite...
Ça devrait aller. Tu peux te compiler un petit mouton.
Pas si petit que ça. Tiens ! il s'est mis en veille...

Hors ligne