Protection contre le ver Conficker

Les symptômes d'une infection par Conficker sont les suivants :

• Blocage de l'accès aux sites consacrés à la sécurité
• Accès à l'annuaire impossible pour les utilisateurs
• Routage du trafic via le port 445 sur les serveurs voués à d'autres services que le service d'annuaire
• Accès refusé aux lecteurs partagés avec les administrateurs
• Déplacement des fichiers autorun.inf vers le répertoire Recycled ou la corbeille

Conficker.C est la variante la plus récente du ver Conficker. L'exposition à Conficker.C est limitée aux systèmes qui sont toujours infectés par les variantes antérieures, Conficker.A et Conficker.B, qui fonctionnent en exploitant la vulnérabilité MS08-067 du service Serveur de Microsoft Windows. Si un pirate parvient à exploiter cette vulnérabilité, il est en mesure d'exécuter du code à distance lorsque le partage de fichiers est activé. Conficker combat les efforts d'éradication en créant des tâches planifiées et/ou en utilisant les fichiers autorun.inf pour se réactiver.

McAfee a identifié des milliers de fichiers binaires transportant la charge active du ver Conficker. Selon la variante, le ver peut se propager via un réseau local (LAN) ou étendu (WAN), via Internet, au travers de lecteurs amovibles ou encore en exploitant des mots de passe faibles. Conficker désactive les produits de sécurité et plusieurs services système importants, et télécharge des fichiers arbitraires. Les ordinateurs infectés par le ver rejoignent les rangs d'une « armée » d'ordinateurs compromis susceptibles d'être utilisés pour lancer des attaques contre des sites web, diffuser du spam, héberger des sites de phishing ou exécuter d'autres activités malveillantes.

Nous recommandons aux clients de prendre les mesures suivantes pour supprimer le ver et l'empêcher de se propager :

1. Installer la mise à jour de sécurité Microsoft MS08-067 : http://www.microsoft.com/technet/security/Bulletin/MS08-076.mspx
2. Nettoyer les systèmes infectés et redémarrer
   Utilisez des solutions de protection contre les logiciels malveillants telles que McAfee VirusScan Plus ou ToPS for Endpoint pour nettoyer l'infection. Employez des techniques de détection du comportement telles que la protection contre les Buffer Overflows d'Host IPS pour prévenir les infections futures. Cette mesure est importante parce que Conficker peut se propager via les supports de stockages portables tels que les périphériques USB infectés. Lorsque l'utilisateur accède au support portable, le système traite le fichier autorun.inf et exécute l'attaque. Pour obtenir plus d'informations, lisez le document Combattre le ver Conficker publié par McAfee Labs^TM.
3. Identifier les autres systèmes courant un risque d'infection
   Vous devez identifier les systèmes vulnérables. Il s'agit des systèmes où le patch contre la vulnérabilité Microsoft MS08-067 n'a pas encore été appliqué, ou qui ne disposent pas de mesures de protection proactives pour neutraliser la vulnérabilité. McAfee Vulnerability Manager et ePolicy Orchestrator peuvent identifier les systèmes vulnérables et non protégés.
4. Limiter la capacité de propagation de la menace
   L'utilisation d'une solution IPS réseau à des endroits stratégiques de votre réseau limitera rapidement la capacité de la menace à se propager. Vous disposerez ainsi de suffisamment de temps pour mettre à jour les signatures antivirus du client ou modifier les stratégies de blocage de la menace à l'aide de contrôles basés sur le comportement.