Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



SCS, un scanner pour déterminer si un poste est contaminé par Conficker

Par Ludovic Blin, secuobs.com
Le 22/04/2009


Résumé : Une équipe de l'université de Bonn a mis en ligne une série d'outils, dont SCS, permettant de vérifier ou d'infirmer la présence du code malveillant Conficker sur un poste. Un outil de « vaccination » est également présent.



Alors que le ver Conficker fait toujours parler de lui, la communauté des chercheurs en sécurité s'organise de plus en plus pour lutter contre ce vecteur d'infection utilisé par le cybercrime. Deux chercheurs de l'université de Bohn, Felix Leder et Tillmann Werner, ont mis en ligne une page rassemblant différents outils et informations sur le code malveillant le plus à la mode ces derniers temps.

On retrouve ainsi SCS (Simple Conficker Scan), un utilitaire écrit en Python qui permet de déterminer, via le réseau, si un hôte est infecté par Conficker. Il s'agit d'un scanner RPC, qui permet de déterminer la présence du ver en envoyant des requêtes spécialement forgées. En effet, le virus, après avoir infecté une machine, installe une fonction permettant de vérifier les chemins suspect, avant de passer ces derniers à la fonction NetpwPathCanonicalize().

Cette fonction peut s'avérer vulnérable sur certains systèmes non mis à jour, et est d'ailleurs utilisée par le ver pour s'introduire dans ses cibles (vulnérabilité MS08-067). C'est grace à ce « workaround » que Conficker est détectable via le réseau. Cette technique a également été implémentée dans le scanner Nmap (version 4.85BETA7).

Les chercheurs proposent également un outil de détection en ligne (via le web), qui permet de détecter les variantes B, C, D et E. Un vaccin est également présent. Ce dernier enregistre tous les mutexs utilisés par les différentes variantes du code malveillant, de manière à faire croire au ver qu'il est déjà installé sur l'hôte ayant mis en oeuvre le vaccin.

Toutes informations rassemblées par les chercheurs sont en outre disponibles dans un article au format PDF ( lien ). Notons par ailleurs que le centre de recherche vietnamien en sécurité informatique BKIS a également mis en ligne un utilitaire de détection de conficker via le réseau ( lien ).

La page en question ( lien )