CONFICKER - In Review..

Publié le 14 avril 2009 par Julien Thomas

CONFICKER-In Review.. Conficker .. really gone or waiting?
Trend Micro
Webcast (Sponsored Bt TechRepublic)

(et enfin le lien) http://w.on24.com/r.htm?e=141637&s=1&k=6F02731AAECC6D09F844756225ECAA1A

Bonjour à tous.
Suite à une conférence que j'ai vraiment bien aimé ce soir, j'aimai diffuser sur mon blog une petite pub à son sujet. Vous avez toutes les infos plus haut. Cette conférence était intéressante car je pense n'avoir relevé aucune idiotie ni prétention de la part des intervenant, ce qui est rare ! De plus, conférence générale (trop comme toujours, pour ceux qui connaissent déjà) mais pourtant captivante et fournissant un très bon résumé.

Je la conseille à tout ceux qui connaissent pas grand chose de Conficker ou même des problème en sécurité informatique. Cette conférence est vraiment bien faite. Merci Trend Micro !

Je vous met les infos essentielles ainsi qu'un court aperçu du plan du webcast ; En espérant que cela vous sera utile ... bonne soirée

Informations importants

Gimmiv.A

http://blog.threatexpert.com/2008/10/gimmiva-exploits-zero-day-vulnerability.html
Gimmiv.A exploits critical vulnerability (MS08-067)
Critical vulnerability in Server Service has only been patched by Microsoft (MS08-067), as a new worm called Gimmiv.A has found to be exploiting it in-the-wild.

Waledac

Waledac is a worm that is capable of harvesting and forwarding password information.
It is capable of receiving commands from a remote server. Commands include instructions on functions to perform (for example, update malware components or send information from the infected computer).
http://www.f-secure.com/v-descs/email-worm_w32_waledac_a.shtml

Détecter et/ou supprimer Conficker

http://blogs.technet.com/pasdemalaise/archive/2009/01/13/suppression-du-virus-conficker.aspx
--> http://www.microsoft.com/france/securite/malwareremove/default.mspx
--> http://blogs.technet.com/mathieum/archive/2009/01/12/instructions-pour-la-suppression-de-conficker.aspx
- Informations sur Conficker : http://en.wikipedia.org/wiki/Conficker

Versions de conficker (au 14/04/2009)

- Worm:Win32/Conficker.A : identifié le 21 novembre 2008,
- Worm:Win32/Conficker.B : identifié le 29 décembre 2008,
- Worm:Win32/Conficker.C : identifié le 20 février 2009 (autre nom : Conficker B++),
- Worm:Win32/Conficker.D : identifié le 4 mars 2009 (autres noms : Conficker.C ou Downadup.C).

Intervenants

David Perry - Global Director of Education ; Trend Micro
Jon Clay - Core technologies Marketing Manager ; Trend Micro

David Perry

TImeline

August 2008 - Gimma trojon ; Korea
September - Chinese tool kit
November Russian & ukranian worm
Companies

Un discours qui prévient : maintenant, les criminels utilisent ce qui existent et sont vraiment pro. En plus, rien qu'à voir les fonctionalités de Conficker (version .C) détaillée un peu plus bas (ou disponible sur Intenet), cela devient vraiment évident et alarmant

Conficker world Infection map

Conficker: combinaison of techniques, pieces of codes

very traditionnal

- mass attck (loveletter, melissa)
- buffer overflow (sasser, slammer, ...)
- trigger dates (numeric bomb)
- mutliple fronts of attack

and new new

- adaptation to its detection
- p2p updates
- domain names management ; not new but ... 50k domain name geneation!
- replanted older worm (WALEDAC)

BufferOverflow on RPC

- Dont need an email, a webpage ...
-> blended threat

Infection routines

- WORM + BOT (remote control program)
- MS08-067; MS08-068; MS09-001 (most of the infections)
- administrative shares : simple password hack
- USB autorun

Conficker Cabal

- fighting Conficker
- ICANN, VerifSign, McAfee, TrendMicro, Symantec, ...
- award for the capture of the author : 250k dollars

How bad is this worm?

+It is NOT likely to do anything at all that will be visible to the user—if you want to know if you are infected, use an updated and current model malware scanner
+It IS likely to:
–Forward spam
–Steal personal data
–Be used in extortion schemes
–Plant other malware (such as Waledac)

Jon Clay

Trend Micro solutions

- URL Web Reputation / Email Reputation
- Fake AV Pages
+ Web Gateway Solution : Web Reputation ; File Reputation
+ OfficeScan
- Intrustion Defense Firewall Plug-in
- information correlation: multi protocol event correlation (ça, c'est bien :d)

Generic Web Threat Lifecycle