une saloperie absolue diront certains, moi je dirai que ce ver est un petit bijou conceptuel et technique :) genre le ver 2.0 (c'est marketing). En effet, ce ver utilise de nombreuses méthodes de propagation:
- la vulnérabilité ms08_067, pour les PC pas à jour.
- les partages windows directement accessibles.
- l'éxecution automatique des supports amovibles.
- et le must, le bruteforce des mots de passe Active Directory (c'est là que les sociétés avec des admins peu rigoureux comprennent leur douleur: un conficker admin de domaine je vous laisse imaginer ^^)
Le point de rendez-vous suivant est calculé massivement par tous les confickers connectés (cloud computing powaaa) et de plus, chacun embarque son système de validation pour s'assurer que le binaire qu'il récupère est bien signé par l'auteur de conficker. Il est ainsi très difficile de pouvoir "tromper" un conficker et bien que des groupes aient réussi à identifier l'algorithme de génération des noms de domaines (pt de rdv), il n'est pas possible de faire uploader d'autre binaires par les machines infestées.
bref ce ver a su protéger son integrité, exploiter bon nombre des vecteurs de communications actuels et est de ce fait, une horreur absolue à virer dans une entreprise (entre la compromission de l'AD les partages etc...)
un article très intéressant mais technique sur conficker pour ceux que ca intéresse (ca vaut le coup): http://mtc.sri.com/Conficker/
N.B: si vous n'êtes pas techniques, juste l'intro vous donnera des chiffres et une idée des ravages..
pour tous les gouts: l'article aborde conficker A et B il faut savoir que des versions jusqu'à E on été découvertes. et oui, l'auteur doit aimer à peaufiner toujours plus son "jouet"
Bon ben moi j'vais rester sous linux quelques temps encore...
RépondreSupprimer