Pour éradiquer le ver W32/Conficker
Darckiller
Messages postés
835
Date d'inscription
Statut
Membre
Dernière intervention
-
tifa80 -
tifa80 -
Bonjour,
Liens a utiliser pour la Detection:
====================================
Afin de faciliter la detection des postes infectes, deux liens
permettant de tester directement les postes en ligne ont
ete mis en place. Il suffit de cliquer sur ces liens a partir de
n'importe quel poste pour verifier si le poste est infectes ou non.
(Ces liens peuvent etre diffuse a l'ensemble des utilisateurs)
Conficker Eye Chart:
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Conficker Online Infection Indicator:
https://net.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
L'utilisation de scanner pour la detection est aussi possible:
https://isc.sans.edu/diary/Locate+Conficker+infected+hosts+with+a+network+scan%21/6097
Les traces de connections a rechercher concerne les access sur le port
80 de vos log (facilement detectable dans les log des proxy),
elle sont du type :
"GET http://aaa.bbb.ccc.ddd/search?q=0 HTTP/1.0"
"GET http://aaa.bbb.ccc.ddd/search?q=n+1 HTTP/1.0"
...
Description du malware:
- -----------------------
Le ver W32/Conficker ainsi que ces variantes les plus récentes
(Conficker.B, alias Downadup.B) utilisent plusieurs moyens
de propagation: il exploite la vulnérabilité corrigée dans Windows
Server Service (MS08-067) en devinant les mots de passe réseau
et en infectant les clés USB.
Une fois infectées le ver va modifier la configuration de
la machine pour se propager. Il va s'executer dans le processus
de demmarrage, modifier les droits d?accès aux fichiers et clés de
registre du ver de sorte que l?utilisateur ne puisse ni les supprimer,
ni les changer. Ainsi qu'empecher toutes mises a jour des PC infectees.
Pour éviter la contamination :
- -------------------------------
- - Assurez-vous que les derniers correctifs de Microsoft ont été
appliqués notammant le correctif MS08-067**
- - Assurez-vous que l?antivirus est bien à jour
- - Vérifiez que l?antivirus a bien téléchargé les dernières mises à jour
- - Désactivez les modes AUTORUN et AUTOPLAY pour les clés USB
Disabling AutoRun on Microsoft Windows:
https://us-cert.cisa.gov/ncas/alerts/TA09-020A
Il semble que la reinstallation complete du systeme soit la
meilleur solution pour eradiquer completement ce ver.
Description du ver "conficker" :
- --------------------------------
http://vil.nai.com/vil/content/v_153464.htm
https://isc.sans.edu/diary/Downadup++Conficker+-+MS08-067+exploit+and+Windows+domain+account+lockout/5671
http://cert.lexsi.com/...
https://docs.microsoft.com/en-us/archive/blogs/
...
Removal W32.downadup:
https://www.broadcom.com/support/security-center
http://www.microsoft.com/security/malwareremove/default.mspx
https://docs.microsoft.com/en-us/archive/blogs/
Pour rappel, une liste mise a jour d'outils la detection et
l'eradication du ver est disponible ici:
https://isc.sans.edu/diary/Third+party+information+on+conficker/5860
Analyse et desinfection de la derniere version Conficker.C
==========================================================
http://mtc.sri.com/Conficker/addendumC/
http://cert.lexsi.com/weblog/index.php/2009/03/17/288-detection-de-confickerc
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm:Win32/Conficker.C
Analyse et desinfection de la derniere version Conficker.D
==========================================================
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm%3aWin32%2fConficker.D
--
West Coast !
La valeur d'un homme se mesure au poids de ses pensées (IAM)
Liens a utiliser pour la Detection:
====================================
Afin de faciliter la detection des postes infectes, deux liens
permettant de tester directement les postes en ligne ont
ete mis en place. Il suffit de cliquer sur ces liens a partir de
n'importe quel poste pour verifier si le poste est infectes ou non.
(Ces liens peuvent etre diffuse a l'ensemble des utilisateurs)
Conficker Eye Chart:
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Conficker Online Infection Indicator:
https://net.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
L'utilisation de scanner pour la detection est aussi possible:
https://isc.sans.edu/diary/Locate+Conficker+infected+hosts+with+a+network+scan%21/6097
Les traces de connections a rechercher concerne les access sur le port
80 de vos log (facilement detectable dans les log des proxy),
elle sont du type :
"GET http://aaa.bbb.ccc.ddd/search?q=0 HTTP/1.0"
"GET http://aaa.bbb.ccc.ddd/search?q=n+1 HTTP/1.0"
...
Description du malware:
- -----------------------
Le ver W32/Conficker ainsi que ces variantes les plus récentes
(Conficker.B, alias Downadup.B) utilisent plusieurs moyens
de propagation: il exploite la vulnérabilité corrigée dans Windows
Server Service (MS08-067) en devinant les mots de passe réseau
et en infectant les clés USB.
Une fois infectées le ver va modifier la configuration de
la machine pour se propager. Il va s'executer dans le processus
de demmarrage, modifier les droits d?accès aux fichiers et clés de
registre du ver de sorte que l?utilisateur ne puisse ni les supprimer,
ni les changer. Ainsi qu'empecher toutes mises a jour des PC infectees.
Pour éviter la contamination :
- -------------------------------
- - Assurez-vous que les derniers correctifs de Microsoft ont été
appliqués notammant le correctif MS08-067**
- - Assurez-vous que l?antivirus est bien à jour
- - Vérifiez que l?antivirus a bien téléchargé les dernières mises à jour
- - Désactivez les modes AUTORUN et AUTOPLAY pour les clés USB
Disabling AutoRun on Microsoft Windows:
https://us-cert.cisa.gov/ncas/alerts/TA09-020A
Il semble que la reinstallation complete du systeme soit la
meilleur solution pour eradiquer completement ce ver.
Description du ver "conficker" :
- --------------------------------
http://vil.nai.com/vil/content/v_153464.htm
https://isc.sans.edu/diary/Downadup++Conficker+-+MS08-067+exploit+and+Windows+domain+account+lockout/5671
http://cert.lexsi.com/...
https://docs.microsoft.com/en-us/archive/blogs/
...
Removal W32.downadup:
https://www.broadcom.com/support/security-center
http://www.microsoft.com/security/malwareremove/default.mspx
https://docs.microsoft.com/en-us/archive/blogs/
Pour rappel, une liste mise a jour d'outils la detection et
l'eradication du ver est disponible ici:
https://isc.sans.edu/diary/Third+party+information+on+conficker/5860
Analyse et desinfection de la derniere version Conficker.C
==========================================================
http://mtc.sri.com/Conficker/addendumC/
http://cert.lexsi.com/weblog/index.php/2009/03/17/288-detection-de-confickerc
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm:Win32/Conficker.C
Analyse et desinfection de la derniere version Conficker.D
==========================================================
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm%3aWin32%2fConficker.D
--
West Coast !
La valeur d'un homme se mesure au poids de ses pensées (IAM)
Configuration: Carte-mère ASUS Striker II Extrême 790i Ultra SLi Intel Pentium Core 2 Quad Q9650 3Ghz FSB 1333 Mhz + Ventirad Noctua HU-12P Dual-Sli 2 * MSI Nvidia GTX280 1 Go Version OC G Skill 2 * 2 Go DDR3-PC3 12800 1600 Mhz CAS 7 Raid 0 2 * HDD Western Digital 1 To 32 Mo Cache Caviar Black Alim Antec TruePower Quattro 1000 Watts Boîter Grand Tour Antec Twelve Hundred Windows Vista Business 64 Bits Protection Anti Malware: Routeur/ADSL en mode Pare-feu matériel Comodo Firewall Pro Avira Antivir PE 2009 CA Anti-Spyware PestPatrol Spybot S&D SpywareBlaster Windows Defender HijackThis Panda Anti-Rootkit BlackLight Anti-Rootkit CCleaner Secunia PSI
5 réponses
-
bonsoir
télécharges malwarebytes' anti-malware
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
L'enregistrer sur le bureau
Double-clic sur l'icône "Download_mbam-setup.exe" pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepter
Il va se mettre à jour une fois faite
Se rendre dans l'onglet "recherche"
Sélectionner "exécuter un examen complet"
Cliquer sur "rechercher"
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Cliquer sur "afficher les résultats" pour afficher les objets trouvés
Cliquer sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur "afficher les résultats"
Sélectionner tout (ou laisser coché)
Cliquer sur "supprimer la sélection"
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarrer le PC
Une fois redémarré, double-cliquer sur Malewarebytes
Se rendre dans l'onglet rapport/log
Cliquer dessus pour l'afficher une fois affiché, cliquer sur "édition" en haut du
bloc-note puis sur "sélectionner tout"
Recliquer sur "édition", puis sur "copier" et revenir sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller -
-
bonsoir darckiller
il y a aussi cette procédure pour supprimer le conficker, comme malwarebytes
merci d'avoir eu cette idée de publier les méthodes pour supprimer ce nuisible -
Bonsoir,
Alors tout d'abord merci pour avoir voulu désinfecté mon PC, mais,
je postais cela à titre d'information, je ne suis pas infecté (enfin mon PC hein) ^^ !
Mais si il y a une autre méthode c'est très bien aussi, comme cela, si l'une ne marche pas, on peut essayer l'autre
(les configs étant toutes différentes, on ne sait jamais...)
En tout les cas, content de voir que les personnes oeuvrent toujours pour lutter contre les malwares.
Tchao
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4134
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
24/05/2010 00:04:20
mbam-log-2010-05-24 (00-04-20).txt
Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 184472
Temps écoulé: 26 minute(s), 54 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Documents and Settings\koudia\Local Settings\Temp\E_N4 (Worm.Autorun) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Documents and Settings\koudia\Local Settings\Temp\E_N4\cnvpe.fne (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\koudia\Local Settings\Temp\E_N4\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Documents and Settings\koudia\Local Settings\Temp\E_N4\eAPI.fne (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Documents and Settings\koudia\Local Settings\Temp\E_N4\HtmlView.fne (HackTool.Patcher) -> Quarantined and deleted successfully.
C:\Documents and Settings\koudia\Local Settings\Temp\E_N4\internet.fne (HackTool.Patcher) -> Quarantined and deleted successfully.
C:\Documents and Settings\koudia\Local Settings\Temp\E_N4\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\koudia\Local Settings\Temp\E_N4\spec.fne (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pdtrata.dll (Worm.Conficker) -> Delete on reboot.
