Ver Conficker: Une Véritable Saleté!

Vorm Conficker
Le worm Conficker en difficulté dans le RECYCLER de mon PC 😉



Je me suis chopé le virus Conficker ces derniers temps (ne me demandez pas comment, j’en sais vraiment rien). Mais à cause de ma flemmardise à mettre à jour mes PCs au niveau patch de sécurité, ce sale worm de Conficker a eu vite fait de contaminer tout ce qu’il pouvait (surtout les clés usb). Je ne vais pas vous détailler le virus Conficker ici (google en sais beaucoup plus que moi) mais juste une technique simple pour savoir si vous êtes infecté et comment l’enlever et se protéger.

1 – Détection rapide de Conficker
Conficker se cache en desactivant l’affichage des fichiers cachés et des extensions. Il suffit d’ouvrir l’explorer et de regarder la partition C: si vous arrivez à voir le fichier IO.SYS par exemple, il y a de très grandes chances que vous ne soyez pas infectés (le fichiet IO.SYS est un fchier caché de Windows). Vous ne voyez pas ce fichier? Pas de panique inutile. Ouvrez la boite
“Folder Options” (j’ai un XP en anglais) à partir de l’explorer (menu Tools puis Folder Options). Activer la visu des fichiers et répertoires cachés:

Folder Options Windows XP


Donc si vous n’avez pas Conficker, le fichier IO.SYS devrait normalement apparaitre. Dans le cas contraire, Conficker est surement dans les parages…

Une autre façon de repérer Conficker est d’essayer de se connecter sur les sites d’antivirus (f-secure, avg, kaspersky, etc.). Si Conficker est là, l’accès à ces sites sera bloqué. Le test suivant est assez révélateur: Conficker Eye Chart.

2 – Suppression de Conficker
J’ai eu l’occasion de tester quelques “Removal “Tools” et le plus efficace est celui d’Enigma Software. Le download direct de cet outil est ICI.

Cet outil fonctionne en 4 phases, chaque phase étant séparé de la précédante par un reboot du PC. En gros il détecte la presence d’une DLL dont le nom est une chaine de caractères aléatoires: c’est une des methodes de duplication de Conficker. Après avoir éliminé cette DLL, il cherche ensuite les autorun.inf. Le fichier autorun.inf est une des méthodes de propagation de Conficker. Et c’est une méthode d’une redoutable efficacité 😉

Normalement au bout de 4 reboots du PC, le tool d’Enigma Software a terminé son travail et le PC est de nouveau propre.

3 – Se protéger de Conficker
D’abord j’ai remis un peu d’ordre dans la base de registre au niveau des fichiers cachés. Voilà quelques clés intéressantes:

– Show Hidden Operating System Files (All Windows)
User Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value Name: ShowSuperHidden
Data Type: REG_DWORD (DWORD Value)
Value Data: ( 0 = Hide Files, 1 = Show Files)

– Show Hidden Folders and Files (All Windows)
User Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value Name: Hidden
Data Type: REG_DWORD (DWORD Value)
Value Data: (1 = show hidden, 2 = do not show)

– Show File Extensions (All Windows)
User Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value Name: HideFileExt
Value Data: (0 = show ext, 1 = do not show)

Maintenant, le hack qui permet d’endiguer la propagation du worm: désactivation de l’autorun sur tous types de support. Ce hack tout simple tout simple empêchera que le fichier autorun.inf (qui contient Conficker et qui se trouve on se sait pas comment sur la clé usb qui est en train d’être connectée sur votre PC) ne soit exécuté automatiquement pas Windows. Donc pour désactiver l’autorun sur tout type de support (clé usb, cdrom, etc…), il suffit de mettre le
masque 000000ff dans la clé suivante:

– Windows XP:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun

– Windows Vista
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­policies\Explorer\NoDriveTypeAutoRun

et de redémarrer le PC.

Le ver Conficker exploite une faille de securité présente sur Windows XP SP2 (à priori pas sir Vista SP1 et SP2). Il faut donc patcher. Soit avec le SP3 de Windows XP, soit avec le correctif qui concerne juste la faille. Voilà les liens:

Le lien vers le SP2 de Vista peut toujours servir:

Une fois patché, le PC est de nouveau opérationnel et clean. L’installation d’un antivirus et d’un outil comme Spybot Search and Destroy est aussi conseillé pour la suite…

Voilà quelques liens supplémentaires:

L’antivirus FSB par FSB Security Labs semble un projet prometteur. Il y a un forum français avec pas mal de choses interessantes à lire. A surveiller donc.

Allez, je retourne à mon GeeXLab, car cette saleté de Conficker m’a fait perdre pas mal de temps…


One thought on “Ver Conficker: Une Véritable Saleté!”

Leave a Comment

Your email address will not be published. Required fields are marked *

− 5 = 2