2009 commence avec une infection dite fulgurente avec Autorunner.5555 alias confiker / kido / Worm_DOWNAD.

Ce storm worm utilise toutes les technologies les plus récentes, en utilisant, entre autres, les compétences transversales, complexifiant ainsi ses méthodes de propagations, mais également ses méthodes d'infections.

Son action est en train de servir pour l'ouverture d'un réseau parallele zombie de grande ampleur.

Pour des informations sur les réseaux paralleles zombies un peu moins scientifiques, j'avais été interviewé par TiVi Pro à ce sujet: Voir la Vidéo cliquer ici !

Voici le phonotype de Autorunner.5555 alias confiker

Rapport :

OPERATING SYSTEM : OS XP OS WIN 2000 WKS OS WIN 2003 SRV OS WIN VISTA

COMMENTAIRES ANALYSTE INFECTION PAR AUTORUNNER.5555 LES CLIENTS SUBISSENT UNE INFECTION HAUTEMENT EMERGENTE

PRODUIT DE NETTOYAGE : DRWEB CUREIT

COMMENTAIRES ANALYSTE LE CLIENT NE POSSEDANT PAS D'ANTIVIRUS RESIDENT NE STOPPANT PAS LE STORM, L'INFECTION BOUCLE CAR NOTION DE MACHINES INFECTANTES ET MACHINES INFECTEES PAR REBOND

IDENTITE EGENE : AUTORUNNER.5555

CLASSIFICATION EGENE : WORM A EMERGENCE RAPIDE DUE A DES TECHNIQUES DE STORM

HOTFIX NECESSAIRE : MS-08-067 MS-08-068

TECHNOLOGIE EGENE : PROXY-DOWNLOADER VULNERABILITE OS BACKDOOR BOTNET MULTI THREADING WORM PROCESS MUTEX DOWNLOAD EXPLOIT POLYMORPHE CODE MODULAIRE SCANNER DE PORTS ZOMBIE INTEGRATION NETWORK AUTORUNNER

PROPAGATION HAUTEMENT EMERGENTE

Commentaires :

Le probleme est que si sur la machine infectée on bloque le port 445, le storm essaie via les compétences transversales d'autres ports.

On a constater des refus de connexion sur les sites de mises a jour des antivirus, mais egalement un refus de mise a jour automatique de Windows Update (normal le storm est grandement freiné par l'application des patchs MS-08-067 et 068), pour se relancer, il peut utiliser également les commandes AT, qui correspondent au planificateur de tâches.

Concernant le nettoyage : Le nettoyage est fastidieux car il doit etre tres rigoureux.

Dans un premier temps, s'assurer que le résident temps reel de l'antivirus bloque bien la tentative d'infection venant d'une autre machine.

Deuxieme temps, s'assurer que le nettoyage est bien fait, et qu'il ne reste aucune trace.

Troisieme temps, patcher avec MS-08-067 et 068

Quatrieme temps, redemarrer la machine

Cinquieme temps, verifier les regles de parefeux qui ont du etre modifiee par le storm worm quelque soit votre parefeu logiciel.

Sixiemement, rescanner avec un scanner ex:CureIt pour etre sur de la non presence entre toutes ces manipulations du storm

Septiemement, bien redemarrer la machine apres le scan du point 6.

NOTA : Ce storm est hautement polymorphe due a ses modifications de codes en temps reel (infections actives)

Par consequent, il est possible qu'apres nettoyage complet, l'antivirus réagisse de nouveau. C'EST NORMAL !!! Il s'agit en fait qu'une autre machine infectée sur le réseau tente une infection, faisant ainsi réagir le temps réel de l'antivirus....mais si votre antivirus est efficace, aucune infection devrait apparaitre dans la machine nettoyee.