Je redoutais quelque chose lorsque j'ai ecrit ce post Les éditeurs antivirus ciblés par les attaquants

Ca y est nous sommes confrontés à un nouveau fléau avec la variante de Confiker.C.

Confiker dont la version B vient d'à peine être éradiquée (mais sévie encore dans de nombreux réseaux informatiques), que la variante C est dores et déjà lancée mais sera réellement active le 1er Avril 2009, selon les premiers échantillons. pour renforcer et développer le réseau parallele de même nom.

La variante C enrichie le nombre de sites de mises a jour des différents antivirus et de Microsoft updates...je vous en dirais plus à la fin de ce document.

Confiker.C (alias Downadup, Kido, Shadow.base etc selon les conventions de noms des éditeurs antivirus) s'attaque aux experts. En effet, cette variante ne permet pas à un expert de faire une analyse poussée, avec des outils de reverse enginering, car si ces outils sont chargés en mémoire, confiker.c interdit tout simplement leurs executions !

Par conséquent, on y voit une volonté féroce, dans cette variante, de faire exister et d'éllaborer un réseau zombies de grande ampleur !!! et ce n'est pas les 250000$ offert par Microsoft qui vont faire reculer les concepteurs, car les commenditaires de ce réseau parallele payent bien plus que 250000$ ... Des donneurs d'ordres sans scrupule demandant de lancer des vagues de spam (revenus environ 35millions de $ annuel, rien que pour exemple d'un simple spam), des vagues de Denis de services sur des sites commerciaux, des attaques sur les serveurs gouvernementaux, etc... et tout cela grâce à vos machines, chers internautes, qui restent vulnérables soit par manque de mises à jour de microsoft associées à cela l'utilisation d'outils antivirus de mauvaises qualités...dommage!

Bref, pour faire simple, le réseau parallele Confiker est un réseau P2P fonctionnant sur 2 ports TCP et UDP.

Dans le genre, les codes de confiker.c (je dis les codes car de nouveaux sont bien évidemment téléchargeables en temps réel...on est sur des technologies d'infections actives) représentent toutes les particularités d'un storm worm avec des tentatives d'infections toutes en douceur et et a des temps calculés!

Dans un rapport de mon confrére chercheur Philip Porras, il nous indique que d'après les premiers résultats sur des opérations en milieu infecté controllé, confiker.c lance des tentatives de connexions tcp sur seulement 60 hosts toutes les 5 minutes, jusqu'à 2500 hosts en udp dans la même période de temps, et 6 connexions http sur des serveurs qui pourraient contenirs de nouveaux exploits à télécharger....ce qui est très peu par rapport à une propagation du vers Nimda ou Slammer, souvenez vous!

Ceci dit, cette variante de confiker.c, embarque une mine de technologies de dernières générations.

Pour n'en citer que quelques unes référencées, mais qui pourraient changées à partir du 1er avril lors de son activation réelle, on constatera l'utilisation de la technologie MUTEX (presque impossible à detruire le process en ram), anti outils de reverse engineering, utilisation de cryptage de répertoire et données en MD6 (oui oui vous avez bien lu MD6 derniere version car la précédente avait des bugs, mais qui à peine sortie en domaine publique!), utilisation de la techniques de compétences transversales (voir mes comptes-rendus sur le sujet) afin de tester si la machine, qui est en cours d'infection, a déjà été touchée par une ancienne version de confiker. Si oui, le process se connecte sur la machine déjà infectée par une version antérieure a la variante C, l'update en version C, avec mise à jour ou création d'une DLL dans un répertoire temporaire crypté en MD6. La dll s'exécute par svchost, lance des requettes sur des dns defacés via un dns changer au cas ou. Confiker.C possède des retro actions pour patcher les règles des parefeux logiciels présents sur la machine exploitée. Il interdit les mises a jour de windows via msupdate et les mise à jour des solutions de securite installes sur la machine victime sur leurs sites de mises à jours. Confiker.C patche les packages Microsoft de mise à jour via des outils de déploiement en réseau, et utilise dans ses codes de l'obscursing autours des process qui sont lancés par svchost et fait de l'obscursing de registres sur netscvs...

Ouf ! la liste est je pense complète au moment ou j'écris ce message, mais sachez que ce stormworm peut changer à tout moment en se connectant sur un serveur pour downloader de nouveaux exploits, mais également changer et charger de nouveaux codes pour sa DLL qui est vue comme un fichier temporaire dans le repertoire crypté en MD6!

Ce storm s'auto-défend à toute agression d'outils d'experts et confiker.c met en place des contre-mesures de façon aléatoire notamment sur des permissions sur la NTFS qui permettront d'effacer les fichiers de Confiker.c avec beaucoup de difficultés...même si on est administrateur de la machine.

Cette variante de ce storm valide ou non son existance par une vérification de connexion internet et ne télécharge que de nouvelles attaques/exploits à diffuser si et seulement si son repertoire est encrypté en MD6 (pour court-circuiter les protections temps réels des antivirus) et que si et seulement si les trames tcp/udp correspondent bien à une machine déja infectée par confiker.

En conclusion : Vous comprennez mieux le titre de cette section maintenant, car les désinfections vont s'avérées sportives.....sauf peut être, si vos editeurs antivirus sont ou ont été réactifs, et détectent via leurs temps reel dores & déjà cette variante de ce storm.

Un petit conseil : mettez a jour TOUS vos antivirus et les patchs Microsoft AVANT le 1er avril 0h00 ... sinon prevoyez un seau pour la sueur !