MS08-067 Worm on the Loose

– Date : 05 Janvier 2009

– Description :

Le laboratoire de la société Symantec vient d’identifier un nouveau ver capable de se diffuser en exploitant une récente vulnérabilité Microsoft (MS08-067).
Ce dernier baptisé "W32.Downadup.B" tente donc d’exploiter la vulnérabilité affectant le service Serveur.

Une fois sur la machine, le ver supprime tous les points de restauration Windows créés par l’utilisateur et tente d’accéder au répertoire "ADMIN$" des machines corrigées et accessibles depuis le réseau local en bruteforçant les comptes Windows. De plus, ce ver désactive également le service Windows Update et créé un service qui sera lancé au démarrage de la machine.

Enfin, chaque requête web contenant certains mots clef (bit9, malware, f-secure...) est immédiatement bloquée afin d’empêcher la mise à jour des logiciels antivirus.

Après le 1er janvier 2009, le ver tente d’accéder à plusieurs sites web dont voici l’URL (dont la liste est disponible à l’adresse [1] citée en référence) :

http://[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]/search ?q=%d

Il est donc possible de repérer des machines potentiellement infectés en identifiant les requêtes contenant "/search ?q=%d" sur un proxy ou un IDS.

– Référence :

[1] http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=2

[2] http://isc.sans.org/diary.html?storyid=5596&rss

– Correction :
Nous recommandons vivement d’appliquer le correctif Microsoft kb958644 sur les postes de travail et les serveurs Windows.

http://www.microsoft.com/france/technet/security/Bulletin/MS08-067.mspx

– Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1231150775