XMCO : Des scanners permettent de détecter Conficker par le réseau
mars 2009 par XMCO PARTNERS
Busted ! Conficker’s tell-tale heart uncovered
– Date : 31 Mars 2009
– Plateforme : Windows
– Description :
Les chercheurs en sécurité Tillmann Werner, Felix Leder et Dan Kaminsky ont réussi à découvrir une nouvelle signature pour Conficker.
Le ver Conficker modifie le protocole d’authentification au niveau de l’échange de fichiers, cette modification du protocole a permis l’élaboration d’une nouvelle signature permettant de détecter ce virus/vers par le réseau.
Cette nouvelle signature va permettre aux administrateurs de détecter très rapidement des machines infectées sur le réseau. Un script pour nmap est disponible en [2], un scanner proposé par les chercheurs Leder et Weber est disponible ici [3].
De plus, une nouvelle analyse du vers Conflicker.C est disponible [4].
– Référence :
[1] http://www.theregister.co.uk/2009/03/30/conficker_signature_discovery/
[2] http://nmap.org/download.html
[3] http://iv.cs.uni-bonn.de/uploads/media/scs.zip
[4] http://www.honeynet.org/papers/conficker/
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1238486694