INFORMATIONS
Test Downadup/Conficker 20 Novembre 2009
Vous pouvez télécharger ce test ici et l'exécuter sur votre ordinateur, il vous indiquera si vous êtes touché ou non par Downadup/Conficker.Mise à jour des politiques de sécurité 2 Octobre 2009
Ces politiques concernent BitDefender Client Security v3.1.7.
Le fichier des politiques de sécurité téléchargeable sur la page "Téléchargement" a été mis à jour.Vous pouvez le réimporter dans vos consoles ou modifier manuellement la politique concernant l'antivirus en choisissant une configuration personnelle vous permettant de cocher la case "Ne pas parcourir les volumes partagés" empêchant l'antivirus de scanner les disques réseau indispensable au bon fonctionnement de votre serveur et du réseau. Ceci est valable pour les deux réseaux, pédagogique et administratif.
Licences BitDefender 2009-2010 fin 30 Septembre 2009
Les licences pour les consoles BitDefender Entreprise Manager v2.6 et les clients professionnels ou standards sont arrivées. Vous pouvez dés aujourd'hui utiliser la procédure habituelle pour les demander (voir page de Téléchargement).Licences BitDefender 2009-2010 suite 29 Septembre 2009
La licence pour BitDefender 2009 ou 2010 comme promis a été distribuée automatiquement dans toutes les boites mail des personnels concernés. Si toutefois vous n'aviez pas reçu ce mail la procédure classique de demande de clé d'enregistrement est toujours valable sur la page de Téléchargement.La licence pour les clients pro ou standards v8 arrive prochainement. Une procédure sera envoyée aux établissements.
Licences BitDefender 2009-2010 17 Septembre 2009
L'académie prolonge son contrat avec BitDefender pour l'année 2010.La licence pour BitDefender Client Security v3 est arrivée. Consultez la page de Téléchargement de ce site pour suivre la procédure habituelle de demande de code.
La licence pour BitDefender Entreprise Manager v2.6 arrivera ultèrieurement.
La licence BitDefender Internet Security 2009-2010 vous sera envoyée par mail dés son arrivée.
Test présence Downadup 1er Juillet 2009
Liens a utiliser pour la Détection:====================================
Afin de faciliter la détection des postes infectés, deux liens permettant de tester directement les postes en ligne ont été mis en place. Il suffit de cliquer sur ces liens a partir de
n'importe quel poste pour vérifier si le poste est infecté ou non.
Conficker Eye Chart:
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Conficker Online Infection Indicator:
http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
L'utilisation de scanner pour la detection est aussi possible:
http://isc.sans.org/diary.html?storyid=6097
Les traces de connections à rechercher concernent les accés sur le port 80 de vos log (facilement détectable dans les log des proxy), elles sont du type :
GET http://aaa.bbb.ccc.ddd/search?q=0 HTTP/1.0
GET http://aaa.bbb.ccc.ddd/search?q=n+1 HTTP/1.0
...
Description du malware:
Le ver W32/Conficker ainsi que ces variantes les plus récentes (Conficker.B, alias Downadup.B) utilisent plusieurs moyens de propagation : il exploite la vulnérabilité corrigée dans Windows Server Service (MS08-067) en devinant les mots de passe réseau et en infectant les clés USB.
Une fois infectées le ver va modifier la configuration de la machine pour se propager. Il va s'exécuter dans le processus de démarrage, modifier les droits d'accés aux fichiers et clés de
registre du ver de sorte que l'utilisateur ne puisse ni les supprimer, ni les changer. Ainsi qu'empêcher toutes mises à jour des PC infectés.
Pour éviter la contamination :
-------------------------------
- Assurez-vous que les derniers correctifs de Microsoft ont été appliqués notammant le correctif MS08-067**
- Assurez-vous que l'antivirus est bien à jour
- Vérifiez que l'antivirus a bien téléchargé les dernières mises à jour
- Désactivez les modes AUTORUN et AUTOPLAY pour les clés USB
Disabling AutoRun on Microsoft Windows :
http://www.us-cert.gov/cas/techalerts/TA09-020A.html
Il semble que la réinstallation complète du système soit la meilleur solution pour éradiquer completement ce ver.
Description du ver conficker :
--------------------------------
http://vil.nai.com/vil/content/v_153464.htm
http://isc.sans.org/diary.html?storyid=5671
https://cert.lexsi.com/weblog/index.php/2009/01/12/274-le-ver-conflicker-fait-des-ravages
http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx
...
Removal W32.downadup:
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
http://www.microsoft.com/security/malwareremove/default.mspx
http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx
Pour rappel, une liste mise à jour d'outils de détection et d'éradication du ver est disponible ici:
http://isc.sans.org/diary.html?storyid=5860
Analyse et désinfection de la dernière version Conficker.C
==========================================================
http://mtc.sri.com/Conficker/addendumC/
http://cert.lexsi.com/weblog/index.php/2009/03/17/288-detection-de-confickerc
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.C
Analyse et désinfection de la dernière version Conficker.D
==========================================================
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
**
lien vers le Bulletin de Microsoft Security MS08-067:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Kit de nettoyage Downadup 28 Mai 2009
Vous pouvez télécharger le kit de nettoyage downadup sur la page suivante :
Virus Conficker, alias Kido, Downadup comment le supprimer
Il nettoiera votre Windows XP et le mettra à jour au niveau sécurité.
Virus Conficker, alias Kido, Downadup comment le supprimer
Il nettoiera votre Windows XP et le mettra à jour au niveau sécurité.
Mise à jour console BitDefender V3 (3.0.5) 6 Mars 2009
Une nouvelle version
de la console BitDefender Management Server est disponible. La version
3.0.5.
Cette nouvelle version apporte de nouvelles améliorations et fonctionnalités :
- la fenêtre des ordinateurs administrés permet désormais l'affichage de plusieurs colonnes dont le nombre de signatures et la version du moteur ce qui évitera la génération d'un rapport pour avoir ces informations,
- un assistant de mise à niveau apparaît dans Outils pour faciliter la migration de la version 2.6 vers la version 3,
- la rapidité de fonctionnement de la console a été améliorée au niveau de l'interface : le temps de chargement a diminué
- le principe de fonctionnement des alertes emails évoluent avec la possibilité d'indiquer une fréquence de vérification des événements. Un email rassemblera tous les événements d'un type apparu depuis l'expédition de l'email précédent,
- 2 nouvelles tâches WMI apparaissent : la désactivation des autoruns des périphériques et la désactivation des lecteurs USB,
- la tâche WMI concernant la liste des logiciels installés évolue en permettant directement la désinstallation. On évite la nécessité de créer un nouveau script. Il est maintenant possible de crééer un rapport sur les logiciels installés sur le réseau,
- la nouvelle version permet le déploiement de la version la plus récente du client Business Client (moins la mise à jour du 02/03/2009),
- divers dysfonctionnements sont également corrigés.
Cette version ne permet toujours pas l'installation du Business Client sur la même machine où est installé Management Server.
L'installation du SP3 sur un poste client XP avec Business Client va générer une alerte. Il suffit de cliquer 'oui' pour poursuivre l'installation.
L'installation de la console sur XP SP3 va échoué car il existe une incompatibilité de base avec SQL Express 2005. Une FAQ existe chez Microsoft pour contourner le problème si nécessaire.
Il existe encore dans cette version des éléments non ou mal traduits, quelques défauts de mises en page. Veuillez nous en excuser. Tout sera corrigé pour la version 3.0.6.
Des patchs permettant de mettre à jour les anciennes versions 3.0.2 - 3.0.3 - 3.0-4 vers cette dernière version sont également disponibles.
Cette nouvelle version apporte de nouvelles améliorations et fonctionnalités :
- la fenêtre des ordinateurs administrés permet désormais l'affichage de plusieurs colonnes dont le nombre de signatures et la version du moteur ce qui évitera la génération d'un rapport pour avoir ces informations,
- un assistant de mise à niveau apparaît dans Outils pour faciliter la migration de la version 2.6 vers la version 3,
- la rapidité de fonctionnement de la console a été améliorée au niveau de l'interface : le temps de chargement a diminué
- le principe de fonctionnement des alertes emails évoluent avec la possibilité d'indiquer une fréquence de vérification des événements. Un email rassemblera tous les événements d'un type apparu depuis l'expédition de l'email précédent,
- 2 nouvelles tâches WMI apparaissent : la désactivation des autoruns des périphériques et la désactivation des lecteurs USB,
- la tâche WMI concernant la liste des logiciels installés évolue en permettant directement la désinstallation. On évite la nécessité de créer un nouveau script. Il est maintenant possible de crééer un rapport sur les logiciels installés sur le réseau,
- la nouvelle version permet le déploiement de la version la plus récente du client Business Client (moins la mise à jour du 02/03/2009),
- divers dysfonctionnements sont également corrigés.
Cette version ne permet toujours pas l'installation du Business Client sur la même machine où est installé Management Server.
L'installation du SP3 sur un poste client XP avec Business Client va générer une alerte. Il suffit de cliquer 'oui' pour poursuivre l'installation.
L'installation de la console sur XP SP3 va échoué car il existe une incompatibilité de base avec SQL Express 2005. Une FAQ existe chez Microsoft pour contourner le problème si nécessaire.
Il existe encore dans cette version des éléments non ou mal traduits, quelques défauts de mises en page. Veuillez nous en excuser. Tout sera corrigé pour la version 3.0.6.
Des patchs permettant de mettre à jour les anciennes versions 3.0.2 - 3.0.3 - 3.0-4 vers cette dernière version sont également disponibles.
BitDefender Internet Security 2009 version 64 bits 9 Février 2009
La version 64 bits compatible Windows XP SP2 et Vista 64 bits est disponible sur la page téléchargement.BitDefender For File Server (Windows 2000 & 2003) 9 Février 2009
Description
Les liens vers le téléchargement des versions 32 bits et 64 bits de l'application sont corrigés, ils pointaient auparavant vers les "add-on" pour console et ne fonctionnaient pas avec la licence distribuée.
Solution
Refaites le téléchargement de la version serveur de l'antivirus.
Le lien vers l'outil de réparation de BitDefender est rompu. Au cas où la méthode précédente ne fonctionne pas (non détection par BitDefender après mise à jour), vous pouvez alors utiliser l'outil réalisé par symantec.
Solution
Voici la marche à suivre
1. Téléchargez le fichier FixDownadup.exe.
2. Sauvegardez le fichier sur C: \ (votre bureau ne sera plus accessible par la suite si vous êtes en domaine).
3. Option : pour valider l'authenticité de la signature électronique suivez la procédure décrite sur en fin de page (Digital signature) : http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
Si vous êtes sûr de votre chargement passez cette étape.
4. Quittez tous les programmes.
5. Déconnectez l'ordinateur du réseau.
6. Si vous utilisez Windows Me ou XP, arrêtez le système de restauration.
7. Retrouvez le fichier précédemment chargé.
8. Double-cliquez sur FixDownadup.exe
9. Cliquez sur "Start" et autorisez le processus à s'exécuter.
10. Redémarrez
11. Relancez FixDownadup.exe pour être sûr.
12. Réautorisez le système de restauration.
13. Reconnectez le réseau
14. Faites les mises à jour de l'antivirus.
Friday, January 16, 2009
Description
Win32.Worm.Downadup, un ver informatique qui se répand en utilisant une vulnérabilité du service serveur Windows RPC a été détecté par BitDefender®. Ce ver (aussi appelé Conficker ou Kido) n'est pas nouveau en soi. Il est apparu pour la première fois fin Novembre 2008, exploitant la vulnérabilité MS08-067 pour se répandre facilement à travers les réseaux locaux et installer des programmes malveillants (programmes rogues) sur les ordinateurs infectés.
Fin décembre, les Laboratoires BitDefender avaient découvert une nouvelle version de ce ver appelée Win32.Worm.Downadup.B. Le malware présente de nouvelles caractéristiques, outre son mode de propagation et des signes d'amélioration. Le ver utilise des clés USB pour se diffuser. Il se copie dans un dossier aléatoire à l'intérieur du répertoire RECYCLER (utilisé par la corbeille pour stocker les fichiers supprimés) et crée un fichier autorun.inf dans le dossier racine du lecteur infecté. Le ver s'exécute alors automatiquement si le lancement automatique est autorisé.
Le ver a également modifié certaines fonctions TCP afin de bloquer l'accès aux sites Internet liés à la sécurité informatique en filtrant certaines chaînes de caractères contenues dans chaque adresse. Cela le rend encore plus difficile à éliminer puisqu'il est presque impossible de recueillir des informations à son sujet à partir d'un ordinateur infecté. De plus, il supprime certains droits d'accès de l'utilisateur afin de protéger ses fichiers. Le ver est également conçu de façon à ne pas être détecté par les antivirus : il travaille avec des interfaces API rarement utilisées afin d'éviter les technologies de virtualisation. Il empêche les mises à jour Windows et certains trafics réseau, en optimisant les caractéristiques de Vista pour faciliter sa propagation. Win32.Worm.Downadup.B a un algorithme de génération de noms de domaine similaire à celui trouvé dans des botnets comme Rustock. Il compose 250 domaines par jour et vérifie certains d'entre eux pour effectuer des mises à jour ou télécharger et installer d'autres fichiers.
Plus de renseignements ici
Solution
Téléchargez l'outil de Microsoft pour Windows XP SP2 et 3 avant de suivre les instructions suivantes.
Pour désinfecter Win32.Worm.Downadup.Gen :
- Désactivez le Système de Restauration
- Déconnectez le câble réseau des postes infectés
- Téléchargez MS08-67 correctif de vulnérabilité (lien ci-dessus)
- Exécutez le programme téléchargé
- Redémarrez le poste de travail
- Connectez le câble réseau
- Mettez à jour BitDefender
- Exécutez un scan complet du poste de travail avec BitDefender
La mise à jour prolonge automatiquement la durée de validité de la clé d'enregistrement.
BitDefender Management Server (V3)
Réintroduire le code sans changement. A faire impérativement.
BitDefender Entreprise Manager (V2.6)
Faites une nouvelle demande de code pour la console et pour les clients pro.
BitDefender File Server ou Samba
La mise à jour prolonge automatiquement la durée de validité de la clé d'enregistrement.
Solution : normalement la clé utilisée actuellement verra sa durée de validité prolongée d'un an automatiquement donc jusqu'en Novembre 2009.
Solution : de nouveaux paquetages de mise à jour doivent être téléchargés par le serveur, pour cela il faut modifier la ligne de commande de la crontab en ajoutant bdssadd_82 après bdssadd_80.
Voici les commandes au complet (à exécuter en tant que root) :
Solution : Inscrire pour les deux adresses de mises à jour (principale et alternative) l'adresse, de préférence sous forme I.P., du serveur local. (voir page d'installation réseau en établissement)
Solution : Cette erreur est corrigée dans la matinée du 6 Mai. Vous devez forcer une mise à jour du client pour que la correction soit prise en compte, pour celà faites un clic droit sur l'icône BitDefender dans le systray près de l'horloge puis un clic gauche sur "Actualiser maintenant".
Les liens vers le téléchargement des versions 32 bits et 64 bits de l'application sont corrigés, ils pointaient auparavant vers les "add-on" pour console et ne fonctionnaient pas avec la licence distribuée.
Solution
Refaites le téléchargement de la version serveur de l'antivirus.
Downadup suite 26 Janvier 2009
DescriptionLe lien vers l'outil de réparation de BitDefender est rompu. Au cas où la méthode précédente ne fonctionne pas (non détection par BitDefender après mise à jour), vous pouvez alors utiliser l'outil réalisé par symantec.
Solution
Voici la marche à suivre
1. Téléchargez le fichier FixDownadup.exe.
2. Sauvegardez le fichier sur C: \ (votre bureau ne sera plus accessible par la suite si vous êtes en domaine).
3. Option : pour valider l'authenticité de la signature électronique suivez la procédure décrite sur en fin de page (Digital signature) : http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
Si vous êtes sûr de votre chargement passez cette étape.
4. Quittez tous les programmes.
5. Déconnectez l'ordinateur du réseau.
6. Si vous utilisez Windows Me ou XP, arrêtez le système de restauration.
7. Retrouvez le fichier précédemment chargé.
8. Double-cliquez sur FixDownadup.exe
9. Cliquez sur "Start" et autorisez le processus à s'exécuter.
10. Redémarrez
11. Relancez FixDownadup.exe pour être sûr.
12. Réautorisez le système de restauration.
13. Reconnectez le réseau
14. Faites les mises à jour de l'antivirus.
Attaques virales 19 Janvier 2009
BitDefender propose un outil de désinfection contre DownadupFriday, January 16, 2009
Description
Win32.Worm.Downadup, un ver informatique qui se répand en utilisant une vulnérabilité du service serveur Windows RPC a été détecté par BitDefender®. Ce ver (aussi appelé Conficker ou Kido) n'est pas nouveau en soi. Il est apparu pour la première fois fin Novembre 2008, exploitant la vulnérabilité MS08-067 pour se répandre facilement à travers les réseaux locaux et installer des programmes malveillants (programmes rogues) sur les ordinateurs infectés.
Fin décembre, les Laboratoires BitDefender avaient découvert une nouvelle version de ce ver appelée Win32.Worm.Downadup.B. Le malware présente de nouvelles caractéristiques, outre son mode de propagation et des signes d'amélioration. Le ver utilise des clés USB pour se diffuser. Il se copie dans un dossier aléatoire à l'intérieur du répertoire RECYCLER (utilisé par la corbeille pour stocker les fichiers supprimés) et crée un fichier autorun.inf dans le dossier racine du lecteur infecté. Le ver s'exécute alors automatiquement si le lancement automatique est autorisé.
Le ver a également modifié certaines fonctions TCP afin de bloquer l'accès aux sites Internet liés à la sécurité informatique en filtrant certaines chaînes de caractères contenues dans chaque adresse. Cela le rend encore plus difficile à éliminer puisqu'il est presque impossible de recueillir des informations à son sujet à partir d'un ordinateur infecté. De plus, il supprime certains droits d'accès de l'utilisateur afin de protéger ses fichiers. Le ver est également conçu de façon à ne pas être détecté par les antivirus : il travaille avec des interfaces API rarement utilisées afin d'éviter les technologies de virtualisation. Il empêche les mises à jour Windows et certains trafics réseau, en optimisant les caractéristiques de Vista pour faciliter sa propagation. Win32.Worm.Downadup.B a un algorithme de génération de noms de domaine similaire à celui trouvé dans des botnets comme Rustock. Il compose 250 domaines par jour et vérifie certains d'entre eux pour effectuer des mises à jour ou télécharger et installer d'autres fichiers.
Plus de renseignements ici
Solution
Téléchargez l'outil de Microsoft pour Windows XP SP2 et 3 avant de suivre les instructions suivantes.
Pour désinfecter Win32.Worm.Downadup.Gen :
- Désactivez le Système de Restauration
- Déconnectez le câble réseau des postes infectés
- Téléchargez MS08-67 correctif de vulnérabilité (lien ci-dessus)
- Exécutez le programme téléchargé
- Redémarrez le poste de travail
- Connectez le câble réseau
- Mettez à jour BitDefender
- Exécutez un scan complet du poste de travail avec BitDefender
Nouvelles licences BitDefender, informations complémentaires.
21 Octobre 2008
BitDefender Internet Security (2008 et 2009)La mise à jour prolonge automatiquement la durée de validité de la clé d'enregistrement.
BitDefender Management Server (V3)
Réintroduire le code sans changement. A faire impérativement.
BitDefender Entreprise Manager (V2.6)
Faites une nouvelle demande de code pour la console et pour les clients pro.
BitDefender File Server ou Samba
La mise à jour prolonge automatiquement la durée de validité de la clé d'enregistrement.
Renouvellement de licence pour Bitdefender clients pro. 7 Octobre 2008
Description : Les licences BitDefender arrivent à termeSolution : normalement la clé utilisée actuellement verra sa durée de validité prolongée d'un an automatiquement donc jusqu'en Novembre 2009.
Ajout des derniers paquetages pour clients pro sur serveur de mise à jour Linux. 18 Juin 2008
Description : La tache de mise à jour est en échec et précise que le paquetage bdssadd_82 est introuvable sur le serveur de mise à jour local.Solution : de nouveaux paquetages de mise à jour doivent être téléchargés par le serveur, pour cela il faut modifier la ligne de commande de la crontab en ajoutant bdssadd_82 après bdssadd_80.
Voici les commandes au complet (à exécuter en tant que root) :
- crontab -e [Entrer]
- taper sur la touche "Inser"
- se déplacer jusqu'à bdssadd_80
- taper "bdssadd_82"
- taper sur la touche "Echap"
- taper ":wq" [Entrer]
Correction des mises à jour locales. 13 Juin 2008
Description : Un bug dans la configuration des clients l'empêche de faire ses mises à jour localement et la fait donc systématiquement à partir des serveurs BitDefender d'Internet.Solution : Inscrire pour les deux adresses de mises à jour (principale et alternative) l'adresse, de préférence sous forme I.P., du serveur local. (voir page d'installation réseau en établissement)
Incident du 5 Mai 2008
Description : La clef d'activation du client Internet Security 2008 a été malencontreusement désactivée.Solution : Cette erreur est corrigée dans la matinée du 6 Mai. Vous devez forcer une mise à jour du client pour que la correction soit prise en compte, pour celà faites un clic droit sur l'icône BitDefender dans le systray près de l'horloge puis un clic gauche sur "Actualiser maintenant".