Conficker : un Black Cloud, des millions de botnets

12Mai2010 Classé dans : Internet, Sécurité Auteur : Batou

[by LaMenta3 - CC-BY-SA]

Cloud ou Grid Computing ?

Le Cloud Computing (i.e informatique dans les nuages) et le Grid Computing (i.e Grille informatique) sont deux notions proches mais qui possèdent certaines divergences. En effet, le premier consiste à rassembler de manière logique les ressources de milliers de machines homogènes alors que le second s'applique à créer une infrastructure virtuelle basée sur des milliers de machines hétérogènes. Pour plus de commodité, j'emploierai le terme "cloud".

White vs Black Clouds

Lors d'une conférence, Rodney Joffe de Neustar a annoncé des chiffres impressionnants. Commençons par ce que j'appellerai les White Clouds :

Rackspace

65 000 machines
130 000 CPU
Bande passante : 300 GB/s

Amazon

160 000 machines
320 000 CPU
Bande passante : 400 GB/s

Google

500 000 machines
1 million de CPU
Bande passante : 1,5 TB/s

Maintenant, regardons les chiffres du fameux Black Cloud :

Conficker

6.4 millions de machines (230 pays)
18 millions CPU
Bande passante : 28 TB/s

Ainsi, le réseau de botnets Conficker est 18 fois plus puissant que le géant Google. Ces millions de machines infectées (botnets) servent essentiellement à l'envoi de spam, à réaliser des attaques DDOS (déni de service) ou encore à la récupération de données confidentielles. Selon F-Secure, le réseau Conficker possèderait même près de 9 millions de machines avec près de 354 000 adresses IP uniques.

Qu'est-ce que Conficker ?

Conficker est un ver qui s'infiltre via une faille Windows touchant toute la suite Microsoft (2000, XP, Vista, 7, server 2003, server 2008), principalement XP, colmatée depuis le 23 octobre 2008 (patch MS08-067). La faille permet au ver de se connecter via le port TCP 445 et d'outrepasser l'authentification en utilisant le protocole RPC (Remote Procedure Call). Après un scan des PC's non-patchés, le ver peut se répandre à une vitesse exponentielle. La force du ver est de savoir s'adapter à la machine pour pouvoir mieux l'infecter. Il pourra ainsi profiter d'une faille du service svchost.exe, s'installer depuis un périphérique amovible, casser le mot de passe de l'utilisateur via un dictionnaire "bruteforce" intégré.

Son fonctionnement

Une fois installé dans la machine, il agit en désactivant les défenses immunitaires de l'hôte : désactivation, entre autres, de Windows update et du centre de sécurité Windows. Ensuite, il bloque l'accès au site Windows Update et aux serveurs des anti-virus (pour empêcher la récupération des dernières listes de définition). Le ver Conficker reçoit ensuite des instructions depuis des serveurs pseudo-aléatoires ou en utilisant le protocole P2P pour se mettre à jour (et évoluer de la version A aux versions B, C, D et E). Une analyse intéressante (en) montre, entre autres, que le ver s'est surtout répandu dans des zones géographiques où la majorité des utilisateurs ont une version "pirate" de leur OS Windows, leur empêchant souvent d'effectuer les mises à jour sur Windows Update. De plus, on apprend que le ver possède plusieurs couches pour obfusquer son code source original et éviter que certaines personnes comprenne son mécanisme de fonctionnement.

En cela, le parallèle avec les virus organiques est intéressant : le ver Conficker peut muter, court-circuiter son hôte d'accueil en désactivant le système immunitaire, comme pourrait le faire le virus du Sida.

Etes-vous infectés ?

Pour savoir si vous êtes infectés par Conficker A / B / C+, vous pouvez suivre ce lien. Si vous ne voyez pas les logos des sociétés d'anti-virus, c'est que Conficker a bloqué l'accès à ces sites pour vous empêcher de récupérer la bonne mise à jour.

Bref, patchez votre système, scannez votre machine avec les dernières bases de définition....ou changez d'OS !

Poursuivre votre lecture sur le site

Tags: botnet, cloud, conficker, ver

Vous pouvez suivre les réponses à cet articles en vous abonnant à son flux RSS 2.0. Vous pouvez faire un commentaire, ou un trackback depuis votre propre site.

Laisser une réponse

Abonnez-vous (c'est gratuit !)

Bienvenue

Batou.fr est un blog proposant un regard personnel sur l'actualité de deux domaines passionnants : l'informatique et Internet. Le site reflète mes centres d'intérêt. Ainsi, des news sur la musique, le cinéma, la littérature seront présents pour agrémenter ce site. N'hésitez pas à participer et à donner votre avis sur les différents articles !
Bonne visite ;-)

Commentaires
Articles

Brèves

Hadopi : premiers envois IP aux FAI [1]
Selon PCINpact, Hadopi aurait envoyé ses premières demandes d'identification des adresses IP "pirates" aux principaux FAI. Selon Numerama, 800 personnes seraient touchées par cette première vague. Les FAI ont 8 jours pour traiter la demande de l'Hadopi sous peine de recevoir une amende de 1500 euros par adresse IP non identifiée et doivent être indemnisés jusqu'à 8,50 euros par adresse IP mais Frédéric Mitterrand refuse de payer la facture. En parallèle, le filtrage du net se prépare sérieusement via le DPI avec l'ami Riguidel et la carte jeune (50 euros) devrait toujours voir le jour. Ne lâchons rien ! Batou 21/09/10 20:20 (more...) [1] [1] http://www.batou.fr/2010/09/21/hadopi-premiers-envois-ip-aux-fai/#more-2715
Qui se cache derrière goo.gl ? [1]
L'extension Chromium ViewThru [1]vous permet de savoir quelle adresse se cache derrière un lien de type Goo.gl, bit.ly ou autres. Vous verrez s'afficher la réelle adresse qui se cache derrière la redirection de l'adresse raccourcie. Sous Firefox, vous pouvez utiliser l'extension LongUrl Mobile Exchange. Plutôt efficace pour ne pas cliquer sur un contenu indésirable ! (le lien Firefox est en commentaires de cet article) Batou 14/03/10 23:05 (more...) [2] [1] https://chrome.google.com/extensions/detail/jkncfnbcgbclefkbknfdbngiegdppgdd?hl=en [2] http://www.batou.fr/2010/04/28/qui-se-cache-derriere-goo-gl/#more-2205
Cisco sort son Core Router à 322 Tbps [1]

L'équipementier réseau Cisco a annoncé la sortie d'un routeur capable de délivrer 322 000 milliards de bits par seconde. De quoi répondre aisément à la consommation exponentielle, entre autres, de l'offre mobile. Derrière cette annonce purement marketing, on peut aussi prendre conscience de la vitesse à laquelle évolue Internet. En 15 ans, Internet a bouleversé notre quotidien. Les 15 prochaines années risquent d'être intéressantes puisque tout sera relié au réseau mondial. On pourra apprécier alors le caractère révolutionnaire de l'ère informatique et le bouleversement de notre société qu'il aura engendré.

Batou 14/03/10 23:05
Batou.fr au ralenti [0]

Si Batou.fr n'a pas été mis-à-jour ces derniers temps, c'est principalement pour cause de déménagement. Je viens tout juste de retrouver ma ligne Internet. J'ai quelques articles que j'aimerais écrire ; dès que j'ai un peu de temps, je vous prépare tout ça. J'essaierai également d'améliorer la fréquence de publication, mais écrire des articles plutôt longs, prend, comme vous vous en doutez du temps. En attendant, vous pouvez toujours me joindre par mail ou via Twitter !

Batou 04/02/2010 19:42
10% d’adresses IPv4 jusqu’en 2012 [0]

Chaque acteur sonne la sirène d'alarme à propos de la pénurie proche des adresses IPv4. Après l'IANA et Geoff Huston, c'est au tour de la NRO (Number Resource Organization pour organisation regroupant plusieurs RIR, allouant eux-mêmes des blocs d'adresses IP) de signaler qu'il reste encore seulement 10% d'adresses IPv4 utilisables. Le pronostic de pénurie est pour 2012. Mais, malgré toutes ces alertes, on devrait attendre le dernier moment pour migrer massivement en Ipv6... [source]

Batou 18/01/2010 19:10
Oracle fusionne avec Sun Microsystems [0]

7,4 milliards d'euros auront été nécessaires pour qu'Oracle puisse fusionner avec Sun. Les USA avaient donné leur feu vert ; l'Europe vient de faire de même. Oracle s'est engagé à maintenir MySQL pendant 5 ans. Le sort de Java (qui avait été libéralisé) est encore incertain. A travers ce rachat, Oracle devrait se séparer d'une quantité importante de salariés Sun, lequel avait déjà licencié bon nombre d'employés. Le marché de la SGBD est désormais tenu entre Microsoft, Oracle et IBM. [Source]

Batou 21/01/2010 20:31
La France et l’Allemagne déconseillent l’utilisation d’Internet Explorer [0]

Google a décidé de s'opposer à la Chine après avoir subi des attaques importantes contre son service Gmail. L'un des vecteurs de cette attaque était le navigateur Internet Explorer. Le BSI et le CERTA, respectivement les instances de sécurité informatique des gouvernements allemands et français, ont conseillé de ne plus utiliser Internet Explorer (versions 6, 7 ou 8) tant que la faille ne serait pas corrigée. En vue de la qualité déplorable d'IE, cela fera peut-êtreC'est le moment de migrer vers Chromium !

Batou 18/01/2010 19:10
Google lève sa censure sur Google.cn (china) [0]

En se justifiant d'une série d'attaques ciblées sur son service Gmail, Google, présent à hauteur de 20% sur le marché des moteurs de recherche, a décidé, dans un premier temps, de ne plus censurer les résultats Google.cn comme l'exigeait la Chine. Google prend donc le risque de ne plus être présent sur le marché énorme de la Chine. On dirait bien que Google ait vraiment besoin de soigner son image dite "progressiste" ces temps-ci...

Batou 05/01/2010 00:24

Genèse

Participez au Wiki_Libre !

Votez pour un article !

Un article au hasard

Batou.fm

Radio Nova !

Wiki Libre

Programmation Web

HTML
CSS
PHP

GNU/Linux

Vim
Debian

Applicatif

LaTeX

Portail : wiki.batou.fr

The Wall

All

» Laisser un message

Batou.FR