S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 mars 2006
N° CERTA-2006-ACT-011
Affaire suivie par: CERT-FR
le 17 mars 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-11

Gestion du document

Référence CERTA-2006-ACT-011
Titre Bulletin d’actualité 2006-11
Date de la première version 17 mars 2006
Date de la dernière version 17 mars 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Vague d’infections par des codes malveillants

Le CERTA a été informé d’une vague d’infections de machines sous Windows par des codes malveillants de type SDbot. Ces infections ont eu pour principale caractéristique des tentatives de connexions depuis les machines infectées vers des serveurs irc en écoute sur le port 5599/tcp.

Le CERTA a pu reconstituer le scénario d’infection. Les utilisateurs de certains postes infectés ont reçu un message par le service d’affichage des messages (commandes NET SEND) les informant que leur machine contient des codes malveillants et les incitant à télécharger un outil pour nettoyer la machine. Le prétendu outil de désinfection est en fait un code malveillant aux multiples fonctions. Il tente de se connecter à des canaux irc. Le canal irc lui sert à recevoir des commandes en s’affranchissant de certaines protections apportées par les pare-feux par exemple. Il tente également de se propager en exploitant des vulnérabilités bien connues (comme celle affectant le service lsass) ou des partages réseau. Les machines infectées engendrent des connexions à destination du port 5599/tcp de quelques serveurs à l’étranger, ainsi que de nombreux scans des ports 135/tcp, 139/tcp et 445/tcp.

Ce type de scénario d’infection a déjà été décrit dans le bulletin d’actualité du 10 juin 2005 (CERTA-2005-ACT-023) disponible à l’adresse :

http://www.certa.ssi.gouv.fr/site/CERTA-2005-ACT-023.pdf

Il existe, outre la sensibilisation des utilisateurs, des moyens techniques pour se prémunir contre l’utilisation abusive du service d’affichage des messages. En effet, ce service peut être désactivé par les outils d’administration ou être bloqué par le réseau, en filtrant les ports 1026/udp et 1027/udp. Le CERTA constate que les rejets sur ces deux ports sont très nombreux, ce qui est visible sur la figure 1.

Pour empêcher une machine infectée de recevoir des instructions (via un canal irc par exemple), un filtrage en sortie peut être appliqué (interdire tous les ports sauf ceux explicitement nécessaires). Vous pouvez consulter la note d’information concernant le filtrage et les pare-feux (CERTA-2006-INF-001) disponible à l’adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-001/index.html

Rappel des avis émis


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 17 mars 2006
    version initiale.