1 Activité en cours

1.1 Vague d'infections par des codes malveillants

Le CERTA a été informé d'une vague d'infections de machines sous Windows par des codes malveillants de type SDbot. Ces infections ont eu pour principale caractéristique des tentatives de connexions depuis les machines infectées vers des serveurs irc en écoute sur le port 5599/tcp.

Le CERTA a pu reconstituer le scénario d'infection. Les utilisateurs de certains postes infectés ont reçu un message par le service d'affichage des messages (commandes NET SEND) les informant que leur machine contient des codes malveillants et les incitant à télécharger un outil pour nettoyer la machine. Le prétendu outil de désinfection est en fait un code malveillant aux multiples fonctions. Il tente de se connecter à des canaux irc. Le canal irc lui sert à recevoir des commandes en s'affranchissant de certaines protections apportées par les pare-feux par exemple. Il tente également de se propager en exploitant des vulnérabilités bien connues (comme celle affectant le service lsass) ou des partages réseau. Les machines infectées engendrent des connexions à destination du port 5599/tcp de quelques serveurs à l'étranger, ainsi que de nombreux scans des ports 135/tcp, 139/tcp et 445/tcp.

Ce type de scénario d'infection a déjà été décrit dans le bulletin d'actualité du 10 juin 2005 (CERTA-2005-ACT-023) disponible à l'adresse :

http://www.certa.ssi.gouv.fr/site/CERTA-2005-ACT-023.pdf

Il existe, outre la sensibilisation des utilisateurs, des moyens techniques pour se prémunir contre l'utilisation abusive du service d'affichage des messages. En effet, ce service peut être désactivé par les outils d'administration ou être bloqué par le réseau, en filtrant les ports 1026/udp et 1027/udp. Le CERTA constate que les rejets sur ces deux ports sont très nombreux, ce qui est visible sur la figure 1.

Pour empêcher une machine infectée de recevoir des instructions (via un canal irc par exemple), un filtrage en sortie peut être appliqué (interdire tous les ports sauf ceux explicitement nécessaires). Vous pouvez consulter la note d'information concernant le filtrage et les pare-feux (CERTA-2006-INF-001) disponible à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-001/index.html

Rappel des publications émises


Dans la période du 06 mars 2006 au 12 mars 2006, le CERT-FR a mis à jour les publications suivantes :