De quoi s’agit-il ?
Le ver « Conficker » peut se propager via un réseau local (LAN) ou étendu (WAN), via Internet, au travers de lecteurs amovibles ou encore en exploitant des mots de passe faibles. Conficker désactive les produits de sécurité et plusieurs services système importants, et télécharge des fichiers arbitraires. Les ordinateurs infectés par le ver rejoignent les rangs d’une « armée » d’ordinateurs compromis susceptibles d’être utilisés pour lancer des attaques contre des sites web, diffuser du spam, héberger des sites de phishing ou exécuter d’autres activités malveillantes.
Symptômes
• Les mises à jour automatiques, les services de rapport d’erreurs sont désactivés,etc…
• Le réseau est surchargé et les requêtes des pc clients sont lentes.
• Blocage de l’accès à certains sites consacrés à la sécurité.
• Accès refusé aux lecteurs partagés.
• Déplacement des fichiers autorun.inf (fichier utilisé pour l’exécution automatique de médias externes) vers le répertoire Recycled ou la
corbeille.
Méthodes de propagation
• Exploitation de la vulnérabilité corrigée par la mise à jour microsoft windows 958644 (MS08-067)
• Utilisation de partages réseau.
• Utilisation de la fonctionnalité de lecture automatique (exemple : médias externes)
Protection
La plupart des machines du groupe SNCB sont équipées du McAfee Antivirus. Cette protection détecte la plupart des variantes du conficker et vous protège ainsi efficacement.
Que faire en cas d’infection ?
Vous pensez avoir été victime, en tout ou en partie, d’un tel scénario d’infection ? Contactez sans tarder le call center d’ICTRA au 911/83100.
Conseils
L’utilisation des droits administrateur sur une machine ne doit se faire que si cela est indispensable. Si un malware tente de s’installer sur votre machine, il le fera à votre insu. Il est donc recommandé d’utiliser un compte utilisateur non administrateur pour un usage courant.
