Infrastructure des maliciels DNS Changer et TDSS/Alureon/TidServ/TDL4

IN11-002 (MISE À JOUR)
Date : 9 novembre 2011

MISE-À-JOUR
Une d�cision judiciaire a �t� approuv�e pour la prolongation de la date limite.  Le DNS interm�diaire sera maintenu jusqu'au 9 juillet 2012 par le Internet Systems Consortium.

Pour de plus amples renseignements suivre le lien suivant : http://www.dcwg.org/

Objet

La pr�sente note d'information est destin�e aux sp�cialistes de la s�curit� de la TI et aux victimes potentielles de DNS Changer. Elle renseigne sur la nature de ce maliciel, les moyens de le d�tecter et sur la façon d'en att�nuer la menace.

�valuation

Le FBI a r�cemment mis au jour un r�seau de serveurs DNS (Domain Name System ou syst�me de noms de domaine) contrôl� par des cybercriminels. Ce service f�d�ral �tasunien tente de d�manteler ce r�seau de concert avec des organismes internationaux charg�s d'appliquer la loi et la communaut� des sp�cialistes de la cybers�curit�. Malheureusement, cette infrastructure de serveurs malveillants a servi pendant plus de trois ans � d�tourner les renseignements personnels de millions de personnes dans toutes les r�gions du monde. En introduisant du code malveillant dans l'ordinateur de leurs victimes, les cybercriminels peuvent en modifier les param�tres de serveur DNS et rediriger les demandes de contenu Web vers un serveur DNS malveillant. Comme le service DNS est n�cessaire pour mener � bien la plupart des activit�s sur Internet, le FBI a mis sur pied une entit� de confiance form�e d'�l�ments du secteur priv� sans lien avec le gouvernement. Il l'a charg�e d'exploiter et de tenir � jour un serveur DNS sain destin� aux victimes touch�es par le maliciel jusqu'� ce qu'elles soient identifi�es et avis�es du probl�me. Les adresses IP des syst�mes informatiques susceptibles d'avoir �t� infect�s seront communiqu�es aux fournisseurs d'acc�s Internet (FAI) et aux �quipes informatiques de secours concern�s pour qu'ils avisent les victimes.

L'annonce publique du FBI est disponible � l'adresse http://www.fbi.gov/DNS-malware.pdf (anglais)

- MISE À JOUR -

Le site Web de la communaut� de la cybers�curit� portant sur DNSChanger se trouve � cette adresse : http://www.dcwg.org/

En vertu d'une ordonnance de la Cour de district des �tats-Unis actuellement en place, l'Internet Systems Consortium (ISC, http://www.isc.org/) a �t� autoris� � installer, surveiller et administrer le remplacement du serveur de noms de domaine pour les victimes jusqu'au 8 mars 2012. À cette date, il se peut que les victimes du logiciel malveillant DNSChanger li�es � cette op�ration perdent la connectivit� Internet, puisque le serveur de noms de domaine est n�cessaire � une utilisation commune.

Une demande de prolongation a �t� envoy�e et est en attente d'une approbation de la Cour des �tats-Unis pour que l'ISC effectue le remplacement du serveur de noms de domaine jusqu'au 9 juillet 2012, comme le d�montre le document suivant :

http://krebsonsecurity.com/wp-content/uploads/2012/02/dnschangerextension.pdf

L'Autorit� canadienne pour les enregistrements Internet (ACEI) pr�sente un outil Web qui permet de d�tecter les utilisateurs Internet qui sont touch�s par un logiciel malveillant DNSChanger connexe. Cet outil se trouve � l'adresse suivante :

http://www.dns-ok.ca/

À propos du maliciel DNS Changer

Le maliciel DNS Changer force les ordinateurs cibl�s � utiliser des serveurs DNS malveillants plutôt que celui que le FAI fournit habituellement � sa client�le. Le stratag�me consiste � changer les param�tres de serveur DNS des ordinateurs et � acc�der aux dispositifs de connexion pr�sents sur le r�seau de petite entreprise ou de travailleur � domicile (SoHo) de la victime, r�seau qui exploite un serveur DHCP (p. ex., un routeur ou une passerelle r�sidentielle). Le cyberattaquant utilise alors des noms d'utilisateur et des mots de passe par d�faut courants pour se connecter au dispositif SoHo et, s'il y parvient, change les param�tres du serveur DNS associ� � ce dispositif. Une telle intrusion peut avoir des cons�quences sur tous les ordinateurs reli�s au r�seau SoHo, même s'ils ne sont pas directement touch�s.

L'infrastructure malveillante r�cemment mise au jour exploite un maliciel baptis� TDSS, Alureon, Tidserv ou TDL4 par la communaut� des sp�cialistes des antivirus. Difficile � d�tecter et � �liminer, le maliciel a �t� mis � jour et am�lior� � maintes reprises par les attaquants malveillants pour le rendre encore plus insaisissable et r�sistant. Il modifie certaines cl�s et valeurs du registre de telle sorte qu'il se r�active syst�matiquement au d�marrage de l'ordinateur touch�. Une variante du maliciel infecte une portion du disque dur. C'est le secteur d'amorçage principal (en anglais Master Boot Record ou MBR). Ce secteur est habituellement lu avant le chargement du syst�me d'exploitation. Pour cette raison, il faut proc�der � une intervention sp�ciale pour �liminer le code malveillant qui infecte le MBR.

Mesure recommand�es

D�tection

La marche � suivre ci-dessous permet de savoir si l'ordinateur a �t� infect� par la variante MBR du maliciel DNS Changer.

V�rification des param�tres de serveur DNS.

A. Ordinateurs Windows

  1. Cliquez sur D�marrer.
  2. Cliquez sur Ex�cuter...
  3. Tapez la commande cmd.exe et appuyez sur la touche Entr�e.
  4. Tapez la commande suivante � l'invite dans la fenêtre noire : ipconfig /all. Appuyez sur la touche Entr�e.

Rep�rez la ligne « DNS Servers ». Il n'est pas rare que deux ou trois adresses IP soient affich�es.

B. Ordinateurs Macintosh

  1. Ouvrez les pr�f�rences syst�me.
  2. Choisissez le module R�seau.
  3. S�lectionnez la connexion servant � acc�der � Internet (habituellement AirPort ou Ethernet).
  4. Cliquez sur le bouton Avanc�.
  5. Cliquez sur l'onglet DNS pour en afficher le contenu.

V�rifiez si les adresses IP du serveur DNS de l'ordinateur correspondent � celles des serveurs DNS malveillants et qui sont r�pertori�es ci-dessous. Comparez les valeurs de gauche � droite. Si les adresses IP ne d�butent pas par 85.255.*.*, 67.210.*.*, 93.188.*.*, 77.67.*.*, 213.109.*.* ou 64.28.*.*, alors l'ordinateur n'est pas touch� par la variante du maliciel DNS Changer.

Plages d'adresses IP connues des serveurs DNS malveillants :

C. Routeur r�sidentiel

Le maliciel DNS Changer peut aussi changer les param�tres de serveur DNS de certains routeurs SoHo dont les propri�taires ont conserv� le nom d'utilisateur et le mot de passe r�gl�s en usine. Linksys, D-Link, Netgear et Cisco sont des marques de routeurs Soho courants. Le FAI peut �galement avoir install� lui-même un tel routeur. La documentation fournie avec l'appareil permet de savoir si le mot de passe par d�faut a �t� utilis� et si les param�tres de serveur DNS correspondent aux plages d'adresses IP des serveurs DNS malveillants pr�cis�es ci-dessus. Si tel est le cas, un ordinateur connect� au r�seau est peut-être infect� par le maliciel DNS Changer.

- MISE À JOUR -

D. Consultez l'outil de d�tection de l'ACEI � l'adresse suivante :
http://www.dns-ok.ca/

Restauration

En plus de rediriger le navigateur de l'utilisateur vers des sites potentiellement malveillants, le maliciel DNS Changer peut aussi bloquer les mises � jour du syst�me d'exploitation et des logiciels antivirus. L'ordinateur touch� devient alors beaucoup plus vuln�rable aux autres maliciels. Les utilisateurs qui pensent que leur ordinateur est touch� par le maliciel DNS Changer devraient consulter un sp�cialiste de l'informatique de bonne r�putation. Avant de proc�der � la restauration d'un ordinateur infect�, il est pr�f�rable de sauvegarder les documents importants, photos, vid�os, morceaux de musique et autres fichiers, sur un support distinct (lecteur externe, CD, DVD). Une fois sauvegard�s, ces fichiers, et le support sur lequel ils sont conserv�s, demeurent potentiellement infect�s jusqu'� ce qu'ils soient analys�s en profondeur par un antivirus de confiance et � jour. Les renseignements ci-dessous peuvent faciliter la restauration du syst�me infect�.

1) À l'aide d'un ordinateur sain, consultez les instructions sur l'�limination des maliciels du produit TR11-001 du CCRIC: http://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2011/tr11-001-fra.aspx

2) Consultez les ressources suivantes sur les variantes DSS, tidserv, TDL4 et Alureon. Des utilitaires sont �galement propos�s.

Analyse technique des variantes de DNS Changer :

Utilitaires (suivre les instructions du fournisseur) :

- MISE À JOUR -

Pour MAC OS X :

Autres outils pour le syst�me d'exploitation Microsoft Windows :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :