Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

NETASQ-Information sécurité : virus « DuQu »

Information sécurité : virus « DuQu »

1. INFORMATIONS GENERALES

Niveau de sévérité :

Nom de la menace : Virus DUQU

Type de menace : Virus + cheval de Troie

Date d’apparition : 14 octobre 2011

Environnement « ciblé » : Système Microsoft Windows, dont XP, Vista et Seven

2. DESCRIPTION DE LA MENACE
Le mois dernier, une nouvelle menace est apparue en Europe, sous le nom DuQu [dyu-Kyu]. Elle a été appelée ainsi car l’un des signes visibles de l’infection est la création de fichiers dont le nom débute par le préfixe :" DQ".

Ce virus s’appuie sur une faille Microsoft (CVE-2011-3402). De façon classique, il se transmet par courrier électronique dans un document Word infecté. Une fois l’ordinateur contaminé, les pirates peuvent prendre le contrôle de la machine à distance.

L’ordinateur infecté va tenter de communiquer avec son serveur de commandement et de contrôle (C&C). Ainsi, il pourra télécharger des exécutables supplémentaires dans le but de rendre le cheval de Troie indétectable, mais aussi pour pouvoir se propager. S’il échoue, la menace sera automatiquement retirée du système après 30 jours (durée par défaut de validité de la menace).

DuQu utilise les ports HTTP et HTTPS pour communiquer avec ses serveurs C&C. A ce jour, 2 serveurs ont été identifiés : 206.183.111.97, qui est hébergé en Inde et 77.241.93.160, hébergé en Belgique. Ces deux adresses IP sont maintenant inactives.

Certaines sources attribuent la création de ce virus à l’équipe qui avait créé Stuxnet, le ver qui ciblait les infrastructures nucléaires iraniennes en 2010.

3. NETASQ VOUS PROTEGE !
Tous les clients équipés d’un firewall NETASQ à jour sont protégés contre les tentatives d’infection et de transmission du virus Duqu.

Recommandations :
NETASQ vous recommande de vérifier les points suivants :

- Les signatures IPS de votre firewall doivent être à jour.
- L’antivirus doit être à jour et activé sur les flux web et messagerie

L’alarme IPS 128 du contexte « entête http client » permet d’intercepter les communications entre la machine infectée et son serveur de commande. Elle évite ainsi la propagation et l’activation du virus.

- Firewall en version 9

Vous pouvez la visualiser en allant dans le menu « Protection applicative » et en lançant une recherche sur « DUQU »

- Firewall en version 8

Vous pouvez la visualiser en allant dans le menu « prévention d’intrusion » > « Signatures contextuelles » > « Malware ».

Ces analyses sont automatiquement configurées à « bloquer » sur chaque profil pour les versions 8 et 9.

4. AVEZ-VOUS SUBI UNE ATTAQUE ?
Grâce au moniteur temps réel NETASQ, vous pouvez surveiller les tentatives d’infection ou de propagation du virus.

Pour cela, connectez-vous sur votre firewall à l’aide du moniteur et choisissez le menu « Evénements ». Grâce au filtre « virus », vous pouvez immédiatement voir les tentatives d’infections qui ont échouées.
Pour détecter les communications entre une machine infectée et un serveur de commande, vous pouvez :

Créer un filtre sur la destination pour les 2 adresses IP publiques 77.241.93.160 et 206.183.111.97.

ou
Utiliser le filtre « alarme » de la vue événements, et ajouter un filtre sur la colonne « contexte » pour isoler l’alarme correspondante (voir ci-dessus en fonction de la version de votre firewall NETASQ.

5. ARTICLES ET REFERENCE

Lien CVE :
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3402

Bulletin de sécurité et correctifs Microsoft :
http://technet.microsoft.com/fr-fr/security/advisory/2639658

Blog TechNet :
http://blogs.technet.com/b/msrc/archive/2011/11/03/microsoft-releases-security-advisory-2639658.aspx