http://www.viruslist.com/fr/viruses/encyclopedia?virusid=21782725

Cette faille affecte tous les systèmes d’exploitation Windows depuis Windows 2000;  il est donc nécessaire d’entreprendre des démarches afin de sécuriser votre parc si ce dernier contient des postes ou serveurs sous Windows.

Il est vivement recommandé pour faire face à cette menace de suivre les indications suivantes :

1.  Installez-le patch de sécurité de Microsoft sur tous les postes du réseau. Le patch est téléchargeable à cette adresse :

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

2.  Activez le composant IDS sur les postes protégés par Kaspersky for Windows Workstations.

Pour cela :

- Ouvrez Kaspersky Antivirus for Windows Workstations
- Cliquez sur « Configuration »
- Sélectionnez « Anti-Hacker »
- Cliquez sur « Configuration » pour le système de détection des intrusions
- Décochez « Bloquer l’ordinateur attaquant pendant »
- Validez

3.  Si certains postes sont déjà infectés, décompressez et exécutez l’utilitaire klwk.

Ouvrez l’invite de commandes et exécutez la commande suivante :

klwk /path %WINDIR%\system32\

Vous pouvez suivre les indications de cette FAQ pour déployer l’outil via l’Administration Kit : http://www.kaspersky.com/support/wks6mp3/error?qid=208279973

Cet outil permet le nettoyage de plusieurs variantes de « kido » :

j,r,t,bw,db,fk,fo,fx,s,dh,ee,gh,fa,gy,ca,by,if,eo,bx,bh,bg,ha,hr,da,dz,cg,eg,eq,bz,do,fw,du,cv,dv,dq,ed,em,bo,bk,bm

Pour information Kaspersky Lab travaille sur nouvelle version de l’outil de nettoyage capable de traiter notamment la variante ih de kido.

Dès que cette nouvelle version sera disponible je mettrai à jour ce billet.

UPDATE

Comme promis, voici la nouvelle version  de l’outil permettant le nettoyage des postes infectés par le ver Kido.XX.

Cet outil inclut notamment la variante .ih de Kido.

Sur les postes infectés, décompressez et exécutez l’utilitaire KIDOKILLER

Ouvrez l’invite de commandes et exécutez la commande suivante :

KidoKiller.exe -p %windir%\system32\

UPDATE 2

Marc Blanchard a publié deux articles très intéressants et instructifs sur son blog :

- Pourquoi autorunner.5555 alias Confiker – Kido est un fléau?

- Pourquoi Microsoft met il du temps a corriger la faille découverte le 11 décembre 2008?

Bonne lecture et merci Marc!

Kaspersky Lab a sorti aujourd’hui une nouvelle version de Kaspersky Internet Security 2009. Ce nouveau produit porte la version 8.0.0.506.

Cette version n’apporte pas de nouvelles fonctionnalités au produit mais contient un ensemble de correctifs qui permettent au logiciel de mieux se protéger contre les virus et malwares qui essaient de le désactiver ou le déstabiliser.

Améliorations en comparaison avec la version 8.0.0.454:

• L’auto-défense du produit a été revue et améliorée contre les programmes essayant de modifier / supprimer les fichiers de Kaspersky Internet Securty 2009.
• Meilleure interraction avec le Centre de Sécurité de Microsoft Windows.
• Le comportement de l’application a été modifié lorsque l’utilisateur modifie par mégarde ou lorsqu’un code malicieux modifie la date système.

Pour installer ce Critical Fix (mettre à jour votre KIS 2009) :

• téléchargez la version 8.0.0.506 depuis le site Internet de Kaspersky Lab : http://www.kaspersky.com/kis_latest_versions
• exécutez le fichier téléchargé
• suivez l’assistant d’installation
• redémarrez l’ordinateur lorsque l’assistant vous le demande

Il n’est malheureusement pas possible d’exporter la base d’entrainement de ce module via l’interface graphique par contre le fait de récupérer la base d’entrainement bayésien d’un pc à l’autre est très intéressant.

Voici la procédure pour copier le fichier contenant ces informations d’un ordinateur à un autre :

* sur l’ordinateur avec la base de spam entraînée, copiez le fichier antispam.sfdb :

o sur Windows 2000\XP il est dans le répertoire C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Data
o sur Windows Vista il est dans le répertoire C:\ProgramData\Kaspersky Lab\AVP6\Data

* désactivez l’auto-défense sur l’ordinateur sur lequel vous allez copier la base d’entrainement :

o cliquez sur configuration
o dans le menu de gauche, cliquez sur Service
o dans la partie de droite, décochez l’option “Activer l’auto-défense”
o cliquez sur OK

* quittez l’antivirus
* copiez le fichier dans le répertoire correspondant (écrasez l’existant si nécessaire)
* démarrez l’antivirus
* réactivez l’autodéfense

Mis à part la lenteur d’installation, rien à reprocher à ce SP3. Mon antivirus fonctionne parfaitement, l’admin kit pareil : la communication passe, les stratégies s’appliquent etc.

J’ai effectué quelques tests de performance : rien ne semble se dégrader, au contraire, le scan en temps réel semble même impacter la machine un peu moins.

Microsoft aurait retravaillé la gestion de la mémoire vive avec son nouveau Service Pack?

Et vous? Avez-vous passé le SP3 sur votre (vos) machine(s)? Avez-vous rencontré des problèmes à la suite de la mise à jour?

Il s’agit en effet d’une mise à jour des définition de l’IDS (système de détection d’intrusions) du module Anti-hacker mais aussi du driver NDIS qui permet d’intercepter le flux d’informations au niveau de la carte réseau.

Comme le changement se situe dans des couches basses du système d’exploitation, la demande de redémarrage est logique.

Sachez toutefois que le niveau de protection n’est pas compromis en attendant le redémarrage (je pense notamment aux serveurs… qu’on ne peut rebooter comme on veut).

Ce problème n’est que peu perceptible dans un environnement maison. Par contre, en entreprise, vous pourriez être concernés, voire même gênés…

Premièrement, lorsque vous essayez de copier une quantité importante de fichiers (plus de 16000) sur un ordinateur avec Vista et Kaspersky Antivirus 6.0 ou 7.0, vous pourriez recevoir le message d’erreur suivant :

• Mémoire insuffisante. Il n’y a pas assez de mémoire pour terminer cette opération.

Voici le patch de Microsoft qui vous aidera à corriger ce problème :
http://support.microsoft.com/kb/942435/fr-ch

Plus vicieux encore, nous avons également constaté des ralentissements à la copie de fichiers d’un disque local vers un lecteur réseau dans le monde de l’entreprise, c’est-à-dire sous Vista Business dans un domaine 2k3 avec Kaspersky for Windows Workstations 6.0 installé.

Concrètement, la sandbox force l’antivirus à analyser les fichiers avant de les copier sur le disque distant. Forcément, dès qu’on parle d’une copie de plusieurs fichiers, le temps d’exécution est quintuplé voire décuplé.

Ce n’est pas vraiment un problème lorsqu’on copie ou déplace des fichiers du disque vers un lecteur réseau puisque travaillant sous vista on est habitué à des lenteurs… Le grand problème se pose à la fermeture d’une session utilisateur avec profil itinérant. Celle-ci, décuplée prend tout de suite 5 à 20 minutes.

Aujourd’hui, le fait de désactiver la Défense proactive résoud ce problème. Coté sécurité, ce n’est pas la meilleure chose à faire mais les protections intrinséques à Vista (DEP et compagnie) font bien leur boulot donc pas trop de risques.

Concrètement, si vous n’avez aucun souci actuellement et tournez sur des releases récentes (Maintenance pack 3) le fait d’upgrader votre parc ne va pas vous amener de fonctionnalités supplémentaires… Lisez les release notes ci-dessous pour voir si vous êtes concernés par les changements.

Les produits concernés sont :

KAV for Windows Workstations v.6.0.3.837 (release notes)
KAV for Windows Fileservers v.6.0.3.837 (release notes)
Kaspersky Administration Kit v.6.0.1572 (release notes)

Evidemment, il n’est pas nécessaire de désinstaller les produits existants pour effectuer la mise à jour. Une installation par-dessus les versions actuelles suffit pour l’upgrade. Pensez également à upgrader les agents de communication si vous effectuez l’update de votre serveur d’administration…

Les nouvelles versions apportent beaucoup d’améliorations et de corrections ou bugfixes. Concrètement, ceux qui utilisent les versions actuelles et qui n’ont aucun souci ne vont pas avoir de changements majeurs visibles.

Quant à l’installation, un déploiement “par-dessus” les versions actuelles installées suffira à migrer votre parc. N’oubliez pas d’effectuer une tâche de sauvegarde de votre serveur d’administration avant d’installer la nouvelle version par-dessus l’existante… on n’est jamais trop prudent. Vous trouverez tout le changelog dans les FAQ’s de Kaspersky France relatives à chaque produit touché par la mise à jour dont les liens sont disponibles ci-dessous :

- Kaspersky Administration Kit Critical Fix 1 Maintenance Pack 1 version 6.0.1565 : FAQ KL France

- Kaspersky Anti-Virus 6.0 for Windows Workstations Maintenance Pack 3 version 6.0.3.830 : FAQ KL France

- Kaspersky Anti-Virus 6.0 for Windows Servers Maintenance Pack 3 version 6.0.3.830 : FAQ KL France

Note : les liens de téléchargement des produits sont diponibles sur ces FAQs mais également sur les sites http://entreprises.kaspersky.fr, http://www.kaspersky.fr et, évidemment, http://www.kaspersky.com pour les autres langues.

Tout d’abord, durant l’installation, l’utilisateur est amené à choisir les modules qu’il veut installer sur sa machine :

- Antivirus Fichier
- Antivirus Internet
- Antivirus Mail
- Défense proactive
- Anti-Espion
- Anti-Hacker
- Antispam

Le choix de ces modules est important puisqu’ils vont être compilés durant l’installation et on ne pourra pas en ajouter sans réinstallation du produit.

Pendant le processus d’installation, Kaspersky va intégrer dans le système un nouveau pilote, à savoir, klif.sys puis le crocheter au noyau afin que ce pilote devienne proxy pour tout type de communication I/O (entrée/sortie). A partir de ce moment, toute communication entre périphérique I/O et le kernel va passer à travers le “filtre” Kaspersky.

L’intérêt de cette approche est certain. L’efficacité aussi. Mais le procédé n’est pas si simple je vais essayer d’en énumérer les avantages et inconvénients :

Inconvénients

- Possibilité de rupture des communications avec un périphérique ou même de crash système en cas de drivers mauvais ou obsolètes (le noyau discutant avec Kaspersky, Kaspersky doit impérativement pouvoir discuter avec les périphériques). Un utilitaire gratuit permettant de créer un profil machine sous forme textuelle est disponible : Getsysteminfo. Par ailleurs, Kaspersky met à disposition un parser qui permet de déceler une éventuelle incompatibilité matérielle et/ou logicielle sur votre ordinateur. Très intéressant à effectuer!

- Toutes les informations transitant par le moteur de scan, il se doit d’être extrêmement rapide et pas trop gourmand en ressources CPU et/ou Mémoire. C’est un fait. Il est important de souligner les technologies embarquées dans le produit permettant de prioriser les ressources système à l’utilisateur afin de rendre l’antivirus le plus transparent possible au quotidien.

Que dire de plus? 8Mo de Ram occupés par le moteur de scan sur un poste en pleine activité et avec tous les modules de protection chargés… Je pense qu’on est plutôt sur la bonne voie. A propos, pourquoi y a-t-il 2 processus montés me dira-t-on : simplement parce que d’une part, il n’est pas possible de tuer 2 tâches simultanément sur un OS type Windows donc les 2 process se surveillent mutuellement; d’autre part, l’un est lancé en tant que tâche système et est donc démarré avant la session utilisateur. Ce qui permet d’être proactif face à toutes les menaces s’exécutant à l’ouverture d’une session utilisateur.

Avantages

- Scan d’archives n’est pas indispensable : gain de ressources système. Par défaut, un virus inclus dans une archive n’est pas dangereux puisqu’il ne peut s’auto-extraire. De même, lorsqu’on visualise le contenu d’une archive, son contenu reste inoffensif. Au moment de l’extraction d’un code malveillant, il sera d’abord extrait dans un dossier temporaire système par le client qui exécute l’extraction; puis, théoriquement, il sera déplacé dans un répertoire spécifié. Théoriquement, parce que si le fichier extrait est vérolé, il sera intercepté et supprimé par le scanner en temps réel au moment de son écriture dans le répertoire temporaire. Le fait de désactiver l’analyse d’archives en temps réel vous permettra d’économiser des ressources système et éviter les attaques du type zip of death sans pour tout autant s’exposer davantage.

- Scan de flux. En plus d’un moteur de scan en temps réel très performant, on arrive à avoir un système de protection “ceinture-bretelles” avec un scan basé sur les flux de données entrants. Concrètement, on va pouvoir lister les ports à écouter et Kaspersky va pouvoir effectuer de la dépollution de flux entrants à la volée : par exemple flux HTML et/ou même HTTPS (!) pour du surf sain ou alors POP3, IMAP, NNTP ou SMTP pour le mail.

- Une mise à jour unique. Vu que les modules installés sont déterminés à l’installation est sont compilés dans le noyau, la mise à jour du noyau profite à tous les modules en même temps.

- Tout code malveillant connu (virus, trojan, spyware, etc.) sera détecté et stoppé par le moteur de scan en temps réel pendant son opération d’écriture sur le disque. Contrairement aux concurrents (qui ont, pour la plupart, historiquement intégré un module antispyware au produit antiviral) le code malveillant n’a pas besoin d’être écrit sur le disque pour être détecté par un module spécialement ajouté.

Je suis à court d’idées, si j’ai oublié de mentionner quelque chose, n’hésitez pas à poster des commentaires! Merci d’avance.

—
Kaspersky Labs
Versions d’évaluation