Conficker, encore des nouvelles

Actualités - Malware - Posté on 10 Fév 2009 at 8:44 par Solange Belkhayat-Fuchs

kevindooleyLes experts semblent prendre un malin plaisir à égrener les analyses, découvertes et considérations diverses concernant Conficker Downadup. Il faut dire qu’à la lecture de ces travaux de reverse engineering, on est pris d’un certain respect pour la méticulosité avec laquelle ces auteurs ont conçu ces mécanismes de réplication. Bojan Zdrnja du Sans, s’est rendu compte que la réaction et le « téléchargement » des éléments du ver variait selon qu’il s’exécute par RunDll32 ou via le service netsvcs. Autre détail relativement retors, Conficker corrige la fonction NetpwPathCanonicalize() de netapi32.dll, afin qu’une infection concurrente ne puisse à son tour exploiter cette vulnérabilité. Le patch en question est un branchement de la fonction directement sur le ver lui-même. Enfin, outre les tentatives de désactivation d’antivirus et autres logiciels de protection périmétrique, Downadup efface tous les points de restauration créés auparavant par le système. Il devient ainsi impossible de reconstituer une version antérieure du noyau enregistrée à une époque qui n’aurait pas encore connu cette infection.

Jose Nazario d’Arbor Networks, de son côté, applique la méthode F-Secure de comptabilisation du nombre d’IP infectées, et parvient à un total de près de 12 millions de victimes en date du 14 janvier dernier. Les plus importantes concentrations géographiques de Conficker se situent au Brésil et en Russie. Nazario rappelle que les machines possédant un paramétrage de clavier Ukrainien ne semblent pas affectées par l’invasion –le MSRC de Microsoft avait longuement décrit cette particularité. Durant toute cette période d’examen, la progression du ver était à l’époque quasi linéaire. Autre bizarrerie technique, il semblerait que Downadup utilise des domaines communs avec un autre botnet, Asprox, spécialisé dans la diffusion de spam et de mails de phishing.

OpenDNS, nous apprend Security News, grâce au reverse engineering de Kaspersky, promet de bloquer gratuitement et en temps réel touts les domaines de mise à jour « générés » par Conficker. Ainsi, le virus ne pourra évoluer et les administrateurs auront un répit supplémentaire pour tenter d’éradiquer l’invasion. En outre, une console d’administration spécifique permettra de prévenir les administrateurs utilisant ce service en cas de « requête » émise en direction desdits domaines. C’est là un moyen pratique et rapide pour détecter la présence d’un ordinateur infecté dans un réseau, quelque soit sa taille.

Laisser une réponse