Conficker : il recommence à mordre

Actualités - Alerte - Posté on 10 Avr 2009 at 8:52 par cnis-mag

pieter-musterdA peine la grande peur du premier avril oubliée, que déjà apparaît une nouvelle mutation du ver Conficker/downadup. Chez certains, il prend le suffixe « E ». Pour l’heure, très peu d’analyses et opérations d’ingénierie inverse ont pu être menées. Mais l’on est sûr au moins, chez Trend Micro, que cette version « redevient méchante », autrement dit qu’elle chercherait encore à rechercher et exploiter la faille Microsoft, alors que la précédente version ne faisait que « mettre à jour » les machines précédemment infectées. Pour l’instant, la mise à jour se propage par voie P2P, et possède quelques petites modifications par rapport à ses grands frères. Elle cherche notamment à découvrir un accès ouvert sur Internet, en sondant la présence de quelques domaines grand public tels que Myspace, MSN, AOL ou eBay. L’on se souvient que le code originel de Conficker vérifie la date du jour en contactant également d’autres sites grand public, tel que CraigsList, un modèle de création et d’inventivité graphique sur Internet. En cas d’échec, le vers se contente de fouiller les liens locaux pour tenter d’infecter d’autres machines et ressources.

Autre semi-nouveauté –qui avait été également découverte à l’occasion du « réveil » du premier avril, Conficker tenterait de contacter certains domaines communs à un autre virus, Waledac. Paul Fergusson de Trend Micro revient sur cette idée lors d’une interview accordée à nos confrères d’eWeek. Une idée que reprennent les principaux éditeurs d’A.V. liés au « Conficker working Group », ainsi Websense. Chez BitDefender, l’on affirme que la mutation a enrichi son panel de domaines à bannir. Domaines appartenant notamment aux éditeurs d’antivirus et autres organismes de recherche. La preuve ? Les « infectés » par la variante « E » ne peuvent plus désormais se connecter à dbtools.net, serveur qui offrait –et offre toujours- un outil de désinfection adapté. Du coup, il a fallu imiter les habitudes de Downadup et créer un autre nom de domaine. L’anti-Conficker de BitDefender est désormais accessible sur Disinfect tools.

Laisser une réponse