Les forums bruissent de ses effets, les éditeurs d’A.V. et les centres de veille sécurité ne cessent de tirer le signal d’alarme : le ver Downadup/Conficker, qui se propage via la faille signalée dans le bulletin MS08-067, provoque des crises d’urticaire à tous les admins réseau d’entreprise. L’un des premiers effets de cette infection est de… bloquer les comptes utilisateurs si une politique de sécurité vérifie le nombre de tentatives de login infructueuses. C’est le premier « effet de bord » de Downadup, puisque ce dernier lance une attaque « brute force » de recherche de mot de passe. Une seule station infectée au sein d’un lan peut provoquer une sérieuse pagaille dans l’organisation du travail, déplore un bulletin du Sans.
La méthode la plus simple pour se débarrasser de cette engeance est de « figer » ce polymorphe puis d’appliquer le correctif diffusé par Microsoft. Las, tant que le virus parvient à communiquer avec Internet en général et ses centres de commande en particulier, la chose est quasiment impossible. Il est donc conseillé de bannir les noms de domaines que connaît le virus –une liste dressée grâce au travail de reverse engineering de plusieurs chercheurs, et notamment ceux de F-Secure-. La chose est plus difficile à faire si la gestion des DNS est, comme c’est le cas la plupart du temps dans les PME, externalisée et confiée à un prestataire extérieur. Ceci fait, la suite est presque simple. Fort heureusement, Sylvain Sarmejanne du Cert Lexsi, vient de rédiger une procédure pas à pas excessivement claire, décrivant à la fois le fonctionnement de l’infection – les fonctionnements devrait-on dire- et les multiples parades à prévoir pour circonscrire, puis éliminer, l’infection de Conficker, pour ensuite s’attaquer au travail de remise en état du réseau (et notamment des services de mise à jour annihilés par le ver). Les plus à plaindre sont peut-être les « administrateur-password-admin »… s’ils ont survécu.
