Conficker : une surprise sans fin

Actualités - Hack - Posté on 17 Fév 2009 at 8:45 par Solange Belkhayat-Fuchs

merlinprincesseFabien Perigaud du Cert Lexsi, nous écrit un véritable roman picaresque sur les mille et une astuces que Conficker déploie pour accroître le nombre de connexions TCP. C’est une longue théorie de boucles conditionnelles : Si NT inférieur à 4.0, alors abandonner… client déjà infecté par un concurrent plus sérieux que nous, l’absence d’argent pour renouveler ses licences. IF NT==2000&XP AND SP<<2, THEN patch HKLMSYSTEMCurrentControlSetServicesTcpipParameters. Voila pour les vieux coucous. IF NT>=5.1 OR SP>>2 AND Windows pas du tout 2003, alors trépanation de tcpip.sys, pour simple lecture des entrailles, puis modification du pilote en mémoire après un très court lancement de service « pirate ». Tout çà dénote d’une certaine complexité d’esprit de la part de l’auteur du ver… et d’une impressionnante sagacité chez les personnes capables de découvrir des mécanismes aussi tortueux. Fabien Perigaud mentionne rapidement en début d’article une autre fonction cachée décrite par les chercheurs du Sans, à savoir la capacité de Conficker de détecter la présence d’une machine virtuelle –code directement inspiré des travaux de Joanna Rutkowska- ainsi que d’une astuce protégeant une clef de registre par une modification des ACL. La détection des VM et des sandbox diverses susceptibles d’être utilisées par des honeypots ou des outils de debugging est une caractéristique commune à biens des malwares ces temps-ci. L’Avert Lab se penchait, la semaine dernière, sur une Toolbar/malware de détournement d’identité spécifique à une application de type « réseau social » Allemande. Là encore, la première réaction du programme d’attaque était de vérifier la présence d’un logiciel antivirus ou d’un sandboxing quelconque.

Remarque méchante d’un « reverse ingénieur » français entendue dans un salon parisien dans lequel se déroulait une grande conférence sur la sécurité : « Si Windows avait été conçu avec autant de minutie que ne l’a été Conficker, il n’y aurait jamais eu Conficker ». Les bug-hunters du langage, les reverse engineers de la sémiotique appellent çà une tautologie et les informaticiens un « coup bas ».

Laisser une réponse