Le ver Conficker continue de recruter ses PC zombies
par mail
l'article
Les éditeurs de sécurité tirent la sonnette d'alarme depuis plusieurs jours au sujet d'un virus qui aurait contaminé plusieurs millions de PC au cours des dernières semaines. Appelé Conficker, Downadup ou Kido suivant les éditeurs, ce “ ver ” rappelle l'époque des grandes épidémies numériques provoquées autrefois par des vers comme Blaster (2003) ou Mydoom (2004).
Mais il ne partage pas leur caractère destructeur : Conficker cherche avant tout à asservir les PC infectés pour constituer un botnet, un réseau de machines zombies utilisées par des pirates à l'insu de leur propriétaire, par exemple pour envoyer du spam.
Le ver profite d'une faille de Windows (XP, 2000, Server 2003, Server 2008, Vista) permettant l'exécution de code à distance sur le PC. La vulnérabilité a bien été corrigée par Microsoft en octobre dernier. Mais comme toujours, de nombreux utilisateurs adeptes des mises à jour manuelles, notamment en entreprise, n'ont pas appliqué le patch.
Une “ mini-épidémie ” selon Trend Micro
Dès novembre, Conficker commençait à se répandre de PC en PC dans les réseaux locaux, puis sur Internet, grâce à des codes installés sur des sites malveillants. Dans le premier cas, l'injection s'opère grâce à une clé USB ou à un disque externe infecté.
Il tente ensuite de récupérer identifiants et mots de passe pour se propager sur les autres machines du LAN. Mais sans discrétion : “ Il utilise notamment la méthode Brute Force pour trouver les mots de passe : il tente tous les mots d'un “ dictionnaire ”. Cela se ressent sur le système d'information et c'est ce qui a permis de le répérer très tôt ”, détaille Frédéric Guy, expert sécurité chez Trend Micro.
Pour l'expert, ce procédé grossier est inhabituel pour un ver à botnet, qui cherche normalement à se faire discret. Il lui aura au moins de permis de se propager à vitesse “ grand v ” : F-Secure estimait il y a quelques jours qu'environ 9 millions de PC étaient touchés dans le monde. Un chiffre plausible selon Trend, qui préfère parler de “ mini-épidémie ”.
Les éditeurs ont mis leurs bases antivirales à jour pour détecter Conficker. Sans antivirus ou sans alerte de son firewall (quand le ver tente de se connecter à Internet), l'utilisateur a peu de chances de se rendre compte de sa présence.
Mais même une fois détecté par l'antivirus, il est difficile à l'éliminer : le ver prend la forme d'un fichier DLL, qui s'associe aux processus Svchost. Il faut donc suivre une procédure de suppression un peu plus complexe fournie par l'antivirus ou accessible gratuitement sur Internet, sur les sites des éditeurs de sécurité comme Trend Micro ou F-Secure, ou chez Microsoft.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
