Le 1er avril dernier, une alerte rouge était lancée à l’échelle mondiale sur une éventuelle attaque informatique d’envergure lancée par des machines infectées par le ver Conficker (ou Downadup ou Kido), qui fait parler de lui depuis des semaines. Ce jour-là, il ne s’est pourtant strictement rien passé… Malgré tout, les éditeurs de solutions de sécurité continuent de scruter à la loupe les ordinateurs vérolés (faites ici ce test si c’est le cas du vôtre), pour observer l’évolution de l’infection.
Plusieurs spécialistes disent ainsi avoir repéré le 8 avril sur les PC malades l’apparition, via les réseaux P2P et non plus HTTP, d’une nouvelle variante du ver étiquetée Conficker.E ou Worm.Downad.E. Elle exploite, pour se propager sur Internet ou un réseau local, la vulnérabilité Windows MS08-067. Selon Trend Micro, le ver « ouvre un serveur HTTP sur le port 5114 », et la machine se connecte à des sites comme MySpace.com, MSN.com, eBay.com ou encore CNN.com.
Aucune trace laissée
Autres éléments relevés par différents acteurs de la sécurité : la nouvelle variante du virus pourrait avoir un lien avec un autre ver, Waledac, en essayant une connexion vers des noms de domaine connus pour être liés à ce malware, tel goodnewsdigital.com. Selon F-Secure, il y aurait aussi une tentative pour se connecter sur des sites qui proposent de faux antivirus, du style Spyware Guard 2008. Enfin, le virus est censé se désactiver le 3 mai prochain et ne laisser aucune trace de sa présence.
Difficile d’y voir clair. Les éditeurs semblent eux-mêmes courir après le « pourquoi du comment » de cette infection, dont les responsables sont recherchés à coups de primes (250 000 dollars proposés par Microsoft). Dans l’attente d’éclaircissements, les internautes sont invités à vérifier les mises à jour de leurs outils de sécurité et à télécharger, si besoin, des patchs. A ce stade, le mystère demeure. Voire s’épaissit.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
