Les éditeurs de sécurité tirent la sonnette d’alarme depuis plusieurs jours au sujet d’un virus qui aurait contaminé plusieurs millions de PC au cours des dernières semaines. Appelé Conficker, Downadup ou Kido suivant les éditeurs, ce
‘ ver ‘ rappelle l’époque des grandes épidémies numériques provoquées autrefois par des vers comme Blaster (2003) ou Mydoom (2004).Mais il ne partage pas leur caractère destructeur : Conficker cherche avant tout à asservir les PC infectés
pour constituer un botnet, un réseau de machines zombies utilisées par des pirates à l’insu de leur propriétaire, par
exemple pour envoyer du spam.Le ver profite d’une
faille de Windows (XP, 2000, Server 2003, Server 2008, Vista) permettant l’exécution de code à distance sur le PC. La vulnérabilité a bien été corrigée
par Microsoft en octobre dernier. Mais comme toujours, de nombreux utilisateurs adeptes des mises à jour manuelles, notamment en entreprise, n’ont pas appliqué le patch.
Une ‘ mini-épidémie ‘ selon Trend Micro
Dès novembre, Conficker commençait à se répandre de PC en PC dans les réseaux locaux, puis sur Internet, grâce à des codes installés sur des sites malveillants. Dans le premier cas, l’injection s’opère grâce à une clé USB ou à un disque
externe infecté.Il tente ensuite de récupérer identifiants et mots de passe pour se propager sur les autres machines du LAN. Mais sans discrétion : ‘ Il utilise notamment la méthode Brute Force pour trouver les mots de
passe : il tente tous les mots d’un ‘ dictionnaire ‘. Cela se ressent sur le système d’information et c’est ce qui a permis de le répérer très tôt ‘, détaille Frédéric Guy, expert sécurité chez
Trend Micro.Pour l’expert, ce procédé grossier est inhabituel pour un ver à botnet, qui cherche normalement à se faire discret. Il lui aura au moins de permis de se propager à vitesse ‘ grand
v ‘ : F-Secure estimait il y a quelques jours qu’environ 9 millions de PC étaient touchés dans le monde. Un chiffre plausible selon Trend, qui préfère parler de
‘ mini-épidémie ‘.Les éditeurs ont mis leurs bases antivirales à jour pour détecter Conficker. Sans antivirus ou sans alerte de son firewall (quand le ver tente de se connecter à Internet), l’utilisateur a peu de chances de se rendre
compte de sa présence.Mais même une fois détecté par l’antivirus, il est difficile à l’éliminer : le ver prend la forme d’un fichier DLL, qui s’associe aux processus Svchost. Il faut donc suivre une procédure de suppression un peu plus complexe fournie
par l’antivirus ou accessible gratuitement sur Internet, sur les sites des éditeurs de sécurité comme Trend Micro ou
F-Secure, ou chez
Microsoft.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
