Conficker C : une menace prise très au sérieux

Des chercheurs en matière de sécurité informatique ont annoncé qu’un virus informatique de type ver (worm) allait se déclencher le 1er Avril prochain.

Il s’agit du ver Conficker.C qui est la dernière variante de Conficker.A et Conficker.B qui ont été neutralisés par une technique intelligente de reverse engineering (rétro-ingénierie ou ingénierie inversée, technique utilisée, dans ce cas, pour comprendre le fonctionnement du virus/ver).

Les chercheurs de Computer Associates n'arrivent toujours pas à neutraliser cette nouvelle version du virus, mais en regardant le code source, ils ont découvert qu’il est programmé pour se lancer en masse le premier Avril. Mais il ne s’agit pas là d’une blague.

Ce qui rend ce ver particulièrement dangereux est la manière dont il désactive "tout" sur l’ordinateur qu’il attaque. A la manière du virus HIV chez l'homme, il attaque le système immunitaire de l'ordinateur. Il bloque les sites Web liés à la sécurité, en particulier celui de Microsoft. Il met fin à des services de sécurité comme le centre de sécurité Windows, la mise à jour automatique, le Service de transfert intelligent en arrière-plan... Il se copie dans le répertoire Windows, les répertoires de Windows Media Player, d'Internet Explorer et de Movie Maker.

Conficker.C annule tous les points de restauration système, supprime les points de restauration système déjà enregistrés. Il met en lecture seule (non modifiable), les attributs cachés et fichiers système, crée des entrées de contrôle d'accès et utilise un verrouillage exclusif sur les fichiers pour restreindre les accès et les privilèges et pour interdire la suppression.

On trouve plusieurs dénomination de ce ver : Win32/Conficker.D (MS OneCare), W32/Confick-G (Sophos), Trojan.Win32.Pakes.ngs (Kaspersky), Downadup... Une façon de s'apercevoir que le ver s'est implanté sur une machine peut être un accès soudain à l’un des fameux sites Ask.com, Baidu, Facebook, Google, Imageshack.us, rapidshare.com, W3.org, or Yahoo! C’est de cette façon que le ver teste si votre PC est connecté à Internet.

L' ACEI, autorité canadienne pour les enregistrements Internet, l'organisme qui gère les noms de domaine point-ca, a mis en place des mesures pour contrer la propagation du ver Conficker, qui passera en vitesse grand V dès le premier avril.

En effet, à compter d'avril, Conficker se connectera non plus à 250 domaines, mais plutôt à 50 000 domaines, générés aléatoirement. Plus d'ordinateurs devraient donc être infectés, ce qui agrandira le réseau d'ordinateurs zombies prêts à attaquer, ce qui pourrait mettre en péril l'intégrité du réseau Internet.

Depuis qu'elle agit comme registre des domaines point-ca, l'ACEI mise sur la confiance que témoignent les Canadiens envers les sites point-ca. Dans cette optique, elle souhaite éviter que des domaines point-ca soient utilisés pour propager le ver.

L'ACEI a donc listé les domaines potentiellement utilisables par Conficker, et les a isolés. Ainsi, ils ne pourront pas être enregistrés, à moins que le demandeur fournisse des preuves sur la légitimité de ses intentions.

Finalement, les noms de domaines actuellement enregistrés mais susceptibles d'être utilisés par Conficker seront eux-aussi surveillés.