Conficker

Conficker

Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est apparu fin novembre 2008[1]. Ce ver exploite une faille du Windows Server Service utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003 et Windows Server 2008[2]. Conficker est principalement installé sur les machines fonctionnant sous Windows XP. Microsoft a publié un patch pour réparer la faille exploitée par ce ver le 28 octobre 2008[3]. Heise Online estimait qu'il avait infecté au minimum 2 500 000 ordinateurs en date du 15 janvier 2009[4], tandis que Le Guardian donnait une estimation de 3 500 000 ordinateurs infectés[5]. Le 16 janvier 2009, un vendeur de logiciel antivirus — F-Secure — déclarait que Conficker avait infecté presque 9 000 000 ordinateurs[6], ce qui en ferait une des infections les plus largement répandues des années 2000[7]. Le ver était censé lancer une attaque massive le 1er avril 2009 mais finalement celle-ni n'a pas été constatée[8].

Sommaire

Opération

Le ver commence par s'installer dans un ordinateur fonctionnant sous Windows, condition sine qua non à son fonctionnement. Pour ce faire il exploite principalement une faille de svchost.exe. Toutefois, il peut venir de bien des manières, depuis un périphérique amovible infesté (cf. infra) jusqu'à l'infection par un réseau local en cassant le mot de passe d'un utilisateur via un dictionnaire intégré. Le ver n'exploite à aucun moment quelque chose de nouveau, au contraire, depuis une faille connue ayant fait l'objet d'un patch critique jusqu'à la méthode de camouflage, rien de spécial : pas de rootkit, que des méthodes ayant déjà été utilisées. (Excepté peut-être la signature MD6 des mises à jour qui empêchent Conficker d'être « crackable » comme l'était Storm Worm et qui plus est, est à jour[9]).

Quand il est installé dans un PC, Conficker met hors service certaines fonctions du système, telles que Windows Update, le centre de sécurité Windows, Windows Defender et Windows Error Reporting. Depuis sa version B, il tente également de se protéger lui-même, en empêchant par exemple l'accès à certains sites tels que Windows Update et de nombreux autres sites d'antivirus qui pourraient publier une mise à jour permettant de le détecter. Puis il tente de se connecter à de multiples serveurs pseudo-aléatoires, d'où il peut recevoir des ordres supplémentaires pour se propager, récolter des informations personnelles, télécharger et installer des logiciels malveillants additionnels sur les ordinateurs des victimes[10]. Depuis sa version C, le virus a également un module peer-to-peer, tout comme Storm Worm l'avait déjà fait, lui permettant ainsi de se mettre à jour. Le ver s'attache aussi lui-même à certains processus critiques de Windows tel que svchost.exe, explorer.exe et services.exe[11].

Des outils de destruction sont disponibles sur les sites de Microsoft[12] et de Symantec[13]. Comme le virus peut se propager via des périphériques USB (tels qu'une clé USB) qui déclenchent un AutoRun, mettre hors service cette fonction pour les médias externes en modifiant par exemple le Registre Windows est recommandé[14].

Selon F-Secure ... : « En devinant les mots de passe réseau et en infectant les clés USB [..., le] verrouillage des comptes utilisateurs réseau [serait l'un des principaux problèmes rencontrés sur les ordinateurs infectés.] En tentant de connaître les mots de passe réseau, le ver déclenche le verrouillage automatique comme un utilisateur ayant tapé un mot de passe erroné plusieurs fois. Une fois que ce ver infecte une machine, il se protège de façon très agressive. Il se paramètre pour s'exécuter très tôt dans le processus de redémarrage de la machine. Il s'arrange également pour donner les droits d'accès aux fichiers et clés de registre du ver de sorte que l'utilisateur ne puisse ni les supprimer ni les changer »[15].

Réflexions sur son mode opératoire

On remarquera que bien que le ver soit apparu après publication d'un patch de sécurité pour la faille dite MS08-067, il a réussi à exploiter ladite faille de sécurité, cela s'explique par le fait que le patch en question n'est installé que si l'on fait les mises à jour de Windows. Ce qui souligne (comme l'avaient fait d'autres virus) l'importance des mises à jour; malheureusement certaines entreprises, pour des raisons de compatibilité de leurs propres logiciels, ne peuvent se permettre de faire les mises à jour. Ceci les rend très vulnérables, spécialement à la transmission par médias amovibles (généralement de telles entreprises travaillent en réseau "fermé").

Conficker, une fois installé, commence par se protéger en "désactivant" les défenses adverses, puis tente d'évoluer via son système de mise à jour; il n'est toutefois pas évolutif en lui-même : il ne peut pas muter, mais par contre il possède un système de mise à jour. On pourrait donc croire qu'il se contente de s'installer et de se mettre à jour, puisque jusqu'à la version D, c'est ce qu'il fait. Ce serait malheureusement une erreur, car à partir de la version E, il tente d'installer le spambot Waledac et le scareware Spy-Protect 2009 avant de se désinstaller.

Ainsi, si Conficker agit plutôt comme un bot que comme un virus, cela n'enlève rien à sa dangerosité, car il compromet tout de même le système. Et si l'on réfléchit aux conséquences, ne présage rien de bon.

On peut également faire le parallèle avec le SIDA : le « virus » se protège en empêchant l'auto-immunité de travailler et ce sont d'autres virus qui vont profiter de cette faille et achever la victime.

Impacts

Le département de la Défense des États-Unis[16], le ministère de la Défense britannique et le ministère de la Défense français ont été attaqués par le ver. Au Royaume-Uni, il a infecté certains systèmes, dont le NavyStar/N* à bord de navires et sous-marins de la Royal Navy[17], et ceux de 800 ordinateurs d'hôpitaux de la région de Sheffield[18]. En France, il a infecté Intramar, le réseau intranet de la Marine nationale, certains ordinateurs de la base aérienne 107 Villacoublay et de la direction interarmées des réseaux d'infrastructure et des systèmes d'information (DIRISI). Le virus aurait paralysé les 15-16 janvier 2009 les chasseurs Rafale de l'aviation navale, ce que dément le Ministère de la Défense français[19].

Références

  1. Erreur dans la syntaxe du modèle Article(en) « Win32/Conficker », dans [texte intégral (page consultée le 21 avril 2009)] 
  2. (en) « Worst virus in years infects 6.5 mn computers », dans CNN-IBN, 18 janvier 2009 [texte intégral (page consultée le 18 janvier 2009)] 
  3. Erreur dans la syntaxe du modèle Article(en) « Microsoft Security Bulletin MS08-067 », dans , 23 octobre 2008 [texte intégral (page consultée le 19 janvier 2009)] 
  4. (en) « Report: 2.5 million PCs infected with Conficker worm », dans Heise Online, 2009-01-15 [texte intégral (page consultée le 2009-01-16)] 
  5. (en) Jack Schofield, « Downadup worm threatens Windows », dans guardian.co.uk, Guardian News and Media, 15 janvier 2009 [texte intégral (page consultée le 16 janvier 2009)] 
  6. Preemptive Blocklist and More Downadup Numbers (16 janvier 2009). Consulté le 16 janvier 2009.
  7. Erreur dans la syntaxe du modèle Article(en) Barry Neild, « Downadup virus exposes millions of PCs to hijack », dans , CNN, 16 janvier 2009 [texte intégral (page consultée le 18 janvier 2009)] 
  8. David Maume, « Conficker n'est pas passé à l'offensive », dans www.01net.com, 01net, 1er avril 2009 [texte intégral (page consultée le 15 février 2011)] 
  9. (en) Jeff Bertolucci, « Look Who's Reading », dans PC World, 17 janvier 2009 [texte intégral (page consultée le 18 janvier 2009)] 
  10. Erreur dans la syntaxe du modèle Article(en) bchess, « Conficker Worm Attack Getting Worse: Here's How to Protect Yourself », dans , 21 mars 2009 [texte intégral] 
  11. Erreur dans la syntaxe du modèle Article(en) « F-Secure Malware Information Pages », dans , F-secure [texte intégral (page consultée le 18 janvier 2009)] 
  12. Lien Microsoft
  13. Lien Symantec
  14. Erreur dans la syntaxe du modèle Article(en) « Removing and Repairing », dans [texte intégral (page consultée le 18 janvier 2009)] 
  15. Le Monde.fr, Le virus "Conficker" aurait infecté près de 9 millions d'ordinateurs
  16. Under Worm Assault, Military Bans Disks, USB Drives, paru le 19 novembre 2008, sur le site Wired News.
  17. (en)Lewis Page, « MoD networks still malware-plagued after two weeks », dans The Register, 20 janvier 2009 [texte intégral (page consultée le 6 février 2009)] 
  18. (en)Chris Williams, « Conficker seizes city's hospital network », dans The Register, 20 janvier 2009 [texte intégral (page consultée le 6 février 2009)] 
  19. Jean-Dominique Merchet, « Les armées attaquées par un virus informatique », dans Libération, 5 février 2009 [texte intégral (page consultée le 6 février 2009)] 

Liens externes

v · Logiciels malveillants et menaces
Virus de boot • de fichier • macrovirus • de script Crystal Clear app virus detected.png
Vers de réseau • de courrier électronique • Internet • IRC
Chevaux de Troie porte dérobéedroppernotificateurlogiciel espion
Autres menaces exploitpublicielroguecomposeurenregistreur de frapperootkitcanularpharming

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Conficker de Wikipédia en français (auteurs)

Игры ⚽ Нужен реферат?

Regardez d'autres dictionnaires:

  • Conficker — Common name Aliases Mal/Conficker A(Sophos) Win32/Conficker.A (CA) W32.Downadup (Symantec) W32/Downadup.A (F Secure) Conficker.A (Panda) Net Worm.Win32.Kido.bt ( …   Wikipedia

  • Conficker — (auch bekannt unter Downup, Downadup, kido und Worm.Win32/Conficker) ist ein Computerwurm, der erstmals im November 2008 registriert wurde. [1] Der Wurm soll auch als Dumprep bekannt sein. Im Zusammenhang mit Dumprep existiert das Problem, dass… …   Deutsch Wikipedia

  • Conficker — Conficker, también conocido como Downup, Downandup y Kido, es un gusano informático que apareció en octubre de 2008, que ataca el sistema operativo Microsoft Windows.[1] El gusano explota una vulnerabilidad en el servicio Windows Server usado por …   Wikipedia Español

  • Conficker — (также известен как Downup, Downadup и Kido)  один из опаснейших из известных на сегодняшний день компьютерных червей. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008. Атакует… …   Википедия

  • Conf*cker — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Downadup — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Downup — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Con****er — Conficker Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Y …   Wikipédia en Français

  • Conf*cker — Conficker Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Y …   Wikipédia en Français

  • Dan Kaminsky — Kaminsky in 2007. Occupation Computer security researcher Known for Discovering the 2008 DNS cache poisoning vulnerability Dan Kam …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”