Downadup/Conficker, un ver qui fait des étincelles

Par Rédaction, secuobs.com
Le 20/01/2009

---

Résumé : Ce malware, qui utilise une faille connue et désormais plusieurs autres méthodes de propagation, a réussi à compromettre en peu de temps près de 10 millions de systèmes de par le monde. - Lire l'article



Depuis les épidémies virales du début des années 2000, qui culminent notamment avec les épisodes Blaster et Sasser, peu de codes malveillants avaient réussi à compromettre rapidement un grand nombre de systèmes au point d’attirer l’attention des médias généralistes.

C’est cependant le cas du virus Downadup/Conficker, qui, selon les estimations de l’éditeur finlandais de logiciels antivirus F-Secure, aurait récemment infecté près de 8,9 millions de postes en seulement 4 jours. Précisons que depuis sa première détection à la fin du mois de novembre 2008, il a été mis à jour, de nouvelles méthodes de propagation ayant été ajoutées.

Contrairement à ses prédécesseurs, ce malware se distingue par une conception avancée. Ainsi, si son moyen de propagation primaire est encore une fois l’exploitation d’une faille RPC, en l’occurrence MS08-067 ( lien ), plusieurs autres méthodes sont désormais à sa disposition pour compromettre d’autres systèmes, notamment au sein des réseaux locaux.

Il utilise par exemple une technique de type « social engineering » pour faire croire aux utilisateurs, lors de l’insertion d’une clé USB, qu’ils cliquent sur « ouvrir le répertoire pour visualiser les fichiers », alors qu’en fait ceux-ci déclenchent l’autorun, entraînant l’infection de leur poste. Fait rare, une technique d’obfuscation (ajout de 90Ko de commentaires) est utilisée sur le fichier autorun.inf.

Par ailleurs, il utilise également une méthode de type brute-force (utilisant un dictionnaire heureusement peu fourni) pour se connecter aux partages réseaux protégés. Cela a éventuellement pour conséquence de bloquer les comptes au bout d’un certain nombre de tentatives, pour les systèmes sur lesquelles cette fonction est activée.

Le mécanisme lui permettant de rester en liaison avec ses créateurs est également particulièrement élaboré. Il s’agit ainsi d’un algorithme utilisant des timestamps récupérées sur des sites publics pour établir une liste, changeant tous les jours, d’URLs pouvant être utilisées pour se mettre à jour. Le nombre d’URL étant élevé (environ 250 nouvelles par jour), il est plus compliqué de toutes les désactiver, d’autant plus que la plupart ne seront finalement pas utilisées.

Ce malware semble donc avoir été conçu par des professionnels, et pourrait éventuellement entraîner la constitution d’un botnet particulièrement important, ou encore permettre à ses créateurs de récolter nombre d’informations confidentielles. La rapidité avec laquelle il s’est propagé semble par ailleurs mettre en évidence un certain relâchement des mesures de sécurité prises par les utilisateurs.

Analyse sur le blog du CERT-LEXSI ( lien )

Blog de F-Secure : lien