Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Une nouvelle variante de Conficker en circulation

Par Ludovic Blin, secuobs.com
Le 09/04/2009


Résumé : Alors que de (trop ?) nombreux observateurs attendaient une mise à jour du malware via HTTP, ce code malveillant a récemment été mis à jour via la méthode P2P.



Le code malveillant Conficker est l'un des malwares les plus répandus actuellement aussi bien dans la presse que sur les ordinateurs des utilisateurs et ce depuis son lancement à la fin de l'année 2008 ( lien ). Probablement développé par des professionnels, il dispose de plusieurs méthodes pour se mettre à jour et donc garder le lien avec ses concepteurs.

Une mise à jour était ainsi prévue le 1er avril, via la méthode HTTP. Rappellons que Conficker dispose d'un algorithme lui permettant de générer des dizaines de milliers d'URL, différentes chaque jour, qui pourront être utilisées par les concepteurs pour envoyer de nouvelles instructions.

Plusieurs équipes d'experts en sécurité avaient donc rapidement réalisé le reverse engineering de l'algorithme en question, de manière à prévoir l'ensemble des domaines pouvant être utilisés par l'équipe responsable du développement de ce malware. Ceux-ci étant attendus au tournant, les domaines avaient été bloqués par une coordination d'acteurs du monde de la sécurité et des infrastructures d'internet, le Conficker Working Group.

Mais c'est finalement via la méthode P2P qu'une nouvelle variante de Conficker aura été mise en circulation, selon le blog de l'éditeur de logiciels antivirus Trend Micro. La nouvelle variante utilise toujours la faille MS08-067 pour se propager, via internet ou le réseau local. Elle ouvre également un serveur HTTP sur le port 5114. Les noms de fichier et de service utilisés sont aléatoires.

Des connexions sont par ailleurs effectuées vers plusieurs sites internet comme par exemple eBay ou Myspace. Enfin, les chercheurs notent que cette variante ne laisse aucune trace sur le système hôte et est prévue pour fonctionner jusqu'au 3 mai 2009.

Fait intéressant, les chercheurs ont également remarqué que la nouvelle version de Conficker cherche à contacter un domaine utilisé par le malware Waledac, suspecté par certains d'avoir une forte ressemblance avec le ver Storm, qui avait défrayé la chronique il y a quelque temps et avait été largement utilisé par le cybercrime.

Le conficker working group ( lien )

Source : Blog de Trend Micro ( lien )