info utiles - BitDefender : le ver Conficker ou Downadup, maitrisé - Sécurité

Sécurité : BitDefender : le ver Conficker ou Downadup, maitrisé

Posté par JerryG le 16/2/2009 0:00:00 Articles du même auteur

On apprenait récemment que Microsoft offrait une récompense pour la tête du créateur du ver Conficker ou Downadup, qui cause bien des soucis sur les PC des internautes innocents et bien les chercheurs de BitDefender ont déjà mis au point un antidote.

Win32.Worm.Downadup, un ver informatique qui se répand en utilisant une vulnérabilité du service serveur Windows RPC a été détecté par BitDefender®. Ce ver (aussi appelé Conficker ou Kido) n'est pas nouveau en soi.

Il est apparu pour la première fois fin Novembre 2008, exploitant la vulnérabilité MS08-067 pour se répandre facilement à travers les réseaux locaux et installer des programmes malveillants (programmes rogues) sur les ordinateurs infectés.

Fin décembre, les Laboratoires BitDefender avaient découvert une nouvelle version de ce ver appelée Win32.Worm.Downadup.B. Le malware présente de nouvelles caractéristiques, outre son mode de propagation et des signes d'amélioration.

Le ver utilise des clés USB pour se diffuser. Il se copie dans un dossier aléatoire à l'intérieur du répertoire RECYCLER (utilisé par la corbeille pour stocker les fichiers supprimés) et crée un fichier autorun.inf dans le dossier racine du lecteur infecté. Le ver s'exécute alors automatiquement si le lancement automatique est autorisé.

Le ver a également corrigé certaines fonctions TCP afin de bloquer l'accès aux sites Internet liés à la sécurité informatique en filtrant certaines chaînes de caractères contenues dans chaque adresse. Cela le rend encore plus difficile à éliminer puisqu'il est presque impossible de recueillir des informations à son sujet à partir d'un ordinateur infecté.

De plus, il supprime certains droits d'accès de l'utilisateur afin de protéger ses fichiers.

Le ver est également conçu de façon à ne pas être détecté par les antivirus : il travaille avec des interfaces API rarement utilisées afin d'éviter les technologies de virtualisation. Il empêche les mises à jour Windows et certains trafics réseau, en optimisant les caractéristiques de Vista pour faciliter sa propagation.

Win32.Worm.Downadup.B a un algorithme de génération de noms de domaine similaire à celui trouvé dans des botnets comme Rustock. Il compose 250 domaines par jour et vérifie certains d'entre eux pour effectuer des mises à jour ou télécharger et installer d'autres fichiers.

En raison de ses caractéristiques (un système extrêmement récent, une bonne protection) et car beaucoup de gens ne font pas de mises à jours régulières de leur antivirus, ce ver pourrait devenir un rival aux botnets existants comme Storm ou Srizbi.

Pour plus d'informations techniques, vous pouvez consulter le blog Malwarecity (Malwarecity Blog) et la description de ce ver informatique (déscription du ver).

Un outil de suppression est également disponible sur le site

Note: 0.00 (0 votes) - Noter cet article -

Article précédent - Article suivant

Créer un fichier PDF à partir de cet article

Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.