On aurait pu le croire endormi… mais une mise à jour complète du ver Conficker est actuellement transmise depuis la Corée du Sud vers les ordinateurs déjà infectés, conférant à cet organisme virtuel de nouvelles capacités de dissimulation.

au sommaire


    Virus informatique. Source commons

    Virus informatique. Source commons

    La mise en activité du ver, annoncée pour le premier avril, avait finalement fait long feu. Peut-être grâce aux multiples avertissements et mises en garde des éditeurs de logiciels et de produite de sécurité. Mais il n'était qu'endormi...

    Selon la société californienne (basée au Japon) Trend Micro, Conficker aurait été réactivé sur les ordinateurs qu'il infectait déjà, stimulé par la réceptionréception d'une mise à jour depuis un réseau localisé quelque part en Corée du Sud.

    Les éditeurs d'antivirus ont relevé une modification profonde du code du ver, qui exploite désormais une technologie de rootkit, très difficilement détectable et basée sur l'ouverture d'une porte dérobéeporte dérobée sur l'ordinateur infecté. Son fonctionnement était auparavant basé sur la technologie P2P, et c'est précisément par un nœudnœud IP de ce réseau P2P hébergé en Corée du Sud que les mises à jour sont acheminées à destination des machines hôteshôtes. Le nouveau ver a reçu l'appellation officielle de WORM_DOWNAD.E.

    Un air de déjà vu…

    Dans un grand souci de discrétion, du moins avant une manifestation quelque peu plus bruyante, le nouveau venu nettoie toutes ses traces de passage sur l'ordinateur qui l'accueille, y compris dans le registre (dans la Ruche). Il établit ensuite le contact avec divers sites connus, tels que MSNMSN.com, eBay.com, CNN.com ou AOL.com. Ces connexions lui servent à tester les potentialités de l'ordinateur local et définir sa stratégie. A défaut d'ouverture vers le monde extérieur, il recherche des IP locales.

    Un autre comportement, tout aussi intéressant, a été signalé par Trend Micro. Lors de ses connexions, Conficker tente d'accéder au domaine goodnewsdigital, et y télécharge un petit fichier appelé print.exe. Or, ce domaine et ce fichier sont déjà utilisés par un autre ver, Waledac, une évolution du virus Storm. Celui-ci est connu de triste mémoire pour avoir constitué, en 2007 et 2008, le plus grand réseau d'ordinateurs zombiesordinateurs zombies. Selon beaucoup de spécialistes, cette constatation attesterait d'un lien de parenté certain entre Conficker et Waledac-Storm, et donc entre leurs concepteurs.