Mercredi 30 Avril 2025
Rechercher 🔍

Conficker - Définition

Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.
- Introduction - Opération - Impacts

Introduction

Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est apparu fin novembre 2008. Ce ver exploite une faille du Windows Server Service utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003 et Windows Server 2008. Conficker est principalement installé sur les machines fonctionnant sous Windows XP. Microsoft a publié un patch pour réparer la faille exploitée par ce ver le 28 octobre 2008. Heise Online estimait qu'il avait infecté au minimum 2 500 000 ordinateurs en date du 15 janvier 2009, tandis que Le Guardian donnait une estimation de 3 500 000 ordinateurs infectés. Le 16 janvier 2009, un vendeur de logiciel antivirus — F-Secure — déclarait que Conficker avait infecté presque 9 000 000 ordinateurs, ce qui en ferait une des infections les plus largement répandues des années 2000. Le ver était censé lancer une attaque massive le 1er avril 2009 mais finalement celle-ni n'a pas été constatée. [réf. souhaitée]

Opération

Le ver commence par s'installer dans un ordinateur fonctionnant sous Windows, condition sine qua non à son fonctionnement. Pour ce faire il exploite principalement une faille de svchost.exe. Toutefois, il peut venir de bien des manières, depuis un périphérique amovible infesté (cf. infra) jusqu'à l'infection par un réseau local en cassant le mot de passe d'un utilisateur via un dictionnaire intégré. Le ver n'exploite à aucun moment quelque chose de nouveau, au contraire, depuis une faille connue ayant fait l'objet d'un patch critique jusqu'à la méthode de camouflage, rien de spécial : pas de rootkit, que des méthodes ayant déjà été utilisées. (Excepté peut-être la signature MD6 des mises à jour qui empêchent Conficker d'être « crackable » comme l'était Storm Worm (en) et qui plus est, est à jour).

Quand il est installé dans un PC, Conficker met hors service certaines fonctions du système, telle que Windows Update, le centre de sécurité Windows, Windows Defender et Windows Error Reporting. Depuis sa version B, il tente également de se protéger lui-même, en empêchant par exemple l'accès à certains sites tels que Windows Update et de nombreux autres sites d'antivirus qui pourraient publier une mise à jour permettant de le détecter. Puis il tente de se connecter à de multiples serveurs pseudo-aléatoires, d'où il peut recevoir des ordres supplémentaires pour se propager, récolter des informations personnelles, télécharger et installer des logiciels malveillants additionnels sur les ordinateurs des victimes. Depuis sa version C, le virus a également un module peer-to-peer, tout comme Storm Worm (en) l'avait déjà fait, lui permettant ainsi de se mettre à jour. Le ver s'attache aussi lui-même à certains processus critiques de Windows tel que svchost.exe, explorer.exe et services.exe.

Des outils de destruction sont disponibles sur les sites de Microsoft et de Symantec. Comme le virus peut se propager via des périphériques USB (tels qu'une clé USB) qui déclenchent un AutoRun, mettre hors service cette fonction pour les médias externes en modifiant par exemple le Registre Windows est recommandé.

Selon F-Secure ... : « En devinant les mots de passe réseau et en infectant les clés USB [..., le] verrouillage des comptes utilisateurs réseau [serait l'un des principaux problèmes rencontrés sur les ordinateurs infectés.] En tentant de connaître les mots de passe réseau, le ver déclenche le verrouillage automatique comme un utilisateur ayant tapé un mot de passe erroné plusieurs fois. Une fois que ce ver infecte une machine, il se protège de façon très agressive. Il se paramètre pour s'exécuter très tôt dans le processus de redémarrage de la machine. Il s'arrange également pour donner les droits d'accès aux fichiers et clés de registre du ver de sorte que l'utilisateur ne puisse ni les supprimer ni les changer ».

Réflexions sur son mode opératoire

On remarquera que bien que le ver soit apparu après publication d'un patch de sécurité pour la faille dite MS08-067, il a réussi à exploiter ladite faille de sécurité, cela s'explique par le fait que le patch en question n'est installé que si l'on fait les mises à jour de Windows. Ce qui souligne (comme l'avaient fait d'autres virus) l'importance des mises à jour; malheureusement certaines entreprises, pour de raisons de compatibilité de leurs propres logiciels, ne peuvent se permettre de faire les mises à jour. Ceci les rend très vulnérable, spécialement à la transmission par médias amovibles (généralement de telles entreprises travaillent en réseau "fermé").

Conficker, une fois installé, commence par se protéger en "désactivant" les défenses adverses, puis tente d'évoluer via son système de mise à jour; il n'est toutefois pas évolutif en lui-même : il ne peut muter, mais par contre il possède un système de mise à jour. On pourrait donc croire qu'il se contente de s'installer et de se mettre à jour, puisque jusqu'à la version D, c'est ce qu'il fait. Ce serait malheureusement une erreur, car à partir de la version E, il tente d'installer le spambot Waledac et le scareware Spy-Protect 2009 avant de se désinstaller.

Ainsi, si Conficker agit plutôt comme un bot que comme un virus, cela n'enlève rien à sa dangerosité, car il compromet tout de même le système. Et si l'on réfléchit aux conséquences, ne présage rien de bon.

On peut également faire la parallèle avec le SIDA : le « virus » se protège en empêchant l'auto-immunité de travailler et ce sont d'autres virus qui vont profiter de cette faille et achever la victime.

Impacts
- Introduction - Opération - Impacts
miniature
Une gigantesque muraille de 10 milliards d'années-lumière dans l'Univers 🔭
miniature
Benchmark: les processeurs quantiques sous la loupe, quels sont les meilleurs ? 🏆
miniature
Découverte d'une "fourmi de l'enfer" vieille de 113 millions d'années 🐜
miniature
Le rôle méconnu de la décharge dans l'usure des batteries 🔋
miniature
La fonte des glaces déplace les pôles: quelles conséquences ? 🌍
miniature
L'appareil photo de votre smartphone peut détecter l'antimatière 📱
miniature
Cette étoile-zombie peut déformer les atomes à distance, et elle fonce dans notre galaxie ⭐
miniature
Un mosasaure géant découvert dans le Mississippi 🦕
miniature
Problème, les galaxies meurent plus tôt que prévu 🌀
miniature
Ce lien entre cannabis et troubles psychotiques 🧠
miniature
Une révolution dans le refroidissement des puces électroniques ? 🔥
miniature
Des parasites sous-marins filmés en train de vampiriser un poisson des abysses 👀
miniature
Lucy survole un astéroïde en forme de cacahuète 🚀
miniature
Découverte du fossile d'un dinosaure géant méconnu 🦕
miniature
Mars avait-elle un champ magnétique unilatéral ? 🔍
miniature
Des chimpanzés surpris à sociabiliser avec de l'alcool 🍇
miniature
Découverte macabre: ce gladiateur a été tué par un lion il y a 1 800 ans... en Grande-Bretagne 🦁
miniature
L'électroluminescence du graphène, une découverte inattendue ! 💡
miniature
Cet objet métallique n'a pas été fabriqué sur Terre 🔧
miniature
1
Cette innovation permet aux voitures électriques de charger 6 fois plus vite par grand froid ⚡
miniature
Cette super-Terre brûle les attentes des astronomes 🔥
miniature
Découverte exceptionnelle de fossiles d'amphibiens géants 🐸
miniature
Voici ce qui a causé les toutes premières inégalités de richesse 💰
miniature
Quelle est cette zone étrange dans l'Atlantique Nord ? 🌊
miniature
Cette planète orbite à angle droit autour de deux étoiles, une première ! 🔭
miniature
Des cellules solaires flexibles battent des records d'efficacité ⚡
miniature
Ce dispositif reproduit les trous noirs et trous blancs en laboratoire 🌀
miniature
Record établi pour un transistor en diamant 💎
miniature
Les sursauts radio rapides trahissent enfin leur origine cosmique 📡
miniature
Ces biomarqueurs sanguins prédisent la démence 10 ans à l'avance 🧠
miniature
Découverte majeure: des médicaments 23 fois plus efficaces contre le cancer 💊
miniature
Les oscillations collectives des foules humaines denses 🔁
miniature
Une forme inconnue de la matière détectée au LHC ? ⚛️
miniature
Le sel, un facteur méconnu de l'obésité ? 🧂
miniature
L'Univers en rotation, une réponse élégante à ce problème astrophysique majeur 🌀
miniature
Découverte tectonique majeure sous les Petites Antilles 🌍
miniature
1
Peut-on geler en chauffant ? ❄️
miniature
Une peau électronique pour doter les robots du sens du toucher 👌
miniature
Invention d'un bois semi-transparent avec une technique...surprenante ! 🌳
miniature
Le cancer inscrit dans nos gènes dès la naissance ? 🧬
miniature
Des supernovae à l'origine de deux extinctions massives sur Terre ? 💥
miniature
Le passé verdoyant du plus grand désert du monde 🐪
miniature
Après les campagnes antivaccins, la rougeole revient en force aux États-Unis 😷
miniature
Des puces quantiques plus proches que jamais ⚡
miniature
1
Pourrons-nous bientôt communiquer avec les dauphins grâce à l'IA ? 🐬
miniature
En déplaçant deux atomes, des chercheurs transforment le LSD en médicament surpuissant 💊
miniature
Des scientifiques parviennent à produire efficacement du carburant à partir de monoxyde de carbone 🛢️
miniature
Que nous apprend la découverte de cet insecte de 16 millions d'années ? 🐜
miniature
Avec 91km, l'accélérateur FCC fera passer le LHC pour un jouet ⚛️
miniature
Cette vitamine développe les fonctions cognitives du cerveau 🧠
Page générée en 0.085 seconde(s) - site hébergé chez Contabo
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
A propos - Informations légales
Version anglaise | Version allemande | Version espagnole | Version portugaise