En fait, c’est le même, sous 3 noms différents, mais très intéressant (& inquiétant) tout de même. Cela faisait longtemps (6 ans avec les « Slammer », « Blaster »…) que l’on n’avait pas vu d’infection de cette ampleur. Il touche toutes les versions de Windows XP et de Windows Vista. Au moins 10 millions de machines seraient touchées à ce jour….dont évidement certaines entreprises ou organisations importantes.
Pour mémoire :
- Le 23 octobre dernier, Microsoft annonçait la faille et le correctif associé « MS08-67″ (soit le 67ieme de l’année 2008).
- Le 21 novembre, les premières variantes exploitant cette vulnérabilité sont détectées et donc les premières signatures sont publiées.
- Le 30 décembre, la souche W32.Downadup.B est identifiée et les signatures sont mises à jour dans la foulée.
Sans vouloir revenir sur le fonctionnement de la bête, largement détaillé ici et là (voir plus bas, entre autre), sa propagation repose sur des défauts de mise à jour des systèmes d’exploitation ainsi que des solutions de sécurité. C’est plutôt du côté processus de mise à jour qu’il faut rechercher les failles.
La mise à jour des systèmes, TOUS les systèmes, est un élément fondamental de la sécurité. En effet, à la lumière du « Symantec Internet Security Threat Report - Volume XIII, on constate que même si le pourcentage de maliciels basés sur l’exploitation d’une vulnérabilité n’est que de 10%, cela reste un des vecteurs de propagation les plus efficaces (17% des mécanismes), et le premier sans interaction humaine directe.
A noter au passage que, bien entendu, parmi les systèmes infectés, on trouve en première ligne les Windows « tombés d’un camion », dont la fonction « Windows update » aura été désactivé. Il en résulte une corrélation entre les taux de propagation élevés du ver et les régions ou l’on trouverait le plus grand nombre de copies illégales de Windows…
10 pays les plus infectés par Downadup (Source Symantec Corp.)
Piracy rate by region (Source BSA - Global Piracy Study 2007)
De plus, outre sa propre propagation dont l’arrêt représente déjà un problème important, il ne semble pas à ce jour qu’une véritable « charge utile » ne soit déployée. Ce qui ne colle pas avec les motivations habituelles du côté obscur, clairement tournées vers le profit.
A suivre donc.
Au fait, plein de détails techniques et aussi le « REMOVAL TOOL » gratuit là : http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1