Quels éléments font de Downadup/Conficker un maliciel différent des autres ?

mlab

Rien d’exceptionnel au départ, il utilise pour se propager une « vulnérabilité » de Windows, corrigée dès l’origine par MSFT, mais appliquée de manière très inégale en fonction des postes, et plus rarement encore sur les Windows « piratés ».
Concrètement, les internautes avec un Windows mis à jour automatiquement ne risquent pas grand-chose. Les entreprises sont largement plus touchées.
Cependant, il ne fait, pour ainsi dire, rien de malveillant, à part se répandre. Ce qui ne cadre pas avec le modèle économique de la cybercriminalité d’aujourd‘hui, quasiment uniquement tourné vers le profit. On s’attend donc à quelque chose…
La première évolution majeure du « ver » (B), en revanche est très innovante, car regroupant de nombreuses techniques malveillantes en un seul programme, pour en faire une menace très efficace.
A noter entre autre :

  • 3 méthodes de propagations (internet, réseaux locaux, clefs USB)
  • Géo-localisation et empreintes logicielles pour définir précisément la localisation de la machine infectée ainsi que sa version de Windows et la langue utilisée
  • Différentes méthodes de mise à jour et de contrôle à distance (web ou P2P)
  • Des techniques de défense évoluées: tentatives d’arrêt de programmes de sécurité, chiffrement, blocage des accès aux sites des spécialistes en sécurité…..
  • et plus encore (tous les détails ICI, pour les amateurs)

A ce jour, il semble que la dernière version majeure (C ), qui ne se propage plus, fasse évoluer son modus operandi de mise à jour, à partir du 1ier avril.
Pourquoi faire ?

  • Rien…
  • Installer une version D ?
  • Inciter à l’installation de faux anti-virus ?
  • Envoi de spam massif ?
  • Lancer des attaques en déni de service ? (cf Estonie 2007)
  • Mettre en place un « grid » de calcul parallèle massif pour « casser » des algorithmes de chiffrement ?
  • En gros, toutes les utilisations possibles d’un botnet….

Attention néanmoins au syndrome « bug de l’an 2000 », finalement bien traité en amont et donc quasi inexistant !

De nombreuses compétences et ressources travaillent actuellement sur le sujet, dont la furtivité (élément essentiel de la cybercriminalité) a vécu. Reste en revanche aux internautes et surtout aux entreprises à ne pas prendre la menace potentielle par-dessus la jambe, et éventuellement apprendre de leurs erreurs.