Nouvelle activité suspecte de Conficker

Guillaume Belfiore
Lead Software Chronicler
10 avril 2009 à 11h26
0
00C8000001292804-photo-logo-virus.jpg
Certains l'appellaient le plus gros cyber poisson d'avril jamais créé. Pourtant, si au premier du mois l'activation du ver Conficker/Downadup ne s'est pas avérée aussi virulente que les spécialistes l'avait pronostiquée, ces derniers prévenaient des jours à suivre.

Et pour cause, le laboratoire de sécurité de Trend Micro explique qu'une activité suspecte a été observée sur l'une de ses machines de test infectée de Downadup. « Un nouveau fichier est apparu dans le dossier 'Windows Temp' », explique l'expert Ivan Macalintal. « En regardant de plus près les propriétés du fichier, celui-ci aurait été créé le 7 avril 2009 à 7h41 et 21 secondes précisément ».

En analysant l'activité de la machine, Trend Micro n'a enregistré aucun transfert de données via le protocole HTTP le 7 avril entre 7h40 et 7h42. En revanche, un transfert de 134,880 bytes a été noté via le port TCP 5114, généralement utilisé par les logiciels peer-to-peer ; mais aussi par Conficker lui-même pour se mettre à jour. Cette nouvelle version est désormais connue sous le nom de WORM_DOWNAD.E et efface systématiquement toute trace d'activité sur la machine de la victime. La firme note aussi la date du 3 mai 2009 à partir de laquelle cette variante sera désactivée sans plus d'informations.

Par la suite Trend Micro élucida une partie du mystère et rapporte que le 7 avril dernier à 7h41 et 21 secondes précises le ver a tenté de se connecter au serveur de goodnewsdigital.com et de télécharger un fichier chiffré. Le serveur en question fut précédemment utilisé par des hackers pour installer à l'insu des victimes un malware imitant un véritable logiciel de sécurité (Fake/Rogue AntiVirus). Selon les spécialistes, cela pourrait signifier que les auteurs de Conficker sont bien motivés par le gain l'argent. De toute évidence, et même s'il s'agit d'un leurre, la menace n'est pas à prendre à la légère.

02019806-photo-fake-rogue-antivirus.jpg
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page