Nouvelle activité suspecte de Conficker

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 10 avril 2009 à 11h26
00C8000001292804-photo-logo-virus.jpg
Certains l'appellaient le plus gros cyber poisson d'avril jamais créé. Pourtant, si au premier du mois l'activation du ver Conficker/Downadup ne s'est pas avérée aussi virulente que les spécialistes l'avait pronostiquée, ces derniers prévenaient des jours à suivre.

Et pour cause, le laboratoire de sécurité de Trend Micro explique qu'une activité suspecte a été observée sur l'une de ses machines de test infectée de Downadup. « Un nouveau fichier est apparu dans le dossier 'Windows Temp' », explique l'expert Ivan Macalintal. « En regardant de plus près les propriétés du fichier, celui-ci aurait été créé le 7 avril 2009 à 7h41 et 21 secondes précisément ».

En analysant l'activité de la machine, Trend Micro n'a enregistré aucun transfert de données via le protocole HTTP le 7 avril entre 7h40 et 7h42. En revanche, un transfert de 134,880 bytes a été noté via le port TCP 5114, généralement utilisé par les logiciels peer-to-peer ; mais aussi par Conficker lui-même pour se mettre à jour. Cette nouvelle version est désormais connue sous le nom de WORM_DOWNAD.E et efface systématiquement toute trace d'activité sur la machine de la victime. La firme note aussi la date du 3 mai 2009 à partir de laquelle cette variante sera désactivée sans plus d'informations.

Par la suite Trend Micro élucida une partie du mystère et rapporte que le 7 avril dernier à 7h41 et 21 secondes précises le ver a tenté de se connecter au serveur de goodnewsdigital.com et de télécharger un fichier chiffré. Le serveur en question fut précédemment utilisé par des hackers pour installer à l'insu des victimes un malware imitant un véritable logiciel de sécurité (Fake/Rogue AntiVirus). Selon les spécialistes, cela pourrait signifier que les auteurs de Conficker sont bien motivés par le gain l'argent. De toute évidence, et même s'il s'agit d'un leurre, la menace n'est pas à prendre à la légère.

02019806-photo-fake-rogue-antivirus.jpg
Guillaume Belfiore
Par Guillaume Belfiore
Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles