On le croyait fini, neutralisé, mais tant s’en faut. Conficker, un ver informatique créé l’an dernier, fait de nouveaux ravages. On estime à dix millions le nombre d’ordinateurs infectés.
Après la fausse alerte du 1er avril entourant l’attaque virale qui devait s’attaquer aux ordinateurs utilisant le système d’exploitation Windows, bien des gens croyaient ne plus entendre parler du ver informatique Conficker. Malheureusement pour eux, celui-ci est toujours dans notre environnement, et plutôt bien portant.
Il faut dire que, depuis l’alerte manquée du 1er avril, Conficker a bel et bien reçu une mise à jour, soit une semaine plus tard. L’éditeur de logiciels de sécurité Trend Micro confirmait mercredi dernier l’envoi d’une rustine pour redéfinir la mission du ver informatique à des millions d’ordinateurs infectés.
La mise à jour de Conficker a comme mission de s’installer dans tous les ordinateurs précédemment infectés reliés à Internet, en s’assurant de faire disparaître toutes traces de son passage et de sa mise à jour, y compris son passage dans la liste des activités des ordinateurs. Impossible donc pour un utilisateur de détecter la présence ou la mise à jour de Conficker dans son appareil.
Avec cette nouvelle génération de Conficker, aussi appelé par les professionnels de la sécurité WORM_DOWNAD.E, d’autres actions sont à suivre. Par l’analyse de la nouvelle mouture du ver, les gens de Trend Micro savent que celui-ci cessera de fonctionner le 3 mai prochain. Il faut donc en déduire qu’une nouvelle mise à jour sera offerte d’ici là. Une fois en place, le nouveau ver cherche à se brancher sur le site Good News Digital pour y télécharger un fichier encrypté qui complète son installation. Finalement, on sait également que le ver cherche à se brancher de façon aléatoire aux sites MySpace, MSN, eBay. CNN et AOL.
Faux logiciel antivirus
Depuis l’apparition de cette nouvelle génération de Conficker, on observe parallèlement sur le Web une vague d’apparition de fenêtres publicitaires en surimpression qui proposent l’achat d’un faux logiciel antivirus. L’éditeur Trend Micro fait un lien entre les deux phénomènes et affirme que Conficker pourrait générer cette fausse campagne publicitaire. Un moyen rapide de mettre la main sur des numéros de carte de crédit de gens qui veulent se protéger.
Une opération qui n’est pas sans rappeler celle du virus Waledac le mois dernier. Celui-ci publiait une fausse nouvelle de l’agence Reuters concernant une attaque terroriste près du lieu de résidence des internautes. Le faux texte de nouvelle était généré automatiquement en fonction de la géolocalisation de l’internaute qui accédait à la page. Le téléchargement du virus s’effectuait lorsque l’internaute était invité à télécharger une mise à jour du lecteur multimédia Flash pour visionner le reportage.
Pour revenir à Conficker, depuis son déploiement, le ver a réussi à s’infiltrer au sein de réseau informatique appartenant à des organismes généralement très bien protégés. En février, il s’attaquait notamment aux ordinateurs de la défense allemande et, ensuite, c’était au tour de l’aviation militaire française. Quelques réseaux informatiques universitaires, dont celui de l’Université de l’Utah, sont également au tableau des victimes de Conficker.
Des germes un peu partout
En plus de son réseau dormant d’ordinateurs, qu’on estime à plus de 10 millions d’appareils, Conficker cherche toujours à semer ses germes un peu partout sur le Web. Initialement programmé pour prendre le contrôle de 250 sites par jour, Conficker est maintenant passé en vitesse supérieure et s’attaque aujourd’hui à plus de 500 sites par jour, ce qui lui permettrait d’avoir déjà infecté plus de 50 000 sites, qui infectent à leur tour leurs visiteurs.
De son côté, Microsoft n’a pas encore trouvé preneur pour sa récompense de 250 000 $US à qui permettrait de trouver les responsables du ver informatique.
En terminant, malgré les informations qui ont circulé sur Internet pendant la fin de semaine, le service de microblogage Twitter n’a pas été victime du ver Conficker pendant le week-end. On racontait sur certains sites d’infos que le ver avait réussi à s’infiltrer dans le réseau d’ordinateurs de Twitter. Mais c’est plutôt un ver «artisanal» fabriqué par le webmestre du site StalkDaily qui a visité à deux reprises le réseau Twitter, en infectant au passage les profils de plusieurs utilisateurs de Twitter.
