Actu
Doctor Web : Conficker C passe à un nouveau mode opératoire à partir du 1er Avril
mars 2009 par DrWeb
Doctor Web prévient du danger représenté par une nouvelle variante du ver polymorphe Win32.HLLW.Shadow.based (connu aussi sous les noms Kido/Conficker, ou Conficker C). Ce dernier, qui assure des fonctions essentielles à son botnet, doit adopter un nouveau mode opératoire à compter du 1er avril.
Demain, 1er Avril, le fonctionnement du botnet franchira vraisemblablement une nouvelle étape. Une mise à jour du logiciel malicieux sera, a priori, effectuée sur les ordinateurs infectés par les différentes variantes du ver polymorphe Win32.HLLW.Shadow.based, apparu aux mois de février et mars 2009. Le ver génèrera 50 000 noms de domaines toutes les 24 heures et utilisera 500 de ces domaines pour recevoir des instructions se rapportant à ces tâches. Le processus de mise à jour sera régulé de façon à éviter une charge trop importante sur les serveurs hôtes et s’assurer que les actions malveillantes restent indétectables.
Précisons que Win32.HLLW.Shadow.based utilise, pour sa propagation, différents canaux parmi lesquels les supports amovibles et les disques réseau. Le ver se propager également via le protocole SMB, typiquement utilisé par les réseaux Windows. Pour la création d’accès à distance à l’ordinateur, Win32.HLLW.Shadow.based sélectionne les moyens de création de mots de passe les plus populaires ainsi que les mots de passe présents dans son dictionnaire. Le virus se propage via Internet en utilisant des vulnérabilités éliminées par la mise à jour critique décrite dans le bulletin Microsoft MS08-067.
Doctor Web attire l’attention sur le fait que les machines des utilisateurs qui ne prêtent pas attentions aux infections causent autant de dégâts que Win32.HLLW.Shadow.based lui même. En devenant un zombie du botnet, votre machine aide le ver à se répandre et le botnet à croître.
Les utilisateurs de produits antivirus, sont invités :
• à installer dans les plus brefs délais toutes les mises à jour actuelles sur le système d’exploitation utilisé. En effet, le ver de réseau Win32.HLLW.Shadow.based utilise activement toutes les vulnérabilités des systèmes d’exploitation Windows.
• à effectuer la mise à jour des bases de données virales.
Si votre éditeur ne détecte pas ce ver ou ne l’éradique pas de votre système, nous vous invitons à utiliser la version actuelle de l’utilitaire gratuit de désinfection Dr.Web CureIt ! et à procéder à une analyse du système infecté.
