Conficker.D

  • Article

Précisions (31 mars 2009) :

Selon les éditeurs, cette variante est également appelée Conficker.C ou encore Downadup.C. Voici pour référence, le détail des versions telles que nous les décrivons :

- Worm:Win32/Conficker.A : identifié le 21 novembre 2008,
- Worm:Win32/Conficker.B : identifié le 29 décembre 2008,
- Worm:Win32/Conficker.C : identifié le 20 février 2009 (autre nom : Conficker B++),
- Worm:Win32/Conficker.D : identifié le 4 mars 2009 (autres noms : Conficker.C ou Downadup.C).

-------

Pour les personnes qui recherchent des informations sur cette variante,

- la liste des dossiers où il se copie a été allongée,

- il utilise encore plus de noms de services aléatoires,

- la liste des domaines auxquels il empêche l'accès a été allongée (vous ne pouvez pas lire cette page d'une machine infectée par la variante D),

- les processus dont le nom contient notamment "confick", "downad", "hotfix", "kb890", "kb958", "mrt", "ms08-06" sont tués dès leur lancement (afin d'empêcher l'exécution d'un outil de nettoyage ou l'application du correctif),

- la liste des TLD utilisés a été enrichie de 40 nouvelles possibilités...

À ce sujet, à partir du 1er avril, il est possible que Conficker.D fabrique une URL parmi 50000 possibilités afin de télécharger des fichiers (et mettre à jour ses fonctionnalités, devenir outil de vol de données et/ou de destruction...), parmi les TLD de 100 pays différents...

Pour chaque période de 24 heures, 500 URL de cette liste seront visitées... Ce qui rend quasiment impossible le blocage des noms de domaines ou leur filtrage.

Tous les détails techniques sont ici : https://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D