Conficker.C : la réponse du berger à la bergère
Par Fabien PERIGAUD, lundi 16 mars 2009 à 12:08 :: General :: #287 :: rss
La réponse des créateurs de Conficker suite à l'action coordonnée de Microsoft et de nombreux acteurs internationaux de la sécurité s'est faite attendre, mais a finalement vu le jour sous la forme d'une nouvelle variante : Conficker.C.
Les auteurs ne pouvaient en effet laisser à l'abandon leur fantastique botnet, privé de tout mécanisme de mise à jour, les domaines utilisés par les variantes A et B ayant été pré-enregistrés. Une variante B++ avait vu le jour fin Février, afin d'ajouter un mécanisme de mise à jour "peer-to-peer", lors de la tentative d'exploitation de la vulnérabilité MS08-067 par l'un de ses congénères.
Début mars a vu la naissance de la variante C, implémentant les mécanismes suivants pour se rendre encore plus coriace :
- Terminaison des programmes contenant l'une des chaînes suivantes dans leur nom de fichier :
- Le ver vérifie maintenant la date du jour en envoyant des requêtes aléatoires vers l'un des noms de domaines suivants codés en dur :
- Génération de 50000 noms de domaines par jour, au lieu des 250 pour les variantes A et B. Parmi ces 50000, 500 sont choisis pour être utilisés. Et contrairement aux anciennes versions, chacun d'entre eux n'est testé qu'une fois dans la journée, à intervalle aléatoire pour plus de furtivité
- Pour chacun des 500 noms de domaines utilisés, le ver vérifie que ceux-ci ne sont pas résolus vers une adresse locale (10.x.x.x, 172.16-31.x.x, 192.168.x.x), ni vers une adresse appartenant aux plages d'adresses IP que possèdent les acteurs ayant contribué à l'action coordonnée de Microsoft.
- De nouvelles fonctions particulièrement obfusquées ont fait leur apparition dans le code du ver, et celles-ci sont toujours en cours d'étude
Que faut-il retenir de cette nouvelle menace ?
- Il ne sera plus possible de rediriger les noms de domaine vers une adresse interne pour identifier les machines infectées
- Le pré-enregistrement de 50000 domaines par jour va devenir problématique, et on peut s'attendre à voir apparaître les premières payloads téléchargées par Conficker dans les jours à venir (la tentative de mise à jour ne commencera que le 1er Avril 2009)
- L'application du MSRT nécessitera de renommer celui-ci afin qu'il ne soit pas bêtement terminé par le ver avant d'avoir pu effectuer son nettoyage. A noter qu'à l'heure actuelle, le MSRT ne détecte pas cette nouvelle variante