Sécurité Proactive
 

Mise en garde de Norman contre le ver W32/Conficker - la menace subsiste

Communiqué de presse

Paris, 12 mars 2009 – W32/Conficker est une famille de vers qui se propage sur le réseau ; elle est responsable de l’infection de millions d’ordinateurs depuis sa première détection, au cours de l’automne 2008. Le ver est difficile à reconnaître, car il n’affiche pas de message ni d’alerte lorsqu’il a infecté un ordinateur.

Il existe plusieurs variantes, et l’une des « propriétés » du ver est sa capacité à se diffuser sur les autres machines via une vulnérabilité du service Windows Server, qui permet l’exécution de code à distance. Un correctif a été publié par Microsoft en octobre 2008. Il devrait empêcher le ver de poursuivre sa propagation. Ce dernier intègre également d’autres mécanismes de prolifération, comme la propagation par les partages de Windows et via les clés USB infectées.

Une nouvelle « version » de W32/Conficker.C est en train de se répandre rapidement. Elle a été découverte pour la première fois en février 2009 et dispose d’un certain nombre « d’améliorations » lui permettant d’esquiver les contre-mesures.

Voici quelques exemples des nouvelles fonctionnalités de W32/Conficker.C :

  • Une fonction d’appel extensive, qui permet la connexion à un « serveur de contrôle et de commande » (centre de commande permettant la gestion des vers installés) chargé des mises à jour et des changements de capacité de charge. Plus de 50 000 nouveaux URL sont générés chaque jour, ce qui rend très aléatoire l’emploi de l’approche du « blocage URL » pour arrêter le ver.
  • Le ver présente de nombreuses variantes (il est polymorphe). Elles sont générées dynamiquement par l’application d’un cryptage polymorphique et par la compression des algorithmes.
  • Le ver désactive les fonctions antivirus et anti-espions, ainsi que les services de sécurité et les « outils système/d’expertise », tels que filemon, regmon, wireshark, etc.

Ce que fait Norman pour assurer la détection et la protection :

  • Les signatures des nouvelles variantes sont ajoutées « à la volée », ce qui assure la protection contre ces variantes.
  • La signature DNA Matching de plusieurs versions du ver est incluse dans les produits antivirus de Norman.

Ce ver a été initialement détecté par les produits antivirus de Norman le 27 novembre 2008. Les dernières variantes sont ajoutées continuellement.

Pour éliminer totalement le ver et ses composants nuisibles, nous vous recommandons d’utiliser Norman Malware Cleaner. Des correctifs sont disponibles pour ces vulnérabilités via le mécanisme de mise à jour automatique de Windows – pour les systèmes prévus à cet effet. Les mises à jour peuvent également être téléchargées à partir du lien http://windowsupdate.microsoft.com.

Norman conseille à tous les utilisateurs affectés de télécharger les mises à jour de sécurité dès que possible afin de se protéger contre les éventuelles exploitations de ces faiblesses.

Si vous souhaitez en savoir plus sur W32/Conficker.

Pour tout renseignement, veuillez contacter :

Are Føllesdal Tjønn, Directeur technique, +47 415 39 750

NORMAN FRANCE
Fabrice Ancel - Responsable des Ventes France
Pascal LAMBERIEUX - Directeur Produits
Tél. : 01 42 99 94 14
fabrice.ancel@norman.fr / pla@norman.fr

À propos de Norman
La compagnie Norman ASA, fondée à Oslo, Norvège, en 1984, est un leader mondial et un pionnier dans le domaine des solutions proactives de sécurité du contenu et des outils d’expertise contre les nuisances logicielles. Norman propose des outils d’analyse des nuisances, de sécurité du réseau et de protection des points d’accès répondant à tous les besoins des clients. Les solutions de Norman sont disponibles par le biais des filiales de Norman et d’un réseau de partenaires répartis dans le monde entier. www.norman.com