A notre gauche, le champion en titre, F-Secure qui, sur son blog, titre « Downadup, Good News / Bad News ». Les « bad news » c’est que Conficker est toujours vivant, quelque part sur des millions de machines –entre 2,1 et 2,5 millions d’adresses IP uniques, donc probablement des dizaines de millions de postes cachés derrière une NAT. Mais il y a des bonnes nouvelles tout de même. Et notamment un communiqué de victoire de l’Internationale des Opérateurs de Routage Unifiés et autres gestionnaires de DNS, lesquels affirment avoir sans confusion déconfit Conficker en barrant tout nom de domaine généré par ledit virus. Tous les domaines prévus sont bannis, Downadup ne pourra que s’étioler faute de remise à niveau. Et puis, la prime à la délation promise par Microsoft pourrait bien nous réserver des surprises, nous promettent les gourous du labo F-Secure. Après tout, l’auteur de Netsky a bien été vendu par ses proches…
Ne nous emballons pas, tempère Phillip Porras de SRI International. Les techniques de mise à jour et de rendez-vous de Conficker sont probablement aussi complexes que l’abordage d’un vaisseau Progress sur une station spatiale. Et le fait de bloquer le mécanisme de réception « par les noms de domaine » pourrait très bien contraindre les bot herders à activer une backdoor dans le programme. Laquelle servirait alors à débloquer la procédure de mise à jour qui, par la suite, suivrait le déroulement presque « classique » de récupération de sa « charge utile » par le truchement de son système d’échange P2P, tel que décrit par Eric Chien. Notons au passage que les statistiques d’infection calculées par Porras sont un peu plus importantes que celles de F-Secure, avec 4,5 millions d’IP infectées.
Downadup est un peu comme ces séries américaines qui, de saison en saison, ne cessent d’étonner le spectateur à grand renfort de retournements spectaculaires et de rebondissements inattendus.