En bref, le florilège quotidien des choses à lire absolument à propos de Conficker : – Sylvain Sarméjeanne du Cert Lexsi revient sur les utilitaires de détection et d’éradication du virus… comme nous le faisons remarquer dans notre précédente édition mentionnant la « solution du honeynet », à ne mettre qu’entre des mains expertes.
– Du même Cert Lexsi, Fabien Perigaud décrit par le menu l’infernal mécanisme de communication peer to peer utilisé par les fonctions de « mise à niveau » de Conficker. Les deux chercheurs publient leur texte –travail de romain- à la fois en Français et en Anglais.
– Vinay Mahadik et Ravi Balupari de l’Avert plongent eux aussi dans le dump réseau du virus, notamment sur les mécanismes de vérification de date courante et les systèmes de détection de présence d’un « pair » également infecté. Le « passage à l’an 2009 » de ce premier avril est dénué de bug chez les auteurs de virus.
– F-Secure traite le sujet de manière humoristique… dommage, en ce premier avril, de n’avoir lu encore aucun article sur les dangers de Conficker dans les noyaux CP/M ou les ZX81
– Impressionnant travail de bénédictin effectué par le Sans, qui dresse un tableau de toutes les ressources pouvant servir à lutter contre l’infection.
– Tout aussi impressionnant référentiel sur le sujet tenu par l’Université de Bonn, émaillé d’outils à télécharger pour détecter et éradiquer le ver. Certains passages sont directement inspirés par l’inévitable…
– … Analyse du Honeynet Project intitulé (https://www.honeynet.org/files/KYE-Conficker.pdf) par Felix Leder et Tillmann Werner
– Travail récapitulatif également du côté du « Conficker Working Group » « Know Your Enemy: Containing Conficker, To Tame A Malware », un Wiki truffé de conseils s’adressant aux personnes de tous niveaux techniques, du débutant à l’administrateur confirmé. A noter, cette remarque postée par les administrateurs du Wiki, en date du premier avril : « No one is sure its purpose or mission ».
– Richard Bejtlich se penche plus particulièrement sur le moteur de génération de nom de domaines intégré au virus, ainsi qu’aux dépôts de noms effectifs. Toujours selon Bejtlich, OpenDNS serait toujours capable de bloquer les quelques 50 000 noms de domaine générés chaque jour par Downadup.
– Brian Krebs, qui fête les 4 ans de sa rubrique « Security Fix », commente les statistiques de répartition du botnet dans le monde.. A lire également le papier « premier avril » de Krebs, toujours à propos des ravages de Conficker. On y parle de missiles nucléaires qui passent automatiquement en position d’attaque Defcon 3, de distributeurs de billets devenus fous dans la banlieue de Reykjavik, d’une panne brutale de Big Ben à Londres…
Il s’est produit, en l’espace de 48 heures, plus de littérature et d’analyses de qualité que n’en ont jamais généré durant toute leur vie les virus les plus destructeurs connus à ce jour. Il a également été émis, depuis le 30 mars, un nombre incalculable de « chaines » d’emails clamant à qui voulait bien l’entendre qu’un « déclanchement imminent de la charge d’attaque d’un virus destructeur » allait survenir au début du mois. Pour peu, les mots downadup et conficker mériteraient d’être ajoutés aux filtres bayesiens des clients de messagerie, à côté des termes Viagra, Lottery et « Your account has been suspended »