Certaines semaines s’achèvent dans le calme et la béatitude. Certaines seulement. Conflicker/downadup, que l’on sait réellement empoisonnant, réserve encore quelques surprises. Désagréables bien entendu. F-Secure continue son analyse de la situation (http://www.f-secure.com/weblog/archives/00001580.html) et comptabilisait mercredi dernier 3,5 millions d’IP uniques infectées. 1 million de plus que la veille. La situation est grave mais pas désespérée.
Dans les labos de l’Avert, on dissèque du virus –toujours le même- pour s’apercevoir que ces tripes sont farcies de ruby. La charge utile servant à la propagation du ver repose en fait sur un code Metasploit très précis, ms08_067_netapi.rb. Le niveau de correctif et de service pack, la localisation du noyau, son numéro de version… en un mot comme en cent, les auteurs de malwares font plus que s’inspirer des développements de sécurité open source… ils les pillent littéralement, sans en changer une ligne.
Mais il y a plus retors. Lorsque Downadup frappe, il cherche à infecter toutes les ressources auxquelles il peut accéder. Les shares réseau, bien sûr, mais également les périphériques de stockage, dont les clefs USB. Une propagation qui s’accompagne de la création d’un module de lancement. C’est un vieux réflexe d’auteur de virus, qui remonte à l’aube des infections « boot sector ». Mais cette fois, le lanceur prend la forme d’un fichier Autorun, nous dit Bojan Zdrnja du Sans. Mais un autorun dont l’exécution s’affiche avec la formule « Ouvrir le dossier et afficher les fichiers » dans la section « installer ou exécuter un programme ». Une très légère inattention, et l’opérateur-victime, croyant déclencher un simple browse de répertoire, lance l’exécution du virus. C’est là une preuve éclatante que les auteurs de Downadup maîtrisent parfaitement les techniques de social engineering.