Comme promis au fil du précédent billet du Cert Lexsi, Silvain Sarmejeanne nous offre un nouvel épisode consacré aux mystères de Conficker B++, troisième édition, énième épisode. Billet d’autant plus intéressant qu’il nous enseigne l’art de détecter et désactiver cette mutation, alors qu’il n’existe encore aucun outil de nettoyage pouvant être téléchargé.
Le talon d’Achille de B++ se trouve dans la base de registre, quelque part sur une branche de HKLMSYSTEMCurrentControlSetServices, sous la clef wcsSrv. Une clef dont il faut s’approprier les droits en modifiant les ACL, car elle possède des attributs System. Le changement de nom du service ne change en rien la méthode : il suffit de découvrir quelle branche de CurrentControlSetServices retourne une erreur lors d’une tentative de lecture. L’auteur précise que la désactivation de la DLL n’est pas tout… Conficker possède tellement de moyens de propagation qu’une opération de désinfection générale risque de prendre du temps… ceci sans prendre en compte le travail nécessaire après éradication, pour rétablir tout ce que le ver a détruit, notamment les outils de mise à jour de Windows. Si l’on se fie aux promesses écrites par Fabien Perigaud au fil de son précédent billet, les prochains jours devraient nous en apprendre un peu plus sur les fonctions « cachées » de Downadup. Ce suspense est absolument insoutenable, pas vrai ?