Je suis Charlie

Autres trucs

Accueil

Seulement les RFC

Seulement les fiches de lecture

Ève

Nouvelle version de Conficker, avec une utilisation plus intensive du DNS

Première rédaction de cet article le 14 mars 2009
Dernière mise à jour le 30 mars 2009


L'une des originalités du ver Conficker est qu'il utilise des noms de domaine et pas des adresses IP pour contacter son maître, afin de lui demander des mises à jour, des listes d'actions à effectuer, etc. Mais la nouvelle version, analysée il y a quelques jours, pousse cette logique encore plus loin.

L'ancienne version avait été bien analysée dans des articles comme Detecting Conficker in your Network ou An Analysis of Conficker's Logic and Rendezvous Points. Une mise en œuvre complète se trouve en http://mhl-malware-scripts.googlecode.com/files/downatool.zip. Dans cette ancienne version, Conficker se connecte à son maître via un nom de domaine, dans huit domaines de tête possibles comme .com ou org. Ce n'était pas assez pour le ver : dès que son code a été analysé, plusieurs registres ont bloqué les noms en question, empêchant leur utilisation.

Mais cette version n'est plus complètement d'actualité : Conficker nouvelle mouture, analysé dans W32.Downadup.C Digs in Deeper et dans Conficker Call-home Protocol v2, fait mieux en générant de très longues listes de noms de domaines, dans presque tous les domaines de tête, rendant ainsi plus difficile le blocage. Un rapport encore plus complet a été publié (avertissement : c'est très technique), Conficker C Analysis, avec presque tous les détails.

Il ne semble pas que ces nouveaux noms aient été activés. L'ICANN a demandé à tous les TLD de les bloquer. Certains se sont exécutés comme l'ACEI qui l'a annoncé dans un communiqué.

Sur Conficker C, on peut aussi consulter :

Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)

Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)