Mon blog

L'une des originalités du ver Conficker est qu'il utilise des noms de domaine et pas des adresses IP pour contacter son maître, afin de lui demander des mises à jour, des listes d'actions à effectuer, etc. Mais la nouvelle version, analysée il y a quelques jours, pousse cette logique encore plus loin.

L'ancienne version avait été bien analysée dans des articles comme Detecting Conficker in your Network ou An Analysis of Conficker's Logic and Rendezvous Points. Une mise en œuvre complète se trouve en http://mhl-malware-scripts.googlecode.com/files/downatool.zip. Dans cette ancienne version, Conficker se connecte à son maître via un nom de domaine, dans huit domaines de tête possibles comme .com ou org. Ce n'était pas assez pour le ver : dès que son code a été analysé, plusieurs registres ont bloqué les noms en question, empêchant leur utilisation.

Mais cette version n'est plus complètement d'actualité : Conficker nouvelle mouture, analysé dans W32.Downadup.C Digs in Deeper et dans Conficker Call-home Protocol v2, fait mieux en générant de très longues listes de noms de domaines, dans presque tous les domaines de tête, rendant ainsi plus difficile le blocage. Un rapport encore plus complet a été publié (avertissement : c'est très technique), Conficker C Analysis, avec presque tous les détails.

Il ne semble pas que ces nouveaux noms aient été activés. L'ICANN a demandé à tous les TLD de les bloquer. Certains se sont exécutés comme l'ACEI qui l'a annoncé dans un communiqué.

Sur Conficker C, on peut aussi consulter :

• Le site du groupe de travail Conficker, organisation privée qui regroupe Microsoft et des éditeurs d'anti-virus,
• L'avis lancé par le CERT états_unien,
• L'article de Microsoft (attention, Microsoft appele D la version C),
• Detecting and Containing Conficker - Management Overview.