On risque de reparler très prochainement du désormais célèbre ver informatique Conficker, encore connu sous le nom de Downadup ou Kido. Une semaine après la date annoncée fatidique du 1er avril 2009 sans finalement d'incident notable, le malware signe le retour de son activité.
Les chercheurs des laboratoires Antimalware BitDefender ont en effet identifié une nouvelle variante du ver, à l'instar de ceux de Trend Micro qui donnent un peu plus de détails. Un ver qui pour rappel exploite une vulnérabilité Windows pour laquelle il existe un correctif depuis le mois d'octobre 2008.
Selon Trend Micro, Conficker se met à jour via des nœuds P2P et dépose une charge utile sur les machines infectées. Une charge utile qui garde encore une partie de son mystère eu égard à un cryptage fort. La nouvelle variante fonctionne dans des fichiers et services au nom aléatoire, puis efface toute trace de son passage.
BBC News rapporte que des chercheurs ont constaté des connexions aux sites Web MySpace, MSN, eBay, CNN et AOL. Un moyen de s'assurer que l'hôte infecté a toujours accès au Net et de confirmer l'heure et la date. Pour ces chercheurs, en dépit d'une analyse difficile, ils émettent l'hypothèse que la charge utile est un rootkit qui va aller se dissimuler très profondément au sein de Windows dans le but de dérober des données sensibles comme des identifiants pour des sites bancaires.
Un lien a par ailleurs semble-t-il été établi avec un autre virus dénommé Waledac dont l'une des spécialités est d'ouvrir une porte dérobée (backdoor) afin d'autoriser un contrôle à distance d'une machine. Une backdoor qui restera ouverte à défaut d'action correctrice alors que la mise à jour de Conficker donne pour instruction au ver de se supprimer le 3 mai 2009.
