Downadup, Conficker ou encore parfois appelé Kido semble être la nouvelle coqueluche des éditeurs de solutions de sécurité qui multiplient les communiqués pour nous tenir informés de l'évolution de ce ver informatique menaçant le système Windows. Plus de 9 millions de machines infectées malgré le correctif prodigué par Microsoft en octobre 2008 afin de combler la vulnérabilité exploitée par Downadup.
Parmi sa panoplie d'agents infectieux, Downadup compte sur les périphériques USB et ainsi se propager sur plusieurs machines à mesure que ces périphériques y sont connectés. Un exercice de funambule facilité par de l'ingénierie sociale (social engineering) selon F-Secure, et qui a aussi fait ses preuves sur Windows Vista, la version bêta de Windows 7.
Lors de l'insertion d'un périphérique USB, la ruse consiste à faire croire à l'utilisateur qu'il doit ouvrir un dossier afin de visualiser des fichiers. Un leurre de la part de Downadup dont le fichier autorun.inf va chercher le nécessaire dans la bibliothèque logicielle shell32.dll afin de produire un faux se déclenchant automatiquement. Le résultat pour l'utilisateur trompé est l'infection de son ordinateur.
Le premier choix dans la catégorie " Installer ou exécuter un programme " va procéder à l'installation du ver informatique, alors que le second choix proposé dans les options générales va ouvrir le contenu du périphérique USB en toute sécurité. Les deux captures d'écran ci-dessus réalisées par F-Secure démontrent la faisabilité de l'opération malveillante tant sous Windows Vista que Windows 7.
Pas sûr que ce vecteur d'infection a réussi à corrompre beaucoup de machines mais c'est une attaque plutôt bien pensée et après tout... le ver court toujours. S'il est envisageable de désactiver la clé de registre Windows relative à l'exécution automatique en s'en référant à la procédure explicitée par Microsoft, l'application de la mise à jour correctrice paraît un choix judicieux alors que les antivirus à jour prennent en charge la menace, dont MSRT de la firme de Redmond. Là où le bât blesse, c'est que Downadup se répand dans les réseaux d'entreprise, et l'on sait que nombre de petites structures mettent parfois du temps avant d'appliquer des mises à jour Microsoft.
