Comment supprimer le virus Conficker / Downadup / Kido

Décembre 2016


Qu'est-ce que Conficker ?

Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est apparu en novembre 2008. Il aurait à ce jour infecté plusieurs millions d'ordinateurs (plus de 200 000 000), notamment dans des entreprises, mais aussi des hôpitaux, la Marine nationale française, la Royal Navy britannique et l'armée allemande ! Cette menace est prise au sérieux, Microsoft a même promis une récompense de 250 000 dollars à quiconque donnerait une information permettant d'arrêter l'auteur de ce ver.

Quand il est installé dans un ordinateur, Conficker désactive les mises à jour de Windows et certains logiciels de sécurité, et empêche de se connecter aux sites web de Microsoft ou des éditeurs d'antivirus. Il se connecte ensuite à un serveur, permettant à un pirate d'en prendre le contrôle pour en faire ce qu'il veut, notamment récupérer des informations personnelles, installer d'autres logiciels malveillants ou effectuer des actes illicites (envoyer des e-mails de spam, attaquer un site web pour le mettre hors service etc...).

Pour des informations plus techniques, consultez ce lien.

Comment éviter d'être infecté par Conficker ?

Cette infection utilise une faille de Windows pour se propager. Un patch corrigeant cette vulnérabilité a été publié le 15 octobre par Microsoft, mais comme souvent, de nombreux utilisateurs ne l'ont pas installé. Si vous avez désactivé les mises à jour automatiques et que vous n'avez pas encore installé ce patch, vous pouvez le télécharger ici : Site de Microsoft

Conficker peut également se propager par des disques amovibles (clés USB, disques durs externes etc...) et à l'intérieur d'un réseau ouvert ou protégé par des mots de passe faibles. Utilisez un logiciel pour vacciner vos disques amovibles, et sécurisez vos réseaux en utilisant des mots de passe forts.

Diagnostic Rapide

  • Vous pouvez vérifier la présence de cette infection sur votre ordinateur en vous rendant sur cette page. Vous pouvez lire les résultats en fonction des images qui s'affichent ou non.
  • Sinon, vous pouvez aussi essayer de cliquez sur les liens présents si dessous (en l'occurrence quelques sites de sécurité informatique). Si plus de la moitié ne fonctionnent pas il y a de fortes chances que Conficker se "loge" sur votre PC :


-A-Squared
-Avast
-Avira Antivir
-Bit Defender
-Eset smart security
-Kaspersky
-Norton
-Mc Afee
-Microsoft
-Panda Security
-Trend Micro

Si le test se révèle positif (plus de la moitié des liens ne fonctionnent pas), suivez les conseils ci-dessous.

Désinfecter un ordinateur touché par Conficker

Préliminaire

Il faut prendre quelques précautions pour éviter que le virus ne se propage, et pour l'empêcher de réinfecter l'ordinateur à chaque tentative de désinfection.
  • Déconnectez temporairement votre ordinateur du réseau.
  • Arrêtez temporairement le service serveur :

Menu démarrer → Exécuter (ou barre de recherche sous Windows Vista) → tapez services.msc et validez.
Faites un clic-droit sur le service « Serveur » → Propriétés. Cliquez sur « Arrêter », placez type de démarrage sur « Désactivé » puis cliquez sur OK.
  • Désinfectez et vaccinez tous les disques amovibles (clés USB, disques durs externes, lecteurs mp3...etc) avec un outil spécifique.
  • Téléchargez le patch de Microsoft pour corriger la vulnérabilité exploitée par Conficker : Microsoft France


Il est probable que vous ne puissiez pas le faire depuis votre ordinateur : dans ce cas, faites le depuis un autre et transférez le patch sur un disque amovible vacciné (voir ci-dessus).

Suppression de l'infection

Une fois toutes ces précautions prises, vous pouvez commencer la désinfection en elle-même.
Vous n'aurez probablement accès à aucun des sites d'éditeur d'antivirus, ni au site de Microsoft... Il faudra donc télécharger les logiciels de désinfection depuis un ordinateur non-infecté, et les transférer sur l'ordinateur infecté grâce à une clé USB vaccinée.
Vous risquez de ne pas pouvoir télécharger ces liens directement si vous êtes infecté car le site de l'éditeur sera dans la liste noire de Conficker, mais vous pouvez essayer de passer par un proxy pour "duper" conficker, voici donc quelques proxy:

- Proxy 1: Anonymouse
- Proxy 2: Tor
- Proxy 3:Proximitron
- Proxy 4: Surfola
  • Cependant Conficker est assez difficile à éliminer car il crée des fichiers qui s'associent à des processus légitimes de Windows comme Svchost, Services, Lssas et d'autres DLL importantes: kernel32.dll user32.dll etc... Il est donc fort possible que toutes les recommandations précédentes ne suffisent pas : dans ce cas, n'hésitez pas à poster un message sur le forum Virus/sécurité. Quelqu'un vous y aidera en vous faisant utiliser Combofix (évitez de le faire seul).


A voir également :

Ce document intitulé «  Comment supprimer le virus Conficker / Downadup / Kido  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.