Sommaire

Qu'est-ce que Conficker ?

Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est apparu en novembre 2008. Il aurait à ce jour infecté plusieurs millions d'ordinateurs (plus de 200 000 000), notamment dans des entreprises, mais aussi des hôpitaux, la Marine nationale française, la Royal Navy britannique et l'armée allemande ! Cette menace est prise au sérieux, Microsoft a même promis une récompense de 250 000 dollars à quiconque donnerait une information permettant d'arrêter l'auteur de ce ver.

Pour des informations techniques détaillé par un laboratoire indépendant jetez un oeil ici

Quand il est installé dans un ordinateur, Conficker désactive les mises à jour de Windows et certains logiciels de sécurité, et empêche de se connecter aux sites web de Microsoft ou des éditeurs d'antivirus. Il se connecte ensuite à un serveur, permettant à un pirate d'en prendre le contrôle pour en faire ce qu'il veut, notamment récupérer des informations personnelles, installer d'autres logiciels malveillants ou effectuer des actes illicites (envoyer des e-mails de spam, attaquer un site web pour le mettre hors service etc...).

Comment éviter d'être infecté par Conficker ?

Cette infection utilise une faille de Windows pour se propager. Un patch corrigeant cette vulnérabilité a été publié le 15 octobre par Microsoft, mais comme souvent, de nombreux utilisateurs ne l'ont pas installé. Si vous avez désactivé les mises à jour automatiques et que vous n'avez pas encore installé ce patch, vous pouvez le télécharger ici : Site de Microsoft

Conficker peut également se propager par des disques amovibles (clés USB, disques durs externes etc...) et à l'intérieur d'un réseau ouvert ou protégé par des mots de passe faibles. Utilisez USBFix pour vacciner vos disques amovibles, et sécurisez vos réseaux en utilisant des mots de passe forts.

Diagnostic Rapide

• Vous pouvez vérifier la présence de cette infection sur votre ordinateur en vous rendant sur cette page. Vous pouvez lire les résultats en fonction des images qui s'affichent ou non.

• Sinon, vous pouvez aussi essayer de cliquez sur les liens présents si dessous (en l'occurrence quelques sites de sécurité informatique). Si plus de la moitié ne fonctionnent pas il y a de fortes chances que Conficker se "loge" sur votre PC :

-A-Squared
-Avast
-Avira Antivir
-Bit Defender
-Eset smart security
-Kaspersky
-Norton
-Mc Afee
-Microsoft
-Panda Security
-Trend Micro

Si le test se révèle positif (plus de la moitié des liens ne fonctionnent pas), suivez les conseils ci-dessous.

Désinfecter un ordinateur touché par Conficker

Préliminaire

Il faut prendre quelques précautions pour éviter que le virus ne se propage, et pour l'empêcher de réinfecter l'ordinateur à chaque tentative de désinfection.

• Déconnectez temporairement votre ordinateur du réseau.

• Arrêtez temporairement le service serveur :
Menu démarrer → Exécuter (ou barre de recherche sous Windows Vista) → tapez services.msc et validez.
Faites un clic-droit sur le service « Serveur » → Propriétés. Cliquez sur « Arrêter », placez type de démarrage sur « Désactivé » puis cliquez sur OK.

• Désinfectez et vaccinez tous les disques amovibles (clés USB, disques durs externes, lecteurs mp3...etc) avec USBFix.

• Téléchargez le patch de Microsoft pour corriger la vulnérabilité exploitée par Conficker : Microsoft France

Éventuellement jetez un œil ici pour plus de détails sur Confiker et les outils pour le combattre!

Il est probable que vous ne puissiez pas le faire depuis votre ordinateur : dans ce cas, faites le depuis un autre et transférez le patch sur un disque amovible vacciné (voir ci-dessus).

Suppression de l'infection

Une fois toutes ces précautions prises, vous pouvez commencer la désinfection en elle-même.
Vous n'aurez probablement accès à aucun des sites d'éditeur d'antivirus, ni au site de Microsoft... Il faudra donc télécharger les logiciels de désinfection depuis un ordinateur non-infecté, et les transférer sur l'ordinateur infecté grâce à une clé USB vaccinée.

• Essayez d'abord de scanner l'ordinateur avec votre antivirus, ou avec MalwareBytes Anti-Malware par exemple. Vous pouvez poster le rapport sur le forum Virus/Sécurité pour qu'on vous aide pour la suite.

• Microsoft fournit également un Outil de suppression des logiciels malveillants (MSRT) qui peut aider à désinfecter (vous pouvez trouver des explications pour le déployer sur un réseau en entreprise sur le site de Microsoft).

• Vous pouvez ensuite essayer les outils de désinfection spécifiques créés par certains éditeurs de logiciels antivirus, par exemple : celui de Kaspersky, celui de BitDefender, celui de Sophos, celui de F-Secure, celui de ESET NOD32
Il évident que vous risquez de ne pas pouvoir télécharger ces liens directement si vous êtes infecté car le site de l'éditeur seras dans la liste noire de conficker donc je vous recommande de passer par un proxy pour "duper" conficker, voici donc quelques proxy:

•Proxy 1: Anonymouse (Conseillé)

•Proxy 2: Tor

•Proxy 3:Proximitron

proxy 4: Surfola

• Cependant Conficker est assez difficile à éliminer car il crée des fichiers qui s'associent à des processus légitimes de Windows comme Svchost, Services, Lssas et d'autres DLL importantes: kernel32.dll user32.dll etc... Il est donc fort possible que toutes les recommandations précédentes ne suffisent pas : dans ce cas, n'hésitez pas à poster un message sur le forum Virus/sécurité.