Skip to main content
Cliquez pour évaluer et commenter 

Ver Conficker : Aide à protéger Windows contre Conficker

Date de publication : 6 février 2009 | Date de mise à jour : 10 avril 2009

Cette page a pour but de fournir aux professionnels de l'informatique les informations nécessaires pour aider à protéger leurs systèmes contre le ver Conficker ou à récupérer des systèmes ayant été infectés.

Si vous êtes un particulier, consultez la page Se protéger contre le ver informatique Conficker.

À propos de Conficker

Le 23 octobre 2008, Microsoft a publié une mise à jour de sécurité critique, MS08-067, destinée à résoudre une vulnérabilité dans le service Serveur de Windows qui, au moment de la publication, pouvait être soumis à une attaque ciblée limitée. Cette vulnérabilité pourrait permettre à un agresseur anonyme d'assumer le contrôle total d'un système vulnérable par le biais d'une attaque réseau, qui constitue le genre de vecteur couramment associé aux « vers » réseau. Depuis la publication de MS08-067, Le Centre de protection Microsoft contre les logiciels malveillants (MMPC, Malware Protection Center) a identifié les variantes suivantes de Win32/Conficker :

 *Également appelé Conficker B++
 **Également appelé Conficker.C et Downadup.C

Protection des PC contre Conficker

  1. Appliquez la mise à jour de sécurité associée à MS08-067. Consultez le bulletin de sécurité pour plus d'informations sur la vulnérabilité, les logiciels affectés, les outils et les guides de détection et de déploiement, ainsi que sur le déploiement de la mise à jour de sécurité.
  2. Assurez-vous d'exécuter un logiciel antivirus à jour d'un éditeur approuvé, tel que Forefront Client Security de Microsoft ou Windows Live OneCare. Vous pouvez également obtenir des logiciels antivirus auprès de tierces parties telles que les membres de la Virus Information Alliance.
  3. Vérifiez s'il existe des mises à jour des protections de vos périphériques ou logiciels de sécurité, tels qu'antivirus, systèmes de détection d'intrusion basés sur le réseau ou systèmes de prévention d'intrusion basés sur les hôtes. Le programme MAPP (Microsoft Active Protection Program) procure aux partenaires un accès anticipé aux informations de vulnérabilité de Microsoft. Pour obtenir une liste de partenaires et des liens vers leurs protections actives, consultez la page Partenaires MAPP.
  4. Isolez les systèmes hérités en appliquant les méthodes décrites dans le Guide d'atténuation des menaces Microsoft Windows NT 4.0 et Windows 98.
  5. Implémentez des mots de passe forts, comme décrit dans le livre blanc sur les stratégies de mots de passe forts.
  6. Désactivez la fonctionnalité Lecture automatique par le biais du Registre ou à l'aide des stratégies de groupe, comme indiqué dans l' article 967715 de la Base de connaissances Microsoft. Microsoft a publié le Conseil de sécurité 967940 afin de signaler aux utilisateurs que les mises à jour leur permettant de désactiver les fonctionnalités Lecture automatique et Exécution automatique avaient été déployées via des canaux de mise à jour automatique.
    REMARQUE : les utilisateurs de Windows 2000, Windows XP et Windows Server 2003 doivent déployer la mise à jour associée à l' Article 967715 de la Base de connaissances Microsoft afin de pouvoir désactiver la fonctionnalité Exécution automatique. les utilisateurs de Windows Vista et Windows Server 2008 doivent déployer la mise à jour de sécurité associée au Bulletin de sécurité MS08-038 afin de pouvoir désactiver la fonctionnalité Exécution automatique.

Nettoyage des systèmes et suppression de Conficker

Téléchargez manuellement l' Outil de suppression des logiciels malveillants sur les PC non infectés et déployez-le sur les PC infectés afin de les nettoyer.

Historique de Conficker

  • Le 21 novembre 2008, le MMPC a identifié Worm:Win32/Conficker.A. Ce ver cherche à se propager en exploitant la vulnérabilité résolue dans MS08-067 par le biais d'attaques réseau. Le MMPC a ajouté des signatures et une capacité de détection à Microsoft Forefront, Microsoft OneCare et à l'analyseur de sécurité Windows Live OneCare le même jour.
  • Le 25 novembre 2008, le MMPC a publié un communiqué concernant Worm:Win32/Conficker.A par le biais de son Weblog.
  • Le 29 décembre 2008, le MMPC a identifié la seconde variante, Worm:Win32/Conficker.B, et a ajouté des signatures et une capacité de détection à Microsoft Forefront, Microsoft OneCare et à l'analyseur de sécurité Windows Live OneCare le même jour.
    REMARQUE : les attaques   Worm:Win32/Conficker.B peuvent réussir contre les systèmes ayant appliqué la mise à jour de sécurité associée à MS08-067.
  • Le 31 décembre 2008, le MMPC a publié un communiqué concernant Worm:Win32/Conficker.B par le biais de son Weblog.
  • Le 13 janvier 2009, le MMPC a intégré la capacité à supprimer Worm:Win32/Conficker.A et Worm:Win32/Conficker.B dans la publication de janvier 2009 de l' Outil Windows de suppression des logiciels malveillants et a publié un communiqué à cet effet par le biais de son Weblog.
  • Le 22 janvier 2009, le MMPC a fourni des informations techniques consolidées concernant Worm:Win32/Conficker.B par le biais de son Weblog.
  • Le 12 février 2009, le MSRC (Microsoft Security Response Center) a publié des informations concernant les domaines auxquels les systèmes infectés par Conficker tentent de se connecter. Microsoft a également communiqué des informations concernant un partenariat avec des leaders dans le secteur technologique industriel et académique ayant pour objectif de désactiver les domaines ciblés par Conficker.
  • Le 12 février 2009, Microsoft a annoncé qu'une récompense de 250 000 $ serait versée pour toute information menant à l'arrestation et à la condamnation des personnes responsables du lancement illégal du code malveillant Conficker sur Internet. La récompense offerte par la société Microsoft découle du fait qu'elle reconnaît la nature criminelle de l'attaque Conficker. Microsoft souhaite aider les autorités à mettre la main sur les criminels qui en sont responsables. Cette récompense peut être attribuée aux résidents de n'importe quel pays, conformément aux lois du pays en question, car les virus Internet affectent la communauté Internet dans le monde entier.
  • Le 20 février 2009, le MMPC a fourni des informations techniques concernant Worm:Win32/Conficker.C par le biais de son Weblog.
  • Le 27 mars 2009, le MMPC a fourni des détails supplémentaires concernant la nouvelle fonctionnalité P2P de Worm:Win32/Conficker.D par le biais de son Weblog.

    Nous encourageons toute personne disposant d'informations sur le ver Conficker à contacter les organismes d'application de la loi internationale de leur pays. De plus, Microsoft a mis en place une ligne téléphonique d'assistance « récompense antivirus », +1-425-706-1111, ainsi qu'une boîte aux lettres « récompense antivirus », avreward@microsoft.com, qui vous permettent de partager des conseils et astuces.

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?