Doctor Web, editeur Russe de solutions de securite informatique, previent du danger represente par une nouvelle variante du ver polymorphe Win32.HLLW.Shadow.based (connu aussi sous les noms Kido/Conficker). Ce dernier, qui assure des fonctions essentielles a son botnet, doit adopter un nouveau mode operatoire a compter du 1er Avril

Demain, 1er Avril, le fonctionnement du botnet franchira une nouvelle etape. Une mise a jour du logiciel malicieux sera effectuee sur les ordinateurs infectes par les differentes variantes du ver polymorphe Win32.HLLW.Shadow.based, apparu aux mois de fevrier et mars 2009. Le ver generera 50 000 noms de domaines toutes les 24 heures et utilisera 500 de ces domaines pour recevoir des instructions se rapportant a ces taches. Le processus de mise a jour sera regule de facon a eviter une charge trop importante sur les serveurs hotes et s'assurer que les actions malveillantes restent indetectables.

Precisons que Win32.HLLW.Shadow.based utilise, pour sa propagation, differents canaux parmi lesquels les supports amovibles et les disques reseau. Le ver se propager egalement via le protocole SMB, typiquement utilise par les reseaux Windows. Pour la creation d'acces a distance a l'ordinateur, Win32.HLLW.Shadow.based selectionne les moyens de creation de mots de passe les plus populaires ainsi que les mots de passe presents dans son dictionnaire. Le virus se propage via Internet en utilisant des vulnerabilites eliminees par la mise a jour critique decrite dans le bulletin Microsoft MS08-067.

Doctor Web attire l'attention sur le fait que les machines des utilisateurs qui ne pretent pas attentions aux infections causent autant de degats que Win32.HLLW.Shadow.based. En devenant un zombie du botnet, votre machine aide le ver a ses repandre et le botnet a croitre.

Les utilisateurs de produits antivirus tiers, sont invites :

1. a installer dans les plus brefs delais toutes les mises a jour actuelles sur le systeme d'exploitation utilise. En effet, le ver de reseau Win32.HLLW.Shadow.based utilise activement toutes les vulnerabilites des systemes d'exploitation Windows.
2. a effectuer la mise a jour des bases de donnees virales.
3. Si votre editeur ne detecte pas ce ver ou ne l'eradique pas de votre systeme, nous vous invitons a utiliser la version actuelle de l'utilitaire gratuit de desinfection Dr.Web CureIt! et a proceder a une analyse du systeme infecte.

Precisons que les utilisateurs des produits Dr.Web disposent d'une solide protection contre les risques d'infection de cette nouvelle variante de Win32.HLLW.Shadow.based.