Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Courrier indésirable en août 2014



Enquête sur un incident : vol dans une banque électronique



Livraison des diffuseurs de spam : danger garanti



Evolution des menaces informatiques au 2e trimestre 2014



Les prédateurs sur Internet
 
 

  Page d'accueil / Analyses

Evolution du Malware : Janvier-Mars 2006

13.04.2006   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab
Denis Nazarov
Alisa Shevchenko
Expert Antivirus, Kaspersky Lab

Ce premier trimestre 2006 a vu apparaître quatre grands axes de développement des programmes malfaisants. Nous verrons comment les auteurs de virus se révèlent être des pros du chantage via leurs codes malicieux ; comment les virus, après s’être acharnés sur Windows, voit en Mac OSX doté du processeur Intel, une cible nouvelle ; les techniques développées par les auteurs de virus pour passer outre les antivirus et l’évolution des menaces pour appareils mobiles qui ne cessent de s’affirmer.

L’économie souterraine. Les nouveaux fronts de résistance

Nous avons évoqué à maintes reprises des cas d’individus mal intentionnés qui sont passés de l’utilisation « secrète » d’un ordinateur infecté (pour en voler les données, pour l’intégrer au sein d’un réseau de zombies, etc.) à l’extorsion directe d’argent des utilisateurs touchés. A l’heure actuelle, ce type de comportement se manifeste via deux méthodes principales :

  • Le chiffrage des données de l’utilisateur ;
  • La dégradation du système informatique.

Le propriétaire de l’ordinateur attaqué est prévenu, d’une manière ou d’une autre, des manipulations réalisées sur ses données et il est invité à transférer une somme d’argent déterminée sur un des comptes du pirate dans un système de paiement quelconque (Egold, WebMoney, etc.). Souvent, les sommes exigées dépendent de la situation financière de la victime. Ainsi, il y a déjà eu des cas où les individus mal intentionnés réclamaient de 50 à 2000 dollars américains. Les premiers cas de telles escroqueries remontent à 1989 et voilà qu’ils réapparaissent après 15 ans.

En 2005, les chevaux de Troie GpCode et Krotten furent les manifestations les plus remarquées de la cybercriminalité. Le premier appartient à la catégorie des « encodeurs » tandis que le deuxième se limitait à modifier la base de registres système de l’ordinateur, ce qui mettait le système hors d’état de fonctionner.

Message de Trojan.Win32.Krotten qui informe l'utilisateur que s'il veut que son ordinateur foncitonne normalement et s'il ne veut pas perdre ses données, il n'a qu'à envoyer 25 grivna (environ 4 euros) sur un compte électronique. En échange de quoi l'internaute recevra par email un fichier pour supprimer le programme.

C’est l’auteur de Gpcode qui s’est montré le plus actif : au cours de l’année 2005, nous avons recensé plus de 20 versions de cryptage des fichiers. Il modifiait en permanence les algorithmes de chiffrement mais dans tous les cas, nous avons été capables non seulement de les interpréter mais également de les détecter et de décoder les fichiers grâce aux bases antivirus, sans l’aide d’utilitaires particuliers.

Depuis le début de l’année 2006, les auteurs de tels programmes ont tenté de modifier radicalement les méthodes de chiffrement afin de compliquer la tâche des éditeurs de logiciels antivirus. Une nouvelle version de GpCode, baptisée .AC, est apparue en janvier. Elle se différenciait des versions antérieures par l’utilisation d’un des algorithmes de chiffrement les plus connus et les plus tenaces, à savoir l’algorithme RSA. Jusqu’alors, l’auteur de GpCode s’était contenté d’algorithme « fait maison », mais avec .AC, il passait à l’artillerie lourde.

Ici aussi, la réussite fut de notre côté. Nous avons pu découvrir le fichier même du cheval de Troie qui réalisait le chiffrement. Dans la majorité des cas, nous ne disposions pas de cette possibilité auparavant (le cheval de Troie se supprime du système une fois son travail accompli).

Après quelques heures passées à analyser le code, nous avons pu identifier la clé qui codait les données. Pour décoder RSA, il faut connaître la clé de décodage et celle-ci ne se trouvait bien évidemment pas dans le cheval de Troie. Toutefois, l’auteur du programme avait commis une grave erreur. Il avait décidé d’utiliser une clé de 56 bits, ce qui est trop court. Il a fallu moins d’une seconde à nos spécialistes sur un ordinateur personnel moderne pour l’interpréter, sur la base de nos informations relatives à RSA et des méthodes de décodage! Une fois de plus, nous avons pu décoder les fichiers directement à l’aide des bases antivirus sans avoir à créer un utilitaire particulier.

Mais les pirates informatiques ne se sont pas avoués vaincus pour autant. En mars 2006, un individu attentif à la triste expérience de ces prédécesseurs, a lancé un nouveau représentant de la catégorie « RansomWare » (c’est le terme utilisé pour désigner ces chevaux de Troie sur le site de certains éditeurs de logiciels antivirus ou d’utilisateurs particuliers http://en.wikipedia.org/wiki/Ransomware http://www.halfbakery.com/idea/Computer_20ransomware) – la définition du terme peut être introduite dans un point distinct).

Les individus mal intentionnés ont carrément abandonné les algorithmes de chiffrement. Ainsi, le cheval de Troie Cryzip.A n’utilisait ni RSA, ni AES, ni PGP. Ce programme recherche les documents de l’utilisateur dans le système attaqué parmi une vaste sélection de types de fichiers ( MS Office, PDF, archives, images, etc.). Chaque fichier découvert est placé dans une archive ZIP séparée, protégée par un mot de passe. Le cheval de Troie laisse dans chaque répertoire un message sous la forme du fichier AUTO_ZIP_REPORT.TXT qui indique que les données pourront être restaurées en échange d’un versement de 300$ sur un des dizaines de comptes ouverts sur E-Gold.

Message partiel de Trojan.Win32.Cryzip.

L’auteur du cheval de Troie a eu la bonté de préciser que le mot de passe qui protège l’archive est un mot de plus de 10 caractères et que par conséquent toute tentative de le craquer « serait une perte de temps ». En effet, les programmes qui permettent actuellement de craquer les mots de passe des archives ZIP sont capables de craquer des mots de passe de 5 caractères en 5 à 10 minutes et dès que l’on passe à des mots de passe de 6 à 7 caractères, cette tâche prend beaucoup plus de temps.

Comme on l’apprit par la suite, plusieurs éditeurs de logiciels antivirus parmi les plus importants se sont lancés simultanément à la recherche de ce mot de passe. Certains d’entre eux ont pu découvrir le fichier même du cheval de Troie et définir, grâce à son analyse, quel était le mot de passe utilisé pour l’archivage des fichiers. Comme nous n’avions pas le fichier du cheval de Troie, nous avons opté pour une autre solution et nous avons essayé d’identifier le mot de passe à l’aide de différents types d’attaques secrètes sur des archives ZIP. En fin de compte, nous avons pu réduire considérablement le temps consacré à l’utilisation de la force brutale. Nous n’entreront pas ici dans tous les détails du processus mais nous avons pu identifier le mot de passe de l’archive en une soirée uniquement.

L’auteur avait décidé d’utiliser en guise de mot de passe un chemin d’accès à un répertoire, à savoir : «C:\Program Files\Microsoft Visual Studio\VC98». Dans sa logique, il estimait que même si son cheval de Troie tombait aux mains des éditeurs de logiciels antivirus, les spécialistes considéreraient cette ligne comme une ligne typique pour un fichier programmé en Visual C++ et non pas comme le mot de passe.

Quoi qu’il en soit, nous avions une fois de plus réussi à résoudre la question de la restauration des données des utilisateurs. Malheureusement dans ce cas, nous n’avons pas été en mesure de réaliser la restauration directement à l’aide des bases antivirus, mais tout utilisateur en possession du mot de passe peut résoudre le problème seul.

Il nous faut évoquer le troisième programme malveillant qui présente un comportement similaire. Il s’agit de Skowor.B qui, à la différence de la première variante, un ancien ver de messagerie, n’est pas en mesure de se propager par courrier. Il essaie toutefois de se propager par les moyens les plus inattendus qu’il peut créer. Il est semblable à Gpcode et Cryzip en ce qu’il affiche après son exécution un message qui indique à l’utilisateur qu’il doit redémarrer son ordinateur à cinq reprises pour obtenir le mot de passe. Dans le cas contraire, le ver tentera de coder toute une série de fichiers importants et de modifier le mot de passe administrateur et celui de l’utilisateur actuel de l’ordinateur infecté. Heureusement, le code du ver contient de nombreuses erreurs et seule une partie des fonctions s’exécute normalement.

Tous ces événements observés au cours du premier trimestre 2006 nous amènent à tirer la conclusion suivante : les « prises en otage des données des utilisateurs » figurent parmi les activités les plus dangereuses et les plus rapides en termes d’évolution dans la catégorie des crimes informatiques. Dans ce contexte, les systèmes de copies de sauvegarde revêtent toute leur importance car même si nous avons pu jusqu’à présent restaurer les données affectées, le risque de voir apparaître un algorithme de chiffrement ou d’archivage plus robuste existe.

Il ne faut pas oublier que les chevaux de Troie n’apparaissent pas dans le système. Ils peuvent être installés sur l’ordinateur via un programme malveillant quelconque ou via une faille dans le navigateur. La prévention demeure la meilleure manière de se protéger : analyse antivirus fréquente du système et des fichiers chargés, installation des mises à jour du système d’exploitation et du navigateur et copie de sauvegarde incontournable des données les plus importantes.

Et quand bien même les données seraient-elles encodées, les exemples cités démontrent que les éditeurs de logiciels antivirus sont capables de résoudre le problème et dans des délais plus que raisonnables. Par conséquent, il ne faut en aucun cas céder au chantage. Le virement des sommes demandées ne fait que stimuler les auteurs à produire de nouvelles versions de leurs programmes malveillants.

MacOS X dans la ligne de mire

Apple est devenu ces derniers temps un des principaux sujets de l’actualité des technologies de l’information. L’annonce sensationnelle de l’utilisation de processeur Intel pour faire tourner les nouvelles versions de MacOS nous a forcés à revoir plusieurs points de l’avenir des ordinateurs personnels traditionnels. Jusqu’à présent, ils étaient le siège d’une bataille qui opposait Windows à Linux, mais la possibilité d’utiliser MacOS en intéresse plus d’un. La popularité potentielle et le développement impétueux des versions futures de MacOS ont attiré l’attention non seulement des utilisateurs et des spécialistes, mais également des auteurs de virus et des pirates informatiques du monde entier.

Nous n’aborderons pas ici le nombre de vulnérabilités critiques identifiées dans MacOS au cours des derniers mois, ni la facilité avec laquelle il est possible de pénétrer dans ordinateur sous MacOS raccordé à Internet.. Mais nous nous concentrerons sur le thème de notre article, à savoir les virus informatiques. Jusqu’à présent, les individus mal intentionnés n’ont accordé que très peu d’attention à MacOS X.. Il n’existait que quelques chevaux de Troie très élémentaires et une sélection d’exploits.

Le mois de février 2006 a apporté une réponse claire à la question «Des vers et des virus peuvent-ils exister sous OSX?» Tout a débuté par l’apparition sur certains sites et forums de passionnés d’OS X, d’une archive appelée « latestpics.tgz » qui devait contenir les captures d’écran les plus récentes de la nouvelle version non encore commercialisée d’OSX – 10.5 (Leopard).

Il s’agissait en réalité d’un ver-virus baptisé Leap. Le ver, qui se propage via le client de messagerie instantanée iChat, se multiplie dans le système et infecte les applications système comme un virus classique. Leap a démontré que OSX pouvait faire l’objet d’attaques de virus.

Deux jours seulement après la découverte de Leap, les éditeurs de logiciels antivirus ont identifié un autre représentant de programmes malveillants pour OS X. Il s’agissait du ver Inqtana. A la différence de Leap, ce ver n’infecte pas les fichiers mais le principe de multiplication qu’il utilise, est caractéristique des virus pour appareils nomades et non pas pour ordinateurs personnels. Inqtana est capable de se propager via Bluetooth ! C’est également par Bluetooth que Cabir, le ver pour appareils nomades le plus connu, se propage. Il s’agit d’un excellent exemple de symbiose où les technologies de transfert de données utilisées par les appareils nomades sont utilisées pour infecter des ordinateurs traditionnels.

Inqtana exploite une vulnérabilité de la réalisation du service «Bluetooth File and Object Exchange» (CAN-2005-1333) sous OS X v10.4.1, Mac OS X Server v10.4.1, Mac OS X v10.3.9 et Mac OS X Server v10.3.9. Cette vulnérabilité a été rectifiée par Apple en juin 2005. Lorsque l’ordinateur attaqué reçoit une requête de réception de fichier, le ver tente d’accéder aux fichiers et aux répertoires en dehors du répertoire “Bluetooth File and Object Exchange” puis il s’installe dans le système en vue du lancement automatique de la recherche permanente de nouveaux appareils Bluetooth.

Quelques jours plus tard, l’auteur du ver Inqtana dévoilait son identité. Il s’agissait de Kevin Finisterre, un membre actif de la communauté OSX. Il a expliqué les raisons qui l’ont poussé à créer ce ver (http://www.securityfocus.com/columnists/389) dans un entretien accordé aux médias. Il voulait attirer l’attention de la communauté et des programmes d’OSX sur les problèmes de sécurité que présentait le système d’exploitation et encourager le développement de nouvelles solutions mieux protégées.

De notre point de vue, de telles méthodes de sensibilisation ne sont pas justifiables car, en fin de compte, elles fournissent aux individus mal intentionnés une solution « clé en main » pour créer de nouveaux virus. En d’autres termes, ces « chercheurs volontaires » facilitent la vie des pirates informatiques. Malheureusement, ces méthodes sont de plus en plus populaires et au cours du premier semestre 2006, nous avons recensé plusieurs cas de création de technologies virales à des fins « académiques ». Nous les aborderons en détails ci-après.

L’avenir des virus (vmware rootkits, boot rootkits, bios backdoors)

Dans le milieu de l’armement, on peut observer le lien qui existe entre l’apparition d’une arme et l’apparition d’un nouveau moyen de défense ou vice-versa. Ceci s’applique également à la lutte contre les virus informatiques. Les auteurs de virus et autres programmes malveillants représentent le volet « arme » tandis que les éditeurs de logiciels antivirus doivent améliorer en permanence la protection offerte aux utilisateurs. C’est une course permanente à laquelle il est bien difficile de changer quoi que ce soit car les individus mal intentionnés auront toujours une longueur d’avance. Dans ce contexte, notre tâche est de réagir le plus vite possible aux dernières nouveautés. Malgré l’existence de nombreuses technologies modernes qui compliquent sensiblement la création d’un virus « indétectable » telles la protection proactive, l’analyse heuristique, les émulateurs, etc. nous voyons déjà apparaître les menaces de demain qui nous forcent à développer de nouvelles méthodes de protection.

Trois travaux conceptuels réalisés exclusivement à des fins d’étude figurent parmi les manifestations les plus intéressantes de la « théorie des virus informatiques ». Ces technologies n’en restent pas moins dangereuses et il ne fait aucun doute qu’elles vont attirer l’attention du milieu clandestin.

La première technologie est un prototype de porte dérobée située dans le secteur d’amorçage du disque dur et qui prend les commandes avant le démarrage du système d’exploitation. Ce mode de chargement lui permet de modifier de nombreuses fonctions du système d’exploitation ou de les remplacer par ses propres fonctions. Cette porte dérobée fut présentée au public par la société eEye Digital Security en août 2005.

Bien que la grande majorité des logiciels antivirus soit capable d’analyser les secteurs d’amorçage des disques (ce sont précisément les virus de démarrage qui sont à l’origine de l’évolution des antivirus), les problèmes liés à l’interception et au remplacement des fonctions du système sont toujours d’actualité et ils n’ont pas encore été complètement résolus dans le cadre des travaux d’un cheval de Troie et d’un logiciel antivirus dans un système d’exploitation et encore moins pour une porte dérobée exécutée AVANT le système d’exploitation.

Ces travaux ont suscité un certain intérêt et ils ont très vite fait des émules. En janvier 2006, John Hessman, un employé de Next-Generation Security Software, a affirmé que les fonctions de gestion de l’alimentation électrique de l’ordinateur (l’ACPI ou Advanced Configuration and Power Interface) permettaient la création de programmes remplissant les fonctions d’un rootkit et conservés dans la mémoire flash BIOS.

L’écriture de virus qui s’attaquent au flash BIOS n’est pas nouvelle. En 1998 déjà, le tristement célèbre virus CIH (« Tchernobyl ») détruisait le flash BIOS s’il y avait accès. Sont apparus ensuite des chevaux de Troie qui ont mené des attaques similaires.

Hessman a également créé un prototype de code qui permet de suspendre les privilèges dans le système et de lire les données dans la mémoire de l’ordinateur. L’emplacement du code malveillant dans la BIOS rend sa détection encore plus difficile que dans le cas des portes dérobées de démarrage.

Au mois de mars, les spécialistes de la sécurité informatique se sont focalisés sur une rumeur : l’existence d’un rootkit « indétectable » développé sur la base des technologies des machines virtuelles. Les spécialistes se demandaient de quoi il s’agissait et s’il fallait s’en inquiéter ?

L’université du Michigan, avec le soutien de Microsoft, travaille à un projet de rootkit qui fonctionne sous le niveau du système d’exploitation. Le grand public a découvert ce projet après la publication du programme de la conférence IEEE Symposium on Security and Privacy au cours de laquelle la démonstration conceptuelle de ce rootkit sera présentée.

Tous les programmes malveillants modernes fonctionnent dans le même milieu que les moyens de protection. Dès lors l’avantage des uns sur les autres est entièrement défini par la « course aux armements ». Celui qui fonctionne au niveau le plus bas au sein du système est le plus fort. L’idée de l’équipe du Michigan est qu’il est possible d’intégrer un code malicieux au-delà des limites de cette « matrice », ce qui aurait pour conséquence de le rendre invisible depuis l’intérieur de celle-ci.

Pour ce faire, il faut introduire une couche supplémentaire entre le système d’exploitation et le matériel, le moniteur de machines virtuelles (VMM). Pendant le chargement de la machine, l’administration du BIOS passe non pas au chargeur du système d’exploitation mais au VMM qui à son tour lance le système d’exploitation installé. Ainsi, la « machine virtuelle » est la dernière ; toutes les interactions entre les programmes de l’utilisateur et le matériel s’opèrent via le VMM.

En plus du système d’exploitation chargé par l’utilisateur, le VMM en charge un autre exactement comme vous chargez plusieurs machines virtuelles dans le VMWare. Des programmes malicieux pourront y être exécutés. Les deux systèmes d’exploitation reposent sur une même « roue » : le VMM qui à son tour peut accéder directement au matériel.

Voici un exemple concret d’application d’un tel rootkit : le VMM , qui perçoit les frappes de clavier, les envoie au système d’exploitation de l’utilisateur et au système « indésirable » où elles seront interceptées par un keylogger puis envoyées à l’auteur du programme en évitant une fois de plus le système d’exploitation de l’utilisateur et ses moyens de protection. Le code du rootkit et toutes les traces de son activité sont en dehors des limites du système d’exploitation de l’utilisateur et par conséquent, ils ne peuvent être découverts directement depuis l’intérieur de celui-ci à l’aide d’un antivirus puissant ou d’un pare-feu.

Pour réaliser leur PoC sur Windows XP, les chercheurs ont eu besoin du code source de Virtual PC, du système d’exploitation hôte « néfaste » et d’une modification des pilotes du système d’exploitation de l’utilisateur.

Malgré le danger apparent que présente cette PoC, nous ne voyons aucune raison de s’inquiéter. Tout d’abord, la réalisation d’un tel rootkit est compliquée et n’est pas à la portée de tous les auteurs de virus, même si la base est un moteur VMM déjà prêt.

Ensuite, il est impossible de dissimuler la présence d’une couche supplémentaire entre le matériel et le système d’exploitation. Un niveau d’abstraction supplémentaire entraîne des effets secondaires :

  • Ralentissement du chargement du système ;
  • Modification du timing du processeur et ralentissement du système ;
  • Réduction de l’espace disque disponible (dans le cadre de l’étude, VMR occupait entre 100 et 200 Mo) ;
  • Détérioration de l’affichage des images : dépense de l’émulation brute du pilote vidéo ;
  • Modification des fichiers système pour garantir le fonctionnement adéquat du système d’exploitation avec le matériel émulé (et non pas « authentique »).

Enfin, il est assez simple de déceler la présence d’un rootkit virtuel. En plus des indices cités ci-dessus, le moyen le plus simple de découvrir et de détecter le code d’un rootkit est de démarrer l’ordinateur avec un périphérique extérieur (USB, CD) et d’analyser le disque dur au départ de ce périphérique. Si le VMR émule le redémarrage, comme le montre les thèses des chercheurs, et qu’il se cache en prenant les commandes de cette manière, il suffira de redémarrer pour contourner cette astuce. C’est-à-dire, enlever le cordon de la prise.

Ceci étant dit, à côté de eEye BootRoot décrit ci-dessus, SubVirt annonce l’arrivée proche de moyen de protection au niveau du matériel.

En plus des développements conceptuels, qui pourraient devenir les menaces informatiques de demain, nous ne cessons de rencontrer les réincarnations d’anciennes technologies améliorées et adaptées aux nouvelles réalités. Ceci se manifeste avec le plus de virulence dans les comportements les plus anciens, à savoir l’infection de fichiers ou l’insertion du code du virus dans d’autres logiciels.

La porte dérobée Backdoor.Win32.PoeBot est apparue en 2004. Elle fonctionnait selon l’algorithme suivant : l’individu mal intentionné configure une porte dérobée connue, par exemple une de la série Backdoor.Win32.SdBot ; il prend ensuite un programme populaire comme WinRar, y introduit le cheval de Troie à l’aide de la technologie EPO et le diffuse selon les méthodes standard de propagation des chevaux de Troie. Cela entraîne soit un ralentissement de la vitesse de réaction des éditeurs de logiciels antivirus car il faut trouver la procédure d’identification du programme malveillant et exclure toutes les fausses alertes sur le programme porteur (WinRar dans ce cas), soit une explosion du nombre de fausses alertes sur un programme sain, ce qui se produit malheureusement chez un grand nombre d’éditeurs de logiciels antivirus.

La famille de virus-chevaux de Troie Virus.Win32.Bube est apparue en 2005. Ils infectent le système de fichiers d’explorer.exe et tentent de charger d’autres chevaux de Troie plusieurs fois par heure. Ainsi, explorer.exe devient un véritable téléchargement de chevaux de Troie.

Virus.Win32.Nsag a fait son apparition après Bube. Il s’agit d’un downloader encore plus masqué. Le virus infecte la bibliothèque système wininet.dll et le code s’insère à la fonction HttpSendRequestA . Le code du cheval de Troie obtient ainsi le contrôle de toute activité de réseau du système infecté et le reste du temps, il « sommeille » dans l’ordinateur.

Le début de l’année 2006 a été marqué par l’apparition de plusieurs chevaux de Troie similaires, ce qui témoigne de l’intérêt croissant que porte les auteurs de virus à ce mode de diffusion de code de virus.

Il faut avant tout noter Trojan-Spy.Win32.Banker.alr qui, en plus des fonctions habituelles (vol d’informations) modifie les bibliothèques sfc.dll et sfc_os.dll de telle sorte que le rétablissement automatique des fichiers système est désactivé.

Dans la mesure où ce genre de cheval de Troie apparaît fréquemment, nous avons décidé de les regrouper tous au sein d’une même famille – Trojan.Win32.Patched.

Trojan.Win32.Patched.a Infecte svchost.exe. Ce fichier est enrichi d’un code qui charge le fichier mshost.dll (Trojan-Spy.Win32.Agent.ki) et qui lance le cheval de Troie.

Trojan.Win32.Patched.b Infecte un fichier système pris au hasard et intègre le code qui exécute le cheval de Troie depuis le flux NTFS d’un fichier .txt. Souvent, le nom du fichier texte coïncide avec le nom du programme infecté. Ainsi, si le cheval de Troie infecte le fichier sysformat.exe, la partie principale du cheval de Troie est exécutée depuis le flux du fichier sysformat.txt (C:\WINDOWS\system32\sysformat.txt:tamrofsys.exe).

Trojan.Win32.Patched.c Infecte un fichier du système au hasard, par exemple notepad.exe, et y intègre un très petit morceau de code (25 bits) qui ouvre le fichier .log du répertoire système de Windows chaque fois que notepad.exe est exécuté.

Quelle est la raison d’être de ces nouvelles formes de virus et que nous réserve l’avenir ? Comme vous le savez, les logiciels antivirus et les pare-feu modernes contrôlent uniquement certaines branches du registre et de l’activité de réseau.

Ces modes de protection acceptent des exceptions afin que l’utilisateur ne soit pas déranger lorsqu’il décide de modifier lui-même certains paramètres du système. Les tendances observées en 2005 et au début 2006 indiquent que les auteurs de virus commencent à exploiter des méthodes inhabituelles afin de pouvoir précisément tromper ces moniteurs :

  • lancement d’un cheval de Troie non pas via la clé Run du registre, mais après le lancement d’un fichier du système infecté;
  • téléchargement des chevaux de Troie via le processus Explorer.exe ou wininet.dll

Non seulement ce genre d’activité est difficile à identifier, mais les éditeurs de logiciels antivirus ont besoin de plus de temps pour créer les procédures adéquates de détection et de réparation vu que ce sont les bibliothèques système qui sont infectées.

Il est tout à fait probable que dans un avenir proche nous verrons apparaître une multitude de programmes malveillants développés selon le principe « si les moniteurs surveillent la modification des paramètres des modules du système d’exploitation, nous allons modifier les moniteurs eux-mêmes ». Ce principe a été adopté depuis belle lurette par les auteurs de virus qui ont développé des rootkits pour UNIX.

Nouvelles mobiles

La problématique de la protection antivirus des appareils nomades devient à chaque mois qui passe un peu plus actuelle. La faible quantité de chevaux de Troie pour téléphones tournant sous Symbian observée au cours des années précédentes a augmenté sensiblement vers la fin 2005. A l’heure actuelle, nous ajoutons chaque jour à nos bases antivirus jusqu’à 10 nouveaux chevaux de Troie développés pour attaquer des téléphones intelligents La grande majorité d’entre eux provient d’Asie, et plus particulièrement de Corée du Sud. Ce pays est devenu le premier « producteur » de virus pour téléphone mobile.

Toutefois, les technologies mobiles sont en pleine évolution et les virus suivent.

Le mois de février 2006 a été particulièrement fertile avec deux nouveautés. Kaspersky Lab est intervenue directement dans la découverte de la première d’entre elles. Un de nos utilisateurs avait remarqué qu’un grand nombre de sites russes pour utilisateurs de téléphone mobile faisaient une publicité active pour un programme appelé RedBrowser et qu’ils le diffusaient également. A en croire les auteurs de ce programme, leur produit permettait d’accéder à des sites wap sans recourir à une connexion Internet. Ce service fonctionnait par l’envoi et la réception de SMS contenant les informations du site qui intéressait l’utilisateur. Notre client décida de télécharger ce programme et de le tester sur son téléphone. Un SMS est bel et bien envoyé. Mais, on est loin « de l’utilisation gratuite d’Internet sans accès à Internet ». Le numéro vers lequel étaient envoyés les SMS était un numéro pratiquant un tarif compris entre 5 et 6 dollars par SMS.

Après avoir obtenu une copie du programme, nous avons étudié attentivement son code et nous avons pu confirmer complètement nos conclusions. Le cheval de Troie ressemblait à un fichier JAR et devait tourner sous le système d’exploitation J2ME qui équipe l’écrasante majorité des téléphones mobiles (et non pas uniquement les téléphones intelligents). Il y a peu de temps encore, personne ne croyait qu’il était possible d’infecter n’importe quel téléphone mobile existant avec un cheval de Troie. Ce cas a prouvé le contraire et il semblerait que ce cheval de Troie ait fonctionné un certain temps dans la nature et qu’il ait fait des victimes. Ce cheval de Troie fut baptisé Trojan-SMS.J2ME.RedBrowser.a (et peu de temps après, nous avons découvert une nouvelle version).

L’émergence en elle-même de chevaux de Troie pour J2ME est toute aussi marquante que l’apparition du premier ver pour téléphone intelligent en juin 2004. Il est encore difficile d’évaluer toutes les menaces potentielles mais l’existence d’un nombre de téléphones habituels supérieur à celui des téléphones intelligents et la prise de conscience par les individus mal intentionnés qu’il est possible d’utiliser un téléphone infecté à des fins criminelles nous forcent à étudier la possibilité de créer une protection antivirus pour cette catégorie d’appareils. L’apparition dans un avenir proche de chevaux de Troie similaires (pour l’envoi de SMS vers des numéros payant) pour la plate-forme Symbian n’est pas à exclure.

Le pourcentage de téléphones intelligents et de PDA tournant sous Windows Mobile ne cesse d’augmenter. Jusqu’à présent, nous n’avons recensé que deux programmes malveillants pour Windows Mobile\Pocket PC, à savoir le virus Duts et la porte dérobée Brador. Mais un troisième exemplaire s’est manifesté en février 2006. Cette histoire est quelque peu mystérieuse et soulève quelques questions importantes. La voici :

Tout commence lorsqu’une certaine organisation baptisée MARA (Mobile Antivirus Researchers Association) diffuse un communiqué de presse annonçant qu’un expéditeur anonyme leur a envoyé un nouveau virus de concept (PoC) capable de fonctionner non seulement dans les ordinateurs personnels sous Windows mais aussi d’infecter les téléphones mobiles tournant sous Windows Mobile. Etant donné que les virus pour WM sont très rares et que le communiqué de presse faisait état d’un virus multiplateforme complètement fonctionnel, l’annonce de MARA a suscité l’intérêt des mass media et des éditeurs de logiciels antivirus.

Bien évidemment, toutes ces personnes intéressées contactèrent MARA pour obtenir un exemplaire du virus afin de l’analyser et de l’ajouter à leurs bases antivirus. Mais toutes ces requêtes reçurent la même réponse, à savoir une proposition d’adhésion à MARA vu que les statuts de l’organisation n’autorisait l’échange de virus uniquement entre membres de l’association. Une telle attitude était pour le moins inattendue. Dans le secteur des logiciels antivirus, depuis toujours, il est de bon ton de s’échanger régulièrement les exemplaires de nouveaux virus. Cela se fait sans aucune demande formelle d’adhésion aux autres organisations. Et encore moins lorsqu’il s’agit d’un virus de concept qui peut marquer un tournant clé. Les éditeurs de logiciels antivirus favorisent de tels échanges afin de protéger un maximum d’utilisateurs, quels que soient les services antivirus qu’ils utilisent. Notre concurrence se manifeste uniquement au niveau du marketing et des services proposés.

Il va de soi que les éditeurs de logiciels antivirus ont rejeté la proposition d’adhésion à une organisation inconnue car ils ne souhaitaient pas, au nom d’un virus, lui faire de la publicité et accroître son importance sur la seule base des membres qu’elle contenait. Des questions ont commencé à être posées sur les membres actuels de l’association. Après un examen détaillé, il est ressorti que cette association était composée d’une dizaine d’individus environ, inconnus pour la plupart dans le secteur de la lutte contre les virus et qu’elle n’avait aucune coordonnées. Le membre le plus célèbre était le docteur Cyrus Peikari, auteur de plusieurs ouvrages sur la sécurité, et administrateur délégué d’une petite entreprise appelée AirScanner spécialisée dans la mise au point de solutions antivirus pour les téléphones mobiles. Le docteur Peikari avait fait la une il y a quelques années après avoir publié le code source du virus WinCE.Duts avec un article d’analyse qui en réalité était un mode d’emploi pour l’écriture de virus pour Windows Mobile. Le plus triste était que cet article avait été co-écrit par un des membres du groupe 29A connu sous le nom de Ratter. Et c’est précisément Ratter qui avait créé le virus Duts et qui avait transmis le code source à Peikari. La simple coopération avec un auteur de virus est totalement inacceptable du point de vue du secteur de la lutte contre les virus. La réputation de Peikari et de la société AirScanner a été fortement réduite suite à cet incident. Les questions relatives à l’histoire de l’apparition d’un virus multiplateforme (crossover selon la version de MARA) sont apparues les unes après les autres. Requête farfue d’adhésion à MARA pour obtenir un échantillon, lien démontré entre les membres de l’association et les auteurs de virus (qui savent créer des virus pour WinCE). Ce qui était incompréhensible, c’était pourquoi le virus avait été envoyé (anonymement) à un membre de MARA (dont le nom ne fut pas dévoilé) et non pas à un éditeur de logiciels antivirus connu comme cela avait toujours été le cas pour les virus de concept antérieurs.

Les conctacts avec MARA furent coupés. Le 8 mars 2006, Cyrus Peikari, publia une analyse détaillée du code du virus Crossover avec des exemples de code. Il s’agissait une fois de plus d’un manuel pour la création de virus pour Windows Mobile. Mais cette fois-ci, aucun co-auteur ne fut mentionné. Et la liste des membres de MARA fut retirée du site de l’organisation. Les principaux éditeurs de logiciels antivirus parvinrent malgré tout (on ne sait pas comment) à obtenir un exemplaire de ce virus. Il fut baptisé Cxover. Lorsqu’il est lancé, le virus analyse le système d’exploitation au démarrage de celui-ci puis recherche les appareils nomades accessibles depuis l’ordinateur personnel via ActiveSync. Le virus se copie ensuite via ActiveSync sur l’appareil découvert. Une fois qu’il a infecté le téléphone (ou le PDA), le virus tente de réaliser la procédure inverse, à savoir se copier sur un ordinateur personnel. Il est capable également de supprimer les fichiers de l’utilisateur sur l’appareil nomade.

Que dire sinon que la possibilité théorique de créer des virus pouvant fonctionner à la fois sur les ordinateurs personnels et sur des appareils nomades est devenue une réalité. Les codes sources ont été publié, tout a été dit. Welcome to the future.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com