Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug  
     
Les Analyses les plus Populaires



Courrier indésirable et phishing au deuxième trimestre 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos



Evolution des menaces informatiques au 2e trimestre 2014



10 astuces simples pour renforcer la sécurité de votre Mac



Courrier indésirable en juin 2014
 
 

  Page d'accueil / Analyses

Evolution du malware - Premier trimestre 2008

7.05.2008   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab

Malheureusement, comme souvent dans notre secteur, le bilan du premier trimestre 2008 est loin d'être réjouissant. Le taux de croissance des programmes malveillants ne cesse d'augmenter et des dizaines de milliers de nouvelles versions sont découvertes chaque jour. Outre l'augmentation du nombre de virus, on observe une tendance à la complication des technologies utilisées et à un mélange des vecteurs d'attaque qui privilégient les secteurs de la sécurité informatique qui ne bénéficient pas encore de la même protection que les secteurs traditionnels. Il s'agit notamment des technologies Web 2.0 et des appareils nomades.

Le recyclage d'anciennes idées et techniques était toujours d'actualité en 2008. Mais ces techniques anciennes comme l'infection des secteurs d'amorçage des disques durs, la diffusion des programmes malveillants à l'aide de disques amovibles et l'infection de fichiers sont en train de disparaitre mais elles restent inspiratrices de nouvelles cyber-menaces notamment en matière de bootkit.

On se souviendra certainement du premier trimestre 2008 comme étant celui de la mort de la "vieille école" de l'écriture de virus. Ainsi, à la fin du mois de février, le légendaire groupe 29A publiait sur son site un message annonçant la fin officielle de ses activités.


Ces personnes à l'origine de "Cap" (le premier virus de macro responsable d'une épidémie internationale), "Stream" (le premier virus pour flux complémentaire NTFS), "Donut" (le premier virus pour la plate-forme .NET), "Rugrat" (le premier virus pour la plate-forme Win64), les virus mobiles Cabir et Duts et bien d'autres jetaient le gant face à la commercialisation généralisée de l'écriture de virus. Plus personne ne crée des programmes malveillants pour s'exprimer, pour s'affirmer ou à des fins de recherche. Il est bien plus avantageux de générer des centaines de chevaux de Troie primitifs par souci d’appât du gain.

La disparition du groupe 29A a été marquée par la majorité des grands éditeurs de logiciels antivirus qui ont chacun versé une poignée de terre virtuelle sur la tombe d'un groupe qui, en son temps, avait causé pas mal de maux de têtes aux spécialistes de la lutte antivirale. Nous penserons à eux :).

Les paragraphes suivants abordent ce qui est venu remplacer la conception « romantique » de l'écriture de virus en 2008 :

  1. Bootkit
  2. Poursuite de la tempête
  3. TrojanGet
  4. Vers sociaux
  5. Nouveautés mobiles

Bootkit : la priorité dans la lutte anti-virale

Les bootkits, qui sont des outils de dissimulation d'activité avec une fonction de chargement depuis les secteurs de démarrage de n'importe quel périphérique, sont devenus de facto la principale épine dans le pied du secteur de la lutte contre les virus au premier semestre 2008. Globalement, la résistance et l'ampleur du problème ne sont pas encore connus du grand public mais il n'est pas exclu que ce problème devienne une réalité pour tout le monde d'ici peu.

Cette histoire débute en novembre 2007. Il serait toutefois plus exact de dire que cette histoire remonte à 2005. Mais cette date n'est pas tout à fait exacte non plus. Nous pouvons peut-être remonter dans le temps et revenir sur des événements survenus il y a 22 ans en 1986.

Voici comment l'Encyclopédie des virus décrit les événements de cette année sur le site viruslist.com (http://www.viruslist.com/fr/viruses/encyclopedia?chapter=161596644).

C'est cette année que la première épidémie de virus compatible avec IBM est détectée. Brain, qui infecte le secteur d'amorçage, se répand dans le monde entier en l'espace de quelques mois. Le succès de Brain peut s'expliquer par le fait que la communauté informatique n'avait aucune idée de ce qu'était un virus. En fait, la diffusion d'un nombre d'ouvrages de science-fiction sur le sujet ne fit que renforcer la sensation de panique au lieu d'informer les gens sur la sécurité.

Le virus Brain est l'œuvre de Basit Faroog Alvi, un programmeur pakistanais de 19 ans, et de son frère Amiad. Le virus contenait une ligne de texte indiquant le nom des auteurs, leur adresse et leur numéro de téléphone. Les auteurs du virus, qui travaillaient dans le service ventes d'une société de logiciels, expliquèrent leur geste par la volonté d'évaluer la « santé » du piratage informatique dans leur pays. A part l'infection du secteur d'amorçage et du remplacement du nom du disque par « ©Brain », le virus ne faisait rien. Il n'avait pas de véritable charge utile et ne corrompait pas les données. Malheureusement, les deux frères perdirent le contrôle de leur prétendue expérience et Brain se propagea au monde entier

Il est intéressant de remarquer que Brain est également le premier « virus furtif ». En cas de tentative de lecture du secteur infecté, le virus affiche les données originales saines.

C'est ainsi que tout a commencé. Les virus infectant les secteurs de démarrage allaient devenir pendant plus de 10 ans les programmes malveillants les plus répandus.

Leur principe de fonctionnement est relativement simple : ils utilisent des algorithmes de lancement du système d'exploitation à l'allumage ou au redémarrage de l'ordinateur. Le programme de redémarrage système calcule le premier secteur physique du disque de démarrage (A:, C: ou un cédérom en fonction des paramètres définis dans BIOS Setup) et lui transmet l'administration. Si un virus se trouve dans le secteur de démarrage, c'est lui qui reçoit l'administration.

L'infection de la disquette a lieu d'une seule façon : le virus écrit son code au lieu du code d'origine du secteur de démarrage de la disquette. Le disque dur est infecté de trois manières possibles : le virus écrase le code MBR, le code du secteur de démarrage du disque de démarrage (généralement, le disque C:) ou modifie l'adresse du secteur de démarrage actif dans la table de partitions du disque située dans le MBR du disque dur.

Lors de l’infection du disque, le virus transfère dans la majorité des cas le secteur de démarrage (ou le MBR) d'origine dans un autre secteur du disque (par exemple, dans le premier secteur disponible).

Ensuite, les développeurs d'ordinateurs ont commencé à ajouter des protections contre l'écriture dans le MBR de l'ordinateur, Windows 95/98 a fait son apparition, les disquettes ont commencé à être de moins en moins utilisées et après une dizaine d'années, les virus de secteur de démarrage ont disparu de la scène et ont rejoint les chroniques des années écoulées.

Mais en 2005, lors de la conférence Black Hat USA, Derek Soeder et Ryan Permeh, deux chercheurs de la société eEye Digital Security, ont présenté le concept "BootRoot". Cette technologie permettait d'introduire du code dans le secteur de démarrage du disque. Ce code interceptait le chargement du noyau Windows et ouvrait une porte dérobée permettant l'administration à distance sur le réseau local.

Ces travaux suscitèrent un certain intérêt et firent très vite des émules. En janvier 2006, John Hessman, un employé de Next-Generation Security Software, affirma que les fonctions de gestion de l’alimentation électrique de l’ordinateur (l’ACPI ou Advanced Configuration and Power Interface) permettaient la création de programmes remplissant les fonctions d’un rootkit et conservés dans la mémoire flash BIOS. L’emplacement du code malveillant dans la BIOS rend sa détection encore plus difficile que dans le cas des portes dérobées de démarrage. Hessman créa également un prototype de code qui permettait de suspendre les privilèges dans le système et de lire les données dans la mémoire de l’ordinateur.

Un an plus tard, au début de l'année 2007, Nitin et Vipin Kumar, deux programmeurs indiens, présentèrent Vbootkit, un outil de dissimulation d'activité doté de fonction de chargement depuis les secteurs de démarrage de n'importe quel périphérique compatible avec Windows Vista. Le code source ne fut pas publié mais certains éditeurs de logiciels antivirus en reçurent une copie.

Le principe général de fonctionnement de Vbootkit est le suivant :

BIOS --> Vbootkit code(from CD,PXE etc.) --> MBR --> NT Boot sector --> Windows Boot manager --> Windows Loader --> Vista Kernel.

Les auteurs du bootkit promirent d'inclure l'infection du BIOS dans la version suivante.

Il s'est produit ce qui devait se produire : l'ancienne technologie de l'infection des secteurs de démarrage avait fusionné avec la mode des outils de dissimulation d'activité. Bien que la grande majorité des logiciels antivirus modernes propose des fonctions d'analyse des secteurs de démarrage des disques, la problématique de la découverte des fonctions système interceptées et remplacées reste d'actualité et, à ce jour, elle n'a pas été complètement résolue même dans le cadre du fonctionnement d'un cheval de Troie et d'un logiciel antivirus dans un système d'exploitation, sans parler des portes dérobées ouvertes avant le système d'exploitation.

Tout cela ressemblait à un mélange détonnant qui n'attendait plus que l'étincelle. Cette étincelle se produisit en novembre 2007. Mais ce n'est qu'un peu plus tard, au mois de décembre, que l'information filtra lorsque plusieurs milliers d'utilisateurs (nous ne possédons pas le nombre exact des ordinateurs infectés) auraient pu devenir les victimes de la première incarnation malveillante de l'idée d'un outil de dissimulation d'activité de démarrage.

Outil de dissimulation d'activité de démarrage

Entre le 19 et le 28 décembre, plusieurs sites Internet qui provoquaient le téléchargement d'un programme malveillant grâce à la technique drive-by-download (infection à l'aide de codes d'exploitation placés sur le site) furent recensés. L'analyse détaillée de ce programme permit de voir que nous étions face à un code capable d'infecter le MBR et les secteurs du disque dur.

Une fois que le code malveillant a infecté l'ordinateur, il modifie le MBR, écrit les parties d'outil de dissimulation d'activité dans les secteurs du disque, extrait et installe une porte dérobée dans Windows puis se supprime.


Suite à l'infection, des instructions sont placées dans le MBR. Celles-ci transfèrent l'administration à la partie principale de l'outil de dissimulation d'activité placée dans plusieurs secteurs du disque et qui ne se présentent pas sous la forme de fichiers dans le système. Cette partie contrôle ensuite le système d'exploitation Windows déjà chargé et lors de la lecture à l'aide de l'interception et du remplacement des fonctions système, elle dissimule le MBR infecté ainsi que les secteurs "sales" et en présente des propres.


Outre la dissimulation de sa présence dans le système, le code malveillant installe une porte dérobée dans Windows. Cette porte intervient également dans le vol d'informations, notamment les données d'accès à divers systèmes bancaires en ligne.

La reconstruction des événements basée sur les versions découvertes de l'outil de dissimulation d'activité grâce à l'analyse des sites infectés et du code du programme malveillant téléchargé depuis ceux-ci montra que les auteurs inconnus avaient préparé cette diffusion depuis le début du mois de novembre 2007. C'est précisément lors de cette période (fin novembre - début du mois de décembre) que sont apparues les premières versions du programme malveillant, en quelque sorte les "versions alpha" truffées de fautes grossières dans le code, résultats de la recherche des versions optimum.

Les versions diffusées à la fin du mois de décembre pouvaient déjà fonctionner plus ou moins bien. Le programme malveillant, porteur des fonctions de bootkit et de porte dérobée, fut repris dans notre classification sous le nom Backdoor.Win32.Sinowal car de nombreuses fonctions de la porte dérobée et le recours à l'obfuscation du code étaient identiques à celles que nous connaissions depuis longtemps déjà dans le programme Trojan-PSW.Win32.Sinowal.

Malgré toutes les nouveautés et les ruses déployées par le bootkit, il ne pouvait assurer que sa protection tandis que le fichier de la porte dérobée pouvait parfaitement être identifié et supprimé. Ceci indique que des individus différents se sont chargés du développement du bootkit et de la porte dérobée et plusieurs indices indirects nous laissent penser que le bootkit a été créé par des auteurs de virus en Russie. Les exemples de coopération entre les auteurs de virus sont bien connus mais dans ce cas, le résultat évoquait plus le guerrier ayant endossé l'armure transformée de quelqu'un d'autre et par conséquent, inutile.

Il n'est pas exclu de voir prochainement des bootkits disponibles à la vente

Reste que le bootkit ressemble à une plate-forme autonome qui peut être ajoutée facilement à n'importe quel programme malveillant existant en vue de le protéger et de le dissimuler. Ceci signifie qu'il n'est pas exclu de voir prochainement des bootkits disponibles à la vente. La technologie deviendra alors accessible aux milliers de script-kiddies et, si nous tenons compte du taux de croissance actuelle des programmes malveillants, elle pourrait devenir une des menaces les plus étendues.

Qu'est-ce qui complique vraiment la lutte contre les bootkits ?

Il existe plusieurs problèmes fondamentaux :

  1. Le code malveillant prend les commandes avant le démarrage du système d'exploitation et, par conséquent, avant le démarrage du programme antivirus
  2. L'interception des fonctions est difficilement identifiable au sein d'un système d'exploitation infecté.
  3. La restauration des fonctions interceptées peut entraîner l'échec de tout le système d'exploitation.
  4. La réparation du MBR est possible uniquement avec la découverte du MBR d'origine.

Il est évident que la protection la plus efficace consiste à éviter l'infection du système car le bootkit n'apparaît pas par magie et il doit trouver un moyen de pénétrer dans l'ordinateur. Certains logiciels antivirus sont capables d'éviter l'infection par de nouvelles versions ou des versions inconnues de programmes malveillants. Toutefois, la probabilité d'une défaillance de ce genre de protection existe malgré tout et d'une manière ou d'une autre, nous serons confrontés à la nécessité de réparer un ordinateur infecté.

Deux scénarios sont possibles : soit le logiciel antivirus existe déjà dans le système (dans ce cas, seuls les quatre points cités ci-dessus le concernent), soit le système n'est pas doté d'un logiciel antivirus et dans ce cas il convient d'en installer un au plus vite. Dans le deuxième cas, nous nous heurtons à un autre problème qui découle du point 1, à savoir : le programme malveillant peut bloquer les tentatives d'installation du logiciel antivirus dans le système.

Les auteurs de virus ont analysé la manière dont les éditeurs de logiciels antivirus règlent les problèmes mentionnés ci-dessus et en février 2008, ils ont lancé une nouvelle version renforcée du bootkit. Suite à cela, les solutions existantes sont devenues inutiles.

Parallèlement à cela, une nouvelle étape du développement des bootkits a débuté. Des liens vers des sites européens piratés contenant des codes d'exploitation qui installaient le bootkit ont été identifiés.

Pour l'instant, Sinowal est le seul programme malveillant doté d'un bootkit. Et la lutte entre les auteurs de virus et les éditeurs de logiciels antivirus suit toujours le schéma classique "attaque - contre-attaque". Les logiciels antivirus sont capables de lutter contre la nouvelle version du bootkit sans devoir subir de grandes modifications.

Mais si nous nous tournons vers l'avenir, il est évident que tôt ou tard, nous serons confrontés à une situation où la seule manière de garantir la détection et la suppression de tels programmes malveillants sera la suivante : passer de la protection logicielle à la protection matérielle.

La question clé est de savoir qui obtiendra l'administration en premier ? S'il s'agit du virus, alors l'antivirus sera apriori inutile.

Ainsi, les virus ont atteint (à nouveau) l'enregistrement principal de démarrage. Il y a dix ans, nous avions résolu ce problème à l'aide de disquettes de démarrage dotée d'un logiciel antivirus. Il semblerait que le retour aux anciennes technologies soit d'actualité aussi bien pour les logiciels malveillants que pour les logiciels antivirus.

Début 2008 : la synergie optimisée entre codes malicieux et réseau de zombies

Le milieu du mois de janvier 2008 a marqué le premier anniversaire de l'apparition sur Internet des premiers exemplaires du virus qui allait être appelé Zhelatin, Nuwar et Storm Worm. Nous n'avions jamais connu d'exemples d'un programme malveillant au développement aussi dynamique et divers.

Zhelatin était le digne successeur des idées et des concepts exploités dans les vers Bagle et Warezov. Zhelatin a emprunté au premier la structure modulaire et au second, la fréquence d'apparition de nouvelles variantes, le refus de diffuser la fonction principale par courrier électronique, l'utilisation de centaines de sites infectés pour la diffusion ainsi que la diffusion via Skype et IM. A cela vinrent s'ajouter des astuces d'ingénierie sociale, des technologies d'outil de dissimulation d'activité, les méthodes de contre-attaques contre les éditeurs de logiciels antivirus et un réseau de zombies décentralisé. Et en moins d'un an, Storm Worm est devenu le principal casse-tête de la sécurité informatique, principalement à cause de son réseau de zombies aux proportions quasi mythiques.

La taille exacte du réseau « de la tempête » demeure à ce jour une énigme. En 2007, nous avons entendu les estimations les plus diverses sur le nombre de machines infectées, et ce au cours de la même période. Ainsi, au mois de septembre quelques experts estimaient que le réseau de zombies comptait deux millions de machines tandis que d'autres estimaient que le nombre de machines infectées était compris entre 250 000 et un million et un troisième groupe pensait que ce réseau ne comptait que 150 000 machines. Il y en a même qui ont évoqué le chiffre de 50 (!) millions d'ordinateurs infectés. Les causes de tels écarts dans les estimations sont évidentes : en raison du caractère décentralisé du réseau de zombies, il est impossible de définir avec précision le nombre de machines qui en font partie. Il est possible de se fier uniquement à des indicateurs indirectes qui sont pour le moins discutables.

Toujours est-il que le réseau de zombies « de la tempête » existe. Il n'a cependant pas été très actif. Nous n'avons enregistré aucune des activités classiques pour les réseaux de zombies : il n'est pas intervenu dans la diffusion de courrier indésirable, dans l'organisation d'attaques par déni de service (cela n'exclut toutefois pas la possibilité d'une utilisation commerciale par les cybercriminels selon d'autres moyens). Tout semblait indiquer que la seule tâche attribuée au réseau de zombies était la diffusion de Storm Worm (diffusion de nouveaux messages contenant des liens vers des sites infectés et installation sur les ordinateurs infectés de modules pour le téléchargement sur les ordinateurs des nouvelles victimes). La raison d'être de ce réseau de zombies n'était pas claire. Un réseau de zombie sans but particulier ? Cela n'est pas possible. Trop de ressources sont investies dans la création et l'entretien d'un tel réseau.

En octobre 2007, l'activité des diffusions de Zhelatin s'était quelque peu ralentie. Les experts qui avaient évoqué des millions de machines infectées revirent leurs estimations à la baisse et estimaient que le réseau comptait entre 150 et 200 milles ordinateurs. Certaines théories laissaient croire que le réseau de zombies allait être vendu en pièces. Les premiers cas de diffusion de courrier indésirable depuis des ordinateurs infectés par Storm Worm furent recensés. Toutefois, il est impossible de confirmer que ce courrier indésirable fut bel et bien diffusé via le réseau de zombies et non pas à l'aide d'autres programmes malveillants qui auraient pu se trouver également sur les ordinateurs infectés.

Les derniers mois de l'année 2007 et les premiers mois de l'année 2008 ont répondu à la question de savoir ce qui se passait avec Storm Worm, le ver « de la tempête ».

Il fit son retour à Noël. Le réseau de zombie diffusa des millions de messages portant des objets du genre "Find Some Christmas Tail", "Warm Up this Christmas" ou "Mrs. Clause Is Out Tonight!", qui attiraient les destinataires vers le site merrychristmasdude.com où se trouvaient des codes d'exploitation utilisant la technologie drive-by-download pour installer Storm Worm sur les ordinateurs des victimes. En fait, le site merrychristmasdude.com n'était pas un site concret qui aurait pu être fermé pour interrompre l'infection. Zhelatin exploitait à fond la méthode fast-flux de remplacement des adresses DNS, ce qui changeait en permanence l'emplacement du site entre plus de 1 000 ordinateurs préparés.

Des attaques similaires avec de légères variations se déroulèrent pendant quelques jours jusqu'au 15 janvier, date à laquelle un événement étrange se produisit. S'agissait-il d'une blague des auteurs ou s'étaient-ils vraiment trompés mais toujours est-il que le réseau de zombies commença à envoyer des cartes de Saint-Valentin alors qu'il restait encore un mois avant le 14 février !


Des messages avec des objets tels que "Sent with Love", "Our Love is Strong", "Your Love Has Opened", etc. attirèrent une fois de plus les utilisateurs vers un nouveau site « fast-flux ».

Les diffusions du mois de janvier furent plus massives et plus remarquables que les autres du premier trimestre 2008 et dépassèrent les résultats du deuxième semestre 2007. Les auteurs de Zhelatin, à l'aide de quelques coups puissants, avaient rendu à leur réseau de zombies son état d'antan, voire l'avaient dépassé. Les ordinateurs infectés par ce ver furent impliqués dans certaines attaques par déni de service et la société MessageLabs calcula que le réseau de la tempête était responsable de près de 20% du courrier indésirable en circulation à l'époque.

A la même époque environ, au mois de janvier, la société Fortinet, avança l'hypothèse que ce réseau de zombies avait été impliqué dans les attaques de phishing (hameçonnage) contre les banques Barclays et Halifax. Si cette hypothèse se confirme, alors il s'agira du premier cas d'utilisation directe du réseau de zombies Storm Worm dans le cadre d'activités criminelles classiques.

Alors que l'activité du ver de la tempête se faisait plus présente, les discussions sur la nécessité de capturer ses auteurs et de les mettre devant leurs responsabilités s'intensifiaient. Toutefois, les avis des experts sur la citoyenneté des individus à l'origine de Storm Worm divergent, sans parler de la définition d'éléments personnels.

Deux points de vue fondamentaux existent à l'heure actuelle. Dimitry Alperovitch, de Secure Computing, estime que les auteurs du ver de la tempête sont des citoyens russes. Il va même jusqu'à les placer à Saint-Pétersbourg et établit des parallèles avec la société RBN (Russian Business Network) et les auteurs de la suite de codes d'exploitation Mpac. De nombreux autres experts partagent cette position (sur l'origine russe).

D'autres pensent que Storm Worm est le résultat des travaux de citoyens américains. Ils argumentent cet avis par le fait que les auteurs de Storm Worm font preuve d'une connaissance trop bonne pour des étrangers des réalités et de la psychologie américaine dans les attaques par ingénierie sociale. Les diffusions organisées par le ver font référence à des nouvelles et des événements qui présentent un intérêt pour un public américain. Ces événements pourraient être inconnus des auteurs de virus d'autres pays, y compris de la Russie.

Nous ne détenons aucune information qui nous permettrait de confirmer une hypothèse ou l'autre. A notre avis, une des hypothèses les plus probables est celle de l'activité d'un groupe international aux responsabilités clairement définies. Une personne est chargée d'écrire le programme du ver, une autre se charge de la diffusion du courrier indésirable, une troisième place le vers sur des sites infectés, une quatrième pénètre dans les sites, une cinquième se charge de la diffusion du programme malveillant via les messageries instantanées et une sixième crée les codes d'exploitation.

L'ampleur de Storm Worm et les vecteurs de développement sont trop grands pour être l’œuvre d'une, de deux voire de trois personnes. Si notre hypothèse se vérifie, alors Storm est une illustration parfaite du milieu cybercriminel moderne avec la répartition internationale du travail. Ceci étant, la manière dont les cybercriminels gagnent de l'argent à l'aide de Storm Worm n'est toujours pas claire.

Et pendant que nous cherchions les réponses aux questions liées à Storm Worm, les auteurs du ver diffusèrent au mois de mars une nouvelle vague de message. Cette fois-ci, la cause était le "poisson d'avril", un événement populaire aux Etats-Unis, en Europe et en Russie.

Il reste à voir qui va être le dindon de la farce dans cette histoire.


TrojanGet : un malware s’invite sur une application de confiance ou comment transformer FlashGet en cheval de Troie

Les incidents en matière de sécurité informatique qui impliquent des applications légales et des éditeurs de logiciel en tant que diffuseur de l'infection sont rares mais existent malgré tout. Ces dernières années ont été marquées par des cas de fichiers de distribution infectés ou d'envoi de documents infectés à des partenaires.

Chaque incident de la sorte porte un coup à la réputation de l'application ou de la société, touche les utilisateurs qui respectent les règles de base de la sécurité informatique et pose un problème aux éditeurs de logiciels antivirus qui considèrent d'office les logiciels licites et leur source comme fiables.

Le premier trimestre 2008 a ajouté un nouveau chapitre à la chronique de ces événements.

Au début du mois de mars, les experts de Kaspersky Lab ont été confrontés à des appels d'utilisateurs qui faisaient état de l'existence de chevaux de Troie dans le répertoire du célèbre client de téléchargement FlashGet. L'analyse de la situation démontra que le problème se présentait chez les utilisateurs de ce programme dans le monde entier. Les principaux symptômes sont l'apparition dans le système de fichiers baptisés inapp4.exe, inapp5.exe, inapp6.exe détectés par Kaspersky Anti-Virus en tant que Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezo et Trojan-Dowloader.Win32.Agent.kht.

La situation était très étrange car aucun autre cheval de Troie qui aurait pu permettre l'intrusion de ces programmes n'avait été découvert. Certains des utilisateurs victimes du problème avaient installé tous les correctifs pour les systèmes d'exploitation et les navigateurs. Comment donc les programmes malveillants avaient-ils pénétré dans l'ordinateur ?

Notre attention fut tout de suite attirée par l'emplacement des chevaux de Troie, à savoir dans le répertoire de FlashGet. L'analyse permit de voir qu'en plus des chevaux de Troie, le fichier FGUpdate3.ini possédait une date de création et de modification récente (les différences par rapport au fichier original apparaissent en bleu) :

[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031
[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

Le lien vers le fichier inapp4.exe, qui était le cheval de Troie, menait au véritable site de FlashGet. C'est de là qu'il était téléchargé sur la forme d’appA.cab.

Aucune information relative à des incidents sur le site de FlashGet ne fut identifiée mais l'étude du forum des utilisateurs du programme mit en évidence une multitude de messages sur des cas d'infection et le silence total des développeurs.

Sur la base des informations que nous avons recueillies sur Internet, les premiers cas d'infection furent enregistrés le 29 février. Le dernier cas que nous connaissons à ce jour remonte au 9 mars. Durant dix jours, ce programme légal a fonctionné en tant que téléchargeur et a installé et exécuté des chevaux de Troie depuis le site de l'éditeur du logiciel sur les ordinateurs des utilisateurs.

L'incident semblait être clos. Lorsque nous avons publié nos informations, les chevaux de Troie avaient déjà été supprimés du site et le fichier FGUpdate3.ini (téléchargé également depuis Internet) avait retrouvé son état d'origine. Toutefois, moins de deux semaines plus tard, le 22 mars, Steve Bass, l'éditeur de la célèbre revue PC Word, trouva Trojan-Downloader.Win32.Agent.kht dans le répertoire FlashGet. L'histoire semblait se répéter : le site FlashGet et le programme diffusait à nouveau un code malveillant.

Nous pensons qu'il existe deux méthodes qui permettent de transformer FlashGet en cheval de Troie téléchargeur.

La première est la plus évidente : détourner le site de l'éditeur. Suite à cette opération, les individus mal intentionnés peuvent remplacer le fichier de configuration standard par un fichier qui réoriente l'utilisateur vers le cheval de Troie présent au même endroit. Nous ne savons pas pourquoi les pirates ont utilisé un autre site. Peut-être recherchaient-ils une meilleure dissimulation (le lien vers le site FlashGet dans le fichier de configuration peut ne pas éveiller l'attention).

Nous avons décidé de voir s'il était possible d'utiliser cette astuce pour télécharger n'importe quel autre fichier depuis n'importe quel autre site. La réponse est oui. Il suffit d'ajouter au fichier FGUpdate3.ini un lien vers "n'importe quoi" et ce "n'importe quoi" sera automatiquement téléchargé et exécuté sur l'ordinateur à chaque lancement de FlashGet. Même si vous n'appuyez pas sur le bouton "Actualiser", FlashGet utilisera lui-même les informations du fichier ini !

La vulnérabilité existe dans toutes les versions FlashGet 1.9.xx. Ceci signifie que même si le problème de l'intrusion sur le site de FlashGet peut être résolu, la vulnérabilité dans le système de sécurité de l'utilisateur demeure. N'importe quel cheval de Troie peut remplacer le fichier ini FlashGet local et l'obliger à remplir les fonctions d'un cheval de Troie téléchargeur. Et cette méthode est la deuxième des méthodes citées ci-dessus.

Faut-il rappeler que normalement, l'utilisateur considère FlashGet comme une application de confiance et autorise n'importe quelle activité de réseau et n'importe quelle requête vers n'importe quel site ?

La société chinoise derrière le développement de FlashGet n'a pas encore fait de déclaration officielle. Les causes véridiques de l'incident sont inconnues et rien ne permet de garantir qu'il ne se reproduira pas à l'avenir.

Vous pouvez en tirer vos propres conclusions...

Les éditeurs de logiciels antivirus se réservent le droit de décider que FlashGet est une menace potentielle et de le classer par conséquent dans la catégorie Riskware. Les raisons pour agir de la sorte sont bien plus que suffisantes.

Vers « sociaux » pour « réseaux sociaux »

Nous avons déjà évoqué les menaces qui planent sur les utilisateurs des réseaux sociaux dans notre rapport annuel. Selon nos pronostics, les utilisateurs des réseaux sociaux deviendront la principale cible des attaques d'hameçonnage en 2008. Les données d'accès à des services tels que Facebook, MySpaces, Livejournal, Blogger ou autres vont être de plus en plus recherchées par les individus mal intentionnés. Ceci va devenir une alternative dangereuse à la méthode de placement de programmes malveillants sur des sites compromis. En 2008, de nombreux chevaux de Troie vont être diffusés via des comptes d'utilisateurs de réseaux sociaux, via leurs blogs et leur profil.

Le mois de février 2008 a confirmé ces attentes. Le réseau social Orkut, appartenant à Google, a une nouvelle fois été la cible d'attaques.

Comme vous le savez, Orkut jouit d'une énorme popularité dans divers pays du monde, principalement au Brésil et en Inde. Selon les informations du service Alexa.com, à l'heure actuelle, plus de 67% des connexions à Orkut proviennent du Brésil et 15% proviennent d'Inde.

Cela fait quelques années maintenant que le Brésil est considéré comme un des pays les plus propices au virus au monde. Les auteurs de virus brésiliens ont produit des milliers de chevaux de Troie divers développés pour voler les données d'accès aux services bancaires en ligne. Les familles telles que Bancos, Banpaes et Banload sont composées pratiquement à 100% de chevaux de Troie créés en Amérique du Sud.

Les transactions bancaires en ligne sont très populaires au Brésil. Le réseau Orkut jouit d'une énorme popularité au Brésil. La population d'auteurs de virus au Brésil est très grande. Ces trois facteurs ne peuvent déboucher que sur une seule conclusion : l'apparition d'un ver diffusé via Orkut et chargé de voler les données d'accès aux services bancaires en ligne.

La liste de programmes malveillants présents sur Orkut est peut-être la plus grande de tous les réseaux sociaux. Des épidémies de virus y ont déjà été enregistrées en 2006 et en 2007. Entre 2005 et 2007, Orkut a été la cible d'attaques de pirates et ce réseau présente une multitude de vulnérabilités. Le dernier incident marquant fut l'apparition d'un ver à script en décembre 2007 qui infecta près de 700 000 utilisateurs.

Une nouvelle épidémie fut enregistrée deux mois plus tard, en février 2008. Cette fois-ci, les pirates ne cherchèrent pas à identifier et à exploiter les vulnérabilités XSS d'Orkut. La stratégie était assez simple :

  1. L'utilisateur reçoit un message de l'un de ses contacts. Il s'agit d'une carte à caractère pornographique sous la forme d'une animation Flash.
  2. Lorsque le destinataire clique sur la carte, il est redirigé vers un site malveillant.
  3. L'utilisateur est invité à voir l'animation Flash qui est en réalité un cheval de Troie.
  4. Une fois qu'il a été téléchargé et lancé, le cheval de Troie télécharge sur l'ordinateur infecté une série de composants.
  5. Le compte de l'utilisateur est exploité pour créer de nouveaux messages identiques à celui mentionné au point 1.
  6. Le module malveillant surveille les connexions de l'utilisateur au site Orkut.
  7. D'autres modules interceptent les données saisies à l'aide du clavier lorsque l'utilisateur se connecte à un des nombreux sites de services bancaires en ligne du Brésil.

Il est impossible de définir le nombre exact de victimes de cette attaque. Toutefois, nos collègues de Symantec évoquent le chiffre de 13 000 utilisateurs.

Cet incident montre une fois de plus la vulnérabilité des utilisateurs des réseaux sociaux. Les principaux éléments qui confèrent un intérêt simultané aux services Web 2.0 pour les utilisateurs et les pirates sont les suivants :

  1. Migration des données de l'utilisateur depuis l'ordinateur personnel vers Internet
  2. Utilisation d'un seul compte pour plusieurs services différents
  3. Informations détaillées sur l'utilisateur
  4. Informations relatives à ses contacts et à ses connaissances
  5. Endroit de publication de n'importe quoi
  6. Relations de confiance entre les contacts

Le problème est d'ores et déjà grave et il est fort probable qu'il devienne le principal problème en matière de sécurité informatique. Nous reviendrons prochainement sur ce sujet dans un article distinct.

Codes malicieux « dédiés » aux OS mobiles

Le premier trimestre 2008 a été riche en nouveautés dans le domaine de la virologie mobile. Nous observons la poursuite du développement des technologies et l'augmentation du nombre de participants, aussi bien parmi les auteurs de virus que parmi les éditeurs de logiciels antivirus.

Les nouveautés en la matière se répartissent de manière plus ou moins égale entre les quatre cibles principales des menaces pour appareils nomades : Symbian, Windows Mobile, J2ME et iPhone.

Symbian

S'agissant de Symbian, nous avons identifié un nouveau ver appartenant à une famille indépendante. Jusqu'à présent, nous connaissions uniquement deux fondateurs du genre : le ver Cabir diffusé via BlueTooth et le vers ComWar diffusé à l'aide de MMS ainsi que leurs diverses modifications.

Vers la fin du mois de décembre, ce qui ressemblait à un clone de ComWar, la version .y, fit son entrée dans les bases antivirus. Toutefois, son apparition au mois de janvier dans le trafic mobile de l'un des plus grands opérateurs nous amena à nous pencher un peu plus sur ce nouvel exemplaire.

L'analyse réalisée par notre partenaire F-Secure, une société finnoise, a montré qu'il s'agissait en réalité d'une toute nouvelle famille qui n'avait aucun rapport avec ComWar créé il y a trois ans en Russie.

Le principe de fonctionnement du ver, qui a reçu la classification Worm.SymbOS.Beselo.a (la variante Beselo.b fut identifiée un peu plus tard), est similaire à celui de ComWar et est classique pour les vers de ce type. La propagation a lieu par l'intermédiaire de la diffusion de fichiers SIS infectés via MMS ou Bluetooth. Une fois qu'il a été ouvert sur l'appareil attaqué, le ver se propage aux contacts du carnet d'adresses du téléphone intelligent ainsi qu'à tous les périphériques accessibles dans le rayon d'action Bluetooth.

La nouveauté est liée à l'apparition d'une nouvelle famille active de vers mobiles (et d'auteurs de virus actifs) et à l'existence de ce ver dans la nature. Il se peut que les nouvelles modifications de Beselo puissent déclencher des épidémies locales sérieuses, comme se fut le cas au printemps de l'année dernière à Valence lorsque 115 000 utilisateurs de téléphones intelligents furent victimes d'une version espagnole de ComWar.

Windows Mobile : premier malware à provoquer des infections

L'apparition d'un programme malveillant pour Windows Mobile, une plate-forme jusqu'alors épargnée par les auteurs de virus, mérite à elle seule d'être citée. Mais la découverte, à la fin du mois de mars, du cheval de Troie InfoJack.a est intéressante à plus d'un titre.

InfoJack.a :

  1. attaqué Windows Mobile ;
  2. été découvert dans la « nature » (in the Wild) ;
  3. diffusé en Chine ;
  4. volé des informations.

Ce cheval de Troie pour Windows Mobile a été découvert dans la nature (« in the Wild ») et a provoqué de nombreuses infections. La propagation a eu lieu depuis un site chinois proposant divers logiciels (licites). Le cheval de Troie a été ajouté à la distribution de logiciels mobiles tels que le client pour Google Maps ou des jeux. Le propriétaire du site, source de la diffusion du cheval de Troie, a déclaré qu'il n'avait aucune intention criminelle et qu'il récoltait des informations sur ses visiteurs uniquement dans le but d'améliorer le service et d'analyser le marché des applications pour appareils nomades.

Une fois dans le système, le cheval de Troie tente de désactiver la protection contre l'installation d'application dépourvue de la signature numérique de l'éditeur. Lorsque le téléphone intelligent se connecte à Internet, InfoJack commence à envoyer vers son propre site des informations privées depuis le téléphone (numéro de série du téléphone, informations relatives au système d'exploitation ou aux applications installées). Il peut en même temps télécharger sur le téléphone des fichiers complémentaires et les exécuter (sans notification de l'utilisateur car la protection contre l'exécution d'applications non signées est désactivée).

Après quelques jours d'activité, le site fut mis hors ligne, probablement à la suite d'une enquête menée par la police chinoise.

Nous avons déjà évoqué dans ce rapport ce qui se passe lorsque les auteurs de virus tournent leur attention vers des services populaires (les attaques contre Orkut au Brésil). La Chine est le leader incontesté d'après le nombre de programmes malveillants créés sur son territoire : à l'heure actuelle, plus de 50% de l'ensemble des nouveaux programmes malveillants dans nos bases antivirus sont d'origine chinoise. Jusqu'à présent, les cibles des pirates informatiques chinois sont les utilisateurs de jeux en ligne sur les ordinateurs personnels. Toutefois, InfoJack démontre l'existence en Chine de la possibilité d'organiser des épidémies de masse et de créer des virus pour appareils nomades.

La Chine fut le premier pays victime du cheval de Troie pour Windows Mobile. Il se peut que l'auteur d'InfoJack ne poursuivait pas des buts criminels mais les bases ont été posées et cet exemple pourrait être suivi par des milliers de pirates informatique chinois qui développeraient cette fois-ci des virus pour les ordinateurs personnels.

J2ME

Au cours du premier trimestre 2008, des chevaux de Troie pour J2ME (fonctionnant pratiquement sur n'importe quel téléphone mobile moderne et non pas seulement sur les téléphones intelligents) sont apparus à une fréquence effrayante. Au mois de janvier, nous avons découvert Smarm.b, en février, Smarm.c et Swapi.a et au mois de mars, SMSFree.d.

Ils ont tous été découverts en Russie et ils exploitent la même méthode pour gagner de l'argent sur le compte des utilisateurs : l'envoi de SMS vers un numéro à surfacturation (l'étude de l'incident impliquant le cheval de Troie SMS Viver que nous avions réalisée l'année dernière a démontré qu'en trois jours seulement, l'auteur du cheval de Troie avait pu gagner près de 500 dollars américains). Malgré tous les incidents, les fournisseurs de contenu mobile continuent à préserver l'anonymat de tous les détenteurs de numéros à surfacturation ce qui empêche de mener des poursuites contre les auteurs de virus. L'émergence de nouvelles versions des programmes malveillants et l'absence d'informations sur l'arrestation des auteurs le confirment.

Outre les chevaux de Troie pour J2ME cité ci-dessus, deux autres programmes malveillants réalisent également des diffusions de SMS payants. Ils sont écrits dans le langage Python et visent les téléphones intelligents. Il s'agit de Flocker.d et Flocker.e, découverts en janvier 2008.

Le mode de diffusion de ces menaces est parfaitement identique au mode de diffusion d'InfoJack décrit ci-dessus, à savoir via des sites fréquentés qui proposent des logiciels pour appareils nomades. Les chevaux de Troie sont présentés soit sous la forme d'utilitaires intéressant ou sont intégrés à ces programmes.

iPhone

Pour terminer notre survol des menaces pour les appareils nomades, nous allons parler d'un événement longtemps attendu, à savoir la sortie en mars du SDK pour l'iPhone.

A l'époque nous avions supposé que la sortie du SDK entraînera l'apparition de nombreux programmes malveillants pour l'iPhone. Toutefois, les possibilités du SDK d'Apple sont très limitées.

Apple a choisi la voie de Symbian : le modèle de création de diffusion des programmes pour l'iPhone repose sur l'idée d'applications "signées". La principale restriction réside dans le contrat d'utilisation du SDK d'iPhone : "Aucun code interprété ne peut être téléchargé et utilisé dans une application sauf s’il s’agit d’un code interprété et exécuté par les API publiées par Apple ou les interprètes intégrés. L'application ne peut ni installer, ni lancer un autre code exécutable, ni utiliser une architecture avec des modules externes, faire appel à des interfaces logicielles externes et d'autres sous-systèmes du genre".

De telles restrictions compliquent la vie non seulement des auteurs de virus mais marquent également de fait la fin d'applications comme Firefox, Opera, de nombreux jeux, des clients de messagerie et d'autres logiciels utiles qui auraient pu remporter un certain succès sur l'iPhone et élargir les possibilités d'utilisation de l'appareil.

Quatre jours après sa diffusion, le SDK avait été téléchargé plus de 100 000 fois. On aurait pu croire qu'un tel nombre de développeurs potentiels d'application aurait du entraîner une hausse du nombre de nouvelles applications créées à l'aide du SDK. Mais ce ne fut pas le cas.

Apple a tenu sa promesse en offrant le SDK, mais pour l'instant il est difficile de savoir l'influence de ce geste dans la pratique sur le développement d'applications licites pour le téléphone. Les restrictions sont trop nombreuses et pas assez de fonctions dans le SDK n'ont été ouvertes.

La deuxième restriction importante est la possibilité de diffuser les applications créées uniquement via le magasin en ligne d'Apple. Ceci entraîne l'apparition de toute une série de barrières supplémentaires, depuis la restriction du nombre de "vendeurs"-créateurs admis jusqu'aux restrictions territoriales (uniquement depuis les Etats-Unis).

Dans de telles conditions, il est évident que nous serons toujours dans l'incapacité de proposer un logiciel antivirus pour l'iPhone. Mais le problème n'est pas technique.

Tout ceci se déroule dans le contexte de la poursuite des craquages de l'iPhone. Les estimations du nombre de téléphones "libérés" varient déjà entre 25 et 50 pour cent du nombre de téléphones vendus et tous ces dispositifs sont exposés au risque d'infection par n'importe quel programme malveillant pour l'iPhone car les utilisateurs téléchargent des fichiers en provenance de dizaines de référentiels officieux. Ce processus ne peut être contrôlé, les utilisateurs sont privés du service d'assistance technique officiel et nous ne pouvons leur offrir une protection contre les virus.

Dans un avenir proche, le nombre de ces utilisateurs sera comparable au nombre d'utilisateurs de téléphones intelligents sous Symbian en 2004 lorsque Cabir fit son apparition.

Conclusion

Le bilan du premier semestre 2008 montre que l'accalmie technique sur le front des virus touche à sa fin.

L'année dernière, nous avions constaté le fonctionnement typique de la production à la chaîne de programmes malveillants, des programmes primitifs mais nombreux, sans aucune tentative d'explorer de nouvelles technologies pour les virus. Cela s'expliquait par la spécialisation des auteurs de virus. A l'époque, même les méthodes anciennes et connues depuis longtemps utilisées à une échelle "industrielle" permettaient de gagner de l'argent.

Aujourd'hui, la tendance s'est modifiée, comme en témoigne l'apparition de la première incarnation malveillante du bootkit. De plus, les méthodes d'infection des fichiers ne cessent de changer, notamment le recours à des technologies polymorphes compliquées. Il faut noter également l'emprunt direct par les auteurs de virus de certaines technologies antivirus. Ainsi, il existe déjà des programmes malveillants qui, pour lutter contre les logiciels antivirus (suppression ou blocage de l'installation), contiennent une fonction de détection des fichiers d'un antivirus sur l'ordinateur sur la base de signatures. Auparavant, les auteurs de virus se contentaient exclusivement de rechercher ces fichiers par leur nom.

A l'heure actuelle, nous observons une refonte des anciennes technologies et leur réalisation à un nouveau niveau. Dans la lutte entre les virus et les antivirus, nous observons le passage du niveau logiciel au niveau matériel.

Les événements du premier trimestre ne peuvent pas encore être considérés comme une tendance, toutefois, les problèmes posés risquent d'exercer une forte influence à court terme sur le secteur de la sécurité informatique.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com