Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



Les prédateurs sur Internet



Enquête sur un incident : vol dans une banque électronique



Livraison des diffuseurs de spam : danger garanti



La fraude dans les jeux en ligne, ou comment prendre les joueurs à l'hameçon



Courrier indésirable en juillet 2014
 
 

  Page d'accueil / Analyses

Evolution du malware : deuxième trimestre 2006

21.07.2006   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab

N’importe quel service de messagerie possédant une interface Web (par exemple, Google Mail) est potentiellement vulnérable. Quant aux virus multiplateformes Windows/Linux, ils suscitent toujours un très grand intérêt chez les auteurs de virus et rien n’indique qu’ils vont arrêter d’étudier ces options.

Le deuxième trimestre 2006 restera probablement un des trimestres les plus calmes de ces dernières années. La quasi-absence d’épidémies plus ou moins remarquables de vers de messagerie et de réseau coïncide avec la diffusion de versions bêta et de versions commerciales de logiciels de nouvelle génération chez la majorité des principaux éditeurs de logiciels antivirus. Les auteurs de virus ont pris une pause afin de développer une contre-offensive face aux nouvelles générations de logiciels antivirus. C’est la raison pour laquelle la majeure partie des « opérations » se sont déroulées loin des regards des utilisateurs conventionnels dans le domaine de la résistance technologique. Il n’empêche que certains aspects de cette guerre secrète ont été abordés dans les journaux et sur Internet. Cet article, signé par l’un des plus éminents experts du laboratoire antiviral de Kaspersky Lab, vise à fournir plus de détails sur les événements qui n’ont pas été dévoilés et sur ceux qui ont attiré l’attention des utilisateurs et des éditeurs de logiciels antivirus.

1. Nombreuses vulnérabilités dans les logiciels MS Office

Ces trois dernières années, vous vous en souviendrez, ont été marquées par l’imposant volume de vulnérabilités critiques décelées dans le système d’exploitation Windows. RPC-DCOM, LSASS, WINS ou PnP sont des termes qui non seulement sont entrés dans le vocabulaire des administrateurs de système et des programmeurs mais qui constituent également un vrai casse-tête pour les analystes des éditeurs de logiciels antivirus et un cauchemar pour les utilisateurs traditionnels. Les failles béantes présentes dans les applications de réseau sous Windows ont exposé des dizaines, voire des centaines de millions d’ordinateurs dans le monde et les auteurs de virus n’ont pas hésité à les exploiter. Ce sont ces failles qui ont conduit à l’émergence de vers tristement célèbres comme Lovesan, Sasser et Mytob, sans compter les centaines d’autres vers moins connus du grand public mais tout aussi dangereux.

Aux alentours de l’automne 2005, Microsoft est parvenu à plus ou moins contenir cette vague de vulnérabilités grâce en grande partie à la diffusion d’un deuxième « service pack » pour XP. Dès cet instant, les pirates se sont concentrés plus sur les modules secondaires que les modules principaux de Windows vers. Ils remportèrent leur plus grande victoire en décembre 2005 avec la découverte d’une faille dans le traitement des fichiers WMF et l’exploitation de celle-ci. D’autres attaquants se sont mis) à chercher des problèmes dans les logiciels antivirus et le matériel de réseau. Entre la fin du printemps et le début de l’été 2006, le deuxième produit le plus important de Microsoft (où le premier, si l’on tient compte de la structure des revenus de la société), à savoir MS Office, s’est retrouvé dans le collimateur des auteurs de virus.

Le modèle de traitement des fichiers OLE utilisés dans MS Office avait déjà suscité des questions de la part des spécialistes de la sécurité informatique. Bien que ce format soit bien documenté, il représente un point noir. Un nombre trop important de secteurs critiques et une structure d’interaction entre les secteurs des objets OLE mal définie sont les éléments qui, en 2003, ont entraîné l’apparition d’une vulnérabilité dangereuse (MS03-037) dans les documents MS Office qui permettait d’exécuter un code aléatoire au moment de l’ouverture d’un document créé spécialement. Cette vulnérabilité fut exploitée pendant tout un temps dans les attaques de certains groupes de pirates chinois. Tout semble indiquer que ces mêmes groupes furent impliqués dans les événements de mars 2006.

La vulnérabilité MS06-012 frappa tous les logiciels de la suite bureautique Office à partir de la version 2000. Ce premier avertissement attira l’attention de Microsoft et d’un grand nombre de pirates. Le format des documents OLE fit alors l’objet de toutes les attentions. Malheureusement, nous sommes forcés de constater que les e-criminels ont été plus attentifs que Microsoft dans leurs travaux. Les failles mises à jour au cours des trois mois qui suivirent se ressemblaient beaucoup : chacune reposait sur un même problème, à savoir la mauvaise vérification de certaines données dans la description OLE. Visiblement, Microsoft se contenta d’appliquer un emplâtre sur une jambe de bois. En effet, le géant de Redmond ne prit pas la peine de vérifier les champs voisins dans les fichiers si bien que dès qu’un correctif était publié, des informations relatives à une nouvelle vulnérabilité étaient diffusées le lendemain.

Il est intéressant de constater que ces nombreux problèmes dans Office, et principalement dans MS Excel, sont apparus alors que Google lançait son propre tableur, un concurrent direct d’Excel.

Voici une chronologie de l’apparition des vulnérabilités MS (selon les données de US-CERT) :

03/14/2006 Microsoft Office routing slip buffer overflow 03/14/2006 Microsoft Excel malformed record memory corruption vulnerability 03/14/2006 Microsoft Excel fails to properly perform range validation when parsing document files 03/14/2006 Microsoft Excel malformed graphic memory corruption vulnerability 03/14/2006 Microsoft Excel malformed description memory corruption vulnerability 03/14/2006 Microsoft Excel malformed parsing format file memory corruption vulnerability 05/19/2006 Microsoft Word object pointer memory corruption vulnerability 06/13/2006 Microsoft PowerPoint malformed record vulnerability 16///2006 Microsoft Excel vulnerability

La vulnérabilité du 19 mai représentait une nouvelle menace. Si les experts informatiques se sont rendu compte de son existence uniquement suite à la découverte de la diffusion massive d’un cheval de Troie exploitant cette vulnérabilité. Une fois de plus, les auteurs de virus exploitaient une faille selon le principe du zéro-day. Ces vulnérabilités sont particulièrement dangereuses car les éditeurs de logiciels perdent du temps à étudier le problème et à produire le correctif tandis que le code malveillant se diffuse activement via Internet.

Microsoft prit près d’un mois pour diffuser les correctifs MS06-027 (exécution de code à distance dans Word) et MS06-027 (exécution de code à distance dans Powerpoint). Bien sûr, nous savons tous que Microsoft tient, avec une obstination quasi maladive, à son programme de diffusion des mises à jour « le deuxième mardi de chaque mois ». Cette attitude serait justifiée si une vulnérabilité presque identique n’avait pas été découverte dans MS Excel deux jours après la diffusion des « correctifs du mardi » (le 13 juin). Comment est-il possible que les ingénieurs de Microsoft n’aient pas vérifié si Excel ne présentait pas une vulnérabilité identique avant de diffuser le correctif ? Et ce n’est pas tout. Deux nouvelles vulnérabilités dans MS Office furent découvertes au cours de la dernière décade de juin : Microsoft Windows Hyperlink Object Library Buffer Overflow et Microsoft Excel 'Shockwave Flash Object' Lets Remote Users Execute Code Automatically.

Les analyses réalisées par les experts de Kaspersky Lab ont permis de démontrer que le même problème est à l’origine de la majorité de ces vulnérabilités. Microsoft ne peut se contenter de diffuser un correctif pour chaque faille identifiée. Il faut vérifier tous les champs de la structure des objets OLE, soit plus d’une centaine.

Ce qui rend la situation encore plus critique, c’est que la majeure partie de ces vulnérabilités ont été identifiées par les membres de la communauté blackhat et exploitées pour diffuser du code malveillant. Les auteurs de virus ont une longueur d’avance et à tout moment, ils peuvent diffuser via Internet quelques nouveaux programmes dangereux.

Nous invitons les utilisateurs et les administrateurs de système à renforcer au maximum la sécurité relative aux documents MS Office. Il ne faut ouvrir en aucun cas les fichiers en provenance de sources suspectes et il est conseillé de les soumettre obligatoirement à une analyse antivirus. Bien sûr, il faut également installer les correctifs proposés par Microsoft, ce qui est impossible dans bien des cas car ils n’existent pas.

2. Les « casseurs de code » et la lutte contre le chantage

Ce sujet se trouve depuis longtemps au centre de notre attention. Chacun de nos bilans trimestriels contient une section consacrée aux exemples les plus frappants de chantage à l’aide de programmes malveillants. Ces programmes, avec le tristement célèbre GpCode en tête, sont apparus pour la première fois en 2004. Ils ont connu un développement actif tout au long de l’année 2005 et semblent être cette année au sommet de leur activité.

Alors qu’au début les auteurs de ces virus se contentaient d’utiliser des algorithmes de codage primitifs (GpCode) ou d’abîmer la base de registres système (Krotten), ils utilisent désormais des méthodes de codage plus complexes (RSA) et des techniques de compactage des données dans des archives protégées par des mots de passe.

Nous avons déjà évoqué le cheval de Troie Cryzip qui s’en prenait aux utilisateurs américains en compactant les fichiers dans des archives ZIP protégées par un mot de passe de plus de 30 caractères. Des cas similaires se sont manifestés en mai 2006 en Grande-Bretagne. Le cheval de Troie MayArchive agit de la même manière et nombreux sont les spécialistes de la sécurité informatique qui estiment qu’il s’agit simplement d’une nouvelle version de Cryzip. Dans l’ensemble, ces chevaux de Troie compacteurs représentent toujours une menace pour les utilisateurs occidentaux. Le codage des fichiers est quant à lui plus répandu en Russie.

Le premier algorithme de codage RSA fut utilisé en janvier 2006 dans le virus GpCode.ac. L’auteur de ce virus utilisa une clé de 56 bits, ce qui ne présenta aucune difficulté aux éditeurs de logiciels antivirus pour la décoder et rétablir les fichiers infectés.

Il est incontestable que la vitesse à laquelle le décodage et la restauration des fichiers a eu lieu a poussé l’auteur du virus à choisir la voie de la moindre résistance (lui semblait-il). L’Internet russe fut frappé en juin par une nouvelle version de ce virus. Cette fois-ci, la clé utilisée était sensiblement plus longue et atteignait 260 bits. Une fois de plus, nos experts furent à la hauteur et la clé fut décodée en moins de cinq minutes. Une véritable course était lancée : qui serait le plus déterminé ? Qui posséderait la plus grande puissance de calcul et les meilleures connaissances en cryptographie ? L’abandon de l’auteur de GpCode figurait parmi les éventualités mais c’est une éventualité que les éditeurs de logiciels antivirus préféraient ignorer. Il fallait protéger les victimes. Après le décodage de la clé de 260 bits, l’auteur a réagi en diffusant une nouvelle version de 330 bits cette fois. A ce stade, la situation devient plus sérieuse. Certains éditeurs de logiciels antivirus jetèrent l’éponge. Kaspersky Lab, quant à elle, parvint à décoder cette nouvelle clé en moins de 24 heures. C’est à ce moment que l’auteur de GpCode s’emballa. Le 7 juin 2006, GpCode.ag était téléchargé sur des milliers d’ordinateurs en Russie depuis un site infecté. Ce virus exploitait la clé la plus longue jamais décodée : 660 bits. Selon les estimations les plus approximatives, le décodage d’une telle clé prendrait plus de 30 ans à un seul ordinateur de 2,2 Ghz. Une fois de plus, nos experts démontrèrent leurs talents. Les procédures de décodage des fichiers encodés par la clé RSA-660 furent ajoutées à nos bases antivirus le jour même. Nous ne pouvons pas dévoiler les détails mais nous pouvons vous affirmer qu’il s’agit d’une des plus belles solutions apportées à un problème de cryptographie dans toute l’histoire de la virologie informatique.

Nous avons également déployé en parallèle tous les efforts pour fermer le site contribuant à la diffusion de GpCode. Le lendemain matin, il était hors ligne. A l’heure où nous écrivons ce rapport, aucune nouvelle version du virus n’a été identifiée mais il faut s’attendre à l’émergence à tout moment d’une nouvelle version de GpCode avec une clé encore plus longue.

Le schéma de diffusion de ce virus est particulièrement intéressant. La méthode exploitée est très subtile et elle prend la forme d’une attaque ciblée sur les utilisateurs d’un site de recherche d’emplois les plus fréquentés en Russie. Toutes les personnes qui avaient publié leur C.V. sur ce site ont été contactées par l’auteur du cheval de Troie qui se faisait passer pour un employeur potentiel. C’est ce qui explique le pourcentage élevé d’infections parmi les destinataires de ces messages.

C’est une histoire digne d’un roman policier dont la fin reste à écrire. Vous pouvez lire sur notre site un article spécial consacré à GpCode et intitulé « Le maître-chanteur ».

Quel avenir pour le développement asymétrique du codage dans les programmes malveillants. Bien que nous ayons été en mesure de décoder les clés de 330 et de 660 bits dans des délais raisonnables, il est clair que ces clés constituent en fait la limite de la cryptographie moderne. Les éditeurs de logiciels antivirus peuvent être totalement impuissants face à un algorithme RSA exécuté avec soin ou un « algorithme similaire à clé ouverte ». Le décodage d’une telle clé peut même représenter un défi insurmontable pour bon nombre de centres de calcul dotés de superordinateurs. Selon nous, la prévention demeure l’unique moyen de protection : créer des copies de sauvegarde de tous les documents, de toutes les bases de données et de toutes les bases de messagerie utilisées. Les éditeurs de logiciels antivirus doivent accélérer le développement de méthodes proactives qui éviteraient le codage/le compactage des données de l’utilisateur.

Les auteurs de GpCode, de Cryzip et de Krotten courent toujours et même si tous les efforts sont déployés pour les mettre derrière les barreaux, leur arrestation ne signifierait pas pour autant la fin de ce genre de virus. Pour cette raison, la problématique du chantage va demeurer une des principales préoccupations des éditeurs de logiciels antivirus à court terme.

3. Le polymorphisme de scripts

Le terme « polymorphe » (du grec « de plusieurs formes ») appliqué aux virus informatiques est apparu dans les années 1990. Depuis lors, le polymorphisme des virus a connu plusieurs phases de développement, depuis le simple codage « OU exclusif » par bit jusqu’aux polymorphes plus complexes utilisant des algorithmes compliqués, y compris des algorithmes de cryptographie. Le polymorphisme a fait l’objet de nombreux articles et de thèses de doctorat. Les virus polymorphes ont connu un développement rapide jusqu’à la fin du XXe siècle puis les auteurs de virus se sont tournés vers les vers et les chevaux de Troie.

Il semblait que la technologie permettant de compliquer la tâche des logiciels antivirus par le biais d’une mutation constante du code n’était plus requise.

Toutefois, les auteurs de virus tournèrent à nouveau leur regard vers le polymorphisme en 2003. Ce changement de tactique se justifiait par le perfectionnement des logiciels antivirus qui étaient désormais capables d’identifier les différents compacteurs, enfants chéris des auteurs de virus, utilisés pour dissimuler le code. Les exemples « classiques » du polymorphisme que sont DarkAvenger-a, Black Baron et Zombie furent tirés de leur « retraite ». Ces différents programmes furent actualisés sur la base des connaissances modernes et de la puissance de calcul disponible et les polymorphes de la nouvelle génération firent leur apparition en masse sur Internet.

Les experts des laboratoires antivirus ont été confrontés ces dernières années au polymorphisme, au « code désordonné », à la résistance contre les programmes d’analyse. Vers la fin 2005 et le début 2006, le polymorphisme est entré dans un territoire insolite, celui des vers script.

Alors que les éditeurs de logiciels antivirus ont depuis longtemps créé des émulateurs de code et des analyseurs heuristiques pour lutter contre les polymorphes binaires, le besoin ne s’était pas encore fait sentir pour les vers script. Seuls quelques codes d’exploitation en langage de script pour des vulnérabilités dans des navigateurs ont été réalisés et ils s’inspirent des chevaux de Troie « téléchargeurs ». Les virus scripts ont atteint le sommet de leur gloire et de leur popularité à la fin du siècle dernier avec le ver LoveLetter.

Un des chercheurs les plus actifs au niveau du potentiel du polymorphisme dans les scripts est sans conteste un écolier autrichien connu sous le pseudonyme de Spth. Il parvint à intégrer un algorithme polymorphe très intéressant dans le virus JavaScript Cassa. Mais les individus mal intentionnés n’étaient pas les seuls à s’intéresser à cette question. Ainsi, la technique fut largement utilisée par les webmasters qui souhaitaient protéger de la sorte le code de leur site contre le vol.

Certains programmes permettant de coder le contenu des pages HTML firent leur apparition. Ces programmes reposaient sur des fonctions Java Script qui déchiffraient le contenu des pages HTML à la volée afin d’interpréter correctement le code dans le navigateur.

Les auteurs de virus avaient désormais accès à des concepteurs de virus « clé en main » dont l’utilisation ne requérait pas de grandes connaissances en matière de polymorphisme. Les scripts-kiddies entraient en scène (le mot script peut être utilisé ici au sens premier). Après le cryptage des codes d’exploitation et des chevaux de Troie, ils obligèrent les éditeurs de logiciels antivirus à penser sérieusement à la contre-offensive.

La tâche était d’autant plus compliquée que les méthodes traditionnelles d’émulation du code ne sont pas très utiles car elles exigent l’analyse des pages Web au moment du chargement dans le navigateur et que le moindre retard dans l’exécution pouvait entraîner des réclamations d’utilisateur se plaignant de la « lenteur d’Internet ».

Comme si cela ne suffisait pas, certains auteurs de programmes parfaitement légitimes pour le cryptage de pages Web allèrent jusqu’à diffuser le code de leurs programmes, offrant ainsi à toute personne qui le souhaitait la possibilité de mettre au point des algorithmes polymorphes relativement puissants (par exemple, HTML Guard).

Ainsi, au cours du premier semestre 2006, nous avons été confrontés à plusieurs vers de messagerie relativement dangereux et très actifs : Feebs et Scano.

Les deux vers se diffusent par courrier électronique sous la forme d’une pièce jointe (JavaScript crypté). Il ressemble à une page HTML normale, ce qui réduit la méfiance des utilisateurs habitués à ce que les vers de messagerie se trouvent dans des fichiers exécutables ou dans des documents MS Office. La majorité des utilisateurs ne considèrent pas les pages HTML comme des objets exécutables pouvant contenir un code dangereux.

Lorsque ce fichier est ouvert, le code polymorphe est exécuté et le fichier exécutable « normal », constituant le corps principal du ver, est installé dans le système. Le ver commence à produire ses nouvelles copies sous la forme de fichiers JavaScript mais ces copies diffèrent tellement les unes des autres qu’il est impossible d’y trouver un morceau de code commun. C’est le fruit du moteur polymorphe du ver. Ces fichiers sont ensuite envoyés par courrier électronique à toutes les adresses relevées sur l’ordinateur infecté et le cycle peut recommencer.

Afin de compliquer davantage le travail des laboratoires antivirus, les auteurs de ces vers diffusent (diffusaient) de nouvelles versions tous les deux ou trois jours.

Quelle est donc la situation ? Nous sommes en présence d’une ancienne technologie adaptée à de nouvelles conditions. Il y a quelques indices d’ingénierie sociale vu que les utilisateurs ne se doutent pas du caractère dangereux des pages HTML alors qu’elles contiennent un code de script. Il est difficile de créer des méthodes fiables de détection de ces virus car ces méthodes ne peuvent pas ralentir le travail des utilisateurs et le risque de fausses alertes sur des pages cryptées en toute légalité est très élevé.

Malgré le développement rapide de nouveaux virus et des technologies antivirales, force est de constater que les méthodes classiques restent toujours d’actualité. Malheureusement, le secteur de la lutte contre les virus est composé de sociétés expérimentées et de jeunes entreprises start-up qui ne jouissent pas d’une grande expérience dans la lutte contre les « vieilles menaces ». Et l’application de technologies récentes, telles que l’analyse « à la volée » du trafic http, contre les virus polymorphes est totalement inutile.

4. Concepts

A l’heure actuelle, la théorie des virus traverse une phase de stagnation. Comme nous l’avons déjà dit, les auteurs de virus sont forcés d’utiliser des technologies anciennes, voire quasi oubliées. Les sujets brûlants de ces dernières années tels que les outils de dissimulation d’activité, les botnets, les vulnérabilités des logiciels Windows, n’ont plus la cote. Les théoriciens des codes malicieux recherchent de nouveaux moyens pour infecter un nombre toujours plus grand d’utilisateurs. On voit ainsi apparaître des concepts qui ne seront peut-être pas beaucoup exploités à l’avenir mais qui, d’une manière ou d’une autre, obligent les éditeurs de logiciels antivirus à préparer la riposte adéquate.

2006 figure d’ores et déjà parmi les années les plus « conceptuelles » dans toute l’histoire du développement des virus. Au cours du premier trimestre, nous avons découvert le premier cheval de Troie pour la plate-forme J2ME qui tourne sur la majorité des téléphones portables dans le monde, le premier « véritable » virus pour Mac OS X et un ver Bluetooth pour Mac OS X également. Les chercheurs de l’université du Michigan, parrainé par Microsoft, ont avancé l’idée de l’outil de dissimulation d’activité SubVirt qui repose sur la technologie des « machines virtuelles ». Nous avons déjà évoqué ces points dans notre rapport du trimestre dernier.

Cette activité s’explique également par le démembrement du célèbre groupe d’auteurs de virus 29A suite aux efforts conjoints des autorités judiciaires de plusieurs pays. Ce groupe était considéré comme le principal « idéologue » et découvreur de tels concepts. Ils ont été remplacés par de nouvelles personnes qui cherchent à entrer dans l’histoire des virus informatiques.

Les auteurs de virus ont été très actifs au cours de ces trois derniers mois. Voici les nouveautés que nous avons identifiées.

Commençons par le premier virus pour un autre logiciel de Microsoft : MS Publisher. Ce programme figure parmi les plus anciens logiciels de Microsoft et il est destiné aux éditeurs. Il fut très populaire dans les années 1990 mais il a peu à peu cédé la place à la concurrence. Toutefois, il existe toujours, et de nouvelles versions sont proposées régulièrement. Il n’avait jusqu’à présent présenté aucun intérêt aux auteurs de virus mais la tentation « de la gloire » a changé la situation. Ce virus a certainement été développé pour sa valeur symbolique, afin de créer des virus pour un maximum d’application de Microsoft. Une auteur de virus ukrainienne connue sous le pseudonyme de Pativara s’est distinguée en la matière. En avril 2006, elle a envoyé à Kaspersky Lab son virus pour MS Publisher 3.0 baptisé Avarta. Vu le caractère grossier de la reproduction et les fonctions destructrices trop évidentes, il est pratiquement impossible que Avarta ne fasse une carrière. Il y a trois ou quatre ans, il aurait constitué un exemple intéressant de nouvelles technologies. Mais actuellement, les virus de macro ont presque disparu. L’apparition d’Avarta n’est qu’une démonstration de la possibilité qui ne présentera jamais une menace authentique.

L’existence de virus capables de se multiplier simultanément sur plusieurs systèmes d’exploitation, par exemple sous Windows et Linux, a toujours suscité un grand intérêt. Cela fait longtemps que des travaux sont réalisés dans ce sens et en avril, nous avons reçu un nouvel exemple d’un virus similaire. Bi.a est capable d’infecter les fichiers dans le répertoire en cours en définissant le système d’exploitation et en adaptant en conséquence l’algorithme d’infection des fichiers.

Notre annonce de la découverte de ce virus eu l’effet d’une bombe au sein de la communauté Linux. Linus Torvalds, le gourou, en personne s’y est même intéressé. Après avoir obtenu les résultats de l’analyse du code Bi.a et des quelques erreurs dans Linux qui empêchaient le virus de fonctionner sur certains moteurs Linux, il diffusa un correctif (qui allait en réalité rendre le virus parfaitement opérationnel) tout en accusant Kaspersky Lab de faire beaucoup de bruit autour d’un événement insignifiant alors que ce sont des adeptes de Linux, convaincus de l’inviolabilité de leur système d’exploitation favori, qui avaient donné l’alerte. Mais les faits sont là : Les virus multiplateformes Windows/Linux suscitent toujours un très grand intérêt chez les auteurs de virus et rien n’indique qu’ils vont arrêter d’étudier ces options.

Les virus ciblant le logiciel mathématique Matlab apparus entre avril et mai sont également particuliers. Le virus Gabol fut programmé dans un langage de script propre à Matlab et il devait infecter tous les fichiers de travail de ce programme en enregistrant son corps au début de chaque fichier.

Xic.a est un virus plus complexe qui exploite le polymorphisme dont nous avons parlé ci-dessus. Vu la faible base d’utilisateurs de Matlab, on voit difficilement une application pratique pour ces virus. Selon nos études, il s’agit de simples concepts créés pour faire la publicité de leurs auteurs.

Le virus de macro développé pour la suite bureautique StarOffice est bien plus dangereux. Cette suite, concurrent principal de MS Office, est très populaire chez les utilisateurs de Linux. Il existe également des versions de ce logiciel pour Windows. Jusqu’à présent, les virus de macro s’en prenaient exclusivement à MS Office mais l’existence d’un langage de script relativement puissant dans StarOffice et la volonté des auteurs de virus de démontrer que des logiciels autres que ceux produits par Microsoft pouvaient être attaqués ont entraîné l’apparition du virus StarDust. Il ne s’agit pas réellement d’un virus mais plutôt d’un cheval de Troie. Cela ne change toutefois rien à la raison d’être du concept : ajouter un nouveau logiciel populaire à la liste des victimes potentielles d’attaques de virus.

Le ver Yamanner restera sans aucun doute le concept le plus dangereux de ce trimestre. Il s’agit du représentant le plus illustre d’une petite catégorie de vers qui se propagent de manière unique. Leur nombre est tellement réduit que chacun d’entre eux peut être considéré comme une nouveauté technologique. Ils se retrouvent directement « dans la nature » et se font vite remarquer.

Ces vers se propagent en exploitant des vulnérabilités et des erreurs dans le fonctionnement des moteurs de script de divers sites populaires comme les services de messagerie électronique gratuits ou les blogs. Ils n’ont pas besoin de s’infiltrer dans l’ordinateur de la victime pour fonctionner. Il suffit simplement que leur code soit activé soit lors de la lecture d’un message dans le navigateur ou lors de la visite d’une page Internet quelconque contenant le code du virus. La majorité de ces virus exploitent la vulnérabilité « cross-site scripting ». Le ver présent dans l’interface du service de messagerie en ligne gratuite Mail.ru fonctionnait précisément de cette manière. SpaceHero, un autre ver qui a infecté en octobre 2005 des millions de journaux sur MySpace, exploite exactement la même vulnérabilité.

En juin 2006, près de 200 millions d’utilisateurs de Yahoo! Mail ont presque été victimes d’un ver identique. Il est remarquable de constater que Yamanner ne requiert aucune action de l’utilisateur, si ce n’est l’ouverture du message dans l’interface de Yahoo! Mail, pour activer le code malveillant. L’ouverture du message entraîne l’exécution d’un script qui envoie le ver à toutes les adresses reprises dans le carnet d’adresses de l’utilisateur appartenant aux domaines @yahoo.com ou @yahoogroups.com. De plus, une page Internet déterminée s’ouvre (elle ne fonctionne pas actuellement) et le carnet d’adresses du compte infecté est copié sur un serveur défini.

Tous les utilisateurs de Yahoo Mail ont été exposés à cette menace à l’exception de ceux qui reçoivent leur courrier via le protocole POP3 dans un client de messagerie autonome tel que Outlook. Etant donné que la plate-forme de diffusion du ver, le langage JavaScript, est prise en charge par tous les navigateurs fonctionnels, le navigateur ne joue aucun rôle.

La seule manière efficace de se protéger contre de tels vers est de désactiver complètement les scripts dans le navigateur. Il est alors toutefois impossible d’utiliser l’interface de Yahoo Mail.

Yahoo ! a adopté un train de mesures pour filtrer les messages exploitant cette vulnérabilité. L’interface du service a été corrigée et tous les utilisateurs ont été encouragés à passer à la nouvelle version d’essai de Yahoo Mail Beta dans lequel la vulnérabilité a été supprimée.

Mais l’histoire peut toujours se répéter avec n’importe quel autre service en ligne populaire. N’importe quel service de messagerie possédant une interface Web (par exemple, Google Mail) est potentiellement vulnérable. Les fonctions de n’importe quel virus ou ver JavaScript sont limitées par le nombre de correctifs installés sur le système et elles peuvent s’élargir à tout moment dès qu’une nouvelle vulnérabilité est identifiée. Les erreurs de programmation qui ont débouché sur les vulnérabilités « cross-scripting » sont fréquentes et leur identification requiert beaucoup d’efforts.

La frontière entre ordinateur personnel et ressource Internet a disparu depuis longtemps : il se peut que votre ordinateur ne contiennent pas le corps d’un virus mais cela ne vous empêcherait pas de diffuser le ver en vous connectant simplement à votre blog ou en relevant votre courrier. C’est une des principales menaces à laquelle nous devrons faire face dans un avenir proche, et plus particulièrement liée au développement de Web 2.0.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com