Botnets du jour : nugache mon plaisir, le retour du MBR
Le service de presse de Secure Computing vient de publier un communiqué alarmiste qualifiant Nugache, le dernier ver à la mode se propageant via les échanges P2P, IM, sans oublier le très classique smtp. Du coup, nos confrères de la presse déchainée en font une peinture dantesque : le successeur de Storm est arrivé. Nugache a déjà 6 mois d'existence. Si, effectivement, sa détection n'est pas toujours aisée et son activité difficilement décelable -par absence de C&C visible-, son activité est encore très discrète. La dangerosité d'un virus dépend essentiellement de ses « statistiques de hit ». Reste à déterminer si les « hits » en question sont ceux comptabilisés par les Webmestres ou ceux entrant dans le recensement des machines réellement zombifiées. L'article le plus intéressant qui ait été pondu sur le sujet peut être lu -cela n'étonnera personne- dans les colonnes de Security News, sous la plume de Dennis Fisher qui a interviewé Dave Dittrich de l'Université de Seattle. Tout aussi exotique et amusant, ce rootkit qui réinterprète à sa manière les conférences de Joanna Rutkowska : l'infection qui « monte » avant le noyau. Autrement dit qui se lance dès les premières phases de démarrage de la machine. Les Linuxiens qui pratiquent la religion LiLo, les « vieux » chasseurs de virus qui se souviennent des « infections boot sector » vont verser une larme de nostalgie, car, si l'on se reporte à l'analyse des chercheurs de Gmer, des chasseurs de virus ont découvert un véritable « bootrootkit » dans la nature. L'article qui décrit ce code est impressionnant et mérite une lecture attentive. Non pas que le programme en question soit aussi néfaste que les sept plaies d'Egypte, mais avec l'avènement de noyaux de plus en plus truffés de routines de contrôle d'intégrité -tant du coté Linux que chez Microsoft avec Vista 64- l'on a là la recette des attaques de « nouvelle génération ». Une raison supplémentaire pour s'intéresser à l'usage des TPM et des procédés de chiffrement des unités de stockage.
