Entraide mutuelle pour la survie entre malwares
Microsoft a trouvé une technique de coopération entre deux malwares pour assurer leur survie au sein des ordinateurs infectés.
Deux malwares s'entraident au sein des ordinateurs rendant difficile leur élimination. « Ces programmes sont complémentaires et téléchargent alternativement différentes variantes plus légères des malwares pour éviter les antivirus », souligne Huyn Choi du centre de protection anti malware de Microsoft.
L'un d'eux s'appelle Vobfus, détecté en septembre 2009. Il est classé comme un downloader, qui télécharge d'autres morceaux de code. Une fois que Vobfus infecte un ordinateur, il télécharge depuis un serveur de commande et contrôle un logiciel appelé Beebone, qui lui-même installe d'autres programmes malveillants sur le PC.
Parier sur la rapidité d'installation des variantes
« Cette relation cyclique entre Beebone et Vobfus téléchargeant l'autre est la raison pour laquelle Vobfus peut sembler tellement résistant aux produits antivirus », écrit Huyn Choi. Il ajoute que « les antivirus peuvent en général détecter une variante, mais les plus récentes ne le sont pas immédiatement ».
D'autres malwares sont connus pour se mettre à jour après l'infection de l'ordinateur. Mais s'il est détecté et supprimé, l'ordinateur cible devra être de nouveau infecté. La technique entre Vobfus et Beebone implique une persistance de la contamination sur les PC.
Vobfus est aussi un ver qui se copie sur les disques amovibles (disques durs et clés USB). Il utilise alors la fonction autorun qui, si elle est activée sur un PC, exécute automatiquement le code malveillant. « Dans la réalité, nous avons observé que Vobfus dispose d'un taux d'infection par les disques amovibles très important », conclut Huyn Choi.