Virus Russes et émois Chinois
Après qu'Alek, le rédacteur du VirusList, se soit réjoui du coup de filet du FSB, le voilà qu'il nous replonge dans la plus profonde des angoisses et nous parle d'antivirus en ligne. Mais attention, pas celui de Monsieur Toulemonde, façon Trend Micro/housecall et concurrent. Ces antivirus, nous apprend-il, sont des serveurs offrant un service très particulier : l'analyse d'un fichier unique avec les toutes dernières versions des A.V. les plus réputés. Et, en cas de non détection, l'assurance que la signature de l'infection ne sera jamais communiquée aux éditeurs spécialisés dans la défense périmétrique. Inutile de préciser que ce service très spécial est uniquement destiné aux auteurs de virus. L'analyse ne coute qu'un dollar par balayage et par fichier, une bagatelle compte tenu de la valeur du service. Et voilà de quoi mieux comprendre cette analyse de Pushdo effectuée par SecureWorks. SecureWorks, c'est le nouveau nom de l'équipe du Luhrq, d'illustres spécialistes du dépiautage de codes dangereux. Et en matière de dangerosité subtile, Pushdo est un modèle. Outre ses fonctions quasi classiques de « trojan downloader », ce programme trifouille le système distant pour déterminer la présence éventuelle d'une VM, signe avant-coureur d'un probable honeypot. Il adjoint à ce radar un certain nombre d'autres détecteurs, notamment l'identification du noyau système, du disque à adresser et de son filesystem, de la position géographique probable de la machine zombifiée (via la base GeoIP), position servant ensuite à répondre aux ordre d'une sélection par « liste blanche/liste noire » par pays, et destinée à définir un périmètre d'infection précis ou d'adapter l'attaque en selon les localisation du système distant. Pour parachever le tout, Pushdo se débrouille pour envoyer à sa base de lancement un message précisant l'éventuel antivirus aperçu sur l'ordinateur attaqué. C'est là une information de poids pour améliorer la cartographie des outils de défense périmétrique et la gestion des codes ayant succombé à un désinfectant logiciel précis. Accessoirement, Pushdo est accompagné par 421 malwares différents. Même les dialogues avec les machines du « bot herder » présentent des signatures à géométrie variable. Le niveau de contrôle de certains malware prouve que le fuzzing, à des fins de débogage, et au moins utilisé par un pan complet de l'industrie. Il faut simplement regretter que ce pan ne soit pas exactement situé du « bon » coté du monde informatique. Les virus, de plus en plus subtils et difficiles à détecter, et par conséquent, des antivirus de moins en moins efficaces. C'est la conclusion d'un article de la revue Allemande c't, qui s'est penché sur les mécanismes de protection comportementale et sur les caractéristiques de détection euristique, deux arguments si souvent mis en avant par les éditeurs. Une analyse, nous apprend Heise Security, qui prend d'autant plus d'importance lorsque l'on se trouve confronté à des vecteurs polymorphes, voir totalement inconnus. Car, si les principaux A.V. réussissent à bloquer 99% des attaques répertoriées, c'est de moins en moins le cas face à des menaces nouvelles. L'an passé, les « AV à détection euristique » interceptaient en moyenne 40 à 50 % des virus non référencés. Cette année, ce pourcentage tombe entre 20 et 30 %. Les « C0d3rZ » font de fulgurants progrès. Le meilleur score est détenu cette année par NOD32, avec 68% de succès, suivi par Bit Defender (41%). Les programmes possédant un moteur d'analyse comportemental efficace ne sont pas légion. F-Secure serait parvenu, explique Heise Sec, à intercepter tous les fichiers douteux. Kaspersky et BitDefender suivent, mais avec des résultats moins performants. Gdata, Norton, Microsoft et Trend Micro parviennent effectivement à surveiller et protéger des points précis du système, mais leur action ne s'est montrée efficace (ndt toujours face à des attaques non référencées) qu'exceptionnellement, conclue l'étude de c't. Résultats d'autant plus inquiétants que la part de virus furtifs devient de plus en plus importante. Et c'est McAfee qui le raconte, dans une étude en trois volets. Le premier document se penche sur la brutale augmentation proportionnelle des infections « discrètes » (furtifs, rootkits, backdoors) et ce, notamment depuis 2005. Comparé aux 5 ou 6 années qui ont précédé la croissance des malwares invisible a évolué dans un rapport de 4 à 8. Le second volet s'attache plus à démonter et expliquer la mécanique et le fonctionnement des rootkits. On est loin, très loin des codes intelligents, certes, mais très peu complexes du groupe Vlad. Le troisième épisode de cette saga de fin d'année devrait être publié durant la semaine qui vient.
