01/02/2001
Attention,
virus méchant ! Les vers 32-bits envahissent le réseau.
Par
rapport à un virus de type classique, le ver se montre
en général beaucoup plus sournois. Par définition,
ce type de code malicieux utilise les différents types
de connexion au réseau (web, messagerie...) pour se
diffuser autour de la planète. Lorsque le ver se présente
sous forme de pièce jointe à un e-mail, l'utilisateur
peut décider de ne pas l'ouvrir. Mais certains types
de vers, comme le fameux Kak, qui utilise des contrôles
ActiveX buggés dans Outlook, se transmettent à
l'insu de tous.
Parmi les dernières réelles menaces de la fin
du millénaire, deux nouveaux vers présentent
des technologies plus évoluées et complexes.
Avec Hybris et Bymer, les virus n'arrêtent pas le progrès.
Or, si le premier peut être évité en refusant
d'ouvrir le fichier joint .exe livré avec le message
dont l'objet commence par "Blanche neige et..."
(en français, en anglais ou en espagnol), le second
n'emprunte pas cette voie de diffusion classique. Quoi qu'il
en soit, ces deux virus auraient en partie semé la
panique chez certains éditeurs d'antivirus, qui les
ont classés en grande majorité (surtout
Hybris) parmi les dix plus grands risques du moment.
L'invisible
Bymer s'infiltre grâce au partage de fichier.
Variante du virus W32/Msinit, W32/HLLW/Bymer
(HLLW pour High level language worm) utilise une voie de transmission
peu classique. En raison d'une recrudescence du nombre de
machines infectées, le SARC
(centre de recherche antivirus de Symantec) n'a pas hésité
à revoir sa notation du risque à la hausse.
Car ce ver n'utilise pas la voie classique des messageries,
mais scanne au hasard les adresses IP à travers le
réseau pour s'envoyer automatiquement à tous
les ordinateurs montrant un partage de fichiers activé
sous Windows. Une fois transféré dans le répertoire
Windows/System/ sur le disque dur "C:" par l'intermédiaire
du port NetBios, le fichier wininit.exe qui constitue le corps
même du virus va chercher deux autres fichiers correspondant
au client du logiciel de calcul distribué Dnetc édité
par l'association Distributed.Net
(qui a publié une explication ici),
qu'il place dans le même répertoire. Lancé
à chaque reboot du système, wininit.exe appelle
cet outil, qui peut être ensuite utilisé par
un pirate à distance pour monopoliser les ressources
de l'ordinateur infecté sur de lointaines tâches.
Selon l'éditeur finlandais F-Secure,
trois
variantes de ce ver existent. De son côté,
McAfee
a déniché un autre ver fonctionnant de façon
similaire, du nom de QAZ
(W32/QAZ.worm)
remplaçant la fonction Notepad.exe par un cheval de
Troie. Pour éviter d'être infecté par
cette nouvelle catégorie de vers, il convient d'adopter
une démarche proactive qui consiste à décocher
l'option de partage de fichiers dans les paramètres
de Windows.
Hybris
préfère la mutation pour tromper l'antivirus.
Découvert en septembre 2000 aux Etats-Unis avec un
taux d'infections assez faible, W32/Hybris s'est trouvé
beaucoup plus largement diffusé depuis novembre en
particulier à travers le continent européen,
ce qui lui a également valu d'être revu à
la hausse dans les classements des éditeurs. Complètement
différent de Bymer quant à son mode de transmission
- il arrive sous forme de pièce jointe visible dont
le nom change suivant la version - ce ver présente
toutefois une similarité dans sa complexité
et sa capacité à se servir de certains codes
malicieux reconnus.
Afin de devenir indétectable par la plupart des antivirus,
Hybris se métamorphose en utilisant des plugins pour
se mettre à jour. F-Secure en présente 5 sur
son site, sur près de 32 identifiés selon
ses différentes variantes. En parallèle, l'éditeur
Trend
Micro dévoile l'existence parmi les plugins de
plusieurs
codes malicieux auxquels peut avoir recours Hybris. En
particulier, il peut s'envoyer en direct et de façon
invisible, autrement que par fichier joint à un e-mail,
aux PC hébergeant le fameux cheval de Troie SubSeven.
Parmi ses fonctions, le ver peut aussi se doter de nouveaux
plugins en allant les chercher directement sur le newsgroup
alt.comp.virus.
Utilisant une méthode de chiffrement en boucle pour
empêcher les antivirus de le détecter après
sa mutation, Hybris se rend ainsi invisible. La meilleure
méthode consiste donc aussi à adopter une attitude
proactive : éviter d'ouvrir le fichier joint.
En cas de fausse manipulation, la mise à jour de l'antivirus
doit être déjà installée pour que
celui-ci puisse le détecter avant son rechiffrement.
A ce titre, rappelons une fois de plus que ces méthodes
doivent être pratiquées d'une façon générale
pour éviter d'être infecté par la plupart
des virus existants.
[François
Morel, JDNet]
|