|
"Je crois que les
éditeurs d'anti-virus ont manqué quelque
chose", confie Marc Blanchard, directeur européen
du laboratoire européen de l'éditeur Trend
Micro. A l'origine de ce doute, un constat: les
premières apparitions de Sircam ont, dixit Marc
Blanchard, été "capturées"
(interceptées et neutralisées) très
vite. Et pourtant, cette "capture" n'a pas
empêché le ver de connaître quelques
jours plus tard une propagation foudroyante. L'explication
? Marc Blanchard avance une hypothèse, élaborée
après avoir identifié une variante de
Sircam qui se présente pour la première
fois dans une messagerie électronique sous la
forme d'un document doté de l'extension ".htm"
(une page web donc). "C'est assez déroutant,
explique le représentant de Trend Micro. Ce premier
envoi n'est pas détecté par les anti-virus.
En revanche, lorsque ce message est ré-expédié,
le serveur smtp corrige systématiquement son
enveloppe, le ré-encode donc, et produit un fichier
cette fois détectable".
"Nous avons mis du
temps à comprendre le phénomène
car des clients nous affirmaient recevoir des messages
suspects non détectés par nos outils.
Mais quand ils nous les renvoyaient, ces messages avaient
déjà une autre forme et les passerelles
les interceptaient !". D'où l'hypothèse
émise par Marc Blanchard. "L'auteur du virus,
observant après quelques jours que son ver ne
prenait pas, a peut-être introduit cette variante
qui a su passer à travers les anti-virus. Il
est aussi possible qu'avec ce premier envoi le ver s'auto-configure
en récupérant divers paramètres".
Une première hypothèse donc pour expliquer
une propagation qui, de fait, a surpris les éditeurs
d'anti-virus: durant la journée d'hier (jeudi),
la diffusion de Sircam n'a pas vraiment connu de tassement...
En attendant de voir l'intuition de Marc Blanchard confirmée,
Trend Micro a publié une mise à jour des
fichiers de signature de sa passerelle Interscan pour
contre-carrer la variante nommée à titre
temporaire "HTML Sircam".
|
