Le très prolixe SirCam soulève encore des questions

Ces derniers jours, plusieurs passerelles antivirus ont provoqué le mécontentement des clients de certains éditeurs. En effet, malgré la mise à jour, Norton Antivirus for Gateways 2.x de Symantec n'arrivait pas à bloquer SirCam. Le même problème sur MimeSweeper avait été rapporté aux clients de Sophos qui combinaient l'outil client de ce dernier avec la passerelle de Baltimore Technologies. Hier, nous avions ainsi publié un article sur les hypothèses soulevées par Marc Blanchard, dirigeant du laboratoire européen de Trend Micro, évoquant la possibilité d'une variante au format HTM. Dans la journée de jeudi, l'éditeur avait en effet communiqué une mise à jour de sa propre passerelle InterScan détectant le premier message renvoyé par certaines personnes infectées comme HTML_SIRCAM.

Pas de variante HTML, mais un phénomène ?
Mais à présent, depuis vendredi 15h00, la toute nouvelle mise à jour de l'éditeur reconnaît à nouveau cet envoi comme TROJ_SIRCAM.A. Que s'est-il donc passé entre temps ? "La première semaine, nous avons été tranquille. Puis, nous avons commencé à rencontrer le problème il y a trois jours", raconte Marc Blanchard, de nouveau contacté par nos soins. "Quand le premier jet arrivait, il n'était pas détecté aussi bien par InterScan que par d'autres passerelles. J'ai rencontré deux souches avec lequelles le phénomène se produisait systématiquement. Mais les trois quarts des fichiers ont été bloqués dès leur arrivée. Or, les clés d'identité ("checksum") sont toujours les mêmes d'un fichier à l'autre. A mon avis, ce n'est pas une variante mais un phénomène. Comme nous sommes dans l'urgence constante, nous avions le choix entre un patch (correctif) du moteur et un patch des signatures. Nous avons opté pour cette dernière solution plus rapide en renommant provisoirement la signature en HTML. Cette nuit, mes programmeurs ont travaillé sur le patch moteur qui est à présent disponible et nous avons averti tous nos clients."

Pas de nouvelles souches, mais des corruptions ?
Des utilisateurs domestiques ont également rencontré des problèmes dans la reconnaissance de SirCam avec certains outils correctifs développés spécifiquement par des éditeurs comme Kaspersky. En allant vérifier sur les sites de chaque fournisseur, nous sommes tombés sur un tableau plutôt déroutant sur le site McAfee.com, qui correspond à la division antivirus grand public de Network Associates. La famille SirCam pourrait donc comporter plusieurs membres.

"Je suis au courant qu'il existe un certain nombre de variantes", déclare François Paget, directeur de la division française des laboratoires Avert de l'éditeur McAfee qui interviennent auprès des entreprises. "Celles-ci n'ont rien à voir avec HTML, mais n'ont plus la forme des exécutables rencontrés au départ. Il s'agit plutôt de corruptions qui sont parfois capables de se reproduire. Dans nos signatures, SirCam@MM couvre les quatre variantes qui sont le fichier viable et les trois corruptions viables. Tout fichier éxécutable comporte une adresse de point d'entrée, qui a parfois été modifiée. Si celle-ci pointe vers un autre endroit qui reste compatible, le fichier continuera de fonctionner. Ensuite, la signature SirCam.gen@MM a été ajoutée plus récemment, et couvre les corruptions qui ne se propagent plus, notamment lorsque la valeur du point d'entrée pointe vers l'extérieur du fichier. Quant à SirCam.bat et SirCam.dat, ils correspondent respectivement aux fichiers .bat créés par le virus sur la machine infectée, et au .sys qui est généré seulement dans certains cas."

Faut-il avoir peur du ver-cheval de Troie SirCam ?
Mais lorsqu'il s'agit de savoir d'où viennent les corruptions de ces fichiers, les réponses prennent plutôt la forme d'hypothèses. D'un côté, Marc Blanchard soulève les possibilités d'un "changement volontaire de comportement" de la part du créateur, mais aussi d'une modification par le client de messagerie Outlook ou Netscape selon leur version installée, lorsque le fichier joint arrive et est ouvert pour la première fois. "Le premier spam utilise toutes les ressources d'Outlook", précise-t-il. "Après, SirCam devient autonome avec son propre moteur SMTP et le client de messagerie n'a plus besoin d'être ouvert pour qu'il fonctionne."

De son côté, François Paget remarque que "des bugs ont eu lieu au moment de la propagation". Interrogé sur les correctifs spécifiques, il estime que "des programmes ont tout à fait pu créer des variantes. Ce genre d'outils est susceptible de générer ces productions. Nous avons eu une foultitude de clients qui nous ont rapporté des problèmes à ce sujet. Car tel outil va supprimer telle entrée et pas l'autre, ou alors deux entrées sur trois seulement. De plus, les outils stand alone sont très dangereux car ils ne sont pas mis à jour. S'ils éradiquent mal, le virus risque de ressortir. Avec les antivirus standards, les mises à jour sont faites en continu."

Vendredi soir, les statistiques publiées sur le site anglais de MessageLabs faisaient état d'un recul de SirCam en terme de nouvelles infections. De 10 910 mercredi, leur nombre a fléchi à 10 157 jeudi, pour tomber à un peu plus de 4 500 vendredi à 21h. L'infection serait-elle en train de s'enrayer avec les dispositifs mis en place ? Réponse lundi, lorsque les internautes seront rentrés de week-end. Espérons que les vacanciers qui n'étaient pas au fait de l'infection n'appuieront pas sur le mauvais bouton.