30/07/01
Le
très prolixe SirCam soulève encore des questions
Ces derniers jours, plusieurs
passerelles
antivirus ont provoqué le mécontentement
des clients de certains éditeurs. En effet, malgré
la mise à jour, Norton Antivirus for Gateways
2.x de Symantec
n'arrivait pas à bloquer SirCam. Le même
problème sur MimeSweeper
avait été rapporté aux clients
de Sophos
qui combinaient l'outil client de ce dernier avec la
passerelle de Baltimore
Technologies. Hier, nous avions ainsi publié
un article sur les hypothèses soulevées
par Marc Blanchard, dirigeant du laboratoire européen
de Trend
Micro, évoquant la possibilité
d'une variante au format HTM. Dans la journée
de jeudi, l'éditeur avait en effet communiqué
une mise à jour de sa propre passerelle InterScan
détectant le premier message renvoyé par
certaines personnes infectées comme HTML_SIRCAM.
Pas de variante HTML, mais
un phénomène ?
Mais
à présent, depuis vendredi 15h00, la toute
nouvelle mise à jour de l'éditeur reconnaît
à nouveau cet envoi comme TROJ_SIRCAM.A. Que
s'est-il donc passé entre temps ? "La première
semaine, nous avons été tranquille. Puis,
nous avons commencé à rencontrer le problème
il y a trois jours", raconte Marc Blanchard, de
nouveau contacté par nos soins. "Quand le
premier jet arrivait, il n'était pas détecté
aussi bien par InterScan que par d'autres passerelles.
J'ai rencontré deux souches avec lequelles le
phénomène se produisait systématiquement.
Mais les trois quarts des fichiers ont été
bloqués dès leur arrivée. Or, les
clés d'identité ("checksum")
sont toujours les mêmes d'un fichier à
l'autre. A mon avis, ce n'est pas une variante mais
un phénomène. Comme nous sommes dans l'urgence
constante, nous avions le choix entre un patch (correctif)
du moteur et un patch des signatures. Nous avons opté
pour cette dernière solution plus rapide en renommant
provisoirement la signature en HTML. Cette nuit, mes
programmeurs ont travaillé sur le patch moteur
qui est à présent disponible et nous avons
averti tous nos clients."
Pas
de nouvelles souches, mais des corruptions ?
Des utilisateurs domestiques ont également rencontré
des problèmes dans la reconnaissance de SirCam
avec certains outils correctifs développés
spécifiquement par des éditeurs comme
Kaspersky.
En allant vérifier sur les sites de chaque fournisseur,
nous sommes tombés sur un tableau
plutôt déroutant sur le site McAfee.com,
qui correspond à la division antivirus grand
public de Network
Associates. La famille SirCam pourrait donc comporter
plusieurs membres.
"Je suis au courant qu'il existe un certain nombre
de variantes", déclare François Paget,
directeur de la division française des laboratoires
Avert
de l'éditeur McAfee
qui interviennent auprès des entreprises. "Celles-ci
n'ont rien à voir avec HTML, mais n'ont plus
la forme des exécutables rencontrés au
départ. Il s'agit plutôt de corruptions
qui sont parfois capables de se reproduire. Dans nos
signatures, SirCam@MM couvre les quatre variantes qui
sont le fichier viable et les trois corruptions viables.
Tout fichier éxécutable comporte une adresse
de point d'entrée, qui a parfois été
modifiée. Si celle-ci pointe vers un autre endroit
qui reste compatible, le fichier continuera de fonctionner.
Ensuite, la signature SirCam.gen@MM a été
ajoutée plus récemment, et couvre les
corruptions qui ne se propagent plus, notamment lorsque
la valeur du point d'entrée pointe vers l'extérieur
du fichier. Quant à SirCam.bat et SirCam.dat,
ils correspondent respectivement aux fichiers .bat créés
par le virus sur la machine infectée, et au .sys
qui est généré seulement dans certains
cas."
Faut-il
avoir peur du ver-cheval de Troie SirCam ?
Mais lorsqu'il
s'agit de savoir d'où viennent les corruptions
de ces fichiers, les réponses prennent plutôt
la forme d'hypothèses. D'un côté,
Marc Blanchard soulève les possibilités
d'un "changement volontaire de comportement"
de la part du créateur, mais aussi d'une modification
par le client de messagerie Outlook ou Netscape selon
leur version installée, lorsque le fichier joint
arrive et est ouvert pour la première fois. "Le
premier spam utilise toutes les ressources d'Outlook",
précise-t-il. "Après, SirCam devient
autonome avec son propre moteur SMTP et le client de
messagerie n'a plus besoin d'être ouvert pour
qu'il fonctionne."
De son côté, François Paget remarque
que "des bugs ont eu lieu au moment de la propagation".
Interrogé sur les correctifs spécifiques,
il estime que "des programmes ont tout à
fait pu créer des variantes. Ce genre d'outils
est susceptible de générer ces productions.
Nous avons eu une foultitude de clients qui nous ont
rapporté des problèmes à ce sujet.
Car tel outil va supprimer telle entrée et pas
l'autre, ou alors deux entrées sur trois seulement.
De plus, les outils stand alone sont très dangereux
car ils ne sont pas mis à jour. S'ils éradiquent
mal, le virus risque de ressortir. Avec les antivirus
standards, les mises à jour sont faites en continu."
Vendredi soir, les statistiques publiées sur
le site anglais de MessageLabs
faisaient état d'un recul de SirCam en terme
de nouvelles infections. De 10 910 mercredi, leur
nombre a fléchi à 10 157 jeudi, pour
tomber à un peu plus de 4 500 vendredi à
21h. L'infection serait-elle en train de s'enrayer avec
les dispositifs mis en place ? Réponse lundi,
lorsque les internautes seront rentrés de week-end.
Espérons que les vacanciers qui n'étaient
pas au fait de l'infection n'appuieront pas sur le mauvais
bouton.
|