Simile.D:
la vitrine technologique des virus
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0206/020607_simile_d.shtml
Vendredi 7 juin 2002
N'ayez pas peur : il est inoffensif
... jusqu'à preuve du contraire. Simile.D se propage lentement,
et il se contente d'afficher deux fois l'an une petite fenêtre
pour se rappeler à votre mémoire. Mais alors
pourquoi fait-il autant parler de lui ? "Simile.D annonce
une nouvelle génération de virus, à la fois
capable d'infecter plusieurs OS, et beaucoup plus difficile à
détecter", confie Fernando Delacudra, responsable technique
de Panda Software.
Simile.D franchit les frontières
entre les OS : il est efficace à la fois sous Linux
et sous Windows. A priori rien de neuf puisque d'autres virus en
ont déjà fait autant. Mais il faut se méfier
des apparences : "C'est la première fois qu'un
virus s'appuie sur le même processus pour infiltrer Linux
et Windows. Avant lui, les virus multi-OS utilisaient des tactiques
différentes pour infecter deux OS différents. Simile.D
change la donne, puisqu'il s'appuie sur des failles communes aux
deux systèmes".
Une nouvelle
classe de virus
Simile.D est à lui tout seul
un véritable tour de force technique : il est beaucoup
plus difficile de trouver une faille
dans
ce que deux OS comme Linux et Windows ont en commun, c'est à
dire peu de choses, que dans la multitude de failles que présente
chaque OS pris séparément. Faut-il pour autant penser
que les virus multi-OS n'ont pas d'avenir ? Ce n'est pas l'opinion
de Fernando Delacudra : "L'usage de Linux est en train
de se développer, et tous les OS sont en train de converger.
Les systèmes supportent de plus en plus de normes qui se
veulent universelles, et qui fonctionnent à la fois sur Linux
et Windows. Le pot commun va donc croissant, et les pirates n'ont
plus qu'à y puiser pour donner une riche descendance à
Simile.D".
Simile.D n'arrête pas ici
son tour de force. Deuxième démonstration : l'art
de la dissimulation. De l'avoeu même de Fernando Delacudra,
"Simile.D est un virus extrêmement habile dans l'art
d'échapper aux moteurs de détection. Il fait partie
de la classe de virus qui utilisent plusieurs astuces pour brouiller
les pistes : les virus polymorphes. La signature du Simile.D
change systématiquement après chaque infection, il
ne laisse donc jamais deux fois les mêmes traces. Des traces
qu'il est d'ailleurs tout à fait capable de dissimuler".
Simile.D est donc une véritable vitrine technologique présentant
les dernières avancées du petit monde des développeurs
de virus.
Caméléon
Tout celà rend, on s'en doutait un peu, sa détection
assez délicate. Un certain
nombre de logiciels antivirus s'appuient sur des bases de données
recensant la signature de chaque virus pour les dénicher
sur un système. Une méthode
qui se révèle inefficace
dans le cas présent, puisque cette signature change à
chaque infection. Il faut donc en recourir à "des outils
de détection plus performants, qui ne garantissent un taux
de détection élevé que s'ils sont combinés".
Les meilleurs virus polymorphes
soumettent donc les compétences des éditeurs à
rude épreuve ... ainsi que les nerfs des utilisateurs
d'antivirus : plus un virus est complexe à détecter,
plus la procédure de balayage du système est longue
et fastidieuse. La prolifération de cette classe de virus
pourrait donc allonger la durée des processus de détection
plus que de raison. Fernando Delacudra se veut toutefois rassurant :
"Du moment qu'un éditeur dispose comme Panda d'ingénieurs
compétents, la fabrication d'une parade ne cause pas de problème,
et le processus de détection reste d'une durée raisonnable".
Mais peut-on faire confiance
au discours commercial d'un éditeur d'Antivirus ?
En somme, on peut s'estimer heureux
que le créateur de Simile.D n'ait pas eu de mauvaises intentions.
Espérons aussi que les créateurs de virus que Simile.D
ne manquera pas d'inspirer adopteront la même démarche
non agressive que celle du père de ce 'virus concept'. Et
allons télécharger la dernière mise à
jour de notre antivirus : on n'est jamais trop prudent.
[Nicolas Six, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|