Retro-virus : intouchable
pendant deux heures ? Par JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0306/030613_retro_virus.shtml Lancer l'impression Vendredi 13 juin 2003
Une capacité certaine à survivre et à se cacher en mémoire Marc Blanchard, directeur du laboratoire de recherche europĂ©en de Trend Micro, s'est attelé à comparer les progressions de certains virus "simples" et de retro-virus. Son analyse est éloquente quant à la capacité des retro-virus à se diffuser massivement et surtout à toujours exister bien des mois plus tard.
Une des toutes premières caractéristiques des retro-virus (technologie qui date de plus de vingt ans) est, comme nous l'avons vu, leur capacité à se propager très rapidement - ce qui les fait rentrer dans la catégorie des codes "hautement émergents". En stoppant les processus anti-viraux ou en neutralisant les pare-feux, le retro-virus offre par ailleurs une porte grande ouverte à des intrusions externes difficilement détectables par l'utilisateur. Une autre de leurs caractéristiques est de s'installer sur la machine en mode "résident mémoire" et de n'être délogeable que par l'application d'un patch spécifique. Ce patch purge la mémoire et brise les inter-dépendances étroites créées par le virus au coeur même du système d'exploitation, notamment dans la base de registre et dans les fichiers d'exécution. La technologie Mutex sous les feux des projecteurs C'est particulièrement vrai pour les retro-virus utilisant la technologie Mutex, bien connue du monde Unix. Cette technique de programmation fonctionne selon le principe parent/enfant et consiste à allouer physiquement un emplacement mémoire à une fonction ou à une option appelée, afin de soulager la capacité mémoire d'un programme. Toute application utilisant un processus Mutex altéré ne pourra être déchargée par le biais d'un anti-virus. Un "nettoyeur" est nécessaire, ce qui explique que plusieurs mois après leur apparition, les retro-virus soient encore présents sur autant de machines. Anti-virus, pare-feux et OPS Selon Marc Blanchard, le couple anti-virus / pare-feu est indispensable pour protéger correctement une machine. Mais pour palier les risques d'infection qui subsistent pendant les deux heures théoriques nécessaires à l'élaboration d'un antidote, il propose l'approche suivante, baptisée OPS (Outbreak Prevention Services) : au lieu de se concentrer sur le virus lui-même, il est préférable de se focaliser sur ses caractéristiques extérieures, directement identifiables, comme par exemple le sujet d'un mail utilisé par le retro-virus pour se diffuser, ou les pièces attachées de ce mail.
[Fabrice Deblock, JDNet] Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
|