[Helpc] Quand les virus choisissent leurs cibles

• From: "Rudy" <strub.rudy@xxxxxxxxx>
• To: <helpc@xxxxxxxxxxxxx>
• Date: Mon, 10 Jun 2002 14:30:40 +0200

 

Jeudi 21 mars 2002 

Quand les virus choisissent leurs cibles 

 



Nos amis sportifs diraient qu'il n'y a pas photo. Le simple fait de
comparer les infections par continents sur la carte temps réel fournie
par Trend Micro <http://wtc.trendmicro.com/wtc/>  sur son site
antivirus.com donne des disparités étonnantes côté infections d'un point
de vue géographique. En Amérique du Nord, certaines versions de Nimda
arrivent largement en tête devant le continent européen. Sur les 30
derniers jours, on compte près de 242 000 infections par Nimda.A-O dans
le monde, dont 192 000 outre-Atlantique soit environ 80 % du total. Sur
les dernières 24 heures mercredi 20 mars à la mi-journée, ce taux passe
à plus de 90 % concernant Nimda.A, soit 16 400 infections
nord-américaines sur 17 900 autour de la planète. Au niveau européen,
aucune des dix premières menaces n'est liée globalement dans le même
laps de temps à quelque variante de Nimda que ce soit.

En revanche, le ver Sircam paraît nettement plus attaché au Vieux
Continent. Sur le même site, la fiche statistique le concernant
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_SIR
CAM.A&VSect=S>  fait état d'un peu plus de 650 000 infections rapportées
en Europe depuis son apparition le 18/07/2001. 
Ce nombre vaut pour plus de 75 % des cas sur le plan mondial. Les
Etats-Unis, le Canada et le Mexique ne totalisent ensemble qu'environ 33
000 infections, soit 4 % du total. Sans rentrer dans les détails de tous
les pays, une telle différence d'un côté comme de l'autre de
l'Atlantique ne manque pas de soulever des questions. Outre les aspects
techniques sur lesquels nous allons revenir, il semble important de
rappeler l'impact que peuvent avoir les différences culturelles sur la
propagation de certains vers et virus. 

Ainsi, pour en revenir à Sircam, le Portugal compte pour la moitié des
infections européennes depuis le début. La France, quant à elle, ne
figure pas parmi les 10 pays les plus touchés. Le fait que le message
apparaîssant à l'arrivée de ce code malicieux existe aussi bien en
anglais qu'en espagnol n'y est probablement pas pour rien. Le niveau de
sensibilisation offert par les médias portugais à l'égard de leurs
concitoyens quant à l'ouverture des pièces jointes peut-être pas non
plus. Remarquons aussi que le Portugal a connu une très forte croissance
ces dernières années qui a stimulé l'équipement en informatique. Dans le
cadre de cette expansion rapide, la sécurité des systèmes pourrait ne
pas avoir été la principale des priorités. 

De la sélection d'adresses IP au langage du système
Les deux exemples choisis, Nimda et Sircam, ont été sans conteste deux
des principales menaces virales en 2001. 
Attention : les différences de propagation entre continents sont
illustrées plus haut par les statistiques d'un seul fournisseur, et la
comparaison doit tenir compte de la pénétration de Trend Micro sur ces
différents marchés. Malgré tout, et pour en venir enfin aux aspects
techniques, plusieurs vers et virus sont programmés pour cibler
localement certaines régions, communautés de langues ou parties du
réseau plutôt que d'autres. 

Parfois il s'agit de sélection des adresses IP attaquées, comme dans le
cas de Nimda (lire notre
<http://solutions.journaldunet.com/0109/010925_nimda.shtml>  article
"Les 12 travaux d'Hercule pour enrayer Nimda"). Ici, difficile de dire
si le ciblage va au delà d'un choix de saturation de la bande passante :
le simple fait qu'un réseau soit mieux sécurisé fait que la propagation
s'arrête à son niveau mais se poursuit sur un autre réseau. Autrement,
un ver peut très bien choisir d'infecter préférentiellement un
ordinateur selon le langage défini par défaut dans le système
d'exploitation. Tel a été le cas de CodeRed l'été dernier, qui
s'attaquait aux PC dont la langue de l'OS était l'anglais. 

FBound.c / Zircon.c mise sur l'exception japonaise
Et maintenant, un nouveau code malicieux découvert la semaine dernière,
baptisé FBound par la plupart des éditeurs d'anti-virus et Zircon par
Kaspersky/AVP, use d'une toute autre technique. Il traduit l'objet du
message en fonction de l'extension du site auquel l'adresse e-mail cible
est rattachée. A priori, cette fonction apparaît restreinte au Japon. En
clair, l'objet du message choisi parmi 17 possibles sera traduit en
japonais s'il est envoyé à une adresse e-mail se terminant par .jp. 

Actuellement, c'est surtout la variante FBound.c qui se propage à grande
vitesse, classée dans les 10 plus grandes menaces virales du moment par
plusieurs éditeurs (dont Trend Micro et
<http://www.messagelabs.com/viruseye/> MessageLabs). Comme l'on pourrait
s'en douter, le Japon est le pays le plus touché. En sa qualité de "mass
mailer", le ver récolte les e-mails dans le carnet d'adresses de
Windows, et exploite ensuite son propre moteur SMTP pour s'y
auto-expédier. Pour cela, il faut déjà que l'utilisateur ait cliqué sur
la pièce jointe Patch.exe. Apparemment non résident sur le poste
infecté, il disparaît en cas de redémarrage. Par ailleurs, les experts
anti-virus n'auraient remarqué aucune action dangereuse de sa part, sauf
sa capacité à saturer certaines passerelles de messagerie. 

Parallèlement à ce ver et à sa technique un peu spéciale, un autre code
malicieux a récemment fait son apparition en se faisant passer pour une
alerte de sécurité de Microsoft doublée d'un faux correctif. Un procédé
d'ingénierie sociale qui n'a visiblement pas autant fait recette,
puisque apparu 8 jours avant FBound.c, Gibe.a est loin d'avoir connu un
tel "succès" dans sa propagation (respectivement 3 500 contre un peu
plus de 20 témoignages d'infection). Notons au passage que, pour la
plupart des experts anti-virus, la principale menace réside encore dans
l'exploitation de failles de sécurité pour éviter toute intervention
humaine. Une spécialité de Nimda ou Badtrans.B, par exemple, qui ont
ponctué l'actualité virale de la fin 2001. 

Les moyens à la disposition des auteurs de codes malicieux ne cessent
donc de se diversifier. Procédés de ciblage "géotechniques",
exploitation de failles, ingénierie sociale, nouveaux langages de script
(Flash), chiffrement, polymorphisme... composent un cocktail
particulièrement détonnant. Et demain ? Encore du fil à retordre pour
les éditeurs de produits anti-virus. 
 
 
 
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
 

Other related posts:

• » [Helpc] Quand les virus choisissent leurs cibles

1. Home
2. helpc
3. Archive
4. 06-2002

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---