EDIT: Article sur mon blog:
http://sebsauvage.net/rhaa/index.php?2012/01/30/14/43/22-une-nouvelle-astuces-des-logiciels-malveillants-pour-eviter-la-detection
OH PURÉE C'EST PAS CON.
Dans la plupart des scénarios d'infection, un petit bout de code (le downloader) va télécharger le code malveillant (le virus/troyen) et l'exécute. La plupart des antivirus détectent alors ce code malveillant et l'interceptent (au téléchargement ou à l'exécution).
Mais Microsoft est tombé sur un nouveau type de downloader: Ce dernier télécharge une simple page HTML faisant de la pub pour un restaurant: Les antivirus ne gueulent donc pas.
Sauf que cette page HTML est combinée au downloader lui-même, dans son propre process, et constitue alors un exécutable malveillant.
On pourrait assimiler cela aux armes démontables qu'on voit dans les films d'espionnage: Chaque pièce prise séparément parait anodine, sans danger, et n'attire pas l'attention. Mais combinées elles forment une arme. C'est brillant.