Jeudi 09 avril 2009
Les auteurs de virus (ou vers) ont toujours joué au jeu du chat et de la souris avec les auteurs d'antivirus. Mais il faut bien dire que les dernières générations de virus sont particulièrement sophistiquées. L'exemple le plus frappant étant le virus Conficker.
Voici ce qu'il est capable de faire:
Superbe saloperie, non ? Attendez, ce n'est pas fini, il y a mieux:
Le virus est capable de se mettre à jour.
Il tente de se connecter sur différentes domaines (sites web) calculés de manière pseudo-aléatoire (cbchyttgqay.biz, cqazvyszh.com, dicgdsp.org, dzxecapiw.info, epwqbyya.com...) - soit 50000 domaines différents par jour - pour y chercher des mises à jour. Il suffit donc à l'auteur du virus d'acheter un de ces domaines et d'y déposer des mises à jour du virus, ou des ordres. Et tous les ordinateurs du monde infectés par Conficker suivront ses ordres (Ces mises à jour sont signées cryptographiquement avec une clé RSA de 4096 bits, ainsi seul l'auteur du virus peut donner des ordres au virus ou le mettre à jour).
Pour empêcher Conficker de s'activer, certains ont donc imaginé bloquer ces domaines. C'est d'ailleurs ce que fait OpenDNS.
Et là les auteurs du virus ont été très malins: la nouvelle variante de Conficker possède son propre protocole de Peer-to-peer (P2P) pour rechercher des hôtes infectés et distribuer les mises à jour. Ainsi, elle ne dépend plus de domaines ou sites web précis à contacter pour se mettre à jour. Purée, c'est fûté.
Et encore ! Conficker ne semble pas utiliser de polymorphisme, ni de méthodes de rootkits, ni d'infection du matériel (BIOS, etc.) . (Le polymorphisme, c'est le fait pour un programme de s'auto-modifier en permanence. Donc chaque copie du programme est différente. Cela ne rend pas seulement la détection difficile, mais aussi l'analyse. Les rootkits parviennent à détourner les fonctions de base du système d'exploitation afin que le système d'exploitation lui-même ne voit plus le virus. Et par conséquent, les antivirus non plus.)
Bref... c'est quand même une belle saloperie. Et malgré ça, je ne peux pas m'empêcher d'être un peu admiratif. Le coup d'avoir son propre protocole P2P et des mises à jour signées cryptographiquement, c'est brillant. Malade, mais brillant.
PS: Pour ceux que cela intéresse, voici une page qui fait une analyse technique poussée de Conficker, y compris les différentes variantes (A,B et C).
Mise à jour 25 mai 2009: Conficker n'est pas mort, loin de là. Il semble qu'il continue à infecter 50 000 nouveaux PC chaque jour. Ce virus pose suffisamment de problèmes pour qu'un groupe de travail dédié ait été créé: confickerworkinggroup.org (dont les membres sont: l'ICANN, AOL, McAfee, Microsoft, Symantec, Sophos, Kaspersky, Facebook, IBM, Cisco, etc.)