Article
27/07/01
Sircam: scénario pour une propagation surprise
"Je crois que les
éditeurs d'anti-virus ont manqué quelque
chose", confie Marc Blanchard, directeur européen
du laboratoire européen de l'éditeur Trend
Micro. A l'origine de ce doute, un constat: les
premières apparitions de Sircam ont, dixit Marc
Blanchard, été "capturées"
(interceptées et neutralisées) très
vite. Et pourtant, cette "capture" n'a pas
empêché le ver de connaître quelques
jours plus tard une propagation foudroyante. L'explication
? Marc Blanchard avance une hypothèse, élaborée
après avoir identifié une variante de
Sircam qui se présente pour la première
fois dans une messagerie électronique sous la
forme d'un document doté de l'extension ".htm"
(une page web donc). "C'est assez déroutant,
explique le représentant de Trend Micro. Ce premier
envoi n'est pas détecté par les anti-virus.
En revanche, lorsque ce message est ré-expédié,
le serveur smtp corrige systématiquement son
enveloppe, le ré-encode donc, et produit un fichier
cette fois détectable".
|