Sircam: scénario pour une propagation surprise

"Je crois que les éditeurs d'anti-virus ont manqué quelque chose", confie Marc Blanchard, directeur européen du laboratoire européen de l'éditeur Trend Micro. A l'origine de ce doute, un constat: les premières apparitions de Sircam ont, dixit Marc Blanchard, été "capturées" (interceptées et neutralisées) très vite. Et pourtant, cette "capture" n'a pas empêché le ver de connaître quelques jours plus tard une propagation foudroyante. L'explication ? Marc Blanchard avance une hypothèse, élaborée après avoir identifié une variante de Sircam qui se présente pour la première fois dans une messagerie électronique sous la forme d'un document doté de l'extension ".htm" (une page web donc). "C'est assez déroutant, explique le représentant de Trend Micro. Ce premier envoi n'est pas détecté par les anti-virus. En revanche, lorsque ce message est ré-expédié, le serveur smtp corrige systématiquement son enveloppe, le ré-encode donc, et produit un fichier cette fois détectable".

"Nous avons mis du temps à comprendre le phénomène car des clients nous affirmaient recevoir des messages suspects non détectés par nos outils. Mais quand ils nous les renvoyaient, ces messages avaient déjà une autre forme et les passerelles les interceptaient !". D'où l'hypothèse émise par Marc Blanchard. "L'auteur du virus, observant après quelques jours que son ver ne prenait pas, a peut-être introduit cette variante qui a su passer à travers les anti-virus. Il est aussi possible qu'avec ce premier envoi le ver s'auto-configure en récupérant divers paramètres". Une première hypothèse donc pour expliquer une propagation qui, de fait, a surpris les éditeurs d'anti-virus: durant la journée d'hier (jeudi), la diffusion de Sircam n'a pas vraiment connu de tassement... En attendant de voir l'intuition de Marc Blanchard confirmée, Trend Micro a publié une mise à jour des fichiers de signature de sa passerelle Interscan pour contre-carrer la variante nommée à titre temporaire "HTML Sircam".