Au
sommaire de notre dossier Virus
Nos amis sportifs diraient qu'il n'y a pas photo. Le simple
fait de comparer les infections par continents sur la
carte
temps réel fournie par Trend Micro sur son
site antivirus.com donne des disparités étonnantes
côté infections d'un point de vue géographique.
En Amérique du Nord, certaines versions de Nimda
arrivent largement en tête devant le continent européen.
Sur les 30 derniers jours, on compte près de 242 000 infections
par Nimda.A-O dans le monde, dont 192 000 outre-Atlantique
soit environ 80 % du total. Sur les dernières 24
heures mercredi 20 mars à la mi-journée,
ce taux passe à plus de 90 % concernant Nimda.A,
soit 16 400 infections nord-américaines
sur 17 900 autour de la planète. Au niveau
européen, aucune des dix premières menaces
n'est liée globalement dans le même laps
de temps à quelque variante de Nimda que ce soit.
En revanche, le ver Sircam paraît nettement plus
attaché au Vieux Continent. Sur le même site,
la
fiche statistique le concernant fait état d'un
peu plus de 650 000 infections rapportées en Europe
depuis son apparition le 18/07/2001.
Ce nombre vaut pour plus de 75 % des cas sur le plan mondial.
Les Etats-Unis, le Canada et le Mexique ne totalisent
ensemble qu'environ 33 000 infections, soit 4 % du
total. Sans rentrer dans les détails de tous les
pays, une telle différence d'un côté
comme de l'autre de l'Atlantique ne manque pas de soulever
des questions. Outre les aspects techniques sur lesquels
nous allons revenir, il semble important de rappeler l'impact
que peuvent avoir les différences culturelles sur
la propagation de certains vers et virus.
Ainsi, pour en revenir à Sircam, le Portugal compte
pour la moitié des infections européennes
depuis le début. La France, quant à elle,
ne figure pas parmi les 10 pays les plus touchés.
Le fait que le message apparaîssant à l'arrivée
de ce code malicieux existe aussi bien en anglais qu'en
espagnol n'y est probablement pas pour rien. Le niveau
de sensibilisation offert par les médias portugais
à l'égard de leurs concitoyens quant à
l'ouverture des pièces jointes peut-être
pas non plus. Remarquons aussi que le Portugal a connu
une très forte croissance ces dernières
années qui a stimulé l'équipement
en informatique. Dans le cadre de cette expansion rapide,
la sécurité des systèmes pourrait
ne pas avoir été la principale des priorités.
De la sélection
d'adresses IP au langage du système
Les deux exemples
choisis, Nimda et Sircam, ont été sans conteste
deux des principales menaces virales en 2001.
Attention : les différences de propagation entre
continents sont illustrées plus haut par les statistiques
d'un seul fournisseur, et la comparaison doit tenir compte
de la pénétration de Trend Micro sur ces
différents marchés. Malgré tout,
et pour en venir enfin aux aspects techniques, plusieurs
vers et virus sont programmés pour cibler localement
certaines régions, communautés de langues
ou parties du réseau plutôt que d'autres.
Parfois il s'agit de sélection des adresses IP
attaquées, comme dans le cas de Nimda (lire
notre article "Les 12 travaux d'Hercule pour enrayer
Nimda"). Ici, difficile de dire si le ciblage
va au delà d'un choix de saturation de la bande
passante : le simple fait qu'un réseau soit mieux
sécurisé fait que la propagation s'arrête
à son niveau mais se poursuit sur un autre réseau.
Autrement, un ver peut très bien choisir d'infecter
préférentiellement un ordinateur selon le
langage défini par défaut dans le système
d'exploitation. Tel a été le cas de CodeRed
l'été dernier, qui s'attaquait aux PC dont
la langue de l'OS était l'anglais.
FBound.c / Zircon.c mise sur l'exception
japonaise
Et maintenant,
un nouveau code malicieux découvert la semaine
dernière, baptisé FBound par la plupart
des éditeurs d'anti-virus et Zircon par Kaspersky/AVP,
use d'une toute autre technique. Il traduit l'objet du
message en fonction de l'extension du site auquel l'adresse
e-mail cible est rattachée. A priori, cette fonction
apparaît restreinte au Japon. En clair, l'objet
du message choisi parmi 17 possibles sera traduit en japonais
s'il est envoyé à une adresse e-mail se
terminant par .jp.
Actuellement, c'est surtout la variante FBound.c qui se
propage à grande vitesse, classée dans les
10 plus grandes menaces virales du moment par plusieurs
éditeurs (dont Trend Micro et MessageLabs).
Comme l'on pourrait s'en douter, le Japon est le pays
le plus touché. En sa qualité de "mass
mailer", le ver récolte les e-mails dans le
carnet d'adresses de Windows, et exploite ensuite son
propre moteur SMTP pour s'y auto-expédier. Pour
cela, il faut déjà que l'utilisateur ait
cliqué sur la pièce jointe Patch.exe. Apparemment
non résident sur le poste infecté, il disparaît
en cas de redémarrage. Par ailleurs, les experts
anti-virus n'auraient remarqué aucune action dangereuse
de sa part, sauf sa capacité à saturer certaines
passerelles de messagerie.
Parallèlement à
ce ver et à sa technique un peu spéciale,
un autre code malicieux a récemment fait son apparition
en se faisant passer pour une alerte de sécurité
de Microsoft doublée d'un faux correctif. Un procédé
d'ingénierie sociale qui n'a visiblement pas autant
fait recette, puisqu'apparu 8 jours avant FBound.c,
Gibe.a est loin d'avoir connu un tel "succès"
dans sa propagation (respectivement 3 500 contre un peu
plus de 20 témoignages d'infection). Notons au
passage que, pour la plupart des experts anti-virus, la
principale menace réside encore dans l'exploitation
de failles de sécurité pour éviter
toute intervention humaine. Une spécialité
de Nimda ou Badtrans.B, par exemple, qui ont ponctué
l'actualité virale de la fin 2001.
Les moyens à la disposition des auteurs de codes
malicieux ne cessent donc de se diversifier. Procédés
de ciblage "géo-techniques", exploitation
de failles, ingénierie sociale, nouveaux langages
de script (Flash), chiffrement, polymorphisme... composent
un cocktail particulièrement détonnant.
Et demain ? Encore du fil à retordre pour les éditeurs
de produits anti-virus.
Au
sommaire de notre dossier Virus
|