Les retro-virus exploitent le laps de temps nécessaire à la création d'un antidote pour s'attaquer aux anti-virus. Ils se cachent ensuite en mémoire, ce qui en fait de redoutables ennemis, difficiles à déloger. (Vendredi 13 juin 2003)
Deux heures : c'est le temps
dont dispose un nouveau virus pour se propager sur le
plus de machines possible. Et s'il s'agit d'un retro-virus,
il en profitera aussi pour désactiver l'anti-virus
présent dans le système. Tant que ce dernier
n'aura pas reçu l'antidote que les éditeurs
de solutions anti-virus promettent généralement
de délivrer en... deux heures.
C'est
en effet donc dans ce laps de temps très court
(mais qui peut sembler une éternité pour
un administrateur réseau...) que les retro-virus
attaquent l'anti-virus et le pare-feu des postes touchés.
Une situation critique qui leur permet de se propager
à des vitesses fulgurantes et de survivre dans
le temps grâce à des mécanismes que
nous allons détailler.
Une capacité certaine à survivre et à
se cacher en mémoire Marc Blanchard,
directeur du laboratoire de recherche européen de Trend
Micro, s'est attelé à comparer les progressions
de certains virus "simples" et de retro-virus.
Son analyse est éloquente quant à la capacité
des retro-virus à se diffuser massivement et surtout
à toujours exister bien des mois plus tard.
Statistiques
de contaminations (sources TrendMicro)
Nom
Type
Nombre
d'infections le premier jour
Nombre
d'infections après une semaine
Durée
de vie réelle du virus
MYPARTY.A
Ver
- Non retro
38
000
4
000
1
mois (infection stoppée)
YAHA.K
RetroVirus
38
000
115
000
3
mois (encore actif)
KLEZ.H
RetroVirus
160
000
390
000
8
mois (encore actif)
BUGBEAR.A
RetroVirus
62
000
100
000
5
mois (encore actif)
Une des toutes premières caractéristiques
des retro-virus (technologie qui date de plus de vingt
ans) est, comme nous l'avons vu, leur capacité
à se propager très rapidement - ce qui les
fait rentrer dans la catégorie des codes "hautement
émergents". En stoppant les processus anti-viraux
ou en neutralisant les pare-feux, le retro-virus offre
par ailleurs une porte grande ouverte à des intrusions
externes difficilement détectables par l'utilisateur.
Une autre de leurs caractéristiques est de s'installer
sur la machine en mode "résident mémoire"
et de n'être délogeable que par l'application
d'un patch spécifique. Ce patch purge la mémoire
et brise les inter-dépendances étroites
créées par le virus au coeur même
du système d'exploitation, notamment dans la base
de registre et dans les fichiers d'exécution.
La
technologie Mutex sous les feux des projecteurs C'est
particulièrement vrai pour les retro-virus utilisant
la technologie Mutex, bien connue du monde Unix. Cette
technique de programmation fonctionne selon le principe
parent/enfant et consiste à allouer physiquement
un emplacement mémoire à une fonction ou
à une option appelée, afin de soulager la
capacité mémoire d'un programme.
Toute application utilisant un processus Mutex altéré
ne pourra être déchargée par le biais
d'un anti-virus. Un "nettoyeur" est nécessaire,
ce qui explique que plusieurs mois après leur apparition,
les retro-virus soient encore présents sur autant
de machines.
Anti-virus,
pare-feux et OPS
Selon Marc Blanchard, le couple anti-virus / pare-feu
est indispensable pour protéger correctement une
machine. Mais pour palier les risques d'infection qui
subsistent pendant les deux heures théoriques nécessaires
à l'élaboration d'un antidote, il propose
l'approche suivante, baptisée OPS (Outbreak Prevention
Services) : au lieu de se concentrer sur le virus lui-même,
il est préférable de se focaliser sur ses
caractéristiques extérieures, directement
identifiables, comme par exemple le sujet d'un mail utilisé
par le retro-virus pour se diffuser, ou les pièces
attachées de ce mail.
Le but du jeu est de bloquer
l'attaque avant qu'elle n'atteigne le système,
simplement la bloquer. On peut d'ailleurs appliquer ce
principe aux serveurs de fichiers ou aux pare-feu en verrouillant,
là aussi, certains ports d'accès utilisés
par le retro-virus. Avantage : le temps de réaction
est ramené à 15 minutes, temps nécessaire
pour détecter les principaux paramètres
d'un retro-virus et les diffuser automatiquement aux clients.