De nombreux malwares (improprement appelés virus) ont pour fonction principale de télécharger d'autres programmes. Ils appartiennent à la famille des trojan downloaders (chevaux de Troie). Il s'installent généralement par l'intermédiaire d'un mail ou d'une page web piégés. Leur principale nuisance (mais pas obligatoirement la seule) s'exerce par l'intermédiaire des programmes malveillants qu'ils téléchargent et installent sur l'ordinateur. Toutefois la plupart de ces tentatives de téléchargement sont stoppées si on possède un pare-feu correctement réglé sur l'ordinateur. Aussi divers trojan downloaders ont élaboré des stratégies pour contourner cette protection. La plus simple consiste, tout simplement, à arrêter le pare-feu.

au sommaire


    La mise à jour de Windows détournée par des malwares

    La mise à jour de Windows détournée par des malwares

    Or un communiqué récent de Symantec vient de décrire une nouvelle technique qui s'avère redoutable.

    Cette méthode a été découverte par Frank Boldewin en analysant le code d'un cheval de Troie diffusé par mail en Allemagne courant mars. Elle consiste tout simplement à exploiter la fonction de mise à jour automatique de Windows présente depuis Windows 2000. Pour comprendre la perversité de cette méthode un petit coup d'oeil sur cette fonction est nécessaire.

    Elle repose sur le composant Background Intelligent Transfer Service (BITS) de Windows. C'est un service de téléchargement asynchrone qui fonctionne en arrière-plan et importe les mises à jour et patches divers que MicrosoftMicrosoft fournit chaque mois. En outre c'est un composant très discret qui s'efface devant les autres accès au réseau de telle sorte qu'il n'entre pas en concurrence avec les autres échanges. Il est programmable via l'API COM, donc il peut être exploité pour télécharger ce qu'on veut. Il utilise le port 80 (http) et 440 et, comme il fait partie du système, bien entendu le pare-feupare-feu le laisse passer. Le cheval de Troie incriminé manipule BITS via l'interface COM en utilisant CoCreateInstance(), CreateJob() et AddFile(), grâce à quoi il peut définir le fichier à télécharger et le répertoire de destination.

    Actuellement ce type de détournement est imparable selon Symantec ce qui soulève une question non abordée dans son communiqué : est-on protégé si on ne met pas en route le service BITS (en désactivant les mises à jour automatiques) ou si on le règle pour demander d'être averti en cas de nouvelle mise à jour ? L'affirmation de Symantec signifie-t-elle qu'un malwaremalware est capable d'activer le service malgré tout ? Le communiqué soulève le problème de savoir s'il ne faudrait pas que BITS ne soit autorisé à accéder qu'à une liste restrictive d'adresses de confiance, ou s'il ne faudrait pas qu'il soit autorisé à communiquer uniquement avec un niveau de privilèges élevé ?

    Bien entendu, pour être victime de détournement, il faut au préalable avoir cliqué imprudemment sur la pièce jointe d'un mail piégé. Mais il sera un peu plus difficile de se protéger (quoique possible) lorsque BITS sera exploité par un malware dissimulé dans une page web piégée.