Beaucoup d'utilisateurs s'estiment hors d'atteinte de toute infection lorsqu'ils possèdent un antivirus. Sans parler de nombreux malwares qui, par leur nature même ne sont pas détectés par les antivirus ; voici un exemple récent d'une infection tout à fait classique qui a échappé pendant un certain temps à la vigilance de la plupart de ces outils.

au sommaire


    Ne faites jamais confiance à votre antivirus !

    Ne faites jamais confiance à votre antivirus !

    Le 19 janvier je reçois d'un expéditeur inconnu un mail intitulé "Sadam hussein alive!". Le programme antispam SpamAssassin reconnaît à plusieurs critères que ce message est un spam. Il contient un fichier attaché nommé Read More.exe. Évidemment, bien que ni mon antivirus ni mon programme antimalware ne réagissent, il faudrait être suicidaire pour ouvrir un fichier exécutable. Malheureusement on sait bien que ce genre de détail n'arrêtera pas des millions d'internautes à travers le monde.

    Un peu plus tard dans la journée je reçois un autre mail "Russian missle shot down Chinese aircraft". Le fichier joint s'intitule Full Story.exe. La longueur du fichier montre que c'est le même que dans le message précédent, le nom seul ayant changé. Où les choses se corsent c'est qu'au moment où ces mails ont été reçus, sur 29 antivirus testés, 10 d'entre eux ne détectaient pas ce fichier comme malware. Il a fallu attendre entre quelques heures et 1-2 jours pour qu'ils soient à jour. Au moment où j'écris, un des antivirus de la liste ne le détecte toujours pas.

    De plus quelques essais supplémentaires montrent que tous les antivirus ne scrutent pas les fichiers avec la même profondeur. Le mail a été sauvé dans un fichier texte d'extension EML ou le malware est encodé en base64, une copie du mail a été compressée au format ZIP et une autre au format 7ZIP. Certains antivirus ne détectent pas le malware dans une archive 7zip (ce qui peut se comprendre à la rigueur), voire même dans une simple archive zip, ce qui est nettement plus choquant. Enfin on observe quelques échecs sur le fichier EML lui-même.

    Le 25 janvier je reçois un nouveau mail contenant un fichier greeting card.exe. Ce fichier ayant une taille plus importante que le précédent est manifestement un nouveau malware. 17 antivirus sur 29 ne le connaissent pas au moment du test. Or, selon la nomenclature d'un des antivirus utilisés, c'est la variante W du malware du 19 (qui constitue la version initiale notée A par cet antivirus). En l'espace de quelques jours plusieurs variantes du même programme malveillant ont donc été diffusées et l'on constate que la plupart des antivirus sont pris de court pour détecter ces variantes. Toutefois l'un d'entre eux clame qu'il détecte la première version à partir de sa base virale du 30 décembre, c'est à dire avant son apparition ! L'explication probable est que cet antivirus utilise une signature moins spécifique que les concurrents et que ce fichier malveillant utilise des portions de code d'un malware précédent.

    En conclusion cet exemple montre que pendant un temps non négligeable pouvant dépasser 24 heures pour certains antivirus des milliers, voire des millions d'internautes ont pu croire naïvement qu'il s'agissait d'un fichier inoffensif. En effet la diffusiondiffusion se faisant sous forme de spam on peut estimer que le nombre de victimes est très important. L'utilisation d'une diffusion par spam a donc manifestement pour but de piéger le maximum de victimes dans un temps suffisamment bref pour prendre de court les éditeurs d'antivirus.

    Enfin, légitime curiosité, que fait ce malware si vous avez le malheur de cliquer dessus ? Tout d'abord il va s'envoyer à tous les destinataires contenus dans votre carnet d'adresse. Il va désactiver votre antivirus ; il va aussi télécharger d'autres programmes malveillants à partir de certains serveursserveurs qu'il contacte. Enfin il se comporte comme un vrai virus (la chose est actuellement assez rare) qui infecte les exécutables.

    Dernière précision : le sujet des mails qui le véhiculent est extrêmement variable, ainsi que le nom du fichier exécutable. Soyez vigilants d'autant que de nouvelles variantes (non détectables tant que la base de votre antivirus n'aura pas été mise à jour) risquent encore d'apparaître. Encore une fois il faut insister sur le fait qu'aucun outil de protection des ordinateursordinateurs n'est efficace à 100%. Rien ne remplace la vigilance et le bon sens de l'utilisateur. Il existe un adage bien connu dans le monde de l'informatique :
    « La faille de sécurité principale se situe entre le clavierclavier et la chaise ».

    PSPS : le 25 à 20h30 je reçois une nouvelle variante détectée uniquement par 5 antivirus sur 29. Le feuilleton continue.