NTFS : l'ami des virus '

Le par  |  20 commentaire(s)

L'information suivante n'est pas nouvelle, mais elle risque de devenir critique compte tenu de son exploitation potentielle.

L'information suivante n'est pas nouvelle, mais elle risque de devenir critique compte tenu de son exploitation potentielle.

En effet, de nombreux sites spécialisés se sont déjà fait l'écho d'un "problème" affectant le système de fichiers NTFS utilisé par exemple par Windows 2000 ou XP.

En fait, il ne s'agit pas d'un bug, mais d'une fonctionnalité qui peut être détournée de son objectif initial à des fins malveillantes.

Cette fonctionnalité repose sur la notion de "flux de données additionnelles".

Ainsi, dans le système NTFS, les fichiers sont représentés par une liste d'attributs, comme leur nom, la date de création,...attributs visibles plus ou moins facilement par l'utilisateur

Cependant, il est possible d'ajouter de nouveaux attributs, les fameux " flux de données additionnel ".
Il est ainsi possible d'utiliser ces flux pour camoufler et exécuter des fichiers exécutables.

On comprend bien comment cette particularité peut être utilisée à de mauvaises fins, en permettant de camoufler n'importe quel virus ou ver sur votre PC et ce, tout en étant indétectable.

Pas d'inquiétude, les éditeurs d'antivirus travaillent actuellement à des solutions spécifiques, alors même que les premiers virus utilisant ce procédé ont fait leur apparition.


Plus grave, il semble que des outils aient été développés pour exploiter spécifiquement cette particularité, ce qui devrait permettre à de nombreux pirates de s'introduire dans les réseaux des entreprises.


Je vous laisse consulter les liens suivants ou tout ceci est présenté avec plus de détails.


Alternate Data Stream

SecurityFocus


Merci à Thomas pour l'info
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #33857
j ai lu le truc. malin les hackers sur ce coup la
Le #33858
Quelques points importants :
- L'existence de cette chose est connue depuis longtemps (an 2000 apparament où un preuve de concept avait etait faite par le virus innofenssif Steam).
- Bien que les éditeurs d'antivirus se veulent rassurants, les virus stockés par ce moyen ne sont pas detectés (Symantec Antivirus 8.0 -ex Norton- par exemple ne voit rien passer). Si vous voulez vous en convaincre, faites le test EICAR avec les ADS ( http://www.eicar.org/anti_virus_test_file.htm ).
Le #33860
thoms : les analyses antivales pour lire les ADS sont développement actuellement. Il faut juste laisser quelques heures (voire quelques jours) aux éditeurs pour lancer la parade. Il est normal que lorsqu'un type d'attaque nouveau apparaissent, les ripostes ne soient pas déjà prêtes...
Le #33896
oui mais ce probleme est connue depuis 2000 non ' et c'est quand un virus qui exploite cette faille, qu'ils pensent a faire quelque chose contre!!!! si ils l'avaient voulu les anti-virus detecteraient deja ces types de virus.
Le #33904
Oula pas d'inquietude, les antivirus ameliore leur proceder de scan, mais si un virus ce point par la il seras ascanner comme tout le reste, a moins qu'il s'agisse d'un antivirus a deux balle.
Le #33907
Je me repète : faites le test EICAR en mettant la chaine de test dans un flux ADS. Scannez ensuite le fichier avec un antivirus. Vous verrez le résultat. Si c'est possible de mettre ca dans un flux ads sans affoler l'anti-virus, alors tout est possible.
Le #33908
La version de kaspersky5 pro gere dejà les flux ntfs supplémentaires.la version normale je n'en sais rien
Le #33912
Hého du calme thoms... Je suis allé sur ton site. Mon anti-virus est la version gratuite d'Avast 4.5. A peine avais-je cliqué sur les liens des fichiers exemples que l'AV m'informait que ces fichiers étaient dangeureux... et cet AV est bel et bien gratuit. Alors je pense qu'il n'y a vraiment pas lieu de s'affoler.
Le #33922
a.em.c> C'est normal que ton antivirus est detecter les fichiers comme des virus.
Mais ca n'a rien à voir avec le sujet. Pour *vraiment* test l'antivirus, fait le test décrit à cette adresse : http://www.cert-ist.com/english/tools/les_alternate_data_stream_en.htm (premier lien de la news). Ensuite edite le flux avec notepad en utilisant la commande : notepad test.txt:flux.txt. Dans le fichier tu, met la chaine de charactère EICAR que tu récupère sur la page http://www.eicar.org/anti_virus_test_file.htm . Pas un fichier, fait un copié-collé de la chaine dans notepad, puis enregistre et ferme. Maintenant, on est bien d'accord que tu as sur ton disque dur un fichier qui correspond à la signature d'un virus. Donc, etapte suivante, scanne le fichier et/ou le répertoire avec ton antivirus favoris et donne nous le résultat. Chez moi, Symantec AV ne voit rien passer. En revanche, la meme chaine de caractères dans un fichier texte standard est immédiatement intereceptée.
Le #33924
Je ne cherche pas a etre alarmiste. Je cherche juste à comprendre la porté de cette 'fonctionnalité' et dans quelle mesure elle est gérée par les antivirus. Donc pour le moment :
- Symantec AV 8.0 : pas geré.
- Kaspersky 5 pro : géré (merci charon)
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]