SpamThru, le virus qui élimine les autres virus...

Le par  |  14 commentaire(s)
No Spam logo

Les pirates informatiques sont des gens imaginatifs, c'est bien connu.

Les pirates informatiques sont des gens imaginatifs, c'est bien connu. Leur dernière trouvaille en date est un cheval de Troie qui, une fois implanté sur votre PC, commence par l'en débarrasser... des autres menaces. Ensuite, c'est beaucoup moins drôle...


Démarche novatrice
No spam logoJoe Stewart travaille pour le compte du spécialiste en sécurité informatique SecureWorks, à Atlanta, aux Etats-Unis, et il se définit lui-même comme un vieux de la vieille. Il a connu l'avènement de toutes les formes de virus électroniques connus à ce jour, et il s'estime relativement blasé en ce domaine. Il reconnaît pourtant volontiers que sa dernière découverte, SpamThru, l'a bluffé. Et pas qu'un peu. "C'est la première fois que je vois ça", avoue-t-il. "L'originalité de la démarche mérite d'être soulignée."

La démarche en question consiste en l'occurrence à infecter un PC par les voies naturelles, c'est-à-dire sous la forme d'une pièce jointe piégée ou d'un site au contenu malveillant. Ensuite, SpamThru se démarque totalement de ses petits camarades (qui ne le resteront pas longtemps...) en implantant furtivement sur son hôte son propre scanner anti-virus, dérivé d'une version piratée de Kaspersky, et en éliminant méthodiquement toute trace de logiciel malveillant sur votre machine. Attendez cependant encore un peu avant de lui dire merci...


Moteur trafiqué
SpamThru, comme son nom l'indique, est une usine à spam, autrement dit à courrier électronique non sollicité. Pour fonctionner efficacement, il a besoin de toutes les ressources système qu'il peut trouver. Si d'aventure il entre en concurrence avec un autre programme malveillant, ses performances en sont affectées. Il choisit donc de faire le ménage avant de commencer sa sinistre tâche. SpamThru fonctionne à une niveau de sophistication rarement atteint par un virus : il est capable d'éradiquer complètement certains programmes, de museler votre (véritable) anti-virus, et même de leurrer certains codes malicieux, en leur faisant croire qu'ils ont effectivement un processus actif, alors qu'il n'en est rien !

Pour fonctionner, SpamThru doit s'arroger les droits d'administrateur, ne serait-ce que de façon temporaire. Il lance alors au démarrage une DLL de son propre anti-virus (lequel est caché à la vue de l'utilisateur), et l'inscrit au menu de départ de Windows. Il contourne au moyen d'un code falsifié la vérification de license que Kaspersky opère à chacun de ses démarrages, et en moins de dix minutes, il a scanné votre disque dur pour y débusquer, puis supprimer, les menaces. Plus fort encore, il télécharge sa copie pirate de Kaspersky sous votre nez, utilisation de bande passante à l'appui, mais vous n'y verrez que du feu. Au prochain démarrage de Windows, il ne restera plus sur votre PC aucun programme malicieux. A part SpamThru, bien entendu...


Une affaire de gros sous
Joe Stewart, lorsqu'il a découvert l'existence de cet "über-parasite", a eu du mal à en comprendre le fonctionnement. "Au début", dit-il, "Ma théorie était qu'il se servait du fonctionnement de l'anti-virus comme d'un écran, ce qui lui permettait de télécharger ses mises à jour par le biais du logiciel anti-virus lui-même, afin d'échapper aux détections sur les serveurs. C'est seulement lorsque j'ai attentivement regardé la liste des programmes supprimés par SpamThru que j'ai compris : ce dernier se contentait de chasser ses rivaux directs, afin de garder pour lui toute la bande passante que le PC hôte avait à offrir." Stewart a également réussi à décortiquer la manière dont SpamThru se prémunit contre toute tentative de fermeture des serveurs par lesquels ses informations transitent : il inclut un protocole de type "peer-to-peer", afin de contourner toute déconnexion sauvage ; par ce biais, tous les PC infectés et regroupés en "botnet" sont en permanence au courant du nombre de serveurs disponibles pour y faire transiter leurs informations. Que l'un d'eux vienne à fermer, et ils routeront aussitôt leur contenu par un autre intermédiaire. Stewart a mis au jour une architecture comprenant en moyenne un serveur principal, plusieurs serveurs miroirs, et environ 500 PC hôtes. Il semble que ce soit là la limite haute en terme de gestion de flux pour ce type de programme malveillant, mais avec les débits pratiqués de nos jours, le volume de spam qui peut être injecté dans ce "botnet" est à n'en pas douter conséquent. D'autant que SpamThru fonctionne en mode totalement délocalisé : chaque hôte devient son propre fournisseur une fois infecté, et n'a pas besoin d'aide pour faire son "travail". Il dispose dès son installation de tout le contenu nécessaire (modèles, rhétorique, carnet d'adresses inventé et aléatoire pour les pseudo-expéditeurs, mais bien réel pour les destinataires, routines de "hash-busting", etc...). SpamThru implante donc sur chaque PC hôte une copie auto-suffisante, qui communique avec les serveurs par voie chiffrée, afin d'éviter que les éditeurs d'anti-virus ne puissent se procurer les modèles de courriers non sollicités, et s'en inspirer pour concevoir des contre-mesures. SpamThru va même jusqu'à changer de façon aléatoire le format des images GIF enchassées dans les courriers, afin de leurrer les programmes anti-spam qui retiennent ce critère.

"Bien que j'aie vu des réseaux de diffusion de spam entièrement automatisés avant", poursuit Joe Stewart, "C'est la première fois que j'en vois un d'aussi sophistiqué. De par sa complexité et son envergure, SpamThru pourrait concurrencer bien des produits commerciaux. Il est clair que les spammeurs qui se cachent derrière SpamThru ont mis de sérieux moyens pour parvenir à un tel résultat." Au cours de ses travaux, Stewart s'est rendu compte que les créateurs de SpamThru tentaient de vendre des titres boursiers fictifs à leurs proies ; un thème particulièrement surveillé par les différents acteurs de la lutte contre le spam, en raison de ses implications économiques. Il est encore trop tôt pour savoir avec précision combien de victimes SpamThru a déjà fait.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #137898
Particulièrement effrayant.
Ca doit vraiment rapporter un maximum le spam pour qu'un système aussi sophistiqué soit développé.
Ce qui me trouble le plus est l'inventivité incroyable à laquelle les spammers se livrent. Il est grand temps d'éduquer sérieusement les internautes afin de limiter ce phénomène.
(en envoyant un spam educatif )
Le #137900
Un spam éducatif... n'importe quoi.

Concernant la méthode de fonctionnement, je ne trouve pas qu'elle est d'une inventivité incroyable, et je suis certain du fait que ce n'est pas la première fois qu'un virus s'occupe d'en virer d'autres, c'est nullement pour faire plaisir mais juste pour "nettoyer la voie", comme c'est d'ailleurs précisé dans le texte. Ouaaaaaah, franchement fallait y penser.

Sinon ce pavé technique serait plus intéressant, à mon sens, sans tous les détails techniques qui n'apporte rien de capital à l'information. Mais je me trompe peut être et puis, ce n'est que mon avis
Le #137906
En tout cas, même si toutes les techniques utilisées ne sont pas nouvelles, la prouesse de les utiliser efficacement à des fins malveillantes est impressionnante.
Les spammers sont dans la place et on se sont mis au gout du jour.
On est pas dans la merde ...

Rien ne dit dans la news si les antivirus ont été MAJ pour le détecter ... ''
Le #137919
techniquement ça doit être génial à développer des outils pareils
Le #137921
Je me demande même si ce billet n'est pas un spam <img src="/img/emo/confused.gif" alt=":'" />
Le #137922
<img src="/img/emo/cool.gif" alt="8:" /> <img src="/img/emo/cool.gif" alt="8:" /> <img src="/img/emo/cool.gif" alt="8:" />
Le #137929
Il a l'air telement bien que j'ai presque envi de me faire contaminer par ce virus
Le #137931
C'est pas nouveau cette histoire de guerre de virus / vers.

Que je suis content de ne pas utiliser Windows par moment
Le #137933
En parlant de ça, je recois 4 email de ce virus par jours. Expéditeurs différents, Images différentes en taille et contenu, et textes différents. Bref en gros l'antispam l'ont dans le cul, ma boite mail aussi
Le #137937
Malheuresement si
C'est une prouesse incroyable, tant d'un point de vue technique, qu'imaginatif
Non pas dans le sens j'elimine mes compere, mais j'utilise les voix classique pour le faire, meme les mise a jour de la base de donné du nettoyeur sont effectuer par la voie classique.
Pour le technique, c'est l'efficacité du code apparament. Si seulement tout ce savoir et talent pouvais etre mis au service de la protection et non de la destruction.

Je pense que sa montre enfin que les mise a jour automatique sont pas si essentiel, et pas bcp plus efficace. Personnellement je prefere telecharger un executable sur le site de l'editeur et de le lancer quand je veux plutot, que ces methode automatique.
On vois enfin le danger de tout automatisé. Mais sous une forme inatendu.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]