Les pirates informatiques sont des gens imaginatifs, c'est bien connu. Leur dernière trouvaille en date est un cheval de Troie qui, une fois implanté sur votre PC, commence par l'en débarrasser... des autres menaces. Ensuite, c'est beaucoup moins drôle...


Démarche novatrice
Joe Stewart travaille pour le compte du spécialiste en sécurité informatique SecureWorks, à Atlanta, aux Etats-Unis, et il se définit lui-même comme un vieux de la vieille. Il a connu l'avènement de toutes les formes de virus électroniques connus à ce jour, et il s'estime relativement blasé en ce domaine. Il reconnaît pourtant volontiers que sa dernière découverte, SpamThru, l'a bluffé. Et pas qu'un peu. "C'est la première fois que je vois ça", avoue-t-il. "L'originalité de la démarche mérite d'être soulignée."

La démarche en question consiste en l'occurrence à infecter un PC par les voies naturelles, c'est-à-dire sous la forme d'une pièce jointe piégée ou d'un site au contenu malveillant. Ensuite, SpamThru se démarque totalement de ses petits camarades (qui ne le resteront pas longtemps...) en implantant furtivement sur son hôte son propre scanner anti-virus, dérivé d'une version piratée de Kaspersky, et en éliminant méthodiquement toute trace de logiciel malveillant sur votre machine. Attendez cependant encore un peu avant de lui dire merci...


Moteur trafiqué
SpamThru, comme son nom l'indique, est une usine à spam, autrement dit à courrier électronique non sollicité. Pour fonctionner efficacement, il a besoin de toutes les ressources système qu'il peut trouver. Si d'aventure il entre en concurrence avec un autre programme malveillant, ses performances en sont affectées. Il choisit donc de faire le ménage avant de commencer sa sinistre tâche. SpamThru fonctionne à une niveau de sophistication rarement atteint par un virus : il est capable d'éradiquer complètement certains programmes, de museler votre (véritable) anti-virus, et même de leurrer certains codes malicieux, en leur faisant croire qu'ils ont effectivement un processus actif, alors qu'il n'en est rien !

Pour fonctionner, SpamThru doit s'arroger les droits d'administrateur, ne serait-ce que de façon temporaire. Il lance alors au démarrage une DLL de son propre anti-virus (lequel est caché à la vue de l'utilisateur), et l'inscrit au menu de départ de Windows. Il contourne au moyen d'un code falsifié la vérification de license que Kaspersky opère à chacun de ses démarrages, et en moins de dix minutes, il a scanné votre disque dur pour y débusquer, puis supprimer, les menaces. Plus fort encore, il télécharge sa copie pirate de Kaspersky sous votre nez, utilisation de bande passante à l'appui, mais vous n'y verrez que du feu. Au prochain démarrage de Windows, il ne restera plus sur votre PC aucun programme malicieux. A part SpamThru, bien entendu...


Une affaire de gros sous
Joe Stewart, lorsqu'il a découvert l'existence de cet "über-parasite", a eu du mal à en comprendre le fonctionnement. "Au début", dit-il, "Ma théorie était qu'il se servait du fonctionnement de l'anti-virus comme d'un écran, ce qui lui permettait de télécharger ses mises à jour par le biais du logiciel anti-virus lui-même, afin d'échapper aux détections sur les serveurs. C'est seulement lorsque j'ai attentivement regardé la liste des programmes supprimés par SpamThru que j'ai compris : ce dernier se contentait de chasser ses rivaux directs, afin de garder pour lui toute la bande passante que le PC hôte avait à offrir." Stewart a également réussi à décortiquer la manière dont SpamThru se prémunit contre toute tentative de fermeture des serveurs par lesquels ses informations transitent : il inclut un protocole de type "peer-to-peer", afin de contourner toute déconnexion sauvage ; par ce biais, tous les PC infectés et regroupés en "botnet" sont en permanence au courant du nombre de serveurs disponibles pour y faire transiter leurs informations. Que l'un d'eux vienne à fermer, et ils routeront aussitôt leur contenu par un autre intermédiaire. Stewart a mis au jour une architecture comprenant en moyenne un serveur principal, plusieurs serveurs miroirs, et environ 500 PC hôtes. Il semble que ce soit là la limite haute en terme de gestion de flux pour ce type de programme malveillant, mais avec les débits pratiqués de nos jours, le volume de spam qui peut être injecté dans ce "botnet" est à n'en pas douter conséquent. D'autant que SpamThru fonctionne en mode totalement délocalisé : chaque hôte devient son propre fournisseur une fois infecté, et n'a pas besoin d'aide pour faire son "travail". Il dispose dès son installation de tout le contenu nécessaire (modèles, rhétorique, carnet d'adresses inventé et aléatoire pour les pseudo-expéditeurs, mais bien réel pour les destinataires, routines de "hash-busting", etc...). SpamThru implante donc sur chaque PC hôte une copie auto-suffisante, qui communique avec les serveurs par voie chiffrée, afin d'éviter que les éditeurs d'anti-virus ne puissent se procurer les modèles de courriers non sollicités, et s'en inspirer pour concevoir des contre-mesures. SpamThru va même jusqu'à changer de façon aléatoire le format des images GIF enchassées dans les courriers, afin de leurrer les programmes anti-spam qui retiennent ce critère.

"Bien que j'aie vu des réseaux de diffusion de spam entièrement automatisés avant", poursuit Joe Stewart, "C'est la première fois que j'en vois un d'aussi sophistiqué. De par sa complexité et son envergure, SpamThru pourrait concurrencer bien des produits commerciaux. Il est clair que les spammeurs qui se cachent derrière SpamThru ont mis de sérieux moyens pour parvenir à un tel résultat." Au cours de ses travaux, Stewart s'est rendu compte que les créateurs de SpamThru tentaient de vendre des titres boursiers fictifs à leurs proies ; un thème particulièrement surveillé par les différents acteurs de la lutte contre le spam, en raison de ses implications économiques. Il est encore trop tôt pour savoir avec précision combien de victimes SpamThru a déjà fait.