Ver informatique polymorphe, W32.Changeup est apparu pour la première fois il y a près d'un an. Une fois qu'il infecte un ordinateur, il a pour mission de rapatrier diverses menaces comme des chevaux de Troie aux actions nuisibles. Pour assurer sa diffusion, Changeup vient d'adopter un comportement singulier mis au jour par Symantec.
Plusieurs menaces ont pour habitude d'analyser le contenu d'un ordinateur cible afin de repérer des applications P2P et introduire une copie de leur code dans des dossiers de partage. Changeup y va plus franchement et s'arroge le droit d'installer directement et d'exécuter un client P2P bien connu : eMule.
Dans le dossier de partage d'eMule, Changeup crée diverses copies de lui-même qui pourront donc être diffusées, si tant est qu'aucune mesure de protection ne fasse obstacle à un partage. Pour maquiller son action auprès des autres utilisateurs, les fichiers à partager prennent la forme d'archives ZIP qui ont recours à divers noms parmi plus de 45 000. Ces fichiers empruntent les noms de logiciels légitimes, de cracks et plus généralement de tout ceux qui est susceptible de générer un échange.
Pour chaque archive ZIP, Changeup ajoute quelques bits aléatoires afin que les fichiers disposent d'un hash différent. Sans quoi, tous les fichiers ZIP ( qui renferment un exécutable infecté ) seraient retournés pour une même recherche en inspectant les différentes versions d'un fichier disponibles, ce qui éveillerait évidemment des soupçons. Selon Symantec, cela permet aussi à la menace de passer au travers de certaines détections statistiques antivirus ( basées sur un fichier hash ).
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.