Comme d’habitude dans le monde de la virologie, les évènements du calendrier civil sont une aubaine et surtout un prétexte rêvé, à la propagation de parasites de tout genre.
Le code malveillant Storm Worm, est certainement un cas d’école dans ce domaine, et il n’est plus à présenter. Cela fait 2 ans qu’il fait parler de lui (tempête d’Europe en janvier 2007, d’où le nom) ! Il aura un peu tout fait, exploré même : Saint Valentin, jour de l’an, fausse alerte de sécurité, codec vidéo, divers logiciels comme des jeux, fausses informations choc, etc… Sans oublier des techniques innovantes comme les “fast flux”.
On retiendra de Storm Worm sa longévité, sa diversité d’attaques, et ses nombreuses variantes, ainsi que et surtout leur rythme effréné de parution. Il a mené la vie dure aux antivirus. Trend Micro l’avoue à demi-mot ici par exemple :
http://emea.trendmicro.com/emea/about/news/pr/be/article/20080201155058.html
La presse grand public en parle aussi :
Et on peut citer enfin des docteurs virus, qui expliquent les problématiques amenées par Storm Worm, ainsi que les tendances virales actuelles :
Il semble pourtant que le réseau BotNet, monté et entretenu avec Storm Worm, soit au moins en cours d’extinction.
Mais il a un fils, un successeur… au moins aussi perfectionné que lui, sinon plus : Waledac.
L’information est passée quelque peu inaperçue avec le réveillon, mais les premières analyses de ce nouveau code malveillant posaient déjà la question de la ressemblance avec Storm Worm :
Et là, les dégâts se voient tellement vite que des assistances de grands opérateurs publient sur leur site des tutoriels pour aider les internautes à s’en débarasser ! http://assistance.orange.fr/2591.php
Le phénomène prend une telle ampleur, que des sites spécialisés dans la surveillance des sites Internet malveillants, dressent des listes de sites à éviter, car intégrés à des campagnes de propagation de ce fameux Waledac. C’est le cas notamment du projet ShadowServer, qui donne une liste régulièrement mise à jour, des sites “waledac” à éviter et faire bloquer sur les infrastructures de sécurité SI au plus vite.
http://www.shadowserver.org/wiki/uploads/Calendar/waledac_domains.txt
Et c’est justement sur cette liste de domaine que vient l’élément alarmant, coeur de cet article.
Lors de la Saint Valentin, de nouveaux sites Internet ont fleuri, et ont été référencés par ShadowServer. En voici un exemple : http:\\www.romanticsloving.com/ (URL modifiée pour raisons évidentes de sécurité).
Ce site, à l’apparence conçue pour simuler une carte de voeux “Saint Valentin” affiche diverses chartes graphiques, aléatoirement, pour rester discret (en plus de renvoyer de temps en temps des erreurs, comme s’il n’existait plus…). En voici un exemple :
Capture d'écran d' un site lié à Waledac – 180209
Evidemment, tout étant fait pour mettre en confiance, ce site incite l’internaute à télécharger sa “carte de voeux électronique de la Saint Valentin” ! (je cite : “For downloading your Valentine’s Day e-card please click here.”). Natuellement, le fichier est piégé, le piège viral se referme sur quiconque lance par mégarde ce petit logiciel.
Mais là où le bas blesse, c’est qu’en date du 14 février au soir, le jour J donc, seuls 4 moteurs antiviraux (Fortinet, QuickHeal, NOD 32 et Sophos) sur 38 interrogeables via www.virustotal.com, détectaient le virus ! (voici l’analyse antivirale comparative).
Autant dire qu’une bonne partie de la campagne de propagation de Waledac avait eu le temps de se faire, en noyant le monde internet de faux messages électroniques sentimentaux.
Autant dire aussi que des grands noms historiques de la sécurité informatique, Symantec, McAfee, TrendMicro, sont aux abonnés absents…
Une seule solution dans ce cas pour assurer un minimum de protection du système d’informations : le blocage des URL (adresses internet) de ces sites malins, en central ! (exemple : via les passerelles, les proxies et/ou les pare-feux).
On peut d’ailleurs noter que la plupart de ces sites malins étaient catégorisés très tôt comme “Malicious” (malveillants), par Secure Computing et leur technologie de filtrage Internet SmartFilter (www.trustedsource.org).
Toutefois, le pire n’est pas encore passé.
En date du 17 février au soir, un nouveau fichier était disponible en téléchargement sur www.romanticsloving.com : valentine.exe.
Ce fichier porte un nom différent, et cette fois-ci 7 moteurs sur 38 le détectent (Antivir, AVG, BitDefender, QuickHeal, Gdata, Sophos, VirusBuster, et les résultats sont détaillés ici.).
Cela reste malgré tout un score très faible pour les antivirus, qui devient inquiétant pour toute structure équipée de technologies n’ayant pas détecté cet échantillon, 72h après la date de l’évènement et le réel lancement (efficient) de la campagne virale !
En conclusion :
- Il convient de rappeler qu’une technologie antivirale ne garantit pas, et ne pourra jamais garantir, 100% de détection,
- Il semble également important de garder ces évènements en mémoire comme démonstration de la nécessité d’avoir une technologie antivirale hétérogène (un AV sur les postes de travail, idéalement un autre sur les serveurs, et obligatoirement un autre sur les passerelles navigation/messagerie),
- Enfin, les protections périmétriques sont, et seront de plus en plus, des compléments aux antivirus, qui ne peuvent suffirent à eux seuls. Le filtrage sur URL, les sondes réseau, sont autant d’éléments pouvant jouer un rôle crucial durant le temps que les laboratoires antivirus publient la signature nécessaire afin d’arrêter un code malveillant en circulation.
La sécurité S.I., y compris virale, est donc un ensemble, constitué de briques, qu’il convient de coordonner au mieux les unes avec les autres.
(7 votes)
Loading ...