Tel un vandale maquillé en agent secret, le nouveau virus Magistr se révèle aussi méchant que difficile à détecter. Encore rare, il annonce une nouvelle génération de saletés qui donnent du fil à retordre aux éditeurs d’antivirus.
Julien Chambaud |
Pot-pourri des dernières techniques d’intrusion dans Windows, le virus "Magistr " est une belle saleté. On le classe dans la double catégorie des vers et des virus, car il se répand non seulement par mail, mais en infectant directement les logiciels. ...crit par un programmeur qui répond au doux nom de "The Judges Disemboweler" (en français : "celui qui éviscère les juges"), la charmante bestiole va chercher des adresses dans le logiciel de messagerie Oulook Express de Microsoft, mais aussi dans Netscape Mail, ce qui est plus rare. Attention, non seulement il extrait tous les contacts de votre carnet d’adresses, mais aussi les correspondants des messages que vous avez envoyés et reçus... Une fois en place, il attend trois minutes pour ne pas vous donner l’alerte. Il se propage ensuite auprès de toutes vos relations, et intoxique certains programmes de votre disque dur et du réseau local de votre entreprise. Patient, ce n’est qu’un mois après la primo-infection qu’il entame son activité destructrice. Non content d’effacer vos fichiers, il s’attaque au BIOS et à la mémoire "CMOS" de votre PC, qui devient difficilement utilisable (impossible de rebooter !) sans l’intervention d’un professionnel.
Le parfait espion
Les techniques qu’utilise "Magistr" pour se répandre sont qualifiées de "polymorphes". Ce qui le rend quasi invisible. Par exemple, les "sujets" et contenus des mails qu’il envoie sont des phrases tirées de vos propres fichiers. De plus, il utilise son propre moteur SMTP (protocole utilisé pour envoyer les mails), ce qui lui permet de falsifier l’identité de l’expéditeur du message et donc de rendre sa trace plus difficile à suivre. Véritable caméléon, il est constitué d’un code exécutable qui peut prendre de multiples apparences, et dont une partie est cryptée ! Ultime gâterie, ce joyeux drille envoie, dans 20 % des cas, un fichier ".doc" en attachement (issu d’un traitement de texte) tiré au hasard dans votre disque dur. D’où un risque majeur pour la confidentialité interne. Imaginez une note classée "top secret" qui part chez un concurrent direct !
Le pire est à venir
Du côté des éditeurs d’antivirus, on se dit déjà prêt à riposter. Les parades de détection et de décontamination élaborées semblent avoir bloqué la première vague d’infection. Damase Tricart, chez de produit chez Symantec France, confie : "Magistr n’est heureusement pas très répandu, même s’il représente un bel exemple des virus réalisés par des programmeurs de haut niveau [par opposition aux vers VBS comme ILOVEYOU, plutôt simples à écrire], dont le nombre a explosé en 2000." Magistr serait même déjà supplanté, sur certains points, par des virus qualifiés de "métamorphiques", capables, selon Damase Tricart, de "se recompiler avec l’exécutable qu’ils infectent : le programme en question continue de fonctionner normalement alors qu’il est porteur de la souche. Ce type de procédé nous pousse à repenser nos techniques de détection, qui se révèlent plus longues à mettre en place : cela peut aller jusqu’à plusieurs heures pour les plus complexes". La lutte entre programmeurs de virus et éditeurs d’antivirus n’est manifestement pas finie. En attendant, et malgré l’arrivée du printemps, mieux vaut rester couvert...
Description technique par les premiers auteurs de l’alerte (en anglais):
http://www.kasperskylabs.com/news.a...