Sircam - Nimda - Badtrans - Bugbear -Klez - la liste s'allonge !!!
Cliquez ici pour analyser un message suspect et vérifier qu'il ne s'agit pas d'un canular (hoax)
[Tranche de vie d'un virus] - [Histoire du premier virus informatique]
[Les virus du futur : les domovirus] - [Virus informatique et virus biologique]

Si créer un virus tel que ceux présentés ici est hors de portée de la majorité des auteurs de virus, cela ne veut pas dire que les hordes de vers idiots que nous connaissons vont disparaître pour autant. Car face à la difficulté, bien des créateurs peu compétents se tournent plutôt vers des générateurs automatiques de virus, à l'image du célèbre VBSWG. Il permet en un clic de générer une armée de vers stupides, facilement détectables, mais néanmoins tout à fait capables d'infecter un ordinateur mal protégé. Et la nouvelle version de VBSWG permettrait de chiffrer le code VBS (Visual Basic Script), afin de le rendre en partie polymorphe. En outre, rien n'est plus simple non plus d'obtenir le code source d'un virus macro sous Word (ALT+F11) et de le modifier légèrement. Le commun des virus a encore de beaux jours devant lui

S'il a commencé sa carrière en solitaire, sur une disquette, le virus est aujourd'hui un animal social. Il utilise au mieux Internet pour assurer sa survie. Demain, il s'organisera, aidera ses congénères et en saura plus pour pénétrer les ordinateurs que le pirate informatique moyen.

Il y a dix ans, l'idée d'un virus se propageant dans les documents Word faisait rire Microsoft. Il y a cinq ans, les spécialistes antivirus jugeaient impossible d'être infecté en naviguant simplement sur Internet. Aujourd'hui, tout cela est non seulement possible, mais aussi en passe d'être rangé au musée des technologies virales. Les meilleurs auteurs de virus préparent déjà l'avenir, avec l'imagination qu'on leur connaît.
Traqués par des antivirus toujours plus répandus, et bloqués par des parefeux personnels toujours plus à la mode, les virus lorgnent désormais du côté des chevaux de Troie, de l'informatique distribuée et du modèle peer-to-peer, voire d'un modèle client-serveur amélioré. Comme les grandes applications professionnelles, ils rêvent d'un protocole de communication maison, façon RPC (Remote Procedure Calls, de Sun), ou de mises à jour dynamiques et de communication inter-processus. Le virus de demain sera un croisement hybride entre un ver de réseau, un cheval de Troie furtif et un infecteur intelligent. Il intégrera une bibliothèque de failles de sécurité nécessaires à pénétrer l'ordinateur de sa victime, et n'hésitera pas à aller chercher sur Internet l'information qui lui manquerait.
De la science-fiction ? Plus pour longtemps.

La plupart des briques nécessaires sont disponibles, et même déjà testées en grandeur nature par certains virus récents, tels Nimda. Et si l'hypothétique virus " Good Luck ", présenté à grand renfort de publicité par la société TEGAM, n'a pas encore vu le jour, rien n'empêche d'imaginer dès aujourd'hui à quoi ressembleront les parasites de demain. Il arrivera ainsi certainement sur votre disque dur par le réseau, devenu la voie royale incontournable. Mais l'email ne sera pas sa seule opportunité.La faille d'Internet Explorer récemment découverte par la société Online Solutions est un bon exemple de voie d'entrée idéale. Elle permet à n'importe quel site web d'exécuter n'importe quel programme sur l'ordinateur de l'internaute. C'est une faille bien réelle, valable sur tous les navigateurs Internet Explorer 5 et 6, même les plus récents. Un clic sur un lien, et voilà un programme de quelques kilos-octets qui se télécharge à votre insu et s'exécute librement.


Certes, il ne peut être très gros, car il serait vite remarqué. Mais il a besoin de peu, car il s'agit simplement d'un éclaireur. Petit (quelques kilo-octets d'assembleur optimisé), polymorphe (aucune partie de son code ne sera identique d'une exécution à l'autre) et furtif (capable d'intercepter les demandes de contrôle émanant de l'antivirus ou du système d'exploitation), il a toutes les chance d'échapper à un éventuel antivirus résident s'il a été créé sur mesure pour sa mission, car il lui sera alors inconnu. Une fois débarqué, sa première tâche va être de recueillir des informations sur le système pénétré : version du navigateur internet, du système d'exploitation, des éventuels antivirus présents ou du firewall. Il cherchera également à savoir s'il est le seul virus sur l'ordinateur, afin d'échanger des informations avec l'éventuel résident. Il pourra lui offrir ses modules d'infection plus récents ou mettre à jour ses adresses web, et profiter en retour de la connexion internet clandestine que ce dernier aura déjà créé. S'il est seul sur le système, en revanche, la seconde priorité de cet éclaireur sera de communiquer avec sa base.
S'il détecte un parefeu, le virus peut alors exploiter plusieurs techniques afin de le percer. Pour les modèles les plus simples (et beaucoup de firewall d'entreprise mal configurés), il lui suffit d'utiliser le port 80, habituellement réservé au trafic HTTP (le web) afin d'atteindre librement Internet. Pour les parefeux personnels, qui contrôlent quelle application demande à accéder à Internet, il peut exploiter une technique décrite par l'américain Robin Keir. Son outil de démonstration, FireHole, montre combien il est simple, sous Windows, de faire exécuter un programme dans l'espace mémoire réservé au navigateur, et se faire ainsi passer pour lui (voir www.lesnouvelles.net/afficher.php?id=164).
Désormais, tout est prêt pour une véritable invasion. L'éclaireur contacte le site web anonyme de son créateur, et ne rapatrie que les modules dont il a besoin pour infecter le système. Il se base pour cela sur les informations collectées à son arrivée. A ce stade de l'infection, le virus n'est alors plus isolé, et tout lui est autorisé.
Le spécialiste Marc Blanchard, chez Trend Micro, a réalisé une étude des processus de communication et de survie des prochains virus. Il s'est basé pour cela sur des travaux en cours dans la communauté des créateurs de virus. Il cite ainsi le protocole WormNET. Bien qu'encore à l'étude, WormNET offrirait un canal de communication furtif et chiffré entre tous les virus qui souhaiteraient l'utiliser.
Mais communiquer pour quoi faire ? Là encore, Marc Blanchard a son idée : " Les virus installés sur le système pourront communiquer avec un module central appelé Virus Communication Interface (VCI). Cette interface utiliserait les mécanismes d'IPC (Inter Process Communication) ou le protocole WormNET pour favoriser les échanges d'information entre les virus et leur donner des ordres. Car se sont des virus modulaires, totalement différents de ceux que nous connaissons aujourd'hui. Ils arrivent vides sur le système, prêts à recevoir n'importe quel code malicieux de la VCI ", explique Marc Blanchard.
En allant plus loin, cette " tour de contrôle " pourrait parfaitement coordonner une infection sur plusieurs systèmes simultanément, tel Linux et Windows par exemple, voire même tirer profit de l'architecture .NET de Microsoft. Elle pourrait ordonner à tel virus de se détruire pour laisser la place à un autre, ou de se mettre à jour via Internet. Enfin, elle leur enseignerait aussi de nouvelles méthodes pour pénétrer un ordinateur, ou de nouvelles " formes " à prendre afin d'échapper aux antivirus mis à jour.
Face à une telle infection organisée, le PC de l'utilisateur particulier n'a aucune chance : seul le recourt à un excellent antivirus générique, capable de détecter les activités suspectes peut, le sauver. Hélas, si certains essais prometteurs existent, tels l'antivirus Viguard, la détection générique simple et efficace est encore une utopie. Mais plus les virus intelligents.

Jérôme Saiz pour Science & Vie Micro, mars 2002.