Un virus furtif pour Windows 2000

Cloud

Tirant parti d’une fonction spécifique au système de fichiers de Windows 2000, capable de découper un fichier en plusieurs morceaux, un nouveau type de virus, plus difficile à détecter, fait son apparition.

La découverte du premier virus capable d’exploiter la fonction de stream de fichier de Windows 2000 a provoqué un débat acharné à propos de l’efficacité des programmes antivirus actuels face à ce genre d’infection.

Le virus « W2K/Stream », un fichier exécutable qui n’affecte que les PC fonctionnant sous Windows 2000, a été décrit par les éditeurs d’antivirus plus comme une « preuve de faisabilité » que comme une menace réelle. Mais ils ont tout de même mis à jour leur logiciel pour le détecter. Ce virus est le premier à tirer parti du nouveau système de fichiers de Windows 2000 « Alternative data streams » (ADS), qui permet de découper un fichiers en plusieurs sous-fichiers ou « streams » (flux).

Le virus utilise l’ADS pour dissimuler une partie de son code, et certains experts en sécurité ont déclaré que les antivirus n’étaient pas capables de vérifier en profondeur cette partie du système de fichiers. « Cette déficience [de certains antivirus] peut être utilisée pour dissimuler du code malveillant ou même entraîner le programme à détruire certains fichiers système essentiels », a ainsi déclaré l’Institut Sans dans un communiqué d’alerte.

De leur côté, les éditeurs d’antivirus répondent que la critique est déplacée puisqu’une partie du code d’un virus comme « W2K/Stream » se trouve obligatoirement dans la zone « classique » du système de fichiers, et que n’importe quel bon logiciel antivirus l’y découvrira. Toutefois, un responsable de Symantec indique : « Si les créateurs de virus utilisent plus souvent les technologies de stream, nous serons obligés de développer de nouveaux moteurs de détection qui iront spécifiquement chercher à l’intérieur des flux ADS. »

À en croire Panda Software, le virus n’est finalement qu’une application Windows compressée d’une taille de 3 628 octets. Quand on le lance, le virus infecte tous les fichiers « .exe » présents dans le répertoire, tente de copier le fichier original dans un stream dérobé et le remplace par son propre code dans le stream initial. De cette façon, chaque fois qu’un utilisateur essaie d’ouvrir le fichier, il ne fait que lancer le virus. Pas de panique toutefois, le virus est pour le moment plus à l’état de « test de laboratoire » que de véritable arme fortement déployée sur le Web. De quoi laisser aux éditeurs d’antivirus le temps de se retourner ?

Pour en savoir plus :

L’Institut SANS (en anglais)