Evolution du Malware : Janvier-Mars 2005

Kaspersky Lab présente son rapport trimestriel sur l’évolution du malware rédigé par Alexander Gostev, Analyste Virus Senior. Ce rapport aborde des questions telles que les raisons pour lesquelles les vers de messagerie ne provoquent plus d’épidémies, l’augmentation des vers ciblés sur les applications de messagerie instantanée, les effets de l’édition de SP2 for Windows XP sur la sécurité, et pourquoi le adware et le spyware sont les derniers termes à la mode dans le jargon de la sécurité informatique.

  1. Vers de messagerie instantanée
  2. Botnets
  3. Fin de l’ère des vers de courrier électronique.
  4. Ingénierie sociale
  5. Absence de nouvelles vulnérabilités dans Windows.
  6. Menaces pour les fans de jeux en ligne
  7. Adware et virus. Même combat ?
  8. Programme malicieux pour appareils nomades.

Vers de messagerie instantanée

‘Un ver de messagerie instantanée est véhiculé par les logiciels de messagerie instantanée. Les vers les plus connus appartenant à cette catégorie utilisent un mode de propagation unique : ils sont envoyés aux contacts des messages contenant une adresse URL vers un fichier et stockés sur un serveur Web quelconque. Cette méthode est quasi similaire à la méthode utilisée par les vers de courrier électronique. ‘

L’un des événements marquant de 2005 sur le plan des virus est l’apparition d’une multitude de vers qui se propagent à l’aide de programmes de messagerie populaires tels que MSN Messenger et AOL Messenger.

L’analyse de tous les vers de messagerie instantanée découverts en 2005 et l’organisation de ces informations dans un tableau permettent de tirer quelques conclusions importantes qui nous permettront de mieux comprendre comment fonctionne cette famille de programme malicieux.

Nom Client de messagerie instantanée Variantes Langage de programmation Mode de propagation
Aimes AOL 4 VB Fichier
Atlex ICQ 1 C Lien
Bropia MSN 18 VB Lien
Kelvir MSN 4 VB Lien
Nemesix MSN 1 VB Lien
Sumom MSN 3 VB Fichier
VB MSN 9 VB Lien

Ce tableau illustre clairement que l’écrasante majorité de ces vers se propage via MSN Messenger qui jouit d’une très grande popularité aux Etats-Unis, mais qui n’est pratiquement pas utilisé en Russie. Tous ces vers, à l’exception d’un seul, sont programmés en Visual Basic.

Ces éléments nous permettent d’affirmer que nous sommes en présence du tout premier niveau de développement pour ce type de programme malicieux. En effet, l’utilisation de VB suggère le manque d’expérience des auteurs. Ce langage de programmation est l’un des plus simples à assimiler, mais il ne convient pas à la réalisation de projets complexes car la taille des fichiers générés est trop grande et la vitesse de travail est trop lente. Le penchant marqué pour MSN indique également que tous ces vers sont ‘ inspirés ‘ par des versions antérieures. Les analyses détaillées du code réalisées par les experts de Kaspersky Lab viennent confirmer ces conclusions. On sait que le code source de quelques vers de messageries instantanées a été publié dans les lettres d’informations dédiées aux auteurs de virus. Ce sont ces mêmes modèles qui servent de base à la majorité des nouveaux vers de messagerie instantanée. Nous pouvons affirmer avec la plus grande certitude qu’à l’heure actuelle, ce type de virus est programmé uniquement par les ‘ script-kiddies ‘.

Cette situation n’est pas sans rappeler l’émergence des vers P2P entre 2002 et 2004. Au début de leur histoire, les vers P2P étaient dans 90% des cas programmés en Visual Basic et se propageaient via un client P2P populaire – Kazaa. La programmation aisée et la propagation rapide de ce type de ver a contribué à l’apparition de quelques centaines de familles de vers P2P. Cette activité a atteint son pic en 2003. A l’époque, il ne se passait pas une semaine sans que plus d’une dizaine de nouvelles variantes ne soient répertoriées. Les études réalisées par Kaspersky Lab à l’époque permirent de démontrer que près d’un fichier sur deux sur le réseau Kazaa était en fait l’une des variantes de ces vers P2P. De nombreux vers de messagerie et de réseau ont également eu recours aux réseaux d’échange de fichiers pour se propager. En 2004, le développement de ces vers a connu un fort ralentissement et à l’heure actuelle, nous pouvons dire que cette famille de programme malicieux est en déclin. Il est fort probable que les vers de messagerie instantanée suivront un cycle semblable.

Le mode d’infection de l’ordinateur attaqué est très intéressant. Bien que tous les clients de messagerie instantanée offre la possibilité d’envoyer et de recevoir des fichiers, les auteurs de ces vers n’ont pas recours à cette méthode (peut-être parce qu’ils ne sont pas capables de l’exploiter ?) pour infecter l’ordinateur. Ils ont opté pour une stratégie déjà exploitée par les auteurs de quelques vers de messagerie électronique en 2004, à savoir l’envoi d’un lien vers un site Internet contenant le corps du virus. L’utilisateur qui reçoit un lien d’un ami (les vers envoient les liens aux personnes reprises sur la liste de contact du client de messagerie) cliquera certainement sur celui-ci. A cet instant, le ver pénètrera dans le système (soit à l’aide des différentes vulnérabilités d’Internet Explorer, soit par téléchargement et lancement direct).

Suite à tout ce qui vient d’être dit, nous conseillons aux administrateurs système et aux spécialistes de la sécurité informatique de prêter une attention toute particulière au risque accru que représente les clients de messagerie instantanée et, le cas échéant, d’introduire de nouvelles dispositions dans la politique de sécurité de l’entreprise en vue d’interdire l’utilisation de tels programmes. Qui plus est, vu le mode d’infection adopté par ces vers (via un lien ouvert dans un navigateur vulnérable), il est primordial de contrôler tout le trafic http entrant.

Mise à part l’autopropagation, la majorité des vers de messagerie instantanée sont capables d’installer dans le système d’autres programmes malicieux. Ainsi, le ver Bropia, le plus répandu en terme de variantes, installe Backdoor.Win32.Rbot sur l’ordinateur infecté qui devient un ordinateur zombie.

Les botnets

Ce problème existe déjà depuis quelques années. Les premiers grands réseaux d’ordinateurs infectés sont apparus sur le ‘ marché noir ‘ clandestin en 2002. La croissance du nombre d’utilisateurs connectés à Internet et la découverte de nouvelles vulnérabilités dans Windows ont débouché sur une croissance arithmétique du nombre d’ordinateurs reliés au sein de botnets.

A l’heure actuelle, le terme ‘ botnet ‘ se rapporte à tout réseau analogique contrôlé centralement par une personne mal intentionnée. Dès le début, les ordinateurs infectés étaient reliés par un canal IRC quelconque et recevaient les commandes de l’auteur grâce à IRC. Ce mode d’administration demeure le plus populaire. Il est utilisé par les représentants les plus nombreux des familles de bots : Agobot, Rbot, SdBot : Ils exploitent tous les différentes vulnérabilités du système d’exploitation Windows pour pénétrer dans le système. Il s’agit généralement de RPC DCOM et LSASS, mais on a déjà recensé des bots contenant plus de 8 exploits. La sélection du mot de passe des ressources de réseau ouverte (share) est également très populaire.

Les bases des botnets modernes ont été jetées en 2003 suite à la découverte de la vulnérabilité dans le service RPC DCOM. Le deuxième élément qui a fortement contribué à la création de réseaux de zombies fut Mydoom, le ver de messagerie électronique découvert en janvier 2004. Ce ver ouvrait le port dans la plage comprise entre 3127 et 3198, ce qui permettait à l’auteur du ver d’obtenir un accès intégral au système. De plus, il pouvait télécharger depuis Internet et exécuter des fichiers aléatoires. L’accès à la trappe était obtenu grâce à une combinaison spéciale de 5 octets. Les autres auteurs de virus ne mirent pas longtemps avant d’assimiler la technique. Le réseau des réseaux a ainsi été submergé par des vers qui tentaient de pénétrer dans les ordinateurs déjà infectés par Mydoom. On vit également l’apparition de scanneurs spécialisés qui permettaient à la personne mal intentionnée de balayer une plage d’adresses dans le réseau à la recherche d’une trappe Mydoom et de lui transmettre n’importe quel fichier à exécuter. Les ordinateurs infectés pouvaient changer de ‘ propriétaires ‘ plusieurs fois par jour et être intégrés tôt ou tard dans un botnet quelconque.

Enfin, le troisième élément ayant contribué au développement des botnets fut la découverte en janvier 2004 d’une nouvelle vulnérabilité critique dans Windows, cette fois-ci dans le service LSASS. Une fois de plus, les auteurs de virus exploitèrent des ordinateurs déjà infectés (par le ver Sasser) afin d’atteindre leurs objectifs.

Selon les estimations les plus récentes émanant des spécialistes de la sécurité informatique, le nombre d’ordinateurs qui font partie d’un botnet quelconque augmente chaque mois de 300 à 350 milles unités. Le nombre d’ordinateurs zombies, quant à lui, se chiffre en millions. Ils deviennent les outils qu’utilisent les cybercriminels en vue de retirer un avantage financier : ils servent à la diffusion du courrier indésirable, ils servent à organiser des attaques par déni de service (DoS) comme moyen d’extorsion de fonds ou ils sont utilisés pour la propagation de nouveaux programmes malveillants.

Les botnets constituent à l’heure actuelle le plus grave problème et la menace la plus sérieuse qui plane sur les utilisateurs d’Internet. Ils forment la culture d’où sortiront les nouveaux virus et ils doivent sans cesse s’élargir et se renouveler. La résolution de ce problème doit devenir la priorité du secteur informatique à court terme. L’avenir d’Internet dépendra directement du succès de la lutte contre ce phénomène.

Fin de l’ère des vers de courrier électronique

Le début de l’année 2005 a confirmé les pronostiques des experts antivirus qui prévoyaient un effacement progressif des vers de courrier électronique au profit de divers types de vers de réseau doublés de chevaux de Troie.

Après la pandémie de 2004 qui vit la propagation de vers de courrier électronique tels que Mydoom, NetSky, Bagle et Zafi, on observe actuellement une situation diamétralement opposée. L’année 2005 ne nous a pas encore apporté une épidémie de ver de courrier électronique comparable aux épidémies moyennes de l’année dernière.

Ceci témoigne peut-être des succès considérables remportés par les éditeurs de logiciels antivirus dans la lutte contre les vers de courrier électronique. Au cours de l’année écoulée, les éditeurs de logiciels antivirus ont développé des technologies révolutionnaires au niveau de l’interception des messages infectés et de l’éradication rapide des épidémies (détection des vers dans les archives protégées par mot de passe, différents modes d’analyse préventive des messages contenant des fichiers exécutables en pièce jointe, etc.)

Toutefois, la menace que représentent les vers de réseau qui exploitent les vulnérabilités de Windows pour pénétrer dans les ordinateurs est, quant à elle, plus sérieuse. Dès lors, les analyses antivirus doivent porter sur tout le trafic de réseau et non plus uniquement sur le trafic de messagerie.

Il est fort peu probable également que nous soyons affectés dans un avenir proche par de grandes épidémies de vers de messagerie électronique qui se propagent sous la forme de pièces jointes. Tout d’abord, il y a bien longtemps que toutes les vulnérabilités critiques des clients de messagerie Outlook et Outlook Express ont été colmatées grâce aux correctifs distribués. Ensuite, le travail de prévention mené par les éditeurs de logiciels antivirus et les médias semblent porter ses fruits dans la mesure où les utilisateurs réfléchissent désormais avant d’ouvrir les fichiers en pièce jointe, encore plus lorsque ces messages proviennent d’inconnus. Le principal problème qui se pose aux auteurs de virus est de composer un message qui pousse vraiment le destinataire à ouvrir le fichier en pièce jointe.

Ingénierie sociale

Les méthodes utilisées pour tromper les utilisateurs en leur présentant des données fausses sous l’apparence de données parfaitement légitimes connaissent actuellement un nouveau développement. Les nouvelles astuces n’ont pas encore été identifiées mais les techniques éprouvées sont toujours utilisées à grande échelle.

Le phishing est l’un des exemples les plus frappants.

‘ Le phishing est une arnaque en ligne dont l’objectif est d’obtenir les données d’identification de l’utilisateur. Les auteurs de ces attaques rédigent des messages qui semblent provenir de sites connus et y insèrent des liens vers des sites fictifs. L’utilisateur qui se rend sur l’un de ces sites peut être amené à communiquer des informations précieuses telles qu’un numéro de carte de crédit par exemple. ‘

Selon une étude réalisée par l’APWG (groupe de travail contre le phishing), le mois de janvier a vu plus de 12 845 messages différents d’attaque par phishing reliant à 2 560 sites.

Ceci montre que l’activité des escrocs en ligne a augmenté de 47 pour cent par rapport à décembre 2004 (1 740 faux sites avaient été recensés à l’époque) et a pratiquement doublé par rapport à octobre 2004 où l’on comptait 1 186 faux sites. Le nombre de messages invitant le destinataire à visiter un site fictif a augmenté de 42% par rapport à décembre 2004.

Les utilisateurs des sites de paiement électronique ou de transactions bancaires en ligne tels que Citybank, Ebay, Paypal, E-Gold, US Bank sont les plus exposés.

Comme nous l’avons déjà fait remarqué, ces attaques sont orchestrées à l’aide de botnets qui permettent la diffusion des messages. Qui plus est, ces botnets servent également à la diffusion de chevaux de Troie qui visent à voler les données d’identification bancaire des utilisateurs. Les cybercriminels brésiliens semblent être les plus actifs. En effet, la majorité de ce type de chevaux de Troie ont été programmés pour dérober les données des clients de banques brésiliennes.

Le regain d’attention octroyé par les médias et le secteur informatique au problème des spywares est une autre facette de l’ingénierie sociale des auteurs de virus. L’apparition sur le marché de l’utilitaire gratuit AntiSpyware de Microsoft a coïncidé avec l’apparition de quelques programmes malicieux qui se font passer pour une ‘ version améliorée ‘ de MS AntiSpyware. Les auteurs d’adware et les escrocs en tout genre ont également profité de ce regain d’intérêt porté à la thématique des ‘ spyware ‘.

Kaspersky Lab a remarqué une hausse significative des messages non sollicités envoyés via Windows Messenger. Ce type de message non sollicité exploite les particularités du protocole de Messenger et ressemble à des infobulles traditionnelles.

En règle générale, ces messages signalent que ‘ de nombreux spywares ont été décelés sur l’ordinateur ‘ et qu’il est vivement conseillé de visiter un site X ou Y afin d’y télécharger un utilitaire de lutte contre les spywares. En réalité, les programmes ainsi téléchargés sont soit des chevaux de Troie, soit des logiciels purement inoffensif dans le sens où ils ne font qu’imiter le fonctionnement attendu sans pour autant déceler ou supprimer des spywares ou adwares.

Les cybercriminels profitent également des catastrophes humanitaires. Ainsi, les raz-de-marée du mois de décembre qui ont coûté la vie à des centaines de millier de personnes en Asie du Sud-Est ont inspiré les auteurs de virus et leur ont donné de nouveaux moyens pour diffuser leurs programmes et voler des informations. On a recensé des chevaux de Troie présentés sous le titre de ‘ photos du raz-de-marée ‘ ou ‘ rapport secret sur le nombre de victimes ‘.

Absence de nouvelles vulnérabilités dans Windows

Le calme relatif qui règne sur le front des virus depuis le début de l’année est dû en grande partie à la société Microsoft et à ces produits privés de vulnérabilités critiques semblables à RPC DCOM ou LSASS. La dernière menace en date fut la vulnérabilité découverte dans WINS (le nom moderne de NetBIOS dans le système d’exploitation Windows) le 26 novembre de l’année dernière et colmatée par un nouveau correctif de Microsoft.

Malgré la découverte depuis le début de l’année 2005 d’une série de vulnérabilités dangereuses dans Windows telle que la vulnérabilité dans la gestion du format du curseur et des icônes, la vulnérabilité du noyau Windows, la vulnérabilité dans le traitement des images PNG qui pourrait permettre une exécution du code à distance, la vulnérabilité du traitement des liens hypertextes qui pourrait permettre une exécution du code à distance, force est de constater qu’aucune d’entre elles n’a entraîné une épidémie globale. Toutefois, chacune de ces vulnérabilité a été exploitée occasionnellement afin d’introduire des spywares dans le système attaqué.

L’absence de failles critiques dans les anciennes versions de Windows et la migration d’un nombre croissant d’utilisateurs de Windows XP au Service Pack 2 est l’une des raisons principales pour laquelle aucune épidémie mondiale n’a vraiment éclaté au cours du premier trimestre de cette année.
L’étude des données statistiques recueillies et analysées par les experts de Kaspersky Lab permet d’affirmer qu’à l’heure actuelle, la vulnérabilité la plus souvent employée pour introduire un code malveillant touche le navigateur Internet Explorer. Il s’agit de la vulnérabilité de traitement des URL MHTML (CAN-2004-0380).

En quoi consiste cette vulnérabilité ? Les fichiers CHM (Microsoft Compiled Help), accessibles sur Internet via un lien hypertexte, peuvent contenir des fichiers exécutables (programmes VBS ou JS) qui seront exécutés, lors de l’ouverture du fichier CHM, sur le système attaqué dans la zone ‘ Local Interner Zone ‘ avec les privilèges de l’utilisateur actuel. En règle général, ces scripts contiennent un Downloader ou un Dropper qui permet d’installer le fichier exécutable du cheval de Troie dans le système attaqué.

Cette vulnérabilité a été supprimée par Microsoft (MS04-013) il y a environ un an (le 13 avril 2004).

Menaces pour les fans de jeux en ligne

En plus du vol des données bancaires des utilisateurs, les auteurs de virus s’intéressent également à l’un des aspects de l’Internet moderne, à savoir la popularité croissante des jeux en ligne. Le marché des jeux en ligne qui est apparu en 1997 est en plein essor. Le prix d’un article tiré de l’un de ces jeux ou d’un personnage peut atteindre des dizaines de milliers de dollars sur les sites de ventes aux enchères en ligne. On cite souvent le cas d’une ‘ île virtuelle ‘ qui a été vendue pour la coquette somme de 26 500 dollars (http://www.newscientist.com/article.ns?id=dn6807).

Les sommes qui interviennent dans l’univers des jeux se chiffrent à quelques milliards de dollars, soit le budget d’un petit Etat.

Il va sans dire que les personnes mal intentionnées ne pouvaient ignorer ce développement. Ce sont les adeptes de ‘ Legend of Mir ‘ (populaire auprès de plus de 3 millions de joueurs, principalement en Corée) qui furent les premières victimes des cybercriminels. Les chevaux de Troie volant les données des comptes utilisateurs de ce jeu ont fait leur apparition en 2003. On dénombre à l’heure actuelle plus de 700 spywares différents qui prennent pour cible les joueurs de Legend of Mir. Les analyses démontrent que la majorité d’entre eux provient de Corée du Sud et de Chine.

Lineage occupe la deuxième place du classement des jeux en ligne les plus attaqués. Ce jeu est également d’origine Coréenne et compte une grande armée de fidèles. Les premières versions des chevaux de Troie pour ce jeu ont été découvert il y a moins de 6 mois (en octobre 2004). A l’heure actuelle, cette famille de chevaux de Troie compte des centaines de membres.
Dans les ‘ derniers nés ‘, il convient de noter les chevaux de Troie qui s’en prennent aux données des joueurs de Gamania. Le premier d’entre eux fut découvert en février 2005 et il ne se passe pas une semaine sans qu’une nouvelle version ne voit le jour.

Les auteurs de virus russes ne restent pas inactifs sur ce front. Ils ont pris pour cible le ‘ Club des guerriers ‘, un jeu populaire en Russie dont le prix de certains articles peut atteindre également des milliers de dollars. Il convient de noter que les personnes chargées de l’administration de ce jeu, conscientes de l’ampleur du problème, ont proposé un partenariat à Kaspersky Lab afin de trouver une solution. Ainsi, Kaspersky Lab reçoit toutes les informations relatives aux nouveaux chevaux de Troie, virus et autres scripts malveillants lancés à l’attaque de portails de joueurs et élabore, dans les délais les plus brefs, une contre-attaque et met à jour ses bases antivirus. Une telle collaboration est unique dans le monde des jeux.

Adware et virus. Même combat ?

Les termes ‘ adware ‘ et ‘ spyware ‘ sont les termes plus utilisés actuellement dans le monde de la sécurité informatique. Nous ne nous pencherons pas ici sur les aspects juridiques ou encore moins idéologiques de la question. Nous nous contenterons des faits. Voici à quoi ressemble la situation actuellement :

La frontière entre les logiciels publicitaires inoffensifs (Adware) et les programmes malveillants est pratiquement inexistante. De plus en plus d’adwares affichent tous les signes des chevaux de Troie. Cela se manifeste par le mode d’installation sur l’ordinateur de la victime (via une vulnérabilité du navigateur par exemple) ou par le comportement sur l’ordinateur attaqué. Ces programmes ont recours à tous les moyens pour se rendre indétectables et pour compliquer leur désinstallations. Ils recherchent et suppriment les logiciels concurrents afin de prendre leur place. Ils peuvent contenir des modules servant à récolter les informations relatives aux sites visités par l’utilisateur et à envoyer celles-ci à un tiers qui s’en servira. Nos experts l’ont déjà constaté en 2004.
2005 nous a offert un nouveau type de virus. Il semblerait que l’époque des virus de fichiers s’est terminée au changement de siècle.

Le virus Win32.Bube est chargé sur l’ordinateur lors de la visite de sites contenant des exploits d’une vulnérabilité d’Internet Explorer (vulnérabilité du traitement de l’URL MHTML) ou de Microsoft Virtual Machine (MS03-011). Après avoir infecté l’ordinateur, le virus ajoute son corps au fichier ‘ Explorer.exe ‘ et l’utilise en guise de downloader pour télécharger des programmes de types adware sur l’ordinateur. L’utilisation de la sorte d’Explorer lui permet d’éviter certains pare-feux.

Cet exemple illustre l’impossibilité à l’heure actuelle de tracer une séparation nette entre Adware et Malware. On peut dès lors faire preuve de scepticisme à l’égard de certains logiciels conçus exclusivement pour la recherche et la suppression des adwares, mais qui ignorent tous les aspects de la lutte contre les virus.

Programme malicieux pour appareils nomades

2004 a marqué le début d’un nouveau chapitre dans l’histoire de la sécurité informatique. Le premier code malicieux s’attaquant aux téléphones portables tournant sous Symbian a été découvert en juin 2004. Depuis lors, les menaces qui planent sur les appareils nomades ont connu plusieurs modifications et sont entrées dans une nouvelle phase de développement.

La technologie exploitée par le ver Cabir puis mise en accès public par certains représentants de la communauté informatique clandestine demeure à ce jour l’unique technologie utilisée par les autres auteurs de virus.
Les pirates brésiliens et chinois sont à l’origine de plusieurs modifications de
Cabir. Pour l’instant, la technique se limite à modifier quelque peu le code créé par quelqu’un d’autre.

Les producteurs d’appareils nomades et les spécialistes de la sécurité informatique ont commencé à prêter attention à quelques familles de nouveaux programmes malveillants. Nous les avons regroupé au sein d’un tableau (données du 26 mars 2005) afin de donner une vue d’ensemble de la situation.

Nom Type Première variante Nombre de variantes
Cabir Bluetooth-Worm Juin 2004 10
Mosquit Trojan Août 2004 1
Skuller Trojan Novembre 2004 6
Lasco Bluetooth-Worm/Virus Janvier 2005 1
Locknut Trojan Février 2005 2
Comwar MMS-Worm Mars 2005 2
Dampig Trojan Mars 2005 1
Drever Trojan Mars 2005 3

* – Remarque : le nombre de variantes et la date de découverte reposent sur les données de Kaspersky Lab
et peuvent être différentes de celles d’autres éditeurs.

Comme on le voit, les programmes malveillants pour appareils nomades ont débuté par des vers Bluetooth pour représenter désormais les trois grandes familles (ver, virus, cheval de Troie), à l’instar de la structure des programmes malveillants qui touchent les ordinateurs. Toutefois, les virus traditionnels ont mis des années avant d’atteindre un tel comportement. Les virus qui touchent les appareils nomades ont quant à eux franchi ce chemin en un peu moins d’un an. Et l’aspect le plus dangereux est la possibilité de voir apparaître un ver momentané (le ver Warhol) capable un bref laps de temps d’attaquer tous les systèmes vulnérables.

Il s’agit de la première version du ver MMS découverte en mars. Heureusement, ce ver, baptisé ComWar, comporte quelques erreurs et prend un certain temps entre l’envoi de chaque message. Toutefois, ces vers peuvent non seulement se propager en théorie très vite grâce aux messages MMS de téléphone en téléphone, mais également faire exploser le trafic sur les réseaux mobiles, entraînant ainsi une surcharge et déconnexion temporaire. Ces virus pourraient très bien devenir un véritable casse-tête pour les spécialistes de la sécurité informatique et pour les opérateurs de téléphonie mobile.

Comme nous l’avons déjà signalé, aucun nouveau ver Bluetooth n’a été découvert en 2005. Malgré la faible portée du protocole Bluetooth et la faible vitesse de diffusion de ces vers, il faut noter que le ver Cabir.a (ou l’une de ses modifications) a déjà été découvert dans 17 pays.

Cinq familles de chevaux de Troie pour téléphones mobiles ont été recensées à ce jour et elles constituent de véritables bombes. Une fois installé sur le téléphone, ils remplacent les applications du système et mettent ainsi le téléphone hors service. Ils contiennent tous l’une ou l’autre variante du ver Cabir et tente de transmettre leur corps au lieu du corps du ver.

Le ver Lasco requiert une attention toute particulière. Il s’agit d’un hybride entre un ver et un virus. Lorsqu’il est lancé, il balaie le disque à la recherche d’archives SIS et tente d’infecter les fichiers découverts en introduisant son code à l’intérieur de l’archive. Le virus existe en deux variantes : une application pour la plate-forme Win32 qui infecte les fichiers SIS trouvés et une application pour la plate-forme Symbian. La diffusion fonctionnelle via Bluetooth repose entièrement sur le code source du ver Cabir.

Pour conclure, il faut signaler que Kaspersky Lab a réalisé des études spéciales sur la possibilité d’infection des ordinateurs de bord (tournant sous Symbian OS) de quelques modèles de voitures. Les résultats de ces études nous permettent d’affirmer qu’à l’heure actuelle, il n’y a aucun risque. Cela ne veut toutefois pas dire que de tels problèmes ne pourraient pas survenir à l’avenir, vu le développement des systèmes d’exploitation des ordinateurs et des téléphones mobiles ainsi que celui d’autres appareils.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *