Les vers de messageries instantanées sont-ils morts ?

Cet article vise à dresser un panorama de l’évolution des vers de messagerie instantanée depuis le début 2005 en Europe. Autrement dit, il n’aborde pas certains vers qui ne se sont pas vraiment répandu en Europe ni les vers développés pour certains clients de messagerie instantanée tels que ICQ dont l’utilisation en Europe reste marginale.

Bien que le premier ver de messagerie instantanée remonte à 2001, ce n’est qu’au début 2005 que ce type de programme malveillant a commencé à se répandre. Lorsque nous nous penchons sur cette période, il importe d’établir une distinction entre différents vers de messagerie instantanée développés à des fins diverses.

Ainsi les vers tels que Sumom ont captivé les médias en raison des épidémies produites. Ces vers sont le fruit de cyber-voyous désireux simplement de créer des dégâts arbitraires et d’attirer l’attention. Ils ont contribué à donner l’impression que ces vers existaient uniquement parce que des cyber-voyous voulaient s’affirmer. Mais rien n’était plus éloigné de la vérité : deux des familles les plus répandues, à savoir Bropia et Kelvir, furent développées pour engranger des gains financiers.

La naissance de Bropia, Kelvir et Prex

Bropia, Kelvir et Prex se diffusaient tous les trois via MSN Messenger sous la forme de liens vers des fichiers hébergés sur un serveur (http). L’apparition de la famille Bropia en février 2005 marque le début d’une nouvelle étape dans l’évolution des vers de messagerie instantanée. Bien que Bropia ne présentât aucune particularité au niveau de la programmation, son auteur démontra son « professionnalisme » en utilisant un compacteur inconnu à l’époque. Ainsi, les premières versions de Bropia étaient compactées à l’aide de PEspin 1.1 et les principaux logiciels antivirus étaient incapables, à l’époque, de traiter ce format. Après nous être rendu compte que l’auteur du ver continuait à utiliser PEspin 1.1, nous nous sommes empressés de l’ajouter à notre base antivirus.

Face à l’amélioration des taux de détection proactive de Kaspersky Lab pour cette famille, le(s) auteur(s) commencèrent à utiliser un autre compacteur inconnu à l’époque : UPack. Au moment d’écrire cet article, UPack était un des compacteurs les plus fréquemment utilisés par les auteurs de programmes malveillants.

Kelvir fut détecté deux semaines après l’apparition de Bropia. Bien que ces deux familles se ressemblent, il y avait une différence de taille.

Bropia et Kelvir contiennent tous deux un IRCBot. Le principal objectif de ces vers est d’installer l’IRCBot.

Alors que Bropia se présente sous la forme d’un fichier unique contenant le ver de messagerie instantanée avec l’IRCBot intégré, Kelvir se présente sous la forme d’une archive autoextractible (RAR) contenant deux fichiers séparés : le ver de messagerie instantanée et l’IRCBot.

Les premières versions de Bropia et Kelvir faisaient souvent leur apparition sur des serveurs hollandais. Si l’on associe à cela le fait que les Pays-Bas abritent un nombre très élevé d’utilisateurs de MSN et que personne n’était sensibilisé aux risques posés par les vers de messagerie instantanée, on obtient les conditions qui expliquent les nombreuses épidémies qui se sont déclenchées localement.

Dans la mesure où les IRCBots servaient à installer des logiciels publicitaires, il est probable que les auteurs ont dégagé des bénéfices vu qu’ils étaient certainement payés pour chaque logiciel publicitaire installé sur l’ordinateur des victimes.

La troisième famille que nous aborderons ici, représentée par Prex, repose sur le code de Bropia/Kelvir. Au début, Prex fut considéré comme un cheval de Troie de messagerie instantanée et non pas comme un ver et ce, parce qu’il diffuse un lien vers un IRCBot et non pas vers lui-même. Selon la classification de Kaspersky Lab, de tels programmes sont des chevaux de Troie et non pas des vers. Dans la mesure où les fichiers sur les serveurs Web peuvent être changés en permanence, la décision fut prise de classer ce programme malveillant dans la famille des vers de messagerie instantanée. Le débat sur la vraie nature des programmes malveillants qui se propagent par les messageries instantanées a toujours cours.

Bropia, Kelvir et Prex se ressemblent énormément et pour cette raison, des dizaines de versions de ces familles ont pu être identifiées grâce à notre signature IM-Worm.Win32.Prex.d.

Révolution sociale

Les toutes premières versions de ces vers de messagerie instantanée exploitaient des méthodes d’ingénierie sociale éprouvées et primitives afin d’encourager l’utilisateur à cliquer sur le lien envoyé par le ver. Le fichier ou le lien indiquait souvent un contenu humoristique ou sexuel, Paris Hilton étant un des thèmes favoris des auteurs de ces virus.

Les données en notre possession indiquent clairement que les fichiers avec l’extension .pif ont déclenché des épidémies bien plus importantes que ceux dotés de l’extension .src. Il est plus que probable que cela s’explique par la confusion avec l’extension .gif (ou .tiff) qui indique un fichier graphique.
Les auteurs de virus optèrent pour l’extension .pif qui semblait plus efficace et on pu observer une nette augmentation du nombre de vers exploitant cette extension. Ceci étant dit, les vers avec l’extension .src ne disparurent pas complètement.

Les grandes épidémies eurent un effet négatif sur l’efficacité des vers de messagerie instantanée vu que les utilisateurs devenaient plus conscients des risques et avaient moins de chance de s’infecter. Autrement dit, les auteurs de virus devaient trouver de nouvelles astuces d’ingénierie sociale.

Les auteurs se mirent à ajouter un message au lien afin de le rendre plus légitime. Cette méthode s’avéra très efficace car le nombre d’utilisateurs infectés augmenta. Toutefois, l’étape suivante de la stratégie de développement des auteurs allait avoir un plus grand impact encore. En avril 2005, des versions de Kelvir diffusant un lien vers un serveur PHP firent leur apparition.

Comment PHP est-il utilisé dans ce cas ? PHP est un langage de programmation pour les sites Web à contenu dynamique et pour les applications côté serveur. Un client ou, dans ce cas, un utilisateur, peut soumettre des données qui seront traitées par le serveur.

Par exemple :

[server]/pictures.php?email=[email adress]

Pictures.php est le script PHP exécute sur le serveur. Tout ce qui vient après le “?” représente les données soumises pour le traitement via le script PHP.

La suite dépend de la manière dont le script PHP a été écrit.

Le scénario le plus probable dans le cas des vers de messagerie instantanée est que l’adresse électronique sera enregistrée dans une base de données utilisée plus tard pour la diffusion de messages non sollicités. Ensuite, un fichier exécutable, le ver de messagerie instantanée, sera présenté à l’utilisateur pour qu’il le télécharge.

Kelvir.k se diffuse sous la forme d’un lien vers [server]/pictures.php?email=[recipient’s email address]. Il s’agit d’un brillant exemplaire d’ingénierie sociale.

Tout d’abord, ce lien ne ressemble pas à un objet exécutable. Par conséquent, le destinataire hésitera moins à cliquer dessous. Une fois que l’utilisateur a cliqué sur le lien, son adresse électronique est recueillie, même s’il n’exécute pas le programme à télécharger.

Ensuite, l’utilisation d’une adresse électronique permet de personnaliser le message. Ce genre de personnalisation constitue la clé de la réussite pour toute manœuvre d’ingénierie sociale.

Enfin, le lien semble indiquer une galerie de photos hébergées sur un serveur.

Il existe également une variante de Kelvir qui exploite une « chatbot » qui utilise des phrases types pour engager une petite conversation avec la victime potentielle avant de lui envoyer le lien.

Toutefois, l’envoi d’un « lien php » demeure la tactique favorite des auteurs de vers de messagerie instantanée car elle semble être la plus efficace. Vu que l’utilisateur peut exploiter différents « liens php », ils sont faciles à intégrer dans la stratégie d’ingénierie sociale.

A l’heure actuelle, les vers de messagerie instantanée pour MSN Messenger n’ont pas dépassé ce stade de leur évolution.

AOL Instant Messenger

Il devint évident au premier semestre 2005 que les auteurs de virus s’attaquaient principalement à MSN car il s’agissait du meilleur moyen d’infecter un maximum d’utilisateurs. Pour cette raison, les programmes malveillants développés pour d’autres clients de messagerie instantanée non pas suivi une évolution aussi claire en matière d’ingénierie sociale et ils ont plus ou moins sauté les étapes initiales.

Il existe un élément significatif qui a influencé l’évolution des programmes malveillants pour divers clients de messagerie Instantanées : l’analyse syntaxique du code HTML. Les clients tels que AIM prennent en charge une analyse syntaxique du code HTML de base. L’auteur qui recourt à l’ingénierie sociale dispose ainsi de plusieurs options. Il est très facile d’exploiter l’analyse syntaxique du code HTML en créant de « faux » liens/URL sur lesquels l’utilisateur sera tenté de cliquer.

Il est probable que l’absence de prise en charge d’analyse syntaxique du code HTML dans MSN figure parmi les trois raisons principales du déplacement de l’intérêt des auteurs de virus de MSN vers AIM.

La deuxième raison est que le nombre de personnes qui utilisent à la fois MSN et AIM est faible. Cela signifiait qu’en s’attaquant à AIM, les auteurs de virus s’en prenaient à une tout autre population et vu le nombre d’utilisateurs d’AIM, surtout aux Etats-Unis, la pêche était prometteuse.

Enfin, la troisième raison est qu’il est plus facile de piéger les utilisateurs d’AIM que les utilisateurs de MSN. Non pas parce que les utilisateurs de MSN sont conscients des dangers, mais parce que MSN a pris des mesures drastiques.

Ainsi, tous les messages contenant « .pif » sont désormais bloqués au niveau du réseau, à l’instar des messages contenant « gallery.php » et « download.php ». De plus, les versions prochaines de MSN n’accepteront pas les fichiers dont l’extension peut être interprétée comme le signe d’une menace potentielle telle que .pif, .src. etc.

Bien qu’il existe un certain nombre de familles de vers de messagerie instantanée qui s’attaquent au réseau AIM, leur importance semble être limitée. C’est le cas de IM-Worm.Win32.Opanki : ce ver est bien représenté mais il a des fonctions IRCBot réduites et peut uniquement télécharger les fichiers.

Vers de messagerie instantanée invisibles

Même s’il est vrai que certains vers de messagerie instantanée utilisant la technologie rootkit pour masquer leur présence sont apparus en mai 2005, nous abordons ici une question un peu différente.

Un des éléments intéressant qui différencie les programmes malveillants qui se diffusent via MSN et ceux qui se propagent via AIM est que en règle générale le ver MSN est un composant/fichier séparé. S’agissant du programme malveillant qui se diffuse via AIM, la fonction est normalement intégrée dans le corps du programme malveillant. La routine de propagation est souvent secondaire par rapport à la charge utile normale.

Il existe certains programmes malveillants pour MSN qui adoptent un comportement identique : ainsi, certaines versions de Mytob contiennent également un composant qui se propage via la messagerie instantanée. Ce composant sera détecté comme Mytob. Toutefois, il existe un nombre plus grand de programmes malveillants qui se propagent via AIM : une des familles les plus connues est Backdoor.Win32.Aimbot, un IRCbot classique capable de se propager via AIM.

Il existe également de nombreux SdBots et Rbots dont la capacité de propagation via AIM ne représente qu’un sous-groupe de leurs fonctions. Certains chevaux de Troie téléchargeurs comme Banload possèdent des fonctions similaires.

Il est donc difficile d’obtenir un nombre exact de programmes malicieux capables de se propager via AIM. Une seule chose est certaine : le nombre de programmes malicieux qui peuvent se propager via AIM est plus important qu’il n’y paraît.

Que faut-il retenir de cette différence quantitative entre les programmes malicieux qui se propagent via MSN ou AIM ? La grande majorité des vers pour MSN sont programmés en Visual Basic tandis que la majorité des programmes malveillants qui se propagent via AIM sont programmés en C. Le code C peut être facilement copié et collé par des auteurs inexpérimentés dans le code source d’un IRCbot et il fonctionnera encore car tous les IRCbots libre les plus populaires sont également programmés dans ce langage. Il n’en va pas de même pour le code Visual Basic. Cet ensemble de code « clé sur porte » contribue à l’augmentation du nombre de programmes malicieux qui se diffusent via AIM.

Evolution technique

Cet article a débuté sur une étude de certains points liés à l’évolution technique des vers pour messagerie instantanée. Mais il y a d’autres points d’intérêt également.

En mai 2005, nous nous sommes rendu compte que certaines fonctions étaient ajoutées aux vers pour messageries instantanées. Bropia.ad était capable de se diffuser via les réseaux P2P tandis que IM-Worm.Win32.Kelvir.bm contenait également un rootkit.

Les ensembles ver de messagerie/trappe tels que Kelvir et Bropia ne sont plus aussi fréquents. On dirait que les auteurs de programmes malveillants préfèrent séparer les deux pour diverses raisons.

Ainsi, le scénario suivant est assez fréquent de nos jours :

L’utilisateur reçoit un lien via la messagerie instantanée. Il clique sur le lien et ouvre une page contenant un exploit et le programme malveillant est installé automatiquement sur l’ordinateur de la victime ou bien il est invité à télécharger et/ou à exécuter un fichier exécutable, à savoir l’IRCbot.

Une fois que la trappe a été exécutée, elle téléchargera le ver de messagerie automatiquement ou elle recevra une commande via le canal IRC afin de télécharger ce fichier.

Ces vers ressemblent toujours fortement à Kelvir, à une grande différence prêt : ils se propagent uniquement sur commande.

Le ver commencera à se diffuser uniquement lorsque l’opérateur IRC (le maître du Bot) émet une commande spécifique sur le canal ou sur la machine de la victime. Il convient de noter que, dans ce cas, le ver se propage en tant que lien vers la trappe et non pas vers lui-même.

Cette méthode présente plusieurs avantages :

  • Si une commande de téléchargement est émise via un canal IRC, il ne faudra pas longtemps avant que les fichiers ne parviennent aux spécialistes de la sécurité. Ces personnes contactent normalement l’hébergeur du site proposant les fichiers malveillants et lui demande de le mettre hors ligne. Dès que le maître du bot s’est rendu compte que son site a été désactivé, il lui suffit de télécharger le fichier malveillant sur un autre serveur et de modifier le lien fourni aux IRCbots. Ainsi, le botnet peut continuer son développement.
  • Un éditeur de logiciel antivirus peut obtenir plus difficilement un échantillon du ver de messagerie instantanée. Ce qui se traduit par un délai dans la création et la diffusion du remède.

Mais la raison la plus importante est que cette méthode permet de contrôler la taille du botnet. Les versions antérieures de Kelvir se contentaient de se propager d’une manière désorganisée. Toutefois, si seulement un ou deux IRCbots reçoivent une instruction de diffusion, il n’y a pas d’épidémie à grande échelle, ce qui évite d’attirer l’attention des éditeurs de logiciels antivirus, des organes judiciaires et des médias.

Il existe des variantes de Kelvir et d’Opanki qui peuvent envoyer des messages dynamiques et/ou télécharger des liens. En d’autres termes, le maître du bot exerce un contrôle total sur le contenu envoyé par le ver pour messagerie instantanée. Il s’agit d’une fonction présente « en série » sur les trappes capables de se propager via AIM.

Enfin, en janvier 2006, nous avons découvert IRCBot.lo.

Ce programme malveillant est non seulement capable d’envoyer des liens à un grand nombre de réseaux de messagerie instantanée, mais le message et le lien sont également variables. Il s’agit peut-être du summum en matière de vers pour messagerie instantanée.

Conclusion

Cet article n’aborde pas d’autres programmes malveillants tels que Trojan-Spy.Win32.PdPinch qui se propage via ICQ et qui représente un vrai problème en Russie et dans d’autres pays en dehors de l’Europe. Nous avons malgré tout essayé de donner une vue d’ensemble des programmes malveillants pour messagerie instantanée.

Les modes de distribution, la sophistication du code utilisé et les réseaux de messagerie instantanée pris pour cible ont considérablement changé depuis l’émergence des premiers vers pour messagerie instantanée. Qui plus est, les messages dynamiques allongent le cycle de vie des programmes malveillants et des botnets tandis que grâce à la diffusion contrôlée, les auteurs de ces programmes peuvent rester discrets.

Dans la majorité des cas, un ver pour messagerie instantanée ne doit pas être considéré comme un programme malveillant autonome mais bien comme un esclave qui contribue à l’expansion d’un IRCBot.

L’émergence d’IRCBot.lo démontre que la messagerie instantanée est un vecteur d’infection qui n’a pas encore été exploité à son maximum. De plus, ce code peut être copié facilement, ce qui se traduit par une augmentation sensible du nombre d’IRCBots qui peuvent propager des liens sur les principaux réseaux de messagerie instantanée. Par conséquent, il est plus que probable que, à l’avenir, d’autres réseaux de messagerie instantanées seront également pris pour cible par ces vers.

La propagation via la messagerie instantanée est une fonction que les auteurs de programmes malveillants vont certainement continuer à exploiter dans le cadre d’IRCBots multifonction. Toutefois, il est fort probable qu’à long terme, les programmes malveillants qui existent uniquement pour être diffusés via les messageries instantanées (les premières versions des vers pour messagerie instantanée) vont continuer à disparaître.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *