Retrovirus : une course contre la montre

Les éditeurs d’anti-virus sont de plus en plus réactifs (en moyenne, la réponse est donnée en 2 heures ; antidote de détection et agent nettoyeur inclus), les créateurs de codes malicieux disposent d’un laps de temps trop court pour diffuser leur « bébé » de façon significative via Internet. À moins de procéder autrement et de biaiser les antivirus. C’est partant de ce constat qu’ils ont mis au point les rétrovirus (Klez/Elkern, BugBear, Lirva, Winewar, Yaha?). Cette technique, une fois la machine infectée, stoppe les anti-virus et éventuellement les coupe-feux (‘firewalls’).

L’antivirus étant désactivé, il est ainsi possible de véhiculer en toute immunité un autre code malicieux. Celui-ci se propagera ensuite sur le réseau sans être détecté. On comprend donc pourquoi cette solution a la faveur des pirates et constitue le gros des attaques actuellement enregistrées. D’autant qu’il n’est absolument pas nécessaire de créer en complément un virus sophistiqué, il suffit d’en réutiliser un qui a fait ses preuves. On saisit alors pourquoi un bon vieux virus, tel que PE_FUNLOVE (lequel procède par saturation des serveurs d’impression) se situe encore aujourd’hui à la 3è place du Top Ten des infections virales, alors qu’il a été détecté pour la première fois le 11 novembre 1999. Il infecte les unités locales que les partages réseau et n’est pas facile à éradiquer. En bref, un rétrovirus sert aussi bien à répandre un virus qu’à poser une porte dérobée ou un cheval de Troie sur le système infecté. Tous étaient atteints, mais tous n’en mouraient pas Le défi des nouveaux antivirus est donc de parvenir à détecter des codes malicieux présents, véhiculés et-ou arrivant sous forme de fichier ou de code prêt à être exécuté (que ce soit de façon automatique ou manuelle) avant l’infection de la mémoire de l’ordinateur. Quant aux coupe-feu, ils doivent parvenir à détecter et à bloquer ces attaques, alors qu’elles ont été déjà exécutées par une machine tierce. Outre le couplage de ces deux outils. D’où l’intégration dans les nouveaux produits de règles de prévention mises à jour via un lien Internet et qui bloquent la propagation du rétrovirus bien avant que le fichier de signature permettant d’éradiquer virus et rétrovirus ne soit disponible. Cette solution a pour avantage de conserver en activité les coupe-feux et les antivirus des postes de travail. Si ce n’était pas le cas, le rétrovirus continuerait son déploiement et bloquerait la plupart des systèmes de vaccination. Utiliser une solution prenant en compte le comportement des rétrovirus permet de réduire l’indisponibilité des postes de travail au strict minimum (3 à 4 heures, en moyenne), là où une solution d’éradication classique prendrait entre un et deux jours. Un gain appréciable en entreprise. Se protéger : quelques règles simples

Pour parer au mieux de tels problèmes, il convient de : – procéder à une mise à jour régulière (au plus toutes les deux heures) des antivirus (un sur la station, un autre sur le serveur) ; – s’assurer que les analyses temps réel des fichiers sont bien effectuées et que tous les types de fichiers sont scannés ; – se tenir informé des alertes virales et autres attaques IP auprès des éditeurs ; – étudier et mettre en place une stratégie de protection au niveau logiciel : – mises à jour des firmwares des coupe-feu ; – backup et restauration intégrant des rollbacks rapides ; – utilisation de règles de prévention pour bloquer les rétrovirus le plus rapidement possible.