Marc Blanchard Virus Docteur

Un article de Damien Coulomb de LMI (lemondeinformatique.fr) concernant une présentation du début de mes recherches sur les storms worms et storm zombies est parue hier.

Je cite :

Edition du 26/09/2007 - par Damien Coulomb

Le 10 septembre dernier, à l'occasion du l'ouverture du Superbowl, un groupe de pirates informatiques a lancé la plus grande vague d'attaques utilisant la méthode « storm worm ».

Cette technologie de piratage, apparue au début de l'année et de plus en plus pratiquée, permet d'asservir la puissance non utilisée des ordinateurs infectés.

« L'idée en soi n'est pas nouvelle, ils n'ont fait que reprendre le concept de puissance de calcul décentralisée, lancé il y a quelques années par le SETI (Search for Extraterrestrial Intelligence)», nous explique Marc Blanchard, responsable des recherches scientifiques antivirus de Kaspersky Lab.

A l'époque il s'agissait d'utiliser la puissance non utilisée des ordinateurs personnels de volontaires, via un screensaver. « Ce que les pirates veulent, c'est disposer d'une énorme puissance de calcul, en parasitant un maximum de machines, transformées en PC zombie par le code malicieux qu'ils ont réussi à y introduire. »

..../.... la suite sur le site du journal

Cette recherche, qui est en cours, consiste à montrer que les pirates, en infectant des machines utilisateurs, et en les utilisant à des fins d'attaques, que la puissance globale dont ils disposent via nos ordinateurs est d'une puissance inimaginable. Vous pourrez suivre sur ce blog les résultats de cette recherche.

En réponse à Marc Olanié sur son article sur la vulnérabilité de KAV et KIS 6 et 7 publiée sur rootkit.com, je voudrais apporter quelques explications.

Ce qu'il faut savoir sur cette vulnérabilité est la grande difficulté avec laquelle on peut l'exploiter.

Dans un premier temps, cette vulnérabilité ne peut fonctionner, que si et seulement si, Windows est ouvert !!! peu probable dans les versions XP/Vista!

A savoir qu'un partage réseau n'est pas suffisant. Il faut que l'administrateur du poste Windows permette non seulement un partage réseau, mais également le fait qu'une personne extérieure puisse exécuter des programmes à distance!

Chose qui, n'est évidemment pas autorisé par défaut lors des installations des OS Windows.

L'impossible étant possible, pour que cette attaque puisse fonctionner, il faudrait que le poste soit infecté par une backdoor, que cette backdoor ouvre un port TCPIP, qu'elle puisse permettre d'exécuter un programme, que ce programme soit poussé par le créateur, puis ensuite que le créateur puisse accéder à la machine pour son lancement, pour qu'ensuite, de nombreux écrans bleus apparaissent, pour qu'au final, l'utilisateur appuie sur son interrupteur d'arrêt de la machine pour la redemarrer.

Cela fait beaucoup de choses pour un écran bleu ou l'extinction du PC ....pas glop!!!!

Les utilisateurs possédant Kaspersky, mettent à jour leurs bases antivirales en moyenne toutes les heures..ou moins, si ils ont choisi de mettre la mise à jour des bases en automatique.

Actuellement (voir les stats des fréquences de mises à jours de nos viruslabs) , on peut constater que depuis plus d'un mois maintenant, environ toutes les 39 minutes, de nouvelles bases sont disponibles au téléchargement. Téléchargement, qui, par défaut dans KAV/KIS 6 et 7, sont automatiques.

Les probabilités d'infections via une backdoor, puis la réception d'un malware qui permettra l'exécution de l'exploit, se trouvent minimisées.

D'autre part, la PDM (le module proactive défense du moteur) permet une exécution et une vérification dans une sandbox heuristique des codes ne reagissant pas aux signatures. Cette PDM permet notamment d'analyser les intégrités du système (toute exécution est controlée, mais aussi une analyse de l'activité de la registre, des processus, des installations et exécutions cachées).

Vous me direz : c'est là que l'exploit intervient !!

Je vous répondrai, oui, mais comment pourrait-il se copier, s'exécuter si il est bloqué par les analyses des AVBases ou de la proactive défense?

De même, étant donné que cet exploit ne peut se lancer qu'en effectuant un éventuel contrôle total à distance de la machine, il est difficilement probable que cet exploit s'active dans le monde à petite, moyenne ou grande échelle.....

Bref, suite au collège que j'ai eu avec notre équipe de développeurs gérant les vulnérabilités, on peut dire que cette vulnérabilité est classée au niveau BAS.

Nous travaillons actuellement dessus et la mise à jour de KLIF.SYS sera effectuée de façon automatique sur KAV/KIS.

Donc pas de panique face à cet exploit, qui, je vois, commence à faire couler de l'encre !

Arnaud Dimberton : Silicon.fr

Dans son verdict, la cour de Washington DC a donc tranché en faveur de Kaspersky, rejetant l’action en justice entreprise par la société Zango, concepteur de logiciels publicitaires (adwares).

Le juge Coughenour a rejeté la demande de Zango qui voulait que sa solution soit cataloguée comme étant "sûre" et a ainsi déchargé Kaspersky Lab de toute responsabilité conformément au "Communications Decency Act."

Zango avait attaqué Kaspersky en justice afin que la solution du groupe moscovite arrête de bloquer l'installation de son logiciel.

Selon Kaspersky : "ce jugement protège le droit du consommateur à choisir quels logiciels doivent être installés sur son ordinateur, et autorise les éditeurs de solutions antivirales à identifier et à indiquer les programmes potentiellement indésirables et nuisibles à l’internaute."

Par ailleurs, l'éditeur rappelle qu'avec ses solutions de protection, les utilisateurs sont libres d’ajuster les paramétrages pour permettre aux programmes de leur choix d’être actifs ou non.

"La mission de Kaspersky Lab a toujours été et reste de faire d’Internet un endroit plus sûr. Nous sommes ravis de l’issue de cette affaire, car le jugement est en parfaite adéquation avec la vocation de l’industrie antivirale – la protection de l’usager est primordiale", rappelle Eugène Kaspersky, dg de Kaspersky Lab.

Rappelons qu'en novembre 2006, a FTC (Federal Trade Commission) a condamné Zango à une amende de 3 millions de dollars. Le gendarme du commerce américain a déclaré dans un communiqué : " les méthodes utilisées par Zango sont injustes et frauduleuses, d'autant qu'il est très difficile pour un utilisateur lambda contaminé de désinstaller ces logiciels-espions."

En effet, pour accéder au visionnage de clips ou pour télécharger des jeux sur le site Zango.com les utilisateurs doivent installer un fichier dénommé 'setup.exe' et signé de Zango. Seulement ce que la plupart des internautes ne savent pas c'est qu'ils téléchargent un fichier-espion. La fonction de ce dernier est multiple, non seulement il récupère des informations sur les sessions Web de l'internaute, mais entraîne l'apparition de pop-up à caractère pornographique.