On est loin, très loin de l’alerte « critique », mais cette révélation de Marco Giuliani, sur le blog de PrevX, pourrait bien marquer la fin d’une époque : celle des virus 32 bits. Giuliani serait tombé sur une édition « full 64» du rootkit TDL3 qui, courant janvier, avait défrayé la chronique. Car cette infection avait pour principale caractéristique d’entrer en conflit avec un correctif Microsoft censé colmater la faille MS 10-015. Conflit qui provoquait un « écran bleu de la mort » aussi sûrement qu’un économiseur d’écran signé Russinovich… mais en vrai. Le Response Team de Microsoft avait à l’époque été accusé de diffuser une rustine trouée.
Cette fois, nous explique Giuliani, le code est « presque » propre, et qu’outre sa compatibilité avec le mode 64 bits, TDL3 s’est enrichi de quelques nouvelles fonctions, notamment la possibilité de s’installer sur le secteur de boot. Cette modification de la MBR s’effectue d’ailleurs grâce à un reboot sauvage astucieusement provoqué pour éviter de passer sous les fourches caudines des systèmes de protection du noyau. Ce serait là, toujours selon l’analyse de Marco Giuliani, une pré-version du vecteur d’infection. De nouvelles souches seraient en train d’apparaître chaque jour, un peu plus perfectionnées.
Après le vol de véritables certificats détournés de sites légitimes, voici que les codes d’infection se mettent eux aussi à respecter les conseils que Microsoft prodigue aux développeurs. A ce rythme-là, il ne faudra plus beaucoup de temps avant que n’apparaissent les premiers « vrais-faux drivers signés ».
