Le retour de la vengeance du virus-imprimante

Actualités - Malware - Posté on 30 Sep 2010 at 6:47 par Solange Belkhayat-Fuchs

Parmi les hantises quasi mythiquesdes chasseurs de virus, il en est une qui a toujours fait fureur : la légende de l’infection évasive qui, le temps d’un balayage d’A.V., part se réfugier en zone « nono* ». La planque idéale ? Les buffers d’un routeur ou d’un modem, les tampons du port imprimante (voir dans l’imprimante elle-même, à la haute époque des matricielles dépourvues de mémoire) dans l’EEprom du Bios…. Autant d’espaces mémoire réels ou fantasmés que ne peut bien sûr jamais vérifier le plus perfectionné des antivirus.

Cette fois, ce n’est plus de la science-fiction. Le coup nous vient tout droit des Hellènes (timeo danao !) Giorgos Vasiliadis, Michalis Polychronakis et Sotiris Ioannidis, trois universitaires qui, lors de la prochaine conférence Malware 2010 de Nancy, nous promettent une présentation intitulée « GPU-Assisted Malware ». Le virus ne va pas se cacher dans la carte vidéo de l’ordinateur, mais utilise tout de même les fonctions de celle-ci pour se camoufler. Et en termes de calcul, une carte graphique et son processeur spécialisé battra toujours à plate couture tout ce que pourra aligner une simple CPU. Une caractéristique qui passionne depuis quelques années les pratiquants du bruteforcing. Et notamment les membres du labo d’Elcomsoft, grands spécialistes du cassage de mot de passe à coup de Nvidia.

Polymorphisme, chiffrement complexe, subtilités mathématiques multiples, grâce à cette technique, c’est un peu comme si un virus embarquait son propre processeur lui permettant d’affronter n’importe quel algo de détection qui, lui, ne disposera jamais que de la capacité d’un « pauvre » QuadCore sur lequel doit compter tout antivirus.

Pour contrer une telle attaque, deux solutions : soit l’antivirus doit obligatoirement aller se faire voir par les grecs en question, afin qu’il puisse être recompilé à la sauce ATI ou Nvidia et ainsi disposer de toute la puissance nécessaire pour contrer ce nouvel ennemi, soit l’ensemble de l’industrie exhume ses vieux adaptateurs MDA (monochrome display adapter) dans lequel pas une once d’intelligence, de calcul ou d’interprétation ne pouvait tenir. Ah, le charme du 80×25 et ses deux niveaux d’intensité !…


*ndlc Note de la correctrice : Zone nono, abréviation très à la mode durant la période du Gouvernement de Vichy, et qui désignait la zone « non occupée », placée en dehors de la férule de l’armée d’occupation Allemande.

Laisser une réponse