Raccourcis empoisonnés et lanceurs compromis

Tendance - Tendances - Posté on 30 Jan 2009 at 8:13 par Solange Belkhayat-Fuchs

nick-garrodL’histoire des virus est un éternel recommencement, nous explique Shinsuke Honjo de l’Avert. Dans un article intitulé « Abusing Shortcuts files », le chercheurs nous entraîne sur les chemins des « raccourcis » Windows qui, soit sont chargés de lancer un virus, soit intègrent eux-mêmes une charge létale.

Tout le monde a encore en mémoire les « autorun » des clefs USB et autres mémoires amovibles que Conficker/Downadup utilise pour se répandre de ressource en ressource. Le principe est strictement le même. Chez W32/Mokaksu, c’est même devenu une spécialité. Le virus recherche tout raccourci passant à sa portée, et modifie illico le chemin de lancement du programme en y ajoutant sa propre position sur le disque. Ainsi, en croyant lancer un Acrobat Reader ou la calculette Windows, l’usager lancera tout d’abord l’exécutable du virus, puis, dans un second temps, le logiciel initialement désigné par le « shortcut ». Le tout, bien entendu, sans que rien d’anormal ne semble se produire à l’écran.

Mais ce n’est pas tout, raconte Honjo. Pour le troyen Downloader-BMF, la modification du raccourci sert également à exécuter non plus un programme, mais un script. En l’occurrence, un script ftp qui va à son tour récupérer un second script –mais en VBS-, lequel VBS se chargera du téléchargement des fichiers complémentaires nécessaires au Troyen.

Ces techniques sont intéressantes à plus d’un titre. En premier lieu, exception faite de l’exécutable chargé de modifier le raccourci, il est rare qu’un antivirus ou que les mécanismes de protection du noyau s’affolent lorsqu’un shortcut est activé. Après tout, ce n’est jamais qu’un ordre lancé par l’utilisateur, dans le cadre restreint de ses droits, ordre qui ne viole généralement aucun adressage mémoire ou la moindre restriction d’exécution. Il fait ce que n’importe qui est autorisé à faire. Ce sont les conséquences de son action qui sont dangereuses, et non l’action elle-même.

Ceci rappelle certains virus antiques sous Dos, déclenchés tantôt par un nom d’exécutable caché dans le « volume label », tantôt amorcé à l’aide d’une séquence Ansi, ou bien encore venant polluer l’Autoexec.bat de la machine. Cela rappelle également les exécutables destructeurs camouflés par une extension PIF, un fichier descripteur plagié par Microsoft et inventé par IBM pour les besoins de TopView. Sur des pensers anciens, faisons des vers nouveaux*.

*Ndlc : ver d’André Chénier

Laisser une réponse