Le Sans Institute signale l´existence d´un nouveau Troyen découvert par Symantec, capable de détourner des internautes sans que leur propre machine soit infectée. Cette engeance se nomme Trojan.Flush.M et simule le comportement d´un serveur DHCP pour mieux orienter les usagers du Net vers des sites particulièrement dangereux. Voici, de manière très schématique, comment se déroule l´attaque :
* Reynald, homme toujours débordé et peu soucieux de la santé de sa machine, vient déguster un Royal Cheese dans sont fast-food de quartier. Lorsqu´il raccorde son ordinateur portable au réseau Wifi de ce que l´on peut difficilement appeler un restaurant gastronomique, il réveille du coup son appétit et le fameux cheval de Troie « Flush ».
* Peu de temps après, Cyrille, informaticien soigné et méticuleux, amoureux des « patchs Tuesday » et respectueux des « java update », vient assouvir une soudaine soif de boisson carbonatée de couleur brunâtre (un vice passager chez ce charmant individu). Au démarrage de son ordinateur, la couche réseau expédie une requête DHCP afin d´obtenir un numéro IP et un lien avec le DNS préconisé.
* A ce moment précis, la machine de Reynald intercepte l´appel, y répond en indiquant le numéro IP d´un DNS pirate. Toutes les recherches d´adresses émises par l´ordinateur de Cyrille seront adressées à ce DNS, et non plus à un annuaire réputé.
* Cyrille envisage de consulter son compte en banque sur www. credit-populaire d´épargne.fr, ce qu´il fait chaque fois avant de boire un verre, histoire de se mettre en appétit. L´URL qui s´inscrit dans la barre d´adresse de son navigateur est bien celle de sa banque, sa machine n´est infectée par aucun virus ou rootkit, ses fichiers de paramétrage sont exempts d´erreur ou de corruption… mais le site web qu´il a sous les yeux est hébergé en Estonie.
* Cyrille entre, comme de coutume, son couple « login/mot de passe ». De l´autre côté de l´Europe physique, un programmeur fou s´exclame « Da ! françousky kaputt ! »
* Cyrille, ruiné, finira sa triste de vie de programmeur à la solde des mafias Russes en mal de sous-traitance.
Le taux propagation de Flush.M est, de l´avis même de l´équipe Symantec, relativement faible. Il dénote toutefois du niveau d´inventivité extrême dont font preuve les codeurs de virus. L´une des seules parades connues contre ce genre d´attaque demeure la toolbar Netcraft, qui indique généralement la localisation géographique du site visité. Las, cette indication de localisation n´est pas toujours d´une fiabilité absolue, et l´ajout de ce BHO diminue très fortement la rapidité des navigateurs.
