Cloud
Un virus attaque les antivirus en mode cloud
Par La rédaction, publié le 24 janvier 2011
Baptisé Bohu, ce cheval de Troie chinois bloque les connexions entre l’ordinateur et le serveur distant. De quoi se poser des questions sur la sécurité des protections à distance…
Première alerte orageuse dans les services de sécurité en mode cloud : Microsoft a découvert Bohu, un cheval de Troie qui rend vulnérable les postes de travail protégés par un antivirus dans les nuages. Pour la firme américaine, il s’agit de « la première vague de malwares qui cible spécifiquement les technologies d’antivirus en mode cloud ». Pour l’instant, elle serait limitée à la Chine.
La technique d’infiltration n’a rien d’original, puisqu’elle se présente sous la forme d’un faux codec vidéo (voir ci-contre) joint à un e-mail. Ce fichier corrompu n’affecte pas le service en ligne de l’éditeur d’antivirus mais l’ordinateur du client. Une fois installé, le code malveillant empêche la connexion à des services d’antivirus hébergés en ligne. Il efface aussi les cookies de Google et ceux des moteurs de recherches chinois Baidu et Sogou.
Les concepteurs de Bohu utilisent différentes techniques afin de rendre sa détection et son éradication plus difficiles. D’abord, sa signature virale est constamment modifiée (polymorphisme). Deux variantes ont d’ores et déjà été recensées par Microsoft.
Multiplication des offres cloud
Ensuite, il créé une carte réseau virtuelle (Network Driver Interface Specification ou NDIS) – appelée %System%driverssiglow.sys – afin de contrôler le trafic réseau. Dans le cas présent, Bohu intercepte les paquets de données envoyées par l’antivirus à son serveur distant (et notamment les mots clés spécifiques à certains antivirus présents sur le marché chinois, comme Rising).
Enfin, il multiplie les données aléatoires afin de déjouer les systèmes d’alerte des éditeurs d’antivirus. Ces offres en mode cloud récupèrent en effet les fichiers les plus scannés en local afin de vérifier s’il s’agit ou non d’un code malveillant ou d’une fausse alerte.
Pour Rik Ferguson, architecte solutions chez Trend Micro, « l’apparition de codes malveillants comme Bohu démontre la nécessité d’une défense à plusieurs niveaux. Cette évolution des malwares va de pair avec une évolution en matière de sécurité : analyse heuristique et comportementale, prévention des modifications non autorisées… Toutes ces mesures doivent travailler conjointement. Mais il faut aussi rappeler que le “succès” de ce genre de programmes malveillants dépend de la victime qui clique sur un lien ou une pièce jointe suspects. »
Hasard ou pas, ce cheval de Troie est découvert au moment où les offres de sécurité dans les nuages se multiplient. Fin novembre, Avira dévoilait son offre (Avira Managed Email Security) destinée aux PME. Trois mois plus tôt, Trend Micro avait lancé sa nouvelle gamme de solutions antivirus Titanium, basée sur une technologie cloud.