Nouvelle technique de propagation des vers et ses parades
Date : 22 Juin 2005
Ce mois-ci, les vers ont franchi un nouveau palier dans leur technique de propagation (Cf. alerte CERT-IST/AL-2004.003 : "Ver et contournement des passerelles de messagerie"). En effet, de nouvelles variantes du ver "Bagle" (CERT-IST/AV-2004.054), "Bagle-H" et "Bagle-I", ont utilisé un nouveau moyen pour contourner les passerelles de messagerie antivirales et infecter les systèmes d'information avec l'aide malencontreuse de l'utilisateur final.
Les vers, en prenant les e-mails générés par les variantes de "Bagle", utilisent aujourd'hui des fichiers zippés protégés avec un mot de passe (le mot de passe étant dans le corps de l'e-mail, ce qui permet au destinataire de déchiffrer le fichier ZIP).
De manière courante, le fichier zippé ainsi protégé est vu par les passerelles de messagerie anti-virales comme un fichier chiffré et ne peut être analysé (ces dernières ne connaissant pas la clé de déchiffrement). Dès lors, profitant des "bonnes" pratiques de ces passerelles, qui sont généralement configurées pour laisser passer ce type de message vers son destinataire final, ces variantes de "Bagle" ont pu pénétrer dans le système d'information sans encombre jusqu'à l'utilisateur final. Cependant sur les postes des utilisateurs possédant un anti-virus local à jour, les variantes ont pu être détectées (et détruites) lors de la décompression du fichier malveillant. Cette technique a permis alors de mettre en lumière les limites de certaines passerelles de messagerie anti-virales.
Néanmoins, il a été constaté que des solutions de messagerie antivirales parvenaient quand même à arrêter ce type de ver. En effet, les techniques d'analyse de certaines solutions de messagerie implémentées par des éditeurs d'anti-virus permettent grâce à des signatures génériques de détecter ce type de variantes. Ces techniques se basent, non pas sur le type du fichier (fichier compressé) et ses analyses associées (décompression du fichier afin de scanner son contenu), mais par rapport au fichier attaché vu comme une simple suite d'octets (état "brut") sans se soucier de son véritable type .
Ainsi, certaines solutions de messagerie, comme NAI WebShield/GroupShield, Sophos Mailmonitor et PureMessage, ont la possibilité de détecter ce type de ver en utilisant une signature spécifique.
Il est aussi important de noter, dans ce cas précis, que les possibilités de filtrage de certaines passerelles de messagerie spécialisées dans l'analyse de contenu, mais indépendantes des éditeurs d'anti-virus), sont plus limitées aux fonctionnalités intrinsèques du produit (traitement des fichiers zippés/protégés) qu'aux capacités de filtrage des anti-virus qui y sont rattachés. Ainsi, le fait d'avoir un anti-virus capable détecter des vers contenus dans des pièces jointes zippées et protégées par mot de passe ne peut être suffisant.
De manière optimale, la solution d'analyse de contenu devra, dans un premier temps, détecter que le fichier est un fichier de type zippé/protégé, puis le transmettre systématiquement vers l'anti-virus (même si elle n'arrive pas elle-même à en lire le contenu, celui-ci étant vu comme chiffré).
Cette pratique n'est pas encore disponible sur toutes les solutions d'analyse de contenu. Dès lors, si le fichier est chiffré les options possibles sont souvent, soit la mise en quarantaine, soit la distribution vers le destinataire final. Pour ces dernières, l'analyse lexicale au niveau de la composition du message (émetteur, sujet, corps, nom de la pièce jointe) permet de pallier de façon épisodique ce problème.
Pour plus d'information :
- Sophos :
- http://www.sophos.com/virusinfo/analyses/w32baglezip.html
- http://www.sophos.com/virusinfo/articles/baglegraphic.html
- http://www.sophos.com/virusinfo/articles/baglerar.html
- NAI :
- TrendMicro :