Les vers VBS et les apprentis sorciers
Date : 11 Juillet 2005
Le mois dernier le ver VBS OnTheFLy (Anna Kournikova) a défrayé la chronique, mais il a eu un impact moins important que son prédécesseur LoveLetter puisqu'il a pu être détecté par certains anti-virus majeurs sans mise à jour spécifique.
Ce phénomène s'explique par le fait que le ver OnTheFly a été conçu à partir d'un " générateur de vers VBS " connu de certains éditeurs dès l'été dernier (août 2000). Ainsi ces derniers avait pu inclure alors dans leur logiciel une fonctionnalité (méthode " générique ") permettant de détecter tout les vers créés à partir de ce générateur.
Néanmoins, le ver OnTheFly a permis de faire une publicité assez conséquente à ce générateur de vers Internet. Ainsi, de nouvelles versions du générateur ont vu le jour et leur créateur a même ouvert un site web à partir duquel n'importe quel internaute peut venir télécharger ses programmes.
C'est ainsi que ce mois-ci est apparu le ver " Cindy " conçu à partir de la version 1.5 du générateur.
Cela met donc à la portée de n'importe qui, le moyen de créer des vers VBS plus ou moins malveillants en trois " clics " de souris. Bien que les charges destructives (payload) proposées par le générateur actuel soient pour l'instant assez limitées, il ne serait pas étonnant que, dans les nouvelles versions, des actions plus exotiques soient proposées aux utilisateurs.
La dernière version du générateur de vers VBS (2.0) a été testée par le Cert-IST. Nous avons ainsi pu vérifier que les vers ainsi créés étaient correctement détectés par l'anti-virus de NAI, sans mise à jour spécifique (virus de nom VBSWG.gen@MM, fichier de signatures du 14/03/01) . De même des retours d'expérience ont montré que ces vers étaient aussi détectés par l'anti-virus AVP depuis le 12 mars sous le nom I-Worm.Lee-based.
Néanmoins, comme de nouveaux types de vers VBS peuvent faire leur apparition et ne pas être, eux, détectés dans un premier temps par les anti-virus, le Cert-IST recommande de filtrer tous les fichiers VBS attachés aux e-mails à l'entrée du réseau de l'entreprise.
Pour plus d'information
- Article de Wired : http://www.wired.com/news/technology/0,1282,42375,00.html
- Article de AVP : http://www.kaspersky.com/news.asp?tnews=0&nview=9&id=167&page=0
- Article de Trend Micro sur le générateur de vers VBS : http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VBSWG
- Information sur le ver Cindy (Sophos) : http://www.sophos.com/virusinfo/analyses/vbsvbswgv.html