Le ver "Atak"
Date : 20 Juin 2005
Ce mois-ci, "Atak" a été présenté comme un ver d'un nouveau type, ayant des fonctionnalités permettant de le rendre furtif. Ainsi, ce ver aurait la caractéristique de se désactiver automatiquement lorsque des outils d'analyse de code (débogueurs) tenteraient de l'analyser; ce qui rendrait sa détection et son étude plus ardues.
Le Cert-IST a contacté des éditeurs d'anti-virus pour avoir des compléments d'information sur ce "nouveau" ver.
En réalité, la seule fonctionnalité remarquable de ce ver (de type "mass-mailer") est qu'il vérifie lors de l'infection la présence d'un programme d'analyse de code sur le poste. Si c'est le cas, "Atak" abandonne l'infection du poste et s'auto-détruit.. Bien qu'inhabituel, ce comportement ne semble pas aussi sophistiqué que les annonces qui ont été faites à son sujet dans la presse. L'analyse de ce dernier a pu être réalisée sans incovénient majeur par la plupart des éditeurs d'anti-virus et des mises à jour de signature ont été aussitôt mises à disposition par ces derniers afin de le détecter.
L'autre propriété de ce ver reste très classique dans le sens où elle lui permet seulement de se propager par e-mail.
Il semble que ce ver soit plus un prototype (car aucune action nuisible ne lui a été attribuée à ce jour) afin de tester une "nouvelle" technique de furtivité qu'une réelle menace.
Le ver "Atak" n'aurait normalement pas mérité l'attention des spécialistes, mais on peut craindre que des variantes à venir de "Bagle", "Netsky" ou "Mydoom", que l'on a déjà vu dans le passé (*) combiner des fonctions simples et sans réelle originalité ("social engineering", zip, exploitation de vulnérabilités) pour accroître leur efficacité, ajoutent cette fonctionnalité à leur panoplie. Cette technique est à rapprocher de la précaution courante prise par certains "mass-mailer" d'éviter de se diffuser vers des noms de domaine où ils seraient trop rapidement détectés et contrés.
(cf Mars 2004, communiqué de presse, article bulletin, et article ZDNet la dangereuse mutation des mass-mailers)
Pour plus d'information :
- Article de ZDNet : http://www.zdnet.fr/actualites/technologie/0,39020809,39161107,00.htm
- Trend Micro : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ATAK.A
- NAI : http://vil.nai.com/vil/content/v_126679.htm
- Symantec : http://www.symantec.com/avcenter/venc/data/w32.atak@mm.html
- Sophos : http://www.sophos.com/virusinfo/analyses/w32ataka.html
