Win32/Mytob ne trompe pas Virus Radar

Par ESET le Jeudi 28 Avril 2005

Le Virus Radar a jusqu'ici détecté toutes les variantes de la famille de vers Win32/Mytob.

La beauté d'un système proactif comme le Virus Radar (http://www.virusradar.com), c'est qu'il peut détecter les nouveaux virus dès leur première apparition.

Utilisant l'heuristique avancée de l'antivirus NOD32, le Virus Radar est conçu pour être une station de surveillance planétaire qui peut nous informer sur les nouveaux virus qui se répandent (et bien sûr aider à empêcher qu'ils le fassent).

La récente capture de la famille de vers Win32/Mytob, (qui compte maintenant une vingtaine de membres), est un bon exemple de l'efficacité de l'heuristique de NOD32.



Certaines de ces variantes, que très peu d'autres systèmes anti-virus ont détecté sans mise à jour, ont commencées à se répandre très rapidement. Par exemple Win32/Mytob.D a eu une dispersion significative (voir Figure 1).

Les vers Win32/Mytob sont un cas d’école de vers copy-cat, largement basé sur le code source des virus Win32/Mydoom, très répandus en 2004. Ils n'apportent que très peu de nouveauté ou d'originalité, mais leur fréquence, associée à une légère variation, suffit à tromper beaucoup de scanner anti-virus.

Libérées à une fréquence élevée, ces menaces ne peuvent se répandre que pendant un court laps de temps, et rendent la détection par signature bien moins efficace - au moment ou la nouvelle signature est disponible, une nouvelle variante de la menace est déjà libérée, et le fait qu'il y ait une détection pour l'ancien ver est beaucoup moins important pour l'auteur. Cela peut sembler une stratégie étrange, mais la tendance montante est l'exploitation criminelle de logiciels malveillants, en particulier pour créer des réseaux de machines pour envoyer du spam.

Ce type de ver dont la durée de vie est très courte, peut compromettre très rapidement en cas de propagation réussie, de nombreux systèmes. Les machines vulnérables, ayant été ainsi utilisées, ne serait-ce que pour quelques heures, à des fin délictueuses, déclenche un cycle qui se répète avec une autre variante du ver.

Une technique similaire a été utilisée récemment lorsque plusieurs variantes de Bagle (qui ne contient pas de code de réplication) furent envoyées dans des spams, en succession rapide. A nouveau l'efficacité de la détection anti-virus par signatures fût négligeable - au moment où le trojan a été détecté, la campagne de spam était terminée et la variante suivante se répandait déjà.

Cette tendance souligne la nécessité de technologies réellement proactives telles que l'heuristique avancée de NOD32. La fenêtre utilisable pour appliquer la protection est très restreinte, et la vulnérabilité est grande. Avec les pirates et la propagation de logiciels malveillants, cette situation ne peut qu'empirer pour ceux qui n'utilisent pas les technologies proactives.

A propos d'Eset http://www.eset.com
ESET est une société privée de développement et de recherche en logiciel avec des bureaux à San Diego, aux Etats-Unis, à Londres, au Royaume-Uni, à Prague, en République tchèque et à Bratislava, en République slovaque. Fondée en 1992, ESET s'est concentrée sur le développement de logiciels antivirus innovants. NOD32 est né de ce processus de développement et chacune de ses évaluations le classe comme l'un des meilleurs produits antivirus. NOD32 s'adjuge en fait plus de récompenses VB100% du Virus Bulletin que n'importe quel autre produit du marché.

A propos d'Athena Global Services http://www.athena-gs.com ou http://www.eset-nod32.fr
Représentant et importateur grossiste à valeur ajoutée de plusieurs logiciels et matériels informatiques, ATHENA Global Services propose avec ses partenaires, des services multiples liés au développement marketing et commercial des produits. ATHENA Global Services a pour vocation de fournir des solutions micro-informatiques innovantes, d'aider les Start-up et les éditeurs de logiciels principalement américains à lancer leurs produits sur le marché informatique français ainsi que de contribuer à leur développement et leur implantation.