Vous êtes sur le site public du Cert-IST
Nouveautés du monde des virus

Date :29 Juin 2005

Publication: Article

Ce mois-ci deux faits marquants, mais peu virulents, ont été recensés dans le monde des virus. Il s'agit dans un premier temps d'une variante du virus "Simile", qui se propage aussi bien sur les systèmes Microsoft que sur les systèmes Linux. Ensuite, le deuxième temps fort correspond à la première tentative de "virus" impactant le format d'image de type JPEG, "Perrun".

Virus "Simile" ("Etap-d"):

"Simile" est une variante du virus "Etap" découvert en février 2002, mais dont le faible degré de propagation et de nuisance n'ont pas amené le Cert-IST à émettre d'avis.

"Simile" est un virus utilisant des techniques de furtivité sophistiquées rendant sa détection délicate :

  • polymorphisme : chiffrement (ou bourrage) aléatoire du code du virus à chaque infection,
  • EPO (Entry Point Obfuscating) : technique permettant de masquer le moment où le code du virus prend la main dans un programme.

De plus, la grande particularité de "Simile" est qu'il infecte les fichiers .EXE (Win32 PE) des systèmes Microsoft Windows, mais aussi les fichiers ELF (Executable and Linking Format) des systèmes Linux. C'est un virus multi plates-formes (Cf. aussi l'avis CERT-IST/AV-2001.091).

Le seul comportement notable du virus en dehors de sa propagation est que lorsqu'un fichier infecté est exécuté le 17 mars ou 17 septembre, une boite de dialogue (Windows) ou un texte (Linux) s'affiche sur l'écran de l'utilisateur.

Aujourd'hui, bien que peu nocif, "Simile" semble le virus multi plates-formes le plus abouti en matière de technique de furtivité.

Pour plus d'information :

 

Virus "Perrun" :

"Perrun" est le premier prototype de "virus" impactant le format d'image JPEG (Joint Photographic Experts Group). Cependant, "Perrun" n'est pas considéré, à juste titre, comme un véritable virus JPEG, car il nécessite des conditions particulières pour que l'infection se fasse directement à travers des images de ce type.

En fait, "Perrun" se présente dans un premier temps sous la forme d'un fichier exécutable classique, " proof.exe". Une fois que ce fichier est exécuté, le virus dépose sur le système un autre fichier exécutable, "extrk.exe", et modifie aussi la Base de Registres pour que, lorsqu'un utilisateur double-clique sur un fichier .JPG, il exécute le fichier "extrk.exe" à la place du visualiseur d'images associé. L'affichage de l'image est donc intercepté et redirigé vers un autre programme que celui légitimement prévu.

L'entrée modifiée dans la base de registre est :

HKLM\Software\CLASSES\jpegfile\shell\open\command

Ensuite, "Perrun" recherche un fichier JPEG dans le répertoire courant du système afin d'y inclure son code viral.

Ainsi, lorsque un fichier JPEG vérolé sera visualisé dans un système déjà infecté par "Perrun", l'exécutable "extrk.exe" sera dans un premier temps appelé pour extraire et exécuter le code du virus contenu dans l'image, et l'image sera ensuite affichée par le visualiseur du système. C'est seulement dans ces conditions particulières que le virus pourra se propager via des images JPEG.

Il est alors important de noter que l'affichage d'une image JPEG infectée sur un système sain n'a aucune conséquence sur ce dernier (l'affichage n'est pas "intercepté" par l'extracteur du code viral).

Remarque : il existe une variante de ce virus qui utilise le même mécanisme pour les fichiers de type texte (.TXT). Cette variante intercepte et redirige l'appel à l'éditeur de texte associé aux extensions .TXT vers un programme spécifique.

Pour plus d'information :