Magistr : il est passé par ici, il repassera par là ?

Magistr est un ver très commun qui se base sur des failles d'Outlook et d'Internet Explorer pour se répliquer par l'intermédiaire de mails maquillés avec des textes trouvés sur le disque dur infecté, ce qui lui donne un aspect plus « authentique » que ses cousins qui se contentent souvent d'un unique texte en anglais.

En novembre dernier, dans un communiqué alarmiste, Tegam indiquait qu'aucun antivirus du marché n'était capable d'en venir à bout, le ver « revenait » tout seul alors qu'on croyait qu'il avait été enlevé. L'éditeur estimait donc que le seul remède efficace était le reformatage du disque dur. Un discours d'autant plus étonnant que ses concurrents, selon les fichiers infectés, recommandaient soit la réparation, soit exceptionnellement la restauration voire l'effacement. À ce jour, Tegam maintient ce discours.
Nous avons voulu en avoir le cœur net et avons procédé à des tests, y compris à partir de fichiers théoriquement vérolés, fournis par l'éditeur. Aucun des antivirus à scanner testés, pourtant mis à jour avec les dernières signatures, n'a indiqué la moindre trace de Magistr dans ces fichiers. Nous les avons exécutés et attendu une nuit que la potion fasse son effet (Magistr se lance au bout d'un temps aléatoire). Le lendemain matin, re-scan. Toujours aucune trace de Magistr. Nous avons lancé, sous Dos (seul moyen pour se débarrasser complètement et définitivement de ce ver), les utilitaires de désinfection de Sophos et de Symantec, qui avaient fait leurs preuves lors d'infections précédentes et avérées de Magistr (celui de Sophos étant plus efficace car capable de réparer des fichiers cryptés par le ver).

Un ver bogué

Là non plus, aucune trace de ce satané ver, qu'il soit crypté ou non. Mais où est-il donc passé ? Serait-il vraiment invisible ? Ou aurions-nous affaire là à une nouvelle souche, toujours pas détectée par les différents éditeurs ? Une petite recherche sur l'internet nous donne bien vite la réponse : Magistr envoie parfois des fichiers sains, dans un mail ayant toute l'apparence d'un mail infecté (sources : plusieurs listes de discussion professionnelles ou issues d'environnements universitaires ainsi que les sites d'éditeurs concurrents de Tegam). Viguard réagit sur un fichier qui n'est de toute évidence pas infecté, mais aucun des antivirus traditionnels. Selon Guillermito, un bidouilleur ayant analysé le fonctionnement du logiciel (lire Pirates Mag' 12), c'est parce que Viguard considère comme potentiellement dangereux tout programme dont le point d'entrée est supérieur ou égal à l'offset de sa dernière section (langage technique que les développeurs apprécieront). Or, une telle particularité n'est pas propre aux virus, puisque certains fichiers sains la présentent aussi, ce qui explique une partie des fausses alertes de Viguard (inversement, Guillermito estime que de nombreux virus n'ont pas cette particularité et ne seraient donc pas forcément signalés par l'antivirus !). Il n'y a donc pas dans cette affaire de Magistr résistants à tous les antivirus, mais simplement des fichiers injustement déclarés dangereux par Viguard : une fausse alerte de plus ! Signalons tout de même que lors de notre enquête, nous nous sommes rendus compte que certains antivirus de passerelle (comme celui de Hotmail) réagissent de la même manière que Viguard : ils signalent des pièces jointes de mails comme vérolées alors qu'elles ne le sont pas, cette fois-ci simplement en se basant sur la structure du mail, et sans analyser le contenu du fichier ! Better safe than sorry, expliqueront certains, mais toujours est-il que ce bogue de Magistr (ou est-ce de la facétie de la part de son auteur) ne permet d'avancer qu'une seule chose : l'expéditeur du mail a son PC bel et bien infecté, lui. Quant au reste...
Edouard Hache

Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]