Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)
[accueil] [menu] [suivez-nous !] [chercher]
Paru dans
Le Virus Informatique n°19Magistr : il est passé par ici, il repassera par là ?
Magistr est un ver très commun qui se base sur des failles d'Outlook et
d'Internet Explorer pour se répliquer par l'intermédiaire
de mails maquillés avec des textes trouvés sur le disque
dur infecté, ce qui lui donne un aspect plus
« authentique » que ses cousins qui se contentent
souvent d'un unique texte en anglais.
En novembre dernier, dans un communiqué alarmiste, Tegam indiquait
qu'aucun antivirus du marché n'était capable d'en venir
à bout, le ver « revenait » tout seul
alors qu'on croyait qu'il avait été enlevé.
L'éditeur estimait donc que le seul remède efficace
était le reformatage du disque dur. Un discours d'autant plus
étonnant que ses concurrents, selon les fichiers
infectés, recommandaient soit la réparation, soit
exceptionnellement la restauration voire l'effacement. À ce
jour, Tegam maintient ce discours.
Nous avons voulu en avoir le cœur net et avons procédé
à des tests, y compris à partir de fichiers
théoriquement vérolés, fournis par
l'éditeur. Aucun des antivirus à scanner testés,
pourtant mis à jour avec les dernières signatures, n'a
indiqué la moindre trace de
Magistr dans ces fichiers. Nous les avons exécutés
et attendu une nuit que la potion fasse son effet (
Magistr se lance au bout d'un
temps aléatoire). Le lendemain matin, re-scan. Toujours aucune
trace de
Magistr. Nous avons
lancé, sous
Dos (seul
moyen pour se débarrasser complètement et
définitivement de ce ver), les utilitaires de
désinfection de Sophos et de Symantec, qui avaient fait leurs
preuves lors d'infections précédentes et
avérées de
Magistr (celui
de Sophos étant plus efficace car capable de réparer des
fichiers cryptés par le ver).
Un ver bogué
Là non plus, aucune trace de ce satané ver, qu'il soit
crypté ou non. Mais où est-il donc passé ?
Serait-il vraiment invisible ? Ou aurions-nous affaire là
à une nouvelle souche, toujours pas détectée par
les différents éditeurs ? Une petite recherche sur
l'internet nous donne bien vite la réponse :
Magistr envoie parfois des
fichiers sains, dans un mail ayant toute l'apparence d'un mail
infecté (sources : plusieurs listes de discussion
professionnelles ou issues d'environnements universitaires ainsi que
les sites d'éditeurs concurrents de Tegam).
Viguard réagit sur un
fichier qui n'est de toute évidence pas infecté, mais
aucun des antivirus traditionnels. Selon Guillermito, un bidouilleur
ayant analysé le fonctionnement du logiciel (lire
Pirates
Mag' 12), c'est parce que
Viguard considère comme potentiellement dangereux tout programme dont le
point d'entrée est supérieur ou égal à l'
offset de sa dernière
section (langage technique que les développeurs
apprécieront). Or, une telle particularité n'est pas
propre aux virus, puisque certains fichiers sains la présentent
aussi, ce qui explique une partie des fausses alertes de
Viguard (inversement, Guillermito
estime que de nombreux virus n'ont pas cette particularité et ne
seraient donc pas forcément signalés par
l'antivirus !). Il n'y a donc pas dans cette affaire de
Magistr résistants à
tous les antivirus, mais simplement des fichiers injustement
déclarés dangereux par
Viguard :
une fausse alerte de plus ! Signalons tout de même que lors
de notre enquête, nous nous sommes rendus compte que
certains antivirus de passerelle (comme celui de Hotmail)
réagissent de la même manière que
Viguard : ils signalent
des pièces jointes de mails comme vérolées alors
qu'elles ne le sont pas, cette fois-ci simplement en se basant sur la
structure du mail, et sans analyser le contenu du fichier !
Better safe than sorry,
expliqueront certains, mais toujours est-il que ce bogue de
Magistr (ou est-ce de la
facétie de la part de son auteur) ne permet d'avancer qu'une
seule chose : l'expéditeur du mail a son PC bel et bien
infecté, lui. Quant au reste...
Edouard Hache Vous voulez soutenir une information indépendante ? Rejoignez notre
Club privé !
Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]