Des virus anti-virus contre la menace Code Red

Le week-end dernier, un programmeur allemand se faisant appelé Herbert HexXer a proposé un programme nommé Code Green qui modifie les machines vulnérables et enlève les backdoors installées par Code Red II (voir édition du 1er août 2001). Les ordinateurs hébergeant Code Green scrute au hasard l’Internet à la recherche de serveurs NT infectés par une variante de Code Red. Si une machine est détectée, Code Green s’y installe (on pourrait dire remplace un virus par un autre…) puis télécharge le correctif Code Red à partir du site de Microsoft pour remédier à la vulnérabilité du système. D’une façon quasi identique à celle utilisée par Code Red, Code Green utilise alors la nouvelle machine hôte pour détecter d’autres victimes.

Dans le même temps, un autre programmeur appelé Markus Kern a publié un programme similaire nommé CRClean défini comme un « ver au déploiement passif » qui ne vise que les systèmes qui ont eux-mêmes attaqués une machine sur laquelle était installé CRClean. En représailles, l’application modifie et nettoie le système infecté, avant de s’auto-installé sur le nouvel hôte. Toutefois, CRClean n’est pas permanent et est conçu pour s’auto-détruire à partie du 1er novembre 2001.

De « vrais-faux » virus qui ne cherchent pas à se cacher

Les deux applications laissent des signatures uniques dans les fichiers de ‘log’ des serveurs qu’ils modifient afin qu’ils puissent être facilement identifiés. Reste que de telles méthodes de lutte contre les vers d’Internet sont depuis longtemps critiquées par une majorité d’experts en sécurité, du fait même qu’ils utilisent les mêmes techniques que les vers eux-mêmes. Ainsi, en mai dernier, les professionnels de la sécurité avaient vivement désapprouvé le ver Cheese destiné au système Linux et dont le but était de remédier à une vulnérabilité exploitée par le ver Li0n. Techniquement parlant, de tels programmes, même avec les meilleures intentions du monde, vont toujours modifier un système sans le consentement de son administrateur.

On sait aussi que l’installation de « rustines » au hasard a causé des problèmes sur certains systèmes. Evidemment, les textes qui accompagnent tant Code Green que CRClean sont remplis de clauses déresponsabilisant leur concepteurs quant aux éventuels dommages causés. « Assurez-vous que vous savez ce que vous faites, vu que ce code utilise des techniques de ‘virus/ver’ et peut provoquer des dégâts. Je ne pourrai être tenu pour responsable pour des dommages causés par ce code », prévient ainsi Herbert HexXer. De son côté, Markus Kern est aussi clair : « Il doit être évident pour tout le monde que je puis être tenu pour responsable de ce que vous ferez avec ce code. Bien qu’il ne contienne aucun code malveillant, ce n’est pas à moi qu’il faudra adresser des reproches si vous endommagez votre réseau ou votre machine ».

Bien que leurs auteurs n’ont pas publié leur code source sur Internet, le fait que les applications aient fait leur apparition dans les jardins des experts en sécurité laisse penser que ce n’est qu’une question de temps avant que l’on voit ces « vers » apparaître.