Pour gérer vos consentements :
Categories: Cloud

Un virus furtif pour Windows 2000

La découverte du premier virus capable d’exploiter la fonction de stream de fichier de Windows 2000 a provoqué un débat acharné à propos de l’efficacité des programmes antivirus actuels face à ce genre d’infection.

Le virus « W2K/Stream », un fichier exécutable qui n’affecte que les PC fonctionnant sous Windows 2000, a été décrit par les éditeurs d’antivirus plus comme une « preuve de faisabilité » que comme une menace réelle. Mais ils ont tout de même mis à jour leur logiciel pour le détecter. Ce virus est le premier à tirer parti du nouveau système de fichiers de Windows 2000 « Alternative data streams » (ADS), qui permet de découper un fichiers en plusieurs sous-fichiers ou « streams » (flux).

Le virus utilise l’ADS pour dissimuler une partie de son code, et certains experts en sécurité ont déclaré que les antivirus n’étaient pas capables de vérifier en profondeur cette partie du système de fichiers. « Cette déficience [de certains antivirus] peut être utilisée pour dissimuler du code malveillant ou même entraîner le programme à détruire certains fichiers système essentiels », a ainsi déclaré l’Institut Sans dans un communiqué d’alerte.

De leur côté, les éditeurs d’antivirus répondent que la critique est déplacée puisqu’une partie du code d’un virus comme « W2K/Stream » se trouve obligatoirement dans la zone « classique » du système de fichiers, et que n’importe quel bon logiciel antivirus l’y découvrira. Toutefois, un responsable de Symantec indique : « Si les créateurs de virus utilisent plus souvent les technologies de stream, nous serons obligés de développer de nouveaux moteurs de détection qui iront spécifiquement chercher à l’intérieur des flux ADS. »

À en croire Panda Software, le virus n’est finalement qu’une application Windows compressée d’une taille de 3 628 octets. Quand on le lance, le virus infecte tous les fichiers « .exe » présents dans le répertoire, tente de copier le fichier original dans un stream dérobé et le remplace par son propre code dans le stream initial. De cette façon, chaque fois qu’un utilisateur essaie d’ouvrir le fichier, il ne fait que lancer le virus. Pas de panique toutefois, le virus est pour le moment plus à l’état de « test de laboratoire » que de véritable arme fortement déployée sur le Web. De quoi laisser aux éditeurs d’antivirus le temps de se retourner ?

Pour en savoir plus :

L’Institut SANS (en anglais)

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago