lundi 17 mai 2010

Khobe : l’exploit anti-antivirus indétecté

« Cet exploit passe inaperçu aux yeux de tous les antivirus les plus connus » pensent les chercheurs de Matousec. Surnommé le « tremblement de terre des logiciels de sécurité Windows », ce programme fonctionne de manière plutôt simple, et reposant une fois de plus (c’est là une marotte de Matousec) sur les « kernels mode driver ».

Lors de chaque appel en lecture ou écriture, un programme (et par conséquent un virus) fait un appel au noyau qui est nécessairement inspecté par un antivirus. Le virus Matousec, lui, n’envoie pas un, mais deux appels, l’un sain, qui jouera le rôle de chèvre vis-à-vis du logiciel de protection, l’autre infectieux, mais expédié avec un léger retard par rapport au premier, et en utilisant un thread parallèle. Grâce à ce « double effet kiss-cool », en langage technique, une attaque en « race condition », la charge virale ne craint rien, même si son pedigree est théoriquement répertorié dans la base de signature de l’A.V.. Selon les chercheurs, ce Khobe-là fonctionnerait sur toutes les plateformes Windows, et n’aurait pour l’heure pas encore connu d’adversaire à sa taille.

Aucun commentaire: