Microsoft vient d’annoncer la découverte d’un malware, Bohu, possédant à ce jour deux variantes recensées. Ce malware a l’originalité d’embarquer des contre-mesures ciblant spécifiquement les logiciels antivirus effectuant certains de leurs traitements à distance, dans une infrastructure de cloud computing. Beaucoup d’antivirus font en effet désormais appel à ce type de procédé et transmettent à un serveur distant des informations sur les fichiers en cours de scan (généralement un haché MD5 ou SHA-1). Un tel système permet par exemple de déclencher des alertes à destination des ingénieurs de l’éditeur lorsqu’un grand nombre de machines se mettent simultanément à scanner un même fichier suspect : ce type de signal peut parfois s’avérer être le signe avant-coureur d’une pandémie virale.
Bohu utilise une panoplie de tactiques différentes pour contrer cette analyse :
- Tout d’abord, lorsqu’il s’installe, il ajoute à la fin de tous ses fichiers des données aléatoires. Cela garantit que l’empreinte prise par l’antivirus et transmise au service de Cloud sera toujours différente (pour rappel, une fonction de hachage classique génère un haché complètement différent si ne serait-ce qu’un seul bit du fichier original est modifié). Cela a pour objectif de déjouer les systèmes d’alerte des éditeurs antivirus et d’empêcher l’évaluation de l’ampleur de l’infection ;
- Ensuite, le virus installe sur la machine infectée un filtre réseau afin d’empêcher la communication avec les adresses usuelles des serveurs de cloud computing utilisés par les antivirus. Ce filtre est réalisé grâce aux fonctionnalités de filtrage directement intégrées dans Windows (via la Service Provider Interface) ;
- Enfin, si jamais tout cela ne suffisait pas déjà, le virus installe un driver NDIS (Network Driver Interface Specification) permettant d’intercepter les paquets de données émis sur les interfaces réseau de la machine. Le malware intercepte tous les paquets échangés en HTTP, et recherche des mots-clefs spécifiques à certains éditeurs antivirus (Kingsoft, Rising, Qihoo, Kaspersky…). Lorsqu’un tel mot-clef est détecté, le paquet est supprimé et n’arrive jamais à destination, et la remontée d’informations vers l’éditeur antivirus échoue.
Précisons également que ce malware est d’origine chinoise, ce qui explique qu’il prenne pour cible les principaux acteurs du marché chinois (rappelons que Rising est la fameuse société antivirus mise en cause pour avoir diffusé un virus et corrompu un haut fonctionnaire, afin de diffuser une alerte nationale accusant son rival, Micropoint, comme origine du virus). Le malware installe de nombreux fichiers dans C:\Program files\baidu (du nom du principal moteur de recherche chinois). Le malware est propagé par des techniques basiques d’ingénierie sociale, en incitant les victimes à installer un CODEC vidéo. L’objectif opérationnel du malware et son niveau réel de diffusion ne sont pas encore connus.
D’après les fichiers créés par le malware, il semble toutefois se rapprocher d’autres virus en circulation. Le rapport d’analyse de Bohu généré par la sandbox Anubis — et en particulier les fichiers qu’il installe et exécute sur le système — ressemble comme deux gouttes d’eau à un autre rapport d’analyse concernant un malware dont de nombreuses variantes circulent depuis plus d’un an. Cet autre malware communique avec un serveur distant, tj.gogle.cn, qui est toujours en ligne. Ce sous-domaine appartient au domaine Gogle.cn, qui héberge une grossière contrefaçon du moteur de recherche Google, et qui redirige les recherches vers Sogou.com, un concurrent chinois de Google — et de Baidu…