ZeuS aurait-il pris la grosse tête ? La société F-Secure vient de découvrir une variante qui possède un bien curieux comportement : au début de son exécution, le virus chronomètre la vitesse de la machine sur laquelle il s’exécute ; s’il détecte une fréquence d’horloge inférieure à 2Ghz, alors il suspend son exécution et stoppe le processus d’infection. En d’autres termes, cette variante cible spécifiquement les machines possédant un processeur d’une vitesse supérieure à 2Ghz (bien que le test réalisé par le malware ne soit pas infaillible).
Il s’agirait vraisemblablement d’un mécanisme censé débusquer les machines virtuelles : pour des raisons d’économie de ressources, dans un environnement de test, les VM émulent souvent des processeurs peu puissants. Par conséquent, le malware considère que lorsqu’il est exécuté sur une machine lente, alors c’est qu’il est en cours de dissection par un chercheur. Il est peu probable que les créateurs de cette variante recherchent vraiment à se constituer un botnet de machines rapides ; si c’était le cas, le processeur ne serait pas le seul critère étudié par le virus : par exemple, la bande passante est une ressource bien plus intéressante pour les pirates. On peut également imaginer que la recherche d’une puissance CPU supérieure pourrait être le signe avant-coureur que ZeuS se destine à du calcul distribué, comme du cassage de mots de passe : mais alors, pourquoi se contenter se tester le CPU quand on pourrait tirer parti de la puissance bien supérieure des processeurs de la carte graphique ?(sur la puissance des GPU, cf notamment ce lien).
Il est intéressant de noter que la découverte de cette variante de ZeuS, qui ne s’intéresse qu’à certains types de processeurs, intervient à peine une semaine après la publication par Anthony Desnos, Robert Erra, et Eric Filiol d’un whitepaper portant sur un mécanisme de détection par une application du type de processeur sur lequel elle s’exécute. Ce procédé s’appuie sur l’étude des anomalies de calcul flottant que présentent les processeurs : rien qu’en réalisant des calculs et en évaluant l’exactitude des résultats, une application serait capable de déterminer la famille de CPU de la machine. Ces travaux ouvrent la voie à des malwares capables de cibler certains types de processeurs en particulier.