Le virus qui « dérustine »
Le Sans se livre à une analyse détaillée du malware Advatrix. Une analyse justifiée par le coté très peu orthodoxe de ce BHO. Un BHO, ou browser helper object, est une appliquette « améliorant » en bien ou en mal, le comportement d'un navigateur Web. Et Advatrix, outre de très classiques fonctions d'ajouts de pop-up sauvages et de collectes d'habitudes de surf sur Internet, possède une arme secrète d'un genre nouveau : il annihile la protection de certaines rustines, opération qui ré-ouvre deux failles propres à Internet Explorer. Et pas n'importe quelles failles... de la faille historique, de l'exploitable garanti sur facture : les fameux trous de sécurité ANI et Mdac qui sont à l'exploit Windows ce que Borotra, Brugnon, Cochet et Lacoste sont au tennis français. Des archétypes de failles, des trous comme Microsoft ne sait plus en faire. Advatrix n'est pas à proprement parler un « rollback » de la rustine, c'est, plus exactement, une « rustine de rustine », un « hook » de code qui court-circuite le patch sans pour autant l'éliminer. Et ce, dans le seul but que les principaux logiciels d'inventaire de vulnérabilité ne puisse détecter la présence de ce bug retrouvé. Plus subtile encore, cette modification ne s'applique pas sur le fichier même de l'exécutable Internet Explorer, mais sur son image (en mémoire). Précaution supplémentaire pour qu'aucun détecteur de virus ne puisse faire correctement son travail en balayant simplement le disque dur. L'on se trouve ici face à ce que l'on pourrait nommer un « virus virtuel », qui n'est pas sans rappeler la méthode de protection utilisée par BlueLane. Que cette méthode d'attaque se répande, et il sera vain d'expliquer qu'une machine à jour est une machine invulnérable.
