Le virus DuQu détecté par un outil open-source

Simon ROBIC –  publié le Lundi 07 Novembre 2011.

Une faille touchant toutes les versions de Windows a pu être exploitée pour créer le virus DuQu, qui vise à attaquer des infrastructures cruciales. Microsoft a publié un premier correctif, tandis que NSS Labs a publié un outil open source permettant de détecter si le virus est présent sur sa machine. Il peut également découvrir de nouveaux fichiers, sans être mis à jour.

Une faille de Windows a été utilisée par des pirates pour mettre au point le virus DuQu, repéré le mois dernier. De façon classique, ce virus se transmet par courrier électronique dans un document Word infecté. Une fois l’ordinateur contaminé, les pirates peuvent prendre le contrôle de la machine à distance. Il aurait été créé par le même groupe à l’origine de Stuxnet qui avait infecté une centrale nucléaire iranienne et aurait pour objectif de préparer des cyber-attaques contre des infrastructures cruciales (centrales électriques, raffineries de pétrole, etc.).

Microsoft avait publié un premier correctif, pour limiter les dégats de DuQu. Des ingénieurs de NSS Labs ont également publié un outil open source pour scanner sa machine et détecter le virus si celui-ci est présent. Le but de cet outil est également de découvrir d’autres éventuels fichiers utilisés par DuQu et qui n’auraient pas encore été repérés.

Cet outil est basé sur les découvertes déjà effectuées. Il utilise des schémas de reconnaisse évolués et peut donc reconnaître de nouveaux fichiers qui ne seraient pas encore connus sans avoir besoin de le mettre à jour. Les développeurs demandent à ceux qui découvriraient de nouveaux fichiers grâce à leur outil de leur transmettre, afin qu’ils puissent mieux comprendre DuQu.

Les firmes de sécurité se veulent néanmoins rassurantes. Les cibles de DuQu semblent très précises et le virus n’a donc pas été largement déployé. Mais il pourrait créer un effet collatéral. En révélant d’où venait la faille, Microsoft permet aux autres pirates de l’exploiter sur des machines qui ne seraient pas à jour.