L’affaire est désormais largement connue : le logiciel compagnon du chargeur de batterie Energizer DUO (connectable au PC via USB) embarquait un cheval de Troie capable d’infecter les machines sous Windows. Mais le point le plus intéressant maintenant, en attendant de savoir comment le parasite est arrivé là, est de constater que la plupart des antivirus du marché était encore bien en peine de détecter ce cheval de Troie quatre jours après que l’affaire soit connue de tous.

Une première analyse de l’exécutable réalisée via VirusTotal le 7 mars, soit deux jours après la publication de l’alerte , ne donnait qu’un taux de détection de 4.76% : 2 antivirus sur 42 identifiaient le cheval de Troie Arugizer dans l’exécutable d’Energizer (Microsoft et Sophos).

Une seconde analyse réalisée le 9 mars, soit quatre jours plus tard – et surtout deux jours après que la presse se soit emparée de l’affaire – ne donne un taux de détection que de 23.81% (10 antivirus sur 42 sont désormais au parfum). Le score était quasi-identique la veille pour la détection de la DLL malveillante elle-même. Les trois quarts des antivirus du marché sont donc, pour l’essentiel, inutiles ici.

Ces chiffres sont certes à prendre avec quelques pincettes : Symantec, par exemple, ne donne toujours pas l’alerte en scannant le fichier porteur (UsbCharger_setup_V1_1_1.exe), mais détecte a priori le cheval de Troie une fois la DLL exécutée (Arucer.dll) depuis le 4 mars (Symantec ayant été consulté par le US CERT afin d’apporter une assistance à l’analyse du binaire avant le bulletin d’alerte du 5 mars).

Toutefois, c’est la tendance qui est intéressante ici : qu’il s’agisse de l’exécutable ou de la DLL infectée, moins d’un quart des antivirus du marché sont capables de détecter une menace connue quatre jours après que le monde entier en ait entendu parler. Et cela est cohérent avec les chiffres évoqués dans notre précédent article consacré aux difficultés rencontrées désormais par les antivirus (entre 17% et 38% de taux de détection).

Du côté des services de validation en ligne, Site Advisor de McAfee indique avoir évalué le site d’Energizer et ses fichiers proposés au téléchargement en mai 2009. A cette date, l’exécutable mis en cause était déjà présent. McAfee Site Advisor n’y a pourtant trouvé aucune infection après l’avoir exécuté afin d’identifier d’éventuelles modifications apportées au système (aucune modification de la base de registre et aucune modification sur le système de fichier). Le fichier a donc été déclaré sain. Etait-il déjà infecté à cette époque ? Impossible de le savoir avec certitude, mais selon Symantec tout semble indiquer que le cheval de Troie était présent dès mai 2007, date de sa compilation.

Dernier échec enfin, après celui des antivirus et de Site Advisor : celui de l’interface utilisateur du pare-feu de Windows. Certes, le pare-feu lui-même est parfaitement capable de bloquer la connexion du cheval de Troie vers l’extérieur. A condition toutefois que l’utilisateur ne fasse pas une exception pour le parasite !

Or, le message d’alerte demandant à l’utilisateur s’il accepte la connexion du cheval de Troie ne précise pas le nom de la DLL infectée qui est à l’origine de la demande, mais plutôt celui du service Microsoft « Run a DLL as an App » (exécuter une DLL comme une application) qui exécute celle-ci.

Et lui est parfaitement signé par l’éditeur (voir capture d’écran ci-dessous). Pour beaucoup d’utilisateur, même un peu avancés, voir que l’exception est demandé par une application signée par Microsoft est probablement suffisant pour l’autoriser… et donc activer la porte dérobée.

Fenêtre d’alerte du pare-feu de Windows confronté au cheval de Troie Arugizer (source US CERT)

Par chance l’affaire n’est pas aussi terrible qu’elle pourrait l’être : le logiciel d’Energizer n’était pas distribué avec le produit lui-même mais devait être téléchargé à part, ce qui en limite la diffusion. Et puis le cheval de Troie en question est particulièrement simpliste : il se contente d’ouvrir un port (qu’un simple pare-feu suffit à neutraliser), ne survit pas à la désinstallation du logiciel initial et il suffit d’effacer sa DLL pour s’en débarrasser.

Mais en dépit d’une telle simplicité, ce cheval de Troie est tout de même parvenu à échapper au service d’analyse de sécurité en ligne d’un éditeur de sécurité majeur et aux trois-quarts des antivirus du marchés, même quatre jours après avoir été découvert. On comprend mieux pourquoi les attaques ciblées fonctionnent aussi bien…