Une note de SANS Institute Internet Storm Center rapporte que les pirates adaptent de plus en plus leurs fichiers vérolés à la virtualisation. Pour cela, le pirate va tenter de détecter si la machine sur laquelle il se trouve est réelle ou virtuelle. Si la machine est virtuelle, le malware ne se lancera pas ou cherchera une faille au sein du logiciel de virtualisation pour atteindre le système.
Rechercher la virtualité
Pour savoir si le virus est lancé sur une machine virtuelle, ce dernier va chercher des indices comme les pilotes VMware, des adresses mémoires spécifiques ou des débuggeurs connus. Le programme ne se lancera pas, car l’auteur du virus sait qu’il n’aura aucun effet.
Des antivirus confiants
Les firmes éditrices de solutions de sécurité restent assez confiantes face à cette recrudescence de malware. En effet, si le principe n’est pas nouveau, ces six dernières semaines ont vu une augmentation massive de fichiers s’adaptant à la virtualisation. Les maisons d’antivirus affirment qu’il est possible de facilement détecter les programmes qui analysent un système pour voir s’il est virtuel ou qui tente de trouver une faille. Un tel comportement sera donc rapidement signalé comme caractéristique d’un malware. De plus, il est relativement simple de configurer sa machine virtuelle pour qu’elle ne soit pas présentée comme virtuelle.
De plus, les chercheurs en sécurité arrivent aussi à altérer les signatures VMware par exemple afin de tromper le virus pour qu’il pense qu’il est exécuté sur une machine réelle. Bref, on nous affirme qu’il n’y a pas de quoi s’alarmer.
Pour rappel, la virtualisation consiste à lancer plusieurs systèmes d’exploitation sur une même machine. On virtualise les ressources hardware grâce à des logiciels comme Virtual Machine. L’avantage est que si un virus infecte une machine virtuelle, il suffit de fermer ladite machine pour que tout disparaisse. On comprend mieux pourquoi les auteurs de malware préfèrent ne pas exécuter leurs programmes malicieux dans ces conditions.