20/10/2005

Je viens de recevoir un courriel qui “met en pratique” ce que nous écrivions dans notre présentation pour SSTIC 2005 dans “Contournement de passerelles antivirus”.

Ce courriel se présente sous la forme d'une publicité pour un site (brésilien) :

Tous les liens de cette page pointent vers le fichier charge.scr qui contient un virus de type Donwloader. Ce fichier est hébergé sur un site HTTP : ainsi, le message qui contient le lien passe entre les mailles des éventuels (et de plus en plus nombreux) antivirus de messagerie mais échappe à l'analyse, encore peu répandue, des flux HTTP.

Prochaine étape : l'utilisation du protocole HTTPS pour échapper également aux mailles des mandataires HTTP avec antivirus.