Le blog au nom kikoolol de Mopra-L/Mopral
Posts tagged vers
Virus Informatique, apprenez à les identifier
8 juillet 2008
par Mopral
dans Culture à la fraise
Cet tuto a été réalisé par XanK’iller, sur Ryokuchi
Si vous désirez le copier pour l’afficher ailleurs, je vous demanderais simplement de citer son créateur, par respect.
Les virus
Virus et Vers
Le premier virus informatique serait né il y a une trentaine d’ années, suite à un pari entre deux étudiants. Il s’agissait de créer un programme capable de manifester un comportement autonome (à
l’ époque, il se contentait d’exécuter des commandes de l’ utilisateur) et en particulier de se reproduire. D’où l’ idée de s’ inspirer des virus biologiques qui pénètrent dans une cellule, s’appropriant son code génétique et le forcent à fabriquer de nouveaux microbes. De la même manière, le virus informatique s’ intègre dans un programme, son code étant exécuté en plus du programme
hôte est recopié en de multiples exemplaires. Au départ, la contamination d’ un ordinateur à un autre se faisait par échange de disquettes. Mais depuis le succès d’internet, les virus exploitent ce
réseau qui leur permet de se propager à grande vitesse et de créer de véritables épidémies en quelques heures. On ne parle plus de virus, mais de vers, qui se disséminent principalement par le
biais du courrier électronique.
Blaster, Sasser, et Korgo
Cette toute nouvelle génération de vers (Blaster le plus ancien date d’ Août 2003) est particulièrement virulente. Contrairement aux vers de messagerie, ou l’ utilisateur doit ouvrir la fameuse
pièce jointe infectante, ou plus ou moins relever son courrier électronique pour être infecté, ces vers peuvent attaquer sans aucun préalable, en exploitant des failles de sécurité de Windows. Il
suffit en effet qu’un ordinateur non protégé (sans Irréelle, ni d’AntiVirus) soit connecté à Internet, sans la moindre action complémentaire, pour que ces vers soient en mesure de l’infecter à une
vitesse éclair : en dix minutes, et parfois même moins !
Les Trojans (ou Cheval de Troie)
Il s’ agit d’ un programme qui utilise une attaque détournée, à la manière du stratagème imaginé par les grecs pour prendre la ville de Troie : Il s’insinue dans un ordinateur et y reste caché. Il
n’ en n’ est pas moins dangereux car il permet au pirate de piloter l’ordinateur infecté à distance. Ainsi, avec un “Trojan” comme Sub7, le pirate “s’ amuse” avec sa victime. Il peut inverser
l’ écran du piraté ou en modifier les couleurs, ouvrir et fermer le tiroir des lecteurs et graveurs CD/DVD, inverser les boutons de la souris, jouer de la musique ou des vidéos, etc… Et le pirate
pourra visualiser la plupart de ses actions, l’ écran de la victime étant reproduit sur son ordinateur. Plus fort encore, le pirate peut imprimer sur l’ imprimante du piégé les textes de son choix,
et même inscrire ses propres mots au milieu du texte que sa victime est en train de taper ! La prise de contrôle à distance permet aussi de diriger simultanément un grand nombre d’ ordinateurs. Le
pirate peut alors se servir de milliers d’ordinateurs pour mener une attaque de grande envergure contre un site en particulier ou diffuser du spam.
Bombe Logique
C’ est un programme malfaisant qui se manifeste à une date d’anniversaire et fait habituellement de très gros dégâts sur les machines ciblés. Le virus CIH, aussi nommé Tchernobyl utilise ce mode
de fonctionnement. Il se déclenche le 26 avril, date d’ anniversaire de la catastrophe nucléaire soviétique et efface purement et simplement toutes les données du disque dur. Dans un premier temps,
la diode du disque reste allumé, signalant qu’il travaille de manière soutenue, puis s’ affichent de multiples messages d’ erreur. Mais le plus grave est à venir. Au prochain démarrage, l’
ordinateur ne pourra pas charger Windows, celui ci ayant disparu avec les autres programmes et fichiers du disque dur. Les dégâts peuvent aller encore bien plus loin et détruire les informations du
BIOS (Basic Input/Output System). Ce petit programme capital, logé su la carte mère du PC, est indispensable au démarrage de celui-ci.
Hoax
Ces canulars (hoax en anglais) s’ appuient sur un courrier largement distribué (spam principalement) et font croire à la victime qu’elle est infectée ou tout au moins qu’elle a reçu un mail
infectant, avec à la clé, la destruction de la mémoire, de la carte son,des enceintes et des disques durs. Les plus délirant iront même jusqu’au recommander des méthodes de traitement plus ou moins
fantaisistes. Mais tous ces faux messages d’ alerte se sont pas aussi grossiers. Parfois, il est même très difficile de les détecter, surtout pour l’ utilisateur moyen qui reçoit généralement d’un
proche en qui il a toute confiance ce courrier de mise en garde. La rumeur ainsi diffusée par un plaisantin qui “s’ amuse” à faire peur inutilement les internautes, est parfois plus énervante et
encombrante que certains virus dont l’ action passe inaperçue.
Virhoax
Tout comme les hoax, les virhoax cherchent à faire croire à la victime qu ‘elle est infectée. Mais contrairement aux hoax, qui se contentent de faire peur inutilement, les virhoax proposent des
“solutions” dangereuses. Certains par exemple offrent en pièce jointe ou en téléchargement un programme censé nettoyer la configuration, programme qui en fait, est le virus en lui même ! D’ autres
font encore plus fort : pas de pièce jointe, mais un message contenant des instructions hyper détaillées pour purger la configuration de l’ infection présumée. Des instruction qui suivies pas à pas
conduiront au dysfonctionnement plus ou moi grave de Windows, la malheureuse victime étant l’ artisan de sa propre perte !
Spyware
Les spywares ou logiciels espions ont pour vocation d’aller chercher sur l’ ordinateur des données personnelles. Certains sont d’ une dangerosité restreinte, se contentant de surveiller de loin vos
habitudes sur Internet pour revendre ensuite l’ information à des entreprises commerciales qui vous envoient alors des publicités ciblées. Mais d’ autres sont carrément criminels : ils peuvent
récupérer les mots de passe et les numéros de carte bancaire (comme le récent Scob qui transmettait ces informations vers un site russe, par le port 405). Les pirates ont fait preuve dans ce domaine
d’ une grande imagination. Certains par exemple utilisent un technique de masquage : le logiciel espion ouvre une fenêtre identique à la fenêtre de connexions (demande du mot de passe pour accéder à
un service protégé) et qui se superpose à l’ originale. L’ utilisateur croit donc renseigner les services habituels alors qu’il est en train de fournir ces informations au pirate qui l’
espionne.
Comportement d’un virus
Chronologie d’ une attaque
Le parasite vient d’infecter votre ordinateur !
Le signe de l’ infection ? C’ est bien simple : Ça fait un quart d’ heure que vous tentez désespérément de maîtriser les curseurs de votre souris. Très énervant, mais finalement pas bien grave.. car
il y a bien plus dangereux parmi ces bestioles qui circulent sur le net. Celles par exemple qui s’ attaquent aux performances de l’ ordinateur : la machine est ralentie, sa mémoire est occupée (ce
qui peut gêner ou interdire l’exécution de certains programmes), le disque dur se remplit inutilement. Les plus agressifs iront jusqu’au supprimer purement et simplement l’ensemble des données de
votre disque dur. Et puis il y a ceux qui n’ occasionnent aucun dégât à la machine infectée (au pire, ils provoquent un léger ralentissement) mais l’ utilisent pour mettre en péril d’ autres
cibles. Votre machine sert alors de relais à une attaque de grande envergure contre un site très fréquenté, comme Microssoft par exemple. C’ est ainsi que certains mettent à mal des serveurs de
messagerie du fait de l’ augmentation très importante du trafic e-mail engendré par leur diffusion.
Comment est-il entré ?
D’ un simple clic, vous avez d’abord reçu un message intriguant de la part de l’ un de vos amis accompagnés d’ une lettre en pièce jointe intitulée “Je pense à toi”. Il a suffit ensuite que vous
ouvriez ce document pour que le mal se déclenche instantanément sur votre ordinateur. Pas de chance, vous seriez passé à coté de l’ épidémie si vous vous étiez contenté de lire le message sans
toucher à la pièce jointe. Dans la plupart des cas, en effet, l’ ouverture de la pièce jointe reste la condition indispensable à l’infection. C’ est pourquoi les pirates emploient différentes
techniques de suggestion pour inciter les victimes potentielles à ouvrir la pièce jointe qui renferme le programme malveillant. La méthode consiste à capter l’attention de la victime par un message
lui faisant croire que le fichier attaché est “intéressant”. Tout ce qui peut attirer l’ attention de internautes est ainsi mis à profit. Bien souvent, le message est en anglais, ce qui lui fait
perdre de la crédibilité et de son impact. Toutefois certains virus comme Netsky sont polyglottes: le message est rédigé en une dizaine de langues, le ver choisissant la bonne langue du message
d’après les informations régionales (langue et disposition du clavier) de Windows.
Comment se reproduit-il ?
Dans un premier temps, le ver s’installe confortablement dans votre ordinateur. Pour cela, ce programme malfaisant et autonome se copie à un ou plusieurs emplacements stratégiques, de manière à
pouvoir exécuter son processus de diffusion à chaque nouveau lancement de Windows. Le ver va ensuite se diffuser à d’ autres ordinateurs via internet. Dans ce but, il commence à récupérer votre
carnet d’ adresses sur votre disque dur. Puis il va méthodiquement envoyer un message (qui peut même varier d’ une personne à l’ autre) accompagné de la fameuse pièce jointe infectant (en fait, une
copie de lui même). Selon les cas, il vous désigne comme expéditeur de ce cette missive empoisonnée ou il pioche au hasard une adresse e-mail dans vos contacts et se fait passer pour le
propriétaire de cette adresse. Ces envois emploient généralement le serveur d’ envois de mail (serveur SMTP : port 25) de votre fournisseur d’ accès, mais certains vers, pour souci d’efficacité,
font appel à leur propre serveur SMTP.
Quel est son espérance de vie ?
Lorsqu’ un ver commence à se disséminer sur internet, les centres de recherche des éditeurs d’antivirus en reçoivent une copie rapidement (quelques heures ou quelques jours au plus), par le biais
de leurs propres services d’ investigation ou par les soumissions (envois de fichiers suspects) de leurs abonnés. En quelques heures à peine, les équipes dédiées à la protection contre les virus
individualisent une signature virale, qui n’est autre qu’une portion du code du ver, portion non infectant qui est caractéristique de ce ver. Cette signature est mise en ligne, afin que les abonnés
à d’AntiVirus puissent la télécharger pour se protéger contre le ver (un peu à la manière d’ un vaccin). Pour les vers les plus virulents ou les plus dangereux, les éditeurs d’antivirus mettent
aussi en ligne un module capable de purger une configuration infectée. En théorie, l’ espérance de vie d’ un ver ne devrait être que de quelques jours à peine. Mais suite au retard pris par les
utilisateurs et les professionnels pour se protéger, l’ infection peut se propager beaucoup plus longtemps.
