• Les virus informatiques

    Les infections informatiques

     De nombreuses appellations existent : Virus, Hijacker, Spyware, Adware, Rogue, Cheval de Troie, Vers, Backdoor, Dialer, Keylogger, Worms, Rootkit, Trojan, BHO parasite, Downloader, Etc…. Il est impératif de comprendre que ces nombreuses appellations sont d'abord une stratégie marketing anti-virus. Pour exemple une même infection sera détectée par un laboratoire anti-virus comme étant un Trojan alors qu'un autre laboratoire le détectera comme Virus. La multiplication des termes est due essentiellement à deux choses :

    • La tentative des laboratoires anti-virus de juxtaposer sur chaque type d'infection un nom
    • La mise à jour des infections en ligne et leur changement de comportement.

    Si de nombreuses familles d'infections existent bien, il en ressort essentiellement six familles. Le terme Malware est utilisé pour désigner l'ensemble des menaces informatiques ou codes malicieux dangereux.

     Virus

    Un virus est un programme qui se répand à travers les ordinateurs en créant ses propres copies, il sait se répliquer seul. Pour infecter un ordinateur, le virus doit au préalable être exécuté. Les virus ont des moyens pour s’assurer que cela arrive et la plupart du temps ils comptent sur l'action de l'utilisateur ou des failles du système d'exploitation.

    1 - Exécution du programme porteur de l'infection

    2 - Le virus est en mémoire

    3 - Recherche de programmes exécutables à infecter

    4 - Copie du code viral dans les fichiers exécutables

     Cheval de Troie

    Un Cheval de Troie se fait souvent passer pour un fichier ou logiciel légitime, mais est en fait un programme qui exécute des fonctions cachées néfastes. Les chevaux de Troie ne peuvent pas se propager aussi rapidement que les virus car ils ne savent pas se reproduire (mais certains virus intègrent des routines de cheval de Troie). On note une augmentation constante des chevaux de Troie en raison de leur capacité à remonter des informations sensibles.

    1 - Exécution du cheval de Troie grâce à l'extension de fichier cachée

    2 - Le cheval de Troie (qui n'est pas un document PDF) est en mémoire

    3 - Placement du cheval de Troie dans le démarrage de Windows

     Ver

    Les vers sont des cousins éloignés des virus de par leur fonctionnement. Utilisant le réseau pour se propager, ils sont redoutables. Contrairement aux virus d'exécutables qui se dissimulent dans des fichiers ou dans le code contenu dans le secteur de démarrage du disque, les vers sont seuls et représentent simplement un programme évolué. Leur spécificité est de se propager via le réseau uniquement. Mais un virus d'exécutable peut avoir les routines d'un ver et se propager également par email. Un ver ne se multiplie généralement pas localement, contrairement aux virus ; sa méthode la plus habituelle de propagation consiste à s'envoyer dans des mails générés automatiquement ou via le réseau. Certains Vers intègrent des routines de cassage de mot de passe réseaux par attaque dictionnaire.

    1 - Contact d'un commercial infecté

    2 - Le ver est ouvert par le commercial

    3 - Le ver envoie automatiquement des mails aux collaborateurs

    4 - Propagation du ver sur le réseau local

     Backdoor

    Un Backdoor (porte dérobée) peut être introduite soit par le développeur du logiciel, soit par un tiers, typiquement un pirate informatique. La personne connaissant la porte dérobée peut l'utiliser pour surveiller les activités de l'ordinateur, et en prendre le contrôle. Selon l'étendue des droits que le système d'exploitation donne au logiciel contenant la porte dérobée, le contrôle peut s'étendre à l'ensemble des opérations de l'ordinateur. La généralisation de la mise en réseau des ordinateurs rend les portes dérobées nettement plus utiles que du temps où un accès physique à l'ordinateur était la règle. Ces programmes peuvent être exploités pour espionner votre activité, capturer des mots de passe ou numéros de carte bancaire, ou voler des informations sensibles dans une entreprise.

    1 - Le pirate envoie délibérément un fichier piégé par mail

    2 - La victime ouvre le fichier

    3 - Le pirate prend contrôle du poste de la victime

    4 - Piratage des droits du poste de la victime pour des copies ou suppressions

     Rootkit

    Le Rootkit n'est pas une infection mais une technologie utilisée par les infections. Le rootkit permet de cacher la mise en place d'une ou plusieurs portes dérobées, et donc d'objets malveillants (processus, fichier, clé, port réseau) à un utilisateur. Le rootkit rend invisible les processus malveillants ainsi que les fichiers et les ports réseau qu'il utilise. Une fois activées, les portes permettront alors au pirate de pouvoir s'introduire sur la machine de façon silencieuse sans déclencher les outils de protection standard. Le Rootkit est souvent chargé en tant que driver et passe ainsi inaperçu au niveau des firewalls, anti-virus ou autres. Les anti-virus utilisent aussi cette technique afin de cacher certains processus aux virus afin d'être moins vulnérables. Il commence à émerger des rootkit matériel arrivant à se glisser dans les firmwares des cartes réseaux, cartes graphiques, etc...

    1 - Le gestionnaire des tâches demande le contenu de la mémoire de Windows

    2 - Lecture du tableau SSDT

    3 - Le Rootkit crochète le tableau et filtre son contenu

    4 - La réponse du tableau est erronée sans que virus.exe soit affiché en mémoire

     Botnet

    Un Botnet est un regroupement d'ordinateurs infectés répondant aux ordres d'un pirate informatique. Un ordinateur dans un Botnet est appelé ordinateur Zombie. En effet, de nos jours les virus informatiques ont un but lucratif pour les pirates. Beaucoup de pirates informatiques contrôlent ainsi des milliers d'ordinateurs grâce aux virus activés sur les ordinateurs des victimes. Le pirate responsable d'un Botnet fait utilise ce regroupement d'ordinateur à des fins illicites. Le pirate est rémunéré par un acheteur (entreprise pharmaceutique illégale, mafia, etc...) lui demandant d'utiliser les ordinateurs compromis pour envoyer du SPAM ou voler des données personnelles. Les infections destinées à dérober des numéros de cartes bancaires afin d'être revendus et utilisés par des groupes mafieux sont de plus en plus répandues. Un Botnet peut aussi être utilisé pour attaquer des entités commerciales ou gouvernementales.

    1 - Le pirate contrôle un Botnet (regroupement d'ordinateurs infectés)

    2 - Ordinateurs zombies envoyant du SPAM ou des attaques

    3 - Réception de SPAM avec pièce jointe infectée

    4 - Attaque DOS (Denial Of Service)

     Rogue

    Les Rogues sont des faux logiciels de sécurité. Ces logiciels sont des infections qui utilisent la crédibilité et la peur des utilisateurs pour s'introduite sur les ordinateurs. En effet, certains sites internet affichent des faux messages d'alerte indiquant que l'ordinateur est infecté ou peut être optimisé (ce qui est faux). Ces messages semblent crédibles aux utilisateurs non avertis. Un clic sur ces messages installe le rogue et infecte l'ordinateur. Ci-dessous une capture écran montrant de faux messages destinés à inciter l'utilisateur à installer le rogue alors que l'ordinateur n'est pas infecté.

     Détection antivirus

    Quand un logiciel antivirus ne détecte aucune menace cela ne veut pas dire que l’ordinateur n’est pas infecté mais qu’il n’y a aucune menace référencée dans ses mises à jour... Une nuance qui a toute son importance. Les antivirus ne peuvent pas intégrer les menaces dans leur base de signature avant que celles ci existent et se répandent sur les ordinateurs. Il y a toujours un délai entre la sortie d'un nouveau virus et son intégration dans les mises à jour antivirus. La qualité d'un antivirus se mesure par sa capacité à intégrer rapidement les nouveaux virus existants dans sa base de détection. Ce délai peut varier de façon importante suivant les antivirus.

    Le nombre d'ordinateur victimes d'infections s'explique par le fait que les virus échappent à la détection antivirus grâce à leur vitesse de mise à jour plus importante que l'antivirus ou grâce au fait qu'ils ne sont pas encore référencés. Il est faux de penser que les infections finiront par être détectés car de nombreuses infections se mettent à jour elles aussi. Il devient alors problématique pour l'antivirus, aussi réactif qu'il soit, de détecter l'infection car cette dernière à toujours un temps d'avance et n'est pas référencée dans les bases antivirus.

     Symptôme infection

    Vous trouverez ci-dessous les symptômes les plus souvent constatés sur des ordinateurs victimes de virus ou de logiciels nuisibles. Il faut retenir que 84% des ordinateurs victimes de dysfonctionnement sont infectés. Les infections informatiques sont des programmes silencieux qui utilisent les ressources des ordinateurs. Si les infections perturbent souvent le fonctionnement et les performances des ordinateurs, certains passent inaperçus auprès de l'utilisateur.

     Apparition d'un nouveau logiciel de sécurité inconnu au démarrage

     Affichage intempestif de fenêtres publicitaires

     Affichage répétitif par le firewall de messages d'alerte

     Affichage de messages d'erreurs au démarrage

     Disparition de fichiers ou altération de leur contenu

     Envois de messages étranges à des utilisateurs connus

     Impossibilité de démarrer le système d'exploitation correctement

     Impossibilité de démarrer le système d'exploitation en mode sans échecs

     Impossibilité de lancer les mises à jour avec Windows Update

     Impossibilité d'aller sur des sites de scan anti-virus en ligne

     Impossibilité d'installer un anti-virus correctement

     Lancement aléatoire d'une application quelconque sans intervention

     Mise en route inattendue du lecteur de disquette ou CD-ROM

     Plantages réguliers du navigateur Internet

     Plantages fréquents de l'ordinateur

     Réception de plus en plus importante de SPAM

     Ralentissement important de l'ordinateur

     Ralentissement de la connexion Internet

     Requêtes fréquentes vers le disque dur en phase d'inactivité

     Evolution des virus

    L’évolution des virus est destinée à s'adapter aux détections anti-virus et à offrir un spectre plus large dans les actions néfastes. Les deux représentations 3D ci-dessous permettent de visualiser l'évolution entre deux virus informatiques : le virus informatique Bagle datant de 2009 et le virus informatique Brain datant de 1986. La différence du nombre d'anneaux et de cubes montre l'évolution entre un virus récent et un virus plus ancien. Le cube rouge se trouvant sur la partie supérieure (tout en haut) est la fonction "principale" qui représente le début de l'activation de l'infection informatique (le clic de l’utilisateur ou l'activation du virus sur l'ordinateur). Le premier anneau contient les fonctions principales du virus qui appellent ensuite les fonctions du second anneau et ainsi de suite.

    Mise en page : CHAIRICH ABDENNBI

    Source ;http://www.pegase-secure.com/definition-virus.html