Virus : Apprenez à les identifier

Tutorial redigé par XanK sur Eragon-Shurtugal


Virus et Vers
Le premier virus informatique serait né il y a une trentaine d' années, suite à un pari entre deux étudiants^^. Il s'agissait de créer un programme capables de manifester un comportement autonome (à l' époque, il se contentaient d'éxecuter des commandes de l' utilisateur) et en particulier de se reproduire. D'ou l' idée de s' inspirer des virus biologiques qui pénètrent dans une cellule, s' intègrentant son code génétique et le forcent à fabriquer de nouveaux microbes. De la même manière, le virus informatique s' intègre dans un programme, son code étant exécuté en plus du programme hôte est recopié en de multiples exemplaires. Au départ, la contamination d' un ordinateur à un autre se faisait par échange de disquettes. Mail depuis le succès d'internet, les virus exploitent ce réseau qui leur permet de se à grande vitesse et de créer de véritables épidémies en quelques heures. On ne parle plus de virus, mais de de vers, qui se disséminent principalement parle le biais du courrier électronique.



Blaster, Sasser, et Korgo
Cette toute nouvelle génération de vers (Blaster le plus ancien date d' Août 2003) est particulièrement virulente. Contrairement aux vers de messagerie, ou l' utilisateur doit ouvrir la fameuse pièce jointe infectante, ou plus ou moins relever son courrier électronique pour être infecté, ces vers peuvent attaquer sans aucun préalable, en exploitant des failles de sécurité de Windows. Il suffit en effet qu' un ordinateur non protégé (sans Irréelle, ni d'AntiVirus) soit connecté à Internet, sans la moindre action complémentaire, pour que ces vers soient en mesure de l'infecterà une vitesse éclair : en dix minutes, et parfois même moins ! Oo



Les Trojans (ou Cheval de Troie)
Il s' agit d' un programme qui utilise une attaque détournée, à la manière du stratagème imaginé par les grecs pour prendre la ville de Troie : Il s' insinue dans un ordinateur et y reste caché. Il n' en n' est pas moins dangereux car il permet au pirate de piloter l' ordinateur infecté à distance. Ainsi, avec un “Trojan” comme Sub7, le pirate “s' amuse” (moi enfait ^^ ) avec sa victime. Il peut inverser l' écran du piraté ou en modifier les couleurs, ouvrir et fermer le tiroir des lecteurs et graveurs CD/DVD, inverser les boutons de la souris, jouer de la musique ou des vidéos, etc… Et le pirate pourra visualiser la plupart de ses actions, l' écran de la victime étant reproduit sur son ordinateur. Plus fort encore, le pirate peut imprimer sue l' imprimante du piégé les textes de son choix, et même inscrire ses propres mots au milieu du texte que sa victime est en train de taper ! La prise de contrôleà distance permet aussi de diriger simultanément un grand nombre d' ordinateurs. Le pirate peut alors se servir de milliers d'ordinateurs pour mener un attaque de grande envergure contre un site en particulier ou diffuser du spam.



Bombe Logique
C' est in programme malfaisant qui se manifeste à une date d' anniversaire et fait habituellement de très gros dégâts sur les machines ciblés. Le virus CIH, aussi nommé Tchernobyl utilise ce mode de fonctionnement. Il se déclenche le 26 avril, date d' anniversaire de la catastrophe nucléaire soviétique et efface purement et simplement toutes les données du disque dur. Dans un premier temps, la diode du disque reste allumée, signalant qu' il travail de manière soutenue, puis s' affichent de multiple messages d' erreur. Mais le plus grave est à venir. Au prochain démarrage, l' ordinateur ne pourra pas charger Windows, celui ci ayant disparu avec les autres programmes et fichiers du disque dur. Les dégâts peuvent aller encore bien plus loin et détruire Les informations du BIOS (Basic Input/Output System) ce petit programme capital, logé su la carte mère du PC, est indispensable au démarrage de celui-ci.



Hoax
Ces canulars (hoax en anglais) s' appuie sur un courrier largement distribué (spam principalement) et font croire à la victime qu 'elle est infectée ou tout au moins qu 'elle a reçu un mail infectant, avec à la clé, la destruction de la mémoire, de la carte son,des enceintes et des disques durs. Les plus délirant iront même jusqu'au recommander des méthodes de traitement plus ou moins fantaisistes. Mais tous ces faux messages d' alerte se sont pas aussi grossiers. Parfois, il est même très difficile de les détecter, surtout pour l' utilisateur moyen qui reçoit généralement d' un proche en qui il a toute confiance ce courrier de mise en garde. La rumeur ainsi diffusée par un plaisantin qui “s' amuse” à faire peur inutilement les internautes, est parfois plus énervante et encombrante que certains virus dont l' action passe inaperçue.



Virhoax
Tout comme les hoax, les virhoax cherchent à faire croire à la victime qu 'elle est infectée. Mail contrairement aux hoax, qui se contentent de faire peur inutilement, les virhoax proposent des “solutions” dangereuses. Certains par exemple offrent en pièce jointe ou en téléchargement un programme censé nettoyer la configuration, programme qui en fait, est le virus en lui même ! D' autres font encore plus fort : pas de pièce jointe, mais un message contenant des instruction hyper détaillées pour purger la configuration de l' infection présumée. Des instruction qui suivies pas à pas conduiront au dysfonctionnement plus ou moi grave de Windows, la malheureuse victime étant l' artisan de sa propre perte !



Spyware
Les spywares ou logiciels espion ont pour vocation d' aller chercher sur l' ordinateur des données personnelles. Certains sont d' une dangerosité restreinte, se contentant de surveiller de loin vos habitudes sur Internet pour revendre ensuite l' informationà des entreprise commerciales qui vous envoient alors des publicités ciblées. Mail d' autres sont carrément criminels : il soit de récupérer les mots de passe et les numéros de carte bancaire (comme le récent Scob qui transmettait ces information vers un site russe, par le port 405) Les pirates on fait preuve dans ce domaine d' une grande imagination. Certains par exemple utilisent un technique de masquage : le logiciel espion ouvre un fenêtre identiqueà la fenêtre de connections (demande du mot de passe pour accéderà un service protégé) et qui se superpose à l' originale. L' utilisateur croit dons renseigner les service habituel alors qu' il est en train de fournir ces informations au pirate qui l' espionne.



Chronologie d' une attaque
Le parasite vient d' infecter votre ordinateur !
Le signe de l' infection ? C' est bien simple : Ça fait un quart d' heure que vous tentez désespérément de maîtriser les curseur de votre souris. Très énervant, mais finalement pas bien grave.. car il y a bien plus dangereux parmi ces bestioles qui circulent sur le net. Celles par exemple qui s' attaquent aux performances de l' ordinateur : la machine est ralentie, sa mémoire est occupée (ce qui peut gêner ou interdire l'execution de certains programmes), le disque dur se remplit inutilement. Les plus agressifs iront jusqu'au supprimer purement et simplement l' ensembles des données de votre disque dur. Et puis il y a ceux qui n' occasionnent aucun dégâtà la machine infectée (au pire, il provoquent un léger ralentissement) mais l' utilisent pour mettre en péril d' autres cibles. Votre machine sert alors de relais à une attaque de grande envergure contre un site très fréquenté, comme Microssoft par exemple. C' est ainsi que certains mettent des serveurs de messagerie du fait de l' augmentation très importante du trafic e-mail engendré par leur diffusion.



Comment est-il entré ?
D' un simple clic, vous avez d' abord reçu un message intriguant de la part de l' un de vos amis accompagné d' une lettre en pièce jointe intitulée “Je pense à toi”. Il a suffi ensuite que vous ouvriez ce document pour que le mal se déclenche instantanément sur votre ordinateur. Pas de chance, vous seriez passé à coté de l' épidémie si vous vous étiez contenté de lire le message sas toucher à la pièce jointe. Dans la plupart des cas, en effet, l' ouverture de la pièce jointe reste la condition indispensable à l' infection. C' est pourquoi les pirates emploient différentes techniques de suggestion pour inciter les victimes potentielles à ouvrir la pièce jointe qui renferme le programme malveillant. La méthode consiste à capter l' attention de la victime par un message lui faisant croire que le fichier attaché est “intéressant”. Tout ce qui peut attire l' attention de internautes est ainsi mis à profit. Bien souvent, le message est en anglais, ce qui lui fait perdre de la crédibilité et de son impact. Toutefois certains virus comme Netsky sont polyglottes: le message est rédigé en une dizaine de langues, le ver choisissant le bonne langue du message d' après les information régionales (langue et disposition du clavier) de Windows.



Comment se reproduit-il ?
Dans un premier temps, le ver s' installe confortablement dans votre ordinateur. Pour cela, ce programme malfaisant et autonome se copie à un ou plusieurs emplacements stratégiques, de manière à pouvoir exécuter son processus de diffusion à chaque nouveau lancement de Windows. Le ver va ensuite se diffuser à d' autres ordinateurs via internet. Dans ce but, il commence à récupérer votre carnet d' adresses sur votre disque dur. Puis il va méthodiquement envoyer un message (qui peut même varier d' une personne à l' autre) accompagné de la fameuse pièce jointe infectant (en fait, un copie de lui même). Selon les cas, il vous désigne comme expéditeur de ce cette missive empoisonnée ou il pioche au hasard une adresse e-mail dans vos contacts et se fait passer pour le propriétaire de cette adresse. Ces envois emploient généralement le serveur d' envois de mail (serveur SMTP : port 25) de votre fournisseur d' accès, mais certains vers, pour souci d'éfficacité, font appelà leur propre serveur SMTP.



Quelle est sont espérance de vie ?
Lorsqu' un ver commence à se disséminer sur internet, les centres de recherche des éditeurs d'antivirus en reçoivent une copie rapidement (quelques heures ou quelques jours au plus), par le biais de leurs propres services d' investigation ou par les soumissions (envois de fichiers suspects) de leurs abonnés. En quelques heures à peine, les équipes dédiées à la protection contre les virus individualisent une signature virale, qui n' est autre qu 'une portion du code du ver, portion non infectant qui est caractéristique de ce ver. Cette signature est mise en ligne, afin que les abonnés à d'AntiVirus puissent la télécharger pour se protéger contre le ver (un peut à la manière d' un vaccin). Pour les vers les plus virulents ou les plus dangereux, les éditeurs d'antivirus mettent aussi en ligne un module capable de purger une configuration infectée. En théorie, l' espérance de vie d' un ver ne devrait être que de quelques jours à peine. Mais suite au retard pris par les utilisateurs et les professionnels pour se protéger, l' infection peut se propager beaucoup plus longtemps.

Voilà... Après de longues heures de recherche, j'ai réussi enfin à rassembler assez de données pour vous écrire cet article. Sur ce, A+
(C'est là que je me rends compte... Que je suis GeeK jusqu'au bout...)

Edit de Mopral : Marrant, moi, j'ai les memes choses sur un SVJ traitant des virus
Je le mettrais peut-etre a jour, si le coeur m'en dit...

Merci pour ces infos !

C'est vrai que maintenant, impossible d'échapper à ces saletés, tssss...

Le pare-feu Windaube, cay le mal