dans

Sécurité – Partie 1 – Virus et Vers

Bienvenue dans la série d'articles Sécurité de Ghost Academy.

Dans la première partie, nous commençons par les virus et les vers – Vous allez apprendre à connaître les définitions et ce qui les différencie.

De nos jours, les deux termes sont souvent utilisés de façon interchangeable, mais il y a des différences entre eux.

Nous examinerons plus en détail les classifications et les caractéristiques de chaque type et nous allons jeter un coup d'œil historique sur les virus et les vers connus et les plus dévastateurs du passé.

Je vous fournirai également des liens références de Symantec sur ces menaces où les caractéristiques et les processus de suppression peuvent être consultés.

Tout au long de la série, je vous invite également à regarder les vidéos Youtube des chaînes de Norton et de Symantec qui introduit différents types de menaces et d'attaques – celles-ci sont montrées de manière très informative (parfois aussi amusante) et sont très faciles à comprendre.

La série Sécurité se compose jusqu'à présent des articles suivants :

• Sécurité – Partie 1 – Virus et vers
• Sécurité – Partie 2 – Trojans et autres menaces à la sécurité
• Sécurité – Partie 3 – différents types d'attaques de réseaux

1. Virus informatique

Virus – un programme malveillant capable d'injecter son code dans d'autres programmes/applications ou fichiers de données. Après une duplication du code réussie, les zones ciblées deviennent "infectées".

Par définition, l'installation de virus se fait sans le consentement de l'utilisateur et se propage sous forme de code exécutable transféré d'un hôte à l'autre… Le but des virus est très souvent de nature nuisible – suppression de données ou corruption sur l'hôte ciblé conduisant au dysfonctionnement du système dans le pire des cas de figure.

Les virus peuvent se propager assez rapidement sur le réseau, les partages ou les supports amovibles. Dans de nombreux cas, les scénarios de propagation de virus sont liés à des attaques d'ingénierie sociale, où les utilisateurs sont piégés pour exécuter des liens malveillants ou télécharger des fichiers malveillants, dans d'autres cas, des pièces jointes malveillantes sont ouvertes par les utilisateurs, ce qui se termine par une infection.

Comme mentionné, les virus ont également la capacité d'injecter le code dans d'autres fichiers exécutables légitimes – lorsqu'ils sont ensuite exécutés par les utilisateurs – le code de virus contenu dans le programme infecté est exécuté simultanément.

Les virus peuvent se servir des vulnérabilités de sécurité connues du système d'exploitation pour leur permettre d'accéder aux machines hôtes ciblées.

En fonction de la "résidence" du virus, nous pouvons classer les virus de la manière suivante:

Virus résident – Virus qui s'incruste dans la mémoire d'un hôte ciblé. De cette façon, il est activé chaque fois que le système d'exploitation démarre ou exécute une action spécifique.

Virus non-résident – lorsqu'il est exécuté, ce type de virus cherche activement des cibles pour les infections – que c’est sur des sites locaux, amovibles ou en réseau. À la suite de l'infection, il se termine – de cette façon il ne réside plus dans la mémoire.

Virus du secteur d'amorçage (boot) – Virus qui cible spécifiquement un secteur d'amorçage (MBR) sur le disque dur de l'hôte. Ce type de virus est chargé en mémoire à chaque fois qu'une tentative est faite pour démarrer à partir du disque infecté – Ce type de virus se charge bien avant que le système d'exploitation ne se charge.

Les virus du secteur d'amorçage étaient assez communs dans les années 90 où l'infection se propageait principalement par les disquettes infectées laissées dans les lecteurs de démarrage.

Macro Virus – Virus écrit en langage macro, intégré dans des documents Word, Excel, Outlook, etc. Ce type de virus est exécuté dès que le document qui le contient est ouvert – ce qui correspond à l'exécution macro dans les documents qui, dans des circonstances normales, est automatiques.

Un exemple bien connu de macrovirus est le virus Melissa (http://virus.wikia.com/wiki/Melissa), 1999, très répandu à l'époque. Les dommages qu'elle a causés dans le monde entier ont été estimés à plus de 1,1 milliard de dollars.

Le créateur du virus David L. Smith a été condamné en 2002 à 20 mois de prison fédérale – la peine maximale aurait pu être beaucoup plus lourde, mais David a accepté de coopérer avec les autorités fédérales pour trouver d'autres créateurs de virus et de logiciels malveillants.

Référence: http://www.symantec.com/security_response/writeup.jsp?docid=2000-122113-1425-99-99

W97M.Melissa.A (également connu sous le nom de W97M.Mailissa) est un macro virus qui a comme but l’envoie de courriels en utilisant MS Outlook. L'objet de l'e-mail est "Important Message From USERNAME".

Melissa est un macro virus typique qui a une façon de faire inhabituelle. Lorsqu'un utilisateur ouvre un document infecté, le virus tentera d'envoyer une copie de ce document par courriel à 50 autres personnes, en utilisant Microsoft Outlook.

Une autre classification des virus peut résulter de leurs caractéristiques :

Virus infectant les fichiers (File-Infector) – Forme classique de virus. Lorsque le fichier infecté est exécuté, le virus recherche d'autres fichiers sur l'hôte et les infecte avec du code malveillant.

Le code malveillant est inséré soit au début du code du fichier hôte (prepending virus), soit au milieu (mid-infector), soit à la fin (appending virus). Un type spécifique de virus appelé "cavity virus" peut même injecter le code dans les lacunes de la structure du fichier lui-même.

Le point de départ des exécutions de fichiers est modifié au début du code de virus pour s'assurer qu'il est exécuté lorsque le fichier est exécuté – ensuite le contrôle peut ou non être transmis au programme d'origine à son tour. Selon le routage des infections, le fichier hôte peut devenir corrompu et complètement non fonctionnel.

Des formes virales plus sophistiquées permettent l'exécution du programme hôte tout en essayant de cacher complètement leur présence (voir virus polymorphes et métamorphes).

Virus polymorphe – Ce type de virus peut changer sa propre signature chaque fois qu'il se réplique et infecte un nouveau fichier afin de ne pas être détecté par les programmes antivirus. Chaque nouvelle variation du virus est obtenue en utilisant une méthode de cryptage différente à chaque fois que le fichier du virus est copié.

Ce type de virus est particulièrement difficile à détecter par n'importe quel programme de détection en raison du nombre de variantes – parfois des centaines, voire des milliers.

Virus métamorphique – Le virus est capable de changer son propre code à chaque infection. Le processus de réécriture peut faire en sorte que l'infection apparaisse différente à chaque fois, mais la fonctionnalité du code reste la même.

La nature métamorphique de ce type de virus permet d'infecter des exécutables à partir de deux ou plusieurs systèmes d'exploitation différents ou même d'architectures informatiques différentes. Les virus métamorphiques sont parmi les plus complexes et les plus difficiles à détecter.

Virus furtif – Virus résidant dans la mémoire qui utilise divers mécanismes pour éviter la détection. Cet évitement peut être réalisé par exemple en se retirant des fichiers infectés et en plaçant une copie de lui-même dans un emplacement différent.

Le virus peut également maintenir une copie propre des fichiers infectés afin de la fournir au moteur antivirus pour analyse, alors que la version infectée n'est pas encore détectée. De plus, les virus furtifs travaillent activement à dissimuler les traces de leurs activités et les modifications apportées aux fichiers.

Le premier virus furtif connu était "Brain" (http://virus.wikia.com/wiki/Brain) – infecteur de boot. Le virus surveille les E/S de disque physique et redirige toute tentative de lecture d'un secteur de démarrage infecté par Brain vers l'endroit où le secteur du disque d'origine est stocké.

Virus blindé – Type de virus très complexe conçu pour rendre son examen beaucoup plus difficile que dans le cas des virus traditionnels. En utilisant diverses méthodes, les virus blindés peuvent aussi se protéger des logiciels antivirus en faisant croire que l'emplacement du virus est autre part que l'emplacement réel – ce qui rend bien sûr le processus de détection et de suppression plus difficile.

Virus multipartite – Virus qui tente d'attaquer à la fois les fichiers exécutables et l'enregistrement du démarrage principal du disque dur en même temps. Ce type peut être délicat à supprimer, car même lorsque la partie exécutable du fichier est propre, elle peut réinfecter le système à nouveau à partir du secteur d'amorçage si elle n'a pas été bien nettoyée.

Virus Camouflage – Type de virus qui peut signaler un programme inoffensif au logiciel antivirus. Dans les cas où le virus a un code similaire au code des fichiers non infectés légitimes, l'application antivirus est trompée – cela ne fonctionnerait que dans le cas d'un logiciel antivirus basé sur une signature basique.

Comme aujourd'hui les solutions antivirus sont devenues plus élaborées, les virus de camouflage sont assez rares et ne constituent pas une menace sérieuse en raison de la facilité de leur détection.

Virus Companion – contrairement aux virus traditionnels, le virus compagnon ne modifie pas les fichiers, mais compromet la fonctionnalité DOS qui permet aux exécutables avec des extensions différentes (ici .exe et .com) d'être exécutés avec des priorités différentes.

De cette façon, lorsque l'utilisateur essaie d'exécuter le "programme" légitime sans spécifier l'extension elle-même et s'attend à ce que le programme.exe soit exécuté, le virus est exécuté à la place – avec l'exécutable program.com (car celui-ci est le premier dans l'ordre alphabétique).

Le virus companion est un type plus ancien et est devenu de plus en plus rare depuis l'introduction de Windows XP. De nos jours, ce type de virus peut encore être exécuté involontairement si la machine hôte n'a pas l'option "Afficher les extensions de fichier" activée et que l'utilisateur clique accidentellement sur le fichier du virus compagnon.

Cavity virus – contrairement aux virus traditionnels, le virus de la cavité ne se place pas à la fin du fichier infecté, mais utilise les espaces vides à l'intérieur des fichiers du programme (qui existe pour diverses raisons).

De cette façon, la longueur du code du programme n'est pas modifiée et le virus peut plus facilement éviter la détection. L'injection du virus dans la plupart des cas n'a aucune incidence sur la fonctionnalité du fichier hôte. Les "virus de la cavité" (cavity virus) sont cependant assez rares.

Un bon exemple de virus de cavité est "Lenigh" (http://virus.wikia.com/wiki/Lehigh) – un infecteur de cavité DOS précoce, qui ciblait spécifiquement les fichiers command.com et utilisait des portions inutilisées du code du fichier.

2. Vers

Ver – Cette catégorie de programme malveillant exploite les vulnérabilités du système d'exploitation pour se propager. Dans sa conception, le ver est assez semblable à un virus – même considéré comme sa sous-classe.

Contrairement aux virus, bien que les vers puissent se reproduire/se doubler et se propager par eux-mêmes – au cours de ce processus, le ver n'a pas besoin de s'attacher à un programme ou exécutable existant.

En d'autres termes, il ne nécessite aucune interaction pour le processus de reproduction – cette capacité rend les vers particulièrement dangereux, car ils peuvent se propager et se déplacer sur le réseau, ce qui a un effet dévastateur sur les machines hôtes, les serveurs ainsi que sur la bande passante du réseau.

Les vers plus invasifs visent à creuser un tunnel dans le système hôte pour permettre l'exécution de code ou le contrôle à distance pour l'attaquant. Certains vers peuvent aussi bien inclure un composant viral qui infecte les fichiers exécutables.

La catégorisation la plus courante des vers repose sur la façon dont ils se propagent :

vers de courriels : se propager par le biais des courriels – en particulier ceux qui ont des pièces jointes.

vers Internet : se propager directement sur Internet en exploitant l'accès aux ports ouverts ou aux vulnérabilités du système.

vers de réseau : réparties sur des partages réseau ouverts et non protégés.

vers multivariables : ayant deux ou plusieurs capacités d'épandage différentes.

Certains des vers les plus connus et les plus destructeurs (par dates) :

Iloveyou[2000] (http://virus.wikia.com/wiki/Loveletter) – connu aussi sous le nom de Loveletter.

Ver créé par un étudiant de l'université d'informatique aux Philippines. Le ver arrivait dans les boîtes courriel avec le simple sujet "ILOVEYOU" et une pièce jointe "LOVE-LETTER-FOR-YOU.TXT.vbs".

L'extension finale 'vbs' était cachée, ce qui a conduit les utilisateurs peu méfiants à penser qu'il s'agissait d'un fichier texte. Lors de l'ouverture de la pièce jointe, le ver envoyait une copie de lui-même à tous ceux qui figurent dans le carnet d'adresses Windows et avec l'adresse courriel de l'utilisateur. Il apportait également un certain nombre de modifications malveillantes au système de l'utilisateur. Symantec Security Response a identifié 82 variantes de ce ver.

Plus de 45 millions d'ordinateurs dans le monde auraient été infectés par diverses souches du ver. La Ford Motor Company a fermé son système de messagerie électronique après avoir été frappée par le ver. Parmi les autres concernés, citons Silicon Graphics, le ministère de la Défense (y compris le Pentagone), Daimler-Chrysler, The Motion Picture Association of America. Estimation des dommages causés par le ver : plus de 10 milliards de dollars.

Référence : [VBS.LoveLetter.Var] http://www.symantec.com/security_response/writeup.jsp?docid=2000-121815-2258-99-99

• CodeRed et CodeRed II [2001] (http://virus.wikia.com/wiki/CodeRed)

Ver qui cible les serveurs exécutant le serveur Web Microsoft IIS (Internet Information Server). Le ver se propage en s'installant dans un serveur web aléatoire en utilisant un exploit de dépassement de tampon connu, contenu dans le fichier Idq.dll.

Il contient la chaîne de texte "Hacked by Chinese !" qui est affiché sur les pages web que le ver a infectées. La première version du CodeRed a causé une attaque par déni de service (DoS) sur le serveur web de la Maison-Blanche. CodeRed II a une manière de procéder différente qui permet à son créateur d'avoir un accès à distance au serveur Web.

Le coût déclaré des activités liées aux vers de terre : 2 milliards de dollars.

Référence : [CodeRed II] http://www.symantec.com/security_response/writeup.jsp?docid=2001-080421-3353-99-99

• Sobig[2003] (http://virus.wikia.com/wiki/Sobig)

Un des vers les plus destructeurs de tous les temps. Le ver s'envoie à toutes les adresses qu'il trouve dans les fichiers.txt,.eml,.html,.htm,.htm,.dbx et.wab. Elle a été en mesure d'envoyer plus d'un million d'exemplaires d'elle-même en quelques heures seulement après l'éclosion.Sobig était le premier des vers de botnet de Spam.

Alors que certains vers, comme Tanatos, ont largué des chevaux de Troie sur les ordinateurs infectés, Sobig a été le premier à transformer des ordinateurs en relais anti-spam. Le ver bloquait ou faisait planter complètement les passerelles Internet et les serveurs de courrier électronique dans le monde entier.

Le coût total des dommages causés par le ver est estimé à 37 milliards de dollars.

Référence : [[email protected]] http://www.symantec.com/security_response/writeup.jsp?docid=2003-010913-1627-99-99

• Blaster [2003] (http://virus.wikia.com/wiki/Blaster) – connu aussi sous le nom de Lovesan.

Blaster est un ver qui se propage en exploitant la Vulnérabilité de dépassement de la mémoire tampon de l'interface DCOM RPC de Microsoft Windows (BID 8205) affectant à la fois les machines Windows 2000 et Windows XP. Une fois qu'un ordinateur était infecté, il affichait un message indiquant que le système s'éteindrait dans quelques minutes. Il a également une date de déclenchement sur tous les systèmes infectés pour lancer une attaque DDoS contre windowsupdate.com.

Le ver Blaster a paralysé CTX, le plus grand réseau ferroviaire de l'Est des États-Unis, pendant des heures, a paralysé également le nouvel intranet de la Marine et du Corps des Marines, et aussi le système d'enregistrement d'Air Canada. Estimation globale des dommages causés par le ver: 320 millions de dollars.

Référence : [W32.Blaster.Worm] http://www.symantec.com/security_response/writeup.jsp?docid=2003-081113-0229-99&tabid=2

• Sasser [2004] (http://virus.wikia.com/wiki/Sasser)

Sasser est un ver qui tente d'exploiter la vulnérabilité décrite dans le bulletin de sécurité Microsoft MS04-011. Le vers a été écrit par un étudiant allemand en informatique. Il se propage en balayant les adresses IP sélectionnées au hasard à la recherche de systèmes vulnérables.

Lorsqu'un système vulnérable est trouvé, un ver enverra du code shell à l'ordinateur ciblé qui tente d'exploiter la vulnérabilité de débordement de tampon LSASS. Sasser exploitait les mêmes vulnérabilités que Blaster – ici aussi Windows 2000 et XP. Sasser a également affiché un avis indiquant que le système était en train de s'arrêter.

Les experts en sécurité estiment que les ordinateurs infectés se comptent par millions. British Airways a subi des retards lorsque le ver a frappé le terminal 4 de l'aéroport Heathrow de Londres. Les autres entreprises concernées étaient Sampo Bank en Finnland, Deutsche Post, Delta Airlines Estimated, British Coastguard, French Stock Exchange et l'agence de presse France Presse.

Les coûts des dommages causés par le ver sont estimés à 500 millions de dollars.

Référence : [W32.Sasser.Worm] http://www.symantec.com/security_response/writeup.jsp?docid=2004-050116-1831-1831-99

• MyDoom [2004] (http://virus.wikia.com/wiki/Mydoom) – connu aussi sous le nom de Novarg.

L'un des vers de courrier électronique le plus nuisible jamais publié. Le ver se propageait aussi bien à travers le partage de fichiers Kazaaa. Le ver arrivait en pièce jointe avec l'extension de fichier .bat, .cmd, .exe, .pif, .scr ou .zip.

Lorsqu'un ordinateur est infecté, le ver installe un backdoor dans le système en ouvrant les ports TCP 3127 à 3198, ce qui peut potentiellement permettre à un attaquant de se connecter à l'ordinateur et de l'utiliser comme proxy pour accéder à ses ressources réseau.

L'impact du ver a été ressenti dans le monde entier, car il a pu causer des ralentissements du trafic Internet. Estimation du coût du ver: 38 milliards de dollars.

Référence : [[email protected]] http://www.symantec.com/security_response/writeup.jsp?docid=2004-012612-5422-99-99

• Conficker[2008] (http://virus.wikia.com/wiki/Conficker) – également connu sous le nom de Downadup.

Downadup se propage principalement en exploitant le service Microsoft Windows Server RPC Handling Remote Code Execution Vulnerability MS08-067 (BID 31874), qui a été découvert pour la première fois à la fin octobre 2008. Il scanne le réseau à la recherche d'hôtes vulnérables, mais au lieu de l'inonder de trafic, il interroge sélectivement divers ordinateurs pour tenter de masquer son trafic.

Il profite également de l'Universal Plug and Play pour passer à travers les routeurs et les passerelles. Il tente également de se propager aux partages réseau en forçant les mots de passe réseau couramment utilisés et en se copiant sur des disques amovibles.

Il a la possibilité de se mettre à jour ou de recevoir des fichiers supplémentaires pour l'exécution. Il le fait en générant un grand nombre de nouveaux domaines auxquels se connecter chaque jour.

Le ver peut également recevoir et exécuter des fichiers par le biais d'un mécanisme peer-to-peer en communiquant avec d'autres ordinateurs compromis, qui sont semés dans le botnet par l'auteur du logiciel malveillant.

Le ver bloque l'accès à des sites web prédéterminés liés à la sécurité, de sorte qu'il semble que la requête réseau a expiré. En outre, il supprime les entrées du registre pour désactiver certains logiciels liés à la sécurité, empêcher l'accès au mode sans échec et désactiver les notifications d'alerte de sécurité de Windows.

Il a une base d'infection extrêmement importante – estimée entre 10 et 15 millions d'ordinateurs. Ceci est largement attribué au fait qu'il est capable d'exploiter des ordinateurs qui utilisent des systèmes Windows XP SP2 et Windows 2003 SP1 non patchés.

Faits intéressants, il est à noter que la vulnérabilité qui a permis à Conficker de se propager avait été corrigée pendant un peu plus d'un mois avant l'apparition du ver. Pourtant, des millions d'ordinateurs n'ont pas été mis à jour. Coût estimatif des dommages causés par le ver : 9 milliards de dollars.

Référence : [W32.Downadup] http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99-99

Des étapes simples pour vous protéger contre le ver Conficker. http://www.symantec.com/business/support/index?page=content&id=TECH93179

• Stuxnet[2010]

Le ver informatique Stuxnet est peut-être le logiciel malveillant le plus compliqué jamais construit.

Le ver cible les systèmes de contrôle industriel afin de prendre le contrôle d'installations industrielles, comme les centrales électriques. Le but ultime de Stuxnet est de saboter ces installations en reprogrammant les automates programmables (PLC) pour qu'ils fonctionnent comme que les attaquants le souhaitent, très probablement en dehors de leurs limites spécifiées.

Stuxnet a été découvert en juillet, mais il est confirmé qu'il existait au moins un an auparavant et probablement même avant. La majorité des infections ont été trouvées en Iran. Bien que les motifs exacts de l'agresseur ne soient pas clairs, l'intention la plus probable est l'espionnage industriel.

Stuxnet exploite quatre vulnérabilités zero-day, ce qui est sans précédent.

Stuxnet a été le premier logiciel malveillant à exploiter le Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (BID 41732) (BID 41732) afin de se propager.

Le ver dépose une copie de lui-même ainsi qu'un lien vers cette copie sur un disque amovible. Lorsqu'un disque amovible est connecté à un système et parcouru par une application qui peut afficher des icônes, comme l'Explorateur Windows, le fichier de lien exécute la copie du ver.

En raison d'un défaut de conception dans Windows, les applications qui peuvent afficher des icônes peuvent aussi exécuter du code par inadvertance, et dans le cas de Stuxnet, le code dans le fichier.lnk pointe vers une copie du ver sur le même disque amovible.

De plus, Stuxnet exploite également le Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874), qui a notamment été utilisée avec succès par W32.Downadup (aussi appelé Conficker), ainsi que le Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073).

Le ver tente également de se propager en se copiant sur des partages réseau protégés par des mots de passe faibles.

Référence: [W32.Stuxnet] http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99

  • The Hackers Behind Stuxnet https://www-secure.symantec.com/connect/blogs/hackers-behind-stuxnet
  • W32.Stuxnet Dossier http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
  • Stuxnet 0.5: The Missing Link https://www-secure.symantec.com/connect/blogs/stuxnet-05-missing-link http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/stuxnet_0_5_the_missing_link.pdf

Wikipedia references:
http://en.wikipedia.org/wiki/Computer_virus http://en.wikipedia.org/wiki/Macro_virus http://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms http://en.wikipedia.org/wiki/Computer_worm http://en.wikipedia.org/wiki/Stuxnet http://en.wikipedia.org/wiki/Conficker

En espérant que cet article vous aide à mieux comprendre cet environnement complexe dans lequel nous évoluons tous.

Écrit par Jeff

Wordpress Junkie - Security Enthusiast - Digital Strategy Consultant - Pizzas Lover.

Commentaires

Chargement…

Comment encrypter votre vie entière en une heure

Ivacy VPN – Anonyme & Pas cher