Accueil Forum Tutoriaux Contactez nous
Forum informatique
Aidoforum.com  •  RSS  •  Chat  •  Annuaire  •  Demander de l'aide  •  Tutoriaux  •  Rechercher   •  S'inscrire  •  Profil  •  Non identifié  •  Connexion

Soutenez Aidoforum

Inscrivez vous pour découvrir les nombreux avantages des membres ! La publicité disparaîtra, et l'inscription est gratuite !
 

[Discussion associée] - Infos malwares ...

    ( Recommander ce sujet )
Créer un nouveau fil de discussion dans la même catégorie
Répondre au sujet Forum informatique » Aide Virus, Spywares et autres logiciels malveillants
Auteur Message

Kheops

Barrette de RAM
Barrette de RAM

AidoAntivirus
AidoAntivirus


Messages: 13
Tutoriaux : 0
MessagePosté le: Sam 28 Avr 2007 14:07    Sujet : [Discussion associée] - Infos malwares ... Répondre en citantRevenir en haut Alerter les modérateurs
Salut à tous ...

Toujours aussi sensible aux problèmes de sécurité informatique, je me permets ici de faire un petit récapitulatif commenté de ce qu'on appelle les malwares, au sens large ...

Ce topic n'est pas exhaustif mais il est destiné à vous permettre d'y voir un peu plus clair dans cet imbroglio de termes, parfois utilisés à tort, et éventuellement, de vous donner quelques recommandations de base pour réduire le risque d'infection ...

A - Les malwares, qu'est-ce que c'est ?

Le terme anglais "malware" (contraction de "malicious software" ou "logiciel malveillant" en français) regroupe toutes sortes de logiciels destinés à nuire à un système informatique. C'est donc un terme très vaste, d'où le but de ce topic ...

Parce que les virus ont été historiquement les premiers à apparaître, le terme "virus" est souvent employé abusivement, pour désigner beaucoup de logiciels malveillants. Les antivirus modernes renforcent cette dénomination abusive puisque que leur focus n'a jamais été limité aux virus.

On peut cependant classer les malwares selon plusieurs critères. Cette classification n'est pas parfaite, la différence entre les classes n'étant pas toujours évidente. Cependant, c'est aujourd'hui la classification standard la plus couramment adoptée ...

a. le mécanisme de propagation
b. le mécanisme de déclenchement
c. la charge utile (le code destiné à nuire, proprement dit)

B - Types

1- Virus

Un virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme Internet, mais aussi les disquettes, les CD-DVD, les clefs USB, etc ...

Sa grande caractéristique est qu'il est prévu pour se reproduire de lui-même en fonction des autres hôtes du réseau (dont il a besoin contrairement aux vers, nous le verrons plus loin) ...

1-1 Types de virus

- Le virus classique est un morceau de programme qui s'intègre dans un programme normal (ou dans le Master Boot Record dans le cas d'un virus de boot).

Chaque fois que l'utilisateur exécute ce programme "infecté", il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables.

De plus, lorsqu'il contient une charge virale, il peut, après un certain temps (qui peut être très long) ou un évènement particulier, exécuter une action prédéterminée. Cette action peut aller d'un simple message anodin à la corruption de certaines fonctions du système d'exploitation, la corruption de certains fichiers ou même la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique et de charge utile.

- Les macro-virus s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc ...) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle "normal.dot" de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme. Word étant le programme le plus utilisé au monde, imaginez la suite ...

- Les virus de boot sont, historiquement les premiers virus. Ils fonctionnent selon un schéma simpliste : ils utilisent les zones d'exécution automatiques des disque durs et disquettes (secteur de démarrage ou MBR) pour se propager. Ils se copient eux-mêmes sur le secteur de boot ou sur la table de partition, et déplacent ailleurs le secteur original sur le disque ou sur la disquette.

Ces virus infectent votre disque dur lorsque vous redémarrez l'ordinateur sur une disquette qui comporte un secteur de boot infecté. Par la suite, et pour assurer sa diffusion, toutes les disquettes qui seront introduites dans le système infecté verront leur secteur de boot remplacé par celui du virus.

- Les virus-vers, apparus aux environs de l'année 2003 et ayant connu un développement fulgurant dans les années qui suivirent, sont des virus classiques car ils ont un programme hôte. Mais s'apparentent aux vers (en anglais "worm") car leur mode de propagation est lié au réseau, en général via l'exploitation de failles de sécurité, leur action se veut discrète, et non-destructrice pour les utilisateurs de la machine infectée et, comme les vers, ils poursuivent des buts à visée large, tels que l'attaque par saturation d'un serveur web par des milliers de machines infectées se connectant simultanément.

Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, ce qui en fait une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées et parfois obsolètes, la possibilité d'exécuter automatiquement des scripts dans les courriels sans contrôle sont autant de sources d'infection.

La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions).

De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.

2- Spywares

On appelle spyware (logiciel espion en français) tout code introduit sur un dispositif pour y collecter des informations à l'insu ou sans la permission explicite et éclairée de l'utilisateur et qui emploie tous les moyens pour délivrer ces informations.
Même préalablement informé d'un éventuel tracking, l'utilisateur n'en reste pas moins soumis à une surveillance dont la nature peut s'avérer illégale du point de vue de la législation de son pays.

Une autre définition du spyware pourrait être un logiciel commercial (c'est-à-dire légalement disponible dans le commerce, payant ou gratuit) dont le mode de financement ou de fonctionnement amène à recueillir puis transmettre à un tiers des données personnelles concernant ses utilisateurs, sans avoir obtenu au préalable une autorisation explicite et éclairée de ces derniers.

Les spywares sont donc différents des chevaux de Troie et autres enregistreurs de frappes au clavier (keyloggers), contrairement à une déformation récente de leur définition, même si ces derniers peuvent également être utilisés pour collecter et envoyer des données sensibles, dans un but cette fois clairement malveillant.

Les spywares sont aussi souvent confondus avec les adwares (advertising supported software ou pubgiciels en français), ces logiciels dont l'auteur se rémunère par l'affichage de bannières publicitaires, sans pour autant recueillir ni transmettre de données personnelles et donc sans forcément porter atteinte à la vie privée de leurs utilisateurs. Ils sont également confondus à tort avec les cookies et les web-bugs, qui ne sont pas des programmes espions mais plutôt des procédés techniques dont la mise en oeuvre peut être détournée pour porter atteinte à la vie privée.

2-1 Types de spywares

Une première classification des spywares peut être établie en tenant compte de leur fonction, à savoir le commerce ou le renseignement :

- les spywares commerciaux collectent des données sur leurs utilisateurs et interagissent de manière visible avec eux, en gérant l'affichage de bannières publicitaires ciblées, en déclenchant l'apparition de fenêtres pop-up, voire en modifiant le contenu des sites web visités afin, par exemple, d'y ajouter des liens commerciaux. Ce sont les spywares les plus courants. Leur existence est généralement mentionnée dans la licence d'utilisation du logiciel concerné, mais souvent dans des termes ambigus et/ou dans une langue étrangère, ce qui fait que l'utilisateur n'est pas correctement informé. Ils se présentent généralement sous la forme de logiciels gratuits, pour les éditeurs desquels ils constituent une source de revenu.

- les mouchards collectent également des données sur leurs utilisateurs mais le font dans la plus totale discrétion. La surveillance et la réutilisation éventuelle des données collectées se font à l'insu des utilisateurs, généralement dans un but statistique ou marketing, de débogage ou de maintenance
technique, voire de cybersurveillance. L'existence de ces mouchards est délibérément cachée aux utilisateurs. Ils peuvent concerner n'importe quel logiciel, qu'il soit gratuit ou payant, mais de par leur nature ils sont peu fréquents, le risque en terme d'image en cas de découverte et médiatisation de l'existence du mouchard par un utilisateur étant à lui seul dissuasif pour la plupart des éditeurs.

Une seconde classification peut être opérée en fonction de la nature des spywares, à savoir leur constitution logicielle :

- le spyware intégré (ou interne) est une simple routine incluse dans le code d'un programme ayant une fonction propre pour lui donner en plus la possibilité de collecter et de transmettre via internet des informations sur ses utilisateurs. Les logiciels concernés sont par exemple Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que la totalité des mouchards. Le spyware et le programme associé ne font qu'un et s'installent donc simultanément sur l'ordinateur de l'utilisateur.

- le spyware externalisé est une application autonome dialoguant avec le logiciel qui lui est associé, et pour le compte duquel elle se charge de collecter et de transmettre les informations sur ses utilisateurs. Ces spywares sont conçus par des régies publicitaires ou des sociétés spécialisées comme Radiate, Cydoor, Conducent, Onflow ... avec lesquelles les éditeurs de logiciels passent des accords. Le spyware de Cydoor est par exemple associé au logiciel P2P KaZaA, et s'installe séparément mais en même temps que lui.

2-2 Fonctionnement d'un spyware

Dans le cas des spywares commerciaux, avant de pouvoir procéder à l'installation du logiciel gratuit convoité l'utilisateur est généralement invité à fournir certaines informations personnelles voire nominatives (email, nom, âge, sexe, pays, profession, etc.). Un identifiant unique est alors attribué à l'ordinateur de l'internaute, qui permettra de relier les données collectées et centralisées dans une gigantesque base de données aux informations personnelles fournies par l'utilisateur, voire éventuellement à d'autres informations recueillies sans préavis (configuration, logiciels installés, etc.).

L'analyse de ces données permet de déterminer les habitudes d'utilisation, les centres d'intérêts voire les comportements d'achat de l'utilisateur et de lui proposer ainsi des bannières publicitaires, des courriers électroniques promotionnels ou des informations commerciales contextuelles toujours plus ciblés, en rémunérant au passage les éditeurs de logiciels partenaires. Dans le cas du spyware commercial Cydoor, l'installation du programme copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache/), puis modifie la base de registre.

La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows et même dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration.

Dans le cas des spywares commerciaux, il est normalement fait état de leur existence dans la licence du logiciel mais ça n'est pas toujours le cas et c'est souvent en des termes trompeurs, décrivant rarement le détail des informations collectées et l'utilisation qui en sera faite. Quel que soit le type de spywares, les données collectées et transmises sont définies dans le code source du spyware, et le cryptage des transmissions fait qu'il est difficile de s'assurer de leur nature exacte.

Le spyware s'exécute souvent automatiquement au démarrage de Windows et mobilise donc en permanence une partie des ressources du système. Pour collecter certaines données, les spywares peuvent également être amenés à modifier des fichiers vitaux gérant par exemple les accès à internet, ce qui peut conduire à des dysfonctionnements importants en cas d'échec de l'installation ou de la désinstallation du spyware. Certaines fonctionnalités annexes comme la mise à jour automatique peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.

Lors de l'installation d'un logiciel, il faut :

- se déconnecter du web
- détailler les fenêtres successives avant de cliquer sur "suivant"
- refuser les annexes
- refuser l'ouverture directe en fin d'installation
- refuser le démarrage automatique avec Windows
- refuser les mises à jour immédiates
- faire attention aux cases déjà cochées

2-3 Que faire ?

S'il ne peut y avoir aucune hésitation à condamner les mouchards et plus globalement le principe visant à espionner les utilisateurs à leur insu, contrairement à la publicité en ligne telle que pratiquée par la régie DoubleClick, le tracking opéré par les spywares commerciaux a le mérite de ne concerner que les utilisateurs qui décident d'installer un de ces logiciels, laissant donc la liberté aux autres internautes de ne pas en installer ou d'opter pour une version payante dépourvue de spyware.

Malheureusement, au lieu d'opter pour la transparence et d'en expliquer clairement les enjeux, beaucoup d'éditeurs de logiciels ont été tentés de profiter de la discrétion des spywares pour en dissimuler l'existence ou pour les laisser implantés même après la désinstallation du logiciel associé. Les spywares commerciaux sont ainsi devenus aux freewares et aux sharewares ce que le spam est à l'e-mail. Ils ont d'ailleurs également créé un marché spécifique, puisqu'aux spywares qui exploitent la confiance ou l'ignorance des internautes viennent désormais s'ajouter un nombre croissant d'utilitaires antispywares payants ou gratuits (dont beaucoup sont faux) qui exploitent les peurs et parfois l'ignorance de ces mêmes internautes.

Sauf à renoncer à installer de nouveaux programmes sur son ordinateur, il faut chercher à s'informer et surtout faire preuve d'un minimum de vigilance si l'on souhaite que sa vie reste privée sur internet.

3- Les vers

Les virus de type "worm" (vers) sont des virus (des programmes) n'ayant généralement pas besoin d'un véhicule (un hôte, un vecteur) pour se dupliquer. Ils se propagent d'une manière rampante en utilisant les systèmes de transport tels les messageries, les messageries instantanées, les canaux IRC, les réseaux (locaux ou Internet) et le P2P. En ce sens, ce ne sont qu'une forme particulière de virus liée à leur mode de déplacement d'une machine à une autre.

Les virus infestent un véhicule et c'est la réplication du véhicule qui réplique le virus. Le virus est passif en terme de propagation (par contre il est souvent très actif en terme d'infestation d'une machine une fois celle-ci pénétrée). Si l'utilisateur ne duplique pas des disquettes ou des CD-Rom infestés ou s'il ne met pas des fichiers infestés en partage sur des réseaux P2P, le virus ne se propage pas.

Les vers ne se différencient des virus que par leur mode de propagation. Leur dispositif de réplication vise tous les systèmes de transports connus afin de se propager de leur propre initiative par cette voie au lieu de viser les objets exécutables et d'attendre que ceux-ci soient répliqués par la volonté de l'utilisateur. Pour le reste, il s'agit de virus "normaux". Les vers sont donc leur propre véhicule et sont essentiellement constitués de deux programmes : l'un est un réplicateur actif et l'autre est la charge active (le virus en lui-même). Le réplicateur va diffuser la paire réplicateur + charge active, via le système de transport.

Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.

3-1 Remarque importante

Ceci m'amène à parler des doubles extensions ... Hein ? C'est quoi ça ?

Je ne vous apprends pas que les noms de fichiers sont constitués de 2 parties séparées par un point : un nom et un suffixe (une extension du nom). Cette extension permet de savoir quelle est la nature du fichier.

Où est le problème ? Et bien, par défaut, Windows ne les affiche pas, pour des raisons que j'ignore. Et donc, de temps en temps, on voit apparaître un fichier bidule.txt et on n'y prête pas attention. On a le reflexe de penser que c'est un fichier texte et on double clique dessus pour voir ce qu'il y a dedans. Et là c'est le drame ... c'était un fichier bidule.txt.exe en réalité, donc un programme exécutable qui, manque de bol, implante un virus. Trop tard...

Il faut IMPERATIVEMENT afficher les extensions de fichiers.

Pour ce faire : dans l'explorateur Windows > Outils > Options des dossiers > Affichage > Décocher la case "Masquer les extensions des fichiers dont le type est connu" ...

4- Trojans

Un trojan, ou cheval de Troie, est un programme utilisé comme véhicule pour introduire dans un dispositif un ou plusieurs autres programmes, généralement des parasites, cachés à l'intérieur du premier.

Cette séparation entre le support et l'infection caractérise les chevaux de Troie.

Un troisième laron est utilisé pour lier le véhicule et sa charge utile en un tout installable et monofichier : un binder. Le binder permet de lier les deux premiers et permet également de les délier (de lâcher la charge utile) lors de l'installation du véhicule.

4-1 Description

C'est un programme ayant deux caractéristiques :

- Un comportement apparent utile (mais souvent futile, comme les économiseurs d'écrans, qui sont presque tous des trojans) à l'utilisateur de l'ordinateur (c'est le véhicule, la méthode d'infestation, la partie visible du trojan).

- Un comportement caché, malveillant, dû à l'implant véhiculé à l'intérieur du trojan (charge utile), conduisant à la destruction ou la divulgation des données, à l'ouverture d'une porte dans le système de communication, à l'espionnage, à la publicité, etc ...

4-2 types de trojans

On peut en distinguer trois :

- les trojans conservant leur charge utile sur eux, en plus de leur activité apparente. Le nom de "trojan" est attribué, par abus de langage, à l'ensemble des deux ce qui conduit à une grande confusion. Ce type de cheval de Troie ne devrait être classifié qu'à la classe de malveillances qu'il embarque, par exemple à Keylogger ou à Backdoors...

- les trojans lâchant leur charge utile. Les deux poursuivent leurs activités séparément. Si le trojan est désinstallé, la charge utile (le parasite) poursuit son travail. Ce type de trojans est à juste titre classé à "trojan" et la charge utile lâchée est classée au nom de sa classe de parasites.

- les trojans qui n'ont pas d'autre activité (pas d'activité apparente) que de lâcher et installer un parasite. Ce type de trojans est classé à "dropper" et la charge utile lâchée est classée au nom de sa classe d'implants malveillants, généralement des virus.

5- ActiveX

ActiveX est une technologie propriétaire à Microsoft servant à introduire de l'intelligence dans Internet, à la manière de Java de Sun et, plus généralement, à empaqueter du code exécutable et à le distribuer (dont sur et par le Net). De tels programmes sont appelés "Contrôles ActiveX" et peuvent tout faire sur un ordinateur dès qu'ils sont autorisés à s'exécuter, sans aucune restriction.

Cette technologie pose deux problèmes :

- elle est complètement hors des standards du Net (c'est une technologie propriétaire).

- elle est complètement hors de contrôle et permet à n'importe qui de piéger des pages Web pour faire absolument n'importe quoi sur un PC. Cette technologie sert, notamment, à conduire des adwares, des spywares, des BHOs, des pop-ups, des mises à jour automatiques, des RATs, des scanners, des hijackers, des dialers etc. ... C'est la plaie universelle ...

Il est recommandé de ne jamais accepter d'exécution de contrôles ActiveX ce qui est très simple : utilisez le meilleur navigateur qui soit, le plus rapide, le plus riche et le plus convivial : Firefox M. Green !

Si vous êtes obligés d'utiliser Internet Explorer, interdire l'exécution des contrôles ActiveX ou ne permettre leur exécution qu'avec extrême prudence et sous votre contrôle en obligeant (paramétrant) Internet Explorer à vous demander l'autorisation d'installer quelque contrôle ActiveX que ce soit.

Réglages ActiveX dans Internet Explorer

Sauf cas très particuliers de sites qui s'arqueboutent sur ActiveX (comme Microsoft avec son site "Windows Update"), il est parfaitement loisible de naviguer normalement sans ActiveX du tout. Le navigateur Firefox, le plus respectueux des recommandations du W3C et qui remplace petit à petit Internet Explorer chez les internautes, ignore complètement cette technologie inutile et dangereuse. Si vous souhaitez, lors d'une exception, utiliser Internet Explorer pour visiter un site utilisant, malgré tout, ActiveX et vous obligeant à l'accepter, réglez Internet Explorer comme suit :

Internet Explorer > Outils > Options Internet > Onglet "Sécurité" > Zone "Internet" > Personnaliser le niveau > Réglez la gestion des Contrôles ActiveX comme sur l'image > Ok > Oui > Appliquer > Ok



6- Backdoor

Outil de pirate créant une faille de sécurité en maintenant ouvert un port de communication.

Un backdoor (porte dérobée) est une petite tâche chargée de maintenir un port ouvert afin de permettre, dans un second temps, quelquefois plusieurs mois plus tard (ou jamais), d'attaquer une machine. Le backdoor est diffusé par les mêmes voies que les virus afin d'infester un maximum de machines. Il va ensuite s'arranger pour être lancé automatiquement à chaque démarrage de la machine infestée puis va maintenir un port ouvert dès qu'il y a connexion. Certains s'attaquent à des canaux de communications particuliers comme IRC... Il va en rester là car son action se limite à cela. Il a préparé une attaque future.

L'attaque, elle, se fera en 2 temps : l'attaquant utilisera d'abord un scanner d'adresses IP et de ports pour chercher, sur Internet, une machine (une adresse IP parmi un intervalle d'adresses IP) dont un port est maintenu ouvert par son backdoor, puis il effectuera une tentative d'exploit (exploitation d'une faille de sécurité) ou autre forme d'attaque préparée par le backdoor.

Le backdoor n'est donc pas réellement une malveillance. Il la précède.

Il se pose donc 2 problèmes, tous les deux de nature "faille de sécurité" :

- le maintien ouvert d'un port qui est, en lui-même, une faille de sécurité.
- la faille de sécurité préalable qui à permis l'implantation de ce backdoor.

On peut voir ici toute l'importance de maintenir son système à jour !

L'usage du cheval de Troie pour installer un backdoor est la méthode la plus répandue et c'est vous-même qui allez chercher le vecteur (probablement un programme "gratuit" ou "freeware" ou "shareware") de l'infection et procédez à son rapatriement (téléchargé ou copié depuis un CD-ROM etc. ...) et à son installation.

Il est utile aussi de se munir d'un pare-feu pour surveiller et fermer les ports critiques de sa machine ...

7- Cookies

Les cookies sont de petits fichiers, sur votre disque dur, qu'un site manipule grâce à votre navigateur. Plusieurs de ces cookies servent aux spywares. Les cookies ne sont pas et ne peuvent pas être, directement, des spywares, mais ils contiennent des informations qui sont relevées par les spywares - on parle de "cookies à spywares".

Un cookie est un "post-it" pour le serveur d'un site visité, déposé chez le client (vous, dans votre ordinateur) et destiné à rendre la navigation plus confortable et plus rapide. C'était sa finalité lors de son invention par la société Netscape et c'est son usage quotidien dans beaucoup de cas. Il y a des centaines de millions de sites et des centaines de millions de Cookies tout à fait légitimes.

Par contre, il y a un usage déviant dans la cadre d'outils d'espionnage ou de marketing et d'établissement du profil (profiling) de la cible : vous. Si l'on fait un décompte des « Cookies à spywares » recensés par PestPatrol ou SpywareBlaster, ce ne sont que quelques centaines de cas. Mais c'est à cause d'eux que nous sommes obligés d'en parler et de traiter le problème car ces petits fichiers sont massivement utilisés dans la gestion des publicités durant notre navigation et dans les logiciels espions (les spywares).

Le cookie est-il ou peut-il être une malveillance active ?

Les cookies ne peuvent pas être des malveillances actives (virus etc. ...) car ils ne peuvent être exécutés. Ils sont purement passifs. Toutefois rien n'empêche d'imaginer qu'un site piégé utilise une vingtaine de cookies, soit une possibilité de 4.096 * 20 = 81.920 caractères pour introduire une malveillance quelconque. C'est largement suffisant. Les "gros" virus pèsent, par exemple, environ 50.000 caractères. La malveillance est alors découpée en tronçons stockés dans les instructions de création de cookies d'une page Web piégée. Un contrôle ActiveX agissant en Binder est aussi introduit avec la page Web. Au chargement de la page, le Binder ré-assemble et installe la malveillance qui agira selon ses caractéristiques (à une date ultérieure de préférence de manière à donner le temps au site piégé d'infester un grand nombre de machines).Seul le contrôle ActiveX pourrait être vu si les réglages du navigateur ne sont pas trop laxistes et, peut-être, l'installation de la consigne de lancement automatique de la malveillance si un utilitaire de surveillance de la liste de démarrage est mise en place.

8- Downloader

Normalement, c'est un utilitaire dont le travail consiste à télécharger et, éventuellement, installer et enregistrer dans la base de registre, quelque chose.

Implanté à votre insu, c'est un parasite qui va télécharger et installer d'autres parasites sur votre ordinateur, dans un système pyramidal.

En tant que parasite et comme son nom l'indique, ce n'est pas un trojan mais une classe de parasites. Comme il s'agit de programmes à part entière, ils peuvent avoir, simultanément, d'autres activités affichées et apparentes ou masquées et inconnues.

Il existe plusieurs sortes de downloader. Contrairement aux trojans, au lieu d'embarquer la charge active avec eux, ils n'embarquent que les liens, généralement cryptés, stockés dans leur corps, des charges actives qu'ils ont le devoir de télécharger (downloader) et installer.

- ceci leur permet d'être plus petits et donc de "passer" plus facilement.
- ceci permet aussi de les modifier très facilement, tant au niveau des liens embarqués qu'au niveau de leurs propres signatures ce qui les rend plus furtifs.
- ceci permet enfin un mise à niveau aisée des parasites qu'ils ont la charges d'installer - ils peuvent, par exemple, être programmés pour aller régulièrement, à intervalles, chercher s'il existe une mise à jour du ou des parasites dont il a la charge.

Certains téléchargements, en apparences légitimes, se font par l'usage d'un downloader. Typiquement, une demande de téléchargement de KaZaA commence par le téléchargement d'un petit downloader qui prend en charge le téléchargement en lui-même.

Il n'y a aucune raison valable à une telle pratique si ce n'est :

- espionner le contenu de nos ordinateurs et le matériel installé
- installer d'autres choses en plus du produit convoité
- inhiber, durant le téléchargement et l'installation, nos outils de surveillance
- assurer une installation "profonde" et / ou furtive que les installeurs classiques ne peuvent accomplir
- installer un programme capable d'aller sur le Net pour télécharger du code inconnu sans nous en informer, sans que nous puissions nous y opposer et sans en connaître l'activité.

Le problème est quadruple :

- le fait que le downloader soit présent sur une machine signifie qu'elle a été pénétrée. Il y a donc une faille de sécurité à chercher.
- le downloader en lui-même qui est un parasite à éradiquer
- le ou les parasites qu'il a pu télécharger et installer. Il convient de scanner intégralement la machine ou le réseau.
- il faudra s'assurer que les données ne sont pas compromises et changer tous les mots de passe.

9- Hijack - Hijacker - Hijacking

Modification non sollicitée du comportement et/ou des réglages du navigateur de l'internaute.

Une tentation forte des webmasters (et, surtout, des e-commerçants gangsters) est de modifier les réglages de votre navigateur à votre insu. Ceci se fait par l'intermédiaire de fonctionnalités standards mises à disposition des webmasters, tels que les contrôles ActiveX ou les JavaScript et autres langages de script. Ces modifications peuvent êtres anodines (mais agaçantes) comme, par exemple :

- afficher un site en plein écran en masquant la quasi totalité des barres de boutons etc.
- modifier votre sélection de page de démarrage.
- modifier votre page de recherche.
- ajouter de nouvelles entrées dans votre liste de favoris, entrées que vous n'avez jamais, vous mêmes, introduites.
- ...

L'un des buts recherchés est de vous obliger à passer par leur site et gonfler ainsi les statistiques de visites de leur site ce qui n'est pas un simple problème d'ego mais une ambition cachée de valoriser le site dans le but de le revendre ou de mieux négocier les ventes d'espaces publicitaires.

L'autre but recherché est de vous diriger vers des sites choisis qui sont généralement des sites bourrés de publicités sur lesquelles le moindre clic ou le moindre achat en ligne va rapporter de l'argent au webmaster.

Fonctionnalités standards ou pas, les sites qui pratiquent cela sont des sites piégés, inamicaux et il convient de les introduire immédiatement dans la liste hosts.

Ce genre de pratiques est réversible, généralement en allant dans les options de votre navigateur pour restaurer vos propres réglages et en supprimant les entrées non sollicitées dans les favoris.

Ces modifications peuvent être plus agressives, telles que modifier la base de registre de Windows. Il faut alors éditer la base de registre et là, même un informaticien chevronné y va avec des pincettes.Restaurer la base de registre n'est pas toujours suffisant car des tâches fantômes peuvent ré-implanter les modifications que vous avez éradiquées, chaque fois que vous redémarrez votre ordinateur. Il faut alors regarder du côté de la liste de démarrage.

Dans certains cas, les accès aux outils d'IE pour restaurer vos valeurs sont retirés (autre hijack d'IE masquant des boutons, des commandes dans les menus...) pour vous empêcher de revenir à vos propres réglages !. Les commandes sont alors "grisés" (inaccessibles). Ceci se fait le plus souvent avec des contrôles ActiveX qui s'installent en tant que BHO's et deviennent ainsi part d'IE et sont lancés et exécutés à chaque lancement d'IE.

Une autre méthode utilisée par certains sites consiste à introduire le nom de leur site dans la zone Options Internet > Sécurité > Sites de confiance d'Internet Explorer. Ceci donne à ces sites le contournement de la quasi-totalité des contrôles de sécurité que vous tentez d'exercer.

C'est ici qu'intervient le magnifique Hijackthis, dont les logs inondent les forums d'entraide ...

Mais, et c'est là une astuce, cette zone peut aussi, bien employée, nous permettre de les bloquer. En effet, il existe le pendant restrictif des "sites de confiance" qui est la zone "sites sensibles". Il suffit d'entrer des noms de sites dans cette zone et ils ne pourront plus s'auto afficher dans la zone "sites de confiance". On trouve ici une liste de sites à ajouter automatiquement à la zone "sites sensibles" de Internet Explorer (IE-Spyad)et qui permet de bloquer certains comportement de hijacking. Cette liste est basée sur une liste hosts. Notons que IE-Spyad ne fonctionne qu'avec Internet Explorer, tandis que la liste hosts fonctionne avec tous les navigateurs et tous les systèmes d'exploitation ...

10- Keyloggers

Les Keyloggers sont des programmes d'espionnage, commerciaux ou non. Ils peuvent être installés silencieusement et être actifs de manière totalement furtive sur votre poste de travail. Ils effectuent une surveillance invisible et totale, en arrière-plan, en notant dans des fichiers cachés et compressés le moindre détail de votre activité sur un ordinateur dont toutes les touches frappées au clavier, d'où leur nom de "key-logger". Ils sont aussi capables de faire un film de tout ce qui se passe à l'écran, en continu ou par capture d'écran à intervalles réguliers... Ils notent quels programmes sont utilisés et pendant combien de temps, les URL visitées, les e-mails lus ou envoyés, les conversations de toutes natures... dès la mise sous tension de la machine. Ils permettent, par la même occasion, de lire les champs habituellement cachés comme les mots de passe, les codes secrets etc. ... Enfin ils rendent compte, en temps réel ou en temps différé, sur place ou à distance.

Il s'agit donc d'une agression particulièrement grave qui pose plusieurs problèmes :

- la faille de sécurité qui à permis à quelqu'un de faire pénétrer cette malveillance.
- le keylogger en lui-même qu'il convient d'éradiquer.
- les mots de passe probablement révélés et autres données.
- à qui profite le crime ?

11- RATs - Remote Administration Tools

Un RAT est un programme permettant la prise de contrôle totale, à distance, d'un ordinateur depuis un autre ordinateur.

11-1 Description

Une personne distante se retrouve dans une situation totalement identique à ce qu'elle serait si elle était devant la machine contrôlée. Son clavier devient le clavier de la machine distante, son écran devient l'écran de la machine distante, sa souris devient la souris de la machine distante etc. ... sans aucune limitation ni contrainte, même si elle est à des centaines ou des milliers de kilomètres de la machine contrôlée. On conçoit donc que les RAT puissent constituer des agressions de la plus extrême gravité.

Un RAT est constitué de 2 parties, un "client" et un "serveur". Le client est installé sur la machine de celui qui prend le contrôle, le serveur sur la machine contrôlée.

Un RAT peut être :

légitime lorsqu'une personne ou une société a donné son accord à une autre personne ou une autre société pour prendre le contrôle à distance de son ordinateur. Le cas le plus habituel est celui de la télémaintenance et du télé diagnostique qu'une entreprise délègue à son fournisseur de produits et services informatiques. Ce dernier peut intervenir bien plus rapidement et efficacement en prenant le contrôle de l'ordinateur de son client sans quitter ses bureaux et sans perdre de temps en déplacement, surtout si le client est à plusieurs centaines ou milliers de kilomètres de là. Le serveur doit être lancé au dernier moment, lorsque le fournisseur et prêt à prendre le contrôle. Le serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être activable que sur présentation d'un solide mot de passe renouvelé après chaque intervention.

illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un Trojan qui a probablement servi à l'implanter ou une personne qui a accès physiquement à l'ordinateur. Dans les 2 cas il y a, outre la malveillance introduite, une faille de sécurité quelque part qui a permis son installation.

un produit commercial, comme le célèbre PC-AnyWhere

un produit de pirates. Certains sont excellents et sont d'ailleurs devenus des produits commerciaux.

Comme souvent, l'usage du trojan pour implanter le parasite est le plus répandu ...

12- Rootkits

11-1 Définition

Les auteurs de virus ont toujours fait face à un sempiternel problème : comment conserver la présence des codes malicieux le plus longtemps possible à l'insu des utilisateurs et des solutions antivirus? Cette question est d'autant plus actuelle que ces derniers temps, l'écriture de programmes malfaisants n'est plus tellement une affaire de développement personnel mais de business. Effacer ces traces est donc le thème en vogue pour les pirates hommes d'affaires. Par quels moyens peut-on cacher un programme voleur de données bancaires ou encore un serveur proxy illégal destiné à la diffusion de spams depuis l'ordinateur d'une victime?

Les cyber escrocs d'aujourd'hui règlent ce problème de la même façon que les réglaient les cyber hooligans il y a 10-15 ans. Un des premiers virus connus pour PC, Virus.Boot.Brain.a (un virus du secteur de boot qui s'octroyait les fonctions d'accès au disque et lors de la lecture du secteur de démarrage, par exemple du programme antivirus), substituait les données originales par des données infectées. Avec le temps, ces mêmes mécanismes furtifs (l'interception des fonctions système et substitution des données) ont continué d'être utilisés dans les virus Windows.

Ces derniers temps, l'utilisation des technologies de rootkit pour masquer la présence de logiciels malfaisants est de plus en plus populaire. Cette croissance est, entre autres, favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaille avec les droits Administrateur, ce qui facilite grandement l'installation de rootkits dans ces ordinateurs.

Un rootkit (mot emprunté au monde Unix/Linux) est un parasite permettant de s'octroyer des droits "Root", c'est-à-dire les niveaux de droits les plus élevés de l'administrateur d'une machine pour en prendre le contrôle tout en restant furtif.

Sous Windows, la violation du système est beaucoup plus aisée que sous Linux et un rootkit (au sens originel du mot) n'est pas nécessaire pour en prendre le contrôle, d'autant que la très grande majorité des utilisateurs Windows, malgré les avertissements des sites de sécurité, travaille encore et toujours directement en mode administrateur.

Les rootkits visant Windows ont donc évolué pour devenir une sorte de boîte à outils, permettant aux pirates d'implanter des parasites (qui vont leur faciliter la prise de contrôle et la zombification de l'ordinateur infecté) et surtout, de les rendre totalement invisibles grâce à des hookers.

Les rootkits nécessitent une très haute technicité en informatique et ne sont donc à la portée que d'utilisateurs extrêmement avancés. Hormis dans les laboratoires, de tels techniciens ne se retrouvent que dans les mafias. Les mafias russes sont de grands utilisateurs de rootkits.

La force des rootkits, hormis leur furtivité, est que, si le ou les parasites implantés par eux sont détectés et éradiqués, le rootkit lui-même ne l'est pas ! Il va permettre de compromettre à nouveau la machine, encore et encore.

11-2 Qu'est-ce qu'un hooker ?

Il s'agit d'un élément de la boîte à outils que constitue le rootkit actuel et qui permet d'intercepter, de bloquer, voire de modifier au passage, une instruction ou un morceau de code.

Un parasite peut donc s'autoprotéger en bloquant une demande d'éradication (antivirus, gestionnaire de tâches, ...), en modifiant la réponse à cette demande pour faire croire qu'elle a abouti, en arrêtant le processus qui a fait cette demande, en se rendant invisible, ...

11-3 Qu'est-ce qu'un ordinateur zombie ?

C'est un ordinateur connecté à Internet, compromis par un pirate l'ayant infecté, et qui accomplit des tâches malveillantes à l'insu de son propriétaire.

Est-il besoin de préciser que la quasi totalité des PC zombies tournent sous Windows ? Des groupes crapuleux se sont même spécialisés dans la zombification de PC et leur mise en réseau (Botnets) qu'ils louent ainsi à d'autres gangsters.

Certains estime que 30% des PC dans le monde seraient sous contrôle mafieux ! De même, 30% à 50% du spam mondial utiliserait ces réseaux zombifiés pour se diffuser !

Effrayant !

11-4 Fonctionnement

Le fonctionnement d'un rootkit est un peu complexe pour l'utilisateur débutant, mais, pour être complet, je me dois de le détailler ici.

Windows travaille selon deux modes : le mode utilisateur (User mode) et le mode noyau (Kernel mode). La plupart des applications travaillent en mode utilisateur : Word, gestionnaire des tâches, Outlook ...

Le mode noyau est réservé pour les accès aux périphériques, à la mémoire RAM et, d'une manière générale, au matériel. Une autre partie du noyau est destinée à répondre aux appels des différents programmes du mode utilisateur.

Windows propose un éventail de fonction permettant aux applications de fonctionner. Cet éventail est nommé API.

Un programme en mode utilisateur qui souhaite ouvrir un fichier va utiliser une fonction (API) nommée OpenFile(). Cette fontion fera appel à la fonction plus primitive NtOpenFile() contenue dans ntdll.dll qui elle-même fera appel à une fonction en mode noyau nommée ZwOpenFile() qui sera exécuté par ntoskrnl.exe.

Il existe différents types de rootkits qui vont agir en mode utilisateur au niveau de NtOpenFile() et d'autres en mode kernel au niveau de ZwOpenFile(). Ces rootkits peuvent être persistants en s'installant définitivement sur le système ou simplement résidents, ce qui complique leur détection.

Techniquement, ils placent des crochets d'interceptions (hooks), soit sur les fonctions de ntdll.dll grâce à une dll, soit sur les fonctions du noyau, grâce à un driver, en modifiant une table en mémoire nommée SSDT (System Service Descriptor Table). Cette table contient les emplacements mémoires des fonctions du noyau Windows.

Ces techniques permettent de rediriger les adresses des fonctions vers l'espace mémoire des rootkits afin de modifier la réponse qui sera renvoyé au programme appellant.

Un rootkit est donc généralement composé :

- d'un driver : xxx.sys (Kernel mode)
- d'une .dll : xxx.dll (User mode)
- d'un programme : xxx.exe
- d'un fichier de configuration : xxx.ini


Il est également possible, pour certains rootkits, de réaliser un détournement des fonctions du noyau sans modifier cette fameuse SSDT. Ainsi aucune anomalie n'est visible dans cette table. Cette méthode consiste à modifier directement la fonction en mémoire en y ajoutant quelques segments de codes pour réaliser une redirection. On pourrait résumer cette manipulation par de l'injection de code en mémoire centrale.

L'article complet dont je me suis inspiré pour introduire ce sujet, et qui donne quelques exemples en images, est disponible ici.


11-5 Comment les détecter ?


Quelques solutions existent et font leurs preuves.

Des outils comme Seem ou Gmer permettent de contrôler la validité de la SSDT (System Service Descriptor Table), d'afficher les processus cachés ou encore de lister les fichiers cachés. En théorie le composant qui doit pointer dans la SSDT se nomme ntoskrnl.exe.

Donc si d'autres programmes ou drivers gèrent cette fonction, cela peut indiquer un détournement hostile. Il faut cependant noter que certains programmes modifient cette SSDT afin de fonctionner correctement. Les anti-virus, certains pare-feu ainsi que d'autres programmes comme DeamonTools, agissent de la sorte.

Il faut donc faire la différence entre les drivers fournis par des logiciels sains et les drivers issus de rootkits. Une simple recherche par le nom du driver sur Google donne souvent des pistes de recherche en cas de doute.
Comment se protéger ?

Il n'existe pas de solution miracle. Néanmoins l'utilisation conjointe d'un antivirus et d'un pare-feu reste fortement conseillée.

Malgré tous les types de protection possibles, il existe des rootkits qui patchent la SSDT, neutralisant ainsi le bon fonctionnement des logiciels de protection pour s'installer en toute impunité.

Dans tous les cas, l'installation d'un rootkit fait suite à une action humaine. Que ce soit l'exécution d'une pièce jointe, d'un email ou une réponse affirmative à l'exécution d'un script d'une page internet, une simple action anodine peut engendrer de gros dégâts.

Leur installation peut également se réaliser grâce à une faille de sécurité, il est donc indispensable que le système soit à jour.

Il existe aussi des logiciels permettant de contrôler les modifications de la table SSDT, de contrôler l'exécution des programmes, ... Seem et Gmer, déjà cités, mais aussi :

- F-Secure Blacklight
- RkU
- Sophos Anti Rootkit
- Panda Anti-rootkit
- McAfee Avert Labs Rootkit Detective Beta
- Rootkit Revealer


Les rapports générés par ces outils sont à analyser avec prudence car les faux-positifs sont beaucoup plus nombreux qu'avec les scanners antivirus ou antimalwares. Si vous êtes néophyte, demandez l'avis d'une personne qualifiée.

Le cas du rootkit pe386 et sa méthode d'éradication sont discutés ici.


Voilà, c'est enfin terminé, j'éditerai en fonction de vos commentaires (ajout, remarques, news, ...)

Merci de m'avoir lu.

_________________
Si tu ne sais pas, demande. Si tu sais, partage.
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur

Pouzy

Vil Admin Méchant
Vil Admin Méchant




Messages: 12035
Tutoriaux : 64
MessagePosté le: Sam 28 Avr 2007 14:49    Sujet : [Discussion associée] - Infos malwares ... Répondre en citantRevenir en haut Alerter les modérateurs
Topic qui m'a l'air absolument et magnifiquement instructif ! Dommage, je n'ai pas vraiment le temps de l'explorer tout de suite, je reprendrai ma lecture plus tard.
Juste une petite précision : Quand tu parles du logiciel Alexa, qu'est-ce ? Est-il lié au site Alexa.com, qui donne les statistiques mondiales de positionnement des sites internet ?

PS : Bienvenue parmi nous, ami chasseur de malwares Sourire

_________________
- Mettez vos sujets en [Résolu] une fois votre problème réglé
- Galerie photo
- Cherche bêta-testeurs pour DieuxDuCiel
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privé

Kheops

Barrette de RAM
Barrette de RAM

AidoAntivirus
AidoAntivirus


Messages: 13
Tutoriaux : 0
MessagePosté le: Sam 28 Avr 2007 15:22    Sujet : [Discussion associée] - Infos malwares ... Répondre en citantRevenir en haut Alerter les modérateurs
Salut Pouzy et merci pour l'accueil Clin d'oeil ...

Je parle bien d'Alexa.com et de sa Toolbar qui apporte des fonctionnalités additionnelles de recherches à Internet Explorer en installant un BHO ...

Cette barre distille des Related Links qui sont chargés de rediriger l'utilisateur vers des sites qui payent Amazon.com (à qui appartient Alexa) pour ces redirections.

Elle récupère également des informations permettant la création de profils. Ces informations sont constituées par les sites visités, l'identification de la machine, l'identification de l'utilisateur, l'adresse e-mail, etc...

Enfin, elle ajoute un identificateur unique (guid) à la machine de manière à identifier personnellement l'utilisateur depuis ses serveurs.

Source
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur

synthexe

Geek
Geek

AidoAntivirus
AidoAntivirus


Messages: 2383
Tutoriaux : 0
MessagePosté le: Sam 28 Avr 2007 15:41    Sujet : [Discussion associée] - Infos malwares ... Répondre en citantRevenir en haut Alerter les modérateurs
Bonjour Kheops, bienvenue sur AidoForum ...

(Pouzy, un combattant de plus Très content)

Je vais mettre tout de suite ton topic en post-it, merci que de belles arrivées ces temps-ci, avec leur floppée de bons topics Très content

@u plaisir de te lire Kheops.
Bonne apres-midi a tous Clin d'oeil

_________________
Anti-Malware Powa
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur

Gof

Carte Mère
Carte Mère

AidoAntivirus
AidoAntivirus


Messages: 846
Tutoriaux : 0
MessagePosté le: Ven 04 Mai 2007 16:24    Sujet : [Discussion associée] - Infos malwares ... Répondre en citantRevenir en haut Alerter les modérateurs
Bonjour tout le monde, Joli sujet Kheops ! Clin d'oeil

Citation:
Voilà, c'est enfin terminé, j'éditerai en fonction de vos commentaires (ajout, remarques, news, ...)
Juste une suggestion, peut-être pas très pertinente ; je te suggère peut-être d'insérer des exemples en liens pour chaque catégorie (peut être sur une fiche AV), ou de quoter les lignes caractéristiques dans un HJT, ou une capture d'écran, etc. Histoire d'aérer pour que cela soit plus coloré à l'oeil visuellement. En tout cas, diablement bien ficelé, excellent taf !

Clin d'oeil
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privé

Kheops

Barrette de RAM
Barrette de RAM

AidoAntivirus
AidoAntivirus


Messages: 13
Tutoriaux : 0
MessagePosté le: Ven 04 Mai 2007 18:33    Sujet : [Discussion associée] - Infos malwares ... Répondre en citantRevenir en haut Alerter les modérateurs
Salut Gof et merci pour ta suggestion très pertinente ...

Je m'y attèle dès que jai un peu de temps ...

arf
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur
Montrer les messages depuis:      
Répondre au sujet Forum informatique » Aide Virus, Spywares et autres logiciels malveillants

 Sauter vers:   




Liens annexes du site :

- Aide et Dépannage Informatique
- Tutoriaux Informatique
- Définitions Informatiques
- Dossiers Informatiques
- Test Connexion
- Tutoriaux Photoshop
- Tutoriaux PhpBB
Créer un nouveau fil de discussion dans la même catégorie



Recommander cette page
Soutenez Aidoforum

Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : phpBB-fr.com
Forum de Science - Forum informatique