les virus informatiques
Transcription
les virus informatiques
LES VIRUS INFORMATIQUES 1. introduction présentation Les virus informatiques sont des programmes créés pour se propager sur d'autres ordinateurs. Ils sont susceptibles de nuire au bon fonctionnement de l'ordinateur qui a été infecté. Le vecteur des infections par virus informatique sont les divers lecteurs des ordinateurs et le plus souvent par internet. Le nom de virus informatique apparaît en 1984 et est mentionnée par Leonard Adleman informaticien et spécialiste en biologie nucléaire. Il lui donne ce nom du fait de sa similitude avec un virus biologique. D'après Sophos (première société de développement d'antivirus créée en 1985) le nombre de virus atteignait les 93000 en 2004. Ce chiffre aussi énorme n'est enfait qu'une exagération de la réalité. Les éditeurs d'antivirus revoient toujours les chiffres au plus haut pour toucher les utilisateurs, ce n'est rien d'autre qu'une démarche commerciale car la plupart des virus n'atteignent jamais le stade d'expansion massive. Un grand nombre des virus vise le système d'exploitation windows . Les autres touchent des systèmes d'exploitations maintenant dépassés et plus commercialisés depuis longtemps. De nouvelles maladies, bien humaine cette fois-ci, font émergence : une sorte de paranoïa autour du virus informatique. Des personnes bien plus malveillantes que ces programmes se servent de la peur des gens envers les virus pour inonder les boîtes e-mail de message de fausse alerte concernant certains fichiers (pourtant inoffensifs) présent sur les machines et conseillent aux utilisateurs naïfs de les supprimer. Ce qui représente un risque pour la stabilité des plateformes. Sinon dans d'autres cas cela favorise le bombing mail car sous la panique, l'utilisateur renvoie les e-mails ce qui peut saturer le serveur (la plupart des mails contiennent la mention « renvoyer ce mail à tout vos contacts », le but étant de convaincre tous d'envoyer des mails à tous les contacts). On appelle ça un Hoax (ou canular). 2) Les prémisse du virus informatique Bienque n'ayant pas du tout le même objectifs qu'aujourd'hui, les premiers virus informatiques ont été élaborés au sein de la société Bell, Core War, en 1970. A cette époque il ne s'agissait que d'un jeu interne développé par trois informaticiens de cette société, où les joueurs écrivaient un programme, le chargeaient en mémoire vive pour que l'OS puisse le lire et l'executer. L'objectif du jeu est de détruire les programmes des adversaires tout en proliférant. Les programmes se recopient, de se réparent si nécessaire, de se déplacent dans la mémoires et attaquent les autres adversaires en écrivant aléatoirement dans d'autres zones mémoire. C'est le principe des virus informatique. La partie se termine quand tout les fichiers des autres sont détruits ou quand le temps est écoulé. Le joueur ayant le plus grands score (programme survivant ou le plus d'attaques réussies) se voit attribuer le titre de vainqueur. C'est en 1984 que le magazine Scientifique American présente un jeu similaire aux grand publics, ce qui a signé la vrai entrée en service des virus. La première attaque virale a été dirigé contre ARPANET par le virus Brain qui renommait tout les lecteurs de disquettes en (C)Brain. Les premiers virus avaient une vocation publicitaire pour leur programmeur qui ne cherchait qu'à se faire connaître et de ce fait trouver un travail au sein des sociétés. 3) Les différents types de virus : A l'heure actuelle, on distingue de nombreuses formes de virus en voici quelques-une : Les virus les plus rencontrés sont des morceaux de programmes écrits en assembleur (logiciel qui sert à écrire un programme en langage plus simple d'utilisation que le langage machine binaire et de ce fait exploitable par l'homme) qui s'intègre dans un programme normal. A chaque utilisation du programme infecté le virus en profite pour se copier dans d'autres programme executable ce qui provoque une réaction en chaine et tout les fichiers sont très vite contaminés. Ces virus peuvent être programmés pour déclencher une action spécifique à un instant donné, comme par exemple l'affichage d'un message ou la destruction des données. Les macros-virus qui s'attaquent aux macros de microsoft office qui se copient à chaques executions de macros sur les logiciels comme word et excel par exemple, prolifère et peuvent lancer leur commande destructrice s'ils en sont pourvus. Les virus de type boot sévissaient surtout du temps où les systèmes d'exploitations étaient chargés en RAM gràce à une disquette ( ATARI,...). Mais on peut encore les retrouver se copiant dans le master boot record (MBR ou zone d'amorçage de 512 octets au cylindre 0, tête 0, secteur 0 du disque dur). Ce qui provoque une attaque quasiment irrémédiable qui peut finir par un formatage anarchique par le virus à son activation, de la zone d'ammorce s'il n'est pas chassé de cette zone par un antivirus. Les virus-vers sont semblables aux virus normaux car ils ont un programme hôte mais ils ont les même but que les vers comme par exemple la discrétion totale vis-à-vis des antivirus et firewalls pour pouvoir proliférer et s'occuper de leurs tâches spécifiques comme créer des failles ou alors lancer une attaque en connectant au même instant toutes les machines infectés au même serveur pour le saturer (même principe que le bomb mailing mais sans l'intervention directe de l'homme et à l'insu de l'utilisateur). Tout autre logiciel n'ayant pas la capacité de se reproduire n'est pas caractérisé de virus mais plutôt de malware. 4) Quelques caractéristiques notoires et communes aux virus les plus dangereux : Un virus peut se crypter (se chiffrer) en se répliquant afin de rester invisible aux « yeux » des antivirus, Ainsi son code nocif ne peut être déchiffré par l'antivirus qui le considère alors comme un programme anodin. Un virus peut aussi changer sa routine de cryptage ( en changeant sa clé de cryptage en quelques sortes) au cours des réplications. Dans ce cas il devient encore plus difficile d'être détecté par des antivirus. On le dit Polymorphe. Un virus peut aussi se métamorphoser, dans ce cas il change sa structure et les instructions qui le composent, en remplaçant son code par un code ayant les mêmes objectifs mais de structure différente ( par exemple en langage C un « while » peut être remplacé par des « if...else » ou des « for » sous certaines conditions). Un virus peut être furtif gràce à une combine exploitant les failles d'un OS en le leurrant. Ainsi un antivirus pourra « passer à côté » d'un élément viral car le système d'exploitation indique que ce fichier est en bonne santé. 5) A chaque virus son nom. D'après la convention de 1991 signée par les membres de CARO (Computer Antivirus Research Organisation), un virus obtient un nom suite à sa découverte. L'attribution suit un protocole à partir duquel le virus se verra attribué un nom dont: Le préfixe est le nom du système d'exploitation (W32 pour windows XP par exemple),ou le mode d'infection (WORM...) Un mot ou radical symbolisant la faille qu'il exploite ou sa caractéristique (Swen est l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) Un suffixe un numéro de version (les virus sont souvent repris sous formes de variantes comportant des similitudes avec la version d'origine). Donc par exemple le nouveau virus découvert le 8 avril 2007 a pour nom WIN32.ZHELATIN.CQ il a les caractéristiques suivantes: Zhelatin.CQ Zhelatin.CQ est un virus qui se propage par courrier électronique. Il se présente sous la forme d'un message en anglais accompagné d'un fichier joint dont l'extension est .EXE, en tentant de se faire passer pour une dépêche d'actualité annonçant un incident militaire ou une déclaration de guerre impliquant l'Iran, les Etats-Unis ou Israël. PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intriguant ou attrayant il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur puis l'avoir analysé avec un antivirus à jour. DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et éliminer le virus. TYPE : Ver SYSTEME(S) CONCERNE(S) : Windows ALIAS : Trojan.Peed.Gen (Bit Defender) Trojan.Small-1604 (ClamAV) Trojan.Packed.80 (DrWeb) W32/Trojan.ADUB (F-Prot) Email-Worm.Win32.Zhelatin.cq (F-Secure) Email-Worm.Win32.Zhelatin.cq (Kaspersky) W32/Dref-AF (Sophos) W32.Mixor.AR@mm (Symantec) WORM_NUWAR.AOK (Trend Micro) TAILLE : 51.342 octets DECOUVERTE : 08/04/2007 DESCRIPTION DETAILLEE : Le virus Zhelatin.CQ se présente sous la forme d'un message en anglais dont le corps est vide et le titre variable : • • • • • • • • Missle Strike: The USA kills more then 20000 Iranian citizens Missle Strike: The USA kills more then 1000 Iranian citizens Missle Strike: The USA kills more then 10000 Iranian citizens Israel Just Have Started World War III USA Just Have Started World War III Iran Just Have Started World War III USA Missle Strike: Iran War just have started USA Declares War on Iran La pièce jointe est un fichier dont la taille est 50 Ko, possédant une extension .EXE et un nom variable : • • • • • • • • News.exe More.exe Read More.exe Click Here.exe Click Me.exe Read Me.exe Movie.exe Video.exe Si ce fichier joint est exécuté, le virus se copie sur le disque dur sous un nom aléatoire, modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie automatiquement aux adresses figurant dans le carnet d'adresses Windows et divers fichiers en utilisant une adresse d'expéditeur usurpée ou falsifiée, puis tente de désactiver certains antivirus et pare-feux personnels Mais comme on peut le constater les dénominations divergent selon les éditeurs d'antivirus, ceci est encore due à un action marketing pour perdre l'utilisateur novice dans les dénominations et l'inciter à prendre un antivirus « spécifique ». 6) La solution : les antivirus. L'antivirus est la solution la plus intéressante dans le cadre de la lutte préventif et défensive contre les virus, pour fonctionner ils utilisent: • la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ; • la détection d'instructions suspectes dans le code d'un programme (analyse heuristique); • la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ; • la détection d'ordres suspects ; • la surveillance des lecteurs de support amovible: lecteur disquettes, lecteur CDDVD ROM, USB... Les autres solutions serait : d'être équipé d'un très bon firewall aussi bien physique (routeur programmable) que logiciel; de ne pas naviguer sur les sites suspects; de ne pas accepter les mails de n'importe qui et leurs pièces jointes;