• Les définitions de certaines infections

    Par GuideUtile dans Généralités le 9 Décembre 2013 à 21:29

     

    Les définitions : Infections

     

    Malware

    Variété de logiciels malveillants, qui recueillent divers informations. Le Malware est le terme pour définir un ensemble de type d'infections (virus, spyware, adware, rootkit etc..) mais juridiquement fais partie de la catégorie Contaminant de l'ordinateur.

    Malware inclut les virus informatiques , ransomware , vers , chevaux de Troie , rootkits , keyloggers , dialers , spyware , adware , malveillants BHO , faux logiciels de sécurité et autres programmes malveillants; la majorité des logiciels malveillants actifs sont généralement des vers ou des chevaux de Troie plutôt que les virus. 

    Il va exploité les défauts de sécurité (bugs de sécurité ou des vulnérabilités ) dans la conception du système d'exploitation, des applications ou dans les  plugins tels que Adobe Flash Player , Adobe Acrobat / Reader , ou Java

    Une infection malveillante ou logiciels malveillants peut forcer le système à exécuter un code malveillant , en remplaçant le code légitime avec sa propre charge d'instructions (ou valeurs de données) copiés dans la mémoire vive, en dehors de la zone tampon.

    Dans le Malware nous pouvons encore réaliser des classements comme par exemple :

    le Graywares (ou greyware) est un terme général qui désigne les applications ou les fichiers qui ne sont pas directement classés comme les logiciels malveillants (comme des vers ou chevaux de Troie), mais peuvent encore affecter négativement les performances des ordinateurs et à des risques de sécurité importants.

    A cela il existe d'autres notions comme le  PUP, qui se tient pour des programmes potentiellement indésirables

     

    Exemples : NABOB (canular), Sasser (ver)

     
    NABOB
    Sasser

     

    Virus

    Logiciel qui peut se répliquer en insérant une copie de lui même dans le code d'un programme, secteur d'amorçage d'un disque dur ou fichiers et se propager aux propriétés malveillantes dont le but principal est de nuire. 


    Exemples : Reveton (ransomware), DNSChanger
     
    Ransomware
    DNSChanger

     

    Espiogiciel (spyware)

    Logiciel qui à l'insu de l'utilisateur vol des informations sensibles et les communiques au voyou dans un but lucratif. 

    Hotbar installe par exemple aussi des "peaux" ou "Skin" qui font d'Internet ExplorerOutlook, Et Outlook Express un aspect différent de l'original ou de votre propre configuration skin.. qui fera de lui en plus d'un spyware un hitjacker.


    Exemples : Cydoor 

    Cydoor

    Actuellement vous avez de nombreux sites comme Softonic, 01Net etc... qui n'hésitent pas à en faire la distribution.

    Rootkit

    Logiciel malveillant qui s'attaque aux privilèges du système et système lui même. Etant très dangereux, il peut nécessiter une réinstallation complète du système. Les infections sont complexes et il n'est pas rare de voir des Rogues avec des fonctionnalités Rootkit. Il faut retenir que le rootkit est une infection du root système (MBR) comme sont nom l'indique.


    Exemples : Back Orifice, Rootkit MBR : PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot

    Back_Orifice
    rootkit-mbr-ps

     

    Porte dérobée (backdoor)

    La porte dérobée est une faille dans un logiciel permettant l'accès au logiciel, le contrôler, et à l'insu de l'utilisateur.Le cheval de troie se sert de cette porte. Même si la porte dérobée peut légitime par intérêt commercial, elle reste dangereuse en cas de malveillance.


    Exemples :

    Botnet


    Failles de sécurité :
    https://aresu.dsi.cnrs.fr/spip.php?rubrique154
    http://technet.microsoft.com/fr-fr/libr ... us%29.aspx

     

    Rogues

    Un rogue est un faux programme anti malware qui donne des fausses détections afin de faire acheter le logiciel, il peut se présenter comme un Antivirus ou un logiciel permettant d'optimiser votre ordinateur. N'oublier pas et ne chercher pas un logiciel pour une optimisation de votre système, Windows est un grand garçon et il n'a besoin de rien en dehors d'une protection comme un Antivirus.

    En règle générale le rogue ira jusqu'à simuler l'infection que lui même provoque en empêchant par exemple certains accès bureau ou logiciels.
    Il provoquera des défaillances système, pages de publicités, des fausses alertes de sécurité, détournera la page de démarrage d'accueil du 
    navigateur à des fins de téléchargements complémentaires motivés par de fausses informations, vous conduisant à de multiples infections provoquées
    par une panique de l'internaute. Les infections que provoque le rogue conduit aux téléchargements et exécution de faux codecs, exploits sur des sites
    Web ciblés, empoisonnement du navigateur en captant le trafic de l'internaute (une optimisation infectieuse).
    Le but final est de vous demander de l'argent en échange d'une tranquillité sécuritaire.

    Principalement le faux logiciel repose sur la tromperie sociale pour convainque l'internaute du téléchargement, souvent muni d'un cheval de Troie déguisé
    en barre d'outil, extension navigateur, image, faux codec, exploits. L'empoisonnement SEO (affecte négativement la visibilité d'une page Web dans un navigateur) par gestion malveillante des URL dans le navigateur Web d'après
    les recherches des personnes sur tel ou tel événement seront redirigés sur des sites informant l'infection de l'ordinateur et ainsi poussant ceux-ci au
    téléchargement de logiciel voyous.

    Vecteurs d'infection

    Le téléchargement et l’exécution de faux codecs ou de faux cracks
    Les exploits sur des sites Web
    Le SEO empoisonnement
    Certaines bannières publicitaires (même sur des sites légitimes) qui mènent à des fausses pages d'alertes

     

    Exemple :

    DefenseCenter

    PCFixSpeed

    et bien d'autres

     

    Divers définitions de virus (au sens large du terme)

    Virus Non résident / Résident

    Virus Compagnon

    Les virus compagnons sont un type de virus de fichiers classiques qui ne modifient pas le fichier hôte. Au lieu de ça ils créent un fichier copie contenant le virus. Lorsque le fichier infecté est lancé, la copie contenant le virus sera exécutée en premier.

     

    Virus parasite

    Ce type de virus n'affecte pas l'exécution du fichier original. Pour cela, il se copie à la fin du fichier et par une routine de saut placé dans l'entête, le code du virus est exécuté avant la partie principale du fichier.
    Il peut infecter les fichiers de type .com, .exe, .sys, .bin.
    Il est beaucoup plus facile d'infecter un fichier de type .com que de type .exe. En effet, les fichiers de types .com sont chargés tel quel en mémoire. Les fichiers de type .exe ont un " header " plus compliqué à manipuler pour que le chargement en mémoire se passe bien.

    Virus non résident

    Il s'agît de virus de type parasite qui ne peuvent opérer que quand ils sont exécutés. A la première exécution, ils sont activés. Ils infectent alors les autres fichiers qui activeront eux mêmes de nouveau le virus quand ils seront à leur tour exécutés.

    Virus résident ou TSR (Terminate and Stay Resident)

    Un virus résident est logé dans la mémoire vive. Il dort et est activé suite à un évènement du type : une suite de caractère saisit au clavier, une heure, une date, un autre programme essayant d'ouvrir un fichier, un simple DIR, …..
    Pour cela, il lit les vecteurs d'interruptions du système et remplace l'adresse du programme associé à l'interruption par sa propre adresse. A chaque fois que l'interruption sera appellé, c'est le virus qui s'exécutera et qui ensuite redonnera le contrôle aux vrais programmes.
    Sur un PC, il y a 255 interruptions dont 15 matériels.

    Le seul moyen pour déloger les virus de la mémoire est de couper toute source d'alimentation de l'ordinateur infecté. Un redémarrage soft n'est pas suffisant, car certains virus savent résister à ce genre d'opérations.

    Virus système

    Secteur d'amorçage

    A l'allumage, le PC exécute le programme contenu dans la ROM, l'EPROM ou la flash EPROM qui teste les différentes unités physiques à la recherche du disque dur.
    Il charge ensuite en RAM les premiers secteurs du disque dur afin de les exécuter. Ce secteur d'amorce est le MBR. (MASTER BOOT RECORD).
    Le virus cherche donc à recopier son code dans cette partie du disque dur ou de la disquette.

    Le principe de fonctionnement est le suivant:

    Le virus est présent dans le secteur de BOOT d'une disquette
    Il contamine le PC lors d'un BOOT sur cette disquette
    Il déplace ou écrase le code original du BOOT ou du MBR
    Il remplace ce code par le sien
    Il sauvegarde le code excédent(du virus) dans des secteurs libres ou occupés du disque dur
    A partir de ce moment là, à chaque démarrage de l'ordinateur, le virus est chargé en mémoire, et peut infecter de nouvelles disquettes
    Il est théoriquement possible de modifier le contenu d'une flash EPROM, pour que le virus se charge encore avant le secteur de partition. Cependant, dans la pratique,cela se révèle impossible du fait des nombreuses incompatibilités entre les différentes ROMs.

    Virus de FAT

    Ce genre de virus s'attaque à la Table d'allocation des fichiers pour que dès qu'on lance un exécutable, on lance d'abord le virus.


    Amorçage du système

    Le virus contamine les fichiers de démarrage du système d'exploitation, ce qui permet sa mise en mémoire avant la fin du chargement du système.

    Un premier patchwork


    Virus multiforme

    C'est un virus possédant les facultés d'infection des secteurs d'amorçage des Virus système et celle de parasitage des Virus parasites. Ils peuvent ainsi, par exemple, être placés en mémoire à la suite d'un boot et contaminer les fichiers .com et .exe. qui eux mêmes activeront le virus lors de leur exécution.

    Virus dropper

    C'est un programme qui dépose les virus. Il peut lui même être un virus, ainsi certain virus macro déposent des virus de boot, qui peuvent à leur tour lancer l'infection de virus macro…


    Virus qui se cache


    Virus furtif

    Ce virus peut modifier les appels systèmes pour qu'ils effacent les renseignements le concernant tels que la taille, la présence d'un dossier, sa présence en mémoire, sa signature, etc…. Cela permet de le cacher des outils chargés de le détecter. (Anti-virus).
    Pour cela, il contrôle la table d'interruption en s'attaquant en particulier aux interruptions utilisées par les antivirus.

    Une autre méthode employée consiste à obliger le logiciel d'antivirus à examiner un secteur non infecté, dont le virus a fait une copie au préalable.

    Virus crypté

    La définition, dans le cas des parasites, change un peu du standard. Le cryptage pour les virus ou les vers signifient généralement leur aptitude à rendre leur code suffisamment complexe, voir auto-modifiant pour que l'analyse soit extrêmement difficile. Il existe ainsi des virus qui vont prendre des données, les décrypter, les poser dans une zone exécutable, les exécuter. Celles-ci vont à leur tour prendre une partie du code, le changer, etc.. etc...

    Ce virus est particulièrement redoutable. Il sait se dissimuler aux yeux de l'antivirus, grâce au cryptage de son code à chaque duplication, il va même jusqu'à crypter aussi le programme de cryptage.


    Virus polymorphe

    Modifie son code à chaque reproduction pour rendre son identification difficile. (Signature différente à chaque fois)

    La signature des virus a rapidement été un de leur problème. Les sociétés d'anti-virus n'avaient qu'à comparer une chaine d'octets pour savoir quel était le virus concerné. D'où l'idée qu'ont eu certains de modifier légèrement la descendance de leur virus pour rendre la signature plus complexe. La modification peut être faite par différents moyens :

    Ajout d'instruction inutile (fonction NOP en assembleur, boucle d'attente, calcul sans intérêt)
    Changer la manière de coder une intruction (a=b*c est équivalent à a=c*b ou encore à a=c+c*(b-1))

    Exemple d'un virus polymorphe et crypté

    Le virus se présente sous une forme cryptée. Dès son activation, un sous programme décrypte le corps du virus en employant la première clé de cryptage.
    Sa première tâche : rechercher de nouveaux fichiers à contaminer.
    Le virus se duplique. Dans un premier temps, il génère aléatoirement un nouveau sous-programme de cryptage ainsi qu'une nouvelle clé.
    Le sous programme de cryptage et la clé sont utilisés pour crypter le reste du corps.
    Un nouveau virus polymorphe complètement différent du premier est créé.

    On peut ainsi avoir plus de 4 milliards de combinaisons.

    Les virus polymorphes ont vu leur popularité augmenter suite au développement d'un " moteur de mutation ". Le Moteur de Mutation a été mis au point par une personne ou un groupe se faisant appeler " Dark Avenger " (le vengeur noir). Il a été diffusé sur plusieurs serveurs BBS et son code de programmation a été rendu public. Il est livré avec un jeu complet d'instructions permettant de transformer n'importe quel virus normal en virus polymorphe.

    Worms


    Virus réseaux

    Le rôle d'un ver n'est pas de se multiplier sur le disque dur mais de se multiplier en mémoire et à travers un réseau.

     

    Anti anti-virus

    Virus flibustier (bounty hunters)

    Les virus flibustiers prennent pour cible des programmes antivirus spécifiques et les mettent en échec. Ce type de virus est extrêmement rare mais est parfois très efficace contre certains programmes antivirus.
    C'est généralement un virus segmenté qui, une fois qu'il a neutralisé son agresseur poursuit son oeuvre.

    Virus macro

    Il contamine les fichiers " Normal.dot " ou " Xlouvrir " car ce sont des fichiers consultés aux démarrages des applications de type macro. Microsoft Excel par exemple.
    Le macro va provoquer l'activation du virus à leur exécution.
    Ils sont d'autant plus dangereux qu'il existe la compatibilité ascendante et descendante pour toutes les applications microsoft. Il peut même passé de windows à mac sans problème.


    Virus visual basic

    Toutes les applications Microsoft sont liées les unes aux autres par leur langage de programmation Visual Basic et son dérivé VB script.

    Bombe logique

    Les bombes logiques. Ce sont des parties de programme qui effectuent une action nuisible sous certaines conditions (de date, de longueur de fichier, de disparition d'un nom d'un fichier du personnel). 

    Les Hoaxes

    Ce sont de faux virus. Vous recevez un mail qui vous dit attention n'ouvrez pas votre courrier, etc, etc.. dans cette catégorie : PENPAL GREETINGS, GOOD TIMES, JOIN THE CREW, etc,
    Sachez que le fait de lire un mail ne peut JAMAIS infecter un disque dur, à moins d'avoir une interprétation automatique des messages par un logiciel (si vous utilisez Outlook, vous tombez malheureusement dans cette catégorie)

    Il y a aussi des faux vrais virus qui font croire à la présence d'un virus, qui propose un moyen d'éradication, qui lui même infecte le système. Il s'agît alors d'une startégie d'infection et non pas d'un virus en soit.

    Les attaques sur le matériel

    Attaque du CMOS

    Certains virus très rares sont capables d 'attaquer directement les données inscrites dans le CMOS.

    Le CMOS est une mémoire présente sur la carte mère, alimentée par une pile où sont sauvegardés certains paramètres de configuration :

    taille disque dur
    taille RAM
    date et heure
    des données nécessaires au démarrage.
    Une récupération peut être faite par un redémarrage de votre machine avec les options par défaut.


    Attaque Hard

    Attaque direct du matériel rendant votre PC inutilisable. Ce genre de virus est très rare car il y a beaucoup trop de contraintes.

    Cheval de Troie

    Le cheval de Troie utilise le principe d'infection d'un système par l'intermédiaire d'un autre programme qui se veut intéressant pour l'utilisateur.

    C'est un virus de type résident.
    Il peut avoir deux modes d'actions différents qui peuvent être combinés.
    Autonome : Sniffeur de mots de passe, destructions de fichiers etc…
    Serveur : Il ouvre des connections sur la machine infectée. Le pirate en connaissant l'adresse IP de la victime ainsi que le port d'écoute du virus, peut prendre le contrôle de la machine.

    Pour infecter un ordinateur, un programme de virus doit au préalable être exécuté. Les virus ont des moyens pour s’assurer que cela arrive. Ils peuvent se fixer sur d’autres
    programmes ou se dissimuler au sein d’un code de programmation qui s’exécute automatiquement à l’ouverture de certains types de fichiers.
    On peux recevoir un fichier infecté depuis une disquette, une pièce jointe à un mail, ou le web lors d’un téléchargement.

     

    AUTRES TYPES D'INFECTIONS

     

    Dialers

    Un Dialer est un programme qui est capable d'établir, à votre insu, une connexion avec votre modem. Ce type de malware compose donc un numéro de téléphone surtaxé (cas d'un modem analogique) ou établit une connexion vers un site web déterminé (cas d'un modem adsl). Dans les deux cas, le seul but de ce malware est de rémunérer son auteur au travers les communication téléphoniques que la victime paie sans le savoir.


    Downloaders

    Ce malware se présente en général sous la forme d'un petit exécutable. Une fois exécuté sur votre machine celui-ci va se connecter sur un site web, FTP, IRC, etc. De ce site, il va télécharger un autre programme, en général beaucoup plus agressif, tel un Ver ou un Rootkit.


    Droppers

    Les Droppers sont des fichiers exécutables qui paraissent anodins mais qui, en fait, installent un ou plusieurs malwares. Techniquement, ils en profitent par exemple pour lancer le malware au démarrage de la machine, ou à l'ouverture d'un navigateur Internet.

    Keyloggeurs

    Les "Enregisteurs de touches" stockent dans un fichier toutes les touches que vous frappez sur le clavier. Le fichier en question, souvent crypté, est ensuite envoyé à ou rapatrié par la personne malveillante qui a installé le dispositif.

    Malware en fichiers BAT

    Ces petits exécutables au format texte ont l'avantage de la simplicité de création. En effet, ils ne nécessitent pas de connaître un langage évolué tel le C ou Delphi. Leur taille n'est généralement que quelques centaines d'octets. Par contre, leur dégâts peuvent être considérables. De plus, un fichier BAT est compatible quelque soit la version du système d'exploitation de Microsoft .

    Les Flooders

    Ceux-ci n'ont qu'un seul but : inonder une cible (un site web par exemple) afin de l'empêcher de fonctionner. Partie intégrante des Denis de Service Distribués (DDOS), ces programmes passent souvent par une phase de contamination (installation sur le plus de machines possibles) avant la phase d'attaque proprement dite.

     Ma Conclusion :

    Après avoir vue toutes ces définitions on peut ce dire que tout cela est bien compliqué, oui, effectivement, Je conseillerais un bon Antivirus comme en gratuit Avast et payant Kaspersky et en pare feu, pourquoi ne pas rester Windows

    Malwarebytes en complément d'analyse et Wot sur votre navigateur, et bien sans avoir plus, votre système restera protégé et rapide.

    Ha! Oui, j'oublie, éviter les sites alléchants, rester que sur les sites officiels connus et gouvernementaux.

    Enfin, au vue de la complexité des choses votre meilleur garde fou ou joker ou protection !! c'est vous

     Certaines définitions que vous avez lu, ont été répertoriée sur certains sites, n'on pas par paresse mais leur rédaction est très bien faite. Au fur et à mesure du temps, elles seront soient refaites ou remplacés. Dans la définition du Malware, il vous est possible en cliquant par exemple sur Dialer de vous rendre sur Wikipédia pour en voir une autre définition ou sur http://www.viruslist.com/fr/index.html.

     


    votre commentaire