-
Les définitions : Infections
Malware
Variété de logiciels malveillants, qui recueillent divers informations. Le Malware est le terme pour définir un ensemble de type d'infections (virus, spyware, adware, rootkit etc..) mais juridiquement fais partie de la catégorie Contaminant de l'ordinateur.
Malware inclut les virus informatiques , ransomware , vers , chevaux de Troie , rootkits , keyloggers , dialers , spyware , adware , malveillants BHO , faux logiciels de sécurité et autres programmes malveillants; la majorité des logiciels malveillants actifs sont généralement des vers ou des chevaux de Troie plutôt que les virus.
Il va exploité les défauts de sécurité (bugs de sécurité ou des vulnérabilités ) dans la conception du système d'exploitation, des applications ou dans les plugins tels que Adobe Flash Player , Adobe Acrobat / Reader , ou Java
Une infection malveillante ou logiciels malveillants peut forcer le système à exécuter un code malveillant , en remplaçant le code légitime avec sa propre charge d'instructions (ou valeurs de données) copiés dans la mémoire vive, en dehors de la zone tampon.
Dans le Malware nous pouvons encore réaliser des classements comme par exemple :
le Graywares (ou greyware) est un terme général qui désigne les applications ou les fichiers qui ne sont pas directement classés comme les logiciels malveillants (comme des vers ou chevaux de Troie), mais peuvent encore affecter négativement les performances des ordinateurs et à des risques de sécurité importants.
A cela il existe d'autres notions comme le PUP, qui se tient pour des programmes potentiellement indésirables
Exemples : NABOB (canular), Sasser (ver)
Virus
Logiciel qui peut se répliquer en insérant une copie de lui même dans le code d'un programme, secteur d'amorçage d'un disque dur ou fichiers et se propager aux propriétés malveillantes dont le but principal est de nuire.
Exemples : Reveton (ransomware), DNSChanger
Ransomware
DNSChangerEspiogiciel (spyware)
Logiciel qui à l'insu de l'utilisateur vol des informations sensibles et les communiques au voyou dans un but lucratif.
Hotbar installe par exemple aussi des "peaux" ou "Skin" qui font d'Internet Explorer, Outlook, Et Outlook Express un aspect différent de l'original ou de votre propre configuration skin.. qui fera de lui en plus d'un spyware un hitjacker.
Exemples : Cydoor
CydoorActuellement vous avez de nombreux sites comme Softonic, 01Net etc... qui n'hésitent pas à en faire la distribution.
Rootkit
Logiciel malveillant qui s'attaque aux privilèges du système et système lui même. Etant très dangereux, il peut nécessiter une réinstallation complète du système. Les infections sont complexes et il n'est pas rare de voir des Rogues avec des fonctionnalités Rootkit. Il faut retenir que le rootkit est une infection du root système (MBR) comme sont nom l'indique.
Exemples : Back Orifice, Rootkit MBR : PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot
Back_Orifice
rootkit-mbr-psPorte dérobée (backdoor)
La porte dérobée est une faille dans un logiciel permettant l'accès au logiciel, le contrôler, et à l'insu de l'utilisateur.Le cheval de troie se sert de cette porte. Même si la porte dérobée peut légitime par intérêt commercial, elle reste dangereuse en cas de malveillance.
Exemples :
Failles de sécurité :
https://aresu.dsi.cnrs.fr/spip.php?rubrique154
http://technet.microsoft.com/fr-fr/libr ... us%29.aspxRogues
Un rogue est un faux programme anti malware qui donne des fausses détections afin de faire acheter le logiciel, il peut se présenter comme un Antivirus ou un logiciel permettant d'optimiser votre ordinateur. N'oublier pas et ne chercher pas un logiciel pour une optimisation de votre système, Windows est un grand garçon et il n'a besoin de rien en dehors d'une protection comme un Antivirus.
En règle générale le rogue ira jusqu'à simuler l'infection que lui même provoque en empêchant par exemple certains accès bureau ou logiciels.
Il provoquera des défaillances système, pages de publicités, des fausses alertes de sécurité, détournera la page de démarrage d'accueil du
navigateur à des fins de téléchargements complémentaires motivés par de fausses informations, vous conduisant à de multiples infections provoquées
par une panique de l'internaute. Les infections que provoque le rogue conduit aux téléchargements et exécution de faux codecs, exploits sur des sites
Web ciblés, empoisonnement du navigateur en captant le trafic de l'internaute (une optimisation infectieuse).
Le but final est de vous demander de l'argent en échange d'une tranquillité sécuritaire.Principalement le faux logiciel repose sur la tromperie sociale pour convainque l'internaute du téléchargement, souvent muni d'un cheval de Troie déguisé
en barre d'outil, extension navigateur, image, faux codec, exploits. L'empoisonnement SEO (affecte négativement la visibilité d'une page Web dans un navigateur) par gestion malveillante des URL dans le navigateur Web d'après
les recherches des personnes sur tel ou tel événement seront redirigés sur des sites informant l'infection de l'ordinateur et ainsi poussant ceux-ci au
téléchargement de logiciel voyous.
Vecteurs d'infection
Le téléchargement et l’exécution de faux codecs ou de faux cracks
Les exploits sur des sites Web
Le SEO empoisonnement
Certaines bannières publicitaires (même sur des sites légitimes) qui mènent à des fausses pages d'alertesExemple :
DefenseCenter
PCFixSpeed
et bien d'autres
Divers définitions de virus (au sens large du terme)
Virus Non résident / Résident
Virus Compagnon
Les virus compagnons sont un type de virus de fichiers classiques qui ne modifient pas le fichier hôte. Au lieu de ça ils créent un fichier copie contenant le virus. Lorsque le fichier infecté est lancé, la copie contenant le virus sera exécutée en premier.
Virus parasite
Ce type de virus n'affecte pas l'exécution du fichier original. Pour cela, il se copie à la fin du fichier et par une routine de saut placé dans l'entête, le code du virus est exécuté avant la partie principale du fichier.
Il peut infecter les fichiers de type .com, .exe, .sys, .bin.
Il est beaucoup plus facile d'infecter un fichier de type .com que de type .exe. En effet, les fichiers de types .com sont chargés tel quel en mémoire. Les fichiers de type .exe ont un " header " plus compliqué à manipuler pour que le chargement en mémoire se passe bien.Virus non résident
Il s'agît de virus de type parasite qui ne peuvent opérer que quand ils sont exécutés. A la première exécution, ils sont activés. Ils infectent alors les autres fichiers qui activeront eux mêmes de nouveau le virus quand ils seront à leur tour exécutés.
Virus résident ou TSR (Terminate and Stay Resident)
Un virus résident est logé dans la mémoire vive. Il dort et est activé suite à un évènement du type : une suite de caractère saisit au clavier, une heure, une date, un autre programme essayant d'ouvrir un fichier, un simple DIR, …..
Pour cela, il lit les vecteurs d'interruptions du système et remplace l'adresse du programme associé à l'interruption par sa propre adresse. A chaque fois que l'interruption sera appellé, c'est le virus qui s'exécutera et qui ensuite redonnera le contrôle aux vrais programmes.
Sur un PC, il y a 255 interruptions dont 15 matériels.Le seul moyen pour déloger les virus de la mémoire est de couper toute source d'alimentation de l'ordinateur infecté. Un redémarrage soft n'est pas suffisant, car certains virus savent résister à ce genre d'opérations.
Virus système
Secteur d'amorçage
A l'allumage, le PC exécute le programme contenu dans la ROM, l'EPROM ou la flash EPROM qui teste les différentes unités physiques à la recherche du disque dur.
Il charge ensuite en RAM les premiers secteurs du disque dur afin de les exécuter. Ce secteur d'amorce est le MBR. (MASTER BOOT RECORD).
Le virus cherche donc à recopier son code dans cette partie du disque dur ou de la disquette.Le principe de fonctionnement est le suivant:
Le virus est présent dans le secteur de BOOT d'une disquette
Il contamine le PC lors d'un BOOT sur cette disquette
Il déplace ou écrase le code original du BOOT ou du MBR
Il remplace ce code par le sien
Il sauvegarde le code excédent(du virus) dans des secteurs libres ou occupés du disque dur
A partir de ce moment là, à chaque démarrage de l'ordinateur, le virus est chargé en mémoire, et peut infecter de nouvelles disquettes
Il est théoriquement possible de modifier le contenu d'une flash EPROM, pour que le virus se charge encore avant le secteur de partition. Cependant, dans la pratique,cela se révèle impossible du fait des nombreuses incompatibilités entre les différentes ROMs.Virus de FAT
Ce genre de virus s'attaque à la Table d'allocation des fichiers pour que dès qu'on lance un exécutable, on lance d'abord le virus.
Amorçage du systèmeLe virus contamine les fichiers de démarrage du système d'exploitation, ce qui permet sa mise en mémoire avant la fin du chargement du système.
Un premier patchwork
Virus multiformeC'est un virus possédant les facultés d'infection des secteurs d'amorçage des Virus système et celle de parasitage des Virus parasites. Ils peuvent ainsi, par exemple, être placés en mémoire à la suite d'un boot et contaminer les fichiers .com et .exe. qui eux mêmes activeront le virus lors de leur exécution.
Virus dropper
C'est un programme qui dépose les virus. Il peut lui même être un virus, ainsi certain virus macro déposent des virus de boot, qui peuvent à leur tour lancer l'infection de virus macro…
Virus qui se cache
Virus furtifCe virus peut modifier les appels systèmes pour qu'ils effacent les renseignements le concernant tels que la taille, la présence d'un dossier, sa présence en mémoire, sa signature, etc…. Cela permet de le cacher des outils chargés de le détecter. (Anti-virus).
Pour cela, il contrôle la table d'interruption en s'attaquant en particulier aux interruptions utilisées par les antivirus.Une autre méthode employée consiste à obliger le logiciel d'antivirus à examiner un secteur non infecté, dont le virus a fait une copie au préalable.
Virus crypté
La définition, dans le cas des parasites, change un peu du standard. Le cryptage pour les virus ou les vers signifient généralement leur aptitude à rendre leur code suffisamment complexe, voir auto-modifiant pour que l'analyse soit extrêmement difficile. Il existe ainsi des virus qui vont prendre des données, les décrypter, les poser dans une zone exécutable, les exécuter. Celles-ci vont à leur tour prendre une partie du code, le changer, etc.. etc...
Ce virus est particulièrement redoutable. Il sait se dissimuler aux yeux de l'antivirus, grâce au cryptage de son code à chaque duplication, il va même jusqu'à crypter aussi le programme de cryptage.
Virus polymorpheModifie son code à chaque reproduction pour rendre son identification difficile. (Signature différente à chaque fois)
La signature des virus a rapidement été un de leur problème. Les sociétés d'anti-virus n'avaient qu'à comparer une chaine d'octets pour savoir quel était le virus concerné. D'où l'idée qu'ont eu certains de modifier légèrement la descendance de leur virus pour rendre la signature plus complexe. La modification peut être faite par différents moyens :
Ajout d'instruction inutile (fonction NOP en assembleur, boucle d'attente, calcul sans intérêt)
Changer la manière de coder une intruction (a=b*c est équivalent à a=c*b ou encore à a=c+c*(b-1))Exemple d'un virus polymorphe et crypté
Le virus se présente sous une forme cryptée. Dès son activation, un sous programme décrypte le corps du virus en employant la première clé de cryptage.
Sa première tâche : rechercher de nouveaux fichiers à contaminer.
Le virus se duplique. Dans un premier temps, il génère aléatoirement un nouveau sous-programme de cryptage ainsi qu'une nouvelle clé.
Le sous programme de cryptage et la clé sont utilisés pour crypter le reste du corps.
Un nouveau virus polymorphe complètement différent du premier est créé.On peut ainsi avoir plus de 4 milliards de combinaisons.
Les virus polymorphes ont vu leur popularité augmenter suite au développement d'un " moteur de mutation ". Le Moteur de Mutation a été mis au point par une personne ou un groupe se faisant appeler " Dark Avenger " (le vengeur noir). Il a été diffusé sur plusieurs serveurs BBS et son code de programmation a été rendu public. Il est livré avec un jeu complet d'instructions permettant de transformer n'importe quel virus normal en virus polymorphe.
Worms
Virus réseauxLe rôle d'un ver n'est pas de se multiplier sur le disque dur mais de se multiplier en mémoire et à travers un réseau.
Anti anti-virus
Virus flibustier (bounty hunters)
Les virus flibustiers prennent pour cible des programmes antivirus spécifiques et les mettent en échec. Ce type de virus est extrêmement rare mais est parfois très efficace contre certains programmes antivirus.
C'est généralement un virus segmenté qui, une fois qu'il a neutralisé son agresseur poursuit son oeuvre.Virus macro
Il contamine les fichiers " Normal.dot " ou " Xlouvrir " car ce sont des fichiers consultés aux démarrages des applications de type macro. Microsoft Excel par exemple.
Le macro va provoquer l'activation du virus à leur exécution.
Ils sont d'autant plus dangereux qu'il existe la compatibilité ascendante et descendante pour toutes les applications microsoft. Il peut même passé de windows à mac sans problème.
Virus visual basicToutes les applications Microsoft sont liées les unes aux autres par leur langage de programmation Visual Basic et son dérivé VB script.
Bombe logique
Les bombes logiques. Ce sont des parties de programme qui effectuent une action nuisible sous certaines conditions (de date, de longueur de fichier, de disparition d'un nom d'un fichier du personnel).
Les Hoaxes
Ce sont de faux virus. Vous recevez un mail qui vous dit attention n'ouvrez pas votre courrier, etc, etc.. dans cette catégorie : PENPAL GREETINGS, GOOD TIMES, JOIN THE CREW, etc,
Sachez que le fait de lire un mail ne peut JAMAIS infecter un disque dur, à moins d'avoir une interprétation automatique des messages par un logiciel (si vous utilisez Outlook, vous tombez malheureusement dans cette catégorie)Il y a aussi des faux vrais virus qui font croire à la présence d'un virus, qui propose un moyen d'éradication, qui lui même infecte le système. Il s'agît alors d'une startégie d'infection et non pas d'un virus en soit.
Les attaques sur le matériel
Attaque du CMOS
Certains virus très rares sont capables d 'attaquer directement les données inscrites dans le CMOS.
Le CMOS est une mémoire présente sur la carte mère, alimentée par une pile où sont sauvegardés certains paramètres de configuration :
taille disque dur
taille RAM
date et heure
des données nécessaires au démarrage.
Une récupération peut être faite par un redémarrage de votre machine avec les options par défaut.
Attaque HardAttaque direct du matériel rendant votre PC inutilisable. Ce genre de virus est très rare car il y a beaucoup trop de contraintes.
Cheval de Troie
Le cheval de Troie utilise le principe d'infection d'un système par l'intermédiaire d'un autre programme qui se veut intéressant pour l'utilisateur.
C'est un virus de type résident.
Il peut avoir deux modes d'actions différents qui peuvent être combinés.
Autonome : Sniffeur de mots de passe, destructions de fichiers etc…
Serveur : Il ouvre des connections sur la machine infectée. Le pirate en connaissant l'adresse IP de la victime ainsi que le port d'écoute du virus, peut prendre le contrôle de la machine.Pour infecter un ordinateur, un programme de virus doit au préalable être exécuté. Les virus ont des moyens pour s’assurer que cela arrive. Ils peuvent se fixer sur d’autres
programmes ou se dissimuler au sein d’un code de programmation qui s’exécute automatiquement à l’ouverture de certains types de fichiers.
On peux recevoir un fichier infecté depuis une disquette, une pièce jointe à un mail, ou le web lors d’un téléchargement.AUTRES TYPES D'INFECTIONS
Dialers
Un Dialer est un programme qui est capable d'établir, à votre insu, une connexion avec votre modem. Ce type de malware compose donc un numéro de téléphone surtaxé (cas d'un modem analogique) ou établit une connexion vers un site web déterminé (cas d'un modem adsl). Dans les deux cas, le seul but de ce malware est de rémunérer son auteur au travers les communication téléphoniques que la victime paie sans le savoir.
DownloadersCe malware se présente en général sous la forme d'un petit exécutable. Une fois exécuté sur votre machine celui-ci va se connecter sur un site web, FTP, IRC, etc. De ce site, il va télécharger un autre programme, en général beaucoup plus agressif, tel un Ver ou un Rootkit.
DroppersLes Droppers sont des fichiers exécutables qui paraissent anodins mais qui, en fait, installent un ou plusieurs malwares. Techniquement, ils en profitent par exemple pour lancer le malware au démarrage de la machine, ou à l'ouverture d'un navigateur Internet.
Keyloggeurs
Les "Enregisteurs de touches" stockent dans un fichier toutes les touches que vous frappez sur le clavier. Le fichier en question, souvent crypté, est ensuite envoyé à ou rapatrié par la personne malveillante qui a installé le dispositif.
Malware en fichiers BAT
Ces petits exécutables au format texte ont l'avantage de la simplicité de création. En effet, ils ne nécessitent pas de connaître un langage évolué tel le C ou Delphi. Leur taille n'est généralement que quelques centaines d'octets. Par contre, leur dégâts peuvent être considérables. De plus, un fichier BAT est compatible quelque soit la version du système d'exploitation de Microsoft .
Les Flooders
Ceux-ci n'ont qu'un seul but : inonder une cible (un site web par exemple) afin de l'empêcher de fonctionner. Partie intégrante des Denis de Service Distribués (DDOS), ces programmes passent souvent par une phase de contamination (installation sur le plus de machines possibles) avant la phase d'attaque proprement dite.
Ma Conclusion :
Après avoir vue toutes ces définitions on peut ce dire que tout cela est bien compliqué, oui, effectivement, Je conseillerais un bon Antivirus comme en gratuit Avast et payant Kaspersky et en pare feu, pourquoi ne pas rester Windows
Malwarebytes en complément d'analyse et Wot sur votre navigateur, et bien sans avoir plus, votre système restera protégé et rapide.
Ha! Oui, j'oublie, éviter les sites alléchants, rester que sur les sites officiels connus et gouvernementaux.
Enfin, au vue de la complexité des choses votre meilleur garde fou ou joker ou protection !! c'est vous
Certaines définitions que vous avez lu, ont été répertoriée sur certains sites, n'on pas par paresse mais leur rédaction est très bien faite. Au fur et à mesure du temps, elles seront soient refaites ou remplacés. Dans la définition du Malware, il vous est possible en cliquant par exemple sur Dialer de vous rendre sur Wikipédia pour en voir une autre définition ou sur http://www.viruslist.com/fr/index.html.
votre commentaire