Evolution des virus informatiques

 

On peut comparer ci-dessous la complexification entre un virus informatique actuel (Bagle à gauche) et le premier virus informatique de l'histoire (Brain.A à droite). Les cubes 3D représentent les fonctions appelées par le virus. Celui qui se trouve sur la partie supérieure (tout en haut) est la fonction "principale" qui représente le début de son activation. Le premier anneau contient toutes les fonctions que la fonction "principale" appelle puis la seconde toutes les fonctions appelées par le premier anneau, et ainsi de suite... Toutes les lignes de connexion représentent les appels de fonction de l'infection informatique. Les cubes rouges appartiennent au code du virus lui-même alors que les bleus sont les appels API de Windows montrant ainsi que les infections utilisent des routines comprises dans Windows pour infecter les ordinateurs. Afin d'échapper à la détection des antivirus, les infections informatiques se complexifient.

 

 

 Animation 3D et image 2D laboratoire F-Secure

 

 

Définitions des différents virus informatiques

 

Définition ADWARE : Un adware est une inefction informatique sous destinée à afficher de la publicité lors de navigation Internet. Un adware s'active à l’insu de l’Internaute lorsque celui-ci installe logiciel de type Peer to Peer ou logiciel gratuit proposant par exemple des émoticons pour MSN. Cette infection déclenche un affichage publicitaire lorsque certains mots sont présents dans le contenu des sites visités. L'utilisation des adwares est à la limite du légal car cela vous est signalé à travers un texte fastidieux à lire lors de l'installation clôturé par un "J'accepte les termes du contrat" que vous devez cocher. Certains adwares sont très tenaces car lorsque vous désinstallez le logiciel ayant introduit l'adware, ce dernier reste sur votre ordinateur et continue d’afficher des publicités. Les adwares ralentissent les ordinateurs et provoquent des plantages.

 

 

Définition BACKDOOR : Un backdoor (ou porte dérobée en français) peut être introduit par un pirate informatique. La personne mal attentionnée utilisant le backdoor peut surveiller les activités effectuées sur l’ordinateur ou prendre le contrôle de ce dernier. Selon l'étendue des droits que le système d'exploitation donne au logiciel contenant le backdoor, le contrôle peut s'étendre à l'ensemble des opérations de l'ordinateur. La généralisation de la mise en réseau des ordinateurs rend les backdoor nettement plus utiles que du temps où un accès physique à l'ordinateur était la règle. Ces backdoor peuvent être exploités pour espionner votre activité, capturer des mots de passe, numéros de carte bancaire, ou prendre le contrôle de l'ordinateur à distance.

 

Définition BHO : Un BHO (Browser Helper Object) non nuisible permet d'ajouter des fonctionnalités aux navigateurs Internet comme la recherche avancée ou les anti-popup. Il convient donc de distinguer les BHO non nuisibles qui permettent d'apporter des fonctionnalités à l’utilisateur comme la "barre d'outil" Google, des BHO nuisibles effectuants des opérations frauduleuses. Ces derniers qui ajoutent des fonctions nuisibles d'espionnage ou de piratage comme la modification des pages de résultats. Les BHO nuisibles, n'intègrent volontairement aucun moyen de désinstallation. Les BHO sont exécutés en même temps que les navigateurs Internet et permettent alors de récupérer et modifier les informations des pages Internet affichées. Certains BHO sont spécialisés dans le phishing afin de vous rediriger sur des fausses pages bancaires. Il est intéressant de noter que de plus en plus de BHO travaillent avec des trojan afin d'élargir le spectre d'attaque.

 

 

Définition BOTNET : Un botnet est un regroupement d'ordinateurs infectés servant à attaquer certains sites, envoyer du Spam ou encore infecter d'autres ordinateurs. Les chiffres montrent que 77% des Spam seraient d'origine botnet. Les ordinateurs infectés faisant donc partie d'un botnet sont appelés ordinateurs zombies. Chaque nouvel ordinateur infecté augmente la taille du botnet. Si vous avez déjà vu votre antivirus vous informer qu'un ordinateur tentait de vous infecter via Internet, il est tout à fait probable qu'un botnet en soit à l'origine. Le rôle des botnet est large et lucratif pour les pirates informatiques. Leur rayon d'action peut aller de la simple contamination virale des autres ordinateurs aux attaques plus sophistiquées contre certains géants de l'industrie comme Microsoft ou Yahoo. Certains botnet ont été conçus afin de perturber le réseau Internet mondial en infectant un maximum de machines dans le monde pour à un moment donné, lancer une attaque de masse via toutes les machines infectées dans le but de surcharger le réseau mondial et le rendre inutilisable. Un ordinateur zombie voit sa connexion Internet affaiblie et instable.

 

 

Définition HIJACKER : Un hijacker est un programme de détournement ou une modification de des paramétrages de votre navigateur Internet. Le changement du comportement du navigateur Internet induit le plus souvent a modification de la page d'accueil et des préférences du navigateur. Il existe également des search hijacker qui redirigent les demandes de connexions sur certains sites pirates ou frauduleux dédiés à la collecte d'informations. Il existe également des homepage hijacker qui sont uniquement spécialisés dans la modification de la page d'accueil du navigateur et empêchent la valeur par défaut d'être modifiée par l’utilisateur. Beaucoup des spywares installent des hijacker car chaque connexion sur la page d’accueil pirate incrémente la valeur des visiteurs et indique ainsi aux pirates le nombre d’ordinateurs infectés.

 

 

Définition LSP : Un LSP (Layered Service Provider) installe un driver réseau qui permet d'espionner toutes les données qui entrent et qui sortent de l'ordinateur lors de connexions réseaux. Les LSP nuisibles ont pour mission de récolter les données échangées entre votre ordinateur et un site Internet distant. Les spywares sont en mesure d'utiliser des LSP pour voler des informations sensibles. Un LSP est donc tout simplement un sniffer (utilitaire qui permet de récolter la trame réseau et donc son contenu) qui accède, enregistre et transmet à des tiers toutes les données échangées comme les mots de passe email, les informations envoyées par Internet, les mots de passe à différents services comme les identifiants bancaires ainsi qye toutes les informations réceptionnée par l'ordinateur. Un LSP ne perturbe pas le fonctionnement d'un ordinateur, ce qui en fait une infection efficace, très discrète et silencieuse.

 

 

Définition PHISHING : Un phishing (en français hameçonnage) n'est pas une infection mais une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès des internautes. La technique du phishing est une technique d'ingénierie sociale. C'est-à-dire consistant à exploiter non pas une faille informatique mais une faille humaine en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce. Le mail envoyé par ces pirates invite l'internaute à se connecter en ligne par le biais d'un lien hypertexte prétextant de mettre à jour des informations les concernant. La redirection se fait alors dans le formulaire d'une page web factice, copie conforme du site original. Dans la mesure où les adresses électroniques sont collectées au hasard sur Internet, le phishing a généralement peu de sens puisque l'internaute n'est forcément client de la banque de laquelle le courrier semble provenir. Mais sur le nombre massif de messages envoyés il arrive forcement que des destinataires soient client de la banque ou du service en question et tombent dans le piège du phishing. Grâce à aux données volées les pirates sont capables de transférer directement l'argent sur un autre compte ou bien d'obtenir ultérieurement les données nécessaires en utilisant intelligemment les données personnelles collectées.

 

 

Définition ROOTKIT : Un rootkit est capable d'intercepter les fonctions de Windows pour afficher ou cacher ce qu'il désire. Le rootkit est sans doute le plus dangereux et le plus méconnu du grand public. Existant depuis le milieu des années 1990, le rootkit vient du milieu militaire. Certains rootkit ont notamment été employés lors de la première guerre du golf par l'armée américaine afin de percer les défenses informatiques de l'armée irakienne. De nos jours, le rootkit est une infection très présente. La force du rootkit est de rendre invisible ses processus malveillants ainsi que ses fichiers et même les ports réseau qu'il utilise. Il devient alors impossible aux utilisateurs ou à certains antivirus de les détecter. Une fois installé, le rootkit peut déclencher ses actions néfastes sans alerter l'antivirus. Les infections utilisent de plus en plus la technologie rootkit afin de rester invisibles et indétectables. Les bootkits sont une variante des rootkit. Les bootkit se chargent depuis le secteur de démarrage et restent uniquement en mémoire RAM, ne laissant aucune trace de fichier sur le disque dur. De nouveaux rootkits, appelés rootkit de virtualisation permettent d'enfermer le système d'exploitation dans un environnement virtuel au démarrage. Les antivirus chargés par le système d'exploitation ne peuvent donc plus accéder au coeur de l'infection et la détecter correctement. Le premier rootkit utilisant la virtualisation se nomme Blue Pill et était destiné à montrer les faiblesses de sécurité en environnement Windows Vista. Seuls certains outils spécialisés permettent de détecter la présence d'un rootkit virtuel. Son éradication est réservée aux experts en désinfection. En général, les rootkit ralentissent les ordinateurs mais ne perturbent pas leur fonctionnement afin de ne pas alerter les utilisateurs. Le rootkit est l’infection la plus dangereuse et la plus furtive existante.

 

 

Définition SPAM : Un spam (courrier indésirable en français) n'est pas un malware mais un email indésirable qui est souvent étroitement lié aux infections informatiques. Pour que vous receviez un spam, il faut que des pirates connaissent votre adresse email. Pour cela certaines infections informatiques collectent votre adresse email et celles de vos contacts afin d'augmenter les bases de données de spam. Vous comprendrez alors qu'il suffit d'être infecté ou d'avoir un proche ayant un ordinateur infecté pour recevoir du spam. Envoyer du spam est lucratif car les spammeurs sont payés au mail reçu et non au mail envoyé. Alors comment font-ils pour savoir si vous l'avez reçu ? Une réponse à un spam ou un clic dans un lien du mail valide votre adresse. Ce lien comporte un numéro unique associé à votre email. Les adresses validées seront encore plus victimes de spam que les utilisateurs ne répondant jamais aux spam. Il faut distinguer le spam commercial que vous acceptez de recevoir appelé opt-in ou opt-out, du spam infectieux pour lequel le spammeur a obtenu votre adresse email grâce à une infection informatique.

 

 

Définition SPYWARE : Un spyware n'est pas un virus (vous ne pouvez pas infecter d’autres ordinateurs via le vôtre), mais les effets du spyware sont souvent extrêmement dommageables pour le bon fonctionnement de vos ordinateurs et la protection de tout ce qui touche à votre vie privée. Les spywares peuvent s’installer sur votre ordinateur simplement en visitant certains sites Web. Un message contextuel peut vous inviter à télécharger un logiciel utilitaire dont vous pouvez avoir besoin ou tout simplement s’installer automatiquement sans vote accord. Le spyware suit à la trace vos visites sur les sites Web et en fait un compte-rendu destiné à des annonceurs publicitaires sans scrupules. Le spyware utilisent la capacité mémoire des ordinateurs et peut ralentir ces derniers ou les arrêter brutalement. Les spywares sont en grande partie responsable des ordinateurs instables et des navigations Internet lentes.

 

 

Définition TROJAN : Un trojan (cheval de Troie en français) se fait passer pour un logiciel légitime, mais est en fait un programme qui exécute des fonctions cachées et néfastes. Les chevaux de Troie sont très présents dans les cracks et les logiciels illégaux. Les trojan ne peuvent pas se propager aussi rapidement que les virus car par définition, ils ne savent pas se reproduire atomatiquement. En règle générale, les trojan espionnent les ordinateurs infectés et permettent des actions sur ces derniers. La situation se complique quand le trojan est "fait maison" par un pirate informatique et n'est donc pas répertorié dans les bases antivirus. Dans ce cas, il passe inaperçu. Seules des applications de surveillance comportementale correctement administrées peuvent débusquer de tels trojan. Ce type de trojan est utilisé à des fins diverses comme l'espionnage de postes informatiques dans un but ciblé ou encore à des fins d'espionnages industriels. On note une augmentation constante des trojan sur les ordinateurs de sparticuliers en raison de leur capacité à remonter des informations sensibles et à manipuler les ordinateurs.

 

 

Définition VIRUS : Les virus se divisent en trois familles. Un Virus Exécutable est un programme qui se répand à travers les ordinateurs en créant une copie de son code dans d'autres fichiers exécutables (un fichier exécutable porte en général l'extension .EXE). Le virus exécutable sait se répliquer tout seul et sa vitesse de propagation est très rapide. Il faut indiquer qu'un virus exécutable ne peut pas dégrader du matériel informatique. Certains virus exécutables peuvent néanmoins effacer le bios de votre ordinateur et rendre son démarrage impossible. Pour infecter votre ordinateur, un virus exécutable doit au préalable être exécuté par un double clic sur un fichier contenant l'infection. Une fois activé, le virus exécutable va infecter tous les autres fichiers exécutables présents sur votre ordinateur. Un Virus Macro s'intègre dans des documents Word ou Excel. Les virus macro ne sont pas très évolués. Une macro étant simplement du code permettant à un document d'effectuer des actions sur l'ordinateur où il est ouvert. Les virus macro utilisent cette fonction pour exécuter des actions néfastes sur votre disque dur. Les sécurités actuelles concernant les suites de Microsoft Office désactivent par défaut les macros. L'infection par un virus macro est donc faible. Un Virus de Boot est un virus qui a la particularité de se loger dans le secteur de démarrage du disque dur ou dans les auto-start des clés USB. Les virus de boot sont en général difficiles à neutraliser par les antivirus. La force des virus de boot est de pouvoir se charger sur le système d'exploitation avant le chargement des antivirus. Un virus de boot peut être très tenace et demander des outils spécifiques pour arriver à le neutraliser et le supprimer. Une mauvaise désinfection d'un virus de boot peut empêcher un ordinateur de démarrer.

 

 

Définition WORM : Un worm (ver en français) est un cousin proche du virus de par son fonctionnement. Il a la particularité et la faculté d'utiliser le réseau pour se propager automatiquement plus rapidement. Contrairement aux virus d'exécutables ou de boot, qui se dissimulent dans des fichiers ou dans le code contenu dans le secteur de démarrage du disque dur, les worms se copient automatiquement d’ordinateurs à ordinateurs par le réseau. La méthode la plus habituelle de propagation du worm consiste à s'envoyer automatiquement par email, messagerie instantanée. Un worm se duplique aussi par le réseau local en cassant les mots de passe des partages réseau. Les worms peuvent télécharger et installer d'autres infections comme des keylogger, backdoor ou encore rootkit. Un réseau infecté par un worm peut compromettre toute l’activité d'une entreprise et ses échanges. La désinfection doit suivre un protocole bien particulier de mise en quarantaine des postes et une vérification poussée est nécessaire afin de s’assurer qu’aucun ordinateur ne reste infecté risquant d’infecter de nouveau tous les postes et de réduire à néant le travail de désinfection.