Vous êtes sur la page 1sur 28

Virus

Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on
l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé. La
définition d'un virus pourrait être la suivante :
« Tout programme d'ordinateur capable d'infecter un autre programme
d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se
reproduire. »

Le véritable nom donné aux virus est CPA soit Code Auto-Propageable, mais par analogie avec le
domaine médical, le nom de "virus" leur a été donné.
Les virus résidents (appelés TSR en anglais pour Terminate and stay resident) se chargent dans la
mémoire vive de l'ordinateur afin d'infecter les fichiers exécutables lancés par l'utilisateur. Les virus
non résidants infectent les programmes présents sur le disque dur dès leur exécution.
Le champ d'application des virus va de la simple balle de ping-pong qui traverse l'écran au virus
destructeur de données, ce dernier étant la forme de virus la plus dangereuse. Ainsi, étant donné
qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variées, les virus ne sont
pas classés selon leurs dégâts mais selon leur mode de propagation et d'infection.
On distingue ainsi différents types de virus :
• Les vers sont des virus capables de se propager à travers un réseau
• Les chevaux de Troie (troyens) sont des virus permettant de créer une faille dans un système
(généralement pour permettre à son concepteur de s'introduire dans le système infecté afin
d'en prendre le contrôle)
• Les bombes logiques sont des virus capables de se déclencher suite à un événement
particulier (date système, activation distante, ...)
Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax),
c'est-à-dire des annonces reçues par mail (par exemple l'annonce de l'apparition d'un nouveau virus
destructeur ou bien la possibilité de gagner un téléphone portable gratuitement) accompagnées
d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but
l'engorgement des réseaux ainsi que la désinformation.

Antivirus
Un antivirus est un programme capable de détecter la présence de virus sur un ordinateur et, dans
la mesure du possible, de désinfecter ce dernier. On parle ainsi d'éradication de virus pour désigner
la procédure de nettoyage de l'ordinateur.
Il existe plusieurs méthodes d'éradication :
• La suppression du code correspondant au virus dans le fichier infecté ;
• La suppression du fichier infecté ;
• La mise en quarantaine du fichier infecté, consistant à le déplacer dans un emplacement où il
ne pourra pas être exécuté.

Détection des virus


Les virus se reproduisent en infectant des « applications hôtes », c'est-à-dire en copiant une portion
de code exécutable au sein d'un programme existant. Or, afin de ne pas avoir un fonctionnement
chaotique, les virus sont programmés pour ne pas infecter plusieurs fois un même fichier. Ils
intègrent ainsi dans l'application infectée une suite d'octets leur permettant de vérifier si le
programme a préalablement été infecté : il s'agit de la signature virale.
Les antivirus s'appuient ainsi sur cette signature propre à chaque virus pour les détecter. Il s'agit de
la méthode de recherche de signature (scanning), la plus ancienne méthode utilisée par les
antivirus.
Cette méthode n'est fiable que si l'antivirus possède une base virale à jour, c'est-à-dire comportant
les signatures de tous les virus connus. Toutefois cette méthode ne permet pas la détection des virus
n'ayant pas encore été répertoriés par les éditeurs d'antivirus. De plus, les programmeurs de virus les
ont désormais dotés de capacités de camouflage, de manière à rendre leur signature difficile à
détecter, voire indétectable : il s'agit de "virus polymorphes".
Certains antivirus utilisent un contrôleur d'intégrité pour vérifier si les fichiers ont été modifiés.
Ainsi le contrôleur d'intégrité construit une base de données contenant des informations sur les
fichiers exécutables du système (date de modification, taille et éventuellement une somme de
contrôle). Ainsi, lorsqu'un fichier exécutable change de caractéristiques, l'antivirus prévient
l'utilisateur de la machine.
La méthode heuristique consiste à analyser le comportement des applications afin de détecter une
activité proche de celle d'un virus connu. Ce type d'antivirus peut ainsi détecter des virus même
lorsque la base antivirale n'a pas été mise à jour. En contrepartie, ils sont susceptibles de déclencher
de fausses alertes.

Types de virus
Les virus mutants
En réalité, la plupart des virus sont des clones, ou plus exactement des «virus mutants», c'est-à-
dire des virus ayant été réécrits par d'autres utilisateurs afin d'en modifier leur comportement ou leur
signature.
Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même virus le rend d'autant plus
difficile à repérer dans la mesure où les éditeurs d'antivirus doivent ajouter ces nouvelles signatures
à leurs bases de données.

Les virus polymorphes


Dans la mesure où les antivirus détectent notamment les virus grâce à leur signature (la succession
de bits qui les identifie), certains créateurs de virus ont pensé à leur donner la possibilité de modifier
automatiquement leur apparence, tel un caméléon, en dotant les virus de fonction de chiffrement et
de déchiffrement de leur signature, de façon à ce que seuls ces virus soient capables de reconnaître
leur propre signature. Ce type de virus est appelé «virus polymorphe» (mot provenant du grec
signifiant «qui peut prendre plusieurs formes»).

Les rétrovirus
On appelle « rétrovirus » ou « virus flibustier » (en anglais bounty hunter) un virus ayant la
capacité de modifier les signatures des antivirus afin de les rendre inopérants.

Les virus de secteur d'amorçage


On appelle « virus de secteur d'amorçage » (ou virus de boot), un virus capable d'infecter le
secteur de démarrage d'un disque dur (MBR, soit master boot record), c'est-à-dire un secteur du
disque copié dans la mémoire au démarrage de l'ordinateur, puis exécuté afin d'amorcer le
démarrage du système d'exploitation.

Les virus trans-applicatifs (virus macros)


Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de
script commun pouvant être inséré dans la plupart des documents pouvant contenir des macros, il
s'agit de VBScript, un sous-ensemble de Visual Basic. Ces virus arrivent actuellement à infecter les
macros des documents Microsoft Office, c'est-à-dire qu'un tel virus peut être situé à l'intérieur d'un
banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui
permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système
d'exploitation (généralement Windows).
Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc être imaginables
sur de nombreuses autres applications supportant le VBScript.
Le début du troisième millénaire a été marqué par l'apparition à grande fréquence de scripts Visual
Basic diffusés par mail en fichier attaché (repérables grâce à leur extension .VBS) avec un titre de
mail poussant à ouvrir le cadeau empoisonné.
Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accéder à
l'ensemble du carnet d'adresse et de s'autodiffuser par le réseau. Ce type de virus est appelé ver (ou
worm en anglais).

Qu'est-ce qu'un hoax ?


On appelle hoax (en français canular) un courrier électronique propageant une fausse information
et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues.
Ainsi, de plus en plus de personnes font suivre (anglicisé en forwardent) des informations reçues
par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple :
• provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes
Les conséquences de ces canulars sont multiples :
• L'engorgement des réseaux en provoquant une masse de données superflues circulant dans
les infrastructures réseaux ;
• Une désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux
concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) ;
• L'encombrement des boîtes aux lettres électroniques déjà chargées ;
• La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relayent ;
• La dégradation de l'image d'une personne ou bien d'une entreprise ;
• L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de ne
plus croire aux vraies.
Ainsi, il est essentiel de suivre certains principes avant de faire circuler une information sur
Internet.

Comment lutter contre la désinformation ?


Afin de lutter efficacement contre la propagation de fausses informations par courrier électronique,
il suffit de retenir un seul concept :
Toute information reçue par courriel non accompagnée d'un lien hypertexte vers un site
précisant sa véracité doit être considérée comme non valable !
Ainsi tout courrier contenant une information non accompagnée d'un pointeur vers un site
d'information ne doit pas être transmis à d'autres personnes.
Lorsque vous transmettez une information à des destinataires, cherchez un site prouvant votre
propos.

Comment vérifier s'il s'agit d'un canular ?


Lorsque vous recevez un courriel insistant sur le fait qu'il est essentiel de propager l'information (et
ne contenant pas de lien prouvant son intégrité), vous pouvez vérifier sur le site hoaxbuster (site en
français) s'il s'agit effectivement d'un hoax (canular).
Si l'information que vous avez reçue ne s'y trouve pas, recherchez l'information sur les principaux
sites d'actualités ou bien par l'intermédiaire d'un moteur de recherche.

Les vers
Un ver informatique (en anglais worm) est un programme qui peut s'auto-reproduire et se déplacer
à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support
physique ou logique (disque dur, programme hôte, fichier, etc.) pour se propager; un ver est donc
un virus réseau.

Le fonctionnement d'un ver dans les années 80


La plus célèbre anecdote à propos des vers date de 1988. Un étudiant (Robert T. Morris, de Cornell
University) avait fabriqué un programme capable de se propager sur un réseau, il le lança et, 8
heures après l'avoir laché, celui-ci avait déjà infecté plusieurs milliers d'ordinateurs. C'est ainsi que
de nombreux ordinateurs sont tombés en pannes en quelques heures car le « ver » (car c'est bien
d'un ver dont il s'agissait) se reproduisait trop vite pour qu'il puisse être effacé sur le réseau. De
plus, tous ces vers ont créé une saturation au niveau de la bande passante, ce qui a obligé la NSA à
arrêter les connexions pendant une journée.
Voici la manière dont le ver de Morris se propageait sur le réseau :
• Le ver s'introduisait sur une machine de type UNIX
• il dressait une liste des machines connectées à celle-ci
• il forçait les mots de passe à partir d'une liste de mots
• il se faisait passer pour un utilisateur auprès des autres machines
• il créait un petit programme sur la machine pour pouvoir se reproduire
• il se dissimulait sur la machine infectée
• et ainsi de suite

Les vers actuels


Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client de
messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de récupérer
l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies
d'eux-même à tous ces destinataires.
Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers exécutables
envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur le fichier
attaché.
Comment se protéger des vers ?
Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas ouvrir "à
l'aveugle" les fichiers qui vous sont envoyés en fichier attachés.
Ainsi, tous les fichiers exécutables ou interprétables par le système d'exploitation peuvent
potentiellement infecter votre ordinateur. Les fichiers comportant notamment les extensions
suivantes sont potentiellement susceptible d'être infectés :
exe, com, bat, pif, vbs, scr, doc, xls, msi, eml

Sous Windows, il est conseillé de désactiver la fonction "masquer


les extensions", car cette fonction peut tromper l'utilisateur sur
la véritable extension d'un fichier. Ainsi un fichier dont
l'extension est .jpg.vbs apparaîtra comme un fichier d'extension
.jpg !
Ainsi, les fichiers comportant les extensions suivantes ne sont pas interprétés par le système et
possèdent donc un risque d'infection minime :
txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm

Il est courant d'entendre dire que les fichiers GIF ou JPG peuvent
contenir des virus.
En effet, tous les fichiers peuvent contenir un morceau de code
informatique véhiculant un virus; pour autant le système devra
préalablement avoir été modifié par un autre virus pour être
capable d'interpréter le code contenu dans ces fichiers !
Pour tous les fichiers dont l'extension peut supposer que le fichier soit infecté (ou pour les
extensions que vous ne connaissez pas) n'hésitez pas à installer un antivirus et à scanner
systématiquement le fichier attaché avant de l'ouvrir.
Voici une liste plus complète (non exhaustive) des extensions des fichiers susceptibles d'être
infectés par un virus :
Extensions
386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA,
CLASS, CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB,
DWG, EML, EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE,
LNK, MDB, MHT, MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ,
OBT, OBZ, OCX, OFT, OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH,
SHB, SHS, SHTML, SHW, SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS,
VBX, VOM, VS?, VWP, VXE, VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC,
XML, XLS, XLT, ZIP

Les chevaux de Troie


On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique effectuant
des opérations malicieuses à l'insu de l'utilisateur. Le nom « Cheval de Troie » provient d'une
légende narrée dans l'Iliade (de l'écrivain Homère) à propos du siège de la ville de Troie par les
Grecs.
La légende veut que les Grecs, n'arrivant pas à pénétrer dans les fortifications de la ville, eurent
l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège.
Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la
ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui
s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir
les portes de la cité et en donner l'accès au reste de l'armée ...
Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des
commandes sournoises, et qui généralement donne un accès à l'ordinateur sur lequel il est exécuté
en ouvrant une porte dérobée (en anglais backdoor), par extension il est parfois nommé troyen par
analogie avec les habitants de la ville de Troie.
A la façon du virus, le cheval de Troie est un code (programme) nuisible placé dans un programme
sain (imaginez une fausse commande de listage des fichiers, qui détruit les fichiers au-lieu d'en
afficher la liste).
Un cheval de Troie peut par exemple
• voler des mots de passe ;
• copier des données sensibles ;
• exécuter tout autre action nuisible ;
• etc.
Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brêche volontaire dans la
sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de
l'extérieur.
Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire
permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte
dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de
derrière) ou de backorifice (terme imagé vulgaire signifiant "orifice de derrière" [...]).
Un cheval de Troie n'est pas nécessairement un virus, dans la
mesure où son but n'est pas de se reproduire pour infecter
d'autres machines. Par contre certains virus peuvent également
être des chevaux de Troie, c'est-à-dire se propager comme un virus
et ouvrir un port sur les machines infectées !
Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme (le
cheval de Troie) est voulue ou non par l'utilisateur.

Les symptômes d'une infection


Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier contaminé
contenant le cheval de Troie (voir l'article sur la protection contre les vers) et se traduit par les
symptômes suivants :
• activité anormale du modem, de la carte réseau ou du disque: des données sont chargées en
l'absence d'activité de la part de l'utilisateur ;
• des réactions curieuses de la souris ;
• des ouvertures impromptues de programmes ;
• des plantages à répétition ;

Principe du cheval de Troie


Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre
machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données
personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre
machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps
d'accèder à votre machine par le port qu'il a ouvert.
Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître
l'adresse IP. Ainsi :
• soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers
connecté par câble, etc.) auquel cas l'adresse IP peut être facilement récupérée
• soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les
connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de
déceler les adresses IP correspondant à des machines infectées.

Se protéger contre les troyens


Pour se protéger de ce genre d'intrusion, il suffit d'installer un firewall, c'est-à-dire un programme
filtrant les communications entrant et sortant de votre machine. Un firewall (littéralement pare-feu)
permet ainsi d'une part de voir les communications sortant de votre machines (donc normalement
initiées par des programmes que vous utilisez) ou bien les communications entrant. Toutefois, il
n'est pas exclu que le firewall détecte des connexions provenant de l'extérieur sans pour autant que
vous ne soyez la victime choisie d'un hacker. En effet, il peut s'agir de tests effectués par votre
fournisseur d'accès ou bien un hacker scannant au hasard une plage d'adresses IP.
Pour les systèmes de type Windows, il existe des firewalls gratuits très performant :
• ZoneAlarm
• Tiny personal firewall

En cas d'infection
Si un programme dont l'origine vous est inconnue essaye d'ouvrir une connexion, le firewall vous
demandera une confirmation pour initier la connexion. Il est essentiel de ne pas autoriser la
connexion aux programmes que vous ne connaissez pas, car il peut très bien s'agir d'un cheval de
Troie.
En cas de récidive, il peut être utile de vérifier que votre ordinateur n'est pas infecté par un troyen
en utilisant un programme permettant de les détecter et de les éliminer (appelé bouffe-troyen).
C'est le cas de The Cleaner, téléchargeable sur http://www.moosoft.com.

Liste des ports utilisés habituellement par les troyens


Les chevaux de Troie ouvrent habituellement un port de la machine infectée et attendent l'ouverture
d'une connexion sur ce port pour en donner le contrôle total à d'éventuels pirates. Voici la liste (non
exhaustive) des principaux ports utilisés par les chevaux Troie (origine : Site de Rico) :
port Troyen
Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP,
21
Larva, WebEx, WinCrash
23 TTS (Tiny Telnet Server)
Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail
25
trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31 Agent 31, Hackers Paradise, Masters Paradise
41 Deep Throat
59 DMSetup
79 FireHotcker
80 Executor, RingZero
99 Hidden port
110 ProMail trojan
113 Kazimas
119 Happy 99
121 JammerKillah
421 TCP Wrappers
456 Hackers Paradise
531 Rasmin
555 Ini-Killer, NetAdmin, Phase Zero, Stealth Spy
Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor,
666
ServeU, Shadow Phyre
911 Dark Shadow
999 Deep Throat, WinSatan
1002 Silencer, WebEx
1010 à 1015 Doly trojan
1024 NetSpy
1042 Bla
1045 Rasmin
1090 Xtreme
1170 Psyber Stream Server, Streaming Audio Trojan, voice
1234 Ultor trojan
port 1234 Ultors Trojan
port 1243 BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 VooDoo Doll
port 1269 Mavericks Matrix
port 1349
BO DLL
(UDP)
port 1492 FTP99CMP
port 1509 Psyber Streaming Server
port 1600 Shivka-Burka
port 1807 SpySender
port 1981 Shockrave
port 1999 BackDoor
port 1999 TransScout
port 2000 TransScout
port 2001 TransScout
port 2001 Trojan Cow
port 2002 TransScout
port 2003 TransScout
port 2004 TransScout
port 2005 TransScout
port 2023 Ripper
port 2115 Bugs
port 2140 Deep Throat, The Invasor
port 2155 Illusion Mailer
port 2283 HVL Rat5
port 2565 Striker
port 2583 WinCrash
port 2600 Digital RootBeer
port 2801 Phineas Phucker
port 2989
RAT
(UDP)
port 3024 WinCrash
port 3128 RingZero
port 3129 Masters Paradise
port 3150 Deep Throat, The Invasor
port 3459 Eclipse 2000
port 3700 portal of Doom
port 3791 Eclypse
port 3801
Eclypse
(UDP)
port 4092 WinCrash
port 4321 BoBo
port 4567 File Nail
port 4590 ICQTrojan
port 5000 Bubbel, Back Door Setup, Sockets de Troie
port 5001 Back Door Setup, Sockets de Troie
port 5011 One of the Last Trojans (OOTLT)
port 5031 NetMetro
port 5321 Firehotcker
port 5400 Blade Runner, Back Construction
port 5401 Blade Runner, Back Construction
port 5402 Blade Runner, Back Construction
port 5550 Xtcp
port 5512 Illusion Mailer
port 5555 ServeMe
port 5556 BO Facil
port 5557 BO Facil
port 5569 Robo-Hack
port 5742 WinCrash
port 6400 The Thing
port 6669 Vampyre
port 6670 DeepThroat
port 6771 DeepThroat
port 6776 BackDoor-G, SubSeven
port 6912 Shit Heep (not port 69123!)
port 6939 Indoctrination
port 6969 GateCrasher, Priority, IRC 3
port 6970 GateCrasher
port 7000 Remote Grab, Kazimas
port 7300 NetMonitor
port 7301 NetMonitor
port 7306 NetMonitor
port 7307 NetMonitor
port 7308 NetMonitor
port 7789 Back Door Setup, ICKiller
port 8080 RingZero
port 9400 InCommand
port 9872 portal of Doom
port 9873 portal of Doom
port 9874 portal of Doom
port 9875 portal of Doom
port 9876 Cyber Attacker
port 9878 TransScout
port 9989 iNi-Killer
port 10067
portal of Doom
(UDP)
port 10101 BrainSpy
port 10167
portal of Doom
(UDP)
port 10520 Acid Shivers
port 10607 Coma
port 11000 Senna Spy
port 11223 Progenic trojan
port 12076 Gjamer
port 12223 Hack´99 KeyLogger
port 12345 GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346 GabanBus, NetBus, X-bill
port 12361 Whack-a-mole
port 12362 Whack-a-mole
port 12631 WhackJob
port 13000 Senna Spy
port 16969 Priority
port 17300 Kuang2 The Virus
port 20000 Millennium
port 20001 Millennium
port 20034 NetBus 2 Pro
port 20203 Logged
port 21544 GirlFriend
port 22222 Prosiak
port 23456 Evil FTP, Ugly FTP, Whack Job
port 23476 Donald Dick
port 23477 Donald Dick
port 26274
Delta Source
(UDP)
port 27374 SubSeven 2.0
port 29891
The Unexplained
(UDP)
port 30029 AOL Trojan
port 30100 NetSphere
port 30101 NetSphere
port 30102 NetSphere
port 30303 Sockets de Troie
port 30999 Kuang2
port 31336 Bo Whack
port 31337 Baron Night, BO client, BO2, Bo Facil
port 31337
BackFire, Back Orifice, DeepBO
(UDP)
port 31338 NetSpy DK
port 31338
Back Orifice, DeepBO
(UDP)
port 31339 NetSpy DK
port 31666 BOWhack
port 31785 Hack´a´Tack
port 31787 Hack´a´Tack
port 31788 Hack´a´Tack
port 31789
Hack´a´Tack
(UDP)
port 31791
Hack´a´Tack
(UDP)
port 31792 Hack´a´Tack
port 33333 Prosiak
port 33911 Spirit 2001a
port 34324 BigGluck, TN
port 40412 The Spy
port 40421 Agent 40421, Masters Paradise
port 40422 Masters Paradise
port 40423 Masters Paradise
port 40426 Masters Paradise
port 47262
Delta Source
(UDP)
port 50505 Sockets de Troie
port 50766 Fore, Schwindler
port 53001 Remote Windows Shutdown
port 54320 Back Orifice 2000
port 54321 School Bus
port 54321 Back Orifice 2000
(UDP)
port 60000 Deep Throat
port 61466 Telecommando
port 65000 Devil

Les bombes logiques


Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un
moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe
quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines
(on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint
Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée
le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant
les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !

Les espiogiciels
Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations sur
l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les
envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de
profilage).
Les récoltes d'informations peuvent ainsi être :
• la traçabilité des URL des sites visités,
• le traquage des mots-clés saisis dans les moteurs de recherche,
• l'analyse des achats réalisés via internet,
• voire les informations de paiement bancaire (numéro de carte bleue / VISA)
• ou bien des informations personnelles.
Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps
des freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur
programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel
gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la
cession de données à caractère personnel.
Les spywares ne sont pas forcément illégaux car la licence d'utilisation du logiciel qu'ils
accompagnent précise que ce programme tiers va être installé ! En revanche étant donné que la
longue licence d'utilisation est rarement lue en entier par les utilisateurs, ceux-ci savent très
rarement qu'un tel logiciel effectue ce profilage dans leur dos.
Par ailleurs, outre le préjudice causé par la divulgation d'informations à caractère personnel, les
spywares peuvent également être une source de nuisances diverses :
• consommation de mémoire vive,
• utilisation d'espace disque,
• mobilisation des ressources du processeur,
• plantages d'autres applications,
• gêne ergonomique (par exemple l'ouverture d'écrans publicitaires ciblés en fonction des
données collectées).
Les types de spywares
On distingue généralement deux types de spywares :
• Les spywares internes (ou spywares internes ou spywares intégrés) comportant directement
des lignes de codes dédiées aux fonctions de collecte de données.
• Les spywares externes, programmes de collectes autonomes installés Voici une liste non
exhaustive de spywares non intégrés :
Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor,
Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext,
Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet,
Realplayer, SaveNow, Songspy, Xupiter, Web3000 et WebHancer

Se protéger
La principale difficulté avec les spywares est de les détecter. La meilleure façon de se protéger est
encore de ne pas installer de logiciels dont on n'est pas sûr à 100% de la provenance et de la fiabilité
(notamment les freewares, les sharewares et plus particulièrement les logiciels d'échange de fichiers
en peer-to-peer). Voici quelques exemples (e liste non exhaustive) de logiciels connus pour
embarquer un ou plusieurs spywares :
Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou
encore iMesh.
Qui plus est, la désinstallation de ce type de logiciels ne supprime que rarement les spywares qui
l'accompagnent. Pire, elle peut entraîner des dysfonctionnements sur d'autres applications !
Dans la pratique il est quasiment impossible de ne pas installer de logiciels. Ainsi la présence de
processus d'arrière plans suspects, de fichiers étranges ou d'entrées inquiétantes dans la base de
registre peuvent parfois trahir la présence de spywares dans le système.
Si vous ne parcourez pas la base de registre à la loupe tous les jours rassurez-vous, il existe des
logiciels, nommés anti-spywares permettant de détecter et de supprimer les fichiers, processus et
entrées de la base de registres créés par des spywares.
De plus l'installation d'un pare-feu personnel peut permettre d'une part de détecter la présence
d'espiogiciels, d'autre part de les empêcher d'accéder à Internet (donc de transmettre les
informations collectées).

Quelques anti-spywares
Parmi les anti-spywares les plus connus ou efficaces citons notamment :
• Ad-Aware de Lavasoft.de
• Spybot Search&Destroy

Plus d'information
• WinFixer
• Analyse Hijackthis
• Spy sheriff
• Spy Axe
• DSO Exploit
Les keyloggers
Un keylogger (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les
frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un
dispositif d'espionnage.
Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques
consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de
l'ordinateur !
Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des
personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail !
Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en
lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise, une école ou un
lieu public tel qu'un cybercafé).

Keyloggers : logiciel ou matériel


Les keyloggers peuvent être soit logiciels soient matériels. Dans le premier cas il s'agit d'un
processus furtif (ou bien portant un nom ressemblant fortement au nom d'un processus système),
écrivant les informations captées dans un fichier caché ! Les keyloggers peuvent également être
matériel : il s'agit alors d'un dispositif (câble ou dongle) intercalé entre la prise clavier de
l'ordinateur et le clavier.

Exemple d'un keylogger Materiel:

Se protéger des keyloggers


La meilleure façon de se protéger est la vigilance :
• N'installez pas de logiciels dont la provenance est douteuse,
• Soyez prudent lorsque vous vous connectez sur un ordinateur qui ne vous appartient pas !
S'il s'agit d'un ordinateur en accès libre, examinez rapidement la configuration, avant de
vous connecter à des sites demandant votre mot de passe, pour voir si des utilisateurs sont
passés avant vous et s'il est possible ou non pour un utilisateur lambda d'installer un logiciel.
En cas de doute ne vous connectez pas à des sites sécurisés pour lesquels un enjeu existe
(banque en ligne, ...)

Si vous en avez la possibilité, inspectez l'ordinateur à l'aide d'un anti-spyware.

Pour éviter tout risque vous pouvez utiliser un clavier visuel par exemple celui de windows:
Allez dans le menu démarrer de windows puis sur exécuter et copier ceci: %SystemRoot
%\system32\osk.exe puis cliquez sur OK

Vous avez maintenant un clavier visuel qui vous permettras de "duper" les keylogger, il suffit de
cliquer sur les touche comme un clavier.

Présentation du ver Sircam


Sircam (nom de code W32.Sircam.Worm@mm, Backdoor.SirCam ou Troj_Sircam.a) est un ver se
propageant à l'aide du courrier électronique. Il affecte particulièrement les utilisateurs de Microsoft
Outlook sous les systèmes d'exploitation Windows 95, 98, Millenium et 2000.
Les actions du ver
Le ver Sircam choisit aléatoirement un document (d'extension .gif, .jpg, .mpg, .jpeg, .mpeg, .mov,
.pdf, .png, .ps ou .zip)se trouvant dans le répertoire c:\Mes Documents\ de l'ordinateur infecté, puis
envoie automatiquement un courrier électronique dont le sujet est le nom de ce document, dont le
corps du message est un des deux messages suivants :
• En anglais

"Hi! How are you?


I send you this file in order to have your advice
See you later. Thanks"

"Hi! How are you?


I hope you can help me with this file that I send
See you later. Thanks"

"Hi! How are you?


I hope you like the file that I send to you
See you later. Thanks"

• Ou en espagnol

"Hola como estas ?


Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias."

Le ver Sircam adjoint au message une copie de lui-même dont le nom est celui du fichier récupéré
sur le disque de l'utilisateur avec la double extension .vbs.
Le ver Sircam risque en outre de supprimer l'intégralité des fichiers de votre disque dur le 16
octobre de chaque année si votre ordinateur utilise un format de date à l'européenne
(jour/mois/année).
Sircam ajoute également du texte au fichier c:\recycled\sircam.sys lors de chaque redémarrage de la
machine, ce qui risque potentiellement de saturer l'espace disponible sur le lecteur C:\.

Symptômes de l'infection
Les machines infectées possèdent sur leur disque les fichiers :
• Sirc32.exe
• Sircam.sys
• Run32.exe

Pour vérifier si vous êtes infectés, procédez à une recherche des fichiers cités ci-dessus sur
l'ensemble de vos disques durs (Démarrer / Rechercher / Fichiers ou Dossiers).
Eradiquer le ver
Pour éradiquer le ver Sircam, la meilleure méthode consiste à utiliser un antivirus récent ou bien le
kit de désinfection proposé par Symantec :
Télécharger le kit de désinfection
Il vous est également possible de procéder à une désinfection manuelle en suivant la procédure
suivante :
• Supprimer les fichiers Sirc32.exe et Sircam.sys
• Supprimer le fichier c:\windows\Runddl32.exe
• Renommer le fichier c:\windows\Run32.exe en c:\windows\Rundll32.exe
• Editer le fichier c:\autoexec.bat et supprimer la séquence suivante : @win
\recycled\sirc32.exe
• Dans la base de registre (à éditer en exécutant c:\windows\regedit.exe)
• Dans HKEY_CLASSES_ROOT/exefile/shell/open/command, modifier la chaîne de
données (en double-cliquant sur Défaut) et entrer la chaîne suivante :

"%1" %*

*
• Dans
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServic
es, supprimer la clé Driver32=C:\WINDOWS\SYSTEM\SCam32.exe
• Dans HKEY_LOCAL_MACHINE/Software, supprimer le dossier Sircam
• Redémarrer votre ordinateur

Plus d'informations sur le virus


• http://solutions.journaldunet.com/0107/010724_virus.shtml
• http://vil.nai.com/vil/dispVirus.asp?virus_k=99141
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A
• http://www.sophos.com/virusinfo/analyses/w32sircama.html

Présentation du ver Magistr


Magistr (nom de code W32/Magistr.b@MM, I-Worm.Magistr.b.poly ou PE_MAGISTR.B) est un ver
polymorphe (c'est-à-dire un ver dont la forme, ou plus exactement la signature, se modifie
continuellement) se propageant à l'aide du courrier électronique. Il s'agit d'une variante du ver
Disemboweler (Magistr.A) affectant particulièrement les utilisateurs de client de messagerie
Microsoft Outlook, Eudora ou Netscape sous les systèmes d'exploitation Windows 95, 98,
Millenium et 2000.

Les actions du ver


Le ver Magistr.B recherche les fichiers de carnet d'adresses présents sur le système (respectivement
d'extensions .WAB et .DBX/.MBX pour les clients Outlook et Eudora), afin de sélectionner les
destinataires du message.
Le sujet et le corps du message envoyé par le ver Magistr sont choisis aléatoirement en prenant un
extrait de fichier trouvé sur le disque de l'ordinateur infecté.
Le ver Magistr adjoint au message une copie de lui-même dont le nom contient une extension (ou
une double extension) du type .com, .bat, .pif, .exe ou .vbs.
Le ver Magistr risque en outre de supprimer l'intégralité des informations contenues dans :
• Le CMOS
• le BIOS
• Le disque dur

Magistr.B peut ainsi gravement endommager votre système et les informations s'y trouvant.
De plus, le ver Magistr.B est capable de désactiver le Firewal personnel ZoneAlarm à l'aide de la
commande WM_QUIT.

Symptômes de l'infection
Les machines infectées possèdent la particularité suivante :
Un déplacement du pointeur de la souris sur le bureau provoque un déplacement des icones.

Éradiquer le ver
Pour éradiquer le ver Magistr, la meilleure méthode consiste à utiliser un antivirus récent ou bien le
kit de désinfection suivant :
Télécharger l'utilitaire de désinfection.

Plus d'informations sur le vers


• http://solutions.journaldunet.com/0103/010320magistr.shtml
• http://vil.nai.com/vil/dispVirus.asp?virus_k=99199
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_MAGISTR.B
• http://www.sophos.fr/virusinfo/analyses/w32magistrb.html
• http://www.securite-internet.org/article.php?sid=2

Présentation du ver Nimda


Nimda (nom de code W32/Nimda Nimda est un jeu de mots c'est le mot Admin (administrateur)
renversé.) est un ver se propageant à l'aide du courrier électronique, mais il exploite également 4
autres modes de propagation :
• Le web
• Les répertoires partagés
• Les failles de serveur Microsoft IIS
• Les échanges de fichiers

Il affecte particulièrement les utilisateurs de Microsoft Outlook sous les systèmes d'exploitation
Windows 95, 98, Millenium, NT4 et 2000.
Les actions du ver
Le ver Nimda récupère la liste des adresses présentes dans les carnets d'adresses de Microsoft
Outlook et Eudora, ainsi que les adresses e-mails contenues dans les fichiers HTML présents sur le
disque de la machine infectée.
Puis le ver Nimda envoie à tous les destinataires un courrier dont le corps est vide, dont le sujet est
aléatoire et souvent très long et attache au courrier une pièce jointe nommée Readme.exe ou
Readme.eml (fichier encapsulant un fichier exécutable). Les virus utilisant une extension du type
.eml exploitent une faille de Microsoft Internet Explorer 5.
D'autre part le ver Nimda est capable de se propager à travers les répertoires partagés des réseaux
Microsoft Windows en infectant les fichiers exécutables s'y trouvant.
La consultation de pages Web sur des serveurs infectés par le virus Nimda peut entraîner une
infection lorsqu'un utilisateur consulte ces pages avec un navigateur Microsoft Internet Explorer 5
vulnérable.
En effet, le ver Nimda est également capable de prendre la main sur un serveur Web Microsoft IIS
(Internet Information Server) en exploitant certaines failles de sécurité.
Enfin, le ver infecte les fichiers exécutables présents sur la machine infectée, ce qui signifie qu'il est
également capable de se propager par échange de fichiers.

Symptômes de l'infection
Les postes de travail infectés par le ver Nimda possèdent sur leur disque les fichiers suivants :
• README.EXE
• README.EML
• fichiers comportant l'extension .NWS
• fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe (par exemple mepE002.tmp.exe)

Pour vérifier si vous êtes infectés, procédez à une recherche des fichiers cités ci-dessus sur
l'ensemble de vos disques durs (Démarrer / Rechercher / Fichiers ou Dossiers).

Éradiquer le Nimda
Pour éradiquer le ver Nimda, la meilleure méthode consiste tout d'abord à déconnecter la machine
infectée du réseau, puis à utiliser un antivirus récent ou bien le kit de désinfection proposé par
Symantec :
Télécharger le kit de désinfection
D'autre part, le ver se propage par l'intermédiaire d'une faille de sécurité de Microsoft Internet
Explorer, ce qui signifie que vous pouvez être contaminé par le virus en naviguant sur un site
infecté. Pour y remédier il est nécessaire de télécharger le patch (correctif logiciel) pour Microsoft
Internet Explorer 5.01 et 5.5. Ainsi, veuillez vérifier la version de votre navigateur et télécharger le
correctif si nécessaire :
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

Plus d'informations sur Nimda


• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.B
• http://www.01net.com/rdn?oid=161399&rub=3034
• http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
• http://www.sophos.com/virusinfo/analyses/w32nimdaa.html

Présentation du ver BadTrans


BadTrans (nom de code W32.BadTrans.B ou W32/Badtrans-B) est un ver se propageant à l'aide du
courrier électronique. Il exploite également un autre mode de propagation :
• Les failles de Microsoft Internet Explorer

Le ver BadTrans.B affecte particulièrement les utilisateurs de


Microsoft Outlook sous les systèmes d'exploitation Windows 95, 98,
Millenium, NT4 et 2000, dans la mesure où le virus s'active par
simple consultation du message (c'est-à-dire même si l'utilisateur
ne clique pas sur la pièce jointe).
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Les actions de Badtrans


Le ver BadTrans récupère la liste des adresses présentes dans les carnets d'adresses de l'utilisateur
infecté, ainsi que dans les pages web contenues dans les dossiers de cache Internet et dans le
répertoire Mes Documents.
Puis le ver BadTrans envoie à tous les destinataires un courrier :
• dont le corps est vide, ou comportant la phrase Take a look to the attachment.
• dont le sujet est Re: <Sujet du mail trouvé>
• dont la pièce jointe possède un nom composé de trois parties
• Première partie: un des textes suivants :
• CARD
• DOCS
• FUN
• HAMSTER NEWS_DOC
• HUMOR
• IMAGES
• ME_NUDE
• New_Napster_Site
• News_doc
• PICS
• README
• S3MSONG
• SEARCHURL
• SETUP
• Sorry_about_yesterday
• YOU_ARE_FAT!
• Seconde partie: une des extensions suivantes :
• .DOC
• .MP3
• .ZIP
• Troisième et dernière partie : une des extensions suivantes :
• .pif
• .scr

Ainsi, le message contiendra une pièce jointe du type :


• Me_Nude.MP3.scr
• News_doc.DOC.scr
• HAMSTER.DOC.pif
• PICS.doc.scr
• HUMOR.MP3.scr
• README.MP3.scr
• FUN.MP3.pif
• YOU_are_FAT!.MP3.scr
• ...

Symptômes de l'infection
Les postes de travail infectés par le ver BadTrans possèdent sur leur disque le fichier suivant :
• kdll.dll, ce dernier est un cheval de Troie capable d'enregistrer les frappes sur le clavier afin
de récupérer vos mots de passe

Pour vérifier si vous êtes infectés, procédez à une recherche des fichiers cités ci-dessus sur
l'ensemble de vos disques durs (Démarrer / Rechercher / Fichiers ou Dossiers).

Eradiquer le virus
Pour éradiquer le ver BadTrans, la meilleure méthode consiste tout d'abord à déconnecter la
machine infectée du réseau, puis à utiliser un antivirus récent.
D'autre part, le ver se propage par l'intermédiaire d'une faille de sécurité de Microsoft Outlook, ce
qui signifie que vous pouvez être contaminé par le virus sans cliquer sur la pièce jointe. Pour y
remédier il est nécessaire de télécharger le patch (correctif logiciel) pour Microsoft Outlook. Ainsi,
veuillez vérifier votre client de messagerie et télécharger le correctif si nécessaire :
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Plus d'informations sur BadTrans


• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?
VName=WORM_BADTRANS.B
• http://www.01net.com/rdn?oid=168725&rub=3034
• http://vil.nai.com/vil/virusSummary.asp?virus_k=99069
• http://www.sophos.fr/virusinfo/analyses/w32badtransb.html
• http://www.F-Secure.com/v-descs/badtrans.shtml
• http://www.computing.vnunet.com/News/1127123
Présentation du ver Klez
Apparu au début de l'année 2002, le vers Klez est désormais omniprésent sur les réseaux et le risque
qu'il représente est d'autant plus important que des nouvelles variantes du ver ne cessent d'apparaître
(Klez.e, Klez.g, Klez.h, Klez.i, Klez.k, ...). Les nouvelles versions du vers intègrent des mécanismes
de diffusion de plus en plus innovants rendant sa propagation de plus en plus aisée.
KLEZ (nom de code W32.Klez.Worm@mm) est un ver se propageant à l'aide du courrier
électronique. Il exploite également 4 autres modes de propagation :
• Le web
• Les répertoires partagés
• Les failles de serveur Microsoft IIS
• Les échanges de fichiers

Il affecte particulièrement les utilisateurs de Microsoft Outlook sous les systèmes d'exploitation
Windows 95, 98, Millenium, NT4, 2000 et XP ainsi que les utilisateurs de Microsoft Internet
Explorer.

Les actions du virus


Le ver Klez récupère la liste des adresses présentes dans les carnets d'adresses de Microsoft
Outlook, Eudora ainsi que des logiciels de messagerie instantanée (ICQ), .
Puis le ver Klez envoie à tous les destinataires un courrier à l'aide de son propre serveur SMTP.
Ainsi le ver Klez est capable de générer des courriers dont le corps est vide, dont le sujet est choisi
aléatoirement parmi une gamme d'une centaine de thèmes prédéfinis et attache au courrier une pièce
jointe exécutable contenant une variante du virus. Les virus utilisant une extension du type .eml
exploitent une faille de Microsoft Internet Explorer 5.

Le virus Klez a comme particularité d'être capable d'envoyer des


mails en se faisant passer pour un expéditeur dont l'adresse a été
trouvée sur la machine de la victime (le virus trafique le champ
from du mail envoyé).

Les variantes les plus récentes du ver embarquent même des outils leur permettant de rendre
obsolète les principaux anti-virus.
Comble du cynisme : les auteurs du ver l'ont programmé pour envoyer aux victimes un pseudo-
correctif contre lui-même dans un courrier intitulé Worm Klez.E immunity. Le mail envoi également
des faux messages d'erreur indiquant qu'un message n'a pas pu être délivré et contenant une fois de
plus une copie du ver en fichier attaché !
D'autre part le ver Klez est capable de se propager à travers les répertoires partagés des réseaux
Microsoft Windows en infectant les fichiers exécutables s'y trouvant.
La consultation de pages Web sur des serveurs infectés par le virus Klez peut entraîner une
infection lorsqu'un utilisateur consulte ces pages avec un navigateur Microsoft Internet Explorer 5
vulnérable.
En effet, le ver Klez est également capable de prendre la main sur un serveur Web Microsoft IIS
(Internet Information Server) en exploitant certaines failles de sécurité.
Enfin, comme ses confrères, le ver infecte les fichiers exécutables présents sur la machine infectée,
ce qui signifie qu'il est également capable de se propager par échange de fichiers.

Pour compléter le tableau, le ver Klez est prévu pour supprimer


des fichiers choisis aléatoirement tous les sixièmes jours (donc
le 6 du mois) des mois impairs. Petite cerise sur le gâteau : le 6
janvier et le 6 juillet le virus efface la totalité des fichiers
présents sur le disque !!

Symptômes de l'infection
Le ver Klez utilise le plus de ressources possibles sur la machine infectée. Si votre ordinateur réagit
lentement et bizarrement, la première chose à faire est donc de passer l'ensemble de vos disques au
crible avec votre antivirus, sachant que le virus est capable d'avoir modifié l'antivirus pour ne pas se
faire repérer...

Éradiquer Klez
Pour éradiquer le ver Klez, la meilleure méthode consiste tout d'abord à déconnecter la machine
infectée du réseau, puis à utiliser un antivirus récent ou bien le kit de désinfection proposé par
Symantec (en redémarrant de préférence l'ordinateur en mode sans échec) :
Télécharger le kit de désinfection
D'autre part, le ver se propage par l'intermédiaire d'une faille de sécurité de Microsoft Internet
Explorer, ce qui signifie que vous pouvez être contaminé par le virus en naviguant sur un site
infecté. Pour y remédier il est nécessaire de télécharger le patch (correctif logiciel) pour Microsoft
Internet Explorer 5.01 et 5.5. Ainsi, veuillez vérifier la version de votre navigateur et télécharger le
correctif si nécessaire :
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

Etant donné que le virus falsifie l'adresse email de l'expéditeur


(champ from), il est conseillé de ne pas répondre à l'expéditeur
du virus mais de regarder le champ Return-Path du mail et d'écrire
un message à ce dernier !

Plus d'informations sur Klez


• http://solutions.journaldunet.com/0204/020419_klez.shtml
• http://vil.nai.com/vil/content/v_99367.htm
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E
• http://www.01net.com/rdn?oid=178276
• http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.h@mm.html
• http://www.kav.ch/avpve/worms/email/klez.stm

Présentation du ver LovSan


Apparu durant l'été 2003, le ver LovSan (connu également sous les noms W32/Lovsan.worm,
W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER,
Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) est le premier ver a exploiter la faille RPC/DCOM
(Remote Procedure Call, soit en français appel de procédure distante) des systèmes Microsoft
Windows permettant à des processus distants de communiquer. En exploitant la faille grâce à un
débordement de tampon, un programme malveillant (tel que le ver LovSan) peut prendre le contrôle
de la machine vulnérable. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et
Windows Server 2003.

Les actions du ver


Le ver LovSan / Blaster est programmé de telle façon à scanner une plage d'adresses IP aléatoire à
la recherche de systèmes vulnérables à la faille RPC sur le port 135.
Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et
force la machine distante à télécharger une copie du ver dans le répertoire %WinDir%\system32 en
lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine
infectée.
Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de
se relancer automatiquement à chaque redémarrage :
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Pour compléter le tableau, LovSan/Blaster est prévu pour effectuer
une attaque sur le service WindowsUpdate de Microsoft afin de
perturber la mise à jour des machines vulnérables !!

Symptômes de l'infection
L'exploitation de la vulnérabilité RPC provoque un certain nombre de dysfonctionnements sur les
systèmes affectés, liés à la désactivation du service RPC (processus svchost.exe / rpcss.exe). Les
systèmes vulnérables présentent les symptomes suivants :
• Copier/Coller défectueux ou impossible
• Ouverture d'un lien hypertexte dans une nouvelle fenêtre impossible
• Déplacement d'icônes impossibles
• fonction recherche de fichier de windows erratique
• fermeture du port 135/TCP
• Redémarrage de Windows XP : le système est sans cesse relancé par AUTORITE NT/system
avec le(s) message(s) suivant(s) :
<pre class="code">Windows doit maintenant redémarrer car le service appel de procédure distante
(RPC) s'est terminé de façon inattendue
arrêt du système dans 60 secondes veuillez enregistrer
tous les travaux en cours cet arrêt a été initié par AUTORITE NT\SYSTEM
Windows doit maintenant demarrer

Éradiquer le ver
Pour éradiquer le ver LovSan, la meilleure méthode consiste tout d'abord à désinfecter le système à
l'aide du kit de désinfection suivant :
Télécharger le kit de désinfection

Si votre système reboote continuellement, il faut désactiver le


redémarrage automatique :
• Dans un premier temps, faîtes Démarrer / Exécuter puis entrez la commande suivante
permettant de repousser le redémarrage automatique :

shutdown -a

• Cliquez sur Poste de travail avec le bouton droit


• Cliquez sur Propriétés / Avancé / Démarrage et récupération / Paramètres
• Décochez la case "redémarrer automatiquement" !

Vous pourrez rétablir cette option lorsque votre système fonctionnera à nouveau normalement.

Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien
en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :
• Patch pour Windows 2000
• Patch pour Windows XP

D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau Microsoft
Windows, il est fortement conseillé d'installer un pare-feu personnel sur vos machines
connectées à internet et de filtrer les ports tcp/69, tcp/135 à tcp/139 et tcp/4444.

Plus d'informations sur Blaster/LovSan


• Nai
• http://www.microsoft.com/... target='_blank'>Microsoft
• Sophos
• Symantec
• Symantec - Outil de désinfection

Présentation du ver Sasser


Apparu en mai 2004, le ver Sasser (connu également sous les noms W32/Sasser.worm,
W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) est un ver
exploitant une faille du service LSASS (Local Security Authority Subsystem Service, correspondant
à l'exécutable lsass.exe) de Windows. L'apparition du premier ver exploitant la faille du service
LSASS de Windows a eu lieu à peine deux semaines après la publication de la faille et la mise à
disposition des premiers correctifs. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000,
XP et en moindre proportion Windows Server 2003.

Les actions de Sasser


Le ver Sasser est programmé de telle façon à lancer 128 processus (1024 dans le cas de la variante
SasserC) chargés de scanner une plage d'adresses IP aléatoire à la recherche de systèmes
vulnérables à la faille LSASS sur le port 445/TCP.
Le ver installe un serveur FTP sur le port 5554 afin de se rendre disponible en téléchargement aux
autres ordinateurs infectés,
Puis, lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur la machine (sur le
port TCP 9996), et force la machine distante à télécharger une copie du ver (nommée avserve.exe
ou avserve2.exe pour la variante Sasser.B) dans le répertoire de Windows.
Une fois le fichier téléchargé, il crée un fichier nommé win.log (ou win2.log pour la variante
Sasser.B) dans le répertoire c:\ afin d'enregistrer le nombre de machines qu'il réussi à infecter. Puis
il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque
redémarrage :
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe

ou
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve.exe -> C:\%WINDIR%\avserve.exe

Le ver appelle la fonction "AbortSystemShutdown" afin d'empêcher le redémarrage (ou sa


désactivation) par l'utilisateur ou par d'autres virus,

Symptômes de l'infection
L'exploitation de la vulnérabilité LSASS provoque un certain nombre de dysfonctionnements sur
les systèmes affectés, liés à l'arrêt du service LSASS (processus lsass.exe). Les systèmes
vulnérables présentent les symptômes suivants :
• Redémarrages intempestifs, le système affiche le message suivant :

Arrêt du système initié par Autorite/System


Le processus système: C:\WINDOWS\system32\Isass.exe
s'est terminé de manière innatendue avec le code d'état 128

• Trafic réseau sur les ports TCP 445, 5554 et 9996,


• arrêt brutal de 'LSASS.EXE' avec une fenêtre d'erreur affichant :

lsass.exe - application error

Éradiquer Sasser
Pour éradiquer le ver Sasser, la meilleure méthode consiste en tout premier lieu à protéger le
système en activant le pare-feu. Sous Windows XP il suffit d'aller dans
Menu Démarrer > Panneau de configuration > Connexions réseau

Cliquez ensuite avec le bouton droit sur la connexion reliée à Internet, puis cliquez sur Propriétés.
Sélectionnez l'onglet "Paramètres avancés", puis cochez la case "Protéger mon ordinateur et le
réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet, validez en cliquant sur
OK.
Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien
en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :
• Patchs correctifs pour Windows 2000/XP/2003

vous pouvez enfin désinfecter le système à l'aide du kit de désinfection suivant :


Télécharger le kit de désinfection
D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau, il est fortement
conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer
les ports tcp/445, tcp/5554 et tcp/9996.

Plus d'informations sur le ver


• Nai
• F-Secure
• Microsoft
• Sophos
• Symantec
• Symantec - Outil de désinfection
• Secuser (Sasser)
• Secuser (faille LSASS)

Qu'est-ce qu'un kit de désinfection ?


Un kit de désinfection est un petit exécutable dont le but est de nettoyer une machine infectée par un
virus particulier. Chaque kit de désinfection est donc uniquement capable d'éradiquer un type de
virus particulier voire une version particulière d'un virus.

Les utilitaires de désinfection présentés ci-dessous ne remplacent


en rien l'action d'un logiciel antivirus. En effet l'antivirus a
un rôle préventif, afin d'intercepter le virus avant l'infection
de la machine. Toutefois en cas d'infection, les kits de
désinfection en téléchargement sur ce site vous permettront de
prendre des mesures correctives pour éradiquer le virus !

Comment utiliser les utilitaires de désinfection ?


Pour éradiquer un virus présent sur votre machine, pourvu que vous sachiez quel virus a infecté
votre système, la meilleure méthode consiste tout d'abord à déconnecter la machine infectée du
réseau, puis à récupérer le kit de désinfection adhoc.
Puis il s'agit de redémarrer l'ordinateur en mode sans échec (hormis pour WindowsNT) et de lancer
l'utilitaire de désinfection.
D'autre part, certains vers se propagent par l'intermédiaire d'une faille de sécurité de Microsoft
Internet Explorer, ce qui signifie que vous pouvez être contaminé par le virus en naviguant sur un
site infecté. Pour y remédier il est nécessaire de télécharger le patch (correctif logiciel) pour
Microsoft Internet Explorer 5.01 et supérieur. Ainsi, veuillez vérifier la version de votre navigateur
et télécharger le correctif si nécessaire :
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

Télécharger les utilitaires

Kit Virus Editeur Taille Plateforme Télécharger


Symantec 159 Ko Windows Télécharger
AutoUpder
Trend Micro 36 Ko Windows Télécharger
BadTrans.A
Symantec 121 Ko Windows Télécharger
BadTrans.B
Sophos 128 Ko Windows Télécharger
Blaster/MSBlaster/Lovsan/Poza
Blaster Symantec 139 Ko Windows Télécharger
Trend Micro 36 Ko Dos/Windows Télécharger
BleBla
Inconnu 208 Ko Windows Télécharger
BuddyList
Inconnu 50 Ko DOS/Windows Télécharger
CIH
Symantec 114 Ko Windows Télécharger
CodeRed
Kazaa 137 Ko Windows Télécharger
DLder
Symantec 51 Ko Windows Télécharger
ExploreZip
Symantec 29 Ko Windows Télécharger
FunLove
Symantec 166 Ko Windows Télécharger
Gibe
TrendMicro 48 Ko Windows Télécharger
Gigger
TrendMicro 40 Ko Windows Télécharger
Gokar
Symantec 405 Ko Windows Télécharger
Goner.A
Norton Antivirus 208 Ko Windows Télécharger
Happy99
Symantec 69 Ko Windows Télécharger
HapTime.a
TrendMicro 24 Ko Windows Télécharger
Hybris
Symantec 24 Ko Windows Télécharger
I Love you
Symantec 84 Ko Windows Télécharger
I-Worm
Panda Software 391 Ko Windows Télécharger
Kak
Norton 125 Ko Windows Télécharger
Kak.B
Symantec 142 Ko Windows Télécharger
Klez / Elkern
Symantec 29 Ko Dos Télécharger
Kriz
Symantec 216 Ko Windows Télécharger
LifeStages
Symantec 228 Ko Windows Télécharger
LoveLetter
Trend Micro 19 Ko Windows Télécharger
Magistr.A
Trend Micro 24 Ko Dos Télécharger
Magistr.B
Symantec 185 Ko Dos Télécharger
Mtx
Symantec 169 Ko Windows Télécharger
MyLifeA&B
Symantec 169 Ko Windows Télécharger
MyLife C,F&E
Trend Micro 88 Ko Dos Télécharger
MyParty
Symantec 205 Ko Windows Télécharger
Navidad
Symantec 457 Ko Windows Télécharger
Nimda.A
Symantec 449 Ko Windows Télécharger
Nimda.E
Symantec 70 Ko Windows Télécharger
Potok
Microsoft 0.3Mo Windows Télécharger
Sasser
Trend Micro 96 Ko Dos Télécharger
Shoho
Symantec 74 Ko Windows Télécharger
Sircam
Symantec 172 Ko Windows Télécharger
Sobig.F
Symantec 165 Ko Windows Télécharger
Welch
Trend Micro 80 Ko Windows Télécharger
Zoher