Malwares

Virus, trojans, rootkits

Pr. K. Chougdali, chougdali@gmail.com, AU 2021-2022

Définition
 Malware= Malicious Software ou logiciel malveillant est un logiciel qui compromet le
fonctionnement normal d’un système

 Les logiciels malveillants peuvent être classés en plusieurs catégories, en fonction de

plusieurs critères tels que le mode de propagation et de la dissimulation.
 propagation
 Virus: pour se propager il nécessite une intervention humaine (par exemple, pièce jointe
ouverte)
 Vers: la propagation est automatique sans intervention humaine
 dissimulation
 Rootkit: modifie le système d'exploitation pour cacher son existence.
 Trojan: fournit des fonctionnalités souhaitables mais cache d’autres opérations malveillantes.
Classification
Malicious Software
(Malware)

Necessite un Autonome,
programme hôte

Logic Trojan
Viruses Worms rootkits
Bombs Horses

Ne se réplique pas Se réplique

Types de Malware
 Il existe plusieurs formes de Malware:
 Bombe logique
 Trojan (cheval de Troie)
 Porte dérobée( Back Door)
 RootKit
 Virus
 Ver (Worm )
 Spyware / Adware
 Bombe logique
 Une bombe logique est un programme qui exécute une action
malveillante à la suite d'un état logique déterminé.
 Par exemple une bombe logique plante un système ou un
programme à une certaine date.
Porte dérobée
 Une porte dérobée (Backdoor), est une fonction cachée ou une
commande dans un programme qui permet à un utilisateur
d'effectuer des actions qu'il ne serait normalement pas autorisés
à le faire.
 En général la Backdoor ouvre, sur les machines compromises, un
port TCP en écoute, le pirate (ou n'importe qui) peut avoir une
connexion shell à la machine sans fournir de login / mot de
passe.
 Cheval de Troie (Trojan)
 Un programme indépendant qui paraît avoir une fonction utile et qui cache
un programme malveillant. Quand l’utilisateur exécute la fonction utile, le
programme malveillant s’exécute simultanément.
 Caractéristique: ne se réplique pas
 Buts: vol de mot de passe en installant un keylogger, vol d’identité bancaire
(Bankers), contrôle de la machine, installe un serveur de fichier, etc…
 Ex: Sub7, BO, un faux logiciel , une fausse page de connexion qui vole les
mots de passe.
Cheval de Troie
 Chevaux de Troie présentent actuellement le plus grand potentiel d'infection.
 Souvent exploitent les vulnérabilités des navigateurs Web ou du social engineering.
Cheval de Troie
 Les Trojans sont de plus en plus sophistiqués
 Exemple: le trojan ‘W32.Peskyspy’ permet d’intercepter les communications
Skype
Ghost RAT
Virus informatiques
Définition
 Un virus informatique est un programme qui s’auto-reproduit.
 Le virus se propage en infectant d'autres programmes
o Crée automatiquement des copies de lui-même, mais pour se propager, un être humain
doit exécuter le programme infecté.
o Les programmes malveillants qui s’auto-propagent sont généralement appelés des
vers(worms).
Virus simple
 En général, ce type de virus ajoute son code à la fin du
programme infecté.
 Lors de l’exécution d’un fichier infecté, le virus s’exécute en
premier, pour infecter de nouveaux fichiers, puis rend la main au
fichier hôte qui s’exécute normalement.
 Ce type de virus est complètement invisible à l’utilisateur dans la
majorité des cas.
Exemple de virus
Fiche d'identité : Kournikova Virus

 Nom :VBS/KALAMAR.A
 Mode d'infection : résident en mémoire
 Moyen de transmission : Email, se propage moyennant Microsoft Outlook
 Plate-forme:Windows
 Détails : Le virus se propage à travers l'e-mail, il envoie une copie de lui-même

Pr. K. Chougdali, ENSA- Kénitra. AU 2012-2013

à toutes les adresses qui figurent dans le carnet d'adresses de Microsoft
Outlook.
 sujet : Here you have, ;o)
 contenu: Hi: Check This!
 pièce jointe : AnnaKournikova.jpg.vbs
Anti-virus
 C’est un logiciel qui recherche les virus connus.
 Aussi connu comme un "anti-virus".
 Comme de nouveaux virus sont découverts par le fournisseur d'antivirus, leurs
signatures binaires sont ajoutés à une base de signatures qui sont téléchargées
périodiquement par le programme antivirus de l'utilisateur via Internet.
Anti-virus
 Antivirus fonctionnent généralement de deux façons:
 Ils analyser les fichiers contre tous les virus connus, chaque fois qu'un fichier est
ouvert.
 Ils calculent les signatures de chaque fichier et les mettre dans une base de
données. Quand un fichier va être ouvert à la signature est comparée à celle de la
base de données. Si la vérification est réussie, le fichier est exécuté sinon le fichier
a probablement été corrompu par un virus.
La mise à jour des antivirus
 Un AV non mis à jour n’est pas efficace

 La mise à jour ne doit pas être laissée à l’initiative de l’utilisateur

 Il existe des systèmes de mise-à-jour centralisée

 Tous les antivirus clients sont connectés au serveur d’antivirus

 Le serveur peut effectuer toute opération jugée nécessaire sur le

client (Même l’installation automatique)

 Exemples: Kaspersky security center de Kaspersky labs.

Officescan de Trend Micro,

 Un antivirus peut être installé sur un serveur

Vers (Worms)
Processus de propagation d’un ver
 Le ver cherche une nouvelle
cible
 Puis scanne des @IP
aléatoirement
 Attaque d’autres cibles
 Soit en exploitant des
vulnérabilités
 Ou bien en piegeant les
utilisateurs à exécuter son
code – via un Spam

 Le PC nouvellemnt infecté
refait les mêmes étapes
pour infecter d’autres
cibles
Méthodes de propagations
 Scanning worms
 Le ver scan des addresses aléatoires pour chercher les victimes
 Les scans coordonnés
 Différentes instances du ver coordonnent pour scanner différentes addresses.
 Ver Flash
 Rassemble au préalable une liste d’ordinateurs vulnérables , puis les infectent
 Ver utilisant un Meta-serveur
 Cherche dans un serveur la liste des cibles à infecter
 Ver topologique
 Utilise les informations récuperées à partir des ordinateurs infectés (ex: les logs des serveurs
Web, liste des addresses mail d’outlook ou MSN,…)
Rootkits
Rootkits
 Les Malwares, tels que les virus ou logiciels espions, veulent être difficiles à
détecter et à enlever.
 Les rootkits sont une technologie qui évolue rapidement pour atteindre ces
objectifs de furtivité.
 Le premier «rootkit» est apparu sur SunOS en 1994.
 Remplacement des services de base du système d’exploitation unix (ls, ps, etc)
pour cacher des processus malveillants.
Rootkits
 Root# ls
Fichier1
Fichier2
Malware

 Root#,/rootkit
Root#ls
Fichier1
fichier2
Rootkits: objectifs
1. Assurer la furtivité afin de dissimuler à l’utilisateur :
 Fichiers et dossiers
 Processus & connexions TCP/IP

2. Ces méthodes sont utilisées pour masquer l'activité dans le réseau, les clés de
registre, différents processus c'est-à-dire tous les éléments qui permettent à
l'utilisateur, dans une certaine mesure, d'identifier un programme malveillant sur
son ordinateur
3. Héberger d’autres malwares
Trojan / keylogger / backdoor / etc.