L'EXAMEN NORMALISÉ (Collège & lycée)

Les virus informatiques

Les infections informatiques

 De nombreuses appellations existent : Virus, Hijacker,

Spyware, Adware, Rogue, Cheval de Troie, Vers, Backdoor,
Dialer, Keylogger, Worms, Rootkit, Trojan, BHO parasite,
Downloader, Etc…. Il est impératif de comprendre que ces
nombreuses appellations sont d'abord une stratégie
marketing anti-virus. Pour exemple une même infection
sera détectée par un laboratoire anti-virus comme étant un
Trojan alors qu'un autre laboratoire le détectera comme
Virus. La multiplication des termes est due essentiellement
à deux choses :
• La tentative des laboratoires anti-virus de juxtaposer sur
chaque type d'infection un nom

• La mise à jour des infections en ligne et leur changement

de comportement.
Si de nombreuses familles d'infections existent bien, il en
ressort essentiellement six familles. Le terme Malware est
utilisé pour désigner l'ensemble des menaces
informatiques ou codes malicieux dangereux.

 Virus
Un virus est un programme qui se répand à travers les
ordinateurs en créant ses propres copies, il sait se répliquer
seul. Pour infecter un ordinateur, le virus doit au préalable
être exécuté. Les virus ont des moyens pour s’assurer que
cela arrive et la plupart du temps ils comptent sur l'action
de l'utilisateur ou des failles du système d'exploitation.
1 - Exécution du programme porteur de l'infection
2 - Le virus est en mémoire
3 - Recherche de programmes exécutables à infecter
4 - Copie du code viral dans les fichiers exécutables
 Cheval de Troie
Un Cheval de Troie se fait souvent passer pour un fichier ou
logiciel légitime, mais est en fait un programme qui exécute
des fonctions cachées néfastes. Les chevaux de Troie ne
peuvent pas se propager aussi rapidement que les virus car
ils ne savent pas se reproduire (mais certains virus
intègrent des routines de cheval de Troie). On note une
augmentation constante des chevaux de Troie en raison de
leur capacité à remonter des informations sensibles.
1 - Exécution du cheval de Troie grâce à l'extension de
fichier cachée
2 - Le cheval de Troie (qui n'est pas un document PDF) est
en mémoire
3 - Placement du cheval de Troie dans le démarrage de
Windows

 Ver
Les vers sont des cousins éloignés des virus de par leur
fonctionnement. Utilisant le réseau pour se propager, ils
sont redoutables. Contrairement aux virus d'exécutables
qui se dissimulent dans des fichiers ou dans le code
contenu dans le secteur de démarrage du disque, les vers
sont seuls et représentent simplement un programme
évolué. Leur spécificité est de se propager via le réseau
uniquement. Mais un virus d'exécutable peut avoir les
routines d'un ver et se propager également par email. Un
ver ne se multiplie généralement pas localement,
contrairement aux virus ; sa méthode la plus habituelle de
propagation consiste à s'envoyer dans des mails générés
automatiquement ou via le réseau. Certains Vers intègrent
des routines de cassage de mot de passe réseaux par
attaque dictionnaire.
1 - Contact d'un commercial infecté
2 - Le ver est ouvert par le commercial
3 - Le ver envoie automatiquement des mails aux
collaborateurs
4 - Propagation du ver sur le réseau local

 Backdoor
Un Backdoor (porte dérobée) peut être introduite soit par le
développeur du logiciel, soit par un tiers, typiquement un
pirate informatique. La personne connaissant la porte
dérobée peut l'utiliser pour surveiller les activités de
l'ordinateur, et en prendre le contrôle. Selon l'étendue des
droits que le système d'exploitation donne au logiciel
contenant la porte dérobée, le contrôle peut s'étendre à
l'ensemble des opérations de l'ordinateur. La généralisation
de la mise en réseau des ordinateurs rend les portes
dérobées nettement plus utiles que du temps où un accès
physique à l'ordinateur était la règle. Ces programmes
peuvent être exploités pour espionner votre activité,
capturer des mots de passe ou numéros de carte bancaire,
ou voler des informations sensibles dans une entreprise.
1 - Le pirate envoie délibérément un fichier piégé par mail
2 - La victime ouvre le fichier
3 - Le pirate prend contrôle du poste de la victime
4 - Piratage des droits du poste de la victime pour des
copies ou suppressions

 Rootkit
Le Rootkit n'est pas une infection mais une technologie
utilisée par les infections. Le rootkit permet de cacher la
mise en place d'une ou plusieurs portes dérobées, et donc
d'objets malveillants (processus, fichier, clé, port réseau) à
un utilisateur. Le rootkit rend invisible les processus
malveillants ainsi que les fichiers et les ports réseau qu'il
utilise. Une fois activées, les portes permettront alors au
pirate de pouvoir s'introduire sur la machine de façon
silencieuse sans déclencher les outils de protection
standard. Le Rootkit est souvent chargé en tant que driver
et passe ainsi inaperçu au niveau des firewalls, anti-virus
ou autres. Les anti-virus utilisent aussi cette technique afin
de cacher certains processus aux virus afin d'être moins
vulnérables. Il commence à émerger des rootkit matériel
arrivant à se glisser dans les firmwares des cartes réseaux,
cartes graphiques, etc...
1 - Le gestionnaire des tâches demande le contenu de la
mémoire de Windows
2 - Lecture du tableau SSDT
3 - Le Rootkit crochète le tableau et filtre son contenu
4 - La réponse du tableau est erronée sans que virus.exe
soit affiché en mémoire

 Botnet
Un Botnet est un regroupement d'ordinateurs infectés
répondant aux ordres d'un pirate informatique. Un
ordinateur dans un Botnet est appelé ordinateur Zombie.
En effet, de nos jours les virus informatiques ont un but
lucratif pour les pirates. Beaucoup de pirates informatiques
contrôlent ainsi des milliers d'ordinateurs grâce aux virus
activés sur les ordinateurs des victimes. Le pirate
responsable d'un Botnet fait utilise ce regroupement
d'ordinateur à des fins illicites. Le pirate est rémunéré par
un acheteur (entreprise pharmaceutique illégale, mafia,
etc...) lui demandant d'utiliser les ordinateurs compromis
pour envoyer du SPAM ou voler des données personnelles.
Les infections destinées à dérober des numéros de cartes
bancaires afin d'être revendus et utilisés par des groupes
mafieux sont de plus en plus répandues. Un Botnet peut
aussi être utilisé pour attaquer des entités commerciales ou
gouvernementales.
1 - Le pirate contrôle un Botnet (regroupement
d'ordinateurs infectés)
2 - Ordinateurs zombies envoyant du SPAM ou des attaques
3 - Réception de SPAM avec pièce jointe infectée
4 - Attaque DOS (Denial Of Service)

 Rogue
Les Rogues sont des faux logiciels de sécurité. Ces logiciels
sont des infections qui utilisent la crédibilité et la peur des
utilisateurs pour s'introduite sur les ordinateurs. En effet,
certains sites internet affichent des faux messages d'alerte
indiquant que l'ordinateur est infecté ou peut être optimisé
(ce qui est faux). Ces messages semblent crédibles aux
utilisateurs non avertis. Un clic sur ces messages installe le
rogue et infecte l'ordinateur. Ci-dessous une capture écran
montrant de faux messages destinés à inciter l'utilisateur à
installer le rogue alors que l'ordinateur n'est pas infecté.

 Détection antivirus
Quand un logiciel antivirus ne détecte aucune menace cela
ne veut pas dire que l’ordinateur n’est pas infecté mais qu’il
n’y a aucune menace référencée dans ses mises à jour...
Une nuance qui a toute son importance. Les antivirus ne
peuvent pas intégrer les menaces dans leur base de
signature avant que celles ci existent et se répandent sur
les ordinateurs. Il y a toujours un délai entre la sortie d'un
nouveau virus et son intégration dans les mises à jour
antivirus. La qualité d'un antivirus se mesure par sa
capacité à intégrer rapidement les nouveaux virus existants
dans sa base de détection. Ce délai peut varier de façon
importante suivant les antivirus.
Le nombre d'ordinateur victimes d'infections s'explique
par le fait que les virus échappent à la détection antivirus
grâce à leur vitesse de mise à jour plus importante que
l'antivirus ou grâce au fait qu'ils ne sont pas encore
référencés. Il est faux de penser que les infections finiront
par être détectés car de nombreuses infections se mettent à
jour elles aussi. Il devient alors problématique pour
l'antivirus, aussi réactif qu'il soit, de détecter l'infection car
cette dernière à toujours un temps d'avance et n'est pas
référencée dans les bases antivirus.

 Symptôme infection
Vous trouverez ci-dessous les symptômes les plus souvent
constatés sur des ordinateurs victimes de virus ou de
logiciels nuisibles. Il faut retenir que 84% des ordinateurs
victimes de dysfonctionnement sont infectés. Les infections
informatiques sont des programmes silencieux qui utilisent
les ressources des ordinateurs. Si les infections perturbent
souvent le fonctionnement et les performances des
ordinateurs, certains passent inaperçus auprès de
l'utilisateur.
 Apparition d'un nouveau logiciel de sécurité inconnu au
démarrage
 Affichage intempestif de fenêtres publicitaires
 Affichage répétitif par le firewall de messages d'alerte
 Affichage de messages d'erreurs au démarrage
 Disparition de fichiers ou altération de leur contenu
 Envois de messages étranges à des utilisateurs connus
 Impossibilité de démarrer le système d'exploitation
correctement
 Impossibilité de démarrer le système d'exploitation en
mode sans échecs
 Impossibilité de lancer les mises à jour avec Windows
Update
 Impossibilité d'aller sur des sites de scan anti-virus en
ligne
 Impossibilité d'installer un anti-virus correctement
 Lancement aléatoire d'une application quelconque sans
intervention
 Mise en route inattendue du lecteur de disquette ou CD-
ROM
 Plantages réguliers du navigateur Internet
 Plantages fréquents de l'ordinateur
 Réception de plus en plus importante de SPAM
 Ralentissement important de l'ordinateur
 Ralentissement de la connexion Internet
 Requêtes fréquentes vers le disque dur en phase
d'inactivité
  Evolution des virus
L’évolution des virus est destinée à s'adapter aux détections
anti-virus et à offrir un spectre plus large dans les actions
néfastes. Les deux représentations 3D ci-dessous
permettent de visualiser l'évolution entre deux virus
informatiques : le virus informatique Bagle datant de
2009 et le virus informatique Brain datant de 1986. La
différence du nombre d'anneaux et de cubes montre
l'évolution entre un virus récent et un virus plus ancien. Le
cube rouge se trouvant sur la partie supérieure (tout en
haut) est la fonction "principale" qui représente le début de
l'activation de l'infection informatique (le clic de
l’utilisateur ou l'activation du virus sur l'ordinateur). Le
premier anneau contient les fonctions principales du virus
qui appellent ensuite les fonctions du second anneau et
ainsi de suite.
Mise en page : CHAIRICH ABDENNBI
Source ;http://www.pegase-secure.com/definition-
virus.html
Recherche

Rechercher

Pages
Derniers articles

Archives

Sondages

Contact

Connexion

L'EXAMEN NORMALISÉ (Collège & lycée) -

Blog - Eklablog -
CGU -
CGV -
Préférences cookies -
Signaler un abus -
-
Version standard