Les Virus Virus Les Les virus virus :: Définition Définition
C’est un programme, le plus souvent écrit en binaire et intégré à un
autre programme, qui va s ’exécuter lors de l ’activation de ce dernier.
Les effets en sont divers :
Blocage ou transformation d’une fonction Actions imprévues (ex : modification d’écrans…) Destruction de ressources (y compris de matériels !) Effacement données mémoire ou disque Émission d ’informations vers divers destinataires Inhibition de fonctions de sécurité Ouverture de « portes dérobées »
…Et bien souvent maintenant plusieurs de ces diverses actions
simultanément !
TSDI1 GC 2006/2007 PAR MrAZZI 2
Les Les Virus Virus Finalités : Vandalisme gratuit (Pour l’auteur !) Marquer sa trace (Avec ou sans humour !) Affirmer sa puissance (ou sa compétence) Espionnage (données, système, applicatifs …ou internaute !) Détournement de valeurs (monétaires ou autres) Utilisation propre ou revente infos confidentielles Actes de sabotage Les moyens : Virus ou bombes dans différentes couches système Vers (Worms) dans les mails (Pièce jointes) Virus dans macros outils bureautiques Courriers indésirables (Spamming) Espiogiciels (Spywares) Pirates « zombies » Opérations « Phishing » Prise de contrôle à distance (Bots) Virus Web dans appliquettes (applets) Programmes implantés dans serveurs P2P Fenêtres indésirables dans navigateur (Pop Up) Chevaux de Troie (Trojians) ouvrant des « back-doors » Faux virus (Hawks) incitant à auto-détruire son système
TSDI1 GC 2006/2007 PAR MrAZZI 3
Moyens Moyens de de lutte lutte spécifiques spécifiques
Recherche Recherche signatures signatures connues connues Calcul Calcul de de mots mots de de contrôle contrôle pour pour fichiers fichiers Recherche Recherche séquences séquences instructions instructions douteuses douteuses Signalement Signalement modification modification programmes programmes système système Analyse Analyse avant avant utilisation utilisation supports supports amovibles amovibles Authentification Authentification origine origine codes codes téléchargés téléchargés Certification Certification des des serveurs serveurs Éradication Éradication codes codes parasites parasites ou ou mise mise en en quarantaine quarantaine Surveillance Surveillance des des ports, ports, blocage blocage des des inutilisés inutilisés Surveillance Surveillance des des requêtes requêtes ActiveX, ActiveX, applets, applets, cookies cookies
TSDI1 GC 2006/2007 PAR MrAZZI 4
Organisation Organisation de de la la lutte lutte anti-virale anti-virale
Environ 65.000 virus identifiés (2004)
Communauté de lutte anti-virale (une cinquantaine de participants) Information par utilisateurs Mise en place de « pots de miel » Prélèvement & analyse de tous les échantillons suspects Diffusion à toute la communauté de ces échantillons Passage au test de tous les produits concurrents (MiniMavis fédère une vingtaine d’éditeurs – en 2004) Utilisation d’un identifiant commun Mise « en éprouvette » : Injection dans un fac-similé de réseau Internet Analyse des actions et modes de propagation Rédaction de la « fiche d’identification » du virus (Adaptée au moteur) Diffusion de cette fiche à travers des MaJ propres à chaque éditeur
TSDI1 GC 2006/2007 PAR MrAZZI 5
Virus Virus & & bombes bombes système système
Mémoire RAM
Programme porteur Réseau
Exécution programme porteur
Programme vecteur Exécution programme vecteur VIRUS Explosion Support à amovible l ’exécution Fichiers système
Programme contaminé
Système d ’exploitation
TSDI1 GC 2006/2007 PAR MrAZZI 6
Anatomie Anatomie d d ’un ’un ver ver :: Melissa Melissa (06/99) (06/99)
Mr Durand reçoit un mail Voici le document que
vous avez demandé... « Message important de Mr Dupont »
Infecte les bskcv vf!lfhlvb kjbv klk hsmdvlgmk<wgvmmnvn flkv kbfmqv kjbvmklqv n
Déverrouille documents Word jbv gmsdkg vomr mmoaùv
sdvih!lkv mhi mi oihih loihi
W bjhvc vboiùppù oj ihoih liinml
sécurité Macrovirus WORD
Voic i Efface clé vou le docu s av m ez d ent qu e ma e ndé ... Envoie le mail aux 50 premières Clé « Melisa ? » O adresses du carnet
N Crée un nouveau « Message important de … » et y attache son document
Utilisation de l ’interface MAPI (Accessible par tout langage) pour envoyer automatiquement via les listes de diffusion à travers Outlook Express TSDI1 GC 2006/2007 PAR MrAZZI 7 Description Description d d ’un ’un autre autre :: Bug Bug bear bear (2003) (2003) Alias Alias Tanatos Tanatos
Vers dans pièce jointe de mails de provenances diverses, de MicroSoft
ou encore du FAI. Le message était soit un texte vierge, soit repris dans les archives « messages reçus ». Actions réalisées : Désactive les anti-virus les plus courants Place un espiogiciel (Bot) pour la capture des saisies clavier et en transmet les contenus par mail. ( N° cartes crédits et codes secrets ne le sont plus! )
Place un « Cheval de Troie » dans le système qui ouvre une porte (port n° 36794) à un « visiteur » ultérieur
TSDI1 GC 2006/2007 PAR MrAZZI 8
Principe Principe de de ll ’Espiogiciel ’Espiogiciel (SpyWare (SpyWare ou ou Bot) Bot) Installe Installe un un fichier fichier historique historique (sous (sous racine racine ou ou un un des des répertoires répertoires Windows Windows standards) standards) qui quiservira serviraààstocker stockerles lesinformations informationscapturée capturée
Effacement Effacementéventuel éventuelde detoutes toutestraces traces TSDI1 GC 2006/2007 PAR MrAZZI 9 Les Les « « progrès progrès » » en en cours... cours...
Désactivation ou sabotage des Anti-virus (de plus en plus fréquent)
Propagation par courrier avec agent SMTP incorporé Propagation via RPC, SQL, Chat Relay… Virus présent sous forme de diverses « briques » inoffensives dans le système, reconstitué sous forme active uniquement en mémoire vive : Transmis via des commandes d ’origine distante Ex : Sapphire (250.000 serveurs infectés le 27/01/2003) via MS SQL Serveur. « Puzzle » dont les différents morceaux sont chargés au moment de l ’exécution (Souvent via le P2P) Ex : Benjamin par MS SQL Serveur. Code viral contenu dans une image ou un son (Qui sera extrait par un composant anodin, puis exécuté) Ex : Belgado (05/2002) via un morceau Hard Rock (Metallica) Message d’intox « Psychologique » pour déjouer la méfiance: Photo d’un (d ’une) ami(e) chèr(e) Réponse à courrier réellement envoyé (avec Re:…) Courriers d’origines « sûre » (Microsoft, fournisseur d’accès, banque…)
TSDI1 GC 2006/2007 PAR MrAZZI 10
Quelques Quelques conseils conseils ::
Choisir un bon anti-virus
Efficace Fiable Avec mises à jour …Et pas cher ! Le mettre à jour régulièrement Via « Live Update » …Attention à certains sites qui peuvent profiter de votre visite pour un examen approfondi de votre config (ou placer des WebBugs) ! Édicter des règles strictes vis à vis des : Mails Supports amovibles Sites Internet (jeux et autres X)
TSDI1 GC 2006/2007 PAR MrAZZI 11
Les Les principes principes des des anti... anti...
Anti-virus : Base de signatures Séquences de code critiques Mots de contrôle sur exécutables Détection de toute tentative de modification de programme (protection accès bibliothèques système et autres) Anti-Espiogiciel : Interdiction des cookies (ou du moins signalement) Vérification des tâches de fond et des services activés Analyser les adresses datagrammes sortants Anti-Spam : Base de donnée des sites Spam (Contournée par utilisation de relais de messagerie) Règles de filtrage (Adresses, structure, termes, caractères…) Cumul d ’éléments divers (méthode heuristique)
