Vous êtes sur la page 1sur 12

Les

Les Virus
Virus
Les
Les virus
virus :: Définition
Définition

C’est un programme, le plus souvent écrit en binaire et intégré à un


autre programme, qui va s ’exécuter lors de l ’activation de ce dernier.

Les effets en sont divers :


Blocage ou transformation d’une fonction
Actions imprévues (ex : modification d’écrans…)
Destruction de ressources (y compris de matériels !)
Effacement données mémoire ou disque
Émission d ’informations vers divers destinataires
Inhibition de fonctions de sécurité
Ouverture de « portes dérobées »

…Et bien souvent maintenant plusieurs de ces diverses actions


simultanément !

TSDI1 GC 2006/2007 PAR MrAZZI 2


Les
Les Virus
Virus
Finalités :
Vandalisme gratuit (Pour l’auteur !)
Marquer sa trace (Avec ou sans humour !)
Affirmer sa puissance (ou sa compétence)
Espionnage (données, système, applicatifs …ou internaute !)
Détournement de valeurs (monétaires ou autres)
Utilisation propre ou revente infos confidentielles
Actes de sabotage
Les moyens :
Virus ou bombes dans différentes couches système
Vers (Worms) dans les mails (Pièce jointes)
Virus dans macros outils bureautiques
Courriers indésirables (Spamming)
Espiogiciels (Spywares)
Pirates « zombies »
Opérations « Phishing »
Prise de contrôle à distance (Bots)
Virus Web dans appliquettes (applets)
Programmes implantés dans serveurs P2P
Fenêtres indésirables dans navigateur (Pop Up)
Chevaux de Troie (Trojians) ouvrant des « back-doors »
Faux virus (Hawks) incitant à auto-détruire son système

TSDI1 GC 2006/2007 PAR MrAZZI 3


Moyens
Moyens de
de lutte
lutte spécifiques
spécifiques

Recherche
Recherche signatures
signatures connues
connues
Calcul
Calcul de
de mots
mots de
de contrôle
contrôle pour
pour fichiers
fichiers
Recherche
Recherche séquences
séquences instructions
instructions douteuses
douteuses
Signalement
Signalement modification
modification programmes
programmes système
système
Analyse
Analyse avant
avant utilisation
utilisation supports
supports amovibles
amovibles
Authentification
Authentification origine
origine codes
codes téléchargés
téléchargés
Certification
Certification des
des serveurs
serveurs
Éradication
Éradication codes
codes parasites
parasites ou
ou mise
mise en
en quarantaine
quarantaine
Surveillance
Surveillance des
des ports,
ports, blocage
blocage des
des inutilisés
inutilisés
Surveillance
Surveillance des
des requêtes
requêtes ActiveX,
ActiveX, applets,
applets, cookies
cookies

TSDI1 GC 2006/2007 PAR MrAZZI 4


Organisation
Organisation de
de la
la lutte
lutte anti-virale
anti-virale

Environ 65.000 virus identifiés (2004)


Communauté de lutte anti-virale (une cinquantaine de participants)
Information par utilisateurs
Mise en place de « pots de miel »
Prélèvement & analyse de tous les échantillons suspects
Diffusion à toute la communauté de ces échantillons
Passage au test de tous les produits concurrents (MiniMavis fédère une
vingtaine d’éditeurs – en 2004)
Utilisation d’un identifiant commun
Mise « en éprouvette » : Injection dans un fac-similé de réseau Internet
Analyse des actions et modes de propagation
Rédaction de la « fiche d’identification » du virus (Adaptée au moteur)
Diffusion de cette fiche à travers des MaJ propres à chaque éditeur

TSDI1 GC 2006/2007 PAR MrAZZI 5


Virus
Virus &
& bombes
bombes système
système

Mémoire RAM

Programme
porteur Réseau

Exécution programme porteur


Programme
vecteur Exécution programme vecteur
VIRUS
Explosion
Support à
amovible l ’exécution
Fichiers système

Programme contaminé

Système
d ’exploitation

TSDI1 GC 2006/2007 PAR MrAZZI 6


Anatomie
Anatomie d
d ’un
’un ver
ver :: Melissa
Melissa (06/99)
(06/99)

Mr Durand reçoit un mail Voici le document que


vous avez demandé...
« Message important de Mr Dupont »

Accède à
HKEY_CURRENT_USER\
Software\MicrosoftOffice... Gmqhheripo lkbngjj
k:jbc kjbv jb jb jkfvkf

BASE de REGISTRES jbcjkl jbjb jbv kji, dl,n

Infecte les
bskcv vf!lfhlvb kjbv klk
hsmdvlgmk<wgvmmnvn
flkv kbfmqv kjbvmklqv n

Déverrouille documents Word jbv gmsdkg vomr mmoaùv


sdvih!lkv mhi mi oihih loihi

W
bjhvc vboiùppù oj ihoih liinml

sécurité
Macrovirus
WORD

Voic
i
Efface clé vou le docu
s av m
ez d ent qu
e ma e
ndé
...
Envoie le mail
aux 50 premières
Clé « Melisa ? » O adresses du carnet

N
Crée un nouveau
« Message important de … »
et y attache son document

Utilisation de l ’interface MAPI (Accessible par tout langage) pour envoyer automatiquement via les
listes de diffusion à travers Outlook Express
TSDI1 GC 2006/2007 PAR MrAZZI 7
Description
Description d
d ’un
’un autre
autre :: Bug
Bug bear
bear (2003)
(2003)
Alias
Alias Tanatos
Tanatos

Vers dans pièce jointe de mails de provenances diverses, de MicroSoft


ou encore du FAI. Le message était soit un texte vierge, soit repris dans
les archives « messages reçus ».
Actions réalisées :
Désactive les anti-virus les plus courants
Place un espiogiciel (Bot) pour la capture des saisies clavier et en transmet
les contenus par mail.
( N° cartes crédits et codes secrets ne le sont plus! )

Place un « Cheval de Troie » dans le système qui ouvre une porte (port n°
36794) à un « visiteur » ultérieur

TSDI1 GC 2006/2007 PAR MrAZZI 8


Principe
Principe de
de ll ’Espiogiciel
’Espiogiciel (SpyWare
(SpyWare ou
ou Bot)
Bot)
Installe
Installe un
un fichier
fichier historique
historique (sous
(sous racine
racine ou
ou un
un des
des répertoires
répertoires Windows
Windows
standards)
standards)
qui
quiservira
serviraààstocker
stockerles
lesinformations
informationscapturée
capturée

Surveillance
Surveillancede
decertaines
certainesactivités
activités: : Ou
Oude
decontenus
contenus: :
Sites
SitesWebWebvisités Carnets
visités Carnetsdd’adresses
’adresses
Mails envoyés/reçus Codes
Codes licencesdes
licences
Mails envoyés/reçus desprogrammes
programmes
Frappes
Frappesclavier Fichiers compta
clavier Fichiers compta
Programmes
Programmesexécutés Documents
exécutés Documentstextes
textes(mots(motsclés)
clés)
. .. .. . . .. .. .

Recopie
Recopiedes
desinformations
informationsprélevées
prélevéesetetsélectionnées
sélectionnéesdans
danslelefichier
fichierhistorique
historique

Attente
Attented’une
d’uneprochaine
prochaineconnexion,
connexion,etettransfert
transfertdu
dufichier
fichierhistorique
historiquevers
versun
unsite
siteen
en
attente
attente
Sous
Sousforme
formede
decookie
cookieou
ouvia
viaun
unagent
agentSMTP
SMTPintégré
intégré(ou
(ouautres
autresprocédés
procédésspécifiques)
spécifiques)

Effacement
Effacementéventuel
éventuelde
detoutes
toutestraces
traces
TSDI1 GC 2006/2007 PAR MrAZZI 9
Les
Les «
« progrès
progrès »
» en
en cours...
cours...

Désactivation ou sabotage des Anti-virus (de plus en plus fréquent)


Propagation par courrier avec agent SMTP incorporé
Propagation via RPC, SQL, Chat Relay…
Virus présent sous forme de diverses « briques » inoffensives dans le
système, reconstitué sous forme active uniquement en mémoire vive :
Transmis via des commandes d ’origine distante
Ex : Sapphire (250.000 serveurs infectés le 27/01/2003) via MS SQL Serveur.
« Puzzle » dont les différents morceaux sont chargés au moment de
l ’exécution (Souvent via le P2P)
Ex : Benjamin par MS SQL Serveur.
Code viral contenu dans une image ou un son (Qui sera extrait par un
composant anodin, puis exécuté)
Ex : Belgado (05/2002) via un morceau Hard Rock (Metallica)
Message d’intox « Psychologique » pour déjouer la méfiance:
Photo d’un (d ’une) ami(e) chèr(e)
Réponse à courrier réellement envoyé (avec Re:…)
Courriers d’origines « sûre » (Microsoft, fournisseur d’accès, banque…)

TSDI1 GC 2006/2007 PAR MrAZZI 10


Quelques
Quelques conseils
conseils ::

Choisir un bon anti-virus


Efficace
Fiable
Avec mises à jour
…Et pas cher !
Le mettre à jour régulièrement
Via « Live Update »
…Attention à certains sites qui peuvent profiter de votre visite pour
un examen approfondi de votre config (ou placer des WebBugs) !
Édicter des règles strictes vis à vis des :
Mails
Supports amovibles
Sites Internet (jeux et autres X)

TSDI1 GC 2006/2007 PAR MrAZZI 11


Les
Les principes
principes des
des anti...
anti...

Anti-virus :
Base de signatures
Séquences de code critiques
Mots de contrôle sur exécutables
Détection de toute tentative de modification de programme
(protection accès bibliothèques système et autres)
Anti-Espiogiciel :
Interdiction des cookies (ou du moins signalement)
Vérification des tâches de fond et des services activés
Analyser les adresses datagrammes sortants
Anti-Spam :
Base de donnée des sites Spam
(Contournée par utilisation de relais de messagerie)
Règles de filtrage (Adresses, structure, termes, caractères…)
Cumul d ’éléments divers (méthode heuristique)

TSDI1 GC 2006/2007 PAR MrAZZI 12