http://www.infos-du-net.com/dossier_print.php?

p1=112

Les virus les plus destructeurs de lhistoire

Adresse : http://www.infos-du-net.com/actualite/dossiers/112-histoire-virus.html Publie le : 23 avril 2008 10:10 par Nicolas Aguila

Introduction

Les virus informatiques, vous en avez forcment dj entendu parler. Impossible dacheter un nouvel ordinateur sans tre confront ce terme peu rassurant. Ces programmes malveillants ont marqu le monde de linformatique et dInternet. Quil sagisse de Blaster, de Sasser, de Netsky, de MyDoom ou encore de Tchernobyl, vous en avez certainement dj entendu parler, peut-tre mme avez-vous d y faire face. Dans ce dossier, nous avons voulu revenir sur les plus grandes menaces virales que nos ordinateurs ont connus. Comment ces virus ont-ils pu se rpandre ? Qui sont leurs auteurs et dans quels buts ont-ils cr ces programmes ? Quels ont t les dgts causs ? Cest ce que nous vous proposons de dcouvrir travers ce dossier sous haute scurit... Protger votre ordinateur

1. Les diffrentes formes de virus

Tout dabord, il faut bien comprendre que le mot virus, tel quil est utilis aujourdhui, est un abus de langage commun. Lexpression logiciel malveillant , bien quun plus pompeuse, est plus approprie aux diverses menaces qui tranent actuellement sur le Net. En effet, il existe de nombreux types de virus , aux noms et aux proprits tous diffrents :

le virus : celui qui a donn son nom toute une gnration de logiciels malveillants. Au sens large, le mot virus dsigne tout type de programme qui veut du mal votre machine. Il dsigne surtout un programme informatique cr pour se greffer un hte. Une fois que le virus la contamin, il suffit que lutilisateur ouvre le fichier vrol pour que celui-ci se mette au travail. Le but premier dun virus nest pas de dtruire le systme cibl mais de linfiltrer, pour lancer automatiquement une commande, qui peut aller du simple message dalerte la destruction de fichiers ; le ver : il sagit dune variante du virus qui possde la particularit de pouvoir se propager automatiquement, sans intervention humaine. Le tout premier ver a dailleurs t programm pour se transmettre automatiquement de machine en machine et rpertorier ainsi le nombre total dordinateurs connects Internet. Il est capable de lancer les mmes attaques quun virus ;

1 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

le cheval de Troie : la fonction principale de ce programme malveillant peut tre devine simplement avec son nom, qui fait rfrence la clbre histoire de la guerre de Troie. Il a donc pour but de sintroduire sur la machine cible, puis dy ouvrir une porte drobe par laquelle une personne distante peut alors sintroduire. Cela peut par exemple conduire la prise de contrle dune machine ou encore des vols de donnes ; le rootkit : le principe dun rootkit est dtre transparent et invisible en toutes circonstances. Il est aux virus ce que les ninjas sont dans lhistoire japonaise, un modle de discrtion. Il est souvent utilis conjointement une autre attaque virale, ce qui permet de masquer celle-ci et de la rendre indtectable, notamment par les logiciels antivirus. Les crateurs de virus les utilisent galement pour masquer la prsence dune porte drobe sur un systme infect. Protger votre ordinateur

2. Morris, le tout premier ver

Morris est considr comme le tout premier ver stre propag sur Internet, en 1988. Il porte le nom de son crateur, Robert Tappan Morris, alors tudiant au MIT (Massachusetts Institute of Technology). Trs peu de machines taient alors connectes au rseau, et cest justement ce qui a pouss notre tudiant connaitre prcisment le nombre de machines connectes Internet.
Un ver lanc par curiosit

Pour rpondre cette question, il a cr un petit programme dont le but est de se copier automatiquement sur une machine et denvoyer un message toutes les autres pour signaler sa prsence sur le rseau. Pour se faire, il a exploit deux failles des systmes BSD et SUN, afin que son programme puisse sans peine se dupliquer. Le 2 novembre 1988, il se connecte depuis une machine du MIT et lance son programme, qui va se propager rapidement.

Alors que Morris ntait pas prvu pour tre destructeur, il sest montr beaucoup plus gnant quil aurait d. En effet, son crateur a oubli un dtail : une machine pouvait tre infecte plusieurs reprises et donc excuter autant de fois le mme programme. Les ordinateurs de lpoque tant trs limits en mmoire, il na pas fallu longtemps pour que ceux-ci soient compltement saturs par le travail que Morris leur faisait excuter. Il ne faut pas oublier qu lpoque, les antivirus nexistent pas, les ordinateurs sont donc directement vulnrables face ce genre de menace. Ainsi, un organisme a t cr suite la dcouverte de ce ver, le CERT (Computer Emergency Response Team), ayant pour but de prvenir les futures attaques virales sur Internet. Robert Tappan Morris, quant lui, a subi un procs qui la condamn trois ans de probation ainsi qu 400 heures de travaux dintrts gnraux et une amende de 10000 dollars. Il est aujourdhui professeur au MIT. Protger votre ordinateur

3. Tchernobyl, le plus destructeur

2 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

Tchernobyl est certainement le virus le plus clbre et le plus destructeur de son poque. Il a t crit en juin 1998 par le Tawanais Cheng Ing Hau, alors tudiant dans une universit de Taipei. Contrairement aux ides reues, ce virus ne doit pas son nom sa capacit de destruction, mais son mode de fonctionnement. En effet, il est programm pour se lancer le 26 avril de chaque anne, date anniversaire de la catastrophe de Tchernobyl, qui a eu lieu le 26 avril 1986. Il est galement connu sous le nom de CIH, savoir les initiales de son crateur.
Un virus explosif

Le virus est encore inoffensif lorsquil est dtect pour la premire fois par la socit F-Secure, quelques jours aprs sa cration. Tchernobyl est programm pour se rpandre sur un maximum de machines, mais il ne sexcute qu une date prcise, et ne doit donc pas porter atteinte au systme avant le 26 avril. Lalerte est donne par F-Secure, mais le crateur du virus ne se laisse pas abattre et diffuse rapidement plusieurs versions de son programme. Rapidement, Tchernobyl impressionne par son mode de transmission trs efficace. On le retrouvera tour tour dans une dmo tlchargeable du jeu Wing Commander, dans une version pirate de Windows 98, dans des CD-Rom encarts dans des magazines en Europe, et mme dans des mises jour de firmware ou encore dans des PC de marque IBM, livrs avec le virus ! Le jour du lancement de son attaque, le 26 avril 1999, ce que beaucoup redoutaient na pas manqu : on estime alors que plusieurs dizaines de milliers de machines sont victimes de son dclenchement. Mais que provoque Tchernobyl ? Une fois le jour de lattaque arriv, il lance plusieurs actions sur la machine touche : il saffaire corrompre des donnes alatoirement sur le disque dur et tente deffacer le BIOS de la machine. Au final, une machine touche par Tchernobyl est rapidement rendue inutilisable. Aprs lattaque de Tchernobyl, son crateur a t arrt par les autorits tawanaises, le 29 avril 1999. Il a dabord t relch, faute de plainte dpose contre lui, puis de nouveau arrt en septembre 2000. Son cas est toujours en suspend auprs de la justice tawanaise, mais il est devenu ingnieur pour la socit Gigabyte en 2006. Quant Tchernobyl, il sest nouveau activ les 26 avril 2000 et 2001, mais ne semble plus avoir caus de problmes majeurs depuis Protger votre ordinateur

4. Melissa, le virus rotique

Nous sommes en 1999 et lindustrie du sexe ne tarde pas simplanter sur le Web. Les crateurs de virus ne tardent pas sen servir pour diffuser leurs programmes malveillants. Cest le cas de Melissa, qui fut lun des premiers programmes du genre se propager sous couvert doffrir du bon temps linternaute. Il a t dcouvert le 26 mars 1999, alors que son crateur le diffuse sur Usenet, plus prcisment dans le groupe de discussion alt.sex. Le virus est contenu dans un fichier nomm List.doc et qui contient des mots de passe donnant accs plus de 80 sites pornographiques. Par la suite, ce mme virus a t distribu de nombreuses fois par mail, via des messages envoys massivement la manire du spam (une pratique trs marginale lpoque).
Le virus de la tentation

3 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

Melissa est mi-chemin entre le ver et le virus. Il est capable de se transmettre de machine en machine sans intervention de lutilisateur, mais il ninfecte que des fichiers Word 97 et Word 2000. Il est galement capable de senvoyer par mail en exploitant une faille dOutlook 97 et Outlook 98. Il sagit donc dun macro-virus, cest dire dun virus crit afin dinfecter des documents Office, mais qui se propage comme un ver. Bien que le ver Melissa nait pas t cr lorigine pour tre destructeur, il en existe plusieurs variantes qui peuvent causer bien plus de dgts. Plusieurs versions sorties depuis tentent par exemple deffacer des fichiers systme ou encore datteindre des disques locaux ou en rseau pour y supprimer des fichiers. Melissa doit son nom une danseuse que son crateur David L. Smith a rencontre dans un bar. Ce dernier a pu tre retrouv par les autorits grce au champ GUID du document dorigine, quil avait diffus sur des newsgroups. En effet, ce champ contient plusieurs informations sur le crateur dun fichier, y compris son nom complet si celui-ci a t renseign ainsi que ladresse MAC de lordinateur. Depuis, Microsoft a modifi lalgorithme de cration automatique de ce champ afin den retirer ce genre dinformation et de prserver la vie prive. David L. Smith a t condamn une premire fois une peine de 10 ans de prison. Mais celui-ci a accept de collaborer avec le FBI aprs sa capture, ce qui lui a valu une rduction de peine 20 mois de prison et une amende de 5000 dollars. Les dgts causs par Melissa sont estims plus de 80 millions de dollars, rien quen Amrique du Nord. Protger votre ordinateur

5. I Love You, message d'amour pig

I Love You fait partie de ces vers qui ont dfray la chronique : 3,1 millions dordinateurs infects en seulement quatre jours et des pertes financires estimes prs de 5,5 milliards de dollars. Le 4 mai 2000, le ver est dtect pour la premire fois dans un e-mail envoy le mme jour sur un ordinateur Hong-Kong. Le sujet du message est ILOVEYOU (je vous aime), et il contient une pice jointe : LOVE-LETTER-FOR-YOU.TXT.vbs (une lettre damour pour vous.TXT.vbs). Ce fichier, manifestement dguis en simple fichier texte, cache un script Visual Basic qui peut sexcuter dans Windows.
Le virus qui vous aime

Aujourdhui, vous ne tomberiez certainement pas dans un pige aussi grossier, mais il y a huit ans, la mfiance sur Internet tait loin datteindre le niveau que lon connait aujourdhui. Le ver se base effectivement sur la mthode dite du social engeneering pour se propager, cest--dire quil se fait passer pour un contenu de confiance. Pour cela, il est capable de se faire passer pour une liste de diffusion en masquant sa vritable adresse et ainsi dtourner lattention de ses victimes. Une fois ouvert, le ver effectue une recherche sur tous les disques disponibles. Il cherche plusieurs types de fichiers comme les .JPG, .MP3, .VBS, .JS, .CSS ou encore .DOC, et en remplace tout le contenu pour sy copier ensuite, ce qui a pour effet immdiat de dtruire ces fichiers. Il tente ensuite de senvoyer par mail dautres internautes en exploitant une faille prsente dans Outlook. Ce ver a conduit une chasse lhomme internationale dans le but de retrouver le crateur du virus. Le 11 mai 2000, soit une semaine aprs la dcouverte du ver, un jeune tudiant en programmation est arrt. Celui-ci a reconnu avoir cr ce programme pour son projet dtudiant, qui navait pas t retenu par luniversit du fait de son illgalit. Pour se venger, il aurait alors dcid de propager celui-ci sur Internet, ce qui a donn naissance I Love You. Protger votre ordinateur

6. Nimda s'attaque aux serveurs

4 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

Bien quil soit moins connu que ses congnres, le ver Nimda a lui aussi marqu son poque, notamment par son mode de propagation. En effet, ce ver sattaquait aux serveurs Internet plutt quaux utilisateurs directement. Il sagit l dun moyen dtourn, mais plus quefficace, datteindre directement linternaute sans mme avoir besoin de tromper sa confiance.
Une attaque dtourne

Nimda porte un nom assez simple, puisquil sagit dun jeu de mots avec le mot Admin, lenvers. Il a t baptis ainsi car sa principale fonction nest pas de tromper la vigilance des utilisateurs, mais plutt celle des administrateurs. Son but est de sinfiltrer sur des serveurs Web en exploitant une faille dans les serveurs IIS (Internet Information Service). Il parvient ainsi sinfiltrer directement sur un serveur Web, ce qui lui permet de modifier les paramtres dudit serveur et ainsi de forcer son tlchargement vers lordinateur de chaque visiteur qui ouvre la page infecte. Ce mode de transmission na pas manqu de causer de lourds dommages, les internautes se mfiant rarement de sites auxquels ils font confiance. De plus, ce ver possde la particularit de pouvoir senvoyer par mail tous les contacts dun internaute infect, et ainsi se rpandre de manire encore plus efficace. Cest en cumulant tous ces modes de transmission que Nimda est devenu en 2001 le ver le plus rpandu sur le Net en seulement 22 minutes. Lautre fait plutt insolite qui la propuls sur le devant de la scne bien malgr lui, cest la date laquelle il a t mis en ligne. En effet, avec une dcouverte au mois de septembre 2001, il nen a pas fallu plus pour que certains mdias tablissent une relation avec les attentats de New York, encore tout rcents lpoque. Enfin, il est intressant de noter que lauteur de ce ver na jamais t retrouv ni identifi. Protger votre ordinateur

7. Code Red, un ver venu de Chine

Le 13 juillet 2001, un nouveau type de ver fait son apparition sur Internet. Il sattaque aux serveurs de type Microsoft IIS, et a pour but de sinfiltrer sur ceux-ci afin den prendre le contrle. Bien que lauteur de ce ver nait jamais t dcouvert, il doit tout de mme son nom, Code Red, sa probable origine chinoise. En effet, une de ses particularits est de remplacer la page daccueil des sites quil infecte par le message Hacked by Chinese ! (Pirat par des Chinois !).
Le virus qui voit rouge

Code Red a pour but dinfecter les sites Internet plutt que les utilisateurs. Il se borne donc sinstaller sur un serveur IIS vulnrable, et rechercher de nouveaux serveurs vulnrables du mme type pour en faire de nouveaux htes. Mais ce nest pas sa seule fonction Outre le remplacement de la page daccueil des sites infects par un message personnel, le ver attend alors 20 27 jours avant de lancer une attaque par dni de service (DoS). Ce genre dattaque consiste submerger un serveur de requtes au point que ce dernier ne soit plus capable de rpondre. Parmi les adresses vises, la plus rcurrente a t celle du site de la Maison Blanche. Le crateur de ce virus na jamais t identifi. Toutefois, lentreprise eEye, spcialise en scurit, affirme de son ct que le ver aurait t lanc depuis Makati City, aux Philippines, soit le lieu de naissance du ver I Love You. Protger votre ordinateur

8. Sobig, nouveau record d'infection

5 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

Lanne 2003 marque un essor des menaces virales sur Internet. Les virus deviennent de plus en plus factieux, mais aussi de plus en plus nombreux. Sobig fait partie de cette vague de logiciels malveillants qui infectent les machines par millions et font ainsi trs largement parler deux.
Une infection massive

Bien que le virus ait dabord t dcouvert en janvier 2003 dans sa premire variante, ce nest que quelques mois plus tard, en aot, quil va se rpandre grande chelle sur le Net. Sobig choisit alors la voie du courrier lectronique. Il infecte donc les machines dune manire classique, et se duplique dans lordinateur avant de senvoyer nouveau par mail de nouvelles victimes, avec un titre variable en guise dobjet du message. Linfection vient alors de la pice jointe, un fichier excutable qui recle le ver en question. noter que le ver profite des machines infectes pour diffuser des e-mails eux aussi contamins, et ainsi toucher plus dinternautes encore. Durant le mois daot, ce sont plusieurs millions de machines qui ont t infectes par ce virus, qui est vite devenu clbre pour son efficacit se propager. Microsoft offre une prime de 250000 dollars quiconque est en mesure de fournir des informations pouvant conduire larrestation du crateur de Sobig. Celui-ci na toujours pas t retrouv lheure o nous crivons ces lignes. Toutefois, les dgts causs par le virus se sont limits peu peu, puisque celui-ci a t programm pour se dsactiver automatiquement le 10 septembre 2003. Protger votre ordinateur

9. Blaster : le million en deux jours

Lt 2003 aura t marqu par une des infections les plus fulgurantes de lhistoire : le ver Blaster. Un de ses effets est de faire planter le service RPC (RemoteProcedure Call) dun ordinateur sous Windows XP, ce qui a pour consquence de faire redmarrer la machine aprs un compte rebours affich lcran !
Votre ordinateur va redmarrer...

Le ver Blaster a t dcouvert le 11 aot 2003. Il est capable de sinfiltrer sur des systmes Windows utilisant le noyau NT, soit Windows 2000 et Windows XP. En bon ver quil est, il peut se copier sur nimporte quelle machine vulnrable sans intervention de son utilisateur. Il suffit simplement que celle-ci soit connecte Internet. Le 13 aot, le ver connat son plus fort taux dinfection, et Symantec estime que prs dun million de machines sont alors infectes en seulement deux jours donc. Le but de cette infection na pas t de causer du tort aux machines infectes, mais de lancer une attaque par dni de service contre le site de mise jour de Microsoft. Cest le 15 aot 2003 que ce vritable objectif est dcouvert, alors que des centaines de milliers de machines envoient en mme temps des requtes vers la page Windowsupdate.com. Linstabilit cause dans Windows nest cependant quun effet secondaire de lattaque dorigine. Ses actions dans le systme rendaient ce dernier instable, jusqu provoquer son arrt. Dans la mesure o le ver ne sattaque pas directement au systme, plusieurs outils de rparation ont vu le jour pour rendre leur stabilit aux machines infectes sans pour autant supprimer le programme malveillant. Cest le 29 aot 2003 que Jeffrey Lee Parson, le crateur du ver Blaster, a t arrt dans sa maison de Hopkins, dans le Minnesota, alors quil navait que 18 ans. Il a reconnu sa responsabilit dans la cration du ver, et a t condamn une peine de 18 mois de prison ferme. Aujourdhui, le ver Blaster est toujours en activit sur Internet, mais Microsoft a apport Windows les protections suffisantes pour que les machines ne soient plus du tout infectes. Protger votre ordinateur

6 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

10. Sober, une attaque en deux temps

Sober fait partie des vers qui ont la particularit de bnficier dune dure de vie exceptionnelle, grce la cration de plusieurs variantes au fil des ans. Ce ver, qui a t dcouvert en octobre 2003, est toujours pris comme une menace srieuse de nos jours, et est rgulirement cit comme faisant partie des plus virulents que le Net ait connus. Une autre de ses particularits est de sattaquer directement la base de registres de Windows, ce qui lui permet dutiliser le systme sa guise, en toute transparence pour lutilisateur.
Un ver classique, mais sournois

Sober est lui aussi de la race des programmes malveillants qui se propagent par e-mail. Cest le 24 octobre 2003 que le premier courrier infect par ce ver est dcouvert. Il sagit dun courrier assez classique, gnralement en anglais, et qui contient une pice jointe avec le fameux cadeau empoisonn. Lutilisateur doit donc lancer ce fichier pour que le ver infecte la machine, aprs quoi il tentera de senvoyer nouveau par mail dautres victimes, en utilisant le carnet dadresses de linternaute. Une fois implant dans Windows, Sober cre plusieurs fichiers dans ce mme dossier, dune part pour brouiller les pistes, mais galement pour permettre dautres infections futures. Enfin, cest la base de registre quil sattaque, afin de crer une entre qui va lui permettre dtre activ en permanence au dmarrage de Windows, mme si un de ses fichiers a t dtruit.
Le retour deux ans plus tard

Cest en 2005 que Sober met le feu aux poudres. Alors que lattaque semblait termine, une nouvelle variante du virus refait son apparition, le 3 mars. Les attaques vont alors se rpter, et devenir de plus en plus intenses. Le 14 novembre, Sober.T, une variante du ver, lance une nouvelle attaque avec succs, mais lattaque la plus destructrice a t lance le 21 novembre 2005, avec larrive de la variante Sober.X. Celui-ci est capable de se faire passer pour un courrier manant de la CIA ou du FBI, et indique que linternaute a t repr alors quil visitait des sites illgaux. La pice jointe, dguise en questionnaire, contient bien videmment le virus. Cette variante est dailleurs encore plus factieuse que le ver dorigine, puisquelle est dsormais capable de voler des donnes personnelles lutilisateur ! Le crateur du ver Sober na jamais t retrouv. Nanmoins, plusieurs enqutes mnent penser que ses motivations seraient politiques, notamment par la diffusion de messages dun parti dextrme droite allemand, dans certaines versions du ver. Protger votre ordinateur

11. MyDoom, infiltration sur le P2P

MyDoom a t lun des premiers vers crs pour se rpandre sur les rseaux P2P. Alors que ce programme est capable de se dupliquer et de senvoyer automatiquement par e-mail, cest pour sa prsence grandissante sur le rseau de KaZaA quil a fait le plus parler de lui. Il a t dcouvert le 26 janvier 2004, et est rapidement devenu le ver le plus rapidement propag sur Internet, battant le record dtenu par Sobig.
Kazaa en ligne de mire

7 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

MyDoom dispose de deux moyens dinfection pour se propager : par la voie du courrier lectronique, ou encore en attaquant le rseau de KaZaA. Une fois quil a infect une machine, MyDoom tente de se reproduire en senvoyant tous les contacts de lordinateur infect. Une de ses particularits est quil est polyglotte, et est donc capable denvoyer ses messages en anglais mais aussi en franais, entre autres. Il tente galement de trouver une version de KaZaA installe sur la machine vulnrable, et se copie dans le rpertoire de partage du logiciel. Il parvient ainsi se propager trs rapidement sur le rseau. Aprs avoir assur sa propagation, MyDoom lance plusieurs actions sur la machine hte. Il ouvre dabord une porte drobe sur le port 3127, ce qui permet notamment de donner un accs total la machine une personne distante. Ensuite, il est programm pour lancer une attaque par dni de service sur le site du groupe SCO partir du 1er fvrier 2004. Plus tard, une variante du ver visera galement le site de Microsoft dans ses attaques. Protger votre ordinateur

12. Netsky, la premire guerre des virus

Voil un autre nom qui a donn des cheveux blancs aux experts en scurit : NetSky. Bien que ce ver soit apparu en fvrier 2004, il fait partie des plus actifs encore aujourdhui, et squatte toujours les classements des menaces les plus virulentes sur Internet. La raison dune telle longvit tient au nombre impressionnant de variantes qui ont rapidement t dveloppes. En effet, en juin 2004, NetSky en connaissait dj prs de trente diffrentes, chacune aux effets et aux modes opratoires diffrents.
Quand les virus se font la guerre

Il est intressant de constater que cette dferlante de variantes na pas seulement t destine aux internautes ou aux experts, mais galement aux autres crateurs de virus. En effet, NetSky est aussi connu pour cacher quelques messages dans son code source, notamment des insultes lattention des crateurs des vers Bagle et MyDoom ! Cette priode a t faste en matire de scurit, puisque cette guerre par virus interposs a donn lieu la cration de trs nombreuses variantes dans lesquels les crateurs se rpondaient. Pour se propager, NetSky utilise la classique technique de le-mail pig. De la mme manire que ses prdcesseurs, il profite dune infection pour partir la recherche dun carnet dadresses, et senvoyer ainsi la totalit des contacts de la victime. Ses effets sur la machine dpendent de la variante du ver, puisque chaque version tente des actions toujours diffrentes. Notons toutefois que lune delle a la particularit insolite dactiver le bip de lordinateur sil en possde un, gnralement entre 6 et 9 heures du matin. NetSky a t cr par Sven Jaschan, mieux connu pour tre lorigine de Sasser. Il a reconnu avoir crit ce ver lors de son arrestation en mai 2004, mais le programme continue dtre actif aujourdhui encore. En effet, il tait possible dobtenir le code source de NetSky sur Internet. Ceci a pour effet dacclrer le dveloppement dune mise jour pour contrer ce ver, mais facilite galement la tche des autres crateurs de virus pour crire leur propre variante de NetSky. Ainsi, la variante P du ver a t considre comme la menace virale la plus rpandue sur Internet jusquen novembre 2006, date laquelle elle a t dtrne. Protger votre ordinateur

13. Sasser, l'infection sournoise

8 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

Lun des programmes malveillants les plus connus du XXIme sicle est certainement le ver Sasser. Trs similaire Blaster pour certains effets secondaires dans Windows, ce ver possde galement la particularit de sintroduire tout seul sur une machine vulnrable, sans intervention extrieure. Mais il a surtout t connu pour avoir eu des effets dvastateurs, pas seulement chez les internautes, mais aussi dans beaucoup de grandes entreprises.
Un ver destructeur

La premire apparition de Sasser remonte au 30 avril 2004. Il sagit dun ver qui peut se reproduire automatiquement, et sinfiltrer dans une machine sous Windows via les ports 445 ou 139. Pour cela, il exploite une faille dans processus LSASS (Local Security AuthoritySubsystem Service) de Windows. Elle a dailleurs pour effet de provoquer une instabilit de ce processus, qui peut alors planter et entraner le systme entier avec lui, la manire du RPC avec Blaster. Cette faille avait pourtant t dcouverte et patche par Windows quelques jours auparavant, une mise jour ayant t diffuse le 13 avril 2004. Le succs du ver reposait donc sur la part des machines qui navaient pas encore cette mise jour installe, ce qui a pay. En effet, plusieurs cas dinfections sont trs rapidement rapports autour de la plante, et les victimes ne sont pas seulement des internautes ngligents. En effet, lAFP fait partie des victimes, puisque tous ses satellites de communication se retrouvent bloqus pendant plusieurs heures suite la diffusion de ce ver ! Il en va de mme pour la compagnie amricaine Delta Air Lines, qui se voit oblige dannuler plusieurs vols cause de Sasser qui plante ses machines. Dautres cas tout aussi graves sont rpertoris en Finlande, en Grande-Bretagne, en Allemagne et mme au sein de la Commission Europenne.
Un adolescent lorigine de lattaque

Le crateur de Blaster est en prison au moment o Sasser fait des ravages sur Internet. Les similarits entre les deux vers portent les soupons sur lui, mais il semble bien difficile quil ait programm et diffus sur le Net un nouveau ver depuis sa cellule. Finalement, cest le 7 mai 2004 que cette histoire trouvera un dnouement, puisquun jeune tudiant allemand de seulement 18 ans, Sven Jaschan, avoue tre le crateur de Sasser, ainsi que de Netsky, dcouver peu de temps avant. Un nouveau coup de thtre se produit le 9 mai 2004 lorsquune nouvelle variante de Sasser est dcouverte sur la Toile deux jours aprs larrestation de son crateur. Celle-ci se rvle bien moins virulente que les anciennes versions, puisquelle se propage afin de dsactiver toutes les versions de Sasser prsentes sur les machines infectes. Sven Jaschan a indiqu ne pas vouloir causer de tort avec le ver quil a cr, mais simplement mettre ses capacits lpreuve. Le 8 juillet 2005, il a t condamn 21 mois de prison avec sursis. Par la suite, il a t embauch en tant quingnieur pour une entreprise allemande spcialise dans la scurit. Protger votre ordinateur

14. Cabir, virus sur tlphone portable

2004 a t marque par lapparition dun virus dun genre spcial puisquil est le tout premier de lhistoire

9 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

sattaquer aux tlphones portables. Avec leurs fonctions de plus en plus nombreuses et prcises, les tlphones portables se sont exposs de plus en plus ce genre de menace. En 2004, le ver Cabir vient donc prouver cette tendance.
Le premier virus sur tlphone mobile

Cabir utilise les diffrentes technologies dun tlphone portable pour se rpandre de machine en machine. Pour commencer, il infecte exclusivement les tlphones sous Symbian OS (utilis par certains tlphones Sony Ericsson, mais aussi Nokia ou Motorola) et se transmet un autre tlphone par une connexion Bluetooth. Une fois quil a infect un tlphone, le mot Caribe saffiche lcran chaque fois que le tlphone sallume. Ce virus na pas t dvelopp pour semer le chaos autour de lui, mais a directement t envoy aux socits expertes en scurit. Il sagit dun proof of concept , cest--dire dun programme visant prouver quune faille peut tre exploite. Cabir est le seul exemple de virus pour tlphone portable ce jour, mais rien nexclut quune menace virale plus importante puisse un jour faire son apparition sur nos tlphones. Protger votre ordinateur

15. Quand Sony utilise des rootkit

En 2005, Sony a dfray la chronique dans le monde de la scurit. Alors que les majors mnent une bataille acharne contre le piratage et pour la protection de leurs uvres musicales, Sony va employer une mthode pour le moins douteuse pour protger ses crations. La marque va en effet inclure un rootkit dans ses disques, qui va avoir le rle de grer les DRM.
La maladresse de Sony

Cest en octobre 2005 que Mark Russinovitch, expert en scurit, dcouvre la prsence dun programme peu habituel sur les CD audio de marque Sony. En effet, lexpert dcouvre que le disque, une fois insr dans un PC, installe un rootkit sur le disque dur afin que celui-ci empche le piratage du mdia. aucun moment Sony ne prvient clairement de lutilisation dune telle mthode pour protger sa musique, et cette dcision va finalement avoir des consquences bien plus dramatiques que celles attendues. Outre son travail de gestion des droits numriques, ce rootkit a galement pour effet de masquer la prsence de tous les fichiers et dossier dont le nom commence par lexpression $sys$. Bien entendu, et sachant cela, il na pas fallu bien longtemps pour que des dveloppeurs de virus crent des programmes malveillants qui vont tirer partie de cette chance inespre. En effet, cette protection de fortune offerte par le rootkit de Sony permettait nimporte quel virus de devenir invisible. Trs rapidement, Sony a t oblig de rappeler de nombreux disques, et de diffuser des excuses publiques ! Protger votre ordinateur

16. Storm transforme votre ordi en zombie

Storm Worm, contrairement ce que son nom indique, est un cheval de Troie apparu le 17 janvier 2007 sur le Web. Une fois encore, celui-ci se propage en utilisant des e-mails contamins au titre accrocheur, puisquil y est question dune rcente catastrophe naturelle en Europe. Dans la semaine suivant sa dcouverte, le virus sest rapidement rpandu en Europe ainsi quaux tats-Unis.
Tout un rseau de zombies

Storm Worm va tre lorigine du plus important rseau dordinateurs zombies sur Internet. Un ordinateur zombie

10 sur 11

23/04/2008 13:11

http://www.infos-du-net.com/dossier_print.php?p1=112

est une machine infecte, et quun virus peut programmer pour effectuer une tche prcise, comme attaquer un site Web, ou encore envoyer un maximum de spam (son utilisation la plus frquente). Les zombies servent ainsi de relais aux spammeurs. Ainsi, les ordinateurs infects par Storm deviennent de vritables machines spammer, sont rgulirement sollicites pour transmettre une grande quantit de messages publicitaires.

Chaque machine compromise va se connecter une trentaine dautres machines et changer ainsi des instructions et autres messages diffuser, envoys par un serveur source. Sur ce rseau, aucune machine ne dispose de la liste totale des autres machines infectes, mais simplement dune partie dentre elles. Le rseau fonctionne ainsi dune manire comparable au P2P. De plus, cela complique les estimations des experts pour dterminer le nombre de machines infectes. Le 7 septembre 2007, les estimations varient entre 1 et 10 millions de machines infectes. Protger votre ordinateur

17. Une histoire en constante volution

Les menaces virales sont de plus en plus nombreuses et factieuses au fil des annes. Aujourdhui, de trs nombreuses entreprises uvrent pour la scurit sur Internet, alors que cette notion tait encore inconnue il y a tout juste 15 20 ans. Il est intressant de remarquer que beaucoup de ces crateurs de virus ont fini par trouver un travail grce leurs talents. En effet, tous nont pas fini en prison, et un certain nombre sont aujourdhui experts en scurit pour des entreprises qui comptent retourner leurs crateurs contre les virus.
Toujours plus de virus

Nombreuses sont les entreprises qui ont dvelopp des solutions afin de dmasquer de nouveaux virus encore absents de leur base de connaissance. Mais dans lcrasante majorit des cas, le meilleur moyen de sviter une contamination est de rester vigilant. Nous ne vous mettrons jamais assez en garde ! Pour aller plus loin : Offrez un nettoyage de printemps votre ordinateur Notre comparatif des logiciels antivirus Hacking : les 15 plus gros piratages de lhistoire Protger votre ordinateur Source : Tom's Guide Tom's Guide - http://www.tomsguide.com

11 sur 11

23/04/2008 13:11