Tech

Dernières nouvelles

Dossier - Virus et autres bestioles : Partie 2/2
DossierClassé sous :informatique , Incontournables , Virus

-

Ce deuxième dossier vous apprendra à vous protéger des virus, et savoir de plus près comment ces programmes peuvent pénétrer dans l'ordinateur et par voie de conséquence quels sont les comportements à respecter pour les éviter.

  
DossiersVirus et autres bestioles : Partie 2/2
 

Depuis la rédaction de ce dossier la communauté des internautes a été confrontée à plusieurs vers dignes d'intérêt. Il n'est pas question de tout récapituler car il apparaît un ou plusieurs vers/virus pratiquement tous les jours. Beaucoup sont des variantes de malwares déjà connus, mais il y a eu quelques créations originales qui ont posé de sérieux problèmes. L'objectif de cet additif est de montrer l'activité incessante des créateurs de ces programmes malveillants. Dans l'avenir il sera complété chaque fois qu'un ver ou virus ayant un impact très important apparaîtra.

  • 23/01/04
Dumaru.Y, a été suivi le 25 par Dumaru.Z, le 3/02 par Dumaru.AD et le 10/02 par Dumaru.AH. Toutes ces versions se présentent de manière assez différente du Dumaru initial. Le message semble provenir d'une dénommée Elene (sauf pour AH) et possède une pièce attachée intitulée myphoto.zip qui contient un fichier appelé

myphoto.jpg                                                                 .exe

.Compte tenu de la distance que sépare jpg de exe, l'immense majorité des utilisateurs n'a pas vu qu'il s'agissait d'un exécutable. Si on clique sur le fichier dans l'espoir de voir une photo ce dernier est exécuté. Le ver s'envoie aux correspondants dont les adresses e-mail figurent dans le carnet d'Outlook Express et dans divers autres fichiers, installe un cheval de Troie puis un keylogger qui espionne les frappes au clavier. Toutes ces versions semblent d'être répandues rapidement et ont fait de nombreuses victimes.
  • 26/01/04

Apparition de Mydoom.A (appelé Novarg ou Worm_Mimail.R par quelques éditeurs d'antivirus), ver qui a beaucoup fait parler de lui dans les media. Le texte du message est du type :

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
ou
The message contains Unicode characters and has been sent as a binary attachment.

Mais ce texte peut parfois être différent ou se présenter sous la forme d'une suite de caractères incohérents.
Le fichier attaché porte des noms divers mais sa longueur est de 22,258 octets (arrondi à 22,5 Ko par Outlook Express). Son extension est également variable ; dans certains cas l'extension peut être zip (la longueur du fichier compressé est alors un peu plus grande, ce qui n'est qu'un paradoxe apparent). Ce ver s'est répandu de façon extrêmement rapide (on soupçonne que sa diffusion massive a pu être préparée à l'avance). Il envoie de façon intensive des mails infectés, installe une backdoor qui ouvre les ports TCP 3127 à 3198, ce qui lui permet éventuellement de télécharger et d'exécuter des programmes nocifs venant de l'extérieur.

Il était aussi programmé pour effectuer entre le 1/02/04 et le 12/02/04 une attaque en masse à partir des ordinateurs contaminés vers le site www.sco.com (site de la version SCO d'UNIX). Cette attaque a abouti à un déni de service distribué (dDoS) qui a complètement paralysé ce site et la société a dû changer son adresse.
Il a été programmé pour arrêter sa diffusion et son attaque du site de SCO après le 12/02 ; un doute subsiste toutefois sur ce point à cause d'un bug dans son code. Mais la backdoor installée restera active sans limitation de date.

Par contre la variante Mydoom.B du 28/01 ne s'est pratiquement pas répandue en raison de bugs dans son code. Elle était programmée pour faire un déni de service sur www.sco.com et www.microsoft.com, mais ce fut un échec.

  • 6/02/04

Apparition de Deadhat initialement appelé Vessel ou Vesser selon les éditeurs d'antivirus (une variante B est apparue de 12/02). Il ne se propage pas par mail mais en recherchant sur Internet les ordinateurs infectés par Mydoom. En effet Deadhat exploite la backdoor de Mydoom en tentant d'entrer dans les ordinateurs contaminés par les ports 1080, 3127 et 3128. Il se copie alors dans le répertoire Windowssystem (ou system32) sous le nom sms.exe. Il ouvre ensuite le port 2766 et attend une connexion (backdoor TCP). Seul un "client" identifié par une clé cryptée (l'auteur du ver) peut utiliser cette connexion.

Il se connecte aussi à un serveur IRC prédéfini et reste en attente de commandes envoyées par l'auteur (backdoor IRC). L'une ou l'autre des backdoors permettent le chargement et l'exécution sur l'ordinateur de n'importe quel programme, a priori nocif. Deadhat supprime l'infection par Mydoom, mais interrompt toute une série de processus, et surtout bloque une liste impressionnante de programmes antivirus et de pare-feux. Si l'ordinateur utilise le système P2P SoulSeek, le ver se recopie sous divers noms attractifs dans le répertoire partagé, ce qui constitue sa deuxième méthode de propagation.

  • 9/02/04
Doomjuice.A, qui a aussi été appelé temporairement Mydoom.C, est un autre ver exploitant la backdoor de Mydoom. Il pénètre par le port 3127, ouvert par cette backdoor, et se copie dans le répertoire système (comme le précédent). Il lancera des attaques dDoS contre www.microsoft.com du mois de Mars au mois de Décembre.
  • 12/02/03
Doomhunter est un ver plus sympathique que les précédents. Lui aussi tente de se propager directement par l'Internet en exploitant le port 3127 ouvert par la backdoor de Mydoom. Lorsqu'il s'est installé il tente d'arrêter tous les processus reliés à Mydoom ainsi que Blaster (il se comporte comme un outil de désinfection !). Ensuite il scanne des adresses au hasard jusqu'à ce qu'il trouve d'autres ordinateurs contaminés par Mydoom. Malgré son caractère curatif il ne faut pas laisser ce ver sur l'ordinateur car il génère une activité parasite en recherchant d'autres adresses. De plus rien ne garantit qu'il soit totalement efficace et ne produise aucun effet secondaire.

Ces trois vers qui exploitent la backdoor de Mydoom ne sont probablement qu'un début. Toutefois leur propagation sera plus lente que celle de Mydoom puisqu'ils doivent obligatoirement trouver des ordinateurs déjà infectés par ce ver en scannant des adresses IP au hasard pour se propager. Il n'est donc pas sûr du tout que l'attaque du site de Microsoft par Doomjuice produise des effets importants.

  • 11/02/04
Welchia.B (ou Nashi.B) est un autre ver se proposant de désinfecter les ordinateurs contaminés par Mydoom et de télécharger divers patches correctifs de Microsoft pour mettre à jour le système (seulement les versions anglaises, chinoises et coréennes) ! Il se propage lui aussi à travers le réseau Internet ; toutefois il n'utilise pas la backdoor de Mydoom, mais diverses failles de Windows, dont la faille RPC déjà signalée pour Blaster. Il ne peut donc s'installer que sur un ordinateur dont le système n'est pas à jour. Il entraîne une instabilité du fonctionnement en interférant avec le service RPC. La première version de ce ver (18/08/03) tentait d'éradiquer Blaster des ordinateurs, mais installait aussi subrepticement un programme TFTP qui pouvait être employé pour des usages illicites.

Enfin nous terminerons (provisoirement) cette énumération par un ver plus classique, Mimail.S, apparu le 29/01/04. Bien que très malhonnête, il a un côté facétieux. En effet, au lieu d'afficher dans le mail un message de Paypal destiné à récupérer les informations de carte bancaire de lecteurs naïfs, celui-ci affiche un message de Microsoft annonçant que la licence de Windows de l'utilisateur est arrivée à échéance et demandant des informations sur la carte de crédit. Là, il faut être vraiment très naïf pour se laisser prendre !