microklinik informatique

Aller au contenu

Menu principal:

Les virus

Initiation

Les virus

Définitions & concepts:
Un virus est un programme informatique qui sait se propager de manière autonome de machine en machine et de fichiers en fichiers.

Le grand principe : se diffuser...par tous les moyens possibles...

Un virus ou un trojan n'a que peu d'intérêt s'il reste sur la machine de son créateur. De tout temps, ceux-ci ont cherché les failles des systèmes afin de permettre la plus large diffusion de leur création.
Méthodologie : La méthode la plus employée pour infester un ordinateur est la messagerie (Mail infecté) car une machine infestée va elle même en infester des dizaines d'autres qui elles mêmes vont faire de même et ainsi de suite pour répandre très largement le virus. Une autre méthode est le chat (MSN - Gmail - IRC - etc...) car au travers de ces programmes il est facile de "récupérer" l'adresse IP des "chateurs" pour ensuite s'introduire dans leur disque dur ou utiliser leur webcam pour les espionner. Enfin une autre méthode très répandue est le "Filesharing", partage de fichiers ou Peer to Peer, (Emule - Edonkey - Limewire - shaeraza - Kazza -Torrents - etc...) ou se trouvent bien-sûr les programmes et fichiers convoités, exécutables, Mpeg3 (musique), Mpeg4 (Vidéos/Films) etc...mais modifiés auxquels on aura adjoint un virus ou un troyen...ainsi lorsque vous allez installer un programme, écouter une musique ou regarder un film, vous allez aussi sans le savoir exécuter le programme malveillant potentiellement nuisible (Virus - Troyen - Hacktool).


* Le Cheval de Troie ou TrojanHorse:

Les Chevaux de Troie (TrojanHorses) sont des programmes qui prétendent être en fait ce qu'ils ne sont pas réellement, ils s'installent en se masquant dans un autre programme sain. Dans la plupart des cas ont les reçoit par message électronique ou alors par téléchargement sur l'ordinateur. Ils se camouflent comme programmes ou jeux inoffensifs. Surtout lors de l'utilisation de "Filesharing-Programmes" (échange de fichiers musique).
Les Trojans possèdent et utilisent une large gamme de fonctions dévastatrices, qui va d'épier les numéros de cartes de crédit et les mots de passe, jusqu'à la destruction de toutes les données. Un sous-groupe particulier de Trojan, les soit disant "Backdoor" (Trappe arrière, porte dérobée), un attaquant employant ceux-ci, peut ainsi s'ouvrir une porte de l'intérieur du PC. Aussitôt qu'un Backdoor est installé, l'agresseur peut prendre le contrôle total de votre PC.
Les premiers "Trojans" ont été crées par les Hackers "The Cult Of The Dead Cow" afin de communiquer entre eux et ces programmes ont ensuite été déviés de leur fonction originale pour s'introduire dans des machines afin de nuire et d'espionner leur utilisateurs....


* Webcam & Chevaux de Troie (TrojanHorses):

Beaucoup de particuliers ont aujourd'hui une Webcam. Justement même si celle-ci n'est pas utilisé par le propriétaire l'agresseur peut l'utiliser pour surveiller et espionner sa victime qui ne se doute de rien. Une Webcam offre une surveillance maximale de la victime.


* Les Dialers:

Les Dialers sont de petits programmes, qui avec un PC équipé d'un Modem permet de se connecter à Internet via un numéro surtaxé. Chaque connexion d'accès à l'Internet peut engendrer des frais considérables allant jusqu'à plusieurs centaines d'euros. En premier lieu, ces Dialers sont propagés par sites Internet. Si la page d'un site vous demande si elle peut installer quelque chose sur votre ordinateur, faire très attention et être très vigilant. Ne vous laissez pas aussi toujours persuader par de constantes questions renouvelées et de cliquer sur "Accepter" sans y avoir assez réfléchi.


* Les Vers ou Worms:

Les Vers-Virus sont en ce moment, le plus grand fléau dans l'Internet. Messages accompagnés d'un dangereux fichier en pièce jointe, qui aussitôt ouvert se lance et se propage en s'envoyant lui-même à toutes les adresses de vos correspondants contenues dans votre carnet d'adresse et provoquent des dommages considérables. Les Vers sont presque tout le temps envoyés par message électronique accompagné d'un fichier en pièce jointe. Aussi longtemps que vous n'ouvrez pas le fichier en pièce-jointe, il n'y aura aucun danger de la part de ce message. Le mieux à faire est de supprimer immédiatement de tels messages. Des Worms, vers-virus circulent actuellement sur le net et sont particulièrement virulents. Ils sont programmés en "VB scripts" (Visual basic) et s'attaquent aux fichiers système indispensables au démarrage de Windows. Le ver Conficker, connu également sous le nom de Downadup ou Kido, continue de recruter ses PC zombies, , un ver atypique qui se répand depuis quelques semaines sur les PC du monde entier. Son but : en faire les esclaves d'un nouveau botnet. La version du virus Conficker, la plus virulente à ce jour, exploite tous les canaux de diffusion (sites Internet piégés, réseaux peer-to-peer, clés USB contaminées). Une fois introduite, elle installe discrètement un petit serveur http pour rester en contact avec le réseau des machines pilotées à distance par les pirates et désactive le centre de sécurité et Windows Update. Elle va même jusqu'à supprimer les points de restauration du système pour empêcher l'utilisateur de rétablir une configuration saine ! Fédérés en réseau (les botnets), les PC infectés (des zombies) peuvent alors servir à envoyer du spam, à saturer un site Web par déni de service ou tout simplement à voler des données. Les éditeurs ont mis leurs bases antivirales à jour pour détecter Conficker. Sans antivirus ou sans alerte de son firewall (quand le ver tente de se connecter à Internet), l'utilisateur a peu de chances de se rendre compte de sa présence. Mais même une fois détecté par l'antivirus, il est difficile à l'éliminer : le ver prend la forme d'un fichier DLL, qui s'associe aux processus "Svchost".


* Les Spywares:

Vos données informatiques ainsi que vos habitudes sont pour quelques entreprises publicitaires une mine d'or. C'est pourquoi, ils ne reculent devant rien pour installer à votre insu leur logiciel dans le but de transférer vos données et d'espionner votre vie privée. Les modules publicitaires qui modifient la page de démarrage de votre navigateur tombent également dans la catégorie des Spywares.


* Les Adwares:

Les Adwares tels que Adware.Magic.Control est un adware susceptible d'ouvrir des "popups" de publicités. Des "popup" d'alertes pour des rogues (Faux programmes) en général comme : WinantivirusPro, Drive Cleaner, SWS Antispywares, Crasy Girls NaviSearch, serwab, Spyware-Secure ou System Doctor etc..vous indiqueront que votre ordinateur est infecté... Adware.Magic.Control utilise des techniques de rootkit (avec création de "regkeys" ou clefs de registre, ce qui le rend difficile à supprimer.  Beaucoup d'antispyware ne sont pas capables de le supprimer. L'infection vient par des programmes piégés... L'installation de ces programmes piégés peut vous avoir été fait par des bannières de publicités...


* Dropper & Payload :

Le dropper est le programme chargé d'installer l'infection sur le système (Payload).
La partie malicieuse est contenue dans le dropper, à l'exécution du dropper ce dernier "libère" le malware sur le système.

Le Payload est la partie active de l'infection sur le système qui effectue les opérations pour lesquelles l'infection a été conçue. Par exemple : envoyer de mails de spammer, attaquer des sites WEB (DoS), donner le contrôle de l'ordinateur aux pirates etc.


Par analogie et pour faire simple, il faut voir le dropper comme le programme d'installation du malware et le Payload comme le programme proprement dit.

Les deux parties de l'infection utilisent en général des familles de malwares différents par exemple, le dropper est en général sous forme de Trojan, Trojan-Downloader (pour télécharger le Payload).
Le dropper est en général un fichier ".exe" d'une taille de 30k à 160k. Un nom générique lui est alors donné Trojan-Downloader.Small (Small pour petite taille) ou Trojan-Downloader.Tiny (Tiny encore plus petite taille).
Mais il peut atteindre le méga octet, selon le type de packers (Themida par exemple) souvent le cas des Rbots/Sdbot.

Le Payload peut avoir divers fonctions et chargés de manière différentes sur le système : Backdoor, keylogger, Rootkits, Payload qui peut être sous forme de services, drivers, BHO sur le système etc.
Un exemple simple sont les infections MSN.
Ces dernières se propagent via des fichiers zip envoyés aux contacts. A l'intérieur de ces fichiers zip nous avons en général des fichiers du type myspace-photo.scr, myalbum-photo.scr etc..
Ces fichiers sont des droppers, ils sont chargés lors de leur exécution d'installer l'infection sur le système qui sont en général de type Backdoor.IRC.
La machine est transformée en "PC Zombie" et est sous le contrôle du pirate.
Mais les choses sont parfois beaucoup plus compliquées avec des mélanges de Trojan-Downloader, Dropper etc.
La différence se fera sur votre attitude de surf (si vous ouvrez tous les fichiers qu'on vous balance ou téléchargez n'importe quoi sur P2P, c'est l'infection à coup sûr quel que soit l'antivirus choisi)...


* Le PC zombie:

Si votre ordinateur est lent, rame, c'est un signe qu'il peut être infecté par un cheval de Troie
Un PC zombie est un ordinateur mal protégé qui a été infecté par un cheval de Troie et, généralement, une backdoor (porte dérobée).

Un tel ordinateur peut être contrôlé à distance par un pirate soit pour envoyer des "spams" (la plupart des spams sont actuellement envoyés par des PC zombie) soit pour créer des attaques par déni de service qui peuvent paralyser un réseau ou un serveur visé comme victime. Tout ceci se passant bien entendu à l'insu de l'utilisateur de l'ordinateur.

60% du spam serait généré par des ordinateurs zombies

"Peerbot.B" est un vers des plus malins. Outre se propager par courriels, il envahit les sites "P2P" en se dupliquant dans les dossiers partagés des utilisateurs. Ainsi, ce programme malveillant peut apparaître dans les résultats d'une recherche effectuée sur le réseau et être téléchargé en lieu et place des fichiers réellement désirés, dont il usurpe l'identité. Et pour attirer le clic du chaland, "Peerbot.B" n'hésite pas à faire le beau et à arborer des noms comme Autocad 2004 Crack.exe, Microsoft Office Professional Crack.exe, Adobe InDesign CS2.exe…etc...Tous les moyens sont bons pour attirer des "clients".

Une fois qu'il a infecté votre ordinateur, Peerbot.B passe à l'action. Il ouvre une porte dérobée dans votre système, permettant à l'auteur du ver de contrôler votre PC à distance, désactive des processus liés aux logiciels antivirus et aux outils de gestion du système d'exploitation et modifie la configuration de Windows afin de bloquer l'accès aux pages Web relatives à la sécurité. L'objectif : Affaiblir la sécurité de votre système pour le rendre vulnérable à des attaques ultérieures.

Mais surtout, la cerise sur le gâteau : Peerbot.B fouille dans vos bases de données SQL Server et MySQL et envoie les données qu'il chaparde – ainsi que l'adresse IP du PC infecté – à son maître.

Peerbot.B est un ver malicieux qui se diffuse via les réseaux P2P comme emule...etc...


* Les clefs USB:

Les clés USB sont désormais devenues les complices de bon nombre de personnes qui ne désirent pas s'encombrer de volumineux disques durs externes. Cependant, l'heure est désormais venue, sans doute de se méfier de ces clés complices, et d'éviter d'y stocker dessus des données sensibles.
On savait que les clés USB pouvaient servir a choper des fichiers, ou infecter l’ordinateur avec des virus, mais maintenant, le prédateur n’est plus celui qu’on croit.
En effet, un petit soft qui se lance en tache de fond sur le PC détecte toute insertion de clé USB dans les ports USB et copie le contenu intégral de celle-ci dans un répertoire sur le disque dur. Si vous désirez en savoir plus ou vous procurer le programme:=> nous contacter
Comment se protéger contre les Spywares/Malwares/Virus/Trojans/Rootkits/Dialers/Worms etc...


Il n'existe pas de solutions ou de protections fiables à 100% !!! La meilleure des protections est une bonne connaissance du fonctionnement d'un ordinateur (ce qui entre et ce qui sort par les différents ports d'un ordinateur, 65535 en tout, à bien configurer...Les 1024 premiers sont réservés aux serveurs, les suivants aux clients. Lorsque qu'un client se connecte à un serveur, le logiciel "attend derrière" un port attribué de façon aléatoire, entre 1025 et 65535. Il faut éviter d'utiliser des logiciels de P2P, un tel logiciel se met "derrière une porte" pendant des heures et laisse donc le champ libre aux pirates (quand je dis "le champ libre", c'est vraiment que n'importe qui peut tenter une intrusion). Pour gérer tout cela, un outil indispensable: le firewall. C'est l'outil indispensable capable de trier les paquets entrants et sortants de votre ordinateur. Il ne laisse passer que ceux qui respectent les règles établies, par vous ou un expert. Il peut ainsi bloquer les tentatives d'intrusion, il bloque les connexions sortantes, imaginons qu'un logiciel malveillant ayant infecté votre système cherche à communiquer avec un pirate pour lui ouvrir la voie sur votre ordinateur : le firewall bloque cette connexion. En gros, le firewall contrôle les paquets entrants, contrôle les paquets sortants, ferme les ports non-utilisés, masque tous les ports, ordonne à l'ordinateur de ne pas répondre aux tests qu'on lui envoie. Il existe deux sortes de "firewall", les firewalls matériels comme les routeurs et les "firewalls logiciels". Le must, c'est d'utiliser son firewall matériel si on en a un, et un firewall logiciel. On est ainsi bien protégé en permanence, et de façon complète à condition toutefois qu'ils ont été bien configuré par un technicien en sécurité informatique, c'est vraiment un outil qui n'est efficace que s'il est bien configuré. Quand au firewall intégré à Windows, il ne surveille ni les applications voulant se connecter, ni les paquets sortants. C'est un firewall incomplet, qu'il faut s'empresser de désactiver pour installer un vrai firewall.


Comment peut-on être infecté ?
Par email

Cette technique est la plus répandue ! Une personne vous envoie un e-mail contenant un virus. En fait, pour transmettre des virus par email, il faut qu’un fichier joint (représenté par un trombone) soit présent. C’est de ce fichier qu’il faut se méfier. Ouvrir simplement le mail sans ouvrir le fichier joint ne représente aucun risque car il est impossible de contaminer un ordinateur rien qu’avec du texte. Une simple précaution serait de n’ouvrir que les mails dont vous connaissez le destinataire. Attention : les pirates sont malins ! Ils pourraient se servir d’un PC de vos amis (il faut d’abord que le pirate ait pris possession du PC à distance) pour vous envoyer des emails contenant un virus. Vous ne vous en méfierez donc pas.


Par téléchargement

Il est possible qu'un fichier provenant d'Internet soit infecté. Soit le site sur lequel vous avez été s’est fait piraté et le pirate a remplacé le vrai fichier par un virus ; soit, le Webmaster du site a volontairement mis un virus à la place d’un fichier (plus rare). Il est donc conseillé d’aller sur des sites de confiance, dont le contenu est régulièrement vérifié. D'autre part, les ActiveX ou un script de Java peuvent amener toute sorte de logiciels nuisibles. N'acceptez de telles procédures uniquement sur des sites de confiance.


Par piratage

Un pirate pourrait détecter un ordinateur sans protection et il suffit alors d’utiliser un port de communication ouvert et s’en servir pour implanter un virus dans votre ordinateur. Pour se protéger de telles attaques, il faut être muni d’un pare-feu et mettre à jour Windows et tous les logiciels que vous utilisez.


Via un autre support

Les clés USB, CD, DVD ou tout support physique pouvant accueillir des données peuvent abriter un virus. Avant l'explosion d'Internet, les échanges de disquette étaient la plus grosse source de duplication des virus. Si maintenant elles ne représentent que quelques faibles pourcents des causes de contamination, mieux vaut continuer à rester prudent et à les analyser.

Un petit mot pour la fin : le firewall est un outil strictement indispensable à tout ordinateur ayant accès à internet. Il permet de gérer les connexions entrantes et sortantes d'un système, et de le masquer aux yeux des autres internautes. J'insiste sur le fait que ce n'est pas un outil qui travaille tout seul, mais en partie sous vos ordres, la hauteur de votre protection dépend donc de votre connaissance...En cas d'attaque ou de tentative d'intrusion, il fera...ou ne fera pas ce que vous lui aurez dit de faire ou de ne pas faire...C'est pour toutes ces raisons que nous vous proposons une installation et une configuration d'un "Antivirus et d'un Firewall" fiables ainsi que leur configuration pour une utilisation de votre ordinateur en toute sécurité. Le firewall (pare-feu) intégré de Microsoft (XP Vista et Seven) ne sert pas à grand chose sinon à rassurer les utilisateurs...Il ne filtre que les connexions entrantes et de manière très superficielle et laisse toutes les connexions sortantes s'exécuter sans aucun filtre...A remplacer au plus vite par un vrai firewall".

Antivirus + Firewall + Anti-spywares/Rootkit = Bonne protection !

En cas de doute ou d'infection vous pouvez toujours nous contacter, soit à titre préventif ou soit à titre curatif.
Nous avons la connaissance, la technique et les outils pour éradiquer tous types d'infection.
En règle générale, soyez prudents, ne téléchargez pas ce que vous ne connaissez pas...
N'installez rien si vous n'êtes pas sûr de ce que vous faites...



Page d'accueil | Services | Composants | Processeurs | Cartes graphiques | Alimentations | Périphériques | Stockage | Boitiers PC | Portables | Logiciels | Nos tarifs | Downloads | Initiation | Formulaire | Plan du site

Retourner au contenu | Retourner au menu