Les nouvelles stratégies des virus

14/04/2005 à 00h00

Peur des virus ? Apprenez donc à connaître leur fonctionnement pour mieux les détecter et les éviter !

Qui n'a jamais reçu un courriel au titre énigmatique expédié par un inconnu, la plupart du temps en anglais et incitant à ouvrir la pièce jointe ? Si, méfiant, vous avez directement supprimé le message, vous avez eu le bon réflexe car il s'agissait probablement d'un virus informatique. Mais si, curieux comme un chat, vous êtes allé regarder de plus près le fichier attaché, vous avez sans doute déclenché le virus.Ce qui n'a d'ailleurs pas forcément eu un effet visible immédiat. Et pour cause : alors que les premiers virus s'attaquaient au contenu du disque dur dans le but de le détruire, les virus actuels cherchent, eux, à rester incognito le plus longtemps possible pour mener à bien des missions d'un nouveau genre, mais toujours aussi malveillantes. L'arrivée d'Internet et de son gigantesque réseau d'ordinateurs connectés a bousculé le petit monde des virus. Avec pour effet immédiat la jonction de deux communautés : celle des créateurs de virus et celle des pirates, qui s'échinaient à contourner les systèmes de sécurité.

L'alliance des nuisibles

Les virus et leurs nouvelles variantes sont désormais des portes d'entrée pour les pirates qui s'attaquent à nos micros. Au-delà du détournement lucratif d'informations, les créateurs de virus cherchent aujourd'hui à nuire aussi au réseau en l'encombrant inutilement. Cela passe par la circulation maximale de courriels ou par l'attaque des sites Internet de grandes institutions

Un virus, c'est quoi ?

Un virus informatique est un petit programme autonome qui cherche à s'incruster sur le plus grand nombre d'ordinateurs afin de commettre des malveillances. Pour cela, il se recopie lui-même dans le maximum de fichiers. Cette copie peut remplacer des données originales du fichier infecté (qui sont alors perdues), ou bien s'y ajouter sans modifier le contenu. Le langage de programmation utilisé par les créateurs de virus varie selon la nature des fichiers ciblés et des systèmes d'exploitation. Avec la généralisation de Windows, on note une préférence pour les langages C et C++, accessibles à tous. Un virus peut être reçu par courriel, téléchargé depuis Internet ou transmis par disquette ou clé USB. La réception par courriel est le moyen le plus répandu. Le virus arrive en général en pièce jointe sous la forme d'un fichier exécutable (extension en.com,.cmd,.bat,.exe,.pif), parfois caché dans un fichier Zip. Tout est alors mis en ?"uvre pour vous inciter à l'ouvrir. Le nom du fichier lui-même peut participer à la tromperie en affichant une double extension. Par exemple, un fichier photo1.jpg.pif peut être pris pour une image... Dans tous les cas, pour qu'un virus soit dangereux, il aura fallu l'activer en ouvrant le programme. Une fois la contamination déclenchée (destruction de tout ou partie du contenu du disque dur, envoi de messages à tout le carnet d'adresses, etc. ), le virus ruse pour survivre. Par exemple, il modifie les clés du registre de Windows de manière à être exécuté dès le démarrage du PC. Un virus évolue souvent en de multiples variantes. Leurs auteurs essaient, à partir de la première version, de l'améliorer en modifiant une partie de son programme, voire en ajoutant des modules entiers. Ils espèrent ainsi augmenter leur efficacité et leur espérance de vie, avant que les antivirus ne soient capables de les détecter

Les vers se reproduisent à vitesse grand V

D'un fonctionnement somme toute assez simple au début, les virus ont évolué avec le développement d'Internet pour donner naissance à une version plus sophistiquée : les vers (worms). La grande différence entre les deux familles tient à leur rayon d'action. Au lieu de se reproduire de fichier à fichier, les vers utilisent le Web pour circuler directement d'un micro à l'autre. Leur vitesse de prolifération s'en trouve décuplée. A l'origine, le ver, pour pénétrer sur un PC, passe par les fameuses failles de sécurité des logiciels (Windows, Internet Explorer et Outlook). Dès que l'une d'elles est révélée par un éditeur ?" souvent par la mise en ligne d'un correctif ?", les créateurs de vers s'empressent de l'exploiter. Ils misent sur le délai entre l'annonce et le téléchargement du correctif (patch) par les utilisateurs. On compte aujourd'hui de 5 à 6 jours entre la révélation d'une faille et l'apparition des premiers vers l'utilisant. Pour se propager, le ver utilise tous les outils du réseau (messagerie, dossiers en partage, réseaux peer to peer, messagerie instantanée). Certains sont en mesure de scanner le réseau pour chercher des PC vulnérables. Mais les derniers vers, nés en 2004, montrent une préférence pour le peer to peer et le courriel piégé. Le ver peut même créer un accès à Internet pour s'envoyer lui-même par courriel. Les plus évolués adaptent objet, texte, nom du fichier joint et adresse de l'expéditeur au destinataire visé. Autre évolution : quatre des cinq vers les plus virulents l'an passé usaient de techniques proches de celles d'un cheval de Troie

Chevaux de Troie, des agents ennemis qui s'infiltrent

Ce troisième membre de la grande famille des nuisibles est un peu particulier. En effet, contrairement au virus et au ver, le cheval de Troie informatique n'a pas pour but de se reproduire. Il suit la même stratégie que son modèle de la mythologie grecque : le camouflage. Il peut se faire passer pour un autre logiciel (par exemple un outil supposé éradiquer un autre virus) ou bien s'installer à votre insu en même temps qu'un programme téléchargé ou reçu par courriel. Une fois le fichier ouvert, le cheval de Troie ouvre ce qu'on appelle une porte dérobée (en anglais ' backdoor ') sur le micro et la maintient grande ouverte. Plus précisément, il active un des ports qui servent au dialogue entre le micro et Internet et contrôle son accès en toute impunité. A ce stade, l'armée grecque est remplacée par les pirates qui, par cette porte, peuvent pénétrer sur le micro et en prendre le contrôle. Au début, les pirates étaient plutôt des farceurs : ils faisaient redémarrer la machine, déplaçaient le curseur de la souris, semaient le désordre sur l'ordinateur. Aujourd'hui, ils sont capables de récupérer tout ce que vous tapez au clavier avec, pour cible privilégiée, les identifiants et mots de passe que vous utilisez sur les sites marchands ou vos numéros de comptes sur le site de votre banque.

Mais attention, virus, vers et chevaux de Troie peuvent se mélanger. Les nouveaux virus combinent ainsi plusieurs stratégies (un ver qui contient un cheval de Troie par exemple). La technique de la porte dérobée peut aussi être utilisée par un ver. Et une porte ouverte par l'un à un moment donné peut très bien être utilisée plus tard par un autre.

Les pirates possèdent des outils pour scanner le réseau à la recherche de micros abritant des portes dérobées afin de s'en servir pour des actions illicites, comme l'envoi de spam. En cas d'enquête, la tranquillité du pirate est assurée puisque les autorités remonteront aux machines qui ont joué le rôle d'écran

Des virus de plus en plus évolués

Pour comprendre plus facilement ce qui peut se produire, voici la manière de procéder de quelques virus récents.

Apparu début 2004, ce virus se propage par courriel et par l'intermédiaire du logiciel d'échange de fichiers Kazaa. MyDoom se présente sous la forme d'un courriel accompagné d'un fichier joint qui donne l'impression d'avoir affaire à un fichier texte. Lorsque celui-ci est ouvert, le virus se copie dans le dossier C:WindowsSystem et modifie le registre afin de s'exécuter à chaque démarrage. MyDoom s'expédie aussi par courriel à toutes les adresses contenues dans le carnet de Windows et se copie sous des noms aguicheurs dans le dossier de partage de Kazaa. MyDoom installe également une porte dérobée : celle-ci a été utilisée par la suite par un autre ver, DoomJuice, pour lancer des attaques contre le site de Microsoft.

Ce ver a été découvert en avril 2004, soit une semaine après l'annonce d'une faille de sécurité de Windows qu'il exploite depuis. Il suffit qu'un micro ?" qui n'est pas à jour dans ses correctifs ?" se connecte à Internet pour qu'il se retrouve infecté par Sasser. Le virus provoque alors le téléchargement et l'exécution d'un fichier qui peut lancer 128 processus simultanément pour balayer le réseau à la recherche de nouvelles machines vulnérables. L'activité du virus rend le système instable et provoque le redémarrage du micro après l'affichage d'un message d'erreur.

Répertorié en juin 2004, ce virus se propage par courriel et par l'intermédiaire des dossiers partagés. Zafi tente de se faire passer pour une carte de v?"ux virtuelle. Lorsque le fichier est exécuté, le virus se copie dans le dossier C:WindowsSystem ainsi que les dossiers de partage des logiciels d'échange de fichiers. Il modifie également le registre de Windows dans l'intention d'être exécuté à chaque démarrage du micro. Il s'envoie de manière automatique aux adresses du carnet de Windows ainsi qu'à celles contenues dans de nombreux types de fichiers. D'autre part, Zafi tente d'arrêter l'antivirus et le pare-feu de votre ordinateur, et de remplacer leur fichier exécutable par le sien.

Ce cheval de Troie, apparu fin 2004, se présente sous la forme d'une page Web piégée. Celle-ci peut être reçue en pièce jointe d'un courriel ou sous forme de lien hypertexte. Phel exploite une faille d'Internet Explorer. Lorsque le fichier est ouvert dans une version vulnérable du navigateur, Phel tente de télécharger et lancer plusieurs logiciels malveillants, dont un autre cheval de Troie qui permet la prise de contrôle du PC infecté.

Ce virus aux nombreuses variantes depuis 2003 se propage par courriel en tentant de faire passer la pièce jointe pour un utilitaire antivirus. L'objet du message parle d'un virus sur le micro de l'utilisateur et le fichier attaché s'intitule removal-tool.exe, check_patch.bat, antivirusdoc.pif, etc. Quand le fichier est ouvert, le virus se copie en trois exemplaires dans le dossier C:Windows System, modifie le registre, et s'envoie aux adresses du carnet et à celles récupérées dans divers types de fichiers. Une variante envoie du spam de propagande politique en allemand.

Qu'est-ce que c'est ?

Système d'échange de fichiers via Internet. Les logiciels de peer to peer relient directement entre eux plusieurs micros pour qu'ils s'échangent des fichiers placés dans un dossier spécial de leur disque dur. Ce système facilite grandement le piratage.

Fenêtre numérotée ouverte par le PC pour recevoir et envoyer des données via Internet. A un port correspond un logiciel (MSN Messenger par exemple) ou un type de données (du courrier électronique par exemple).

Le terme spam désigne les courriels indésirables (principalement publicitaires) reçus dans les boîtes électroniques personnelles ou dans les entreprises. C'est une technique marketing de diffusion de messages en masse, qui utilise des adresses électroniques collectées à linsu des internautes.

Olivier Lapirot