Les Virus et Trojan – comment les internautes se font infecter

Les malwares sont devenus une vraies plaies pour les internautes.
La peur repose surtout sur la méconnaissance.
Le fonctionnement ou comment les pirates infectent les internautes.

Voici les méthodes les plus utilisées pour infecter Windows et distribuer des virus/malwares.
Des méthodes pour infecter les internautes connues et d’autres moins (enfin sauf si vous suivez le site régulièrement ;)).

Le but est de connaître la façon utilisées pour installer une infection sur votre ordinateur.
Une fois que vous avez compris, vous pouvez les éviter.

En parallèle, vous pouvez aussi lire la page : Pourquoi et comment je me fais infecter?

Les Virus et Trojan - comment les internautes se font infecter

Comment les virus informatiques sont distribués

Les Emails Malicieux (virus par email)

Une méthode bien connue par les internautes depuis les grands vers informatiques de 2004 (Blaster, MyDoom etc).
Les virus par emails.

Le gros avantage de cette méthode de distribution est qu’elle ne coûte pas cher à mettre en place.
Enfin il reste possible de louer des botnet comme Cutwail.

Les Trojan Banker du type Zbot/Zeus a utilisé ce vecteur pendant plusieurs années.
Surtout entre les années 2008 et 2012.

Les pièces jointes étaient au format zip contenant l’exe.
Souvent avec une double extension pour tromper l’internaute.
Par exemple, .jpg.exe, or Windows masque l’extension.
Ainsi l’internaute ne voit que .jpg et croit avoir affaire à une image.

Puis ensuite un grand retour des mails malveillants avec les Crypto-Ransomware ou d’autres Trojan Banker comme Cridex.
Ce retour marque l’utilisation de JavaScript ou VBScript ou encore de Word malveillant contenant des macros.
On retiendra :

Pour les documents Word malveillants, plus d’informations sur notre article consacré à ces derniers : Les virus par Word et Excel (documents Office) : comment s’en protéger

Contrairement aux idées reçues, les campagnes peuvent être en en langue française.

Les vidéos suivantes montrent des pièces jointes en Office (Word/Excel) et PDF malicieux qui permettent l’installation d’un logiciel malveillant :

ou encore cette autre vidéo.

Les Web Exploit ou drive by download

Moins connus du grand public les Web Exploit.
Cela consiste à infecter un ordinateur à la simple visite d’un site WEB.
Un autre nom donné à ce type d’infection est le drive by download.

Pour ce faire, le pirate pirate des sites WEB par exemple en masse après la publication d’une vulnérabilité sur WordPress.
Mais aussi tenter de proposer des publicités malicieuses (malvertising).
A partir de là, le site WEB va charger automatiquement un Web ExploitKit.
C’est à dire un site WEB et FrameWork conçu et dédié pour infecter les internautes.
D’où l’importance de tenir à jour tous ses programmes afin de s’en protéger.

Une vidéo qui montre un malware chargé par un Web Exploit :

ou encore :

Plus de détails :

Les faux sites de cracks et keygen

Méthodes très anciennes et répandues qui consistent à créer de faux sites de cracks et keygen.
La page Le danger des cracks et keygen ! résume et illustre cette méthode.
Notez aussi la page : Faux site de crack : ça marche encore bien

Les PUPs et Adwares, à travers la plateforme de distribution AMonetize utilise cette méthode de distribution d’infection.

Faux messages de mises à jour Flash/Java

De faux messages de mises à jour Flash et Java ou autres prétextes (lecteur vidéo/codec à mettre à jour) peuvent aussi s’ouvrir durant le surf.
Plus sur les sites de streaming ou téléchargement illégaux.
La page suivante en recense quelqu’une Publicités malicieuses : fausse mise à jour Flash

Ces pages redirigent en général vers des programmes indésirables (PUPs) et Adwares (Logiciels Publicitaires).
Se rendre sur la page pour découvrir toutes les méthodes utilisées :  Adwares PUA/PUP/PUP.Optional/LPI : Potentially Unwanted Program

PUP_flash
fausse_mise_jour_flash_optimum_affiliation
allmplayerupdates_fakeflashplayer2

Enfin les vidéos streaming pour installer des Trojans et les RATs (Remote Access Tools).
Les auteurs mettent en ligne de vidéo (cracks, cheat de jeux et autres) avec un lien pour télécharger le soit disant programme miracle.
Le lien mène bien entendu au malware/virus et sert de prétexte.
Exemple ci-dessous avec un pokcerstars hack et le lien est donné en description de la vidéo.

Même principe ci-dessous, avec un programme pour pirater des comptes Facebook :

Les mêmes méthodes sont utilisées sur les réseaux sociaux qui mènent à des sites vidéo ou pour voir la vidéo vous devez télécharger une extension ou autres.
Les Virus Facebook se propagent de la même manière.

Plus d’informations sur les virus et arnaques sur le dossier suivant.

Enfin cette vidéo montre comment les pirates utilisent Youtube pour infecter les internautes :

SEO empoisonnement : redirections recherches Google

Cette méthode consiste à empoisonner les moteurs de recherche en créant une multitude de site WEB qui apparaitront dans les résultats de Google.
En positionnant le site haut dans les résultats de recherches, on peut obtenir beaucoup de clics.
Une autre variante consiste aussi à pirater des sites WEB puis créer des pages WEB depuis ce dernier.
On utilise alors la notoriété Google du site pour rediriger les internautes vers du contenu malveillant.
Souvent ces pages redirigent vers des sites de promotion de viagra mais peuvent mener à des Web Exploit aussi.

La page suivante résume cette méthode de distribution : SEO empoisonnement : redirections recherches Google

Voici un exemple de résultat Google avec des pages de SEO poisonning.
Il faut donc bien lire le contenu des résultats de recherche avant de cliquer.

seo_poisoning_Android
seo_poisoning_Android_2

Vers informatiques (worm)

Cas particuliers des vers informatiques ou worm en anglais.
En effet, ces derniers ont des capacités d’auto-réplication.
Plus d’informations, lire le dossier : les vers informatiques / worm.

Les infections disques amovibles (Autoruns)

Les infections par disques amovibles se propagent par disques amovibles ( clefs USB, disques externes, cartes flash etc.. ) et rentrent dans la catégorie des vers informatiques / worm.
Tous les disques amovibles infectés qui vont être utilisés sur un ordinateur vont infecter ce dernier.
A l’insertion d’un nouveau média amovible, le virus autorun va se copier dessus pour infecter les nouveaux ordinateurs.
L’infection se propage ainsi de PC en PC à travers l’utilisation des clefs USB, disque dur externes etc.

Ceci était le premier mode de distribution car Microsoft a suite à cela, publiées des mises à jour pour désactiver Autorun.
Depuis Windows Vista, une popup avec les actions à effectuer s’ouvrent.

Une nouvelle méthode de virus USB existent depuis quelques années.
Ces derniers remplacent les documents du médias amovibles par des raccourcis et masquent les vraies données.
Tous les raccourcis créés par le malware pointent vers le virus.
Lorsque l’utilisateur ouvre sa clé et croit avoir ses documents, c’est en réalité le virus qu’il exécute sur l’ordinateur.
Le virus est souvent sous la forme d’un Script VBS : Malware par VBS / WSH

Plus d’informations sur ces infections par disques amovibles : Infections par disques amovibles

Conclusion

Il existe bien sûr des variantes à toutes ces méthodes.
Le but final est d’obtenir du trafic pour rediriger vers du contenu malicieux. On peut aussi avoir des attaques plus ciblées.
Par exemple, en piratant le compte mail et en envoyant des emails au contact en se faisant passer pour un ami.
Toutes ces attaques reposent souvent sur la même technique dit social engineering où on se fait passer pour une entité connue et de confiance.

Pour palier à certaines de ces attaques virales, des règles sont à suivre, par exemple, contre les Web Exploit, il faut maintenir ses programmes à jour et sécuriser son navigateur.
Reste que dans la majorité des cas, la vigilance suffit. La connaissance des utilisateurs aident aussi, un utilisateur averti en vaut deux.
D’où l’importance de se tenir un minimum à jour sur les campagnes en cours.

Pour sécuriser son ordinateur, je vous renvoie sur la page : Comment Sécuriser son ordinateur

D’autres dossiers sur les méthodes utilisées pour tromper les internautes et faire installer des logiciels malveillants :

Liens connexes

et le tutoriel pour sécuriser son ordinateur : Comment sécuriser Windows.

ou encore comment protéger Windows 10 des virus, lire le tuto Quelles protections pour Windows 10 contre les virus ? et en vidéo :

image_pdfimage_print
(Visité 5 225 fois, 6 visites ce jour)

One Response

  1. Sauvegarde informatique 1 mars 2016

Add Comment