Vers informatiques (worms) : description et fonctionnement

Les vers informatiques (worms en anglais) est une catégorie de menaces informatiques qui  se distinguent par leur capacité à s’auto-propager.
Ils peuvent donc infecter les PC ou autres équipements sans intervention de l’utilisateur.

Les vers informatiques ont existé très tôt, autour de 2004.
Cette page donne un historique et quelques explications autour du fonctionnement des vers informatiques.

Vers informatiques (worms) : description et fonctionnement

Introduction aux vers informatiques

Suite à la sortie du premier ransomware de type « worm » Wana Decryptor. Voici un article concernant les vers informatiques ou worms.

Certaines menaces comme les trojan (cheval de troie) n’ont pas de capacité pour se propager d’un ordinateur à l’autre.
L’utilisateur doit télécharger ou exécuter un fichier malveillant conçu pour installer le trojan dans l’ordinateur (dropper).
Les virus, à proprement parlé, eux sont capables de s’installer d’un ordinateur à l’autre.
Si un utilisateur exécute un fichier infecté alors, le code virale se place alors en mémoire et va infecter tous les exécutables qui vont être ouverts par la suite.

Les vers informatiques, eux, intègrent la possibilité de se propager d’un ordinateur à l’autre de manière plus ou moins automatique.
Cela permet en général, des propagations importantes et surtout très rapides.
Ainsi plusieurs dizaines de milliers d’ordinateurs en quelques jours et ainsi constituer des botnets importants.

Fonctionnement des vers informatiques

Pour pouvoir se propager directement, les vers informatiques exploitent la plupart du temps des vulnérablités à distance.
Les vulnérabilités à distance reposent sur des vulnérabilités sur les services réseaux de Windows.
Ces derniers ouvrent sur l’ordinateur des connexions en écoute.
Si le service réseau comporte une vulnérabilité, le ver va envoyer une requête sur l’ordinateur et exploiter cette vulnérabilité pour exécuter une copie de lui même et infecter l’ordinateur.
Ainsi le ver informatique saute d’un ordinateur à l’autre.

Pour cela, le vers informatique (worm) va envoyer des requêtes à l’aveugle sur tout le réseau afin de tenter de trouver des ordinateurs vulnérables.
Les requêtes vont se faire sur le réseau local mais aussi vers internet afin de trouver des ordinateurs vulnérables.
Les vers informatiques (worms) sont donc dangereux dans les entreprises puisque ces derniers vont tenter de se propager sur tous les ordinateurs du réseau.
Cela peut aussi saturer le réseau, si les requêtes envoyées par les ordinateurs infectés sont agressives.

Mitigation

L’intérêt du pare-feu Windows est alors tout prouvé, puisque ce dernier peut protéger et interdire les connexions vers les services réseaux de Windows.
Ainsi, si l’ordinateur n’est pas à jour et des services réseaux possèdent des vulnérabilités, l’attaque par les ordinateurs infectés par le ver ne pourra pas les atteindre.

Les routeurs / box limitent aussi grandement les vers informatiques Windows puisque, les ordinateurs du réseaux ne sont pas accessibles directement depuis internet.

Bien entendu, il existe des variantes.
Ainsi On peut aussi trouver d’autres vecteurs de propagation et d’exploitation comme

  • des ordinateurs avec des mots de passes faibles sur Windows (Attaque bruteforce)
  • des messages sur réseaux sociaux,
  • les réseaux P2P ainsi que le piratage automatique de site internet.

Worm.Autorun

Les Worm.Autorun sont des vers utilisant les médias amovibles (clés USB, disque dur externe etc).
Apparu autour de 2008, elles sont devenues des menaces informatiques importantes autour de 2011.

Par le passé, Windows exécutait automatiquement le contenu du fichier autorun.inf contenu sur les médias amovibles.
Ainsi, à l’insertion d’un média amovible, on pouvait lancer un setup ou menu automatiquement.
Des vers informatiques (worm) ont alors exploitait ceci, en créant des fichiers autorun.inf qui exécute le vers.
Lors de l’utilisation d’un nouveau média, le vers se copie à nouveau sur le média afin de pouvoir se propager d’un ordinateur à l’autre.

Microsoft a dû publier une mise à jour qui désactive autorun.inf sur Windows 2000, Windows XP et Windows 2003 (KB967715).
Depuis Windows Vista, le système d’insertion automatique a été revu pour limiter ce type d’infection.

Les liens autour de ces Worm.Autorun : Explications infections disques amovibles (clefs USB etc)

Ces vers ont alors changé de méthodes, en copiant les données vers des raccourcis.
Ces derniers reprennent le nom des fichiers présents sur le média amovible.
L’utilisateur croit ouvrir ses données, mais il exécute en réalité, le raccourci qui lance le malware.
Puis lors de l’utilisation d’un nouveau média amovible : les données sont transformées en raccourcis afin d’infecter de nouveaux ordinateurs.
Ces médias amovibles sont écrits, en général, en VBS et portent donc le nom : Worm.VBS
Plus d’informations sur les scripts VBS malveillants : Malware VBS / WSH

Plus d’informations dans cet article.

Historique des vers / worm

Plusieurs vers informatiques ont fait parler d’eux.
Souvent de part leur propagation rapide ou le nombre d’ordinateurs infectés dans le monde.
Voici une présentation des vers informatiques les plus importants.

Blaster

Blaster est un ver informatique qui s’est répandu en août 2003 parmi les ordinateurs tournant avec les systèmes d’exploitation Windows XP et Windows 2000.
Il est également connu sous les noms Nachi, Lovsan et Lovesan car il contient ces deux chaînes de caractères au sein de son code (laissées délibérément par son auteur).

Blaster a exploité une vulnérabilité de type buffer overflow qui était présente dans le service DCOM RPC de Windows XP et 2000.
Il se propageait rapidement vers des adresses IP générées aléatoirement. Une fois infecté, l’ordinateur s’éteignait après 60 secondes.
Le ver était programmé pour commencer une attaque (quatre jours après son apparition) de type SYN flood sur le site des mises à jour Windows (windowsupdate.com) ce qui a forcé Microsoft à rediriger le site vers un autre nom de domaine

Plus de 2 milliards de dollars, des centaines de milliers d’ordinateurs infectés.

De part sa menace, Microsoft a dû sortir le service pack 2 de Windows XP intégrant un pare-feu (firewall).

Bagle

Bagle est un ver de 2004 qui se propageait par des courriers électronique vérolé (virus par mail).
Il s’agit d’un ver informatique, car Bagle était capable de récupérer le carnet d’adresse d’Outlook Express et Microsoft Outlook afin d’envoyer des mails avec des pièces jointes vérolés.
Cela permettait donc de se propager d’un ordinateur à l’autre à travers la toile.
Les mails se présentaient sous la forme d’un message intitulé « Hi » accompagné d’un fichier joint de nom aléatoire, avec extension en .EXE.
Il reprenait l’icône de la calculatrice Windows.
Si ce fichier joint est exécuté, la véritable calculatrice apparaît pour faire diversion. Mais le virus s’envoie aux adresses présentes dans le carnet Windows ainsi que divers autres fichiers, puis tente de se connecter à plusieurs sites web dont les adresses sont préprogrammées.

En 2016, Bagle se propage par les réseaux P2P.
La fiche suivant décrit le mode de propagation : Bagle/Beagle/Trojan.Tooso.R

Le ver Bagle se propageait par des cracks vérolés, qui était en réalité une copie de lui même.
Une fois l’ordinateur infecté, des cracks vérolés étaient créés dans les dossiers de partage des logiciels P2P (Emule, Kazaa etc) afin de pouvoir être mis en ligne et que de nouveaux utilisateurs téléchargent ces derniers.

Le botnet Bagle a pu ainsi compter de 520 000 à 780 000 ordinateurs infectés de par le monde.

Le ver Bagle (Worm.Bagle) à travers des cracks vérolés

Koobface

Koobface est ver informatique de 2008 qui s’attaquaient aux réseaux sociaux Facebook et MySpace.
Les ordinateurs infectaient envoyés des messages malicieux sur les réseaux sociaux ou mur Facebook.

Les messages redirigeaient vers des vidéos, où un faux message d’erreur Adobe Flash apparaissait lors d’une tentative de visionnage.
Un installeur Adobe Flash était alors proposait qui s’avérait être un dropper Worm.Win32.KoobFace

Plus d’informations, voir la fiche : Net-Worm.Win32.Koobface sur FaceBook et MySpace

Le schéma ci-dessous récapitule le mode de distribution du ver KoobFace :

Exemple d’une fausse page de vidéo de Worm.Koobface :

vidéo malveillante du Worm.Win32.Koobface

Conficker

Conficker aka Worm.Downadup est un vers informatique apparu autour de 2009.
Le ver Conficker a infecté des millions d’ordinateurs de part le monde et utilise plusieurs méthodes de propagations :

Le logiciel malveillant Conficker aurait infecté 15 millions d’ordinateurs de part le monde, ce qui a été un des botnet les plus importants jusqu’ici.

Wana Decryptor / WannaCry

Wana Decryptor (aka WannaCry) est un crypto-ransomware qui vise à chiffrer les documents et vous réclamer de payer une rançon pour retrouver l’accès à ces derniers.
Jusque là, rien d’exception, seulement Wana Decrypt0r est le premier ransomware avec des capacités de vers informatiques.
Notamment, ce rançongiciel exploite la vulnérabilité MS17-010, qui vise le serveur de fichiers Windows (qui gère les partages réseaux).
Le fonctionnement est similaire à Blaster, Conficker et autres.
Il permet à partir d’ordinateurs infectés de se propager à d’autres ordinateurs en envoyant des requêtes sur les réseaux.

Cette vidéo présente WanaDecryptor :

En une journée, ce ransomware aurait infecté plus de 50 000 ordinateurs de part le monde.

Plus d’informations sur ce worm.Ransomware :

Le Ransomware Wana Decryptor
WanaDecrypt0r : le premier ransomware avec des fonctionnalités de ver informatique (worm)

La capture d’écran ci-dessous montre les pays les plus vulnérables et exposés à la vulnérabilité exploitée par Wana Decrypt0r.

port 445 vulnérables

On retrouve bien, les pays les plus touchés par WanaCry :

ransomware et ver WanaCry – répartition par pays

Divers autres ver informatique

Quelques commentaires de familles de logiciels malveillants qui possèdent des fonctionnalités de propagation propres.
Ces familles sont en général qualifiés de Trojan et non de Worm.
Ainsi on peut trouver :

Une vidéo Sality/Trojan.Win32.Vilsel en action :

et une présentation du Trojan.Sathurbot :

Les vers IoT

Dans le paragraphe de fonctionnement, il est expliqué que les routeurs et box protègent les ordinateurs du réseau de part les vers provenant d’internet.
En effet, lorsqu’une requête est envoyée sur votre adresse IP internet, c’est le routeur qui est contacté et non un des ordinateurs au sein du réseau.
Cela protège donc des vers informatiques visant Windows.

Seulement, ces routeurs peuvent aussi posséder des vulnérabilités qui permettent de les infecter et faire joindre un botnet.
L’article suivant donne des exemples de ces piratages de routeur en hausse depuis quelques temps : Piratages de routeurs en hausse

Ainsi, des vers ont aussi vu le jour pour automatiser ces attaques et infecter des routeurs de part le monde ou d’autres équipements & objets internet (IoT).
On trouve notamment Linux/Rakos & Linux/Moose qui visent les routeurs.

L’attribut alt de cette image est vide, son nom de fichier est file.php. Worm routeur et Linux/Rakos & Linux/Moose
Worm routeur et Linux/Rakos & Linux/Moose

De manière générale, cela pose le problème de la sécurité des IoT,.
Leurs hack ont permis des attaques DDoS massives, à travers notamment le botnet Mirai, le premier botnet massif d’IoT.
Plus d’informations sur la page suivante.

Conclusion

Les vers informatiques reposent sur un fonctionnement unique, une capacité de se propager en attaquant d’autres ordinateurs du réseau.
Maintenir à jour ses ordinateurs, sites internet est la solution pour se protéger de ces vers informatiques puisque ces derniers exploitent des vulnérablités à distance.
Le pare-feu est aussi une protection importante contre les vers, afin de limiter l’ouverture aux services réseaux et donc la possibilité de piratage.

Liens liés aux virus informatiques

image_pdfimage_print
(Visité 1 641 fois, 1 visites ce jour)

Add Comment