Voici un article autour des virus informatiques et les menaces informatiques en général.
L’article propose quelques définitions, historiques des menaces informatiques.
Mais aussi comment les logiciels malveillants sont distribués et enfin comment s’en protéger.
De nos jours, par le mot virus on désigne toutes formes de menaces informatiques quel que ce soit le type ou la famille.
Le mot Trojan pour cheval de troie a aussi subit le même abus de langage et vise maintenant un peu tout et n’importe quel logiciel malveillant (malware).
Les programmes permettant de détecter et éradiquer ces menaces se nomment antivirus.
Les virus informatiques comment ça marche ?
Table des matières
- 1 Les types de virus et logiciels malveillants
- 2 Comment fonctionnent les virus informatiques
- 3 Pourquoi les virus existent ?
- 4 Désinfection et suppression des virus
- 5 Comment se protéger des virus et sécuriser Windows
- 6 Les virus sur Android
- 7 Virus qui résiste au formatage
- 8 Historique des virus informatiques
- 9 Liens
Les types de virus et logiciels malveillants
Voici les types de logiciels malveillants :
- Trojan ou cheval de troie : Logiciel malveillant qui vise à affaiblir les défenses de l’ordinateur infecté (désactivation du pare-feu, antivirus etc). De nos jours, les Trojans sont devenus des outils qui recouvrent tous types de menaces. Ainsi un trojan peut donner l’accès à l’ordinateur au pirate et faire rejoindre l’ordinateur dans un botnet. Les trojans sont souvent spécialisés dans le vol de données « Trojan Stealer » et notamment dans le données bancaires : Trojan Banker.
- Backdoor : programme malveillant qui vise à donner l’accès à l’ordinateur à un pirate.
- Ransomware : Les ransomwares visent à bloquer l’accès à une ressource en contre-partie d’un paiement (rançon). Les Trojan WinLocker bloquaient l’accès à Windows et demander de payer une somme d’argent. Dernièrement, les crypto-ransomwares chiffrent vos documents et demandent de payer la clé de déchiffrement.
- Spyware : Logiciels espions qui cherchent à surveiller l’activité de la victime et voler des informations. Un spyware peut par exemple avoir des fonctionnalités de keylogger.
- Keylogger : Logiciel capable d’enregistrer les frappes claviers, le but étant en général de voler des identifiants/mots de passe et donc le vol de compte en ligne. Un trojan peut avoir des fonctionnalités de keylogger.
- Vers ou Worm : Ils sont capables de se propager automatiquement. Cela en fait des menaces importantes dans les réseaux d’ordinateur. Enfin il existe aussi les vers par clé USB : Virus par clé USB.
Plus d’informations sur les définitions et nomenclatures concernant les malwares sur la page suivante :
Comment fonctionnent les virus informatiques
Les virus informatiques sont des programmes
Il y a beaucoup de fantasmes autour des virus informatiques à cause de l’analogie avec les “vrais” virus.
Mais les virus informatiques sont des programmes.
Comme tout programme ils obéissent aux même règles que les logiciels non malveillants.
- Ils peuvent posséder des bugs ou défaut de conception.
- Ils peuvent évoluer et se mettre à jour. Ainsi, une famille de malware peut proposer des versions différentes avec des évolutions fonctionnelles.
- Le malware possède un code source. Ce dernier peut être cédé ou vendu. Par exemple lorsque le groupe derrière n’a plus le temps de le maintenir. Il peut aussi arriver que ce dernier soit volé et mis en ligne à l’insu du concepteur.
Le but final est en général de voler des données et constituer un botnet : un réseau d’appareils connectés infectés.
Comment implanter un virus dans un PC
Ensuite pour infecter le PC d’une victime, il faut que le malware soit exécuté dessus.
Voici les méthodes les plus fréquentes pour exécuter un malware sur un PC.
- L’utilisateur exécute le malware sans le savoir. Par exemple un trojan peut se faire passer pour un programme sain. Lorsque l’utilisateur exécute ce fichier, il lance en réalité le malware sur son PC. Bien sûr il existe bien d’autres méthodes pour tromper les internautes.
- Le malware peut se diffuser de manière automatique, on distingue alors plusieurs cas :
- Le ver informatique ou worm est capable de se diffuser de manière automatique d’un PC à l’autre. C’est là sa caractéristique principale qui en fait de lui un type de malware unique. On peut distinguer :
- Le ver réseau qui attaque les services réseaux des PC Windows mal protégé. Ils les infectent grâce à une faille logiciel sur ces derniers.
- Les vers par disques amovibles qui se transmets par clé USB, disque Flash etc. Lire la page : Les virus par clé USB.
- Le virus (au sens strict du terme) se diffusent en infectant les exécutables. Ainsi un utilisateur peut le transporter d’un PC à l’autre sans le savoir. Par exemple en copiant un setup infecté par clé USB et en l’exécutant sur un nouveau PC.
- L’attaque Drive By Download ou Web Exploit permet de diffuser des malwares de manière automatique sans interaction de l’utilisateur.
- Le ver informatique ou worm est capable de se diffuser de manière automatique d’un PC à l’autre. C’est là sa caractéristique principale qui en fait de lui un type de malware unique. On peut distinguer :
Les méthodes pour infecter les internautes les plus courantes
Parmi les méthodes les plus courantes, on trouve :
- les emails malveillants – souvent avec des pièces jointes, vous exécutez le contenu de la pièce jointe, le virus se lance.
- par des exploits sur des sites WEB.
- Cas particuliers pour les Adwares et PUPs – reportez-vous au dossier : Dossier Adwares/PUPs : programmes indésirables et parasites.
- Attention aussi aux sites piégés (faux sites de téléchargement etc) : Le danger des cracks et keygen !
La page suivante donne plus de détails sur ces méthodes pour infecter les PC.
Après la première exécution
Dans le cas d’un virus, ce dernier va alors devenir actif en mémoire puis infecter tous les exécutables que l’utilisateur ou le système va démarrer.
Tous les autres malwares fonctionnent plutôt de la manière suivante :
Une fois exécuté, le malware copie un ou plusieurs fichiers dans certains emplacements.
Par exemple, le dossier Windows ou le dossier AppData.
Enfin il va créer les entrées autoruns pour la persister dans le système (voir le paragraphe suivant).
Le processus est actif et peut-être visible dans le gestionnaire de tâches.
Pour passer inaperçu, il peut prendre le nom d’un fichier système ou d’une application connue.
Cela le rend invisible dans le gestionnaire de tâches puisque ce dernier ne permet pas de visualiser les fichiers DLL.
Plus d’informations : Injection de code (PE/DLL injection) et dropper.
Enfin le malware peut alors effectuer les tâches pour lequel il a été programmé ou reçu par les pirates qui le contrôlent.
La persistance dans le système
Une fois le malware exécuté, il faut que ce dernier puisse rester dans le système.
En effet lorsque vous arrêtez le PC et Windows, le malware s’arrête.
Il faut donc faire en sorte que le malware se lance au démarrage du système d’exploitation.
Pour ce faire, le malware doit utiliser des autoruns.
Les autoruns sont des emplacements du système qui permettent à un programme de se lancer au démarrage de Windows.
Le plus connus est la clé Run.
C’est à partir de cet emplacement que la plupart des programmes se lancent au démarrage de Windows.
Certains permettent même de rendre le malware actif en mode sans échec de Windows.
La page suivante donne une liste : Les points de chargement ou autoruns de Windows.
La chaîne pour infecter un PC par un malware
En résumé, voici un schéma classique d’une chaîne d’infection par un malware :
- La victime exécute le malware
- Ce dernier copie les fichiers dans les emplacements du système
- Le logiciel malveillant créé dans les points de chargements de Windows
- Puis il exécute les tâches pour lesquelles il a été conçu.
Processus d’infection d’un ransomware
Ci-dessous un exemple avec un ransomware :
- La victime reçoit un mail avec une pièce jointe malveillant (un JavaScript ou script PowerShell) ou elle se fait infecter par un Web Exploit Kit.
- Le Ransomware s’exécute alors sur le PC (ici avec la variante Cerber)
- Les fichiers sont chiffrés et les instructions de paiements s’affichent à l’écran.
- Ici aucune persistance. Le rançongiciel se lance puis chiffre les données et et se ferme. Nul besoin de tenter de rester actif au redémarrage de Windows.
A noter qu’un Trojan Stealer peut faire de même. Ils volent les données puis se ferme sans laisser de trace. La victime ne saura pas que ses données et mots de passe ont été volés.
Cas des malvertising + Web ExploitKit
Voici un autre cas simple avec une attaque Drive By Download à travers une publicité malveillant (malvertising).
- La victime surf sur le net et charge un site WEB contenant une publicité malveillante.
- Celle-ci contient un JavaScript qui redirige vers un WebExploit Kit (ici Neutrino EK)
- Puis ce dernier teste les logiciels et plugins du navigateur WEB. Si un contient une vulnérabilité et faille logiciel, le malware se charge de manière automatique.
La publicité sert de source de trafic et se loge dans des sites internet sain.
Cela permet de capter des milliers d’internautes et au final des campagnes de malwares à grande échelle.
Trojan Banker dans les entreprises
On termine par un processus d’infection un peu plus complexe avec Emotet.
Il s’agit d’une famille importante de Trojan Banker.
- L’attaque utilise une campagne de mail malveillant comme premier contact. Les entreprises ou institutions étatiques sont particulièrement visés.
- La victime ouvre et exécute la pièce qui ouvre Office.
- Si la Macro s’exécute, le Trojan Emotet est téléchargé puis exécuté sur la machine. Plus d’informations sur la page : Les virus par Word et Excel (documents Office) : comment s’en protéger.
- Le cheval de troie télécharge à son tour un autre malware TrickBot.
- Ce dernier a un mode de propagation et diffusion propre. Ils cherchent sur le réseau des PC avec une faille SMB.
- Si des PC mal protégé et vulnérables sont présents, ils installent un ransomware.
Ces attaques sont particulièrement dévastatrice pour les entreprises.
On voit qu’un cheval de troie sert de porte d’entrée pour une attaque en cascade.
La simple ouverture d’un fichier malveillant comme un Javascript qui permet de télécharger et installer un malware peut ensuite amener en cascade divers autres malwares.
C’est donc un article complémentaire : Comment fonctionnent les trojans : les explications.
Pourquoi les virus existent ?
La réponse se trouve sur le dossier : Business malwares : le Pourquoi des infections informatique.
Mais clairement pour faire de l’argent.
Mais depuis quelques années, on trouve aussi des menaces qui visent à déstabiliser des entreprises ou autres états.
On peut alors parler de cyberguerre.
Des groupes se spécialisent dans des activités spécifiques comme :
- Certains groupes créent des malwares qu’ils proposent en vente ou en mode SaS
- Vendre du trafic par pour rediriger vers des Web ExploitKit
- L’élaboration de Web ExploitKit
- La vente de Packers/crypters
- Louer des botnet pour mener des attaques ou envoyer des mails de SPAM. Par exemple le botnet Necurs est souvent à l’origine de grande campagne de malware.
L’article suivant donne beaucoup plus de détails sur les motivations.
Désinfection et suppression des virus
Les procédures de désinfectons diffèrent selon le type de menaces.
En effet, des outils spécifiques peuvent être créés.
Le site propose des procédures de désinfections propres selon le type de logiciels malveillants.
- Pour les adwares :
- Pour les Trojans et virus :
Malwarebytes Anti-Malware s’avère très efficace pour supprimer les virus et autres infections.
Comment se protéger des virus et sécuriser Windows
Suivre ce guide complet pour sécuriser votre PC contre les attaques et malwares.
Comme l’explique ce tutoriel, votre attitude sur internet reste primordiale pour ne pas infecter Windows notamment à travers les téléchargements et fichiers que vous exécutez.
Les virus sur Android
Se reporter sur le dossier : Les virus sur Android
Virus qui résiste au formatage
et puis il y a le mythe des virus qui résistent au formatage et notamment des virus BIOS.
Lire le dossier qui suit.
Historique des virus informatiques
Si le sujet vous intéresse, vous pouvez poursuivre avec cet article sur l’historique complet des logiciels malveillants, virus et malwares.