Menu Fermer

Les virus informatiques : fonctionnement et protections

Cette entrée fait partie d'une série de 2 sur 13 dans la série Virus et Trojan : le dossier COMPLET

Voici un article autour des virus informatiques et les menaces informatiques en général.
L’article propose quelques définitions, historiques des menaces informatiques.
Mais aussi comment les logiciels malveillants sont distribués et enfin comment s’en protéger.

De nos jours, par le mot virus on désigne toutes formes de menaces informatiques quel que ce soit le type ou la famille.
Le mot Trojan pour cheval de troie a aussi subit le même abus de langage et vise maintenant un peu tout et n’importe quel logiciel malveillant (malware).
Les programmes permettant de détecter et éradiquer ces menaces se nomment antivirus.

Les virus informatiques comment ça marche ?

Les virus informatiques : fonctionnement et protections
Les virus informatiques : fonctionnement et protections

Les types de virus et logiciels malveillants

Voici les types de logiciels malveillants :

Dans cet article le mot virus aura la portée générale utilisée par tout le monde et non la définition technique.
  • Trojan ou cheval de troie : Logiciel malveillant qui vise à affaiblir les défenses de l’ordinateur infecté (désactivation du pare-feu, antivirus etc). De nos jours, les Trojans sont devenus des outils qui recouvrent tous types de menaces. Ainsi un trojan peut donner l’accès à l’ordinateur au pirate et faire rejoindre l’ordinateur dans un botnet. Les trojans sont souvent spécialisés dans le vol de données « Trojan Stealer » et notamment dans le données bancaires : Trojan Banker.
  • Backdoor : programme malveillant qui vise à donner l’accès à l’ordinateur à un pirate.
  • Ransomware : Les ransomwares visent à bloquer l’accès à une ressource en contre-partie d’un paiement (rançon). Les Trojan WinLocker bloquaient l’accès à Windows et demander de payer une somme d’argent. Dernièrement, les crypto-ransomwares chiffrent vos documents et demandent de payer la clé de déchiffrement.
  • Spyware : Logiciels espions qui cherchent à surveiller l’activité de la victime et voler des informations. Un spyware peut par exemple avoir des fonctionnalités de keylogger.
  • Keylogger : Logiciel capable d’enregistrer les frappes claviers, le but étant en général de voler des identifiants/mots de passe et donc le vol de compte en ligne. Un trojan peut avoir des fonctionnalités de keylogger.
  • Vers ou Worm : Ils sont capables de se propager automatiquement. Cela en fait des menaces importantes dans les réseaux d’ordinateur. Enfin il existe aussi les vers par clé USB : Virus par clé USB.

Plus d’informations sur les définitions et nomenclatures concernant les malwares sur la page suivante :

Comment fonctionnent les virus informatiques

Les virus informatiques sont des programmes

Il y a beaucoup de fantasmes autour des virus informatiques à cause de l’analogie avec les “vrais” virus.
Mais les virus informatiques sont des programmes.
Comme tout programme ils obéissent aux même règles que les logiciels non malveillants.

  • Ils peuvent posséder des bugs ou défaut de conception.
  • Ils peuvent évoluer et se mettre à jour. Ainsi, une famille de malware peut proposer des versions différentes avec des évolutions fonctionnelles.
  • Le malware possède un code source. Ce dernier peut être cédé ou vendu. Par exemple lorsque le groupe derrière n’a plus le temps de le maintenir. Il peut aussi arriver que ce dernier soit volé et mis en ligne à l’insu du concepteur.
Les malwares sont créés pour être diffuser et toucher le plus d’ordinateurs.
Le but final est en général de voler des données et constituer un botnet : un réseau d’appareils connectés infectés.

Comment implanter un virus dans un PC

Ensuite pour infecter le PC d’une victime, il faut que le malware soit exécuté dessus.
Voici les méthodes les plus fréquentes pour exécuter un malware sur un PC.

  • L’utilisateur exécute le malware sans le savoir. Par exemple un trojan peut se faire passer pour un programme sain. Lorsque l’utilisateur exécute ce fichier, il lance en réalité le malware sur son PC. Bien sûr il existe bien d’autres méthodes pour tromper les internautes.
  • Le malware peut se diffuser de manière automatique, on distingue alors plusieurs cas :
    • Le ver informatique ou worm est capable de se diffuser de manière automatique d’un PC à l’autre. C’est là sa caractéristique principale qui en fait de lui un type de malware unique. On peut distinguer :
    • Le virus (au sens strict du terme) se diffusent en infectant les exécutables. Ainsi un utilisateur peut le transporter d’un PC à l’autre sans le savoir. Par exemple en copiant un setup infecté par clé USB et en l’exécutant sur un nouveau PC.
    • L’attaque Drive By Download ou Web Exploit permet de diffuser des malwares de manière automatique sans interaction de l’utilisateur.

Les méthodes pour infecter les internautes les plus courantes

Parmi les méthodes les plus courantes, on trouve :

La page suivante donne plus de détails sur ces méthodes pour infecter les PC.

Après la première exécution

Dans le cas d’un virus, ce dernier va alors devenir actif en mémoire puis infecter tous les exécutables que l’utilisateur ou le système va démarrer.

Tous les autres malwares fonctionnent plutôt de la manière suivante :

Une fois exécuté, le malware copie un ou plusieurs fichiers dans certains emplacements.
Par exemple, le dossier Windows ou le dossier AppData.
Enfin il va créer les entrées autoruns pour la persister dans le système (voir le paragraphe suivant).
Le processus est actif et peut-être visible dans le gestionnaire de tâches.
Pour passer inaperçu, il peut prendre le nom d’un fichier système ou d’une application connue.

Ici on parle de processus mais le malware peut aussi sous la forme d’une DLL Qui s’injecte dans un processus système.
Cela le rend invisible dans le gestionnaire de tâches puisque ce dernier ne permet pas de visualiser les fichiers DLL.
Plus d’informations : Injection de code (PE/DLL injection) et dropper.

Enfin le malware peut alors effectuer les tâches pour lequel il a été programmé ou reçu par les pirates qui le contrôlent.

La persistance dans le système

Une fois le malware exécuté, il faut que ce dernier puisse rester dans le système.
En effet lorsque vous arrêtez le PC et Windows, le malware s’arrête.
Il faut donc faire en sorte que le malware se lance au démarrage du système d’exploitation.

Pour ce faire, le malware doit utiliser des autoruns.
Les autoruns sont des emplacements du système qui permettent à un programme de se lancer au démarrage de Windows.
Le plus connus est la clé Run.
C’est à partir de cet emplacement que la plupart des programmes se lancent au démarrage de Windows.

La liste des programmes au démarrage de Windows
C’est ici le cas simple car en réalité il existe des dizaines et dizaines de points de chargements.
Certains permettent même de rendre le malware actif en mode sans échec de Windows.
La page suivante donne une liste : Les points de chargement ou autoruns de Windows.

La chaîne pour infecter un PC par un malware

En résumé, voici un schéma classique d’une chaîne d’infection par un malware :

  1. La victime exécute le malware
  2. Ce dernier copie les fichiers dans les emplacements du système
  3. Le logiciel malveillant créé dans les points de chargements de Windows
  4. Puis il exécute les tâches pour lesquelles il a été conçu.

Processus d’infection d’un ransomware

Ci-dessous un exemple avec un ransomware :

  • La victime reçoit un mail avec une pièce jointe malveillant (un JavaScript ou script PowerShell) ou elle se fait infecter par un Web Exploit Kit.
  • Le Ransomware s’exécute alors sur le PC (ici avec la variante Cerber)
  • Les fichiers sont chiffrés et les instructions de paiements s’affichent à l’écran.
  • Ici aucune persistance. Le rançongiciel se lance puis chiffre les données et et se ferme. Nul besoin de tenter de rester actif au redémarrage de Windows.

A noter qu’un Trojan Stealer peut faire de même. Ils volent les données puis se ferme sans laisser de trace. La victime ne saura pas que ses données et mots de passe ont été volés.

Chaîne d'infection d'un ransomware
Source Trend-Micro

Cas des malvertising + Web ExploitKit

Voici un autre cas simple avec une attaque Drive By Download à travers une publicité malveillant (malvertising).

  • La victime surf sur le net et charge un site WEB contenant une publicité malveillante.
  • Celle-ci contient un JavaScript qui redirige vers un WebExploit Kit (ici Neutrino EK)
  • Puis ce dernier teste les logiciels et plugins du navigateur WEB. Si un contient une vulnérabilité et faille logiciel, le malware se charge de manière automatique.

La publicité sert de source de trafic et se loge dans des sites internet sain.
Cela permet de capter des milliers d’internautes et au final des campagnes de malwares à grande échelle.

Chaîne d'infection par des malvertising pour charger un WebExploitKit.

Trojan Banker dans les entreprises

On termine par un processus d’infection un peu plus complexe avec Emotet.
Il s’agit d’une famille importante de Trojan Banker.

  • L’attaque utilise une campagne de mail malveillant comme premier contact. Les entreprises ou institutions étatiques sont particulièrement visés.
  • La victime ouvre et exécute la pièce qui ouvre Office.
  • Si la Macro s’exécute, le Trojan Emotet est téléchargé puis exécuté sur la machine. Plus d’informations sur la page : Les virus par Word et Excel (documents Office) : comment s’en protéger.
  • Le cheval de troie télécharge à son tour un autre malware TrickBot.
  • Ce dernier a un mode de propagation et diffusion propre. Ils cherchent sur le réseau des PC avec une faille SMB.
  • Si des PC mal protégé et vulnérables sont présents, ils installent un ransomware.

Ces attaques sont particulièrement dévastatrice pour les entreprises.
On voit qu’un cheval de troie sert de porte d’entrée pour une attaque en cascade.

La simple ouverture d’un fichier malveillant comme un Javascript qui permet de télécharger et installer un malware peut ensuite amener en cascade divers autres malwares.

Processus d'infection par Emotet
source: GovCert.ch
L’article suivant du site détaille le fonctionnement d’un cheval de troie.
C’est donc un article complémentaire : Comment fonctionnent les trojans : les explications.

Pourquoi les virus existent ?

La réponse se trouve sur le dossier : Business malwares : le Pourquoi des infections informatique.
Mais clairement pour faire de l’argent.
Mais depuis quelques années, on trouve aussi des menaces qui visent à déstabiliser des entreprises ou autres états.
On peut alors parler de cyberguerre.

Des groupes se spécialisent dans des activités spécifiques comme :

  • Certains groupes créent des malwares qu’ils proposent en vente ou en mode SaS
  • Vendre du trafic par pour rediriger vers des Web ExploitKit
  • L’élaboration de Web ExploitKit
  • La vente de Packers/crypters
  • Louer des botnet pour mener des attaques ou envoyer des mails de SPAM. Par exemple le botnet Necurs est souvent à l’origine de grande campagne de malware.

L’article suivant donne beaucoup plus de détails sur les motivations.

Désinfection et suppression des virus

Les procédures de désinfectons diffèrent selon le type de menaces.
En effet, des outils spécifiques peuvent être créés.
Le site propose des procédures de désinfections propres selon le type de logiciels malveillants.

Malwarebytes Anti-Malware s’avère très efficace pour supprimer les virus et autres infections.

Hijack_Host_Malwarebytes

Comment se protéger des virus et sécuriser Windows

Suivre ce guide complet pour sécuriser votre PC contre les attaques et malwares.

Comme l’explique ce tutoriel, votre attitude sur internet reste primordiale pour ne pas infecter Windows notamment à travers les téléchargements et fichiers que vous exécutez.

Les virus sur Android

Se reporter sur le dossier : Les virus sur Android

Virus qui résiste au formatage

et puis il y a le mythe des virus qui résistent au formatage et notamment des virus BIOS.
Lire le dossier qui suit.

Historique des virus informatiques

Si le sujet vous intéresse, vous pouvez poursuivre avec cet article sur l’historique complet des logiciels malveillants, virus et malwares.