27 février 2008
Iphone : 1er virus
Disponible en France depuis fin novembre 2007, l'outil trois en un
d'Apple à la fois téléphone mobile, baladeur multimédia et appareil de
communication sur Internet, devrait recevoir très prochainement une
mise à jour estampillée 1.1.3. Des pirates n'ont pas tardé à tirer
parti de ce qui reste encore du domaine de la rumeur pour mettre en
ligne le premier cheval de Troie ciblant l'iPhone.
Les éditeurs de solutions anti-virus F-Secure et Symantec ont ainsi émis des alertes au sujet d'un malware dissimulé sous l'identité d'un package iPhone firmware 1.1.3 prep,
à télécharger sur certains sites Web heureusement désormais fermés pour
la plupart. Afin de mieux leurrer les utilisateurs, ce package est présenté comme un préambule important à la mise à jour 1.1.3 évoquée précédemment.
Pour le commun des possesseurs d'iPhone piégés par cette astucieuse
technique de social engineering, le cheval de Troie ne présente aucun
danger. Par contre, les utilisateurs qui ont débloqué leur iPhone pour pouvoir y installer des applications tierces,
seront un peu plus ennuyés et non pas tant à l'installation, mais
plutôt lors d'une tentative de désinstallation du programme incriminé.
Symantec avertit ainsi qu'ils encourent le risque de supprimer des
applications également tierces comme des utilitaires développés par Erica Sadun et OpenSSH (un moindre mal cependant).
" Techniquement,
il s'agit du premier cheval de Troie identifié pour l'iPhone.
Toutefois, il faut plus parler de plaisanterie que de menace réelle et
les conséquences liées à sa désinstallation sembleraient être un effet
secondaire non prémédité ", commente Symantec tout en recommandant
la prudence des utilisateurs d'iPhone qui ont fait le nécessaire pour y
pouvoir installer des applications optionnelles.
Attention cependant, en février l'iPhone s'ouvrira officiellement aux
applications tierces avec fourniture d'un SDK ( Software Development
Kit ). La menace malware devrait alors monter d'un cran même s'il est
évident qu'Apple aura tout mis en oeuvre pour proposer une plate-forme
sécurisée.
04 décembre 2007
Cheval de troie (Trojan)
Un cheval de Troie n'est pas un virus informatique dans le sens où il ne se duplique pas par lui-même, fonction essentielle pour qu'un logiciel puisse être considéré comme un virus. Un cheval de Troie est conçu pour être dupliqué par des utilisateurs naïfs, attirés par les fonctionnalités vantées.
Les chevaux de Troie servent très fréquemment à introduire une porte dérobée sur un ordinateur. L'action nuisible à l'utilisateur est alors le fait qu'un pirate informatique peut à tout moment prendre à distance (par Internet) le contrôle de l'ordinateur.
Il est difficile, voire impossible de définir exactement ce qu'est un cheval de Troie, car la légitimité d'un logiciel dépend aussi du contexte dans lequel il est employé. Les portes dérobées par exemple peuvent s'avérer utiles pour un administrateur réseau ; en revanche, dans les mains d'un pirate elles sont clairement illégitimes.
20 novembre 2007
Le virus BLASTER (ou LovSan)
Présentation du virus Blaster/LovSan
Survenu en 2003, le virus Blaster (connu aussi sous les noms W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) est un ver : c 'est le premier virus a exploiter la faille RPC/DCOM (Remote Procedure Call, soit en français appel de procédure distante) des systèmes Microsoft Windows permettant à des processus distants de communiquer. En exploitant la faille grâce à un débordement de tampon, un programme malveillant (tel que le virus LovSan) peut prendre le contrôle de la machine vulnérable. Les systèmes affectés sont les systèmes Windows NT 4.0 et au-delà
Les actions du virus
Le ver LovSan / Blaster est programmé de telle façon à scanner une plage d'addresse IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135.
Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Pour compléter le tableau, le virus LovSan/Blaster est prévu pour effectuer une attaque sur le service WindowsUpdate de Microsoft afin de perturber la mise à jour des machines vulnérables !!
Symptomes de l'infection
L'exploitation de la vulnérabilité RPC provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à la désactivation du service RPC (processus svchost.exe / rpcss.exe). Les systèmes vulnérables présentent les symptomes suivants :
Copier/Coller défectueux ou impossible Ouverture d'un lien hypertexte dans une nouvelle fenêtre impossible Déplacement d'icones impossibles fonction recherche de fichier de windows erratique fermeture du port 135/TCP Redémarrage de Windows XP : le système est sans cesse relancé par AUTORITE NT/system avec le(s) message(s) suivant(s) :
Windows doit maintenant redémarrer car le service appel
de procédure distante (RPC) s'est terminé de façon inattendue
arrêt du système dans 60 secondes veuillez enregistrer
tous les travaux en cours cet arrêt a été initié par AUTORITE NT\SYSTEM
Windows doit maintenant demarrer
Un ver informatique est un logiciel malveillant qui se reproduit sur des ordinateurs à l'aide d'un réseau informatique.
Un ver n'a pas besoin d'un programme hôte pour se reproduire. Il exploite les différentes ressources afin d'assurer sa reproduction. La définition d'un ver s'arrête à la manière dont il se propage de machine en machine, mais le véritable but de tels programmes peut aller au delà du simple fait de se reproduire : espionner, offrir un point d'accès caché (porte dérobée), détruire des données, faire des dégâts, envoi de multiples requêtes vers un site internet dans le but de le saturer, etc. Les effets secondaires peuvent être aussi un ralentissement de la machine infectée, ralentissement du réseau, plantage de services ou du système, etc.
Qu'est-ce qu'un virus ?
Un peu d'histoire...
Les premiers logiciels autonomes n'avaient pas le but qu'ils ont aujourd'hui. Les tout premiers logiciels de ce type étaient de simples divertissements, un jeu entre trois informaticiens de la société Bell, Core War, créé en 1970 dans les laboratoires de la société. Pour ce jeu, chaque joueur écrit un programme, ensuite chargé en mémoire vive. Le système d'exploitation, qui se doit juste d'être multitâche, exécute tour à tour une instruction de chacun des logiciels. L'objectif du jeu est de détruire les programmes adverses tout en assurant sa propre prolifération. Les joueurs ne connaissent évidemment pas l'emplacement du programme adverse. Les logiciels sont capables de se recopier, de se réparer, de se déplacer eux-mêmes en différentes zones de la mémoire et « d'attaquer » le logiciel adverse en écrivant aléatoirement dans d'autres zones mémoire. La partie se termine au bout d'un temps défini ou lorsque l'un des joueurs voit tous ses programmes inactifs ou détruits. Le vainqueur est celui qui possède le plus grand nombre de copies actives. C'est exactement un des principes de programmation des virus.
En 1984, le magazine Scientific American a présenté un jeu informatique consistant à concevoir de petits programmes entrant en lutte et s'autoreproduisant en essayant d'infliger des dégâts aux adversaires, fondant ainsi les bases des futurs virus.
En 1986, l'ARPANET fut infecté à cause de Brain, un virus qui renommait toutes les disquettes de démarrage de système en (C)Brain. Les créateurs de ce virus y donnaient leur nom, adresse et numéro de téléphone car c'était une publicité pour eux.
Les différents types de virus Le virus ique est un morceau de programme, souvent écrit en assembleur, qui s'intègre dans un programme normal, le plus souvent à la fin, mais aussi au début ou même au milieu. Chaque fois que l'utilisateur exécute ce programme « infecté », il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge utile, il peut, après un certain temps (qui peut être très long) ou un évènement particulier, exécuter une action prédéterminée. Cette action peut aller d'un simple message anodin à la détérioration de certaines fonctions du système d'exploitation ou la détérioration de certains fichiers ou même la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique et de charge utile. Un virus de boot s'installe dans un des secteurs de boot d'un périphérique de démarrage: disque dur (le secteur de boot principal, le Master Boot Record, ou celui d'une partition), disquette, ou autre. Il remplace un chargeur d'amorçage (ou programme de démarrage ou bootloader) existant (en copiant l'original ailleurs) ou en créé un (sur un disque ou il n'y en avait pas) mais ne modifie pas un programme comme un virus normal; quand il remplace un programme de démarrage existant, il agit un peu comme un virus prepender (qui s'insère au début), mais le fait d'infecter aussi un périphérique vierge de tout logiciel de démarrage le distingue du virus ique, qui ne s'attaque jamais à rien. Les macro-virus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme. Les virus-vers, apparus aux environs de l'année 2003 et ayant connu un développement fulgurant dans les années qui suivirent, sont des virus iques car ils ont un programme hôte. Mais s'apparentent aux vers (en anglais "worm") car : Leur mode de propagation est lié au réseau, comme des vers, en général via l'exploitation de failles de sécurité. Comme des vers, leur action se veut discrète, et non-destructrice pour les utilisateurs de la machine infectée. Comme des vers, ils poursuivent des buts à visée large, tels que l'attaque par saturation des ressources ou attaque DoS (Denial of Service) d'un serveur par des milliers de machines infectées se connectant simultanément.[réf. nécessaire]
D'autres menaces existent en informatique, s'en distinguant souvent par l'absence de système de reproduction qui caractérise les virus et les vers : le terme de « logiciel malveillant » (malware en anglais) est dans ce cas plus approprié.
Caractéristiques la cryptographie : à chaque réplication, le virus est chiffré (afin de dissimuler les instructions qui, si elles s'y trouvaient en clair, révéleraient la présence de ce virus ou pourraient indiquer la présence de code suspect). le polymorphisme: le virus est chiffré et la routine de déchiffrement est capable de changer certaines de ses instructions au fil des réplications afin de rendre plus difficile la détection par les antivirus. le métamorphisme : contrairement au chiffrement simple et au polymorphisme, où le corps du virus ne change pas et est simplement chiffré, le métamorphisme permet au virus de modifier sa structure même et les instructions qui le composent. la furtivité : le virus « trompe » le système d'exploitation (et par conséquent les logiciels antivirus) sur l'état des fichiers infectés. Des rootkits permettent de créer de tels virus. Par exemple, l'exploitation d'une faille de sécurité au niveau des répertoires permet de masquer l'existence de certains fichiers exécutables ainsi que les processus qui leur sont associés.