Wednesday, May 4, 2011

les vers du réseaux

Vers de réseau

Tout le monde a déjà entendu parler des vers informatiques.

Les vers sont classés selon la méthode qu'ils utilisent pour se propager, c.-à-d. la méthode qu'ils utilisent pour envoyer leur copie vers d'autres machines. Il est possible de classer les vers également en fonction de la méthode d'installation, de la méthode de lancement et en fonction d'autres caractéristiques standard dans tous les programmes malveillants : polymorphisme, furtivité etc.

De nombreux vers parmi ceux qui ont déclenché de grandes épidémies utilisent plus d'une méthode de propagation et plus d'une technique d'infection. Ces méthodes sont reprises séparément ci-dessous.

Vers de courrier électronique

Les vers de courrier électronique se propagent via des messages infectés. Le ver peut se présenter sous la forme d'une pièce jointe ou le message peut contenir un lien vers un site infecté. Dans les deux cas, le message est le vecteur de l'infection.

Dans le premier cas, le ver sera activé dès que l'utilisateur aura cliqué sur la pièce jointe. Dans le deuxième cas, le ver entrera en action lorsque l'utilisateur aura cliqué sur le lien vers le site infecté.

Les vers de courrier électronique se propagent normalement selon l'une des méthodes suivantes :

  • Connexions directes aux serveurs SMTP à l'aide d'une bibliothèque SMTP API encodée dans le ver.
  • Services MS Outlook
  • Fonctions MAPI Windows

Les vers de courrier électronique utilise les adresses stockées sur la machine de la victime pour se propager. Les vers utilisent une ou plusieurs des techniques suivantes :

  • Balayage du carnet d'adresse local de MS Outlook
  • Balayage de la base de données d'adresse WAB
  • Balayage des fichiers dont les extensions sont adéquates pour des chaînes de texte ressemblant à des adresses de courrier électronique.
  • Envoi des copies à tous les messages dans la boîte aux lettres de l'utilisateur (le ver peut même répondre aux messages qui n'ont pas été ouverts)

Bien que ces techniques soient les plus fréquentes, certains vers vont jusqu'à élaborer des adresses potentielles sur la base de noms et de noms de domaine communs.

Vers de messagerie instantanée

Ces vers n'ont qu'une seule méthode de propagation : via les applications de messagerie instantanée en envoyant des liens vers des sites infectés à toutes les individus repris dans la liste des contacts. La seule différence entre ces vers et les vers de courrier électronique réside au niveau du média utilisé pour envoyer les liens.

Vers Internet

Les auteurs de virus utilisent d'autres techniques pour diffuser les vers, notamment :

  • Copier le ver sur les ressources du réseau
  • Exploiter les vulnérabilités du système d'exploitation afin de pénétrer dans un ordinateur ou dans un réseau
  • Pénétrer dans les réseaux publics
  • Superposition : utilisation d'autre logiciel malveillant en tant que porteur du ver.

Dans le premier cas, le ver identifie les machines distantes et se copie dans les répertoires ouverts pour les fonctions de lecture et d'écriture. Ces vers de réseau balaient toutes les ressources disponibles à l'aide des services locaux du système d'exploitation et/ou balaient Internet à la recherche de machines vulnérables. Ils tenteront de se connecter aux machines ainsi découvertes et d'en prendre le contrôle total.

Dans le deuxième cas, les vers balaient Internet à la recherche de machines sur lesquels les correctifs n'ont pas encore été installés, c.-à-d. les machines tournant sous un système d'exploitation dont les vulnérabilités n'ont pas encore été résolues. Le ver envoie des paquets de données ou des requêtes qui installent soit tout le corps du ver, soit une section du code source qui contient une fonction de téléchargement. En cas d'installation réussie de ce code, la partie principale du corps du ver est ensuite téléchargée. Dans les deux cas, dès que le ver est installé, il exécute son code et le cycle se répète.

Les vers qui utilisent des serveurs Web et FTP appartiennent à des catégories différentes. L'infection se déroule en deux étapes. Ces vers pénètrent tout d'abord les fichiers de service sur le serveur de fichiers, comme les pages Web statiques. Le ver attend ensuite que le client accède aux fichiers infectés puis ils attaquent les machines individuelles. Ces machines servent ensuite à lancer d'autres attaques.

Certains auteurs de virus utilisent des vers ou des chevaux de Troie pour diffuser de nouveaux vers. Ils identifient tout d'abord les chevaux de Troie ou les vers qui ont réussi à installer des portes dérobées sur les machines victimes. Dans la majorité des cas, cette fonction permet au maître d'envoyer des commandes à la machine attaquée : ces zombies avec les portes dérobées peuvent servir à télécharger et exécuter des fichiers, dans ce cas il s'agit de copies du nouveau ver.

Nombreux sont les vers qui utilisent deux ou plusieurs méthodes de propagation combinées afin d'augmenter l'efficacité de la pénétration dans les machines prises pour cible.

Vers IRC

Ces vers s'attaquent aux canaux de chat même si à ce jour seuls les vers IRC ont été détectés. Les vers IRC utilisent également les moyens de propagation repris ci-dessus : envoi de liens vers des sites infectés ou envoi de fichiers infectés aux contacts recueillis sur l'ordinateur infecté. L'envoi des fichiers infectés est moins efficace car le destinataire doit confirmer la réception, enregistrer le fichier et l'ouvrir avant que le ver puisse pénétrer dans l'ordinateur de la victime.

Vers de réseaux de partage de fichiers

Les vers P2P se copient dans un répertoire partagé, en général sur une machine locale. Dès que le ver a réussi à placer une de ses copies sous un nom anodin dans un répertoire partagé, le réseau P2P prend la relève : le réseau informe les autres utilisateurs de l'existence d'une nouvelle ressource et fournit l'infrastructure nécessaire au téléchargement et à l'exécution du fichier infecté.

Les vers P2P plus complexes imitent le protocole de réseaux de partage de fichiers particuliers : ils répondent positivement à toutes les requêtes et offrent les fichiers infectés qui contiennent le corps du ver.


Yakavoir.com, l'annuaire des sites classés par points et par les internautes.
Posted by ibrahim debeche at 7:21 AM