Environnement du Malware

Trois points nécessaires à l'existence du malware

Aucun système d'exploitation ou application n'est vulnérable aux programmes malicieux à moins que des programmes extérieurs soient lancés. Si un programme externe, même le plus simple, peut être lancé à l'intérieur d'un système d'exploitation ou une application, alors cela laisse à supposer qu'il sera vulnérable aux programmes malicieux. De nombreux systèmes d'exploitation et d'applications actuels fonctionnent en combinaison avec d'autres programmes, ils finissent donc par être vulnérables. Les systèmes d'applications et systèmes d'exploitation potentiellement vulnérables comprennent :

• Tous les systèmes d'exploitations de bureaux les plus utilisés
• La plupart des applications office
• La plupart des éditeurs graphiques
• Les applications Project
• Toute application avec langage script intégré

Les virus, vers, Trojans ont été écrits pour un nombre illimité de systèmes d'exploitations et d'applications. D'un autre coté, certains systèmes d'exploitation et d'applications n'ont jamais été touchés par le malware. Pour quelles raisons? Qu'est ce qui fait qu'un système d'exploitation est plus ciblé qu'un autre par les auteurs de virus?

Le malware apparaît dans n'importe quel environnement où se recoupent les critères suivants :

• Le système d'exploitation est très largement utilisé
• Une documentation détaillée de bonne qualité est disponible
• Le système visé comporte des vulnérabilités

Ces trois critères sont des facteurs clés et doivent être réunis pour que le système en question soit choisi en tant que cible par les auteurs de virus.

Pour que les hackers ou les cyber vandales s'intéressent à un système, il faut que la cible soit connue par le plus grand nombre. Une fois qu'un système d'exploitation occupe une grosse place sur le marché ou est très prisé, il devient une cible de choix pour les auteurs de virus.

Un bref regard sur le nombre de programmes malicieux écrits pour Windows et pour Linux montre que le volume de malware est approximativement proportionnel aux parts de marché respectives de ces deux systèmes d'exploitation.

Une documentation détaillée est nécessaire aux développeurs légaux mais aussi aux hackers, puisque la documentation inclut des descriptions des services et des règles en vigueur pour écrire des programmes compatibles.

Par exemple, la plupart des vendeurs de mobiles ne partagent pas cette information laissant les vendeurs légaux agrées et les hackers impuissants. Certains vendeurs de smartphones publient leur documentation. Le premier virus pour Symbian (Worm.SymbOS.Cabir.a) et Windows CE (WinCE.Duts.a) est apparu peu de temps après la publication de la documentation mi 2004.

L'architecture d'un système d'exploitation ou d'une application bien construite se doit de prendre en compte la sécurité. Une solution sûre n'accorde pas un nouveau ou un programme non autorisé un accès étendu à des fichiers ou des services potentiellement dangereux. La difficulté réside dans le fait qu'un système complètement sécurisé bloquera et le malware et les programmes inoffensifs. Par conséquent, aucun des systèmes aujourd'hui sur le marché ne peut etre considéré comme réellement sûr.

Les machines Java qui ont lancé les applications Java sur le mode « sandbox » sont prêtes à prendre des mesures de sécurité. Depuis longtemps, il n'y a pas eu de virus ou de trojans écrits en java qui posent des menaces sérieuses même si des POC non-viable apparaissent occasionnellement. Le malware écrit en Java est apparu seulement lorsque les vulnérabilités en Java Virtual Machine ont été découvertes et publiées.

Referencement gratuit

les Programmes Malicieux

Descriptions des Programmes Malicieux

Les programmes malicieux sont répartis selon les catégories suivantes : les vers, les virus, les chevaux de Troie, les utilitaires d'attaque informatique et autres programmes malveillants. Ils sont tous conçus pour endommager la machine ou l'ensemble des machines infectées.
Vers de réseau

Cette catégorie regroupe des programmes qui se propagent via les LAN ou Internet afin d'atteindre les objectifs suivants :

* S'introduire dans des machines distantes;
* Lancer des copies sur les machines victimes;
* Se propager à de nouvelles machines.

Les vers se propagent en exploitant divers systèmes de mise en réseau dont : le courrier électronique, les messageries instantanées, les réseaux de partage de fichiers (P2P), les canaux IRC, les LAN, les WAN, etc.

La majorité des vers existants se propage en tant que fichier sous une forme ou une autre : dans les pièces jointes de message, dans les messages ICQ ou IRC, des liens reliés à des fichiers sur des sites Web ou FTP infectés, les fichiers distribués via les réseaux de partage de fichiers, etc.

Il existe un petit nombre de vers « sans corps » : ils se propagent en tant que paquets de données de réseau et pénètrent directement dans la mémoire RAM de la machine pour y exécuter le code.

Les vers utilisent diverses méthodes de pénétration des machines et d'exécution du code, y compris :

* L'ingénierie sociale, c'est-à-dire des courriers électroniques qui encouragent les destinataires à ouvrir la pièce jointe;
* Des réseaux à la configuration médiocre, c'est-à-dire des réseaux dans lequel il est possible de pénétrer depuis l'extérieur afin d'accéder aux machines locales;
* Les vulnérabilité des systèmes d'exploitation et des applications.

Les programmes malveillants d'aujourd'hui sont bien souvent une création composite : les vers intègrent des fonctions propres aux chevaux de Troie ou sont capables d'infecter les fichiers *.exe sur la machine infectée. Il n'existe plus de vers à l'état pur mais bien un mélange de menaces.
Virus classiques

Cette catégorie de programmes malveillants reprend les programmes qui se propagent dans une seule machine afin de :

* Lancer et/ou exécuter le code dès qu'un utilisateur réalise une action précise;
* Pénétrer dans d'autres ressources de la machine victime.

A la différence des vers, les virus n'exploitent pas les ressources du réseau pour pénétrer dans d'autres machines. Les copies d'un virus peuvent pénétrer dans d'autres machines uniquement en cas d'accès à un objet infecté et d'exécution du code par un utilisateur sur une machine saine. Cela peut se produire de l'une des façons suivantes :

* Le virus infecte des fichiers sur une ressource de réseau accessible à d'autres utilisateurs ;
* Le virus infecte un disque amovible qui est ensuite connecté à une machine saine ;
* L'utilisateur attache un fichier infecté à un message qu'il envoie à un destinataire dont l'ordinateur n'est pas encore infecté.

Les virus sont parfois portés par des vers, en tant que charge utile complémentaire ou ils peuvent eux-même remplir des fonctions de porte dérobée ou de cheval de Troie pour détruire des données sur une machine infectée.
Chevaux de Troie ou Trojans

Cette catégorie de programme malveillant comprend une grande variété de programmes qui exécutent des actions à l'insu ou sans le consentement de l'utilisateur : collecte de données pour les envoyer au cybercriminel, destruction ou modification de données à des fins malhonnêtes, perturbation du fonctionnement de l'ordinateur, utilisation de l'ordinateur à des fins malhonnêtes ou criminelles, telle que l'envoi de courrier indésirable.

Il existe un sous-groupe de chevaux de Troie qui endommagent des machines ou des réseaux distants sans compromettre les machines infectées. Il s'agit des chevaux de Troie qui utilisent les ordinateurs infectés pour lancer des attaques par déni de service (attaque DoS) sur un site Internet en particulier.
Utilitaires d'attaque informatique et autres programmes malicieux

Cette catégorie hétérogène regroupe :

* Les utilitaires tels que les constructeurs utilisés pour créer des virus, des vers et des chevaux de Troie;
* Les bibliothèques de programmation développées pour la création de programmes malicieux;
* Les utilitaires utilisés par les pirates informatiques pour crypter les fichiers afin qu'ils échappent aux logiciels antivirus;
* Les blagues qui gênent le fonctionnement normal de l'ordinateur;
* Les programmes qui donnent délibérément des informations erronées sur les actions de l'utilisateur dans le système;
* Les autres programmes conçus pour endommager directement ou pas les machines locales ou en réseau.

les vers du réseaux

Vers de réseau

Tout le monde a déjà entendu parler des vers informatiques.

Les vers sont classés selon la méthode qu'ils utilisent pour se propager, c.-à-d. la méthode qu'ils utilisent pour envoyer leur copie vers d'autres machines. Il est possible de classer les vers également en fonction de la méthode d'installation, de la méthode de lancement et en fonction d'autres caractéristiques standard dans tous les programmes malveillants : polymorphisme, furtivité etc.

De nombreux vers parmi ceux qui ont déclenché de grandes épidémies utilisent plus d'une méthode de propagation et plus d'une technique d'infection. Ces méthodes sont reprises séparément ci-dessous.

• Vers de courrier électronique
• Vers de messagerie instantanée
• Vers Internet
• Vers IRC
• Vers de réseau de partage de fichiers

Vers de courrier électronique

Les vers de courrier électronique se propagent via des messages infectés. Le ver peut se présenter sous la forme d'une pièce jointe ou le message peut contenir un lien vers un site infecté. Dans les deux cas, le message est le vecteur de l'infection.

Dans le premier cas, le ver sera activé dès que l'utilisateur aura cliqué sur la pièce jointe. Dans le deuxième cas, le ver entrera en action lorsque l'utilisateur aura cliqué sur le lien vers le site infecté.

Les vers de courrier électronique se propagent normalement selon l'une des méthodes suivantes :

• Connexions directes aux serveurs SMTP à l'aide d'une bibliothèque SMTP API encodée dans le ver.
• Services MS Outlook
• Fonctions MAPI Windows

Les vers de courrier électronique utilise les adresses stockées sur la machine de la victime pour se propager. Les vers utilisent une ou plusieurs des techniques suivantes :

• Balayage du carnet d'adresse local de MS Outlook
• Balayage de la base de données d'adresse WAB
• Balayage des fichiers dont les extensions sont adéquates pour des chaînes de texte ressemblant à des adresses de courrier électronique.
• Envoi des copies à tous les messages dans la boîte aux lettres de l'utilisateur (le ver peut même répondre aux messages qui n'ont pas été ouverts)

Bien que ces techniques soient les plus fréquentes, certains vers vont jusqu'à élaborer des adresses potentielles sur la base de noms et de noms de domaine communs.

Vers de messagerie instantanée

Ces vers n'ont qu'une seule méthode de propagation : via les applications de messagerie instantanée en envoyant des liens vers des sites infectés à toutes les individus repris dans la liste des contacts. La seule différence entre ces vers et les vers de courrier électronique réside au niveau du média utilisé pour envoyer les liens.

Vers Internet

Les auteurs de virus utilisent d'autres techniques pour diffuser les vers, notamment :

• Copier le ver sur les ressources du réseau
• Exploiter les vulnérabilités du système d'exploitation afin de pénétrer dans un ordinateur ou dans un réseau
• Pénétrer dans les réseaux publics
• Superposition : utilisation d'autre logiciel malveillant en tant que porteur du ver.

Dans le premier cas, le ver identifie les machines distantes et se copie dans les répertoires ouverts pour les fonctions de lecture et d'écriture. Ces vers de réseau balaient toutes les ressources disponibles à l'aide des services locaux du système d'exploitation et/ou balaient Internet à la recherche de machines vulnérables. Ils tenteront de se connecter aux machines ainsi découvertes et d'en prendre le contrôle total.

Dans le deuxième cas, les vers balaient Internet à la recherche de machines sur lesquels les correctifs n'ont pas encore été installés, c.-à-d. les machines tournant sous un système d'exploitation dont les vulnérabilités n'ont pas encore été résolues. Le ver envoie des paquets de données ou des requêtes qui installent soit tout le corps du ver, soit une section du code source qui contient une fonction de téléchargement. En cas d'installation réussie de ce code, la partie principale du corps du ver est ensuite téléchargée. Dans les deux cas, dès que le ver est installé, il exécute son code et le cycle se répète.

Les vers qui utilisent des serveurs Web et FTP appartiennent à des catégories différentes. L'infection se déroule en deux étapes. Ces vers pénètrent tout d'abord les fichiers de service sur le serveur de fichiers, comme les pages Web statiques. Le ver attend ensuite que le client accède aux fichiers infectés puis ils attaquent les machines individuelles. Ces machines servent ensuite à lancer d'autres attaques.

Certains auteurs de virus utilisent des vers ou des chevaux de Troie pour diffuser de nouveaux vers. Ils identifient tout d'abord les chevaux de Troie ou les vers qui ont réussi à installer des portes dérobées sur les machines victimes. Dans la majorité des cas, cette fonction permet au maître d'envoyer des commandes à la machine attaquée : ces zombies avec les portes dérobées peuvent servir à télécharger et exécuter des fichiers, dans ce cas il s'agit de copies du nouveau ver.

Nombreux sont les vers qui utilisent deux ou plusieurs méthodes de propagation combinées afin d'augmenter l'efficacité de la pénétration dans les machines prises pour cible.

Vers IRC

Ces vers s'attaquent aux canaux de chat même si à ce jour seuls les vers IRC ont été détectés. Les vers IRC utilisent également les moyens de propagation repris ci-dessus : envoi de liens vers des sites infectés ou envoi de fichiers infectés aux contacts recueillis sur l'ordinateur infecté. L'envoi des fichiers infectés est moins efficace car le destinataire doit confirmer la réception, enregistrer le fichier et l'ouvrir avant que le ver puisse pénétrer dans l'ordinateur de la victime.

Vers de réseaux de partage de fichiers

Les vers P2P se copient dans un répertoire partagé, en général sur une machine locale. Dès que le ver a réussi à placer une de ses copies sous un nom anodin dans un répertoire partagé, le réseau P2P prend la relève : le réseau informe les autres utilisateurs de l'existence d'une nouvelle ressource et fournit l'infrastructure nécessaire au téléchargement et à l'exécution du fichier infecté.

Les vers P2P plus complexes imitent le protocole de réseaux de partage de fichiers particuliers : ils répondent positivement à toutes les requêtes et offrent les fichiers infectés qui contiennent le corps du ver.

avast antivirus 2011 What's new ??

Moteur antivirus et anti-espion Ce moteur d'analyse novateur protège des virus, des logiciels espions et autres agents malveillants. Protection anti-rootkit en temps réel Bloque les malwares furtifs (« rootkits ») qui, une fois chargés par le système d'exploitation de l'ordinateur, sont invisibles aux yeux de scanneurs ordinaires. Pare-feu silencieux avast! Internet Security uniquement Protège des attaques de pirates à l'aide d'une analyse heuristique et comportementale, ainsi que d'une liste blanche d'applications sécurisées. Antispam avast! Internet Security uniquement Filtre antispam et anti-hameçonnage complet fonctionnant comme plug-in avec MS Outlook et comme proxy POP3/IMAP4 générique avec les autres programmes de messagerie. avast! WebRep Révèle les notes de fiabilité et de réputation d’un site web attribuée par la communauté. avast! CommunityIQ Notre technologie utilise un réseau global de capteurs pour nous fournir des données tirées (de manière anonyme) des expériences de navigation web d’un groupe d’utilisateurs avast! qui a choisi de participer. Ces données sont ensuite utilisées pour fournir l'information la plus récente en matière de virus et de sites web infectés aux utilisateurs avast! pour ainsi mieux les protéger. Grâce à avast! CommunityIQ, avast! a découvert 62 887 sites web infectés et a évité à 30 313 864 utilisateurs de les visiter dans les 30 derniers jours.

Fonctionnalités Hi-Tech

Scan au démarrage Analyse votre ordinateur avant le démarrage du système d’exploitation pour éviter que des infections éventuelles puissent être activées (désormais compatible avec Windows 7 et Windows Vista). avast! SafeZone™ avast! Pro Antivirus et Internet Security uniquement Ouvre un nouveau bureau (vierge) pour éviter que d'autres applications ne voient ce qu'il s'y passe (idéal pour les activités bancaires ou les achats/commandes sécurisés) et ne laisse aucune trace après fermeture. AutoSandbox Invite les utilisateurs à exécuter les applications suspectes dans l'environnement virtuel Sandbox. avast! Sandbox avast! Pro Antivirus et Internet Security uniquement Ajoute un niveau de sécurité pour exécuter votre PC et ses applications dans un environnement virtuel où toute attaque est ainsi ciblée. Systèmes d'exploitation compatibles : Windows XP SP2+ 32 bits Windows Server 2003, Vista, 7 (32 bits et 64 bits) seules les versions RTM sont compatibles (Windows 7 SP1 RC est également compatible à ce jour) Systèmes d'exploitation incompatibles : Windows 2000 Windows XP 64 bits (quel que soit le SP installé) Windows Server 2003 64 bits Intelligent Scanner Réduit le nombre de fichiers à scanner jusqu'à 80 % grâce à une liste blanche d'applications sécurisées. Les fichiers marqués comme sécurisés ne sont pas à nouveau scannés à moins qu’ils ne soient modifiés. Mode silencieux Détecte automatiquement les applications en plein écran et désactive les pop-ups et autres notifications sans compromettre la sécurité. Informatique écologique Laisse une empreinte minime en raison de sa technologie efficace et productive.

avast! Real-time Shields – Des agents de sécurité 24h/24, 7j/7

Agent des Fichiers Scan en temps réel des fichiers ouverts/en cours d'exécution. Bouclier Courrier Électronique Scanne tous les courriers électroniques entrants/sortants pour détecter des malwares (un plug-in spécial est utilisé pour MS Outlook). Bouclier Web Scanne toutes les pages web consultées, les fichiers téléchargés et les codes JavaScript. Grâce à la fonctionnalité de scan intelligent de flux, le bouclier Web ne ralentit pas la navigation web. Bouclier P2P/Bouclier messagerie instantanée Vérifie les fichiers téléchargés au moyen de programmes P2P et pendant l'utilisation de programmes de messagerie instantanée ou de chat. Agent Réseau Protège l'ordinateur des virus de réseau à l'aide de deux composants principaux : un bloqueur d’URL qui stoppe les URL malveillantes et un système de détection des intrusions peu encombrant. Agent de Scripts avast! Pro Antivirus et Internet Security uniquement Détecte les scripts malveillants cachés dans les pages web et les empêche de détourner ou d'endommager votre ordinateur. Agent actions suspectes Bloque les menaces « zero-day » et les malwares inconnus avant l’obtention des définitions des virus.

Autres

Compatibilité 64 bits Compatible avec les plateformes d'architecture 64 bits de Windows 7 et Windows Vista. Moteur heuristique Trouve de façon proactive des malwares non détectables à l'aide des définitions et signatures de virus habituelles. Émulateur de code Utilise une conversion dynamique (méthode plus rapide que les techniques d'émulation classiques) pour la décompression générique et au sein du moteur heuristique. Traitement automatique Les fichiers infectés sont traités automatiquement sans intervention de l'utilisateur. Mises à jour intelligentes des définitions de virus la mise à jour incrémentielle réduit la taille des fichiers de mise à jour réguliers. Implémentation rapide des mises à jour Le nouveau format du fichier de définition de virus accélère l'implémentation des mises à jour et réduit l'utilisation de la mémoire et du processeur, ce qui permet d'utiliser l'ordinateur en continu. Optimisation de l'analyse multi-thread Permet le fractionnement des fichiers volumineux entre plusieurs cœurs afin d’accélérer le processus d’analyse sur les nouveaux processeurs multi-cœurs et permet à avast! de s’exécuter plus rapidement. Scan à sortie de veille/planifié Prévoyez des scans la nuit ou lorsque vous n’avez pas besoin d’utiliser votre PC. Scanner en ligne de commande avast! Pro Antivirus et Internet Security uniquement lance un scan directement à partir de la ligne de commande.

about blackhat ?

professional security events

The Black Hat Briefings are a series of highly technical information security conferences that bring together thought leaders from all facets of the infosec world – from the corporate and government sectors to academic and even underground researchers. The environment is strictly vendor-neutral and focused on the sharing of practical insights and timely, actionable knowledge. Black Hat remains the best and biggest event of its kind, unique in its ability to define tomorrow’s information security landscape.

In addition to the large number of short, topical presentations in the Briefings, Black Hat also provides hands-on, high-intensity, multi-day Trainings. The Training sessions are provided by some of the most respected experts in the world and many also provide formal certifications to qualifying attendees. Arrangements can also be made to bring Black Hat’s trainers to your location for private and customized training.

Black Hat’s decade of leadership attracts the most prestigious names from the full spectrum of security thinkers, and ensures that the conference stays on the leading edge of new security trends as they emerge. Our commitment to delegate feedback also helps keep our presentations aligned to the needs and desires of our delegates.

From its inception in 1997, Black Hat has grown from a single annual conference in Las Vegas to a global conference series with annual events in Abu Dhabi, Barcelona, Las Vegas and Washington DC. It has also become a premiere venue for elite security researchers and the best security trainers to find their audience.

---

Founder & Director

Jeff Moss, aka The Dark Tangent - Founder of Black Hat and DEFCON, Homeland Security Advisory Council Member

Jeff Moss has been a hacker for over twenty years. In 1992, Jeff founded DEFCON, the largest hacker community and gathering in the world. Five years later, he started Black Hat, a series of technical conferences featuring the latest security research. In 2009, Jeff was appointed to the Homeland Security Advisory Council, a group of subject matter experts providing advice to the Secretary. Jeff is also a contributing author to "Stealing the Network," a series of books combining stories that are fictional with technology that is real, and executive producer of a documentary film about the history of hacking to be released in late 2010.

Jeff is uniquely qualified with his ability to bridge the gap between the underground researcher community and law enforcement, between the worlds of pure research and responsible application. As such, he is a popular keynote speaker at events for the Air Force and DoD and regularly referenced in the Associated Press, CNN, New York Times, Reuters, and the Wall Street Journal.

Prior to Black Hat, Jeff was a director at Secure Computing Corporation where he helped establish the Professional Services Department in the United States, Asia, and Australia. He has also worked for Ernst & Young, LLP in their Information System Security division. Jeff graduated with a BA in Criminal Justice from Gonzaga University.

PSN under attack ???

During the last few days, Anonymous has been targeting Sony for their outrageous treatment of not only PS3 users and jailbreakers, but also of the general public," it said.

"Anonymous is not attacking the PSN at this time. Sony's official position is that the PSN is undergoing maintenance. We realise that targeting the PSN is not a good idea. We have therefore temporarily suspended our action, until a method is found that will not severely impact Sony customers.

"Anonymous is on your side, standing up for your rights," the group added. "We are not aiming to attack customers of Sony. This attack is aimed solely at Sony, and we will try our best to not affect the gamers, as this would defeat the purpose of our actions. If we did inconvenience users, please know that this was not our goal.

"That being said, our campaign against Sony and others that would trample on the idea of free information will continue, until we are satisfied with the outcome."

Anonymous has warned Sony that the worst is yet to come, describing its recent attacks on the platform holder in support of infamous PS3 cracker George 'Geohot' Hotz as mere "poking and prodding".