1

Les Virus

Les connaître

Les moyens de s ’en protéger

2

Virus

• Maladie– comportement anormal– ouverture de brèches

• Contagieuse– interne– externe

3

Qu ’est-ce qu ’un virus ?

• C ’est un programme introduit subrepticement -à l ’insu de l ’utilisateur - susceptible de s ’exécuter sur la machine

• ayant des actions non demandées —explicitement ou implicitement— par l ’utilisateur.

• Un virus a la possibilité de se propager (fichiers, autres ordinateurs)

4

Étapes de l ’Histoire des Virus

• Systèmes Time-Sharing (1970-1980s)– problèmes de pénétration (SRI)

• Micro-ordinateurs personnels (1978-1995)– génération Apple II– media interchangeables

• Internet (1995-20x0)– scripts, file transfer, ActiveX

5

• Tous les systèmes d ’exploitation sont vulnérables aux virus à partir du moment où ils ne sont pas fermés à l ’introduction de nouveaux programmes.

• Les virus utilisent des lacunes des systèmes d ’exploitation : manque de protection de l ’espace d ’adressage réel et/ou virtuel (base de registre, mémoire, buffers…), erreurs de programmation (overflows)

6

A ne pas oublier• Faux virus

• comportement « normal » de Windows pris pour un virus

– épuisement des ressources

– deadly embrace

– « perte » de ressources

• Hoaxes (virus canulars)– messages d ’alerte visant la saturation

– chaînages manuels ou automatiques (contagion)

– Résultat– désintérêt pour la protection

7

Types de virus• Programmes binaires exécutables

– .EXE, .COM– .DLL– .VBX

• Programmes interprétables (portables)– Javascript– Vbscript (Visual Basic)– macros

• Commandes exécutées en batch– .BAT, .PIF

8

Véhicules de contamination

• Fichiers ou portions de fichiers NB:Windows a maintenant le concept de fichiers multi-objets)

• Transmis par media interchangeables– diskette, ZIP, CDROM gravé

• Transmis via le réseau (local ou Internet) – File transfer, pages HTML, pièces jointes

email, (Telnet)

9

Inoculation

• Via diskettes ou CD-R

• Via fichiers fonctionnels altérés• jeux et utilitaires piratés ou freeware

• Via Internet• Pièces jointes exécutables (parfois déguisées)

• scripts HTML

• signature (ex: KAKWORM)

10

Reproduction

• Virus de boot– par recopie dans tous les nouveaux objets

systèmes (disques, diskettes, CD-R bootables

• Virus Internet– par envoi de courrier aux personnes se trouvant

dans le carnet d ’adresses

11

Virus de Boot

• Virus exécutés à chaque démarrage du système– se reproduisent sur les disques (disquettes) en

ligne au moment du boot– ont des actions diverses (ex: DEL *.*)

• Modifient le secteur de boot du disque c: ou a:

• Relativement faciles à détecter

12

Virus ActiveX

• Programmes dynamiquement chargeables appelés en lieu et place d ’un DLL.

13

Virus de script

• Interprétés par• JAVA Machine

• Visual Basic for Application

• HTML

• Accès à carnet d ’adresses Outlook

• Accès aux primitives de Windows

• Action à retardement par Cookies

14

Virus de Saturation

• Essentiellement utilisés contre les serveurs

• Infiltration du virus sur des ordinateurs clients

• Envoi de messages à répétition (généralement non-nocifs) mais causant des pannes de réseau ou des serveurs par saturation (stack, buffers overflows…)

15

La Protection

• Revoir le détail des OPTIONS du système en particulier MSIE et Outlook– ne pas se contenter des options globales de

sécurité (sécurité max= internet inutilisable)

• Réfléchir à la vulnérabilité de son environnement (réseau local, connexion permanente)

• Bien Utiliser un anti-virus

16

Exemples de virus récents

• ILoveYou• Kakworm• Magistr• Sircam• Nimda• Goner• Badtrans• Mawanella

17

KakWorm

– WScript.KakWorm.B

• WScript.KakWorm.B spreads using Microsoft Outlook Express. It attaches itself to all outgoing messages using the Signature feature of Outlook Express and Internet Explorer newsgroup reader.

• The worm appends itself as a signature to the end of legitimate outgoing messages . When receiving the message, the worm will automatically insert a copy of itself into the appropriate StartUp folder for both English and French language versions.The copy is named Day.hta.

The worm uses a known Microsoft Outlook Express security hole, Scriptlet.Typelib, so that a viral file is created on the system without having to run any attachment. Simply reading the email message will cause the virus to be placed on the system.

• .

18

Magistr• W32.Magistr.24876@mm

• W32.Magistr.24876@mm est un virus qui se propage via la messagerie électronique ainsi que les lecteurs réseaux. Il va infecter les fichiers Windows Portable Exécutables sauf les fichiers .dll système. Il enverra des messages email aux adresses qu’il trouvera dans les fichiers Outlook/Outlook Express.dbx et.mbx ainsi que dans les fichiers contenant les éléments envoyés de Netscape et le carnet d’adresse de Windows (.wab), si ceux ci sont utilisés par Outlook/Outlook Express. Le courrier envoyé aura jusqu’à deux pièces jointes ainsi qu’un sujet et un corps de message créé de façon aléatoire.

• Lorsqu’un fichier infecté par W32.Magistr.24876@mm est exécuté, il va rechercher une section accessible en lecture/écriture dans la zone mémoire de Explorer.exe. Si il en trouve une, une routine de 110 octets y est insérée et la fonction TranslateMessage y est reliée.

19

Magistr -2

• Lorsque le code inséré prend le contrôle, le virus attendra trois minutes avant de s’activer. Le virus récupère le nom de l’ordinateur, le convertit en base64 et suivant la première lettre du nom va créer un fichier soit dans le répertoire Windows ou Program Files ou le fichier racine du disque. Ce fichier contient des informations comme l’emplacement du carnet d’adresses et la date d’infection. Ensuite le virus récupère l’adresse email de l’utilisateur et son nom à partir de la base de registre, ou bien à partir du Prefs.js (Netscape). Le virus va conserver l’historique des 10 derniers ordinateurs infectés en son sein, et ces noms seront visibles au sein des fichiers infectés une fois que l’on les décrypte. Ensuite le virus recherche les fichiers.wab, .mbx et .dbx ainsi que les dossiers des éléments envoyés de Netscape.

20

Magistr-3• Si une connexion Internet active est présente, le virus recherche

jusqu’à 5 fichiers .doc et .txt et sélectionne un nombre de mots aléatoires au sein d’un de ces fichiers. Ces mots serviront à construire le sujet et le corps du message électronique qui sera envoyé par le virus. Ensuite le virus recherche 20 fichiers exécutables .exe ou .scr de taille inférieure à 128Ko. Il infecte un de ces fichiers, l’attache au message électronique et expédie le message à 100 personnes prises dans les carnets d’adresses. Il y a en plus 20% de chance pour que le virus attache aussi au message le fichier .doc ou .txt ,qu’il a choisi pour construire le sujet et le corps du message, au mail. Dans 80% des cas il ajoutera au nom de l’expéditeur dans le message le chiffre 1 en deuxième position. Ceci empêche donc le destinataire du message d’y répondre, pour par exemple prévenir l’expéditeur de l’infection dont il est victime.

21

Magistr- 4

• Une fois l’envoi terminé, le virus va infecter aléatoirement un des 20 exécutables qu’il a sélectionné et dans 25% des cas va le placer dans le répertoire Windows, Winnt, Win95 ou Win98 si celui ci existe. Il ajoutera une ligne run= dans le fichier Win.ini afin que le virus s’exécute à chaque démarrage de l’ordinateur. Dans les autres cas, le virus placera une entrée dans la base de registre dans : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Cette clé sera le nom du fichier que le virus a choisi sans l’extension et la valeur de la clé sera le nom complet du fichier infecté. Le virus recherche ensuite sur les lecteurs réseaux 20 fichiers .exe ou .scr à infecter et ajoutera sur les machines trouvées si possible la ligne run= dans le fichier Win.ini de ces ordinateurs.

22

Magistr -5

• Si l’ordinateur à été infecté depuis au moins un mois et a envoyé un email infecté à au moins 100 personnes et au moins trois fichiers contiennent trois des phrases ci dessous :

• sentences you , sentences him to , ordered to prison , convict ….

• vu l'arret ,conformement a la loi ,execution provisoire ,rdonn ...

• magistrad , apelante

23

Magistr-6

• Alors le virus lancera ses actions destructrices :

Effacer les fichiers infectés

Effacer le CMOS (Windows 9x/Me uniquement)

Flasher le BIOS (Windows 9x/Me uniquement)

Remplacer un fichier texte sur 25 par le texte YOUARESHIT

Supprimer des fichiers de façon aléatoire

Afficher le message suivant :

Ecraser le premier secteur du premier disque dur

• Si l’ordinateur est infecté depuis deux mois, les icônes du bureau seront déplacées :

• Si un ordinateur est infecté depuis trois mois, les fichiers infectés seront effacés

24

Sircam• W32.Sircam.Worm@mm, alias SIRCAM

• Un nouveau virus W32.Sircam.Worm@mm, alias SIRCAM, se propage très rapidement à travers le monde.

• Le virus W32.Sircam.Worm@mm est un ver qui arrive sous forme de pièce jointe à un courrier électronique qui a divers sujets en espagnol ou en anglais. Le corps du message contient les textes suivants selon la version de la langue.La version espagnole du mail: Hola como Estas?, Nos vemos pronto, gracias. La version anglaise du mail: Hi! How are you?, See you later. ThanksUne des pièces jointes suivantes Sirc32.exe, Tech Spec et Financials.doc.com est attachée au message.

Lorsque l'on éxecute la pièce jointe, le virus s'expédie par e-mail à toutes les personnes dans le carnet d'adresses Microsoft Outlook à cause de son moteur SMTP.Les conséquences néfastes de ce virus peuvent être très importantes : envoi massif d'e-mails, suppression de fichiers, dégradation de la performance du disque dur, envoi éventuel d'informations confidentielles .

.

25

NIMDA

• W32.Nimda.A@mm

• W32.Nimda.A@mm est un ver qui utilise de multiples méthodes pour se propager. Le ver s’envoie lui-même par e-mail, il infecte les machines à travers le réseau, et il infecte les Serveurs non sécurisés avec les derniers correctifs ou les serveurs web Microsoft IIS. Le ver a également plusieurs autres conséquences, qui peuvent causer des problèmes de bande passante sur le réseau. W32.Nimda.A@mm cherchera également à créer des trous de sécurité en créant un compte invité avec les droits de l’administrateur et créé des ressources partagées sur le système infecté.

26

Goner• W32.Goner.A@mm

Un nouveau ver se propage via la messagerie électronique, le programme de messagerie instantanée ICQ ainsi que le programme de chat mIRC depuis le 4 Décembre 2001

• Le ver dans la majorité des cas arrive sous la forme d’un courrier électronique avec comme sujet «Hi» (Salut).Le corps du message contient le texte suivant : « How are you ? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it !” (Salut comment ça va ? Quand j’ai vu cet économiseur d’écran, j’ai tout de suite pensé à toi. Je suis pressé, je te jure que tu vas adorer !)

• La pièce jointe au message se faisant passer pour un économiseur d’écran est Gone.scr. A l’exécution de la pièce jointe, le virus s’expédiera à tous les utilisateurs contenus dans le carnet d’adresses de la messagerie Microsoft Outlook. Il supprimera aussi des fichiers des antivirus les plus courants.

27

VBWG2• VBS.VBSWG2.X@mm alias Homepage

• Le virus vbs.vbswg2.x@mm est un virus en script VBS (comme ILOVEYOU et AnnaKournikova) qui se propage par courrier electronique. Le virus arrive sous forme de pièce jointe à un courrier électronique qui a comme sujet Homepage. Le corps du message contient le texte suivant

• "Hi! You've got to see this page! It's really cool ;O)"Une pièce jointe homepage.html.vbs est attachée au message.

• Lorsque l'on exécute la pièce jointe, le virus s'expédiera par email à toutes les personnes dans le carnet d'adresses Microsoft Outlook. Le virus affichera aussi de façon aléatoire un des quatre sites web pornographiques.Avant de s’expédier, le virus va rechercher tous les courriers electroniques contenant Homepage comme sujet et va les supprimer.

Après s’être expédié, le virus créera la clé suivante dans la base de registre : HKEY_CURRENT_USER\Software\an\mailed et lui donnera comme valeur 1.

28

BadTransB– W32.Badtrans.gen@mm

• Discovered on: April 11, 2001

• This is a MAPI worm that replies to all unread messages in your email message folders and drops a backdoor Trojan.Also Known As: W32/Badtrans-A, W32/Badtrans@MM, BadTrans, IWorm_Badtrans, I-Worm.Badtrans, TROJ_BADTRANS.A, Pws-AV Trojan, W32.Badtrans.13312@mm,

Trojan.Psw.Hooker • W32.Badtrans.B@mm est un vers MAPI qui se réplique de par lui-même dans

différents noms de fichiers. Ce vers créé aussi un DLL dans le répertoire \Windows\System avec pour nom Kdll.dll. Il utilise les fonctions de ce DLL pour enregistrer les frappes clavier.

Ce ver arrive par e-mail avec un des noms de fichiers attachés suivants et une combinaison de 2 extensions de fichiers joints.

29

BadTransB (suite)

• La liste de noms de fichiers rencontrés sont :HUMORDOCS….

La 1ère extension jointe au nom du fichier est :.DOC,.MP3,.ZIP

La 2ème est:.pif, .scr

Le nom du fichier qui en résulte ressemble à :CARD.DOC.PIFNEWS_DOC.MP3.SCRetc.

30

Mawanella

• VBS.VBSWG.Z@mm alias MawanellaLe virus Manavella arrive sous forme de pièce jointe à un courrier électronique dont le sujet est MawanellaLe message contient le texte suivant : Mwanella is one of the Sri Lanka's Muslim VillageLa pièce jointe s'intitule Mawanella.vbs

• Si l'utilisateur n'utilise pas Microsoft Outlook comme logiciel de messagerie le virus se contentera d'afficher à l'écran :"Please Forward this to everyone"

Si l'utilisateur utilise Microsoft Outlook le virus s'expédiera à tout le carnet d'adresse.Le ver se copiera dans le répertoire Windows\System en tant que Mawanella.vbs

31

HomePage• VBS.VBSWG2.X@mm alias Homepage

• Le virus vbs.vbswg2.x@mm est un virus en script VBS (comme ILOVEYOU et AnnaKournikova) qui se propage par courrier electronique. Le virus arrive sous forme de pièce jointe à un courrier électronique qui a comme sujet Homepage. Le corps du message contient le texte suivant "Hi! You've got to see this page! It's really cool ;O)"Une pièce jointe homepage.html.vbs est attachée au message

• Lorsque l'on exécute la pièce jointe, le virus s'expédiera par email à toutes les personnes dans le carnet d'adresses Microsoft Outlook. Le virus affichera aussi de façon aléatoire un des quatre sites web pornographiques.Avant de s’expédier, le virus va rechercher tous les courriers electroniques contenant Homepage comme sujet et va les supprimer.

Après s’être expédié, le virus créera la clé suivante dans la base de registre :HKEY_CURRENT_USER\Software\an\mailed et lui donnera comme valeur 1.

32

Concept

• WM.Concept is a virus that uses five macros to infect hosts and spread itself.

• The macros are named:

AAAZAO

AAAZFS

AutoOpen

FileSaveAs

PayLoad

• All of the macros are easily visible from the Macro command of the Tools pulldown menu within Microsoft Word. Upon infection, WM.Concept looks for the PayLoad and FileSaveAs macros. If it finds either macro, WM.Concept aborts infection. If it does not find either macro, WM.Concept begins the infection process.

33

Concept -2• The first stage of infection that users see is a dialog box displaying the

number "1" and an OK button. Once users press the OK button, WM.Concept gains control. The virus replaces the Save As command in the File pulldown menu with its own command, which forces the user to save all documents as new templates. Without notice, WM.Concept takes the contents of the AAAZAO macro and places it in another macro, called AutoOpen, in the new templates, and copies the AAAZFS, AAAZAO, and PayLoad macros to the new file. The AutoOpen macro is automatically started each time a template is opened, allowing the virus to replicate in the new documents.

• Other than the number "1" displayed during initial residency, WM.Concept displays no message. However, the Pay Load macro contains the following message: That's enough to prove my point

• Concept.FR.B This is a variant of the original Concept virus. It is identical in nature and function, however it has been modified and translated to work with French language versions of Microsoft Word. Written in French.

• Also Known As: Concept, Microsoft Word Prank Macro, Prank Macro, WinWord.Concept, WordMacro.Concept, WW6Macro, Word Macro 9508

34

Fin

•