Encyclopédie Virus _ Chevaux de Troie

[messaid saadane]

Encyclopédie Virus _ Chevaux de Troie
Chevaux de Troie
Les chevaux de Troie peuvent être classés en fonction des actions qu'ils exécutent sur les machines qu'ils attaquent.
Porte dérobée
Chevaux de Troie génériques
Chevaux de Troie PSW
Chevaux de Troie cliqueurs
Rootkit
Chevaux de Troie téléchargeurs
Chevaux de Troie droppers
Chevaux de Troie proxy
Chevaux de Troie espions
Chevaux de Troie notificateurs
ArcBombs
Portes dérobées
Ces chevaux de Troie sont les plus dangereux et les plus répandus à l'heure actuelle. Il s'agit d'utilitaire d'administration à distance qui permettent de prendre les commandes des ordinateurs infectés via un LAN ou Internet. Ils fonctionnent de la même manière que les programmes d'administration à distance licites utilisés par les administrateurs système. Cela complique leur détection.
La seule différence entre un outil d'administration licite et une porte dérobée est que les portes dérobée sont installées et exécutées sans le consentement de l'utilisateur de la machine. Une fois que la porte dérobée a été exécutée, elle surveille le système local à l'insu de l'utilisateur. Bien souvent elle n'apparaîtra pas dans le journal des applications actives.
Aussitôt qu'un utilitaire d'administration à distance a été installé, l'ordinateur est ouvert à tout vent. Parmi les fonctions d'une porte dérobée, citons :
Envoi/réception de fichiers
Lancement/suppression de fichiers
Exécution de fichiers
Affichage de messages
Suppression de données
Redémarrage de la machine
En d'autres termes, les auteurs de virus utilisent les portes dérobées pour détecter et télécharger des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux bot, etc. En résumé, les portes dérobées combinent les fonctions de la majorité des autres types de chevaux de Troie dans un seul ensemble.
Il existe un sous-groupe de portes dérobées qui peut être particulièrement dangereux : les variantes qui se propagent comme des vers. La seule différence est que les vers sont programmés pour se propager en permanence tandis que les portes dérobées "mobiles" se propagent uniquement lorsqu'elles ont reçu la commande de leur « maître ».
Chevaux de Troie générique
Cette catégorie assez vague regroupe un ensemble de chevaux de Troie qui endommagent les ordinateurs des victimes, qui menacent l'intégrité des données ou nuisent au fonctionnement de l'ordinateur.
Les chevaux de Troie à fonctions multiples sont également repris dans ce groupe car certains auteurs de virus les préfèrent aux ensembles de chevaux de Troie.
Chevaux de Troie PSW
Ces chevaux de Troie volent les mots de passe, en général les mots de passe système, sur l'ordinateur attaqué. Ils recherchent les fichiers système qui contiennent des informations confidentielles telles que les mots de passe ou les numéros de téléphone d'accès à Internet et envoient les infos à une adresse de courrier électronique codée dans le corps du cheval de Troie. Ces infos sont ensuite recueillies par le « maître » ou l'utilisateur du programme illicite.
Certains chevaux de Troie PSW volent d'autres types de renseignements comme :
Les détails du système (mémoire, espace disque disponible, système d'exploitation)
Le client de messagerie local
Les adresses IP
Les détails d'enregistrement
Les mots de passe pour les jeux en ligne
Les chevaux de Troie AOL sont des chevaux de Troie qui volent les mots de passe d'AOL (America Online). Leur très grand nombre justifie la création d'un sous-groupe.
Chevaux de Troie cliqueurs
Ces chevaux de Troie redirigent les ordinateurs vers des sites Web ou d'autres ressources Internet spécifiques. Ils envoient les commandes nécessaires au navigateur ou remplacent les fichiers système dans lesquels les URL standard sont stockées (ex. : les fichiers hôte dans MS Windows).
Les cliqueurs sont utilisés pour :
Augmenter le nombre de visites sur un site spécifique à des fins publicitaires
Organiser une attaque par déni de service sur un serveur ou un site spécifique
Conduire l'ordinateur victime vers une ressource infectée où il sera attaqué par d'autres programmes malveillants (virus ou chevaux de Troie)
Rootkit - Camoufle leur présence dans le système d'exploitation
La notion de rootkit vient de Unix. A l'origine, ce terme désignait une série d'outils utilisés pour obtenir les droits administrateur.
Une telle définition des rootkit à l'heure actuelle est obsolète étant donné que les outils de type rootkit se sont adaptés aux autres OS (Windows y compris).
Le rootkit d'aujourd'hui est un code ou une technique destinée à cacher la présence dans le système d'objets donnés (procédés, fichiers, clé de registre etc.).
Pour ce qui est de définir le comportement des rootkit dans la classification de Kaspersky Lab, une loi d'absorption a été instaurée: un rootkit sera toujours considéré comme le comportement le moins dangereux comparé aux autres programmes malicieux. En d'autres termes, si un programme rootkit présente un composant de Trojan, alors il sera détecté comme Trojan.
Chevaux de Troie téléchargeurs
Cette famille de chevaux de Troie télécharge et installe des programmes malveillants ou des logiciels publicitaires sur l'ordinateur de la victime. Le téléchargeur procédera ensuite soit au lancement du nouveau programme malveillant ou l'enregistrera pour permettre une exécution automatique en fonction des exigences du système d'exploitation. Tout cela est réalisé sans le consentement de l'utilisateur.
Les noms et les emplacements des programmes malveillants à télécharger sont soit codés dans le cheval de Troie, soit téléchargés depuis un site Web spécifique ou une autre ressource internet.
Chevaux de Troie droppers
Ces chevaux de Troie servent à installer d'autres programmes malveillants à l'insu de l'utilisateur. Les droppers installent leur charge utile sans afficher aucun avertissement ou faux message d'erreur dans un fichier archivé ou dans le système d'exploitation. Le nouveau programme malveillant est déposé dans un endroit spécifié sur le disque local puis il est exécuté.
La structure des droppers ressemble généralement à ceci :
Fichier principal
contient la charge utile du dropper
Fichier 1
première charge utile Fichier 2
deuxième charge utile
...
autant de fichiers que l'auteur souhaite
Le dropper contient un code qui permet l'installation et l'exécution de tous les fichiers qui constituent la charge utile.
Dans la majorité des cas, cette charge utile renferme d'autres chevaux de Troie et au moins un canular: blagues, jeux, images, etc. Le canular vise à détourner l'attention de l'utilisateur ou à prouver que l'activité du dropper est bénigne. En fait, il sert à masquer l'installation de la charge utile dangereuse.
Les pirates informatiques utilisent ces programmes pour atteindre deux objectifs :
Installation masquée d'autres chevaux de Troie ou virus;
Jouer un tour aux logiciels antivirus qui ne sont pas en mesure d'analyser tous les composants.
Chevaux de Troie proxy
Ces chevaux de Troie font office de serveur proxy et offre un accès Internet anonyme depuis les ordinateurs attaqués. A l'heure actuelle, ces chevaux de Troie sont très populaires auprès des spammeurs qui sont toujours à la recherche d'autres ordinateurs pour la diffusion massive de messages électroniques. Les auteurs de virus penseront bien souvent à inclure un cheval de Troie proxy dans un ensemble de chevaux de Troie afin de pouvoir vendre le réseau de machines infectées aux spammeurs.
Chevaux de Troie espions
Cette famille regroupe des logiciels espion et d'enregistrement des frappes du clavier qui surveillent et enregistrent l'activité de l'utilisateur sur l'ordinateur avant de transmettre ces informations au maître. Les chevaux de Troie espions recueillent les informations suivantes :
Frappes de clavier
Captures d'écran
Journaux des applications actives
Autres actions des utilisateurs
Ces chevaux de Troie sont bien souvent utilisés pour dérober des informations à caractère financier pour alimenter les fraudes en ligne.
Chevaux de Troie notificateurs
Ces chevaux de Troie envoient au « maître » des renseignements relatifs à la machine infectée. Ils confirment la réussite de l'infection et envoient des informations relatives à l'adresse IP, aux numéros de ports ouverts, aux adresses de courrier électronique, etc. de l'ordinateur attaqué. Ces informations sont envoyés via courrier électronique au site du maître ou via ICQ.
Les notificateurs sont normalement repris dans les ensembles de chevaux de Troie et servent uniquement à informer le maître de la réussite de l'installation d'un cheval de Troie sur l'ordinateur de la victime.
Bombes d'archive
Ces chevaux de Troie sont des fichiers archivés qui ont été codés pour saboter l'utilitaire de décompression lorsqu'il essaie d'ouvrir le fichier archivé infecté. L'explosion de la bombe entraînera le ralentissement ou le plantage de l'ordinateur. Elle peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs, surtout lorsque les donnée entrantes sont traitées automatiquement au départ : dans ce cas, le serveur plantera.
Il existe trois types de bombes : en-tête incorrecte dans l'archive, données répétées et série de fichiers identiques dans l'archive.
Une archive dont l'en-tête est incorrecte ou dont les données sont corrompues peut entraîner le plantage de l'utilitaire de décompression lors de l'ouverture et du décompactage de l'archive infectée.
Un fichier lourd qui contient des données qui se répètent peut devenir une archive très petite : un total de 5 Mo sera ramené à 200 Ko en cas de compression au format RAR et de 480 Ko au format ZIP.
De plus, il existent des technologies spéciales pour compacter un très grand nombre de fichiers identiques au sein d'une archive sans que cela n'ait de répercussions sur la taille de l'archive elle-même : par exemple, il est possible de compacter 10100 fichiers identique dans un fichier RAR de 30 Ko ou dans un fichier ZIP de 230 Ko.
enjoy
messaid saadane

[messaid saadane]

Encyclopédie Virus _ Descriptions du Malware
Descriptions des Programmes Malicieux
Les programmes malicieux sont répartis selon les catégories suivantes : les vers, les virus, les chevaux de Troie, les utilitaires d'attaque informatique et autres programmes malveillants. Ils sont tous conçus pour endommager la machine ou l'ensemble des machines infectées.
Vers de réseau
Cette catégorie regroupe des programmes qui se propagent via les LAN ou Internet afin d'atteindre les objectifs suivants :
S'introduire dans des machines distantes;
Lancer des copies sur les machines victimes;
Se propager à de nouvelles machines.
Les vers se propagent en exploitant divers systèmes de mise en réseau dont : le courrier électronique, les messageries instantanées, les réseaux de partage de fichiers (P2P), les canaux IRC, les LAN, les WAN, etc.
La majorité des vers existants se propage en tant que fichier sous une forme ou une autre : dans les pièces jointes de message, dans les messages ICQ ou IRC, des liens reliés à des fichiers sur des sites Web ou FTP infectés, les fichiers distribués via les réseaux de partage de fichiers, etc.
Il existe un petit nombre de vers « sans corps » : ils se propagent en tant que paquets de données de réseau et pénètrent directement dans la mémoire RAM de la machine pour y exécuter le code.
Les vers utilisent diverses méthodes de pénétration des machines et d'exécution du code, y compris :
L'ingénierie sociale, c'est-à-dire des courriers électroniques qui encouragent les destinataires à ouvrir la pièce jointe;
Des réseaux à la configuration médiocre, c'est-à-dire des réseaux dans lequel il est possible de pénétrer depuis l'extérieur afin d'accéder aux machines locales;
Les vulnérabilité des systèmes d'exploitation et des applications.
Les programmes malveillants d'aujourd'hui sont bien souvent une création composite : les vers intègrent des fonctions propres aux chevaux de Troie ou sont capables d'infecter les fichiers *.exe sur la machine infectée. Il n'existe plus de vers à l'état pur mais bien un mélange de menaces.
Virus classiques
Cette catégorie de programmes malveillants reprend les programmes qui se propagent dans une seule machine afin de :
Lancer et/ou exécuter le code dès qu'un utilisateur réalise une action précise;
Pénétrer dans d'autres ressources de la machine victime.
A la différence des vers, les virus n'exploitent pas les ressources du réseau pour pénétrer dans d'autres machines. Les copies d'un virus peuvent pénétrer dans d'autres machines uniquement en cas d'accès à un objet infecté et d'exécution du code par un utilisateur sur une machine saine. Cela peut se produire de l'une des façons suivantes :
Le virus infecte des fichiers sur une ressource de réseau accessible à d'autres utilisateurs ;
Le virus infecte un disque amovible qui est ensuite connecté à une machine saine ;
L'utilisateur attache un fichier infecté à un message qu'il envoie à un destinataire dont l'ordinateur n'est pas encore infecté.
Les virus sont parfois portés par des vers, en tant que charge utile complémentaire ou ils peuvent eux-même remplir des fonctions de porte dérobée ou de cheval de Troie pour détruire des données sur une machine infectée.
Chevaux de Troie ou Trojans
Cette catégorie de programme malveillant comprend une grande variété de programmes qui exécutent des actions à l'insu ou sans le consentement de l'utilisateur : collecte de données pour les envoyer au cybercriminel, destruction ou modification de données à des fins malhonnêtes, perturbation du fonctionnement de l'ordinateur, utilisation de l'ordinateur à des fins malhonnêtes ou criminelles, telle que l'envoi de courrier indésirable.
Il existe un sous-groupe de chevaux de Troie qui endommagent des machines ou des réseaux distants sans compromettre les machines infectées. Il s'agit des chevaux de Troie qui utilisent les ordinateurs infectés pour lancer des attaques par déni de service (attaque DoS) sur un site Internet en particulier.
Utilitaires d'attaque informatique et autres programmes malicieux
Cette catégorie hétérogène regroupe :
Les utilitaires tels que les constructeurs utilisés pour créer des virus, des vers et des chevaux de Troie;
Les bibliothèques de programmation développées pour la création de programmes malicieux;
Les utilitaires utilisés par les pirates informatiques pour crypter les fichiers afin qu'ils échappent aux logiciels antivirus;
Les blagues qui gênent le fonctionnement normal de l'ordinateur;
Les programmes qui donnent délibérément des informations erronées sur les actions de l'utilisateur dans le système;
Les autres programmes conçus pour endommager directement ou pas les machines locales ou en réseau.

enjoy
messaid saadane

[messaid saadane]

Encyclopédie Virus _ Environnement du Malware

Trois points nécessaires à l'existence du malware
Aucun système d'exploitation ou application n'est vulnérable aux programmes malicieux à moins que des programmes extérieurs soient lancés. Si un programme externe, même le plus simple, peut être lancé à l'intérieur d'un système d'exploitation ou une application, alors cela laisse à supposer qu'il sera vulnérable aux programmes malicieux. De nombreux systèmes d'exploitation et d'applications actuels fonctionnent en combinaison avec d'autres programmes, ils finissent donc par être vulnérables. Les systèmes d'applications et systèmes d'exploitation potentiellement vulnérables comprennent :
Tous les systèmes d'exploitations de bureaux les plus utilisés
La plupart des applications office
La plupart des éditeurs graphiques
Les applications Project
Toute application avec langage script intégré
Les virus, vers, Trojans ont été écrits pour un nombre illimité de systèmes d'exploitations et d'applications. D'un autre coté, certains systèmes d'exploitation et d'applications n'ont jamais été touchés par le malware. Pour quelles raisons? Qu'est ce qui fait qu'un système d'exploitation est plus ciblé qu'un autre par les auteurs de virus?
Le malware apparaît dans n'importe quel environnement où se recoupent les critères suivants :
Le système d'exploitation est très largement utilisé
Une documentation détaillée de bonne qualité est disponible
Le système visé comporte des vulnérabilités
Ces trois critères sont des facteurs clés et doivent être réunis pour que le système en question soit choisi en tant que cible par les auteurs de virus.
Pour que les hackers ou les cyber vandales s'intéressent à un système, il faut que la cible soit connue par le plus grand nombre. Une fois qu'un système d'exploitation occupe une grosse place sur le marché ou est très prisé, il devient une cible de choix pour les auteurs de virus.
Un bref regard sur le nombre de programmes malicieux écrits pour Windows et pour Linux montre que le volume de malware est approximativement proportionnel aux parts de marché respectives de ces deux systèmes d'exploitation.
Une documentation détaillée est nécessaire aux développeurs légaux mais aussi aux hackers, puisque la documentation inclut des descriptions des services et des règles en vigueur pour écrire des programmes compatibles.
Par exemple, la plupart des vendeurs de mobiles ne partagent pas cette information laissant les vendeurs légaux agrées et les hackers impuissants. Certains vendeurs de smartphones publient leur documentation. Le premier virus pour Symbian (Worm.SymbOS.Cabir.a) et Windows CE (WinCE.Duts.a) est apparu peu de temps après la publication de la documentation mi 2004.
L'architecture d'un système d'exploitation ou d'une application bien construite se doit de prendre en compte la sécurité. Une solution sûre n'accorde pas un nouveau ou un programme non autorisé un accès étendu à des fichiers ou des services potentiellement dangereux. La difficulté réside dans le fait qu'un système complètement sécurisé bloquera et le malware et les programmes inoffensifs. Par conséquent, aucun des systèmes aujourd'hui sur le marché ne peut etre considéré comme réellement sûr.
Les machines Java qui ont lancé les applications Java sur le mode « sandbox » sont prêtes à prendre des mesures de sécurité. Depuis longtemps, il n'y a pas eu de virus ou de trojans écrits en java qui posent des menaces sérieuses même si des POC non-viable apparaissent occasionnellement. Le malware écrit en Java est apparu seulement lorsque les vulnérabilités en Java Virtual Machine ont été découvertes et publiées.

enjoy
messaid saadane

[messaid saadane]

Encyclopédie Virus _ Historique du Malware

Historique des Programmes Malveillants
Le concept de programme malveillant peut sembler assez récent. La majorité des utilisateurs d'ordinateurs ont découvert les virus, les vers et les chevaux de Troie suite aux attaques dont ils ont été victimes lors des épidémies de ces dernières années. Les médias ont également joué un rôle important en évoquant de plus en plus souvent les dernières menaces informatiques ou l'arrestation de tel ou tel auteur de virus.
Toutefois, les programmes malveillants ne sont pas vraiment récents. Bien que les premiers ordinateurs ne furent pas attaqués par des virus, cela ne signifie pas pour autant qu'ils n'étaient pas vulnérables. En fait, les technologies de l'information n'en étaient qu'à leurs débuts et il n'y avait pas beaucoup de monde capable de comprendre les systèmes informatiques afin de les exploiter.
Les problèmes ont commencé à se manifester lorsque l'utilisation des ordinateurs s'est démocratisée. Les premiers virus ont fait leur apparition dans les années 70 sur des réseaux dédiés comme ARPANET. L'explosion du nombre d'ordinateurs personnels, amorcée par Apple au début des années 80, fut accompagnée d'une explosion du nombre de virus. Etant donné qu'un nombre croissant d'individus avaient un accès direct à des ordinateurs, ils pouvaient apprendre le fonctionnement de ces machines. Et comme toujours, certains de ces individus ont utilisé leur savoir à mauvais escient.
Les virus ont évolué parallèlement aux technologies. En l'espace d'une vingtaine d'années, les ordinateurs ont considérablement changé. Les ordinateurs aux possibilités réduites qui démarraient avec une disquette ont été remplacés par de puissants systèmes qui peuvent envoyer de grands volumes de données de manière quasi instantanée, expédier des messages à des centaines ou des milliers d'adresses et faire office de centres de détente en permettant de regarder des films, d'écouter de la musique et de visiter des sites Web interactifs. Et les auteurs de virus ne se sont pas laissés distancer.
Alors que les virus des années 80 visaient un ensemble de systèmes d'exploitation et de réseaux, la majorité des virus d'aujourd'hui exploitent les failles du logiciel le plus communément utilisé : Microsoft Windows. Le nombre croissant d'utilisateurs vulnérables est exploité par les auteurs de virus. Les premiers programmes malveillants ont peut-être choqué les utilisateurs en raison des comportements inattendus qu'ils suscitaient dans les ordinateurs. Ceci étant dit, la menace représentée par les virus des années 1990 est bien plus importante : ces virus servent souvent à dérober des données confidentielles telles que les infos relatives à un compte en banque ou des mots de passe.
Les programmes malveillants ne peuvent être ignorés. Il est primordial de comprendre les menaces qui planent sur l'informatique à l'heure actuelle. Cette rubrique donne un aperçu de l'évolution des programmes malveillants : certaines curiosités historiques sont présentées et le contexte permettant de comprendre l'origine des cybermenaces actuelles est explicité.

enjoy
messaid saadane

[messaid saadane]

Encyclopédie Virus _ Qui se cache derrière le Malware

Qui écrit les programmes malicieux et pourquoi ?
Auteurs de virus: 4 types
Il existe 4 catégories d'auteurs de virus: les cyber vandales que l'on divisera en 2 sous-catégories et les programmistes plus sérieux que l'on divisera également en 2 groupes.
Cyber vandalisme – 1ère catégorie
Il y a encore quelques années le malware était écrit par de jeunes programmistes qui voulaient tester leurs connaissances. Heureusement la plupart de ces programmes ne se propagent pas à grande échelle et la majorité disparait lors du reformatage des disques. Ce genre de virus n'est pas crée dans un but précis mais plutôt pour que leurs auteurs vérifient leurs capacités.
Cyber vandalisme – 2ème catégorie
Le second groupe est constitué d'étudiants. Ils étudient la programmation en sachant pertinemment qu'ils voueront leur connaissance à l'écriture de virus. Les virus émis par ce genre de personnes sont en général primitifs et le code rempli d'erreurs.
Cependant le développement d'Internet offre de nouvelles possibilités pour ces soi-disant auteurs de virus. De nombreux sites, sites de discussion ou autres ressources abondent d'information avec lesquelles n'importe qui peut apprendre l'écriture des virus, en parlant à des auteurs expérimentés, et en téléchargeant tous les outils pour construire et dissimuler du malware dans des sources codes de programmes malicieux.
Auteurs de virus professionnels
Les anciens 'script kiddies' – jeunes pirates dépourvus de réelles connaissances virales mais exploitant les exploits trouvés sur Internet - ont grandi. Certains sont restés dans l'écriture virale et essaient de vivre de leurs talents douteux. Ce groupe reste le plus secret et dangereux de l'informatique underground car il forme un réseau de professionnels talentueux dont les virus et épidémies sont très sérieuses.
Les auteurs de virus professionnels sont souvent les pères de codes innovants destinés à infiltrer ordinateurs et réseaux. Ils sont à l'affût de vulnérabilités logicielles et matérielles et usent du social engineering de façon originale de sorte que leurs codes malicieux en plus de survivre, se propagent largement.
La recherche virale : les auteurs de POC “Proof of Concept”
Le dernier et plus petit groupe d'auteurs de virus est plutôt inhabituel. Ces auteurs se classifient eux-mêmes comme chercheurs. La plupart d'entre eux sont talentueux et se consacrent au développement de nouvelles méthodes de pénétration et d'infection des systèmes tout en dupant les programmes antivirus. Ils sont en général parmi les premiers à infiltrer les nouveaux systèmes d'exploitation. Néanmoins leur motivation n'est pas pécunière mais scientifique, la recherche est ce qui leur importe le plus. Généralement ils ne diffusent pas le code source de leur virus POC mais discutent activement leurs innovations sur des ressources Internet consacrées à l'écriture de virus.
Tout ça peut paraître innocent voire même utile. Cependant, un virus reste un virus et la recherche virale devrait être menée par des gens voués à corriger les erreurs, et non pas par des amateurs qui ne prennent aucune responsabilité face aux conséquences souvent désastreuses de leurs trouvailles. Nombreux sont les virus POC qui peuvent tourner en vraies menaces une fois qu'un auteur de virus professionnel met la main dessus étant donné que l'écriture de virus est source de gain pour ce groupe.
Pourquoi écrire des virus ?
Escroquerie
L'informatique underground a réalisé que payer pour des services tel que l'accès Internet, les emails et l'hébergement de site, offrait de nouvelles opportunités pour des activités illégales avec la satisfaction supplémentaire d'obtenir l'accès à des services gratuitement. Les auteurs de virus sont à l'origine d'une gamme de programmes de Troie (Trojans) qui volent des login et mots de passe pour avoir accès aux ressources Internet d'autres utilisateurs.
Le premier vol de mot de passe par Trojans a eu lieu en 1997: le but était d'avoir accès à AOL. Jusqu 'en 1998 des Trojans du même genre ont fait leur apparition visant d'autres principaux fournisseurs d'accès à Internet. Des Trojans volant des données pour des dial-up ISPs, AOL et autres services Internet sont souvent écrits par des personnes aux moyens limités pour entretenir leur habitudes Internet ou par d'autres personnes n'acceptant pas le fait qu'il faille payer pour des services Internet.
Pendant longtemps ce groupe de Trojans a constitué une grosse part du catch quotidien pour les sociétés antivirus dans le monde. Aujoud'hui leur nombre est en déclin puisque les prix à l'accès Internet ont bien diminué. Les jeux et les clés de licences de logiciels sont une nouvelle cible pour la cyber escroquerie. Une fois encore les Trojans fournissant un libre accès à ces ressources sont écrites par et pour des gens aux ressources financières limitées. Les utilitaires de hacking et de cracking sont écrits par des ainsi nommés 'freedom fighters' qui clament que toute information devrait être partagée librement par la communauté informatique. Cependant la fraude reste un crime que son but soit noble ou non.
Le cyber crime organisé
Les plus dangereux auteurs de virus sont des particuliers et des groupes qui sont devenus des professionnels. Ces personnes extirpent de l'argent directement aux utilisateurs finaux (par le vol ou la fraude), ou bien utilisent des machines zombies pour gagner de l'argent en créant et vendant des plateformes pour envoi de spams, ou encore en organisant des attaques de DoS afin de procéder à un chantage.
La plupart des épidémies sont provoquées par des auteurs de virus professionnels qui organisent des installations de Trojans sur les machines victimes. Cette installation est réalisée en utilisant des vers, des liens vers des sites infectés ou par d'autres Trojans.
Réseaux de Bot
Ces derniers temps, les auteurs de virus travaillent pour des spammeurs ou vendent leurs logiciels piratés au plus offrant. Un des procédés standard d'aujourd'hui est de créer des réseaux de bots c'est-à-dire des réseaux d'ordinateurs zombie au code malicieux identique. Dans le cas de réseaux utilisés comme plateformes de spams, un serveur proxy Trojan pénètrera les machines victimes. L'auteur de virus vend alors ces réseaux au plus offrant de l'underground informatique.
De tels réseaux sont généralement utilisés comme plateformes de spams. Les utilitaires de hackers peuvent être utilisés pour assurer le bon fonctionnement de ces réseaux; le logiciel malveillant est installé à l'insu de l'utilisateur, les programmes adware peuvent être camouflés pour empêcher la detéction ou la suppression par logiciels antivirus et ces derniers peuvent être attaqués.
Gain financier
En plus des spams et autres adware, les auteurs de virus professionnels créent également des Trojans espions qu'ils utilisent pour voler de l'argent des e-portefeuilles, des comptes pay pal et/ou depuis les comptes bancaires Internet. Ces Trojans récoltent les informations bancaires et de paiement des machines locales ou des serveurs corporate et les envoient ensuite au commanditaire.
Cyber extorsion
La troisième forme majeure de cyber crime contemporain est l'extorsion ou le racket Internet. Généralement les auteurs de virus créent un réseau de machines zombies capable de conduire à une attaque DoS organisée. Ensuite ils font du chantage à un site web donné. Les cibles privilégiées incluent les e-stores, les sites de jeux et bancaires c'est-à-dire les sociétés dont les revenus sont générés directement par leur présence en ligne.
Autre malware
Auteurs de virus et hackers font également en sorte que les adware, les dialers et utilitaires qui redirectent les navigateurs sur des sites payants et sur autres types de logiciel malveillant indésirable, fonctionnent de manière efficace. De tels programmes peuvent générer des profits pour l'informatique underground, c'est donc dans les intérêts des auteurs de virus et des hackers de faire en sorte que ces programmes ne soient pas détectés, et ils sont régulièrement mis à jour.
En dépit de l'attention des média envers les jeunes auteurs de virus qui réussissent à provoquer une épidémie mondiale, approximativement 90% des codes malicieux sont écrits par des professionnels. Cependant ces quatre groupes mettent en danger la sécurité informatique, et le groupe qui pose le plus de problèmes est la communauté de professionnels qui commercialisent leurs services.

enjoy
messaid saadane

[messaid saadane]

Encyclopédie Virus _ Tendances du Malware
L'évolution du Malware
En virusologie, les tendances d'aujourd'hui prennent racine dans la seconde moitié de 2003. Les vers Internet Lovesan, Sobig, Swen et Sober n'ont pas seulement causé des épidémies mondiales mais également profondément changé le paysage du malware. Chacun de ces programmes malicieux ont apporté de nouveaux standards pour les auteurs de virus.
Une fois qu'un programme malveillant utilise de nouvelles techniques fondamentales de propagation ou d'infection, les auteurs de virus ne tardent pas à adopter ces nouvelles techniques. Les menaces d'aujourd'hui incorporent toutes des caractéristiques propres à Lovesan, Sobig, Swen ou Sober. Aussi pour comprendre ce que les auteurs de virus font à l'heure actuelle et pour savoir de quoi demain sera fait, il est nécessaire d'étudier ce quatuor à la loupe.
Lovesan
Lovesan est apparu en août 2003 et a infecté des millions d'ordinateurs en quelques jours seulement. Ce ver Internet s'est propagé en exploitant une vulnérabilité critique dans MS Windows. Lovesan s'est diffusé directement via Internet passant d'ordinateur en ordinateur, ignorant les méthodes telles que IRC, P2P et les emails qui étaient alors populaires. Le ver Morris a été le premier à utiliser cette méthode de propagation en 1988, mais il a fallu 15 ans à un autre auteur de virus pour profiter de cette technique particulière.
Dans une certaine mesure, Lovesan était un simple imitateur de ver. En exploitant une faille MS Windows, il a suivi les pas de Slammer. Pourtant au contraire de Slammer qui a frappé en janvier 2003, et infecté environ un demi million d'ordinateurs, il n'a pas atteint les mêmes niveaux d'infection que Lovesan.
Slammer fut également le premier ver sans corps - certainement un exploit, du moins du point de vue du codeur, étant donné qu'écrire un ver sans corps viable, nécessite de fortes compétences en programmation. En fait il y a eu un ver avec un succès modéré depuis Slammer, il s'agit de Witty qui a fait son apparition en mars 2004.
Lovesan a lancé une autre tendance – inclure une attaque de DoS dans le payload du ver sur des sites d'entreprises. Lovesan a attaqué Microsoft de manière plutôt réussie, des millions d'utilisateurs dans le monde entier ont été incapables de télécharger les patchs dont ils avaient besoin pour protéger leurs machines du ver. Heureusement, l'attaque de DoS a échoué mais Mircrosoft a reconstruit l'architecture de son serveur web en réponse.
En résumé, Lovesan a lancé tendances suivantes:
Exploit de failles critiques dans MS Windows
Diffusion via Internet par le biais de connections directes sur machines victimes
Organisation d'attaques de DoS et DDoS sur des sites Web clés
Sobig.f
Sobig.f a marché sur les talons de Lovesan en août 2003 et a causé la première épidémie sérieuse de ver de messagerie du 21ème siècle. Au pic de l'épidémie, un message sur 10 était infecté par Sobig. Le trafic d'email a été multiplié par dix et comprenait des millions de messages des programmes antivirus informant fidèlement les expéditeurs parodiés du malware détecté et supprimé.
Sobig.f n'a utilisé aucune faille et les attributs du message (objet etc.) étaient des plus ordinaires. Cependant le payload de Sobig comprenait une backdoor qui ont tenu les professionnels de l'antivirus en haleine jusqu'au 22 août, date à laquelle tous les zombies controlés par Sobig étaient programmés pour recevoir un ordre mystérieux. Heureusement, le serveur à partir duquel la commande devait être lancée, a été fermé à temps. Cependant Sobig.f continue à harceler la communauté des internautes, restant un des virus les plus courants dans le monde.
Les épidémies à grande échelle ne sont pas causées par des vers classiques lachés dans la nature à partir de quelques ordinateurs. Ces vers classiques prennent souvent des semaines voire des mois pour atteindre un pic d'activité. Sobig.f n'a pas fait exception à la règle: il a exploité des machines infectées précédemment par des versions antérieures. Sobig.a est apparu en janvier 2003 et a été suivi par plusieurs variantes, chacune a construit consciencieusement un réseau de machines infectées, machine par machine. Une fois qu'un seuil critique a été atteint Sobig.f a frappé.
Sobig.f a été l'initiateur de cette vague d'épidémies par email à grande échelle comme on l'a vu en 2004 et ça va continuer ainsi jusqu'à de nouvelles techniques soient inventées. Sobig a apporté deux techniques innovantes au monde du malware :
La mise en place de réseau de machines infectées pour servir de plateformes épidémiques
Mailing de masse de logiciels malveillants en utilisant des techniques de spams
Swen
Revenons au 18 septembre 2003. Tôt le matin, Kaspersky Lab reçoit un échantillon de Nouvelle Zélande. Le ver semblait intéressant mais personne ne se doutait de l'épidémie qu'il allait provoqué. Aussi, six heures plus tard, des appels au secours venant du monde entier ont montré qu'un nouveau et dangereux virus était entré en piste.
Au premier abord, Swen ressemblait à un ver banal utilisant les méthodes de propagation standards - email, IRC et les réseaux P2P. Swen s'est fait remarqué par son social engineering particulièrement judicieux. Le ver est arrivé déguisé sous forme de patch Microsoft qui était supposé corriger toutes les failles. Le message comportait des logos Microsoft, des liens vers des vraies ressources Microsoft, accompagné d'un texte très convaincant. Les destinataires, apeurés par la récente publicité des épidémies Lovesan et Sobig et ayant retenus la leçon que se patcher est essentiel, ont cliqué sur le lien. L'email était tellement plus vrai que nature que même les utilisateurs expérimentés ont été nombreux à être duper.
L'épidémie qui a suivie a été certainement moins sérieuse que celles provoquées par Lovesan et Sobig (seulement 350 serveurs infectés ont été utilisés pour diffuser Swen). Swen a tout de même prouvé que le social engineering est redoudablement efficace lorsqu'il est correctement utilisé.
Sober
Sober est le dernier de cette liste des vers intéressants de 2003. Sober est une imitation de Sobig mais comporte quelques facteurs innovants. Les emails infectés arrivent en plusieurs langages, et le langage appropié est déterminé par l'adresse IP du destinataire. Sober a lui aussi usé de social engineering en prétendant être un utilitaire de désinfection pour Sobig.
2004
2004 est de loin l'année qui a apporté de nombreux nouveaux programmes originaux. La plupart reprennent les développements de 2003, mais de nombreuses nouvelles caractéristiques et virus proof of concept ont prouvé que l'informatique underground est toujours en ébullition et continue à évoluer.
Janvier 2004
Un nouveau Trojan proxy server, Mitglieder est apparu la première semaine de l'année. Des milliers d'utilisateurs ICQ ont reçu un message les invitant à visiter un site donné. Ceux qui ont eu la mauvaise idée de cliquer sur le lien se sont ensuite tournés vers les vendeurs antivirus en demandant leur aide. Le site contenait un trojan qui utilisait une faille dans MS Internet Explorer pour installer et lancer un serveur proxy sur la machine victime à l'insu de l'utilisateur. Le proxy ouvrait un port permettant à un utilisateur à distance d'envoyer et de recevoir des messages en utilisant la machine infectée. Les machines victimes étaient transformées en zombies débordant de spams. Les auteurs de virus ont rapidement adopté ces deux nouvelles techniques déployées dans Mitglieder :
Les mailings de masses de liens vers des sites infectés via email ou ICQ
Les Trojans proxy servers sont devenus une classe à part de malware étroitement liés aux spammeurs
Et le dernier mais pas des moindres, Mitglieder a également crée un réseau de machines zombies – mais qui n'a été découvert qu'au moment où Bagle a frappé.
Bagle semble avoir été écrit par le même groupe qui a écrit Mitglieder. Bagle installait soit un Trojan proxy serveur, soit le téléchargeait depuis Internet. En aucun cas, le ver était simplement une version améliorée de Mitglieder avec la capacité de se propager par email. De plus, Bagle était envoyé depuis des machines infectées par Mitglieder.
Et finalement, l'épidémie la plus sérieuse dans l'histoire de l'informatique : le ver Mydoom.a. Il s'est propagé par un réseau de machines zombies infectées au préalable (de la même facon que Sobig), un usage judicieux du social engineering (tel que Swen), a incorporé une fonction backdoor efficace et était programmé pour conduire une attaque de DoS sur un site corporate (tel que Lovesan). Cette combinaison d'éléments a battu tous les records. Mydoom.a a créé encore plus de trafic email que le leader récent Sobig.f, il a infecté des millions de machines de par le monde, ouvrant des ports pour donner accès de l'extérieur et faisant tomber le site web de SCO.
Mydoom.a a fait bien plus que créer l'épidémie la plus sévère dans l'histoire de l'informatique à ce jour. Il a également introduit une nouvelle technique. La backdoor installée par Mydoom était exploitée par d'autres auteurs de logiciels malveillants, avec de nouveaux virus qui se sont mis pratiquemement immédiatement à la recherche de la backdoor de Mydoom. La plupart des nouveaux venus infiltraient la machine via la backdoor, supprimaient Mydoom et s'installaient à sa place. Certains de ces imitateurs ont provoqué des épidémies locales et ont forcé des segments locaux du réseau de zombie de mydoom à travailler pour eux à la place.
Ainsi une autre technique a gagné en popularité:
L'utilisation de failles ou de brèches formées par d'autres virus
Février 2004
NetSky.b
Ce ver de messagerie utilisait le réseau de machines infectées laissées par Backdoor.Agobot pour se propager. Netsky.b a utilisé plusieurs techniques énumérées ci-dessus mais a aussi supprimé un certain nombre de vers : Mydoom, Bagle et Mimail. L'idée d'un soi-disant virus antivirus n'est pas nouvelle. Le premier exemple significatif de cette espèce supposée serviable, est Welchia, apparu en 2003. Welchia n'a pas seulement infiltré les ordinateurs pour nettoyer les machines infectées par Lovesan, il essayait également de télécharger le patch Windows qui corrigeait la faille exploitée par Lovesan dès le début.
Netsky n'a pas seulement supprimé les virus concurrents mais a provoqué une guerre verbale entre les différents auteurs codant des insultes dans le corps du virus. L'auteur de Mydoom n'a pas réagi mais les auteurs de Bagle ont saisi la balle au bond et la guerre des virus a commencé. Au temps fort de cette bataille, trois versions de chaque ver apparaissaient en l'espace d'une journée.
Mis à part la guerre verbale, les auteurs de Bagle et Netsky ont introduit de nouvelles notions :
Elimination active des virus concurrents
Propagation dans des fichiers zippés (variantes Bagle & NetSky)
Propagation par fichiers zippés protégés par des mots de passe: les mots de passe étaient soit inclus sous forme de texte ou graphique (Bagle)
Abandon de la diffusion par email: au lieu de ça, le programme malicieux se propage en dirigeant des machines infectées vers des sites ou le corps de ver a été précédemment téléchargé ou en téléchargeant le corps du ver depuis des machines préalablement infectées (NetSky)
Les incidents listés ci-dessus n'ont pas seulement influencé les auteurs de virus mais également l'évolution de l'architecture et la fonctionnalité des solutions antivirus actuelles.
L'abandon de l'envoi du corps du ver par email est significatif. NetSky.q, une variante NetSky qui se propage en envoyant des emails pourvus de liens vers des machines préalablement infectées, a été immédiatement suivie de Bizex. Bizex était le premier ver ICQ, il pénétrait les machines via ICQ et envoyait tous les contacts trouvés sur les machines infectées vers un site où se trouvait le corps du ver. Une fois que les internautes cliquaient sur le lien, le ver était téléchargé depuis le site infecté et ainsi de suite. Bizex a combiné avec succès les caractéristiques de Mitglieder (propagation via ICQ) et de NetSky (en envoyant des liens vers des sites infectés).
Mars-Mai 2004
Snapper et Wallon
Ces vers Internet ont consolidé les techniques introduites par Netsky et Bizex. Ces deux vers scannaient les répertoires d'adresses email sur les machines infectées puis envoyaient des liens vers des sites infectés à tous les contacts trouvés dans le répertoire d'adresses local. Les auteurs ont placé des trojans sur les sites infectés : ces trojans exploitaient ensuite les vulnérabilités dans Internet Explorer pour installer des composants essentiels sur les machines victimes.
Encore aujourd'hui, les emails contenant des liens ne sont pas traités par les destinataires avec la précaution nécessaire. L'utilisateur méfiant face aux emails avec fichiers attachés cliquera néanmoins avec enthousiasme sur des liens soi-disant envoyés par des amis. Il est certain que cette technique continuera à être utilisée jusqu'à ce que les internautes apprennent à traiter les liens reçus par email avec la même prudence que celle qu'ils déploient envers les fichiers attachés aux emails. Il semble que la découverte constante de nouvelles vulnérabilités dans Internet Explorer et Outlook ne fera qu'ajouter de l'huile sur le feu.
Sasser
Sasser a inauguré l'année 2004 en faisant surface en avril. Ce ver Internet exploitait la vulnérabilité dans MS Windows et se diffusait de la même manière que Lovesan, se connectant directement à la machine victime par Internet. Sasser a causé une sérieuse épidémie en Europe et a laissé derrière lui une faille de serveur FTP qui a été immédiatement reprise par Dabber et Cycle. Lorsque Sven Jaschan, l'adolescent auteur de Sasser fut arrêté, il a reconnu être également l'auteur de la famille Netsky.
L'arrestation d'un auteur de virus peu après la sortie d'un nouveau programme malicieux était une première dans l'histoire.
Sasser mettait en évidence que les auteurs de virus recyclent et plagient les techniques réussies : Jashan utilisait des techniques exploitées par Lovesan, et d'autres auteurs de virus à leur tour reprenaient immédiatement leurs idées.
Plexus
Plexus est rentré dans l'histoire en devenant le premier ver depuis Nimbda (2001) à utiliser toutes les techniques de propagation existantes. L'Internet, l'email, les réseaux P2P et LANs. Trois années se sont écoulées sans qu'aucun auteur de virus n'utilise autant de ressources simultanément.
Plexus était potentiellement un ver extrêmement dangereux basé sur le code source de Mydoom. Ici l'auteur du virus a suivi les pas de l'auteur de Sober. Une part de Sober n'était que pur plagiat résultant en un ver qui a atteint plus de succès que certains des programmes malicieux « donneurs ».
Heureusement aucune version de Plexus n'a causé de sérieuses épidémies puisqu'aucune d'entre elles n'a utilisé de techniques de mailing de masse pour se propager. L'auteur de ces vers n'a pas non plus utilisé de techniques de social engineering efficaces. Cependant si quelqu'un arrivait à créer de nouvelles versions qui corrigeraient ces défauts, le monde informatique pourrait se voir inquiéter par une sérieuse épidémie.
Au-delà des vers
Les vers décrit ci-dessus ont causé les épidémies les plus médiatisées dans l'histoire de l'informatique. Cependant, d'autres types de malware peuvent menacer la sécurité des ordinateurs et des données; il est donc important de prendre en compte le paysage global, y compris les environnements hors Windows, afin d'obtenir une image complète des tendances actuelles.
Autre Malware
Trojans
Les Trojans sont souvent considérés comme moins dangereux que les vers, du fait qu'ils ne peuvent se dupliquer ou se déplacer par eux-mêmes. Il s'agit pourtant d'une fausse idée: le malware d'aujourd'hui combine plusieurs composants et les Trojans font partis des downloads de beaucoup de vers. Ces trojans posent les fondations pour les réseaux de bot.
Les Trojans gagnent également en sophistication. Les trojans programmes espions prolifèrent, avec des douzaines de nouvelles versions apparaissant chaque semaine. Ces versions sont toutes légèrement différentes, mais développées dans le même but - dérober des informations financières confidentielles.
Certains de ces programmes sont de simples key loggers (sniffeurs de claviers), qui envoient l'enregistrement des touches du clavier à l'auteur ou l'utilisateur du programme. Les versions les plus élaborées offrent un contrôle complet sur les machines victimes, en envoyant des données à des serveurs éloignés et recevant et exécutant des commandes.
Les auteurs de Trojans ont pour but d'obtenir un contrôle total sur les machines. Les machines infectées sont habituellement intégrées dans un réseau de bot utilisant des canaux IRC ou des sites Web ou le codeur implante de nouvelles commandes. Les Trojans les plus complexes, comme les nombreuses variantes Agobot, réunissent toutes les machines infectées sous un seul réseau P2P.

Une fois que les réseaux bot sont en place, ils sont loués à des spammeurs ou utilisés pour mener des attaques de DDoS. L'escalade de la commercialisation de l'écriture de virus entraîne la sophistication accrue des réseaux bots.
Cheval de Troie droppers et downloaders
Les downloaders aussi bien que les droppers (injecteurs) ont un seul et même but : installer une pièce supplémentaire de malware, que ce soit un ver ou un autre Trojan, sur le machine victime. Ils se différencient des Trojans par les méthodes employées.
Les droppers installent soit d'autres programmes malicieux soit une nouvelle version de malware précédemment installée. Les droppers peuvent porter une série de différents malware qui n'ont rien à voir les uns avec les autres, et qui peuvent répondre à différentes fonctions voire même être écrits par différents auteurs. Techniquement parlant, les droppers se comportent comme des archiveurs qui ont la faculté de compresser plusieurs sortes de malware.
Les droppers sont souvent utilisés pour installer de nouveaux trojans pour la simple raison qu'il est plus facile d'écrire un dropper qu'un nouveau Trojan, et pour assurer que le dropper ne sera pas détecté par des solutions antivirus. La majorité des droppers sont écrits en VBS et JS ce qui contribue à leur popularité ; ces langages sont relativement simples et accompagnés d'application multi-plateforme.
Les auteurs de virus utilisent souvent les downloaders de la même façon que les droppers. Pourtant les downloaders peuvent se montrer plus utiles que les droppers. Premièrement ils sont plus petits, deuxièmement ils peuvent être utilisés pour télécharger les infinies nouvelles versions du malware visé. Comme les droppers, les downloaders sont souvent écrits en langage de script tels que VBS et JS. Ils exploitent également les vulnérabilités d'Internet Explorer.
Les droppers aussi bien que les downloaders ne sont pas utilisés uniquement pour installer d'autres Trojans mais également d'autres programmes malicieux tels que du adware et du pornware.
Virus Classiques
Les virus classiques de fichiers ont régné pendant les années 90 mais à ce jour ils ont pratiquement disparu. A l'heure actuelle on dénombre environ 10 virus de fichiers toujours actifs. Ils atteignent un pic d'activité lorsqu'ils infectent le fichier exécutable d'un ver : le virus de fichier se déplacera alors à la même vitesse que le fichier infecté du ver. Par exemple, nous observons souvent des échantillons de MyDoom, Netsky, et Bagle être infectés par des virus de fichiers tels que Funlove, Xorala, Parite ou Spaces.
En gros, il y a peu de risque que les virus de fichiers provoquent aujourd'hui une épidémie sérieuse. Même Rugrat, le premier virus Proof Of Concept pour Win64, n'a pas la capacité de changer la situation dans un futur à venir.
Autres environnements
Linux
Les plateformes sous Linux ont été la cible répétée d'attaques rootkit ('kit' pour devenir administrateur d'une machine) et de simple virus de fichiers. Cependant le nombre croissant de vulnérabilités médiatisées signifie que le nombre croissant d'utilisateurs passant à Linux ne seront pas à l'abri du malware.
Les nomades
Les PDA font désormais partis des appareils courants de notre quotidien. Les auteurs de virus n'ont pas attendu pour profiter de leur croissante popularité. Le premier Trojan pour Palm OS est apparu en septembre 2000. Le premier POC pour pocket PC, Duts, a mis plus de temps pour arriver, et est apparu en juillet 2004. Jusqu'à présent, il n'y a pas eu d'épidémies sérieuses dans le monde des nomades mais c'est simplement une question de temps. Une fois que les auteurs de virus auront décidé que l'information sauvegardée sur les nomades vaut la peine, le malware pour ces appareils évolueront rapidement.
Les téléphones mobiles
Les téléphones portables sont désormais énormément répandus et utilsés de la même façon. Ces deux facteurs sont à même d'attirer l'attention des auteurs de virus particulièrement avec l'arrivée des smartphones dotés de facultés informatiques. Le premier POC pour smartphones sous Symbian est apparu en juin 2004. Le seul facteur manquant est l'utilisation commerciale – une fois que les auteurs de virus auront trouvé un moyen de gagner de l'argent en exploitant les téléphones cellulaires, les virus apparaîtront inévitablement.

enjoy
mesaid saadane

[messaid saadane]

Que faire en cas d'infection?
Il est parfois difficile pour une personne non avertie de détecter la présence de virus dans un ordinateur car ceux-ci s'infiltrent parmi les fichiers habituels.
Signes d'une infection
Il existe toute une série d'indices qui peuvent indiquer l'infection de l'ordinateur par exemple:
L'affichage à l'écran de messages ou de dessins inhabituels ;
L'émission de sons étranges ;
L'ouverture et la fermeture inattendue du lecteur de CD-ROM ;
Le lancement aléatoire d'une application quelconque sans l'intervention de l'utilisateur ;
L'affichage par le logiciel Kaspersky® Anti-Hacker de messages d'alerte annonçant qu'un logiciel installé sur l'ordinateur tente de se connecter à Internet sans que l'utilisateur soit à l'origine d'un tel comportement ;
Certains symptômes laissant présager une infection se manifestent également via le courriel :
Vos amis ou vos connaissances parlent de vos messages alors que vous ne leur avez rien envoyé ;
La boîte aux lettres contient énormément de messages sans objet et sans adresse d'expéditeur.
Ces signes n'indiquent pas forcément la présence de virus. Ils peuvent être la manifestation d'un autre problème. Ainsi, il est possible que les messages infectés reprennent votre adresse en tant qu'adresse de l'expéditeur même s'ils ont été envoyés depuis un autre ordinateur.
L'infection de l'ordinateur peut se manifester par une série de signes secondaires :
Gel et échecs fréquents dans le fonctionnement de l'ordinateur ;
Lenteur au moment du lancement des logiciels ;
Impossibilité de charger le système d'exploitation ;
Disparition de fichiers et de répertoires ou altération de leur contenu ;
Requêtes fréquentes vers le disque dur (la petite lampe sur la tour clignote fréquemment) ;
Microsoft Internet Explorer " gèle " ou se comporte bizarrement (ex.:impossible de fermer les fenêtres du logiciel).
Dans 90% des cas, ces symptômes sont causés par des problèmes matériels ou logiciels. Même si ces symptômes ne sont pas nécessairement la manifestation d'une infection, il est fortement conseillé de procéder à une analyse complète de l'ordinateur selon les paramètres définis par les experts de Kaspersky Lab dès qu'ils se manifestent.
Que faire lorsque les symptômes d'une infection sont présents ?
Lorsque l'ordinateur a un comportement suspect :
Il vaut éviter de paniquer ! La règle d'or dans ce type de situation est de garder son calme afin d'éviter de supprimer des données importantes
Déconnecter l'ordinateur d'Internet.
Le cas échéant, déconnecter l'ordinateur du réseau local.
Si le symptôme observé empêche de démarrer l'ordinateur depuis le disque dur (un message d'erreur apparaît lorsque vous allumez l'ordinateur), essayez de démarrer en mode Sans échec ou au départ du disque de démarrage que vous avez créé au moment de l'installation du système d'exploitation.
Avant d'entamer quoi que ce soit, il est recommandé de faire une copie des données importantes sur une disquette, un CD, une carte Flash, etc.
Installer Kaspersky Anti-Virus® Personal, si cela n'a pas encore été fait.
Télécharger les dernières mises à jour des bases antivirus. Dans la mesure du possible, réaliser cette opération depuis un ordinateur sain tiers (ami, cybercafé, travail). Il est en effet préférable d'utiliser un autre ordinateur car si le vôtre est bel et bien infecté, sa connexion à Internet permettra plus que probablement au virus d'envoyer des informations importantes à une personne mal intentionnée ou de se propager en envoyant une copie à tous les contacts de votre carnet d'adresses. C'est pour cette même raison qu'il est toujours conseillé de déconnecter l'ordinateur d'Internet si vous pensez être infecté. Dans la mesure où vous ne pourriez pas télécharger les dernières bases antivirus depuis un autre ordinateur, vous pouvez tenter d'exécuter cette opération depuis votre ordinateur juste avant de le mettre hors ligne. Il est possible également d'obtenir les mises à jour des bases antivirus sur une disquette ou sur un disque en s'adressant à Kaspersky Lab ou à l'un de ses distributeurs. Dans ce cas, la mise à jour s'effectue localement.
Sélectionnez le niveau de protection recommandé par les experts de Kaspersky Lab.
Lancer l'analyse complète de l'ordinateur.

enjoy
messaid saadane