|
|
QUESTIONSREPONSES |
|
|
|
Virus : les mécanismes de base |
Doubles extensions, macros, bases de registres, moteurs SMTP et portes dérobées : cinq mécanismes de contamination et de diffusion propres aux virus informatiques.
(06/04/2004)
|
|
Les virus utilisent des techniques variées pour se diffuser ou pour percer
les défenses d'un ordinateur. Voici cinq de ces mécanismes passés
à la loupe pour mieux les comprendre.
La double extension
d'une pièce jointe
Un des ruses les plus couramment utilisées par les concepteurs de virus
est de camoufler leur code malveillant derrière un fichier de type Word
(.doc), Excel (.xls), texte (.txt), photo (.jpg notamment), page HTML, document
PDF, etc. Comment le dissimuler ? En profitant d'une caractéristique de
Windows et d'Outlook qui, par défaut, n'affichent pas les extensions de ces
fichiers. L'utilisateur est alors trompé parce qu'il ne voit pas la double
extension en .exe (fichier exécutable), .vbs (script), .scr (Windows Screen
Saver), .pif (Windows Program Information File), etc. qui permettra au virus de
s'exécuter avant le programme qui, normalement, permet de lire la pièce
jointe.
Les virus de macro
Ces virus ciblent principalement les documents Word, Excel, PowerPoint et Access
en utilisant le langage VBA (Visual Basic for Application) ou WordBasic. Ces logiciels
permettent de créer des commandes macros, c'est-à-dire une succession
automatisée de tâches. Mais ces logiciels utilisent également
des macros pour fonctionner eux-mêmes (macros pour fermer, ouvrir ou imprimer
un document par exemple). Les virus de macro s'infiltrent au sein de ces mécanismes
en infectant le fichier d'amorçage puis en modifiant certains sous-menus
(comme "Enregistrer Sous") ce qui leur permet ensuite de se répliquer
lors de la création de tout nouveau document.
La corruption de
la base de registres
Dans Windows, la base de registres fait office en quelque sorte d'une base de
données destinée à sauvegarder des informations auxquelles
le système d'exploitation fait constamment appel pour fonctionner. Les
virus modifient certaines entrées de la base (par exemple c:\autoexec.bat
pour s'exécuter automatiquement à chaque démarrage du poste
infecté) et/ou en créent de nouvelles pour rendre plus difficile
leur éradication, pour faciliter toute autre action leur profitant (téléchargement
d'un cheval de Troie...) ou, plus récemment, pour annihiler l'action de
virus concurrents...
Les moteurs SMTP
embarqués
La combinaison de plus en plus fréquente "virus + spam" permet
aux virus de se diffuser à grande échelle par l'envoi massif de
courriels à tous les destinataires trouvés sur un poste infecté.
Pour cela, les codes malveillants intègrent en leur sein leur propre moteur
SMTP (Simple Mail Transfer Protocol) capable de faire partir ces courriers électroniques
à l'insu du logiciel de messagerie installé sur le poste en question.
Ils utilisent pour cela des commandes sur le port 25 et le protocole TCP.
La porte dérobée
En anglais "backdoor", il s'agit d'une entrée cachée permettant
de prendre la main ou d'accéder à un système donné
de manière partielle ou totale. Véhiculées par les virus,
les backdoors sont aussi parfois créées par la suite, une fois que
le virus s'est implanté sur le poste. Les techniques sont multiples ensuite
: altération du logiciel pare-feu pour qu'une ou plusieurs adresses IP
soient acceptées sans restriction, utilisation d'un FTP (File transfer
Protocol) ou d'une connexion Telnet, ouverture de certains ports, etc.
|
|
|