:: NORMAN :: Antivirus | Firewall

Sécurité Proactive

Accueil

Actualités

Support

Acheter

Choix du pays

Choix du produit

Virus & sécurité » Sécurité : Information » 2005 » Le point sur les programmes nuisibles : une évolution rapide

Le point sur les programmes nuisibles : une évolution rapide

Ajouter à mes favoris Norman

Informations sur la sécurité, Semaine 10, 2005

Introduction

En début d’année, nous avons rédigé un récapitulatif de l’année 2004 en matière de sécurité et nous avons tenté d’émettre des prévisions pour 2005. Alors que nous ne sommes encore qu’au premier trimestre, certains signes nous montrent clairement que la situation de la menace évolue par rapport aux années précédentes.

Cet article décrit certaines des tendances observées actuellement.

Une explosion de nouveaux « bots »

Il y a quelques mois, Norman recevaient environ 50 nouveaux programmes nuisibles de différents types, qui étaient envoyés chaque jour à nos analystes spécialisés dans la lutte antivirus.

Aujourd’hui, nous recevons chaque jour jusqu’à 500 types de programmes nuisibles différents. Il s’agit d’une augmentation sans précédent dans l’histoire des programmes nuisibles.

Il est intéressant de noter que cette augmentation n’a pas entraîné une nouvelle situation d’attaque mondiale, comme celles de Sobig.F et MyDoom qui ont eu lieu l’année dernière.
Cette augmentation s’explique par l’apparition de très nombreux « bots » (robots). Ces programmes peuvent effectuer différentes actions :

Ils peuvent se connecter à plusieurs sites Internet et télécharger d’autres programmes nuisibles, tels que des programmes de type « porte dérobée »
Ils peuvent installer des logiciels nuisibles sur votre ordinateur, tels que des programmes de type « porte dérobée »
Ils peuvent parcourir le réseau à la recherche d’ordinateurs proches qui ne disposent pas des correctifs et qui peuvent donc être exploités
Ils peuvent recueillir des informations personnelles, telles que des numéros de compte bancaire, des numéros de carte de crédit et des mots de passe.

Chacun de ces « bots » n’étant pas très répandu, il y a très peu d’informations sur eux et vous pouvez donc être infecté sans même être au courant d’une menace particulière sur le moment.

Si vous êtes infecté par un programme qui laisse une porte dérobée sur votre ordinateur, votre PC est en principe ouvert à toute personne tentant de s’y connecter en connaissant les informations d’authentification (le cas échéant) permettant de se connecter avec succès. Que vous disposiez ou non d’informations personnelles ou professionnelles sur votre ordinateur, ce type de programme peut servir à commettre des actions malveillantes, telles que les suivantes :

Une base d’envoi de courriers non sollicités

L’envoi de spam étant illégal dans plusieurs pays, il est évident que les spammeurs évitent d’envoyer les courriers non sollicités depuis leurs propres ordinateurs. Votre ordinateur leur est alors bien utile...

Un zombie à utiliser pour les attaques contre des tiers

Ces dernières années, plusieurs sites Internet prestigieux ont été terrassés par des attaques DDoS (déni de service distribué). Ces attaques sont menées par un ensemble d’ordinateurs (dont l’un pourrait être le vôtre) qui envoient simultanément de nombreuses commandes contre un autre ordinateur spécifique (par exemple un serveur Web) ou contre un réseau. La quantité de données entrantes est alors si importante que les ordinateurs attaqués ne peuvent pas les gérer et ils deviennent alors indisponibles pour une utilisation normale.

Les ordinateurs infectés sont ensuite utilisés, à l’insu de leurs propriétaires, comme les ordinateurs assaillants (les ordinateurs « zombies »). Le véritable agresseur est assis quelque part et il appuie simplement sur le bouton pour lancer l’attaque, en commandant votre ordinateur zombie et des milliers d’autres.

Nouvelles applications utilisées pour infecter les utilisateurs

Ces dernières années, le courrier électronique était de loin le moyen le plus courant et le plus efficace pour propager des programmes nuisibles. Nous avons également observé plusieurs cas de programmes nuisibles se propageant sur les réseaux (uniquement), comme Pinfi (le lien s’ouvre dans une fenêtre de navigateur distincte). Il est souvent difficile de se débarrasser de ces contaminateurs de réseau puisque, dans un réseau, un seul ordinateur non désinfecté peut générer des messages de tentative d’infection depuis l’ensemble du réseau, ou même infecter le réseau en quelques secondes s’il n’est pas protégé contre cette menace particulière.

Début 2005, nous avons observé plusieurs cas de logiciels MSN Messenger utilisés comme outil de propagation de programmes malveillants.

Le premier cas (et le plus intéressant techniquement) consistait à utiliser une vulnérabilité récemment révélée pour infecter un autre utilisateur en lui envoyant une image créée spécialement. Microsoft a rapidement pris des mesures concernant cette vulnérabilité et désactivé toute utilisation de MSN Messenger tant que l’utilisateur n’avait pas procédé à la mise à jour vers une nouvelle version de MSN, débarrassée de cette vulnérabilité.

Les créateurs de programmes nuisibles sont ensuite revenus aux fondamentaux : la bonne vieille technique de « l’ingénierie sociale » :

Elle consiste à envoyer un message provenant (soi-disant) d’un utilisateur de votre liste de contacts, vous invitant à cliquer sur un lien hypertexte vers quelque chose de drôle, d’intéressant, d’osé, etc., et à ouvrir le programme que le lien vous invite finalement à ouvrir.

Et les utilisateurs qui, même dans leurs rêves les plus fous, n’auraient jamais ouvert la pièce jointe d’un courrier électronique ou cliqué sur un lien contenu dans un e-mail et exécuté le programme connexe sans être sûrs de son authenticité, ont cliqué et ont été infectés...

Même technique ancienne mais support légèrement différent.

Nous allons probablement subir de nombreuses tentatives d’infection similaires dans les semaines et les mois qui viennent. Et au bout d’un certain temps, la plupart des utilisateurs auront compris qu’il est tout aussi imprudent d’ouvrir de tels liens/programmes que s’ils étaient envoyés par courrier électronique.

Une fusion de différents types de programmes nuisibles

On peut observer, sans tenir compte des outils utilisés pour propager les programmes nuisibles, que différents types de programmes nuisibles deviennent de plus en plus intimement liés.

Des virus sont utilisés pour installer des portes dérobées qui permettent d’envoyer des courriers non sollicités
Les vers se connectent à des sites Internet et exécutent des programmes qui installent des logiciels espions et des logiciels publicitaires
Les « bots » sont de plus en plus sophistiqués dans leur tentative d’exploiter les vulnérabilités des applications et des systèmes d’exploitation, et ils peuvent permettre à des personnes malintentionnées d’avoir un accès illimité à des ordinateurs

Cette tendance devrait se poursuivre cette année.

Pour la communauté de la sécurité informatique, les défis semblent tout aussi difficiles cette année que les années précédentes.

Per Olav Førland

ALERTES VIRALES

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Dernière mise á jour signatures

>>	2008-09-05

Informations sur la sécurité

>>	The Internet Crime Complaint Center's report for 2007
>>	2007

Conseils pour la sécurité

>>	Six critical updates for Microsoft systems in August 2008
>>	No critical updates for Microsoft systems in July 2008

Norman est une des sociétés leader mondial dans le domaine de la sécurité informatique. Des produits tels que les antivirus, le firewall personnel, la solution anti spam en font un acteur important dans le monde informatique.