PROFDINFO.COM

Votre enseignant d'informatique en ligne

Atelier 4 - À la chasse aux virus

Solutionnaire

Virus

Consigne:

Copiez-collez la liste de menaces virtuelles suivante dans un document Word. Faites ensuite des recherche pour déterminer à quelle catégorie de menace chacune d'elle fait partie. Vous devez justifier votre réponse en expliquant quel comportement de la menace est typique de cette catégorie et vous permet de le classer là.

Vous pouvez placer chaque menace dans les catégories suivantes: virus, cheval de Troie, ver, backdoor, spyware, rootkit, botnet, rogue/scareware, ransomware, ingénierie sociale, hameçonnage, fraude par courriel. Il arrive parfois qu'une menace tombe dans plus d'une catégorie à la fois (par exemple, un backdoor qui est installée grâce à un cheval de Troie). Dans ce cas, vous devez spécifier toutes les catégories auxquelles la menace fait partie.

 

Menaces:

1- Morris

Morris est un malware historique. Il est considéré comme le premier ver informatique. Il a été créé en 1988, et mena à la première condamnation en vertu du Computer Fraud and Abuse Act, une loi américaine visant à protéger les ordinateurs et les données qu'ils contiennent des attaques.

Morris n'a pas été créé pour faire de dommages, simplement se reproduire en s'auto-expédiant par courriel, profitant de vulnérabilités trouvées sur certains systèmes Unix. Il a fini par causer tout de même des dégâts, puisqu'un même ordinateur pouvait être infecté plusieurs fois et que la présence de toutes ces copies de Morris causait des ralentissements importants de la machine.

Le critère essentiel pour le classer comme un ver: auto-propagation par courriel.

2- Zlob

À la base, Zlob est un cheval de Troie. Il se fait passer pour un codec (un fichier permettant de lire ou de produire des vidéos d'un certain type) pour que les gens qui ne se doutent de rien l'installent sur leur ordinateur.

Une fois installé, il agit comme un rogue/scareware: il affiche des "pop-ups" ressemblant à ceux de Windows, vous informant (à tort) que votre ordinateur est infecté par des spyware. Il vous propose d'installer un antivirus, qui n'en est évidemment pas un et qui cause encore plus de problèmes sur votre ordinateur. Les symptômes les plus courants de l'infection sont des arrêts ou redémarrages soudains de l'ordinateur, sans raison apparente.

Le critère essentiel pour le classer comme un cheval de Troie: se fait passer pour quelque chose d'utile pour que vous l'installiez.

Le critère essentiel pour le classer comme un rogue/scareware: tente de vous faire croire que vous êtes infecté et vous propose d'installer un (faux) antivirus.

3- Zhelatin

Zhelatin est également connu sous le nom Storm Worm. Il fait partie de plusieurs catégories de malware.

D'abord, c'est un ver, qui s'expédie automatiquement par courriel en envoyant une pièce jointe infectée. Ouvrir la pièce jointe installe le malware (et provoque des envois automatiques à vos contacts). C'est ainsi qu'il se répand dans le monde.

Une fois en place, toutefois, il ne se limite pas (comme Morris) à se réexpédier. Il installe un botnet, ce qui transforme votre ordinateur en zombie, qui pourra être contrôlé à distance, avec tout un réseau d'autres victimes, par le pirate qui a lancé le ver. En 2007, lors de sa propagation, on estimait le nombre de zombies entre un et dix millions!

En plus, il installe un rootkit, rendant le malware très difficile à détecter ou à éliminer.

Le critère essentiel pour le classer comme un ver: auto-propagation par courriel.

Le critère essentiel pour le classer comme un botnet: vous joint à un réseau de victimes contrôlé à distance par un pirate.

Le critère essentiel pour le classer comme un rootkit: s'octroie des droits d'administrateur, rendant sa détection et son élimination difficile.

4- Back Orifice

Back Orifice, à la base, est une porte dérobée (backdoor), comme son nom l'indique. C'est un programme qui permet à un utilisateur de se connecter à distance sur un autre ordinateur. Le programme peut être utilisé légalement, pour faire du support à distance, par exemple. Toutefois, il est possible de l'exécuter de façon cachée, c'est-à-dire sans qu'aucune trace de son exécution ne soit visible sur l'ordinateur hôte. De plus, il peut s'installer sans qu'aucune interaction ne soit nécessaire, ce qui en fait un excellent cheval de Troie. Plusieurs malware ne sont essentiellement que des installations cachées de Back Orifice, déguisée en un autre programme, ou s'installant en même temps qu'un autre programme, à l'insu de l'utilisateur qui démarre l'installation.

Le critère essentiel pour le classer comme une porte dérobée: il permet la connexion à distance sur un ordinateur, contournant la sécurité de Windows.

Le critère essentiel pour le classer comme un cheval de Troie: se fait passer pour quelque chose d'utile pour que vous l'installiez.

5- Code Red

Code Red est un malware qui utilisait une vulnérabilité dans le serveur Web fourni avec Windows 2000, qui lui permettait d'atteindre une partie normalement protégée de la mémoire de l'ordinateur en remplissant la partie à laquelle il avait accès avec des "N". Il plaçait ensuite des instructions dans la partie protégée de la mémoire pour faire faire ce qu'il voulait à l'ordinateur. Les premières versions forçaient l'ordinateur à aller visiter le site de la Maison Blanche, ce qui finit par faire tomber leur serveur qui se trouvait noyé par des milliers de visiteurs en même temps. Une fois que Code Red avait pris le contrôle d'un ordinateur en lui faisant exécuter les instructions qu'il voulait, il pouvait s'expédier de lui-même à d'autres ordinateurs afin de se propager. C'est donc un ver.

Pour vous donner une idée en passant du niveau de viralité de Code Red, voici une carte du monde qui indique en rouge les ordinateurs infectés par le ver pendant 24 heures! On y voit la progression de minuit le 19 jusqu'à minuit le 20 juillet. Notez aussi le nombre de victimes qui grimpe dans le coin inférieur gauche.

Carte d'infections - Code Red

Le critère essentiel pour le classer comme un ver: auto-propagation par courriel et par le réseau.

6- Zango

Zango est publicisé comme étant un logiciel permettant de faire connaître les jeux, outils et vidéos de leurs partenaires. Toutefois, il agit comme un spyware, puisqu'il démarre automatiquement avec l'ordinateur, fait apparaître des publicités sous forme de pop-ups à tout moment, installe d'autres malware de type publicitaires (des adware) et ne peut pas être éteint.

De plus, il s'intalle parfois à l'insu de l'utilisateur, qui tente simplement de visionner une vidéo sur Internet, ou encore en installant un autre logiciel, ce qui en fait aussi un cheval de Troie. Parfois on vous indique que Zango sera installé, mais on ne vous explique pas au juste ce que Zango va faire et comment il fonctionne.

Le critère essentiel pour le classer comme un cheval de Troie: se fait passer pour quelque chose d'utile pour que vous l'installiez.

Le critère essentiel pour le classer comme un spyware: il observe ce que vous faites et vous envoie des publicités.

7- ZeroAccess

ZeroAccess est à la base un botnet, c'est-à-dire qu'il prend le contrôle de votre ordinateur et le connecte en réseau avec celui d'autres victimes. Il se propage comme un cheval de Troie: il se déguise en une application utile, souvent une application qui sert à pirater des logiciels, comme un générateur de clés de licences.

Une fois installé, il télécharge et installe d'autre malware sur votre ordinateur, et s'installe en rootkit, de façon à être très difficile à trouver et à éliminer. Le botnet est ensuite utilisé pour frauder le système Bitcoin (de l'argent virtuel) et pour générer des clics sur des publicités, de façon à obtenir des revenus.

Le critère essentiel pour le classer comme un cheval de Troie: se fait passer pour quelque chose d'utile pour que vous l'installiez.

Le critère essentiel pour le classer comme un botnet: vous joint à un réseau de victimes contrôlé à distance par un pirate.

Le critère essentiel pour le classer comme un rootkit: s'octroie des droits d'administrateur, rendant sa détection et son élimination difficile.

8- Un courriel de accountmanagement@gmail.com vous demandant de remplir un formulaire pour prouver que votre compte Gmail est toujours actif, faute de quoi, il sera détruit. Dans le formulaire, on demande de donner le mot de passe, entre autres informations.

C'est un courriel qui ne provient évidemment pas de Gmail, et qui tente d'obtenir des informations personnelles sensibles de votre part. C'est donc de l'hameçonnage (phishing).

Le critère essentiel pour le classer comme de l'hameçonnage: se fait passer pour une autorité et tente de vous voler des informations.

9- t0rn

t0rn est un des rootkits les plus connus sur les systèmes Linux. Il utilise différents stratagèmes pour se donner l'accès "root" (c'est le nom du compte administrateur sur Linux/Unix) et pour demeurer indétectable par le système ou par les réels administrateurs du système. Il existe plusieurs variantes de malware qui utilisent t0rn comme base et qui y ajoutent leur code malicieux pour faire ce qu'ils veulent sans se faire prendre.

Le critère essentiel pour le classer comme un rootkit: s'octroie des droits d'administrateur, rendant sa détection et son élimination difficile.

10- Un courriel de votre banque qui a détecté des achats louches faits à partir de votre carte de crédit. On vous fournit votre numéro de carte de crédit et sa date d'expiration (données qui sont valides) et on vous demande d'aller vérifier les dernières transactions pour confirmer si elles sont de vous où non. Un lien dans le courriel vous mène à un site en tout point semblable à celui de votre banque, vous permettant de vous loguer pour vérifier les transactions, qui semblent toutes frauduleuses.

C'est également un exemple de hameçonnage, cette fois plus élaboré puisqu'on a pris la peine de créer un faux site ressemblant en tout point à celui de votre banque, toujours dans le but de vous soutirer des informations personnelles.

Le critère essentiel pour le classer comme de l'hameçonnage: se fait passer pour une autorité et tente de vous voler des informations.

11- WinVir

WinVir est un malware historique: c'est le premier virus qui a été conçu sur le système Windows. Il se greffe à un exécutable (un programme) en séparant son code en deux morceaux pour s'insérer au milieu. Lorsque le programme est exécuté, WinVir est donc exécuté lui aussi, ce qui lui permet d'infecter un autre exécutable, puis (étonnamment) de s'effacer du programme précédent. Du coup, il ne se reproduit pas en se multipliant, mais en se déplaçant d'un endroit à un autre.

Le critère essentiel pour le classer comme un virus: il a besoin d'un programme auquel se greffer pour pouvoir s'exécuter et il est capable de produire d'autres copies de lui-même.

12- Vous recevez un courriel d'une cousine que vous ne voyez pas souvent. Elle vous apprend qu'elle est en voyage en Afrique depuis quelques semaines et qu'elle est tombée malade là-bas. Elle vous demande de lui virer de l'argent pour l'aider à payer ses soins et de garder la chose pour vous parce qu'elle a un peu honte de devoir quémander.

Le courriel provient bien du compte de votre cousine, mais ce n'est vraisemblablement pas elle qui l'a rédigé. Son compte a sans doute été compromis et un pirate envoie le même courriel à tous ses contacts dans le but de vous voler de l'argent. C'est une fraude par courriel.

Le critère essentiel pour le classer comme de la fraude par courriel: se fait passer pour quelqu'un d'autre et tente de vous soutirer de l'argent.

13- CryptoLocker

CryptoLocker est un ransomware: lorsqu'installé sur un ordinateur, il crypte les données de l'ordinateur avec un mot de passe non divulgué (rendant tout le contenu de l'ordinateur inutilisable et illisible tant qu'il ne sera pas décrypté). Il demande ensuite une rançon à payer via un service externe de transfert électronique pour le décrypter. Pour ajouter de la pression supplémentaire, un compte à rebours de 72 heures est affiché et les données seront supprimées (et donc irrécupérables) si le paiement n'est pas fait d'ici la fin du délai (en réalité, passé le délai, les données restent encryptées et le montant de la rançon augmente).

Pour s'installer sur un ordinateur, CryptoLocker utilise généralement la technique du cheval de Troie en se maquillant en facture d'institution financière ou autre.

Le critère essentiel pour le classer comme un ransomware: bloque l'ordinateur et demande de l'argent pour le débloquer.

Le critère essentiel pour le classer comme un cheval de Troie: se fait passer pour quelque chose d'utile pour que vous l'installiez.

14- Quelqu'un de chez Microsoft veut entrer sur votre ordinateur pour régler des problèmes qu'il a détecté à distance, ce qui permettrait à votre ordinateur d'aller plus rapidement. Il faut simplement suivre les étapes qu'il vous donnera verbalement.

Il s'agit ici d'ingénierie sociale: cette personne ne travaille pas pour Microsoft et va sans aucun doute tenter d'obtenir accès à distance à votre ordinateur. De là, elle va soit installer un malware quelconque (possiblement pour obtenir accès quand elle le voudra à l'avenir), ou installer un faux antivirus qui montrera des infections, pour ensuite vous facturer pour les "enlever".

Le critère essentiel pour le classer comme de l'ingénierie sociale: on accède à votre ordinateur non pas grâce à un malware, mais en vous parlant et en vous convaincant de les laisser entrer.

15- SpySheriff

SpySheriff se fait passer pour un anti-spyware (d'où son nom qui laisse croire qu'il est fait pour éliminer le spyware). Il fait peur aux utilisateurs en leur faisant croire que leur ordinateur est infecté par plusieurs spyware et les pousse à acheter la version payante de SpySheriff pour nettoyer le système. Le programme payant ne fait que faire semblant de nettoyer le système. C'est donc un rogue (ou un scareware).

Le critère essentiel pour le classer comme un rogue/scareware: tente de vous faire croire que vous êtes infecté et vous propose d'installer un (faux) antivirus.