Dossier : Les vers informatiques et le réseau
Page 1 sur 1
Dossier : Les vers informatiques et le réseau
Page d'accueil / Virus / Encyclopédie Virus / Descriptions du Malware / Vers de réseau
Vers de réseau
Tout le monde a déjà entendu parler des vers informatiques.
Les vers sont classés selon la méthode qu'ils utilisent pour se
propager, c.-à-d. la méthode qu'ils utilisent pour envoyer leur copie
vers d'autres machines. Il est possible de classer les vers également
en fonction de la méthode d'installation, de la méthode de lancement et
en fonction d'autres caractéristiques standard dans tous les programmes
malveillants : polymorphisme, furtivité etc.
De nombreux vers parmi ceux qui ont déclenché de grandes épidémies
utilisent plus d'une méthode de propagation et plus d'une technique
d'infection. Ces méthodes sont reprises séparément ci-dessous.
Vers de courrier électronique
Les vers de courrier électronique se propagent via des messages
infectés. Le ver peut se présenter sous la forme d'une pièce jointe ou
le message peut contenir un lien vers un site infecté. Dans les deux
cas, le message est le vecteur de l'infection.
Dans le premier cas, le ver sera activé dès que l'utilisateur aura
cliqué sur la pièce jointe. Dans le deuxième cas, le ver entrera en
action lorsque l'utilisateur aura cliqué sur le lien vers le site
infecté.
Les vers de courrier électronique se propagent normalement selon l'une des méthodes suivantes :
Les vers de courrier électronique utilise les adresses stockées sur
la machine de la victime pour se propager. Les vers utilisent une ou
plusieurs des techniques suivantes :
Bien que ces techniques soient les plus fréquentes, certains vers
vont jusqu'à élaborer des adresses potentielles sur la base de noms et
de noms de domaine communs.
Vers de messagerie instantanée
Ces vers n'ont qu'une seule méthode de propagation : via les
applications de messagerie instantanée en envoyant des liens vers des
sites infectés à toutes les individus repris dans la liste des
contacts. La seule différence entre ces vers et les vers de courrier
électronique réside au niveau du média utilisé pour envoyer les liens.
Vers Internet
Les auteurs de virus utilisent d'autres techniques pour diffuser les vers, notamment :
Dans le premier cas, le ver identifie les machines distantes et se
copie dans les répertoires ouverts pour les fonctions de lecture et
d'écriture. Ces vers de réseau balaient toutes les ressources
disponibles à l'aide des services locaux du système d'exploitation
et/ou balaient Internet à la recherche de machines vulnérables. Ils
tenteront de se connecter aux machines ainsi découvertes et d'en
prendre le contrôle total.
Dans le deuxième cas, les vers balaient Internet à la recherche de
machines sur lesquels les correctifs n'ont pas encore été installés,
c.-à-d. les machines tournant sous un système d'exploitation dont les
vulnérabilités n'ont pas encore été résolues. Le ver envoie des paquets
de données ou des requêtes qui installent soit tout le corps du ver,
soit une section du code source qui contient une fonction de
téléchargement. En cas d'installation réussie de ce code, la partie
principale du corps du ver est ensuite téléchargée. Dans les deux cas,
dès que le ver est installé, il exécute son code et le cycle se répète.
Les vers qui utilisent des serveurs Web et FTP appartiennent à des
catégories différentes. L'infection se déroule en deux étapes. Ces vers
pénètrent tout d'abord les fichiers de service sur le serveur de
fichiers, comme les pages Web statiques. Le ver attend ensuite que le
client accède aux fichiers infectés puis ils attaquent les machines
individuelles. Ces machines servent ensuite à lancer d'autres attaques.
Certains auteurs de virus utilisent des vers ou des chevaux de Troie
pour diffuser de nouveaux vers. Ils identifient tout d'abord les
chevaux de Troie ou les vers qui ont réussi à installer des portes
dérobées sur les machines victimes. Dans la majorité des cas, cette
fonction permet au maître d'envoyer des commandes à la machine attaquée
: ces zombies avec les portes dérobées peuvent servir à télécharger et
exécuter des fichiers, dans ce cas il s'agit de copies du nouveau ver.
Nombreux sont les vers qui utilisent deux ou plusieurs méthodes de
propagation combinées afin d'augmenter l'efficacité de la pénétration
dans les machines prises pour cible.
Vers IRC
Ces vers s'attaquent aux canaux de chat même si à ce jour seuls les
vers IRC ont été détectés. Les vers IRC utilisent également les moyens
de propagation repris ci-dessus : envoi de liens vers des sites
infectés ou envoi de fichiers infectés aux contacts recueillis sur
l'ordinateur infecté. L'envoi des fichiers infectés est moins efficace
car le destinataire doit confirmer la réception, enregistrer le fichier
et l'ouvrir avant que le ver puisse pénétrer dans l'ordinateur de la
victime.
Vers de réseaux de partage de fichiers
Les vers P2P se copient dans un répertoire partagé, en général sur
une machine locale. Dès que le ver a réussi à placer une de ses copies
sous un nom anodin dans un répertoire partagé, le réseau P2P prend la
relève : le réseau informe les autres utilisateurs de l'existence d'une
nouvelle ressource et fournit l'infrastructure nécessaire au
téléchargement et à l'exécution du fichier infecté.
Les vers P2P plus complexes imitent le protocole de réseaux de
partage de fichiers particuliers : ils répondent positivement à toutes
les requêtes et offrent les fichiers infectés qui contiennent le corps
du ver.
Source: [Vous devez être inscrit et connecté pour voir ce lien]
Vers de réseau
Tout le monde a déjà entendu parler des vers informatiques.
Les vers sont classés selon la méthode qu'ils utilisent pour se
propager, c.-à-d. la méthode qu'ils utilisent pour envoyer leur copie
vers d'autres machines. Il est possible de classer les vers également
en fonction de la méthode d'installation, de la méthode de lancement et
en fonction d'autres caractéristiques standard dans tous les programmes
malveillants : polymorphisme, furtivité etc.
De nombreux vers parmi ceux qui ont déclenché de grandes épidémies
utilisent plus d'une méthode de propagation et plus d'une technique
d'infection. Ces méthodes sont reprises séparément ci-dessous.
- Vers de courrier électronique
- Vers de messagerie instantanée
- Vers Internet
- Vers IRC
- Vers de réseau de partage de fichiers
Vers de courrier électronique
Les vers de courrier électronique se propagent via des messages
infectés. Le ver peut se présenter sous la forme d'une pièce jointe ou
le message peut contenir un lien vers un site infecté. Dans les deux
cas, le message est le vecteur de l'infection.
Dans le premier cas, le ver sera activé dès que l'utilisateur aura
cliqué sur la pièce jointe. Dans le deuxième cas, le ver entrera en
action lorsque l'utilisateur aura cliqué sur le lien vers le site
infecté.
Les vers de courrier électronique se propagent normalement selon l'une des méthodes suivantes :
- Connexions directes aux serveurs SMTP à l'aide d'une bibliothèque SMTP API encodée dans le ver.
- Services MS Outlook
- Fonctions MAPI Windows
Les vers de courrier électronique utilise les adresses stockées sur
la machine de la victime pour se propager. Les vers utilisent une ou
plusieurs des techniques suivantes :
- Balayage du carnet d'adresse local de MS Outlook
- Balayage de la base de données d'adresse WAB
- Balayage des fichiers dont les extensions sont adéquates pour
des chaînes de texte ressemblant à des adresses de courrier
électronique. - Envoi des copies à tous les messages dans la boîte aux
lettres de l'utilisateur (le ver peut même répondre aux messages qui
n'ont pas été ouverts)
Bien que ces techniques soient les plus fréquentes, certains vers
vont jusqu'à élaborer des adresses potentielles sur la base de noms et
de noms de domaine communs.
Vers de messagerie instantanée
Ces vers n'ont qu'une seule méthode de propagation : via les
applications de messagerie instantanée en envoyant des liens vers des
sites infectés à toutes les individus repris dans la liste des
contacts. La seule différence entre ces vers et les vers de courrier
électronique réside au niveau du média utilisé pour envoyer les liens.
Vers Internet
Les auteurs de virus utilisent d'autres techniques pour diffuser les vers, notamment :
- Copier le ver sur les ressources du réseau
- Exploiter les vulnérabilités du système d'exploitation afin de pénétrer dans un ordinateur ou dans un réseau
- Pénétrer dans les réseaux publics
- Superposition : utilisation d'autre logiciel malveillant en tant que porteur du ver.
Dans le premier cas, le ver identifie les machines distantes et se
copie dans les répertoires ouverts pour les fonctions de lecture et
d'écriture. Ces vers de réseau balaient toutes les ressources
disponibles à l'aide des services locaux du système d'exploitation
et/ou balaient Internet à la recherche de machines vulnérables. Ils
tenteront de se connecter aux machines ainsi découvertes et d'en
prendre le contrôle total.
Dans le deuxième cas, les vers balaient Internet à la recherche de
machines sur lesquels les correctifs n'ont pas encore été installés,
c.-à-d. les machines tournant sous un système d'exploitation dont les
vulnérabilités n'ont pas encore été résolues. Le ver envoie des paquets
de données ou des requêtes qui installent soit tout le corps du ver,
soit une section du code source qui contient une fonction de
téléchargement. En cas d'installation réussie de ce code, la partie
principale du corps du ver est ensuite téléchargée. Dans les deux cas,
dès que le ver est installé, il exécute son code et le cycle se répète.
Les vers qui utilisent des serveurs Web et FTP appartiennent à des
catégories différentes. L'infection se déroule en deux étapes. Ces vers
pénètrent tout d'abord les fichiers de service sur le serveur de
fichiers, comme les pages Web statiques. Le ver attend ensuite que le
client accède aux fichiers infectés puis ils attaquent les machines
individuelles. Ces machines servent ensuite à lancer d'autres attaques.
Certains auteurs de virus utilisent des vers ou des chevaux de Troie
pour diffuser de nouveaux vers. Ils identifient tout d'abord les
chevaux de Troie ou les vers qui ont réussi à installer des portes
dérobées sur les machines victimes. Dans la majorité des cas, cette
fonction permet au maître d'envoyer des commandes à la machine attaquée
: ces zombies avec les portes dérobées peuvent servir à télécharger et
exécuter des fichiers, dans ce cas il s'agit de copies du nouveau ver.
Nombreux sont les vers qui utilisent deux ou plusieurs méthodes de
propagation combinées afin d'augmenter l'efficacité de la pénétration
dans les machines prises pour cible.
Vers IRC
Ces vers s'attaquent aux canaux de chat même si à ce jour seuls les
vers IRC ont été détectés. Les vers IRC utilisent également les moyens
de propagation repris ci-dessus : envoi de liens vers des sites
infectés ou envoi de fichiers infectés aux contacts recueillis sur
l'ordinateur infecté. L'envoi des fichiers infectés est moins efficace
car le destinataire doit confirmer la réception, enregistrer le fichier
et l'ouvrir avant que le ver puisse pénétrer dans l'ordinateur de la
victime.
Vers de réseaux de partage de fichiers
Les vers P2P se copient dans un répertoire partagé, en général sur
une machine locale. Dès que le ver a réussi à placer une de ses copies
sous un nom anodin dans un répertoire partagé, le réseau P2P prend la
relève : le réseau informe les autres utilisateurs de l'existence d'une
nouvelle ressource et fournit l'infrastructure nécessaire au
téléchargement et à l'exécution du fichier infecté.
Les vers P2P plus complexes imitent le protocole de réseaux de
partage de fichiers particuliers : ils répondent positivement à toutes
les requêtes et offrent les fichiers infectés qui contiennent le corps
du ver.
Source: [Vous devez être inscrit et connecté pour voir ce lien]
methodiX- Admin
-
Nombre de messages : 1260
Localisation : Le couloir de l'école polytechnique de Tunis
Réputation : 68
Points : 7257
Date d'inscription : 22/03/2007
Feuille de personnage
Capacité linguistique:
(1000/1000)
Sujets similaires
» Dossier : Les virus informatiques Classiques
» Cloud Computing : vers la dématérialisation des salles informatiques
» Vulnérabilité de nos réseaux informatiques
» Introduction sur les Virus informatiques
» Exclusif INFOMATH: Correction Maths (Section Sciences Informatiques)
» Cloud Computing : vers la dématérialisation des salles informatiques
» Vulnérabilité de nos réseaux informatiques
» Introduction sur les Virus informatiques
» Exclusif INFOMATH: Correction Maths (Section Sciences Informatiques)
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum