Forum INFOMATH
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
-14%
Le deal à ne pas rater :
Lave-linge hublot HOOVER HWP 10 kg (Induction, 1600 trs/min, Classe ...
299.99 € 349.99 €
Voir le deal

Dossier : Les vers informatiques et le réseau

Aller en bas

Dossier : Les vers informatiques et le réseau Empty Dossier : Les vers informatiques et le réseau

Message par methodiX Sam 6 Juin - 14:53

Page d'accueil / Virus / Encyclopédie Virus / Descriptions du Malware / Vers de réseau
Vers de réseau


Tout le monde a déjà entendu parler des vers informatiques.

Les vers sont classés selon la méthode qu'ils utilisent pour se
propager, c.-à-d. la méthode qu'ils utilisent pour envoyer leur copie
vers d'autres machines. Il est possible de classer les vers également
en fonction de la méthode d'installation, de la méthode de lancement et
en fonction d'autres caractéristiques standard dans tous les programmes
malveillants : polymorphisme, furtivité etc.

De nombreux vers parmi ceux qui ont déclenché de grandes épidémies
utilisent plus d'une méthode de propagation et plus d'une technique
d'infection. Ces méthodes sont reprises séparément ci-dessous.


  • Vers de courrier électronique
  • Vers de messagerie instantanée
  • Vers Internet
  • Vers IRC
  • Vers de réseau de partage de fichiers


Vers de courrier électronique



Les vers de courrier électronique se propagent via des messages
infectés. Le ver peut se présenter sous la forme d'une pièce jointe ou
le message peut contenir un lien vers un site infecté. Dans les deux
cas, le message est le vecteur de l'infection.

Dans le premier cas, le ver sera activé dès que l'utilisateur aura
cliqué sur la pièce jointe. Dans le deuxième cas, le ver entrera en
action lorsque l'utilisateur aura cliqué sur le lien vers le site
infecté.

Les vers de courrier électronique se propagent normalement selon l'une des méthodes suivantes :


  • Connexions directes aux serveurs SMTP à l'aide d'une bibliothèque SMTP API encodée dans le ver.
  • Services MS Outlook
  • Fonctions MAPI Windows



Les vers de courrier électronique utilise les adresses stockées sur
la machine de la victime pour se propager. Les vers utilisent une ou
plusieurs des techniques suivantes :


  • Balayage du carnet d'adresse local de MS Outlook
  • Balayage de la base de données d'adresse WAB
  • Balayage des fichiers dont les extensions sont adéquates pour
    des chaînes de texte ressemblant à des adresses de courrier
    électronique.
  • Envoi des copies à tous les messages dans la boîte aux
    lettres de l'utilisateur (le ver peut même répondre aux messages qui
    n'ont pas été ouverts)


Bien que ces techniques soient les plus fréquentes, certains vers
vont jusqu'à élaborer des adresses potentielles sur la base de noms et
de noms de domaine communs.

Vers de messagerie instantanée



Ces vers n'ont qu'une seule méthode de propagation : via les
applications de messagerie instantanée en envoyant des liens vers des
sites infectés à toutes les individus repris dans la liste des
contacts. La seule différence entre ces vers et les vers de courrier
électronique réside au niveau du média utilisé pour envoyer les liens.

Vers Internet



Les auteurs de virus utilisent d'autres techniques pour diffuser les vers, notamment :


  • Copier le ver sur les ressources du réseau
  • Exploiter les vulnérabilités du système d'exploitation afin de pénétrer dans un ordinateur ou dans un réseau
  • Pénétrer dans les réseaux publics
  • Superposition : utilisation d'autre logiciel malveillant en tant que porteur du ver.


Dans le premier cas, le ver identifie les machines distantes et se
copie dans les répertoires ouverts pour les fonctions de lecture et
d'écriture. Ces vers de réseau balaient toutes les ressources
disponibles à l'aide des services locaux du système d'exploitation
et/ou balaient Internet à la recherche de machines vulnérables. Ils
tenteront de se connecter aux machines ainsi découvertes et d'en
prendre le contrôle total.

Dans le deuxième cas, les vers balaient Internet à la recherche de
machines sur lesquels les correctifs n'ont pas encore été installés,
c.-à-d. les machines tournant sous un système d'exploitation dont les
vulnérabilités n'ont pas encore été résolues. Le ver envoie des paquets
de données ou des requêtes qui installent soit tout le corps du ver,
soit une section du code source qui contient une fonction de
téléchargement. En cas d'installation réussie de ce code, la partie
principale du corps du ver est ensuite téléchargée. Dans les deux cas,
dès que le ver est installé, il exécute son code et le cycle se répète.

Les vers qui utilisent des serveurs Web et FTP appartiennent à des
catégories différentes. L'infection se déroule en deux étapes. Ces vers
pénètrent tout d'abord les fichiers de service sur le serveur de
fichiers, comme les pages Web statiques. Le ver attend ensuite que le
client accède aux fichiers infectés puis ils attaquent les machines
individuelles. Ces machines servent ensuite à lancer d'autres attaques.

Certains auteurs de virus utilisent des vers ou des chevaux de Troie
pour diffuser de nouveaux vers. Ils identifient tout d'abord les
chevaux de Troie ou les vers qui ont réussi à installer des portes
dérobées sur les machines victimes. Dans la majorité des cas, cette
fonction permet au maître d'envoyer des commandes à la machine attaquée
: ces zombies avec les portes dérobées peuvent servir à télécharger et
exécuter des fichiers, dans ce cas il s'agit de copies du nouveau ver.

Nombreux sont les vers qui utilisent deux ou plusieurs méthodes de
propagation combinées afin d'augmenter l'efficacité de la pénétration
dans les machines prises pour cible.

Vers IRC



Ces vers s'attaquent aux canaux de chat même si à ce jour seuls les
vers IRC ont été détectés. Les vers IRC utilisent également les moyens
de propagation repris ci-dessus : envoi de liens vers des sites
infectés ou envoi de fichiers infectés aux contacts recueillis sur
l'ordinateur infecté. L'envoi des fichiers infectés est moins efficace
car le destinataire doit confirmer la réception, enregistrer le fichier
et l'ouvrir avant que le ver puisse pénétrer dans l'ordinateur de la
victime.

Vers de réseaux de partage de fichiers



Les vers P2P se copient dans un répertoire partagé, en général sur
une machine locale. Dès que le ver a réussi à placer une de ses copies
sous un nom anodin dans un répertoire partagé, le réseau P2P prend la
relève : le réseau informe les autres utilisateurs de l'existence d'une
nouvelle ressource et fournit l'infrastructure nécessaire au
téléchargement et à l'exécution du fichier infecté.

Les vers P2P plus complexes imitent le protocole de réseaux de
partage de fichiers particuliers : ils répondent positivement à toutes
les requêtes et offrent les fichiers infectés qui contiennent le corps
du ver.


Source: [Vous devez être inscrit et connecté pour voir ce lien]
methodiX
methodiX
Admin
Admin

Masculin
Nombre de messages : 1260
Localisation : Le couloir de l'école polytechnique de Tunis
Réputation : 68
Points : 7257
Date d'inscription : 22/03/2007

Feuille de personnage
Capacité linguistique:
Dossier : Les vers informatiques et le réseau Left_bar_bleue1000/1000Dossier : Les vers informatiques et le réseau Empty_bar_bleue  (1000/1000)

Revenir en haut Aller en bas

Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum