Pourquoi et comment je me fais infecter?

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.

Pourquoi et comment je me fais infecter?

Messagepar Malekal_morte » 27 Avr 2007 22:32

Cet article explique comment les les virus se propagent via internet. Après avoir lu cet article, vous connaîtrez les mécanismes utilisés pour installer les infections sur votre Windows ainsi que des conseils afin de mieux le protéger. En parallèle vous pouvez lire la page: Comment les virus informatiques sont distribués

NOTE : La connaissance de certaines notions et expressions est nécessaire pour appréhender cet article... Reportez-vous au Glossaire : Notions et Expressions pour suivre cet article.

L'installation d'application/virus

Pour installer une application.. vous devez donc exécuter le programme d'installation.
L'installation est seulement possible si vous avez les droits administrateur.

Le schéma ci-dessous illustre ceci :

Image

Les infections sont des programmes elles aussi, pour s'installer sur un système elles ont donc besoin "d'un programme d'installation".
Il existe donc un fichier contenant l'application, qui, une fois exécuté, va installer l'infection sur le système afin d'être rééxecuté au démarrage.
Le fichier contenant l'application se nomme le dropper (voir la page : Dropper & Payload : Explications.. une fois exécuté, il "drop" (du verbe to drop --> déposer) l'infection dans le système.
Souvent les deux sont confondus.

Le schéma ci-dessous montre un dropper téléchargé depuis internet.. S'il est exécuté avec les droits "Administrateur" et si l'antivirus ne détecte rien, Windows est infecté.

Image

Ceci montre plusieurs choses :
On voit tout de suite que le maillon faible est le dropper. Si le programme d'installation d'une application est endommagé ou s'il ne fonctionne pas, l'installation de l'application est impossible. Pour le dropper, c'est la même chose, s'il est détecté par l'antivirus, c'est gagné puisque l'infection ne pourra pas s'installer.. malheureusement ce n'est pas aussi facile.
Si le dropper n'est pas exécuté avec les droits "Administrateur".. l'installation dans le système est impossible. Malheureusement par défaut sous Windows, l'utilisateur est "Administrateur", par manque de connaissances et par facilité.. l'utilisateur tourne et surfe tout le temps avec les droits administrateurs.

Ceci montre aussi qu'ouvrir n'importe quel fichier qui vous tombe sous la main, sans vérifier la source, rend l'infection de votre Windows vraiment super facile. Certains diront "pas grave mon antivirus me protège" : oui et non... ! Les droppers utilisent de nombreuses méthodes pour que les antivirusne détectent pas l'infection (cryptage, package etc..), plusieurs milliers de nouveaux droppers (et donc d'infections) sortent par jour afin de noyer les éditeurs de logiciels de sécurité et s'assurer de l'infection des Windows. Pour plus d'informations sur les Antivirus VS droppers, je vous invite à suivre cet article un point sur les antivirus

l'antivirus reste le dernier rempart, compte tenu du fait que les utilisateurs ne font généralement pas attention à ce qu'ils téléchargent et ont souvent de mauvaises habitudes (utiliser des cracks, sites pornographiques), on peut voir que l'antivirus reste le dernier maillon dans le système pour prévenir l'installation d'une infection. Malheureusement, les éditeurs de logiciels de sécurité ont de plus en plus de mal à contenir les auteurs de virus/malwares ce qui vous rend de plus en plus vulnérable.


Les failles de sécurité à la rescousse des hackers

Les exploits sur les sites WEB
Vous allez voir aussi que même en faisant très attention.. la simple visite d'un site ou la visualisation d'une vidéo même sur des sites reconnus (Youtube, daylymotion etc..) peuvent mener à l'infection.

Imaginez que le téléchargement et l'installation de l'infection soit automatique sans intervention humaine. Cela fait peur non ? et bien c'est possible via les failles de sécurité!

Lorsque vous surfez ou visualisez des vidéos, écoutez des mp3 etc.. vous utilisez des logiciels (navigateur WEB, lecteur audio/vidéo etc..).
Régulièrement des failles de sécurité sont publiées sur ces logiciels.. les auteurs de virus/malwares sautent alors sur l'occasion pour exploiter ces failles et tendre des pièges aux internautes afin d'infecter leurs Windows.

Dans le cas d'une faille sur le navigateur WEB (ou un de ses composants Java, Flash, Adobe Reader etc..), le piège est très facile à tendre :
1/ L'internaute se connecte via un site piégé.. pour attirer l'utilisateur.. l'auteur de virus/malwares va bien sûr créer un site sur un thème à la mode pour attirer un maximum de monde afin d'infecter un maximum de Windows (cracks, site pornographique, émoticons, jeux etc..).
L'auteur de malware peut aussi hacker des sites WEB existants qui ont déjà une bonne audience. Ce dernier insère une iframe qui va faire télécharger le contenu néfaste lors de la visite de la page (voir : Les Exploits sur les sites WEB piégés, exemple contret: IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ?)

2/ L'internaute avec son navigateur non à jour se connecte sur le site, et ce faisant télécharge la page piégée, l'exécution du dropper se fait alors automatiquement en exploitant la faille du navigateur WEB.
Dans le cas où l'antivirus détecte le dropper (ou le fichier exploit).. l'internaute recevra une simple alerte de son antivirus ne se doutant pas que son navigateur WEB n'est pas à jour et qu'il est vulnérable.
Dans le cas où l'antivirus ne voit rien, la machine est infectée.

Un exploit WEB en vidéo :




Le schéma ci-dessous illustre ceci. La page du forum Le danger des cracks ! montre aussi une infection depuis un site de cracks exploitant une faille de sécurité.. vous pouvez voir comment l'infection du système est fulgurante.

En général, les pirates hackent des sites WEB légitimes pour rediriger vers ces exploits kits, mais depuis quelques années, il est plus lucratif de proposer des publicités malicieuses, cela permet de toucher beaucoup plus d'internautes.
On appelle cela des malvertising.

Image

L'exploitation de failles de sécurité ne s'arrête pas au niveau des navigateurs WEB.. à l'heure où les sites de vidéos en ligne sont à la mode.. les failles sur les lecteurs vidéos/audios sont une aubaine pour les auteurs de virus/malwares. La visualisation d'une vidéo piégée sur un logiciel vidéo/audio vulnérable peut aussi permettre l'infection d'un Windows. Ces failles sont intéressantes pour les auteurs de malwares car il leur suffit de "pondre" des sites piégés (Ce qu'ils font très bien) pour infecter des Windows.

Les vulnérabilités ne se trouvent pas que sur le navigateur WEB mais aussi sur les composants additionnels comme java ou flash que les utilisateurs ne mettent que rarement à jour.
Encore une fois et toujours, maintenez Windows et TOUS vos logiciels à jour (voir la page : Tester la vulnérabilité de votre PC

Les failles sur le système d'exploitation
D'autres failles plus dangereuses sont aussi très attendues par les auteurs de virus/malwares, ce sont les failles de sécurité à distance sur le système d'exploitation. Celles-ci permettent la création de vers qui se propagent automatiquement d'un Windows à l'autre sur la toile.

Pour cela, la faille doit être exploitable à distance, c'est à dire par simple connexion sur Windows. Les Windows infectés envoient alors des requêtes régulières vers de nouveaux Windows afin de les infecter. L'infection se propage alors rapidement et automatiquement.

C'est par exemple le cas des vers Blaster/Sasser qui ont à leur époque fait beaucoup parler d'eux.

Il faut savoir que ces infections sont encore actives puisque beaucoup d'internautes qui se connectent avec des Windows non à jour (Windows 2000 et Windows XP SP1) sans protection. D'où le fait qu'il faut, si vous réinstallez ces versions de Windows, effectuer quelques préparations afin de se connecter à internet après l'installation de Windows munis d'un pare-feu, pour plus d'informations, vous pouvez vous reporter à l'article Préparer le formatage de son Windows

Ce schéma montre la propagation des vers sur internet.

Image


et si on vous faisait exécuter les infections ?

Une autre solution consiste à vous faire télécharger les programmes infectieux.
Vous allez me dire "haha je suis aussi bête pour me faire avoir" ... et bien ça reste à voir!

Les auteurs de virus/malwares font appel au le social engineering pour vous faire télécharger les programmes piégés et croyez moi, ça fonctionne...
Par exemple, cela peux aller à de faux mails, exemple en français : [Zbot/Upatre] SPAM malicieux en français, plus globablement pour les menaces par email, se reporter au dossier : Les virus par email
Le fichier en pièce jointe est souvent un fichier zip, ce dernier aura l'icone du lecteur PDF ou d'une image avec une double extension .exe.pdf ou .exe.jpg
Comme Windows masque les extensions, l'utilisateur verra donc un fichier PDF avec l'extension .pdf et croira que c'est bien un fichier PDF alors que c'est un exécutable.
Les documents Word peuvent aussi être utilisés dans des emails malicieux : Campagnes de courriels piégés avec Word/Excel malicieux.

Image

Autre exemple, avec de faux cracks : Danger crack et keygen
De fausses sites de cracks ou des vidéos truquées sur Youtube/Dailymotion qui conduisent à des infections, souvent de type RAT : Les Rats, Bifrose : Botnet pour les nuls

Un Trojan RAT en vidéo :

Enfin dernièrement, des logiciels repackés contenant des logiciels additifs qui sont souvent des adwares, parfois même via de fausses mises à jour Java/Flash.
Lire Les PUPs/LPIs : Les PUPs/Adwares et programmes parasites.

Notamment InstallCore diffusé par les moteurs de recherche Bing et Yahoo! ou certains "grands" sites :


Conclusion et conseils

Cette page démontre trois choses :

Plus globalement, vous pouvez lire les pages :

Pour aller plus loin, ou si la sécurité vous intéresse, voici des documents/reportages sous forme de vidéos :


Plus globalement : Comment sécuriser son Windows ?
Modifié en dernier par Malekal_morte le 03 Juin 2007 14:20, modifié 3 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 79691
Enregistré le: 10 Sep 2005 13:57

Re: Pourquoi et comment je me fais infecter?

Messagepar Malekal_morte » 23 Mai 2016 11:44

23 mai 2016 : page revue.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 79691
Enregistré le: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Retourner vers Papiers / Articles

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invités

Partenaires du site : supprimer-virus.com - stopvirus.fr - www.malekal.com - stoppublicites.fr - Geekeden