Cyborg a écrit :
Oki.
Dans ce cas-là, on a une faille du système exploitée. Néanmoins, cela nécessite qu'il n'y ait pas de parefeu fermant le port en question, que l'AV ne le détecte pas, et que l'on soit avec une session administrateur. Comme il n'y a pas d'élévation de privilèges dans ce cas là, le virus est limité s'il n'a pas les droits admins.
Non pour la session, on s'en fout.
Sasser exploite uen faille distance sur un service Windows, le service est lancé avec le compte system locale (SYSTEM) qui a des droits élevés.
En résumé, il faut une machine non à jour (donc avec la faille présente) avec effectivement le port accessible (et donc le service) depuis internet, donc pas de filtre pare-feu, routeur etc.
L'état de la machine on s'en fiche, c'est un service, donc loggué, pas loggué, tant que le service est démarré et internet fonctionne, c'est l'infection.
Pour ce qui est de l'antivirus, oui peut-être que certaines bloquaient sauf ... vu le nombre de machines infectées, ça fait bcp de tentatives par minutes.
L'AV il risque d'hurler souvent, voire selon comment planter ou utiliser toutes les ressources systèmes.
Malekal_morte a écrit :Tu as des failles qui permettent d'exécuter du code
Dans ce cas, on est limité pas les droits de l'application. Mais par contre, on peut exécuter le code que l'on désire donc attaquer n'importe quelle partie accessible du système.
Sous Windows, ce sont des exploits qui installent l'infection. Comme tout le monde tourne en admin, y a rien de particulier à faire, si l'exploit passe, l'infection en général passe (sauf si les AV etc. etc. tu connais la musique).
Mais par exemple pour les serveur WEB qui ont des bases de données, un SQL injection, ça peut te permettre de récupérer des informations de la base... selon certaines bases ça peut être grave.
Si le mot de passe est en clair dans la base ou cryptage faible, tu peux récupérer des identifiants d'un compte avec des droits plus élevés etc.. etc..
Sur un forum, tu as des exploits qui peuvent te permettre de récupérer un accès administrateur.
Ex ce module PHPbb, c'est pas glob :
http://www.frsirt.com/bulletins/3306
ou installer des PHP Shell ou faire rejoindre un botnet pour contrôler la machine etc (donc attaque, spam blah blah etc.)
Scanner d'autres machines sur d'autres réseaux etc.
Tu peux regarder cette page en anglais :
http://www.honeynet.org/papers/webapp/
Il y a des parties interressantes (notamment cas contret Appendix A - Examples)
La compromission d'un système GNU/Linux en français :
http://underground54.serveurperso.com/s ... .php?id=17
Une première vulnérabilité peut donc effectivement te permettre de rebondir.
Tu as la main sur une première machine dehors (j'entends accessible depuis internet) pour t'attaquer à d'autres machines dans le réseau qui elles ne sont pas accessibles depuis internet etc. etc.
Malekal_morte a écrit :d'autres élever les privilèges
Ca, c'est pour pas être emmerdé par des droits restreints. Une fois les droits admins acquis, on peut faie ce qu'on veut.
Mais il faut une faille du système pour faire ça, non? Une faille logiciel ne permet pas d'aboutir à ce résultat. Si?
de plus, comment peut-on profiter d'une faille système? Pour y accéder depuis l'extérieur, il faut pour cela que la menace virale passe le Firewall dans un premier temps, c'est bien ça?
L'explication d'un buffer overflow en français :
http://underground54.serveurperso.com/hacking.php?id=73
Bon c'est dur GNU/Linux, je sais pas si tu as des notions.
Ne t'attache pas au détail mais regarde la vue d'essemble.
Via une vulnérabilité exploitable à distance, il s'est donné un accès shell sur la machine.
C'est comme Blaster, tu as un service ou daemon (sous nux) qui tournent avec les droits root/administration et possedant une vulnérabilité qui permet l'exécution de code.
Donc là on revient à l'explication plus haut, si ce service est accessible depuis internet, l'exploitation est possible (bon après si l'OS a des protections contre les buffer overflow, des verifs blah blah, ça marchera pas, mais faut simplifier).
Malekal_morte a écrit :d'autres effectuer un DoS.
Euh... Effectuer un DoS sur une machine perso sert-il à quelque chose? Y'a moyen de rentrer dans un système d'un particulier par DoS? D'autant que là, on rentre dans le cadre d'une attaque, plus d'une contamination virale.
Normal tu raisonnes en virus & Windows.
Malekal_morte a écrit :Après tu as des failles locales et distances...
Euh... Failles locales, je vois. Un logiciel, ou simplement le système qui a une faille et donc le virus en profite. Faille distante... C'est quand le virus atteint un serveur par lequel on accède à Internet, par exemple?
Quand la faille est exploitable depuis une machine distante oui donc en général, ça touche des services réseaux ou applications réseaux.
Faille locale, c'est quand tu peux l'exploiter que via un compte local sur la machine.
Malekal_morte a écrit :Un coup de Google et tu auras la réponse à tes questions... il y assez d'explications là dessus, je pense.
Ben quand je tappe virus informatique sur Google, je trouve pas ce que je cherche, c'est à dire le détail du fonctionnement des virus. Comme cela a été fait dans l'article dont Sacles m'a passé le lien.
Ben tu tapes virus informatiques... on parle pas de virus informatique là.
, et des défenses qui peuvent ou non l'arrêter.
enfin si je puis dire. 