gM
Retour / Back
Lutte Anti Virus / Anti Virus Fight



This page is written in French; if you're interested in it and wish my translating into English, do ask me!

-0- Histoire des virus
-1- Nimda
-2- Le futur et ses dangers
-3- Protection - Organiser la protection
-4- Protection - Utiliser/Entretenir la protection
-5- Protection - Comment éviter les virus ?
-6- Eradication - Alerte 1 document attaqué en live
-7- Eradication - Alerte lors d'une analyse complète
-8- Eradication - Dysfonctionnements sans alertes
-9- Eléments à filtrer (selon le livre blanc de Panda Software)
  

 


 
Introduction
Nimda est sorti aux Etats-Unis le 18 septembre 2001 au matin ; notre contamination a été détectée le 20 septembre à 9h46, soit 42 heures plus tard (décalage horaire pris en compte) : sur ce plan aussi, ma société se classe bien parmi les grandes !
Mais...



Environnement - Historique :
Définitions.
Les virus sont des objets informatiques qui ne correspondent pour certains qu'à des challenges technologiques, mais pour d'autres, à des armes terriblement utiles et efficaces ouvrant la voie à des méfaits plus fructueux : les intrusions et la prise de contrôle des ordinateurs !
Les fonctions d'un virus sont :
     Ces fonctions ont été mises au point, peaufinées, améliorées, optimisées au fil du temps et ont donné naissance à une série d'objets développant l'une ou l'autre, ou plusieurs de ces fonctions jusqu'aux virus complexes (composites) actuels :  Clubic
     -propagation

     -reproduction

     -dissimulation

     -déclenchement

     -infection

     -destructions/

        affaiblissement système
    
5 dates, quelques catégories de sophistication croissante...
  -1982- Premier virus Apple "1,2,3: In the wild" (souche développée chez Xerox par Jon Hepps & John Shock).
   -1986-
 Virus d'amorce furtif (alias Virus de boot). -Premier virus PC, Brain est Pakistanais.
-1987- Virus d'exécutable, ex. Jérusalem, Happy 99.
   -1988-
 Premier antivirus, Den Duck écrit par Denny Yanuar Ramdhani, Indonésien de Bandung.
-1988- Ver, ex. kakworm.
-1990- Anthrax, premier virus multicible.
   -1991- La catastrophe ! Virus Construction Set est lancé pour créer son propre virus : le commencement de la déferlante des virus informatiques.
-6 mars 1991- Michaelangelo.
   -1995-
 Premier Macrovirus Word (VBA), Concept.
Boza, premier virus Windows 95.
-1996- Laroux, premier virus Excel.
et aussi, Melissa, TriState.
-1997- premier Virus Script (VBS), ex. LoveLetter, Anna Kournikova.
-1999- Tchernobyl.
-mai 2000- I Love You.
-2000- Virus pour Palm OS
-sept. 2001-
 La révolution ! Nimda, premier virus triple-attaques (Troyen, faille & partage).
et aussi, Code Red, Sircam, Magistr.

mais aussi, les hoax, les Troyens, les bombes logiques, les DDoS (Distributed Denial of Service), etc.


  Statistiques Virus majeurs
Type d'infection
Boot
Macro
Vers		 1996
5
1
0		 1997
6
3
0		 1998
4
4
0		 1999
0
5
4		 2000
0
5
5		 2001 *
0
2
8
  (source : CNET/Security Portal, MessageLabs et Sophos)
(*) 2001 jusqu'en Août  

2001, année à risques
L'année 2001 a été l'année de tous les virus. Dès l'été, les principales méthodes d'infection mises en oeuvre par Nimda étaient testées à grande échelle par quelques précurseurs.
  • GodMessage - Le 15 juin 2001, un virus fait parler de lui, sans pour autant infecter quiconque, ou presque, GodMessage contamine les visiteurs de sites Web par un contrôle ActiveX malicieux. L'alerte est néanmoins prise au sérieux : il s'agit d'une "preuve de concept", qui n'attend que d'être affinée et déployée à grande échelle.
    En juillet, une autre tentative avec le virus Jer se solde par un échec. Bogué, Jer ne parvient pas à exécuter son script contagieux sur les PC des internautes.
    Nimda contourne le problème en téléchargeant directement un e-mail infecté complet.
  • CodeRed - Le 18 juillet 2001, le ver CodeRed prend les administrateurs système par surprise. En exploitant une faille bien connue des serveurs Web IIS, le ver infecte près de 250 000 serveurs en 9 heures. CodeRed parcourt les adresses IP de façon aléatoire pour se reproduire, et tente de mener des attaques par "déni de service" sur le site Internet de la maison blanche, aux Etats-Unis.
  • Sircam - Le 25 juillet, le virus Sircam frappe les particuliers (avec annonce de déclenchement agressif le 16 octobre -finalement sans effet-). Alors que l'attention médiatique est encore tournée vers les serveurs Web, Sircam s'attaque aux postes de travail par un e-mail infecté. Il recherche aussi des disques durs partagés sur le réseau local. Il dispose de son propre serveur SMTP pour se propager, et collecte les adresses e-mails de ses futures victimes dans le carnet d'adresses d'Outlook et dans les pages Web présentes dans le cache du navigateur.
    Top of page  
     
    Nimda ou la démonstration des moyens de propagation
    18 septembre 2001
    Fiche d'identité Nom : W32-Nimda worm, anagramme d'Admin = Administrator / Type : ver métamorphe / Forme : e-mail, dont le sujet est variable, comprenant 2 parties : une zone texte vide au format Html et une pièce jointe / Pièce jointe : fichier binaire exécutable (Readme.exe) déguisé en fichier audio / Système d'exploitation cible : Windows 95, 98, Me, NT et 2000 équipés d'Internet Explorer 5.5 SP1 ou plus ancien (sauf IE 5.0 SP2).

    Vent de panique sur le Net, le 18 septembre 2001, le trafic sur Internet s'accroît de manière exponentielle et ralentit le réseau aux Etats-Unis. Autour de 11 heures du matin, les premières explications arrivent : un ver se répand par Internet !
    Les éditeurs d'antivirus affrontent le problème et restent interloqués : "Ce virus ne repose sur aucun ressort psychologique pour se répandre. C'est totalement automatisé !" (Graham Cluley de chez Sophos). Nimda, qui cumule le meilleur des techniques d'intrusion virale, est le premier ver à se répandre, entre autres canaux, par des sites Web.
    Le FBI s'empare de l'affaire pour vérifier qu'il n'y a aucun lien avec les événements survenus à New-York, puis laissent les éditeurs d'antivirus, se débrouiller.
    Nimda se répand comme une trainée de poudre, infecte rapidement des milliers de serveurs, contraint plusieurs sites Web américains à la fermeture -notamment ceux de compagnies aériennes-, nombre de sites sont inaccessibles ; les boîtes de courrier électronique sont saturées et rapidement, le ver passe en Europe et en Asie.
    En France, la majorité des grands comptes est touchée : les chiffres sont tenus confidentiels... les pertes de productivité sont pourtant bel et bien existantes !
    L'épisode Nimda a montré l'état de l'art actuel de la création d'agents infectants en matière d'organisation mondiale, l'efficacité actuelle en matière de moyens de propagation ; il a aussi montré les handicaps et les failles dans la protection : la médiocrité des éditeurs d'antivirus, l'absence de coordination mondiale et le manque de réactivité des entreprises.
    		    
    Les moyens de propagation de Nimda
    Ses multiples moyens de propagation font de Nimda, le ver à la diffusion la plus rapide jamais connue.
    -1-Nimda fragilise le poste infecté. Une fois installé sur un poste, Nimda, par l'intermédiaire de sa pièce jointe Readme.exe, s'insère dans les fichiers .HTML, .HTM et .ASP et dans certains exécutables. Il actionne ensuite la fonction partage de fichiers sur l'ensemble du système en donnant au compte invité les droits d'administrateur.
    -2-Nimda s'installe sur le réseau local. Si le poste infecté est connecté, Nimda s'installe sous la forme de fichiers .EML ou .NWS (utilisés par Outlook) dans tous les dossiers partagés en écriture sur le réseau. Il suffira à un autre utilisateur de cliquer sur le fichier avec l'option prévisualisation de l'explorateur de Windows activée pour être infecté à son tour (Nimda déclenche son action sans intervention de l'utilisateur. Il se sert pour cela d'une faille de certaines versions d'Internet Explorer dont la bibliothèque de fonctions est utilisée tant pour afficher les pages Web, que par Outlook pour les messages au format Html, ou encore par Windows pour prévisualiser les fichiers. Cette faille permet l'exécution automatique des certaines pièces jointes des e-mails).
    -3-Nimda se propage par e-mail. En utilisant les services Mapi des messageries, Nimda dresse la liste des adresses e-mail contenus dans les messages stockés sur le poste de travail infecté. Il fait la même recherche dans les pages Web contenues dans le cache du navigateur. Il ne lui reste plus qu'à s'envoyer vers chacune des adresses collectées, en utilisant son propre serveur SMTP. Une fois arrivé, il suffit de le prévisualiser dans Outlook pour activer Nimda (voir -2-). Les utilisateurs des autres programmes de messagerie doivent double cliquer sur la pièce jointe pour activer Nimda.
    -4-Nimda infecte les sites Web. Depuis le poste infecté, Nimda scanne aussi un ensemble d'adresses IP aléatoires sur le Net à la recherche d'un serveur Web Microsoft IIS. Il tente alors de profiter de failles de sécurité d'origine ou laissées par le ver CodeRed II pour aller se copier dans l'ensemble des dossiers sous la forme de fichiers Outlook (format .EML). Il modifie ensuite les fichiers .HTML, .HTM et .ASP en leur ajoutant un petit script qui lui permettra de se propager.
    -5-Nimda s'attrape en visitant le Web. Quelle que soit la page du site Web infecté que l'internaute consulte, il ne pourra éviter d'être contaminé. A l'affichage de chaque page, le script provoque l'ouverture d'une nouvelle fenêtre affichant le message au format .EML copié sur le serveur. Toujours en profitant de la faille d'Explorer (voir -2-), l'affichage du document provoque l'exécution de la pièce jointe Readme.exe.
    Le virus Nimda n'a pas été programmé pour provoquer des dégats importants sur les ordinateurs infectés ! Après les essais du milieu de l'année 2001, Nimda a simplement démontré l'aboutissement des recherches et ses possibilités dans le domaine de la propagation.
    Top of page  


     
    Le futur et ses dangers :
    L'examen de l'histoire des attaques virales montre une évolution dans les techniques des créateurs de virus. Il est clair que si ce sont des aventuriers et des voyous isolés qui ont pris plaisir à lancer les premiers virus, chaque nouveau virus a su tirer bénéfice des essais précédents, montrant là une collaboration accrue.
    Au fil des sorties, ont été testées et améliorées l'une ou l'autre des différentes fonctions constitutives des virus.
    Les progrès se sont visiblement accélérés ; chacune des fonctions d'un virus a été étudiée, essayée, améliorée... sauf la fonction destruction ! Un cap a été franchi avec Nimda et ses 5 moyens de propagation maintenant bien au point.
    "Pour la première fois, nous sommes confrontés à un ver efficace qui fait la somme du savoir entre les techniques propres aux crackers et celles issues des concepteurs de virus. Il devient de plus en plus difficile de pénétrer dans les entreprises. Les coupe-feu font leur office et sont relativement bien configurés. Les pirates doivent trouver de nouvelles voies : c'est ce qu'ils font !" (Stéphane Le Hir PDG de Trend Micro France)

    Fabienne Vincent de chez Sophos indique 70.000 virus actuellement connus et 600 à 700 nouvelles signatures de virus chaque mois (n'oublions pas que la plupart des virus sont des variantes de virus existants et que les nouvelles souches sont rares -une dizaine par an-).
    Il est à remarquer que peu de virus ont provoqué les dégats annoncés par les journalistes et les éditeurs d'antivirus ! j'y vois personnellement un sujet d'inquiétude supplémentaire... comme si le but n'était pas la destruction !

    Nimda augure d'attaques bien plus virulentes qui profiteront sans aucun doute des techniques liées au Web en même temps que des techniques apportées par les crackers, champions de l'intrusion... jusqu'à présent tout ce passe comme si, pour garder "leurs opposants" endormis, les attaques virales masquaient leurs vrais objectifs.
    Ce but, lorsque tout le processus sera jugé parfaitement au point, pourrait être la destruction des données comme toujours annoncé par les journalistes mais plus vraisemblablement à mon sens, les intrusions afin de détourner l'argent des banques, le know-how des entreprises ou pour prendre le contrôle des ordinateurs les plus stratégiques...

     
      Les risques d'attaques informatiques
  • Déni de service
  • IP spoofing (usurpation d'une adresse IP)
  • Reniflage endémique
  • Cheval de Troie
  • Faille logicielle
  • Virus (infection, destruction de fichiers)
  • Spam
  • Spyware
  • Cracker (recherche du mot de passe)
    		•
    		N'oublions pas que les virus évoqués ici principalement ne constituent qu'un des aspects des attaques menées par les pirates informatiques.  

    Un accroissement continu de l'efficacité des attaques de virus avec un nouveau cap récemment franchi contre une stagnation, voire une régression des faibles moyens de protection et une absence de prise de conscience du danger potentiel par les entreprises en dépit d'une utilisation toujours plus stratégique des ordinateurs, voilà la situation actuelle dans le domaine des virus.
    A cette marche en avant des créateurs de danger doit instamment correspondre un grand accroissement des moyens de protection dans les entreprises et chez les éditeurs de logiciels informatiques (système d'exploitation, applications, utilitaires de protection) associés.
    Retour / Back   Top of page