Comment les malwares pénètrent les systèmes

L’objectif des créateurs de virus et des cybercriminels est de diffuser leurs virus, leurs vers ou leurs chevaux de Troie sur autant d’ordinateurs ou de téléphones mobiles que possible. C’est possible de deux manières :

  • Par l’ingénierie sociale
  • En infectant un système à l’insu de l’utilisateur

Ces méthodes sont souvent utilisées simultanément et inclut souvent des procédés leur permettant de contourner les programmes antivirus le plus possible.

Ingénierie sociale

Les techniques d’ingénierie sociale encouragent un utilisateur peu regardant à ouvrir un fichier infecté ou un lien vers un site infecté de manière sournoise. Cette méthode est employée par de nombreux vers dissimulés dans du courrier électronique et d’autres types de malwares.

La tâche des pirates et des créateurs de virus consiste à attirer l’attention de l’utilisateur sur le lien ou le fichier infecté et à s’assurer que l’utilisateur clique dessus. Un exemple classique est celui du vers LoveLetter qui a produit un vrai tremblement de terre en mai 2000 et qui selon Computer Economics, demeure toujours le ver le plus dévastateur compte tenu des dommages financiers qu’il a causé. Ci-dessous, le message qu’il affichait sur les écrans :

loveletter

Le message « I LOVE YOU » a été ouvert par un nombre immense de personnes, et cela a même mené le serveur de courrier électronique d’une compagnie à la débâcle car le ver s’était dupliqué vers tous les contacts du répertoire d’un utilisateur après que ce dernier ait ouvert le fichier VBS.

Le ver de courrier électronique, Mydoom, qui est apparu sur Internet en janvier 2004 utilisait des textes imitant les messages techniques affichés par les serveurs de messagerie.

La tempête Swen s’est fait passer pour un message provenant de Microsoft et contenant un patch pour réparer des vulnérabilités Windows. Pas étonnant que les gens l’aient pris au sérieux et qu’ils aient essayé d’installer le « patch ».

Des choses exceptionnelles se produisent parfois. En novembre 2005, une version du ver Sober informait les utilisateurs que la police allemande menait une enquête sur les personnes qui avaient visité des sites Web illégaux. Ce message a été lu par un homme qui visitait souvent des sites pédophiles. Il pensait que le message était vrai et s’est donc rendu à la police de lui-même.

Les liens vers des sites infectés et les fichiers cachés dans des messages sont devenus très populaires dernièrement : les potentielles victimes peuvent recevoir des messages par e-mail, ICQ et autres systèmes de messagerie instantanée ou occasionnellement via des IRC. Les virus mobiles sont diffusés par SMS. Le message contient habituellement un texte attrayant qui encourage l’utilisateur à cliquer sur le lien. Ce type de système de pénétration est le plus populaire et le plus efficace car il permet aux malwares de contourner le filtre antivirus du serveur mail.

Les réseaux P2P sont également souvent utilisés. Un ver ou un cheval de Troie apparait sur le réseau P2P en utilisant un nom conçu pour attirer l’attention, comme par exemple :

  • AIM & AOL PasswordHacker.exe
  • Microsoft CD Key Generator.exe
  • PornStar3D.exe
  • Play station emulator crack.exe

Quand ils recherchent des programmes, les utilisateurs P2P utilisent ces noms, téléchargent les fichiers et les lancent.

Une autre astuce consiste à proposer à la victime un utilitaire gratuit ou un guide d’accès à des systèmes de paiement en ligne. Par exemple, on offre à un utilisateur la possibilité d’accéder à Internet gratuitement ou de télécharger un générateur de numéro de carte bancaire ou encore de gonfler le solde de leur propre compte bancaire, etc. La victime d’une telle arnaque ne peut pas vraiment aller se plaindre à la police et expliquer que ses propres intentions illégales ont été interrompues car elle a elle-même été victime de cybercriminels. Ces derniers le savent très bien et profitent de la situation.

Un fraudeur russe inconnu a essayé quelque chose de très surprenant en 2005-2006. Un cheval de Troie a été envoyé à des adresses issues du site spécialisé en recrutement, job.ru. Certaines personnes qui ont publié leur CV sur le site ont reçu des offres d’emploi qui étaient en fait des chevaux de Troie. Curieusement, l’attaque ciblait principalement des adresses e-mail professionnelles. Les criminels savaient certainement que les employés qui avaient reçu le cheval de Troie ne voudraient pas dire à leur employeur qu’ils avaient été infectés alors qu’ils cherchaient un autre emploi et ces criminels ont bien eu raison – cela a pris aux spécialistes de Kaspersky Lab plus d’un an et demi pour découvrir comment ce cheval de Troie avait réussi à pénétrer les ordinateurs des utilisateurs.

On a également pu observer quelques cas toxiques dans lesquels les utilisateurs avaient reçu un faux e-mail de leur banque leur demandant de confirmer leurs codes d’accès et par conséquent, fournir leurs codes aux criminels sans qu’ils ne s’en rendent compte. La procédure que les utilisateurs ont dû suivre était si compliquée que cela tournait au ridicule : ils devaient imprimer le document, puis le faxer au numéro de téléphone indiqué.

Un autre cas curieux c’est produit au Japon au cours de l’automne 2005 quand des cybercriminels ont utilisé un service de livraison à domicile pour distribuer des CD infectés avec un cheval de Troie spyware. Les disques étaient livrés aux clients d’une banque japonaise dont les adresses avaient été volées dans la base de données de la banque.

Techniques d’installation

Les cybercriminels peuvent utiliser des techniques qui introduisent de manière dissimulée un code malveillant dans un système en exploitant des vulnérabilités dans les fonctionnalités de sécurité du système d’exploitation ainsi que dans ses logiciels. Les vulnérabilités permettent au ver ou au cheval de Troie de pénétrer dans l’ordinateur de la victime et de s’exécuter eux-mêmes.

Les vulnérabilités sont d’ailleurs une erreur dans le code ou dans la logique opérationnelle de plusieurs programmes. Les systèmes d’exploitation actuels et les applications disposent d’une structure complexe ainsi que de vastes fonctionnalités qui rendent presque impossible le développement d’un programme sans aucune erreur. Ce fait est très utilisé par les créateurs de virus et les cybercriminels.

Les vers de courrier électronique Nimda et Aliz exploitaient les vulnérabilités d’Outlook. Pour lancer le fichier du ver, il suffisait d’ouvrir un message infecté ou simplement de passer le curseur sur la fenêtre d’aperçu.

Les programmes malveillants exploitent aussi activement les vulnérabilités des composants du réseau du système d’exploitation. Cette technique était utilisée par CodeRed, Sasser, Slammer, Lovesan (Blaster) et d’autres vers fonctionnant sous les systèmes d’exploitation de Windows. Linux a également été affecté avec les vers Ramen et Slapper qui infiltraient les ordinateurs via des vulnérabilités dans son système d’exploitation et ses applications.

La mise en place d’un code malveillant via des pages Web est récemment devenu l’une des techniques d’infection les plus populaires. Cette technique exploite les vulnérabilités des navigateurs Web. Un fichier infecté et un programme script qui exploitent la vulnérabilité du navigateur sont placés sur une page Web. Quand un utilisateur visite la page infectée, le script télécharge le fichier infecté sur l’ordinateur de l’utilisateur via la vulnérabilité et le lance. Afin d’infecter autant de machines que possible, il est nécessaire d’encourager un grand nombre de visiteurs à visiter la page Web. Cela peut être réalisé de différentes manières : par exemple, en envoyant des courriers indésirables contenant des adresses de pages infectées ou en envoyant les mêmes messages via des systèmes de messagerie instantanée (les fraudeurs utilisent même parfois les moteurs de recherche dans ce but). Le texte placé sur la page infectée est analysé par les moteurs de recherche et le lien vers la page est ensuite inclus dans la liste des autres pages dans les résultats de recherche.

Les chevaux de Troie plus petits conçus pour télécharger et lancer des chevaux de Troie plus importants sont un autre type de malware spécifique. Ils s’infiltrent dans l’ordinateur de la victime d’une façon ou d’une autre, par exemple, via une vulnérabilité du système et téléchargent et installent ensuite d’autres composants malveillants à partir du Web. De tels chevaux de Troie changent souvent les paramètres des navigateurs Web à leur niveau le moins sécurisé afin de dégager le chemin pour les autres chevaux de Troie.

Usage simultané des techniques d’installation et des méthodes d’ingénierie sociale

Les cybercriminels utilisent souvent les deux méthodes simultanément : l’ingénierie sociale pour attirer l’attention des potentielles victimes et des moyens techniques afin d’augmenter les probabilités d’infiltration d’un objet infecté dans le système ciblé.

Par exemple, le ver Mimail était distribué comme une pièce jointe. L’e-mail contenait un texte spécialement conçu pour que l’utilisateur le remarque et les créateurs du virus ont utilisé une vulnérabilité d’Internet Explorer dans le but de lancer une copie du ver à partir d’un fichier ZIP. Une fois le fichier ouvert, le ver créait une copie de lui-même sur le disque et se lançait sans que le système ne le signale et sans l’intervention de l’utilisateur. Curieusement, ce ver fut l’un des premiers conçus pour voler les données de compte bancaire des utilisateurs.

Un autre exemple est celui du courrier indésirable qui avait pour objet « Hello » et contenait le texte « Regardez ce qu’ils disent sur vous ». Le texte était suivi d’un lien vers un site Web. Une analyse montre que le site Web contenait un script qui téléchargeait LdPinch, un cheval de Troie conçu pour voler des mots de passe sur l’ordinateur de l’utilisateur en exploitant une vulnérabilité d’Internet Explorer.

Combattre les programmes antivirus

L’objectif des cybercriminels est de diffuser un code malveillant sur la machine de la victime. Pour cela, ils doivent forcer l’utilisateur à lancer un fichier infecté ou pénétrer le système à travers une vulnérabilité qui contourne le filtrage de l’antivirus. Il n’est pas surprenant que les fraudeurs essaient de combattre activement les programmes antivirus. Pour cela, ils utilisent différentes techniques mais les plus communes sont les suivantes :

  • Compression et chiffrement des codes : La majorité des vers et des chevaux de Troie actuels sont compressés et chiffrés. De plus, les programmeurs  » black hat  » conçoivent des utilitaires qui sont utilisés pour compresser et chiffrer. Par exemple, tous les fichiers Internet traités via CryptExe, Exeref, PolyCrypt, et bien d’autres utilitaires se sont avérés être des malwares. Afin de détecter de tels vers et chevaux de Troie, les programmes antivirus doivent soit disposer de nouvelles méthodes de décompression et de déchiffrement, soit des signatures correspondant à chaque programme malveillant. Cela mène inévitablement à une diminution du taux de détection car aucune compagnie antivirus ne peut disposer de tous les exemplaires de virus qui existent.
  • Mutation des codes : il s’agit de mélanger le code du cheval de Troie avec des instructions de type  » courrier indésirable  » afin de modifier son apparence tout en conservant la fonctionnalité du cheval de Troie. La mutation se produit parfois en temps réel, c’est-à-dire chaque fois qu’un cheval de Troie est téléchargé depuis un site Web. Cela signifie surtout que les chevaux de Troie qui sont téléchargés sur les ordinateurs des utilisateurs sont différents. Le ver Warezov qui a causé une sérieuse épidémie au cours de la deuxième moitié de 2006, est un bon exemple de cette technique.
  • Techniques furtives : Les technologies rootkit généralement employées par les chevaux de Troie sont utilisées pour intercepter et substituer les fonctions du système ce qui rend le fichier infecté invisible pour le système d’exploitation et les programmes antivirus. Parfois même les branches du registre dans lequel le cheval de Troie se trouve ainsi que d’autres fichiers système sont cachés. Ces techniques sont par exemple activement utilisées par le cheval de Troie Hacdef.
  • Masquer le code sur un site Web : Les adresses de la page Web qui contient les fichiers du cheval de Troie seront bientôt connues des compagnies antivirus. Les analystes de virus étudient le contenu de ces pages et ajoutent de nouvelles versions des chevaux de Troie à leurs bases de données. Pour combattre l’analyse antivirus, une page Web peut être modifiée, et par exemple si la demande a été effectuée par une société antivirus, un fichier non contaminé sera téléchargé au lieu du cheval de Troie.
  • Une attaque en « quantité » correspond à la création et à la distribution d’une grande quantité de nouvelles versions d’un cheval de Troie sur Internet dans un laps de temps très court. C’est pourquoi les sociétés antivirus reçoivent d’énormes quantités de nouveaux virus et que cela prend autant de temps et d’efforts pour analyser chacun d’eux, ce qui donne au code malveillant une chance de plus de réussir à pénétrer les ordinateurs des utilisateurs.

Ces techniques sont utilisées par les cybercriminels pour combattre les programmes antivirus. L’activité des fraudeurs devient de plus en plus importante chaque année et il est désormais possible de parler d’un « bras de fer technologique » entre l’industrie antivirus et celle des virus. D’un autre côté, le nombre de pirates et de groupes criminels est également en augmentation et leur professionnalisme ne cesse de s’accroitre. Tous ces facteurs augmentent considérablement la complexité et le volume de travail des sociétés antivirus afin qu’elles puissent développer des solutions suffisamment robustes.