Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

jeudi 8 décembre 2016

Virus: je t'aime, moi non plus!

La fin du mois de février et le début du mois de mars ont été marqués par une nouvelle invasion de virus informatiques. Plus surprenante est la guerre verbale que se livrent les virus entre eux à coups d'insultes dissimulées dans leur code source
Twitter Facebook Delicious
Mis à jour le 09/03/2004 | Imprimer | Envoyer

Des virus qui mutent!

Le mois de février 2004 a démarré très fort avec l'arrivé de Mydoom, rapidement suivi de NetSky, puis Bagle et Sober. La caractéristique de ces dernières vagues de virus est l'apparition successive de nombreuses variantes, souvent plus agressives, les premières versions ayant été rapidement contrées par les logiciels anti-virus. Ainsi, chez Microsoft, on confirme que les concepteurs de virus et vers font une analyse approfondie des correctifs pour générer des nouvelles souches tous les 15 jours.

NetSky:

  • NetSky.b cherche des adresses mails sur l'ordinateur infesté et transmet des messages à toutes les adresses trouvées à l'aide de son propre serveur de mails qu'il installe sur le PC infesté;
  • d'autres souches de la même famille ont été repérées: NetSky.c et NetSky.d, ce dernier étant considéré comme le plus dangereux;
  • cette famille de vers ne provoque, semble-t-il, pas de destruction sur les machines infestées, mais inonde Internet avec une masse de messages inutiles qui ralentissent son fonctionnement.

Bagle:

  • Bagle.B, ou Beagle.B, s'est largement répandu grâce aux mails;
  • Bagle.B ouvre une "backdoor" sur les systèmes infectés;
  • Bagle-F et Bagle-G emploient une ruse particulière pour éviter d'être bloqués par les antivirus et les services de détection des fournisseurs d'accès Internet. Ils arrivent dans un fichier ZIP protégé par un mot de passe, ce qui interdit aux logiciels anti-virus de les identifier. En plus, ce message semble être envoyé par le gestionnaire mail de l'entreprise. Ouvrir ce mail ne représente pas un danger en soi. Par contre, le fichier .zip attaché est dangereux: il ne faut surtout pas l'ouvrir, et bien sûr le supprimer de la boîte de réception rapidement.

Mydoom:

  • le ver Mydoom réapparaît régulièrement sous différentes versions;
  • Mydoom.F est dangereux à cause des dégâts potentiels qu'il est capable d'engendrer sur les machines infestées en ouvrant des ports TCP,
  • Mydoom.F attaque les sites de www.microsoft.com et www.riaa.com avec une masse de mails ayant l'intention de provoquer une attaque de type DoS (Denial of Services). En plus, sur les systèmes infestés, MyDoom.f efface aléatoirement des fichiers.

Les trois vers et leurs variantes affectent toutes les versions de Windows. Ils n'affectent ni les systèmes Linux/Unix, ni les systèmes Macintosh. Le niveau de risque annoncé est élevé.

Se protéger encore et toujours

Toutes les recommandations reprises dans le dernier focus de l'AWT sur le sujet restent évidemment d'actualité. Toutefois, il faut admettre que la multitude des variantes de virus finit par compliquer singulièrement la tâche.

Par rapport à la vague actuelle de virus, on insistera sur les points suivants:

  • pour éviter d'être touché par un de ces vers, les utilisateurs doivent être attentifs à tous les messages non sollicités qu'ils peuvent recevoir,
  • face à un ver caché dans un fichier ZIP chiffré, il convient de s'assurer que les antivirus des postes de travail sont mis à jour pour empêcher les utilisateurs finaux d'activer le code viral.

De plus, la plupart des logiciels de gestion de courrier électronique permettent de rejeter des messages en fonction de l'expéditeur, du contenu de l'entête ou du corps du message. En utilisant convenablement ces règles d'exclusion, on peut rapidement réduire le nombre de mails dangereux. Enfin, afin de se tenir informé de l'évolution au jour le jour des nouveaux virus, il est très vivement conseillé de s'abonner à la liste de diffusion spécialisée de l'IBPT.

Wanna start a War?

La multiplication des virus a une autre conséquence, plus "amusante": les auteurs des différents virus se sont lancés dans une véritable guerre d'insultes. Les experts en sécurité informatique ont découvert que les auteurs des vers MyDoom et Bagle échangent des noms d'oiseaux avec l'auteur du virus Netsky à l'aide des messages cachés dans le code du virus.

Quelques exemples de ces messages (qui ne s'affichent pas sur l'écran de l'utilisateur):

  • "Hey, Netsky, fuck off you bitch, don't ruine our business, wanna start a war?",
  • "Skynet AntiVirus - Bagle - you are a looser!!!!".

On peut notamment en déduire que l'auteur de Bagle est manifestement furieux et jaloux que Netsky lui vole la première place dans le top des virus.

Même si c'est la première fois que des messages textuels apparaissent aussi clairement dans le code source de virus, ce type de pratique n'est pas neuf. Durant l'été 2003 déjà, le ver MSBlast contenait un message adressé directement au patron de Microsoft: "I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!".

Pour en savoir plus

  • Stratégie sécurité de Microsoft Lien externe
    Informations sur les mesures prises par Microsoft pour assurer la sécurité de son système informatique, depuis le PC personnel jusqu'au réseau d'entreprise. Liens vers les ressources spécifiques pour les professionnels, les développeurs, les utilisateurs domestiques, etc.
    http://www.microsoft.com/security/
  • Sophos Lien externe
    Sophos est l'un des leaders de la protection antivirale et anti-spam d'entreprise
    http://www.sophos.fr
  • Trend Micro - Antivirus Solutions Lien externe
    Fournisseur de solutions et de services de sécurité. Ces solutions protègent le flux des informations qui transitent via les PCs, les serveurs de fichiers, les serveurs de messagerie et les passerelles Internet
    http://be.trendmicro-europe.com
  • Institut belge des services postaux et de télécommunications (IBPT) Lien externe
    L'Institut est chargé de missions stratégiques (compétence d'avis à propos de la politique menée dans le secteur des postes et des télécommunications), réglementaires (élaboration de la réglementation belge et transposition en droit belge des directives européennes), opérationnelles (licences, agréments et fréquences notamment), de conciliation (entre opérateurs) et de contrôle. L'IBPT fournit également un service d'alerte concernant les virus informatiques
    http://www.bipt.be
  • Une meilleure approche de la protection virale multiniveau (Sophos) (.PDF 70 k)
    Ce livre blanc décrit les différents niveaux constituant l?infrastructure informatique d?une entreprise et évalue à chaque point d?accès les besoins de chacun de ces niveaux en matière de protection virale. Il traite par ailleurs des facteurs dont doit tenir compte l?entreprise au moment de prendre des décisions concernant l?acquisition et la gestion de logiciels antivirus.
    http://www.awt.be/contenu/tel/sec/livre_blanc_sophos.pdf
Portail de la Région wallonne