Comme chacun le sait,c'est une véritable course engagée contre ces malwares.
Nous allons essayer de mieux comprendre ce phénomène virus, mais surtout essayer de le dépister et de le "lire" pour mieux s'armer et l'éradiquer. Connaitre son ennemi pour mieux le combattre.
ATTENTION :
Il est FORTEMENT DECONSEILLE de manipuler et encore plus d'ouvrir un virus sans connaissances et maitrise de son O/S.
L'auteur de ce tutorial ne sauraient être responsables d'aucun dommage pouvant résulter d'une mauvaise interpétration du tutorial ou de mauvaises manipulations des logiciels utilisés.
Les sauvegardes d´usages sont à faire dans tous les cas.
Le but n'est pas de vous encourager à faire ce qui suit, surtout en réseau, mais de montrer comment. Par contre la partie éradication est elle recommandée.
Ce tutorial comprend quatre parties :(liens directs)
Sous cette appellation abusive mais pratique dans le langage courant, est à ranger toute une panoplie de "joyeusetés".
D'ailleurs, cette appellation se retrouve de plus en plus "galvaudée", surtout par tous les fabricants qui nomment leurs programmes "anti-virus".
Mais la plupart, maintenant, dépistent et éradiquent une grande partie des "joyeusetés", avec plus ou moins de spécialisations.
Malware (malicious+software) = logiciel malveillant.
Les malwares sont à classer en trois catégories, classification dite standard :
¤- La charge : qui s'attaque principalement au BIOS
¤- De déclenchement : par exemple un cheval de troie
¤- De propagation : par exemple un ver.
Beaucoup vont certainement découvrir des "virus" inconnus mais pourtant bien réels.
Si, toute fois, vous voyez qu'il en manque, je me ferais un devoir de rajouter.
Actuellement, plus de 105 000 sont recensés.
Ce qui laisse le choix d'une banque assez impressionnante de malwares :
¤- ActiveX
Créés par Cro$oft, pour concurrencer le succès de Javascript de Sun, ils peuvent se révéler particulierement méchants.
Voila comment est expliqué son application par Microsoft :
"Les contrôles ActiveX, précédemment connus sous le nom de contrôles OLE ou contrôles OCX, sont des composants (ou objets) que vous pouvez insérer dans une page Web ou un autre programme de manière à pouvoir réutiliser une fonctionnalité intégrée programmée par quelqu'un d'autre. Par exemple, les contrôles ActiveX qui sont inclus dans Internet Explorer vous permettent d'enrichir vos pages Web avec des fonctionnalités de mise en page et des animations sophistiquées.
L'un des avantages essentiels des contrôles ActiveX sur les programmes Java et les plug-ins Netscape réside dans le fait que l'on peut les utiliser aussi bien dans des programmes écrits dans de nombreux autres langages, y compris tous les langages de programmation et de bases de données Microsoft. "
Ca se passe de commentaire, car, très vite, les failles se sont retrouvées exploitées.
De plus ils ne repondent pas aux normes W3C.
¤- Adwares (advertising supported software = pubgiciel)
Un de ceux les plus rencontrés surtout dans les logiciels, utilitaires, etc... gratuits.
En fait, il est chargé par la société tiers ou régie de pub qui rétribue ainsi le créateur.
Cela se traduit, en général, par une banniere publicitaire obligatoire.
Enlever l'adware bloque souvent le programme, il faut alors paramétrer des filtres dans les antis, pour pouvoir continuer à les utiliser.
¤- Backdoors (porte arrière ou porte dérobée)
Ce programme est particulièrement efficace en réseau.
Effectivement,les portes dérobées sont nettement plus utiles que l´accès physique à l´ordinateur.
En général,le développeur crée ce programme pour acceder facilement mais aussi bloquer facilement un client en cas de non-paiement par exemple.
Ce malware est en général introduit par le dévellopeur ou un tiers (souvent les deux). Ou comme le cas célèbre de l´utilitaire trés efficace d´une liste de proxy,le gouvernement allemand a obligé le créateur a mettre un backdoor.
Il permet de surveiller complètement,de prendre la main du PC,d´envoyer des virus,spams,etc.......du PC,de contrôler le réseau ou simplement de tout détruire en étant sur place.
¤- Botnet (bot pour robot et pour internet)
Réseau de robots logiciels installés sur des machines aussi nombreuses que possible et zombies détournés à l´insu de leurs propriétaires.
Servir à paralyser le trafic ou de moteur à la diffusion de spam.
Les botnets sont utilisés pour le vol de données bancaires ou de comptes clients à grande échelle.
Des botnets bien réalisés et bien implantés sont loués trés cher à des tiers.
¤- Buffer overflow (débordement de tampon)
Problème de sécurité causé par l´absence de contrôle de ce qu´on écrit dans un tampon.
Une fois l´extrémité du tampon atteinte, d´autres données sont écrasées.
Il y a souvent une chance pour que ces « données » soient exécutées si le contenu du tampon a été fourni par un utilisateur (par exemple dans un champ de saisie) alors tout est possible.
¤- Chevaux de Troie (voir Troyan Horses)
¤- Companion (compagnon)
Petit virus prenant le nom d´un fichier EXE, mais en utilisant pour extension .COM, accompagnant donc l´autre fichier exécutable.
Quand deux .EXE portent le même nom,la ruse est que les fichiers .COM s´exécutent avant..
La victime lance donc le virus en même temps que sa commande habituelle.
Technique employée plus souvent sous le DOS.
¤- Cookies (biscuit)
Un cookie est un enregistrement d'informations par le serveur dans un fichier texte situé sur l'ordinateur client.
Il se compose d'un ensemble de variables que le client et le serveur s'échangent lors de transactions HTTP, ce qui permet d'éviter de se connecter à nouveau sur un forum par exemple, ou d'aller directement sur la page d'un site, etc......
Sans problème quand ils sont utilisés par des "entités", ils peuvent se révéler très dangereux lorsqu’ils sont mal employés.
En effet, ils peuvent stocker une multitudes de renseignements, qui récoltés par un spyware, permet de se connecter au service Web sous le compte de l'utilisateur.
¤- Dialers (ou war dialing = composeur d'attaque)
Un dialer est un programme utilisé pour réaliser des connexions Internet via des numéros très coûteux.
Cela peut aller jusqu'à 15€ la minute. Des entreprises ont fait faillite.
Si certains dialers sont fournis par les fournisseurs d'accès pour créer ou simplifier la connexion Internet de leurs clients, la plupart sont une grande plaie de l'internet.
Trés en voque dans les années 90, ils sont en général chargés sur des sites de sexes, de logiciels illégaux, de site de crack, etc.....
Au début, ils utilisaient la fenêtre de certificat de sécurité, puis, pour piéger les enfants (et les grands) plus facilement, un simple balayage de souris en allant vers le prochain lien suffisait.
Ils s'installent seuls et en silence, coupent la connexion et la remettent.
D'ou les questions posées sur les forums : pourquoi j'entends mon moden en 56k qui se déclenche tout seul......
Quelques procés retentissant ont un peu calmé les ardeurs, mais ils restent très en vogue sur les sites de sexe.
¤- Dropper voir Troyan Horses)
¤- Espiogiciel (voir spyware)
¤- Exploits
Sa particularité est d'exploiter les failles de sécurité dans un systeme d'exploitation.
Deux manières : soit en direct sur le PC (local exploit), soit à distance (remote exploit).
¤- Hijackers (hijack = détournement)
C'est un programme qui pirate votre page de démarrage internet pour la rediriger vers des sites soigneusement choisis et, comme toujours, très souvent vers des sites de sexe ou par des webmasters qui "gonflent" ainsi les visites de leurs pages web.
L'infection se fait par l'intermédiaire d'une page web piégée en se servant d'un Javascript mais surtout d'ActiveX.
Cela peut aller jusqu'à rendre inaccessibles les options Internet Explorer par un Browser Helper Object ou à modifier le répertoire de "Mes favoris" et on retrouve des dizaines de dossiers des sites classiques de sexe.
¤- Hoax (canular)
Il y en a de toutes sortes, et si le principe est de faire une fausse information pour "rigoler", il arrive malheureusement, suivant ce canular, que certains soient obligé de reformater.
En général il est demandé de faire passer le message de partout, les forums en premier.
De toute bonne fois bien souvent, l'internaute donne l'info et bien sûr, sans vérification, beaucoup virent des fichiers.
Ben oui, si c'est sur le forum et en plus en Sécurité.........
Personne ne s'est encore mis d'accord pour dire s'il est à classer dans les "virus" ou pas, mais vus les dégâts quelques fois faits, je préfère le mentionner.
¤- Joke (voir hoax)
¤- Keyloggers (key = touche, logger = enregistrer)
Ce petit programme se charge d'enregistrer toutes les frappes du clavier.
Ensuite, dès la connexion sur le Net, il fait son rapport au créateur ou à un tiers de tout ce que vous avez fait.
Les nouveaux programmes vont plus loin, en enregistrant les liens des sites visités et en faisant même des impressions d'écrans.
Le dernier, bien célèbre, découvert il y a quelques mois à peine par un suédois, est Word avec sa barre d'outils.
¤- Logic Bomb (bombe logique ou bombe temporelle ou blue bomb ou time bomb)
Inséré dans un virus, trojan, etc......sa particularité est de se déclencher en fonction d'un événement précis.
C'est donc la charge utile du programme.
Il peut être actif de suite, dans un temps voulu, même long, prévu pour une date précise (comme celui du 28 février), un événement précis, etc.........
Il est prévu pour faire des dommages ou détruire dans l'ordinateur cible.
¤- Mailbomb (courrier électronique en masse)
Pour déranger les gens, rien de mieux, selon certains, que de leur envoyer des Méga-Octets de courrier électronique.
L´objectif est de saturé completement les boîtes aux lettres et donc empêcher la bonne réception,et d´obliger l´internaute a complètement vider sa boîte sans même vérifier.
Cette technique est redoutable pour un serveur qui lui stocke des fois plusieurs comptes.
Employé en même temps par plusieurs et sur le même serveur,peut lui être fatal.
¤- Numéroteur (voir Dialer)
¤- Phishing (Aller à la pêche)
Trés à la mode et employée dans ces années 2000.
Cela consiste à envoyer un mél à tous les clients d´une Banque par exemple,d´un site de vente par correspondance ou vente en ligne...
Et dire que suite à des incidents techniques ou re-structuration informatique qu'on a perdu son numéro de carte bancaire,de compte,de carte de paiements,etc.....et qu´il faut simplement re-remplir les cases,etc....
Les techniques actuelles,permettent de saisir et d´envoyer les même pages que d'habitude.
Rassurés et en confiance les internautes répondent en toute naïveté...
¤- Polluriel (voir Spam)
¤- RAT (Remote Administration Tool)
Outil d´administration à distance. Logiciel permettant de modifier la configuration d´une machine à travers un réseau.
Généralement, ces programmes sont bénéfiques, mais ils peuvent être utilisés pour commettre toutes sortes de méfaits.
¤- Rootkits (root = racine, kit = ensemble)
Son principe est de prendre un compte administrateur ayant tous les droits, pour lancer une ligne de commande, un shell, etc......
En général il regroupe les backdoors, exploits, trojans et autres.
Sa plus grande dangerosité: il modifie le kernel (noyau), ce qui lui permet de cacher des fichiers ou processus notamment dans des configurations encore vierges.
Cela permet d'automatiser l'installation sur un systeme avec faille et ce, tout le temps, puisque au coeur du système, donc discret. Sa présence n’est pas détectée.
¤- SPAM (Shoulder of Pork and hAM ,c´est une marque déposée à l´origine).
Parfois traduit comme: « balancer le contenu d´une boite de corned-beef dans les pâles d´un ventilateur ».
Envoyé par centaine,le spam se voulait une action de promotion ou de publicité.
Les techniques actuelles et les utilitaitres permettent d´envoyer par millier voire dizaine de millier et inlassablement aux mêmes adresses surtout si le courrier est ouvert,ce qui certifie une bonne URL.
Un spam est dit " alphabétique quand il vise tous les groupes du Net, dans l'ordre.
Un spam est dit " horizontal " quand il vise de nombreux groupes.
Un spam est dit " vertical " quand il vise un seul groupe mais en l´inondant de messages.
¤- Spyware (logiciel espion) :
Ces logiciels espions se trouvent de partout.
Ils portent bien leurs noms et sont fabriqués par de grosses firmes qui utilisent les toutes dernières techniques.
Quand ces dernières n´innovent pas,comme les découvertes en formule 1 servent ensuite tous les jours,mais c´est leur job.
Et ils le font bien,la suite du tutoriel est suffisamment parlante.
Programmes,logiciels,utilitaires gratuits et même payants,CD/DVD de pilotes,de cartes,OEM,CD/DVD d´imprimante,scanner,photocopieuse,fax,scans en ligne,etc...
Ca c´est à domicile,alors sur la toile,chaque site,chaque lien,est succeptible de charger un spyware sous couvert d'un petit .exe ou d´un petit bout de programme pour la prochaine fois.......
Le but des spywares est d´envoyer des informations personnelles,quel sorte de logiciels,leurs utilisations,les habitudes de surfs,les sites visités,etc........Un ciblage en régle qui permet d´envoyer publicités et proposition commerciales.
Ces liens servent non seulement pour les fabricants mais surtout pour des organismes tiers,ils sont fabriqués pour.
Les dossiers clients ainsi faits,sont échangés ou revendus.
Achetés et installés par les plus gros fabricants et les assembleurs (OEM),certains avouent volontiers les gains qu´ils en retirent.
Sous prétexte d´avoir un suivi de leur logiciel,pas tous,mais la grande majorité en profite.
Ils sont installés directement 9 fois 10 sans aucune information pour l´utilisateur.
Si pour les supports amovibles,il est (difficilement pour monsieur tout le monde) possible de faire le tri,dans les PCs vendus en OEM ils sont intégrés aussi bien dans les logiciels OFFERTS que dans windows.
Il faut savoir sortir les fichiers cachés bien souvent,pour les trouver.
ATTENTION : beaucoup d'anti-spywares sur le marché, beaucoup sont eux-memes "chargés" : Anti-Spywares....bons,mauvais,ce qu'il faut savoir
¤- Trojan Horses (chevaux de troie) :
On les retrouve en général dans des utilitaires ou des jeux ou des messengers.
Ils envoient des informations aux fabricants.
Parfois ils peuvent être signalés lors de l'installation. Souvent ils sont installés sans autorisation car la coche du choix d'installation est déjà mise et, comme beaucoup n'osent pas toucher quoi que ce soit dans ces fenêtres ou ne font pas attention, ils sont alors considérés comme un malware.
¤- Viroax (voir hoax)
¤- Virus :
Les classiques.
Plusieurs caractéristiques:
-métamorphisme
-furtivité
-résidence
-polymorphisme
-cryptographie
C'est un bout de programme dont le but est de se multiplier via d'autre ordinateurs, soit pour le plaisir de la réussite (en général un simple message), soit la plupart du temps, pour nuire au bon fonctionnement de l'ordinateur.
Le virus peut détruire toutes les données du systeme d'exploitation.
Tous les moyens numériques sont bons, internet : CD/DVD, disquette, clé USB, logiciel, carte flash, disque externe, etc....
Plusieurs caractéristiques : métamorphisme, furtivité, résidence, polymorphisme, cryptographie.
Le virus est une arme qui sert aussi bien dans la concurrence déloyale,la vangeance,la bêtise humaine ou les guerres.
Au Etats Unis,le virus est classé dans la même catégorie que les armes nucléaires.
Les macro-virus.
Ces virus attaquent les macros de la suite locigielle Microsoft Office (Word, Excel, etc...)
Ils utilisent le langage de programmation d´un logiciel pour en modifier le fonctionnement.
Ils s´attaquent principalement aux fichiers des utilisateurs.
Mis dans un dossier .dot par exemple, chaque fois que l'utilisateur se servira de ce fichier, le virus fera son travail.
Les virus de boot.
Un virus de boot installe un code exécutable dans le premier secteur,secteur de démarrage maitre.
Ils s'installent dans le Master Boot Record, à chaque redémarrage ils se propagent aux programmes choisis ou aléatoirement.
¤- Web-bug
C'est un mouchard caché en micro-image invisible dans une page web ou un e-mail servant à déclancher l´exécution d´un script depuis un site extérieur.
Considéré comme une astuce,il se lode dans les pop-up ou banières publicitaires avec comme seul objectif de tracer.
De la valeur d´un pixel,un point dans l´image,il se rend invisible s´il prend la couleur du fond.
Il sert de repérage par exemple pour telle pub affichée,et le logiciel extérieur repère "son" web-bug.
¤- Worm (vers) :
La cible prévilégiée étant les courrielleurs, les vers se servent des courriers électroniques pour se répandrent.
Leurs premières cibles sont les carnet d'adresses, ils s'envoient tout seuls à tout ce qui ressemble à une URL.
Chaque vers ainsi envoyé va à son tour entrer dans un carnet, etc........
C'est à une vitesse foudroyante qu'il peut se repandre à travers le monde, le temps de trouver une parade.
Le célèbre "Y Love You" a bloqué des millions de données en un temps reccord.
¤- Zero Day (le jour)
Expression caractérisant un exploit d´une faille de sécurité.
Le terme Zero-Day se dit d´une attaque ayant lieu le jour même de la divulgation de la faille qu´elle exploite.
Les administrateurs système ou réseau mais aussi éditeurs n´ont pas le temps de réagir.
¤- Zombie
Ordinateur zombie
Ordinateur piraté obéissant aux ordres du pirate et non plus de son propriétaire légitime.
Ils sont souvent utilisés,pour l´envoi de spam ou deni de services à l´insu du propriétaire.
Processus zombie
Sous les systèmes de type UNIX et similaires, zombie désigne un processus qui s´est achevé.
Il dispose toujours d´un identifiant de processus (PID) et reste visible dans la table des processus.
Impossible à éliminer (puisque mort),il faut tuer le processus père ou redémarrer,trop de zombies peut empecher la création de nouveaux processus.
Encore merci au Jargon Français
Quand on doit installer un programme, il faut toujours :
1-Toujours se deconnecter du Net.
2-Toujours détailler les fenêtres successives avant de cocher ou faire suivant.
3-Toujours refuser les utilitaires "annexes" proposés hors programme, les petits plus "cadeaux".
4-Toujours refuser l'inscription en ligne directe, il y a dedans le lien pour le faire ensuite.
5-Toujours refuser l'ouverture directe ou le lancement en fin d'installation.
6-Toujours refuser le demarrage automatique en même temps que windows.(§)
7-Toujours refuser les mises à jour de suite.
8-Toujours faire attention aux cases déjà cochées (les pires).
9-toujours refuser que le programme soit le 1er utilisé par défaut par rapport à un autre,il est temps de le faire aprés.
10-toujours refuser de redémarrer pour la prise en compte.
Une fois l'installation terminée, le redémarrage s'il est demandé, il faut TOUJOURS avant l'ouverture, passer ce programme par les anti-virus et anti-spywares à jours de leurs définitions.
En effet,un "virus" peut trés bien être caché dans l´exécutable et compréssé (si si vous verez plus loin).
Une fois vérifié,et redémarré pour certain,il est souvent possible de faire les parametrages désirés,ceux refusés pendant l´installation.
(§) Il existe deux manières pour un programme de démarrer automatiquement.
1-Celle qui consiste à l´installation de cocher pour un démarrage en même temps que windows,et dans ce cas,c´est inscrit dans la base du registre.
S´il existe un endroit particulièrement délicat dans lequel il faut agir avec une extrème prudence,c´est la base du registre.
2-Celle qui consiste a mettre un raccouci dans le menu démarrer de windows. Et là c´est accessible pour tout le monde,enlever ou remettre à sa guise.
N´onblions pas que tous ces programmes au démarrage,travaillent en tache de fond,autant de ressources de moins et de fatigues inutiles du matériel.
¤- Les fabriquants,intégrateurs ou assembleurs en OEM , dit "propriétaires" (voir Licence,activation,WGA),qui non seulement pour certains "tatouent" les PC, mais donnent en "cadeaux" des programmes annexes particulieremet gratinés.
Et si liens il y a,c´est bien dans ce cas:
-Pour commencer le logo en allumant le PC, bien gentils,mais c´est la place de la page de démarrage du BIOS qui contient de précieux renseignements.
-Compagnons pour faciliter la navigation ou le surf, les programmes sont orientés automatiquement vers d´autres programmes de chez eux ou partenaires.
-ouverture de la page d´accueil du navigateur sur leur site,avec tous les favoris déja prêts et une multitude de liens vers leurs sites ou des partenaires.
¤- Les fabricants de satellites: imprimantes, scanners, webcams, disques durs externes pré-chargés (NDLR c´est le terme) etc.......
Dans leurs CD/DVD/Diskt d'installation bootable (ben voyons)et même maintenant dans les HD,cléx,etc...., ils ne se privent pas. Ils sont bien lourds pour juste des pilotes.
Certe, plusieurs utilités sont proposées, dont les fichiers d´aide, mais on peut le consultés directement sur le support.
Souvent on se demande comment les enlever tellement c´est lourd tous ces plus et rarement utiles.
¤- Les créateurs ou développeurs de petits programmes, plus souvent des utilitaires gratuits.
Soit ils ont besoin d´argent,car c´est beaucoup de temps de travail, améliorer, répondre ou soit par l´appat du gain pur et dur.
Les malwares sont installer dans les exécutables,mais pour beaucoup, en version gratuite, sont directement dans le programme, le plus souvent dans la banniere.
Si certains le disent ouvertement et laisse le choix, pour d´autres ces programmes ne fonctionnent carrement pas sans leur spyware.
¤- Les fournisseurs d´accés à internet.
C´est tout un chapître qu´il faudrait, car il fournissent tout, logiciel de connexion, navigateur, courrielleur, etc......
Ce qui laisse une part non négligeable du gâteau "internaute", les boîtes de pub sont des partenaires privilégiés.
Ne jamais installer un Kit de Fournisseur d´Accés à Internet
Faites une connexion directe,utilisez navigateur et courrielleur indépendant,de trés bons et sécurisés sont gratuitement à disposition sur la toile.
Ne jamais se servir des anti-virus,pare-feu ou controle parental supplémentaires proposés lors de l´installation ou le choix du contrat.Par obligation,ils en ont déjà sur leurs serveurs.
Et les paramètres sont-ils bien configurés pour tout bloquer, leurs partenaires en premier ???.
De trés bons logiciels de protections sont gratuits, demander dans les forums connus, comme notre partenaire PC Astuces.
Sans compter les difficulté, en cas de changement de FAI, de récupérer les carnets d´adresse (ils se font tirer les oreilles) et la réinstallation et parametrages des nouveaux programmes.
En plus,5€ par mois pour un + 5€ pour un autre,etc......Un complet acheté en ligne coûte environ 60€....une seule fois.
¤- Les sites spécifiques: sexes, warez, P2P, etc...... qui pour vivrent et s´enrichir ne reculent devant rien pour "charger".
Tous les moyens sont bons, tous les malwares sont bons,tous les clients sont bons. Et si possible plusieurs en paquet cadeau.
Les spécialistes de la reconnexion (voir Dialer).
Ceux sont les endroits les plus dangereux (avec les suivants) sur la toile, évidemment ceux qui attirent le plus.
¤- Les sites de cracks (cerises, fruits, angelos, rustines...) sont trés recherchés et encore plus facilement trouvés.
Et c´est mieux si on trouve sérials, keygen, loader,... ou directement les crackeurs, casseurs, cruncheurs, déplombeurs, keygeneurs, etc....
La toile compte une multitude de sites,tous prêts a vous aider et donner le "graal".....quelle gentiellesse.
Si ces cracks sont "signés" par de grands crackeurs ou Team de cracks, ils sont en général sains.
Le milieu fermé des crakeurs à son code d´honneur.
Encore faut-il les connaître........
la toile compte une multitude de sites,tous prêts a vous aider et donner le précieux sésame......quelle solidarité.
Plusieurs possibilités de ramasser des malwares dans ces cas-là:
¤- -Les "cerises" proposées sont déjà chargées, en général par des anonymes ou des sites génériques.
¤- -Ces memes "cerises" mais à nouveau packées et accompagnées de malwares,en général ces nouveaux packs sont proposés par des "leecheurs" qui mettent leurs noms en plus en faisant croire que c´est eux les auteurs.
¤- -Des "cerises" faites spécialement pour y installer les malwares, on les retrouvent dans des éxécutables et loaders.
Tout sur ces sites est possible pour ramasser un malware, toutes les techniques sont bonnes, tous les malwares sont bons.
Selon les navigateurs, on n'est pas toujours protégé des pop-up, source premiere :
Anti-virus et firewall (pare-feu) doivent être à jour et, si possible, paramétrés au plus haut.
Le fait d'aller sur une page, et pour toutes c'est pareil, redirige vers des liens et surtout fait le contact.
Par curiosité regardez la barre d'état, enfin regardez défiler, j'ai saisi, au hasard, deux fois :
Ces sites proposent non pas des dizaines, mais des centaines, voire des milliers, pour certains, de "cerises".
Et ce, bien souvent avant la sortie "officielle", donc les versions Bêta, ou le jour même des sorties.
Impressionnant! comment font-ils, surtout que c'est un sacré travail! La publicité est-elle suffisante?....
Une rumeur persistante sur la toile disant que les propriétaires des sites recoivent directement des propriétaires........qui sont aussi propriétaires des liens de redirections et/ou propriétaires des sites d'arrivée........mais attention, ce sont des rumeurs
Si vous allez sur un de ces sites (sans faire exprès bien sûr) et qu'enfin vous trouvez la "cerise" tant convoitée. Beaucoup, au lieu d'afficher simplement, vous proposent, en plus, de télécharger la "cerise".
Ben oui comme ça vous l'avez pour la prochaine installation.
Seulement, c'est une excutable qui, lui, est chargé de tout ce qu'il faut (nous verrons après).
Et, quand vous chargez une "cerise" en .exe, faute de rien d'autre, faites attention à ce genre d'icône.
Surtout la première, il y a toujours un autre excécutable dedans :
Mais le fin du fin,le piège bien fignolé,c´est le coup du certificat d´authenticité.
En effet,Microsoft et les gros faiseurs de logiciels, ont mis en place ce certificat pour passer un controle de plus avant un téléchargement et installation.
Et là on est rassuré.....sauf que n´importe quelle société avec pignon sur rue a le droit,après accord,de l´utiliser.
Prenons exemple de la saisie suivante, PLEKS s.r.o. (ne pas confondre avec le logiciel d´interface Plesk8) en langage Silarg: Pleks=>complexe et sro=>à travers....
Excellent jeu de mot,pour un code qui......mais seul, ce code passe à la certification de Thawte Code Signing CA, spécialisée pour les développeurs.
Ne jamais accepter un certificat d´authenticité les yeux fermés. Microsoft sur ces propres chargements,met en garde aussi.
Quand on accepte ce genre de certificat, c'est à 100% que vous aurez: tollbar, favoris supplémentaires, etc.
La toute première chose a faire (les dix commandements),me déconnecter pour éviter les liens directs activés.
Surtout que là j´ai pris une cerise et en plus exécutable.
J´ai le logiciel professionnel, facile à trouver en démo et j´ai ma cerise, encore plus facile a trouver.
Un crack normalement, n´est que peu d´écriture, donc 2ko,3ko quelque fois un peu plus quand il y a une clé TOKEN ou BEGIN, mais 368ko dans ce cas....Méfiance.
Premiére action avant de décider de la suite, utiliser un compresseur/décompresseur, clic droit et voir.
Tient tient,on peut décompresser, il y a donc autre chose dedans, et en général on retrouve un autre exécutable.
Un peu comme le CD d´un logiciel, soit se servir de l´autorun soit ouvrir et juste lancer ce qui intérresse.
Bon envoyons la décompression...
L´avantage de WinRAR est que l´on peut choisir l´option du passage par l´anti-virus présent dans le PC.
C´est de ma faute, j´ai manger une consigne des dix commandements,le passage par l'anti.
Mais mon anti-virus n´est pas du tout content et surtout pas d´accord, ouverture refusée pour cause de virus.
Déjà cela confirme la bonne tenue et la mise à jour de mon anti,c´est rassurant.
¤- -1-Le nom du malware
¤- -2-Le risque est établi à haut
¤- -3-Le type est Virus
Si on ne sait pas maintenant que cette cerise est infectée, c´est à désespérer. Il est largement temps, normalement, de tout virer avant la catastrophe.
La nouvelle vogue du moment étant ce superbe programme de Google des vues satelitaires avec un zoom impressionnant, il y a, bien sur, deux versions.
Evidemment, ce programme à peine sortie, voilà que, déja, il faut pour la version professionnelle!
Alerté par un webmaster d'un site où quelque fois il laisse passer........ce sont par dizaine que les inscrits ont du aller jusqu'au reformatage.
ATTENTION !!!
Il est FORTEMENT DECONSEILLE de manipuler et encore plus d'ouvrir un virus sans connaissances et maîtrise de son O/S.
L'auteur de ce tutorial ne saurait être responsables d'aucun dommage pouvant résulter d'une mauvaise interpétration du tutorial ou de mauvaises manipulations des logiciels utilisés.
Intrigué, je me suis servi de suite pour voir un peu ce nouveau venu, ainsi que le logiciel, bref pour faire comme monsieur tout le monde.
La toute première chose à faire: me déconnecter pour éviter les liens directs activés :
Une fois tout téléchargé, je commence par voir si un extracteur d'exécutable suffit pour séparer l'ivraie du bon grain.
En effet, un exécutable (.exe) peut très bien en cacher un autre.Il existe des outils pour compresser avec une bibliothèque (dll).
Un crack normalement, n'est que peu d'écriture, donc 2ko, 3ko quelquefois un peu plus, mais 368ko....Méfiance.
Evidemment, comme toujours après un chargement dans ce genre de site, il faut vérifier.
Cette image prouve avec WinRAR que cet exécutable est bien compilé avec un autre.Alerte.
Mais mon anti-virus n'est pas du tout content et surtout pas d'accord, ouverture refusée pour cause de virus.
Déja cela confirme la bonne tenue et la MàJ de mon anti, c'est rassurant.
¤- 1-Le nom du malware
¤- 2-Le risque est établi à haut
¤- 3-Le type est Virus
Mais pour étudier, il faut ouvrir et donc je désactive mon anti, un seul car cette version comprend anti-virus, firewall et anti-trojan. Sinon, ce sont les trois à désactiver.
Je relance l'extraction avec WinRAR, mais ce logiciel a la particularité de pouvoir se servir de la banque de référence de votre anti-virus, donc il prévient aussi :
Maintenant si je ne le sais pas encore!........
L'extraction faite de ce 2eme exécutable, j'ouvre le dossier pour effectivement en trouver un autre, celui qui n'a rien à faire ici, si ce n'est d'installer toutes sortes de malwares.
Pour bien les "lire" j'ouvre un des meilleurs analyseur/débuggeur, OllyDbg, en commançant par le 1er qui contient le tout :
Oui mais voila, comme précisé par la boite de dialogue, cet éxécutable n'est pas en 32bits mais en 16bits.
Qu'a cela ne tienne, on va l'ouvrir avec ce bon vieux décompilateur Reshack :
Cela confirme bien qu'il faut passer à autre chose.
C'est donc avec Edhex, un éditeurteur héxadécimal que je vais l'ouvrir, là au moins 16 ou 32bits, ça s'ouvre.
Commence alors la recherche en mode 8 Bits :
Cette recheche me montre le Run.exe découvert dans le dossier extrait, mais c'est le tout qui m'interesse, je note donc l'Offset (adresse) pour y revenir directement par la suite en cas de besoin.
Continuons, mais cette fois en mode Bytes/caractères pour mieux comprendre :
Bingo, c'est bien ici, passons de suite en mode texte, c'est souvent intéressant.
On y découvre beaucoup de renseignements en héxadécimaux, si la recherche se fait en mode Bytes, une fois l'Offset noté, il suffit de l'entrer et de faire une recherche en mode texte :
Et voilà enfin ce que l'on convoitait.
Comme la recherche avec le nom du virus ne menait nulle part, étudions de près ce qui vient de s'ouvrir.
¤- 1-Je retrouve le .exe qui est lancé.
¤- 2-Et voila l'éditeur des malwares
Pour avoir une idée encore plus complète, je reviens en mode Bytes/caractères et entre l'Offset du run.exe découvert en premier, histoire de voir ce qu'il manipule :
Vite, vite, je prend note, bien comme il faut, et, aprés vérification, je ferme tout et remet mes anti-actifs.
Nouvelle connexion et entrée de l'URL.
Voyons voir ce que réserve ce site.
Alors là c'est de l'or en barre, on arrive sur les contrats de licences des sociétés éditrices.
¤- 1-Les liens des sociétés éditrices
¤- 2-Une partie des noms des malwares
A remarquer: Que du beau linge! Parmi les plus virulents sur le Net! Ceux qui sont très durs à éradiquer parce qu'ils laissent toujours des traces.
Et pas un seul, non non, toutes une floppée.
Mais continuons de découvrir la page.
Très intéressant!!!
En effet, toutes sociétés éditrices ou sites qui accueillent, doivent, de par la loi, mettre à disposition un uninstall des programmes proposés.
Si celles qui proposent des logiciels "sains" le font sans problème et en général dans ceux-ci, celles que nous découvrons ne peuvent déja pas le faire car tous n'installent pas des programmes pouvant être virer par ajout/suppression de programmes mais surtout, ne le veulant pas.
Sans compter, donc, ceux que l'on ne voit pas.
Ceux qui fréquentent les forums sécurité, savent qu'il est très difficile de trouver ces liens d'uninstall, beaucoup de pages à ouvrir, des liens à trouver à la loupe.
De même, tous doivent mettre un lien pour les rapports d'abus.
Là aussi, c'est souvent comique!
Après avoir arrosé tout cela, je me remets au travail, mais cette fois-ci sur le Run.exe.
Pas lourd, en 32Bits, je l'ouvre directement avec Reshack, mais en choisissant le décompilateur, cela permet d'accéder au strings et de voir en clair ce que cherche :
Ha ben voilà, bon ben l'éditeur hexadécimal et mêmes manipulations :
Conclusion, nous avons :
¤- Les noms des malwares
¤- Le sociétés éditrices
¤- Le lien pour les uninstall
¤- Le lien pour le rapport d'abus
Donc ce qu'il faut pour se défendre. Connaître son ennemi pour mieux le combattre!
Reste plus qu'à installer le "virus" en désactivant tout.
Une partie pour tous, particulièrement recommandée,pour l´ordre de passage des outils.
Ce n´est pas une "obligation", juste le résultat de quelques années d´expérience bien souvent malheureuses.
IMPORTANT, je fais toutes les mises à jour des listes de définitions de mes logiciels spécialisés.
C´est pour moi l´heure de lancer ce virus pour l´installer.
Je me déconnecte du Net, par habitude, puis quitte tous mes utilitaires et logiciels de protections.
J´en vois qui dodelinent de la tête et cherche le numéro de l´asile le plus proche.....(ils ont pas tort).
IM PRE SSIO NNANT
Des fenêtres qui s'ouvrent de partout très furtivement, la fenêtre CMD aussi, ce qui prouve des installations sous DOS: je comprends mieux le 16Bits et surtout la seule application que je n'ai pas désactivée, AdWatch de Ad-aware, qui protège la base du registre en indiquant en temps réel les tentatives d'inscriptions.
J'ai dû cliquer plus de trente fois pour accepter ces modifications, ben oui autant aller jusqu'au bout.
Je comprends mieux maintenant l'appel au secours.
Du "gratiné" de chez Gratiné......du complet compressé dans un éxécutable.
Tout ce qui se fait de mieux et de plus envahisseur en malwares.
Bref, selon où on se place, du beau travail.
La toute première chose à faire, aller chercher les toutes dernières mises à jours des outils de nettoyage.
Puis me déconnecter du net pour éviter les liens directs activés, surtout maintenant :
Je commence par la grosse artillerie, il ne s'agit pas de faire la fine bouche.
Allez Ad-aware, il y a du pain sur la planche!
Je crois que cela se passe de commentaire!
¤- 1-Pas mal pour 368ko d'écriture
¤- 3-Quatre objets négligeables, mon lot habituel.
¤- 2-Il est interéssant de détailler un peu.
¤- Les processus, nous les retrouvons dans le gestionnaire des taches.C'est une tâche en train de s'exécuter. C'est la suite des phases d'organisation d'une opération ou d'une transformation.
Soit de nouveaux processus sont installés, soit plus grave dans ce cas, deux processus systeme ont été modifiés.
¤- Les modules contiennent la plupart du temps des pilotes de périphériques et sont souvent liés à la version du noyau.
¤- Les clés du registre. Nom donné aux sous-dossiers les plus profonds du registre.
A l'intérieur, se trouvent des valeurs qu'un utilisateur averti peut modifier afin de personnaliser le comportement de Windows.
Tout passe par la base du registre,une simple action anodine peut la solliciter plusieurs fois.
Une simple modification en base du registre peut irrémédiablement bloquer le PC.
¤- Valeur du registre. Une valeur est contenue dans une clé du registre.
C´est en modifiant les valeurs que change le comportement du système d´exploitation ou les logiciels.
¤- Fichiers: tout le monde connaît. Mais modifier un fichier .ini par exemple peut modifier beaucoup de choses.
¤- Là c'est intéressant, car cela veut dire que sept dossiers sont créés. A retenit pour la suite.
Pourquoi? Mais tout simplement, si, par ajout/suppression de programmes, et donc, en Program Files, il n'y a pas le compte, c'est qu'ils sont ailleurs.
Oui je sais, Lapalisse, en tous cas, il faut les trouver!
Nous allons maintenant voir un peu qui sont ces malwares en les identifiant par la récapitulation de l'analyse :
Nous retrouvons ceux découverts dans l'étude plus ceux qui n'apparaissent pas mais qui n'en sont pas moins des clients sérieux.
Pour les curieux, prendre un nom et le coller dans un moteur de recherche.......et bonne lecture.
IMPORTANT : je note ces noms, cela me servira par la suite.
Mais il faut nettoyer maintenant :
263 objets seront supprimés........trois de moins,se sont les négligeables.
Voulez-vous Continuez.......ben je sais pas,je me tate,ça fait de la compagnie........mouais.
Evidemment que je veux continuer,j´ai des fenêtres qui s´ouvrent en me rouspétant parce que la connexion internet n´est pas active,etc....
Toujours dans la grosse artillerie et complémentaire, l'inspensable Spybot-Search & Destroy :
Hé oui, il en reste encore six et pas des moindres. qui en dehors de la BdR laisse d´autre traces.
La aussi faut vite tout virer sans état d´âme.
Maintenant, tous ces fichiers, dossiers et clés enlevés, il faut de suite s'occuper de la base du registre.
Pareil, des outils éprouvés et efficaces, commençons per RegSeeker :
Il fallait bien se douter que toutes les clés n'étaient pas enlevées...
¤- 1- Reste encore 157 clés.
¤- 2- En rouge les ActivX, très souvent porteurs de toutes sortes de problèmes (voir ActivX dans Classification, terminologie)
On remarquera qu'un nom revient souvent, en réalité 42 fois, FUNCky 6.
Quand c'est trop faut faire une recherche, que je ferai dès la fin du nettoyage.
J'ai donc cherché ce FUNCky 6 et trouvé ce site bien renseigné : http://france.abox.com/productos.asp?pid=267
-FUNCky 6.0 est un impressionnant ensemble de fonctions et de composants qui vient suppléer les carences de nombreux langages de développement actuels.
-FUNCky 6.0 supporte 9 langages ou plateformes de développement différentes.
Suis ce qui peut être fait avec quelques lignes seulement. Pour le reste, voir le lien :
-Examiner les domaines et les groupes de travail d'un réseau
-Consulter des serveurs d'un réseau
-Vérifier les privilèges d'administration
-Accéder à des protocoles d'Internet
-Obtenir des adresses IP
-Mener à bien une traduction phonétique
Ce qui prouve bien que ces sociétés qui fabriquent les malwares et, souvent, dans le cas des plus importantes, sont parfaitement au courant et utilisent les techniques les plus pointues.
Mais faut continuer le nettoyage de la BdR.
Là aussi, complémentaire et indispensable, la famille Power Tools, ici JV16 :
Reste 48 clés, surtout des extensions inutilisées, mais il faut faire le ménage aussi.
Voila c'est fini........ha mais non alors et la liste des noms des malwares.
Je vais donc en base du registre :
Rappellez-vous: IMPORTANT : je note ces noms,cela me servira par la suite.
Le principe est simple : Edition > rechercher....et j'entre, à tour de rôle les noms copiés :
Comme il fallait s´en douter, la recherche manuelle permet de trouver plus précisement.
Quand on trouve, un clic droit>supprimer et F3 pour continuer.
Bingo, je tombe sur du bon :
¤- 1-Trace restante
¤- 2-Toute la liste est à virer, mais j'en parle plus loin.
Quand on touve, clic droit > supprimer et F3 pour continuer.
Pour History et Domains,ils sont particuliers et c´est normal de voir une liste à rallonge.
Normalement, le systeme d'exploitation est propre, mais dans un cas comme celui-là, il est toujours bon de continuer.
Pourquoi?... parce qu'il reste toujours des traces de liens obsolètes, mais présents et prêts à reprendre du service.
Je vais vérifier où, en général il en reste: c'est à dire au démarrage de windows! ben voyons.
Démarrer > Exécuter > msconfig > OK > onglet démarrage.
Dans l'image, il ne reste rien car j'ai perdu celle faite avec les malwares, mais je n’ai pas le courage de tout remettre........donc un de maintenant ira aussi bien (merci de votre compréhension)
Il faut enlever la coche et appliquer. OK pour finir.
Vu l´infection,une dernière vérification s´impose avec un outil qui ne s´installe pas et donc regarde de "dehors": HijackThis :
Quand je disais que c'était impressionnant, une petite dernière, et un lien de recherche sur le Net.
Pour dormir tranquille, je vais finir en suivant le tuto.
Rappellez vous, sept dossiers et que quatre en ajout/suppression de programmes :
Je les ai retrouvés, en application, bien au chaud, sans exécutable, mais avec les fichiers qui notent le travail fait et qui, bien sûr, ne sont pas effacés lors d'une désinstallation.
Ouf, la baguarre a été rude, mais passionnante!!!
Le PC est propre. (jusqu'à quand....)
Remerciement a griggione pour ce travail
