Virus : Worm, Worms (Ver, vers)

Ces virus que l'on appelle Worm, Worms (Ver, vers)

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
Vers (Worms) et Contre-mesures
Vie privée et Messageries instantanées
Messageries instantanées et Vers (Worms)
Cannaux IRC (chat) et vie privée
Cannaux IRC (chat) et Vers (Worms)
Papier de vers - Document NSA
Messagerie instantanée : cible des pirates
Contre-mesure aux messageries Instantanées
Une liste de vers (Worms)
Une liste d'outils de création de vers (Worms)
Un anti-spam doté d'un antivirus
 
 
Les "vers" sont connus dans le monde informatique, sous leur nom d'origine - worm - alors, pardons à l'Académie, mais nous allons parler de Worm.

Les virus de type "worm" (vers) sont des virus (des programmes) n'ayant généralement pas besoin d'un véhicule (un hôte, un vecteur) pour se dupliquer. Ils se propagent d'une manière rampante en utilisant les systèmes de transport tels les messageries, les messageries instantanées, les cannaux IRC, les réseaux (locaux ou Internet) et le peer to peer (p2p - réseaux de partage de fichiers) . En ce sens, ce ne sont qu'une forme particulière de virus liée à leur mode de déplacement d'une machine à une autre (réplication).

Les virus infestent un véhicule et c'est la réplication du véhicule qui réplique le virus. Le virus est passif en terme de propagation (par contre il est souvent très actif en terme d'infestation d'une machine une fois celle-ci pénétrée). Si l'utilisateur ne duplique pas des disquettes ou des cd-rom infestés ou s'il ne met pas des fichiers infestés en partage sur des réseaux P2P, le virus ne se propage pas. En fait, le réplicateur des virus est plutôt un duplicateur, au sein d'une seule machine qu'il infeste un peu partout et c'est l'utilisateur qui, involontairement, est le réplicateur vers d'autres machines.

Les vers (worm) ne se différencient des virus que par leur mode de propagation. Leur dispositif de réplication vise tous les systèmes de transports connus afin de se propager de leur propre initiative par cette voie au lieu de viser les objets exécutables et d'attendre que ceux-ci soient répliqués par la volonté de l'utilisateur. Pour le reste, il s'agit de virus "normaux". Les "worms" sont donc leur propre véhicule et sont essentiellement constitués de deux programmes : l'un est un répliquateur actif et l'autre est la charge active (payload - le virus en lui-même). Le répliquateur va diffuser la paire réplicateur + charge active, via le système de transport.

La charge active des vers est de même nature que celle des virus et on retrouve les trois mêmes architectures :
  • Ceux qui infestent un poste client (une station, votre ordinateur) et sont autonomes - tous les éléments constitutifs du vers, réplicateur et charge active, sont installés sur votre machine, le réseau ne lui servant qu'à se dupliquer et se diffuser.

  • Ceux qui infestent les serveurs - ils sont également autonomes et tous les éléments du vers, réplicateur et charge active, sont autocontenus. Cas des vers Sapphire/Slammer par exemple ou CodeRed.

  • Ceux qui infestent un réseau local (un réseau d'entreprise, son serveur et ses postes clients). Le vers est constitué en plusieurs petits bouts de programmes appelés segments, chacun pouvant être dupliqué plusieurs fois, disséminés sur les différents postes du réseau. Ces segments communiquent entre-eux (coopèrent), le réseau leur servant aussi à se dupliquer. Une forme particulière de ces vers et celle dont la coopération entre les segments est orchestrée par un segment maître (segment racine) qui coordonne les activités des autres segments. Elle est appelée octopus (pieuvre). Ces vers sont assez furtifs, surtout s'ils adoptent des techniques de camouflage comme le polymorphisme, et difficiles à éradiquer.


D'après la VirusList
Les vers sont classés selon la méthode qu'ils utilisent pour se propager et se répliquer, c'est-à-dire selon la méthode qu'ils utilisent pour envoyer une copie d'eux-mêmes vers d'autres machines.
  • Email Worms (propagation par le courrier électronique - spam viral)
  • Instant Messaging Worms (propagation par les messageries instantanées (Instant Messaging) - les "Messenger" comme MSN Messenger, AOL Instant Messenger, Wanadoo Messager, )
  • Internet Worms (propagation par réseaux locaux (Local NetWorks) ou par le réseau des réseaux (WWW - Internet))
  • IRC Worms (propagation par les cannaux IRC (zones de chat) comme mIRC...)
  • File-sharing Networks Worms (propagation sur les réseaux de peer to peer (p2p) en infectant les fichiers partagés ou en se faisant passer pour un fichier partagé)
Il existe d'autres classements des vers (worms) :
  • en fonction de la méthode d'installation
  • en fonction de la méthode de lancement
  • en fonction d'autres caractéristiques standard dans tous les programmes malveillants : polymorphisme, furtivité etc.
De nombreux vers parmi ceux qui ont déclenché de grandes épidémies utilisent plus d'une méthode de propagation et plus d'une technique d'infestation.


Historique des révisions de ce document :
Proposer une révision, une correction, un complément, faire un feedback

26.04.2006
 
   
Rédigé en écoutant :
Music