Virus et Risque juridique de l'internaute

Virus et Risque juridique de complicité de l'internaute dans leurs propagation

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clés :
Zombies et BotNets
1/4 d'Internet appartient à un BotNet
250 millions de spams en un week-end
 
 
Etes-vous complice de la prolifération virale et du spam ?

Un spammeur se vante actuellement de contrôler 450.000 PCs de particuliers rien qu'en Europe et garantit à ses clients que les spams envoyés par ses soins sont indétectables aux outils anti-spams ! Il y a donc probablement 100 fois plus de PCs en Europe et 1.000 fois plus de PCs dans le monde sur lesquels nous allons scotcher une copie papier de cette page et une étiquette : "Cet ordinateur est un zombi". Simultanément, on voit, dans les forums, de plus en plus d'appels au secours d'internautes sur le thème :
  • « Mon ordinateur envoie des e-mail tout seul ! Aidez-moi ».
  • « Au secours, virus spammeur ? »
  • « J'ai une grande quantité de données envoyées sur Internet (environ 6mo/heure). Le Firewall XP est activé. L'antivirus est activé. Internet Explorer est arrêté. Outlook est arrêté. Comment puis-je savoir qui est en train de pomper des données sur ma machine ? »
  • « Je dois être la victime d'un ver. XP est à jour, Norton aussi, recherche de virus en ligne ! Rien n'y fait. Je pense que mon ordi sert de relais pour transmettre d'autres email et j'en suis submergé (des fenêtres apparaissent continuellement en bas et à droite de l'écran jusqu'à n'y voir plus grand chose) ».
  • « Bonjour à tous . Je viens de formater aujoudhui mais j'ai hélas déjà un problème. Dès que je me connecte à l'Internet l'upload de mon modem adsl est bloqué à son maximum. Je ne sais pas d'où cela peut venir. J'ai d'abord pensé au lien avec svchost mais mon uc n'est pas bloquée à 100%. Aidez moi s'il vous plait ».

150 millions des six cent millions d'ordinateurs
connectés à l'Internet seraient des zombies
contrôlés par des maffieux !




BotNet
Le 6 octobre 2005, 3 jeunes allemands (19, 22 et 27 ans) ont été arrêtés pour avoir compromis 1,5 millions de PC et s'en être servi dans le cadre d'attaques en DDoS et extorsions de fonds contre des sociétés américaines depuis Amsterdam. La compromission des zombies avait été déployée à l'aide du parasite Toxbot. C'est le fournisseur d'accès XS4ALL qui avait alerté les autorités, observant une charge inhabituelle de ses serveurs ce qui a permi de remonter à la source des machines pilotant le BotNet.
Nota:
Lors de leurs arrestations, les autorités pensaient que le BotNet de ces "jeunes" comportait 100.000 zombies. La réalité fit découvrir qu'il en comportait 15 fois plus.


Vinton Cerf
Selon Vinton Cerf, l'un des pères fondateurs d'Internet, dans une déclaration de fin janvier 2007 à Davos, le problème des BotNets (réseaux cachés faits à partir de la prise de contrôle de votre ordinateur par un gang maffieux) serait désormais d'ordre pandémique : un quart de tous les ordinateurs connectés au réseau appartiendrait avant tout à un BotNet et serait donc sous le contrôle de pirates pour cracher du spam à longueur de journée ou lancer des attaques en déni de service contre des serveurs et demander des rançons à leurs propriétaires (les faire payer pour leur "protection") ou encore pour lancer des arnaques bancaires, par spam, en phishing, et pour implanter des adwares (logiciels publicitaires) pour lesquels ils perçoivent une commission au nombre d'adwares implantés.

Le Spam (spamming, pourriel, junk email...) représente déjà, au niveau mondial, plus de 50% de la correspondance ( Spam : trafic mondial ) émise sur Internet et son coût global en terme de gestion, de temps passé, de risques informatiques, de mise en oeuvre de moyens de protection, de charge des infrastructures (surfaces disques, cycles processeurs, bandes passantes etc. ...) aurait dépassé dix milliards de dollars en 2003, selon le cabinet Ferris Research.

Que se passe t'il ?
Sans Antivirus [2] (ou avec un antivirus mal réglé, pas à jour, ou en croyant que les Antivirus en ligne [10] suffisent) , sans firewall [3] (ou avec le firewall de Windows XP, ce qui revient à ne pas en avoir) et sans avoir appliqué tous les Hotfix, Correctifs de sécurité, Patchs de sécurité, Mises à jour de sécurité, Bulletins de sécurité [9] sur votre système, vous avez toutes les chances d'être infesté, via un virus dans un e-mail ou une page Web piégée ou un cheval de Troie [1] (un trojan).

Propagation du Spam, du Spam viral et des virus
Le spam direct est propagé en utilisant une base de données d'adresses e-mail, parfois ciblées (les destinataires sont choisis selon un profil obtenu par espionnage et profiling, constituée illégalement, vers lesquelles il est envoyé, en utilisant les serveurs de messagerie du spammeur ou des serveurs de messagerie squattés.






Le spam viral et les virus progressent par grappes, de proche en proche, finissant par utiliser des myriades de petits PCs individuels, dont le vôtre, pour une propagation par contamination de proximités successives. Le spam viral est aveugle - tout le monde y passe - la propagation est fulgurante.







Spam viral et virus utilisent le même mécanisme.
Ce mécanisme est arrivé, à votre insu, dans votre ordinateur en utilisant 3 voies possibles :
  1. Soit par un Cheval de Troie (trojan):
    Vous avez installé une application quelconque (un logiciel gratuit...) piégée. Les réseaux de P2P, les sites à contenu particulier (pornographie, hacking, crack...) et la quasi-totalité des petits sites de download inconnus (et même de très connus) sont des nids à pièges de ce type. Les programmes et utilitaires (souvent inutiles) téléchargés sont utilisés en cheval de Troie [1] (trojan) pour faire pénétrer des implants hostiles dans nos ordinateurs. Une très grande majorité (la totalité) des utilisateurs de P2P et de download ne passe jamais ces bombes potentielles aux scanners antivirus et aux scanners anti-trojans (Anti-trojans commerciaux et anti-trojans gratuits) [6] ou aux scanners anti-trojans en ligne [18] avant de les ouvrir. Le mécanisme est implanté instantanément.

  2. Soit par l'ouverture d'un e-mail piégé:
    C'est un virus qui est utilisé comme cheval de Troie [1] (trojan) pour importer le mécanisme hostile dans nos ordinateurs. Une très grande majorité des internautes ne possède ni antivirus (Antivirus commerciaux ou Antivirus gratuits) [2] ni Pare-feux (firewalls) [3] et cette même majorité ouvre tout ce qui se présente au courrier. Le mécanisme est implanté instantanément et se réplique immédiatement.

  3. Soit par la visite d'une page piégée:
    C'est un contrôle ActiveX [4] ou un Web Bug (WebBug) [5] qui a permis l'importation du mécanisme. Cette méthode est plus rare. Une très grande majorité des internautes ne possède pas d'anti-trojans Anti-trojans commerciaux et anti-trojans gratuits [6] ni d'anti-hijack (La Manip ou La mini Manip) [7] ni d'Anti-scripts [8]. Le mécanisme est implanté instantanément par un download silencieux.

Le virus en lui-même
Lorsque c'est un virus qui a été utilisé pour introduire le mécanisme, on s'en moque presque de ce virus. Il n'est absolument pas destructif, bien au contraire : il a besoin de votre machine en parfait état de fonctionnement et va même, quelquefois, jusqu'à éliminer les virus concurrents et les mécanismes de spam concurrents. Cela étonne ? Non ! Les virus comme MyDoom, Netsky et Bagle sont manifestement l'œuvre de spammeurs en ce début 2004. De spammeurs ou de créateurs de virus qui sont passés du stade de la recherche empirique et de la de reconnaissance personnelle au stade industriel en collusion avec des spammeurs. Il suffit d'installer un Antivirus [2] voire un Antivirus gratuits [11] ou d'utiliser un Antivirus en ligne [10] pour lui régler son compte. Ce n'était que le cheval de Troie [1] (trojan) nécessaire pour faire pénétrer le mécanisme à spam viral. Quant à l'activité apparente du virus (comme l'attaque en DDoS - Déni de Service Distribué - par le virus MyDoom, des sites de Microsoft et de SCO), ce n'est que de la poudre aux yeux pour détourner l'attention du réel dessein du virus, à savoir le dépôt du mécanisme à spam viral.


Le mécanisme à spam viral
Il est constitué du même mécanisme traditionnel de réplication des virus, un serveur SMTP autonome (un serveur de messagerie), appliqué aux spam, et augmenté d'un mécanisme de prise d'ordres à distance (un backdoor ou un serveur de prise de contrôle à distance).
  • Le mécanisme de réplication
    Le spam viral, comme le virus, doit se répliquer en s'envoyant vers une grappe de destinataires constituée de toutes les adresses e-mail trouvées sur la machine infestée. La seule différence d'avec le virus est que le virus se réplique lui-même tandis que le spam viral réplique un texte tiers. Sa réplication est assurée ainsi, de proche en proche, de grappes en grappes, par contaminations successives. Pour se répliquer par voie d'e-mail il n'a d'autre alternative que d'utiliser un outil de messagerie. Vous pensez bien qu'il ne va pas utiliser votre Outlook ou votre Outlook Express pour s'envoyer, ce serait beaucoup trop lent, se verrait et laisserait des traces. Il a donc besoin d'un serveur de messagerie autonome, un serveur SMTP, qu'il implante à demeure. C'est le mécanisme qu'ont toujours employé les virus d'e-mail pour se répliquer.

    Vous avez entendu parler de ces formidables attaques de janvier/février 2004 avec MyDoom (et cela continue avec MyDoom et avec d'autres, des « concurrents »). Elles ont servi à implanter des serveurs SMTP dans des centaines de milliers de machines dans le monde. Pourquoi ?

    • Parce que les spammeurs ont besoin de machines pour envoyer leurs spam.
      • Les leurs sont blacklistées.
      • Les serveurs de messageries squatables sont de moins en moins nombreux (les Open Relay - les serveurs de messagerie des grandes sociétés, mal configurés, mal protégés) et blacklistés également.

    • Parce que le spam est en augmentation délirante de 200 à 400 % depuis janvier 2004 (disons le tout net, depuis la mise en oeuvre de la loi CAN-Spam aux USA). Pourquoi ? Tout simplement parce que les internautes se protègent de mieux en mieux et que les spammeurs, qui "garantissent" des résultats à leurs clients, doivent "arroser" beaucoup plus large. Raison pour laquelle nous recevons en Europe des spams qui ne nous concernent pas du tout (rémunération du spammeur au clic ou au webbug).

    • Parce que vous pensez bien que le spammeur ne va pas utiliser votre Outlook pour envoyer ses spams. Donc, il installe un serveur SMTP (un serveur de messagerie, minimaliste en l'occurrence) qui va envoyer ses courriers.

  • Le mécanisme de prise d'ordres à distance
    Le spam viral à besoin d'un autre outil dont le virus n'a pas besoin : un backdoor ou un RAT. Ceci permet au spammeur le ré-emploi, à plusieurs reprises, de son mécanisme de propagation. Il donne, à chaque campagne de spam, aux machines infestées et sous son contrôle, le texte d'un spam à propager, ce dont le virus n'a pas besoin puisqu'il se réplique lui-même. Peut-être vôtre ordinateur est-il dans ce cas. Si chacun des 450.000 PC possède un carnet d'adresse de 250 e-mail (plus toutes celles trouvées ailleurs dans l'ordinateur) dont 70% aboutissent à des machines non protégées, ce sont près de 80.000.000 (80 millions) de spam ou virus qui sont envoyés en quelques minutes.

    • Backdoor:
      Un backdoor [12] est implanté. Il va simplement maintenir une porte ouverte, ce qui constitue une faille de sécurité, permettant au spammeur, grâce à une autre faille de sécurité, d'un composant de Windows celle-là, d'entrer dans votre ordinateur.

    • RAT - Remote Administration Tool:
      La partie "serveur" d'un outil de prise de contrôle à distance de votre ordinateur est implantée. L'autre partie, la partie "client", est installée chez celui qui vous attaque, le spammeur. Ce couple client/serveur est un RAT minimaliste Remote Administration Tool [13].

Les failles de sécurité des composants Windows
Il ne suffit pas de passer un antivirus qui élimine le problème du virus. Il faut empêcher que cela ne recommence. Il faut aller régulièrement sur Windows Update [14] et Office Update [15] afin d'obtenir et installer automatiquement tous les patchs de sécurité. D'autre part des utilitaires préventifs gratuits, comme SpywareBlaster [16] et SpywareGuard [17], doivent être utilisés.


Votre firewall
L'une des causes majeures de la prolifération des malveillances est l'absence de firewall [3] ! C'est à cause, essentiellement, de ce point, que la communauté des internautes souffre le martyr des spam et des virus. Notons que l'usage du gadget actuel de Windows XP, appelé "firewall", revient à ne pas en avoir. Si tous les ordinateurs étaient équipés d'un Firewall (avec une bonne communication auprès des usagers), jamais le serveur SMPT du mécanisme de réplication n'aurait pu établir une connexion sortante sans vous en demander l'autorisation et il n'y aurait donc pas de prolifération même après infestation. L'usage d'un firewall devrait être obligatoire. Nous avions salué, début 2004, l'initiative de Microsoft qui, enfin, se décidait à approcher le problème de la sécurité avec un futur véritable firewall dans le correctif SP2 de Windows, attendu vers juillet à septembre 2004. Las ! La livraison ne porta que sur un 1/2 parefeu (entrant seulement (inbound) mais pas sortant).


Conclusions
C'est avec cet ensemble de malveillances et un comportement irresponsable que des ordinateurs et des internautes deviennent complices des spammeurs ou des créateurs de virus. Pour assurer un niveau de protection convenable pour vous-même et pour la communauté des internautes
  • Appliquez, sur votre machine :
  • Appliquez à vous-même de nouvelles habitudes
    • N'ouvrez jamais un e-mail dont le sujet n'est pas clair ou est dans une langue étrangère. N'ouvrez jamais une pièce jointe non attendue – si l'adresse e-mail de l'émetteur vous est connue, téléphonez à la personne qui l'a émise afin de vous en assurer car 99% des spam et des virus proviennent d'adresses usurpées de vos amis et de votre cercle de connaissances.

    • Changez vos habitudes de relever le courrier. Par exemple, mes habitudes sont passées d'un relevé automatique toutes les 5 minutes à un relevé manuel le soir puis lecture le lendemain après mise à jour de l'antivirus. L'antivirus a toujours besoin d'un laps de temps durant lequel un nouveau virus n'est pas encore détecté. Attendez quelques heures avant d'ouvrir vos e-mail et forcez votre antivirus à faire une mise à jour avant d'ouvrir les e-mail qui vous paraissent légitimes (uniquement ceux-là, les autres doivent être détruits sans lecture ni ouverture sauf en mode « source » si vous savez le faire et en tirer parti).



Références


[1] Trojans – Chevaux de Troie
Trojans et cheveaux de Troie sur http://assiste.com


[2] Antivirus
Antivirus commerciaux sur http://assiste.com
Antivirus gratuits sur http://assiste.com
Antivirus en ligne sur http://assiste.com
Outils antivirus spécifiques ( HotFix Virus - Mini antivirus ) sur http://assiste.com


[3] Firewall
Pare-feux (firewalls) sur http://assiste.com


[4] Contrôles ActiveX
Contrôles ActiveX sur http://assiste.com


[5] Web Bug – WebBug
Web Bug (WebBug) sur http://assiste.com


[6] Anti-trojans
Anti-trojans commerciaux et anti-trojans gratuits sur http://assiste.com


[7] Une procédure complète expliquée pas à pas contre les hijack et le hijacking
La Manip ou La mini Manip sur http://assiste.com


[8] Anti-scripts
Anti-scripts sur http://assiste.com


[9] PatchWorks – Les correctifs aux failles de sécurité
Hotfix, Correctifs, Patchs, Mises à jour, Bulletins de sécurité sur http://assiste.com


[10] Antivirus en ligne
Antivirus en ligne sur http://assiste.com


[11] Plusieurs antivirus gratuits
Antivirus gratuits sur http://assiste.com


[12] Backdoor
BackDoor sur http://assiste.com


[13] Rats – Remote Admin Tools – Prise de contrôle à distance.
Rats - Remote Administration Tools sur http://assiste.com


[14] Windows Update
http://windowsupdate.microsoft.com/


[15] Office Update
http://office.microsoft.com/search/redir.aspx?AssetID=ES790020331033&Origin=HH010924031033&CTT=5


[16] SpywareBlaster
Spywareblaster sur http://assiste.com


[17] SpywareGuard
Spywareguard sur http://assiste.com


[18] Scanners anti-spywares et anti-trojans en ligne
Scanners anti-spywares et anti-trojans en ligne sur http://assiste.com


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

06.04.2004 Révision
11.05.2004 Révision
28.02.2005 Révision
04.03.2007 Révision
15.03.2007 Révision
 
   
Rédigé en écoutant :
Music