Email Worms, Vers e-mail

Définition des email Worms (Vers d'e-mail)

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clés :
email worms, e-mail worms, vers d'e-mail,
vers d'email, vers de courrier électronique
 
 
Les vers d'e-mail (e-mail Worms) sont des virus qui infestent un véhicule qu'ils fabriquent et c'est la propagation du véhicule (l'envoi d'un e-mail qu'ils rédigent eux-même - ingénierie sociale) qui propage le virus. Celui-ci devient un ver (worm). Accessoirement, on notera que le véhicule (l'e-mail) agit comme un cheval de Troie au sens le plus formel du terme. Le ver est, contrairement au virus, actif en terme de propagation et peut s'envoyer à tout le carnet d'adresses e-mail trouvé sur la machine infectée (et il rebondira ainsi de machines en machine pour peu qu'il soit ouvert et exécuté).

Collecte d'adresses e-mail :
Le ver collecte les adresses e-mail où il s'envoie dans le carnet d'adresse de la machine infectée mais aussi en cherchant toutes les adresses e-mail possibles dans des lieux privilégiés comme le "cache" des pages html visitées (les Webmasters devraient crypter les adresses e-mail figurant dans le code html des pages Web), les messages reçus etc. ...


Méthode
La méthode est d'une simplicité enfantine : le ver s'envoi, sous forme de pièce jointe, à un message e-mail généré de manière plus ou moins aléatoire (sujet aléatoire, corps aléatoire... pour échapper aux anti-spam), à toutes les adresses e-mail qu'il peut trouver dans la machine infestée (le cercle de connaissances), celles des carnets d'adresses, bien sûr, mais aussi celles contenues dans les pages Web visitées et se trouvant dans la "mémoire cache" du navigateur, celles trouvées dans les historiques des messages reçus et envoyés etc. ... Cette méthode est simple et, en plus, elle est fulgurante : la propagation exponentielle se fait en quelques minutes à travers tout le Web. La charge active (payload), elle, se déclenchera sur un seuil de déclenchement - par exemple à une date donnée ou à une périodicité donnée. Souvent, il s'agit d'un déclenchement simultané de toutes les charges actives sur toutes les machines infestées, après une période de diffusion masquée plus ou moins longue, de manière à s'assurer d'avoir infesté le plus de machines possible. Le parasite lance alors une attaque de type DDoS à partir de centaines de milliers de machines zombiifiées ou transforme les machines pénétrées en serveur SMTP lançant des spam.





Les vers de courrier électronique se propagent via des messages infectés. Le ver peut se présenter sous la forme d'une pièce jointe ou le message peut contenir un lien vers un site infecté. Dans les deux cas, le message est le vecteur de l'infection (l'email est le cheval de Troie (trojan) et le vers est sa charge active (payload)).

Dans le premier cas, le ver sera activé dès que l'utilisateur aura cliqué sur la pièce jointe. Dans le deuxième cas, le ver entrera en action lorsque l'utilisateur aura cliqué sur le lien vers le site piégé.

Les vers de courrier électronique se propagent normalement selon l'une des méthodes suivantes :
  • Connexions directes aux serveurs SMTP à l'aide d'une bibliothèque SMTP API encodée dans le ver.
  • Services MS Outlook
  • Fonctions MAPI Windows

Les vers de courrier électronique utilise les adresses stockées sur la machine de la victime pour se propager. Les vers utilisent une ou plusieurs des techniques suivantes :
  • Balayage du carnet d'adresse local de MS Outlook
  • Balayage de la base de données d'adresse WAB
  • Balayage des fichiers dont les extensions sont adéquates pour des chaînes de texte ressemblant à des adresses de courrier électronique.
  • Envoi des copies à tous les messages dans la boîte aux lettres de l'utilisateur (le ver peut même répondre aux messages qui n'ont pas été ouverts)

Bien que ces techniques soient les plus fréquentes, certains vers vont jusqu'à élaborer des adresses potentielles sur la base de noms et de noms de domaine communs.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

26.04.2006

 
   
Rédigé en écoutant :
Music