The 10 faces of computer malware (Michael Kassner)

[ipl_001]

Bonjour à tous,

 

J'ai mis la souris sur un article de Michael Kassner sur le blog TechRepublic, qui fait le point sur les diverses facettes des malwares.

 

Cet article est intéressant et à jour, je vous conseille la lecture (en anglais) de ce petit panorama.

 

-> The 10 faces of computer malware (en anglais)

The complexity of today’s IT environment makes it easy for computer malware to exist, even flourish. Being informed about what’s out there is a good first step to avoid problems.

Trad.

La complexité de l'environnement informatique d'aujourd'hui rend les choses faciles pour les malwares non seulement d'exister mais de fleurir. Etre informé de ce qu'il y a dans la nature est un bon premier pas pour éviter les problèmes.

Que pensez-vous de cet article ?

 

Note: This article originally appeared as an entry in our IT Security blog. It is also available as a PowerPoint presentation and as a PDF document in our Downloads Library

Trad.

Note : Cet article est apparu à l'origine comme an entry in our IT Security blog/une entrée dans notre blog de Sécurité Informatique. Il est également disponible en PowerPoint presentation/présentation PowerPoint et en PDF document/document PDF dans notre Bibliothèque de téléchargements

J'attire votre attention sur l'auteur -Michael Kassner- qui a écrit beaucoup de billets très bien rédigés sur la sécurité informatique, que j'avais déjà pu repérer.

De même, vous trouverez sur ce blog -TechRepublic- tout un groupe de rédacteurs que je lis toujours avec intérêt. Ainsi, Debra Littlejohn Shinder est une MS MVP, Enterprise Security, professionnelle de la formation informatique : c'est vous dire si ses papiers en ligne sont également dignes d'intérêt.

 

~~ Translation into English

Hi everyone,

 

I put my mouse on an article by Michael Kassner on the TechRepublic blog, which takes stock of the various faces of malware.

 

This article is interesting and up-to-date, I advise you the reading (in English) of this quick panorama.

 

-> The 10 faces of computer malware (in English)

The complexity of today’s IT environment makes it easy for computer malware to exist, even flourish. Being informed about what’s out there is a good first step to avoid problems.

What do you think about this article?

 

Note: This article originally appeared as an entry in our IT Security blog. It is also available as a PowerPoint presentation and as a PDF document in our Downloads Library

I draw your attention on the author -Michael Kassner- who wrote many entries very well written re computer security, whom I already spotted.

As well, you'll find on this blog -TechRepublic- a whole group of writers whom I always read with intérest. So, Debra Littlejohn Shinder is an MS MVP, Enterprise Security, professional of IT training: need I say more? Her online documents are must-reads too.

[ipl_001]

Rebonjour à tous,

 

J'avais anticipé...

 

J'ai écrit à Michael P. Kassner pour lui demander la permission de traduire l'article en Français et de le publier ici, pour vous.

 

J'ai reçu sa réponse 2 heures 15 minutes plus tard : non seulement, Michael me donne l'autorisation mais me précise qu'elle vaut pour l'ensemble de ses billets ; il attire aussi mon attention sur un document qui sera mis en ligne la semaine prochaine, qui sera la suite de l'article en question.

 

Il me rappelle les conditions habituelles : indiquer l'emplacement du papier d'origine sur TechRepublic et le nom de son auteur... c'est bien ainsi que tout internaute doit se comporter sur le Web (respect de la nétiquette) : citation de courts extraits accompagnés de toutes les références (lien d'origine, auteur et nom du site Web - ce que j'ai fait dans le post précédent) / demande d'autorisation pour une traduction ou une citation complète avec toujours le respect de l'auteur et du site et indication de toutes les URL de publication.

NB : les "conditions" rapellées ci-dessus ne valent pas pour les documents allemands : selon les lois de ce pays, il est absolument interdit de citer un article mais il est nécessaire de paraphraser et de donner le lien, c'est tout.

 

Le papier de Michael P. Kassner The 10 faces of computer malware sera donc traduit en Français et publié ci-dessous, sous peu. Merci à Michael et à TechRepublic.

(quelques autres de ses papiers seront certainement ajoutés par la suite).

 

A bientôt !

 

~~ édition

 

D'autres pages à voir sur TechRepublic :

 

-> WhitePapers Security - Most Popular Content

1.Ten Ways Hackers Breach Security

2.The 10 Most Dangerous Risks to Microsoft Security

3.Better Security through Access-List Management

4.Intrusion Detection System Tool Kit

5.Electronic Commerce and Security

6.Security+: The Foundation for Solid Network and Information Security

7.Introduction to Iris Recognition for Personal Identification

8.Denial of Service and Distributed Denial of Service Protection

9.TippingPoint Intrusion Prevention Systems Data Sheet

10.Best Practices for Preventing DoS/Denial of Service Attacks

-> Training Courses -Most Popular Content

1.Wireless LAN Foundations

2.Telecommunications Fundamentals

3.Certified Ethical Hacker

4.Communication and Negotiation Skills

5.Voice over IP Foundations

6.ITIL® v3 Foundation Exam Prep Boot Camp

7.CCNA Boot Camp v2.0

8.Microsoft Project 2003

9.Introduction to Programming Microsoft .NET Applications with Microsoft Visual Studio 2005

10.Understanding Networking Fundamentals

 

~~ Translation into English

Hi again everyone,

 

I'd anticipated...

 

I wrote to Michael P. Kassner to ask him permission to translate the article into French and to publish it here, for you.

 

I received his answer 2 hours 15 minutes later: not only has Michael given me the autorisation but stated it applied to all of his papers; he also drew my attention on a document which will be online next week, which will be the continuation of the article in question.

 

He reminds me of the usual conditions: give the location of the original document on TechRepublic and the author's name... it's well the way any user has to behave on the Web (respect of the netiquette): quoting short extracts along with all of the references (original location, author and Web site name - what I did in previous post) / authorization request for a translation or complete quote still with credit to the author and to the site and all of the URLs.

NB: The "conditions" listed hereabove are not valid for German documents: according to the laws of this country, it's absolutely forbidden to quote an article but it's necessary to paraphrase and give the link, that's all.

 

Michael P. Kassner's document The 10 faces of computer malware will thus be translated into French and published hereunder, shortly. Thanks to Michael and to TechRepublic.

(then some other papers of his will certainly be added).

 

See you soon!

 

~~ edit

 

Other pages to see on TechRepublic:

 

-> WhitePapers Security - Most Popular Content

1.Ten Ways Hackers Breach Security

2.The 10 Most Dangerous Risks to Microsoft Security

3.Better Security through Access-List Management

4.Intrusion Detection System Tool Kit

5.Electronic Commerce and Security

6.Security+: The Foundation for Solid Network and Information Security

7.Introduction to Iris Recognition for Personal Identification

8.Denial of Service and Distributed Denial of Service Protection

9.TippingPoint Intrusion Prevention Systems Data Sheet

10.Best Practices for Preventing DoS/Denial of Service Attacks

-> Training Courses -Most Popular Content

1.Wireless LAN Foundations

2.Telecommunications Fundamentals

3.Certified Ethical Hacker

4.Communication and Negotiation Skills

5.Voice over IP Foundations

6.ITIL® v3 Foundation Exam Prep Boot Camp

7.CCNA Boot Camp v2.0

8.Microsoft Project 2003

9.Introduction to Programming Microsoft .NET Applications with Microsoft Visual Studio 2005

10.Understanding Networking Fundamentals

[ipl_001]

Bonsoir à tous / Hi everyone

 

Comme écrit dans les posts précédents, j'ai obtenu la permission de Michael Kassner pour la traduction en Français et la publication sur ce forum public de Zebulon.fr, de son article The 10 faces of computer malware.

 

Le document original anglais a été rédigé par Michael Kassner sur le site TechRepublic sous le titre The 10 faces of computer malware et publié à l'adresse http://blogs.techrepublic.com.com/10things/?p=881

Le document en français ci-dessous n'est qu'une traduction et Michael Kassner et/ou TechRepublic ont tous les droits sur cette traduction.

As written above in previous posts, I got permission from Michael Kassner to translate into French and publish on this public of Zebulon.fr, his article The 10 faces of computer malware.

 

The original English document was written by Michael Kassner on the site TechRepublic under the title The 10 faces of computer malware and published at the address http://blogs.techrepublic.com.com/10things/?p=881

The French document hereunder is only a translation and Michael Kassner and/or TechRepublic do have all of the rights on this translation.

 

Les 10 facettes des malwares

Traduction : ipl_001

Article original : The 10 faces of computer malware

Date : 17 Juillet 2009

Auteur : Michael Kassner sur le blog de TechRepublic

 

La complexité de l'environnement informatique d'aujourd'hui facilite l'existence des malwares, voire leur permet de prospérer. Le fait d'en être informé est une bonne première étape pour éviter les problèmes.

 

--------------------------------------------------------------------------------

 

Avec tous ces termes, définitions et terminologies différents, essayer de comprendre ce qu'il en est des malwares peut s'avérer difficile. Pour commencer, définissons quelques termes clé que nous utiliserons tout au long de l'article :

 

• Malware (malicious software) : il s'agit de programmes malveillants développés tout spécialement pour infiltrer ou causer des dommages aux systèmes informatiques à l'insu de leur propriétaire, sans leur permission ni assentiment.
  
• Malcode (malicious programming code) : Il s'agit de code malveillant introduit dans une application logicielle durant la phase de développement et auquel on fait couramment référence sous le terme de "payload" ou charge explosive.
  
• Anti-malware : tout programme qui combat les malwares, qu'il s'agisse de protection ou de détection en temps réel, d'élimination de malware existant. Les applications antivirus et anti-spywares et les scanners de malware sont des exemples d'anti-malwares.
  

Il est important de se rappeler que, comme pour leurs équivalents biologiques, le but numéro un des malwares est de se reproduire. Abîmer un système informatique, détruire des données ou voler des informations sensibles sont tous des objectifs secondaires.

 

Avec les définitions ci-dessus à l'esprit, jetons un oeil aux 10 types de malwares.

 

Note : cet article est apparu à l'origine comme an entry in our IT Security blog/une entrée dans notre blog de sécurité informatique. Il est également disponible en présentation PowerPoint et en document PDF dans notre bibliothèque de téléchargements (Downloads Library).

 

1: L'infâme virus informatique

 

Un virus informatique est un malware capable d'infecter un ordinateur mais qui doit compter sur un autre moyen pour se propager. Un vrai virus peut se propager depuis l'ordinateur infecté vers un ordinateur non infecté seulement en s'attachant à certaines formes de code exécutable qui va de l'un à l'autre. Par exemple, un virus pourrait être caché dans un fichier PDF attaché à un message e-mail. La plupart des virus sont composés des trois parties qui suivent :

• Un réplicateur : quand le programme hôte est activé, le virus l'est aussi et la première priorité du code malicieux du virus est de se propager.
  
• Un dissimulateur : le virus informatique peut employer une méthode parmi plusieurs pour se cacher de l'anti-malware.
  
• Une charge explosive : La charge explosive du code malicieux d'un virus peut avoir pour but de faire n'importe quoi, depuis désactiver des fonctions informatiques jusqu'à détruire des données.
  

Quelques exemples de virus informatiques actuellement dans la nature sont W32.Sens.A, W32.Sality.AM et W32.Dizan.F. La plupart des antivirus de qualité enlèveront un virus à partir du moment où l'application a sa signature.

 

2: Le toujours populaire ver informatique

 

Les vers informatiques sont plus sophistiqués que les virus, étant capables de se répliquer sans intervention de l'utilisateur. Si le malware utilise des réseaux (Internet) pour se propager, c'est un ver plutôt qu'un virus. Les composants principaux d'un ver sont :

• Un outil de pénétration : le code malveillant qui se sert des vulnérabilités de l'ordinateur de la victime pour trouver l'accès.
  
• Un installeur : l'outil de pénétration fait passer au ver le mécanisme initial de défense. A ce point, l'installeur prend le contrôle et transfère la partie principale du code malveillant à la victime.
  
• Un outil de découverte : une fois installé, le ver utilise plusieurs méthodes pour découvrir d'autres ordinateurs sur le réseau, y compris des adresses e-mail, des listes d'hôtes et des requêtes DNS.
  
• Un scanner : le ver utilise un scanner pour déterminer si certaines des cibles nouvellement trouvées sont vulnérables aux exploits disponibles dans son outil de pénétration.
  
• Une charge explosive : le code malveillant qui réside sur chaque ordinateur victime. Ceci pourrait être n'importe quoi depuis une application avec accès à distance jusqu'à un keylogger utilisé pour capturer des noms et des mots de passe d'utilisateurs.
  

Cette catégorie de malware est malheureusement la plus prolifique, en partant du ver de Morris en 1988 et en continuant de nos jours avec le ver Conficker. La plupart des vers informatiques peuvent être éliminés en utilisant des scanners de malwares comme MBAM ou GMER.

 

3: Le backdoor (la porte dérobée) méconnu

 

Les backdoors sont similaires aux programmes d'accès à distance que beaucoup d'entre nous utilisent tout le temps. Ils sont considérés comme des malwares quand ils sont installés sans permission, ce qui est exactement ce que l'attaquant veut faire, en utilisant les méthodes suivantes :

• Une méthode d'installation est d'exploiter des vulnérabilités sur l'ordinateur cible.
  
• Une autre approche est de tromper l'utilisateur en faisant installer le backdoor grâce au social engineering/ingénierie sociale.
  

Une fois installés, les backdoors permettent aux attaquants un contrôle à distance complet sur l'ordinateur attaqué. SubSeven, NetBus, Deep Throat, Back Orifice et Bionet sont des backdoors qui ont atteint la notoriété. Les scanners de malwares, tels que MBAM et GMER réussissent généralement à éliminer les backdoors.

 

4: Le Trojan/cheval de Troie mystérieux

 

Il est difficile de trouver une meilleure définition du malware "Trojan horse/Cheval de Troie" que celle qu'Ed Skoudis et Lenny Zelter ont donnée dans leur livre "Malware: Fighting Malicious Code" (Malware : combattre les codes malicieux) :

 

“Un cheval de Troie est un programme qui paraît avoir un but utile ou bénin, mais qui, en réalité, héberge une fonctionnalité malicieuse cachée.”

 

Un cheval de Troie masque la charge destructrice pendant l'installation et l'exécution du programme, empêchant un anti-malware de reconnaître le code malveillant. Quelques-unes des dissimulations comprennent :

• Le renommage du malware pour ressembler à des fichiers normalement présents.
  
• La corruption des anti-malwares installés pour ne pas réagir lorsque le malware est mis en place.
  
• L'utilisation de code polymorphique pour altérer la signature du malware plus rapidement que le programme défenseur met pour pouvoir retrouver les nouveaux fichiers de signature.
  

Vundo est un excellent exemple ; il crée des popups publicitaires pour des rogues (programmes anti-spyware canailles), dégrade les performances du système et interfère avec la navigation sur le Web. Typiquement, un scanner de malwares installé sur un LiveCD est nécessaire pour le détecter et l'éliminer.

 

5: L'adware/spyware : plus que du désagrément

• Un adware est un programme qui crée des popups publicitaires sans votre permission. Un adware s'installe habituellement comme composant d'un programme gratuit. En plus d'être irritant, un adware peut amoindrir significativement les performances de l'ordinateur.
  
• Un spyware est un programme qui collecte des informations sur votre ordinateur sans que vous le sachiez. Les programmes gratuits sont connus pour avoir des spywares comme charge explosive, et donc, lire l'accord utilisateur est important. Le scandale de la protection contre la copie de CD de Sony BMG est probablement le plus fameux exemple de spyware.
  

La plupart des programmes anti-spywares de qualité trouveront rapidement les adwares/spywares indésirables et les élimineront de l'ordinateur. Egalement, ce n'est pas une mauvaise idée d'effacer régulièrement les fichiers temporaires, les cookies et l'historique de navigation du programme navigateur Web comme maintenance préventive.

 

Ragoût de malwares

 

Tous les malwares vus jusque là, ont des caractéristiques distinctes, rendant la définition de chaque type facile. Malheureusement, ce n'est pas le cas avec les catégories suivantes. Les développeurs de malwares ont trouvé comment combiner les meilleurs aspects des différents types de malwares pour tenter d'améliorer leur ratio de succès.

 

Les rootkits sont un exemple de ceci, intégrant un cheval de Troie et un backdoor dans un même package. Quand ils sont utilisés dans une telle combinaison, un attaquant parvient à accéder à distance à un ordinateur sans attirer la méfiance. Les rootkits sont une des plus importantes menaces combinées, aussi regardons-les de manière plus approfondie.

 

Rootkits : complètement différents

 

Les rootkits sont dans une classe qui leur est propre, choisissant de modifier le système d'exploitation existant au lieu d'ajouter des programmes au niveau applicatif, comme la plupart des malwares. Ceci est important, car ça rend leur détection par un anti-malware beaucoup plus difficile.

 

Il y a plusieurs types de rootkits, mais trois couvrent la vaste majorité de ceux qu'on voit dans la nature : les rootkits user-mode, kernel-mode et firmware. Les types user-mode et kernel-mode peuvent nécessiter quelques explications :

• Type user-mode : le code a un accès restreint aux ressources logicielles et matérielles de l'ordinateur. La majorité du code qui s'exécute sur votre ordinateur le fait en mode utilisateur (user). A cause de l'accès restreint, les crashes en mode utilisateur sont récupérables.
  
• Type kernel-mode : le code a un accès sans restriction aucune à toute ressource logicielle et matérielle de l'ordinateur. Le mode kernel est généralement réservé aux fonctions les plus fiables du système d'exploitation. Les crashes en mode kernel ne sont pas récupérables.
  

6: Les rootkits user-mode (de type utilisateur)

 

On comprend maintenant que les rootkits de type user tournent sur un ordinateur avec les privilèges réservés aux administrateurs. Ceci signifie que :

• Les rootkits de type user-mode peuvent modifier les processus, les fichiers, les drivers/pilotes système, les ports de réseau et même les services système.
  
• Les rootkits de type user-mode restent installés en copiant les fichiers nécessaires sur le disque dur de l'ordinateur, se lançant automatiquement à chaque démarrage du système.
  

Hacker Defender est un exemple de rootkit de type user-mode. Par chance, l'application bien connue de Mark Russinovich Rootkit Revealer peut le détecter, de même que la plupart des autres rootkits user-mode.

 

7: Les rootkits kernel-mode (de type noyau)

 

Comme les rootkits tournant en mode utilisateur peuvent être trouvés et éliminés, les concepteurs de rootkits ont changé leur fusil d'épaule et développé des rootkits kernel-mode. Kernel-mode signifie que le rootkit est installé au même niveau que le système d'exploitation et les programmes de détection. Ceci permet au rootkit de manipuler le système d'exploitation à un point tel qu'on ne peut plus avoir confiance dans le système d'exploitation.

 

L'instabilité est ce qui a causé la perte du rootkit kernel-mode, conduisant typiquement à des crashes inexpliqués ou des écrans bleus. Il pourrait alors être une bonne idée d'essayer GMER. C'est un des quelques rares outils de confiance pour le nettoyage des rootkits qui ait une chance contre les rootkits kernel-mode, comme Rustock.

 

8: Les rootkits de type firmware (micro-code)

 

Les rootkits de type firmware sont l'étape suivante dans la sophistication, avec les développeurs de rootkits découvrant comment stocker le code malicieux du rootkit dans le micro-code. Le micro-code modifié pourrait être n'importe quoi depuis le code du microprocesseur jusqu'au micro-programme de la carte d'extension PCI. Ceci signifie que :

• Quand on éteint l'ordinateur, le rootkit écrit le code malveillant actuel vers le micro-code spécifié.
  
• Faîtes redémarrer l'ordinateur et le rootkit se réinstalle.
  

Même si un programme de nettoyage trouve et élimine le rootkit firmware, la prochaine fois que l'ordinateur est redémarré, le rootkit firmware est tout de suite de retour, en action.

 

9: Le code mobile malveillant

 

De façon relativement anonyme, le code mobile malveillant devient rapidement le moyen le plus efficace de faire installer un malware sur un ordinateur. Le code mobile est un programme qui est :

• obtenu à partir d'un serveur distant.
  
• transféré à travers un réseau.
  
• téléchargé et exécuté sur un système local.
  

Les exemples de code mobile comprennent JavaScript, VBScript, les contrôles ActiveX et les animations Flash. L'idée principale derrière le code mobile est le contenu actif, ce qui est facile à reconnaître. C'est le contenu de page dynamique qui fait de la navigation Web, une expérience interactive.

 

Qu'est-ce qui fait du code mobile une chose malicieuse ? L'installer sans la permission du propriétaire ou induire l'utilisateur en erreur concernant ce que fait le programme. Bien pire, c'est généralement le premier pas d'une attaque combinée, similaire à un outil de pénétration utilisé par un cheval de Troie. Après cela, l'attaquant peut installer des malwares supplémentaires.

 

La meilleure manière de combattre un code mobile malveillant est de s'assurer que le système d'exploitation et tous les programmes auxiliaires sont à jour.

 

10: La menace combinée

 

Un malware est considéré comme une menace combinée quand il cherche à maximiser les dommages et se propage efficacement en combinant plusieurs codes malveillants à intention unique. Les menaces combinées méritent une mention spéciale, car les experts en sécurité admettent avec réticence qu'ils sont les meilleurs pour ce qu'ils font (les codes). Une menace combinée peut typiquement :

• exploiter plusieurs vulnérabilités connues ou même créer des vulnérabilités.
  
• incorporer des méthodes alternatives pour se répliquer.
  
• automatiser l'exécution de code, ce qui élimine les interactions avec l'utilisateur.
  

Une menace combinée, par exemple, pourrait envoyer un message e-mail HTML contenant un cheval de Troie incorporé dans un attachement PDF contenant un type différent de cheval de Troie. Quelques-unes des plus fameuses menaces combinées sont Nimda, CodeRed et Bugbear. Eliminer un malware de menace combinée d'un ordinateur peut nécessiter l'emploi de plusieurs anti-malwares, de même que des scanners de malware installés sur un LiveCD.

 

Réflexions finales

 

Est-il possible de réduire les effets nuisibles causés par les malwares ? Voici quelques réflexions finales sur le sujet :

• Les malwares ne disparaîtront pas de sitôt. En particulier maintenant qu'il est devenu évident que de l'argent, beaucoup d'argent, peut être gagné avec leur utilisation.
  
• Tant que toutes les applications anti-malwares agiront par réaction, elles seront condamnées à échouer.
  
• Les développeurs qui créent le système d'exploitation et les programmes d'application, doivent appliquer une tolérance zéro pour les vulnérabilités logicielles.
  
• Tout utilisateur d'ordinateur doit se montrer plus responsable dans l'apprentissage de la manière de réagir face à l'environnement malware en perpétuel changement.
  
• On ne le dira jamais assez : s'il vous plaît, assurez-vous de garder le système d'exploitation et les programmes applicatifs à jour.
  

 

Michael Kassner est impliqué dans la communication depuis plus de 40 ans, en commençant comme radioamateur (K0PBX) et maintenant, comme ingénieur réseau pour Orange Business Services et consultant avec MKassner Net. Ses certifications actuelles incluent ingénieur Cisco ESTQ, CWNA et CWSP. Lisez sa biographie et son profil complets.

 

Copyright Michael Kassner et TechRepublic (traduction française ipl_001)

Encore une fois, un grand merci à Michael Kassner et à TechRepublic pour la permission !

Ce document présente un panorama clair de la situation actuelle des malwares et aide les internautes à mieux comprendre pour finalement mieux se méfier et mieux se protéger des dangers de l'Internet.

Once again, a big thank you to Michael Kassner and to TechRepublic for the permissions!

This document presents a clear panorama of the current situation of malware and helps user better understand and finally be better protected from the dangers of the Internet.

[ipl_001]

Bonjour à tous,

 

Ce post pour attirer votre attention en mettant une puce "post à lire" dans l'index du sous-forum et en envoyant une notification par e-mail aux internautes qui ont souscrit au suivi du sujet.

 

J'ai terminé la traduction de l'article.

Vous pouvez poster vos commentaires ci-dessous, ils seront transmis à l'auteur. Ces éventuels commentaires m'indiqueront si l'article a suscité de l'intérêt et si je dois m'attacher à traduire d'autres textes de Michael Kassner.

 

~~ English translation

Hey everyone,

 

This post to draw your attention setting a bullet "post to read" on the sub-forum index page and sending a notification by email to members who subscribed to the topic.

 

I finished the translation of the article.

You can post your comments below, they will be forwarded to the author. These possible comments will also show me if the article got interest and if I must set out to translate other texts by Michael Kassner.