Classification de menaces

Sous le terme « menace », ce classement comprend tout logiciel pouvant endommager directement ou indirectement l’ordinateur, le réseau, l’information ou porter atteinte aux droits de l’utilisateur (programmes malicieux ou indésirables). Dans le sens plus large du terme, « menace » peut signifier un danger potentiel pour l’ordinateur ou pour le réseau (une vulnérabilité pouvant être utilisée pour des attaques de pirates).

Tous les types de logiciels décrits ci-dessous peuvent présenter un danger pour les données de l’utilisateur et pour son droit à la confidentialité. Les logiciels qui ne dissimulent pas leur présence dans le système (par exemple, certains logiciels pour diffusion du spam ou analyseurs du trafic), normalement ne sont pas classés comme menaces, mais sous certaines conditions, ils peuvent causer des dommages à l’utilisateur.

Dans les produits et la documentation de Doctor Web, les menaces sont divisées en deux types, selon le niveau de danger qu’elles représentent :

•menaces graves : ce sont des menaces classiques qui sont capables de mener des actions destructives et illégales au sein du système (suppression et vol des informations défaillance du réseau etc.). Ce type de menace regroupe les logiciels appelés malveillants (virus, vers, programmes de Troie) ;

•menaces insignifiantes : ce sont des menaces considérées comme moins dangereuses que des menaces graves, mais qui sont à éviter elles aussi, car de tierces personnes peuvent s’en servir pour effectuer des actions nocives. De plus, toute présence de menaces, même insignifiantes, dans le système, témoigne de sa vulnérabilité. Les spécialistes de la protection informatique qualifient ce type de menaces de programmes « gris » ou « programmes potentiellement indésirables ». Les menaces insignifiantes sont représentées par des adwares, des dialers, des canulars, des riskwares et des hacktools.

Menaces graves

Virus informatiques

Ce type de menaces informatiques est capable d’introduire son code dans le code d’exécution d’autres logiciels. Cette pénétration porte le nom d’infection. Dans la plupart des cas, le fichier infecté devient lui-même porteur de virus et le code introduit n’est plus conforme à l’original. La majeure partie des virus est conçue pour endommager ou exterminer les données.

En fonction du type d’objet infecté, Doctor Web classifie les virus selon les types suivants :

•virus de fichier infectent les fichiers de système d’exploitation (fichiers exécutables, fichiers dll). Ces virus sont activés lors de l’accès au fichier infecté ;

•macrovirus infectent les fichiers de documents utilisés par les applications Microsoft® Office et d’autres programmes utilisant des commandes macros généralement écrits en Visual Basic. Les macros, ce sont des programmes internes, écrits en langage de programmation totalement fonctionnel, qui sont automatiquement lancés sous des conditions déterminées (par exemple, dans Microsoft® Word, quand vous ouvrez, fermez, sauvegardez ou créez un document) ;

•virus Script sont écrits en langages des scénarios (langages de script). Ils infectent dans la plupart des cas d’autres fichiers script (par exemple, les fichiers du système d’exploitation). Ils peuvent infecter aussi d’autres types de fichiers qui supportent l’exécution des scénarios script, tout en se servant des scénarios vulnérables des applications Web ;

•virus de téléchargement infectent les secteurs boot des disques et des partitions aussi bien que les principaux secteurs boot des disques durs. Ils occupent peu de mémoire et restent prêts à remplir leurs fonctions jusqu’à ce qu’un déchargement, un redémarrage ou un arrêt du système ne soient effectués.

La plupart des virus possèdent des mécanismes spécifiques pour se dissimuler dans le système. Leurs méthodes de protection contre la détection s’améliorent sans cesse. Cependant, dans le même temps, de nouveaux moyens d’élimination de cette protection apparaissent. On peut également diviser les virus selon les principes de protection contre la détection :

•les virus cryptés chiffrent leur code à chaque infection pour éviter leur détection dans un fichier, un secteur boot ou un secteur de mémoire. Toutes les copies de tels virus contiennent seulement un petit fragment de code commun (procédure de décryptage), qui peut être utilisé comme une signature de virus ;

•les virus polymorphes cryptent également leur code, mais ils génèrent en plus une procédure de décryptage spéciale différente dans chaque copie de virus. Ceci signifie que de tels virus n’ont pas de signatures.

Les virus peuvent également être classifiés selon le langage de programmation dans lequel ils sont écrits (dans la plupart des cas c’est en assembleur, des langages de programmation de haut niveau, des langages script, etc.) ou selon les systèmes d’exploitation qu’ils ciblent.

Vers d’ordinateurs

Les vers sont récemment devenus beaucoup plus répandus que les virus et les autres programmes malveillants. Comme les virus, ils sont capables de créer leurs copies. Un ver infiltre un ordinateur via le réseau (généralement sous forme d’une pièce jointe dans les messages e-mail) et distribue ses copies fonctionnelles à d’autres ordinateurs. Pour se propager, les vers peuvent profiter des actions de l’utilisateur ou choisir le poste à attaquer de manière automatique.

Les vers ne consistent pas forcément en un seul fichier (le corps du ver). La plupart d’entre eux comportent une partie infectieuse (le shellcode) qui se charge dans la mémoire vive de l’ordinateur, puis télécharge le corps du ver via le réseau sous forme d’un fichier exécutable. Tant que le système n’est pas encore infecté par le corps du ver, vous pouvez régler le problème en redémarrant l’ordinateur (et la mémoire vive est déchargée et remise à zéro). Mais aussitôt que le corps du ver entre dans le système, seul l’antivirus peut le désinfecter.

A cause de leur propagation intense, les vers peuvent mettre hors service des réseaux entiers, même s’ils n’endommagent pas directement le système.

Doctor Web divise les vers d’après leur mode de propagation :

•vers de réseau se propagent à l’aide de différents protocoles réseau ou protocoles d’échanges de fichiers ;

•vers de courrier se propagent via les protocoles de courrier (POP3, SMTP, etc.).

Chevaux de Troie

Ce type de programmes malveillants ne peuvent se reproduire. Un Trojan effectue des actions malveillantes (endommage ou supprime des données, envoie des informations confidentielles, etc.) ou rend l’accès de l’ordinateur possible à un tiers, sans autorisation, afin de nuire à l’utilisateur.

Le masquage de Trojan et les fonctions malveillantes sont similaires à ceux d’un virus et peuvent même être un composant de virus. Cependant, la plupart des Trojans sont diffusés comme des fichiers exécutables séparés (via des serveurs d’échanges de fichiers, des supports amovibles ou des pièces jointes), qui sont lancés par l’utilisateur ou par une tâche système.

Vous trouverez ci-dessous la liste de certains types de trojans qui sont classés par les spécialistes de Doctor Web :

•backdoors : ce sont des programmes de Troie qui offrent un accès privilégié au système, contournant le mécanisme existant d’accès et de protection. Les backdoors n’infectent pas les fichiers, mais ils s’inscrivent dans le registre, modifiant les clés ;

•droppers : ce sont les fichiers qui contiennent dans leur corps les programmes malveillants. Une fois le dropper lancé, il copie sur le disque de l’utilisateur les fichiers malveillants sans avertir l’utilisateur et puis, il les lance ;

•enregistreurs de frappe (keyloggers) – ils sont utilisés pour collecter les données que l’utilisateur entre avec son clavier. Le but de ces actions est le vol de toute information personnelle (mots de passe, logins, numéros de cartes bancaires etc.) ;

•clickers – ils redirigent les liens quand on clique dessus. D’ordinaire, l’utilisateur est redirigé vers des sites déterminés (probablement malveillants) avec le but d’augmenter le trafic publicitaire des sites web ou pour organiser des attaques par déni de service (attaques DoS) ;

•trojans proxy – ils offrent au malfaiteur l’accès anonyme à Internet via l’ordinateur de la victime ;

•rootkits – ils sont destinés à intercepter les fonctions du système d’exploitation pour dissimuler leur présence dans le système. En outre, le rootkit peut masquer les processus des autres logiciels, les clés de registre, des fichiers et des dossiers. Le rootkit se propage comme un logiciel indépendant ou comme un composant supplémentaire d’un autre logiciel malicieux. Selon le principe de leur fonctionnement, les rootkits sont divisés en deux groupes : les rootkits qui fonctionnent dans le mode utilisateur (interception des fonctions des bibliothèques du mode utilisateur) (User Mode Rootkits (UMR)), et les rootkits qui fonctionnent dans le mode noyau (interception des fonctions au niveau du noyau système, ce qui rend toute détection et toute désinfection très difficile) (Kernel Mode Rootkits (KMR)).

Outre les actions listées ci-dessus, les programmes de Troie peuvent exécuter d’autres actions malveillantes, par exemple, changer la page d’accueil dans le navigateur web ou bien supprimer certains fichiers. Mais ces actions peuvent être aussi exécutées par les menaces d’autres types (par exemple, virus et vers).

Menaces insignifiantes

Hacktools

Les hacktools sont créés pour aider les hackers. Les logiciels de ce type les plus répandus sont des scanners de ports qui permettent de détecter les vulnérabilités des pare-feux (firewalls) et des autres composants qui assurent la sécurité informatique de l’ordinateur. Ces instruments peuvent également être utilisés par les administrateurs pour vérifier la solidité de leurs réseaux. Parfois, les logiciels utilisant les méthodes de l’ingénierie sociale sont aussi considérés comme hacktools.

Adwares

Sous ce terme, on désigne le plus souvent un code intégré dans des logiciels gratuits qui impose l’affichage d’une publicité sur l’ordinateur de l’utilisateur. Mais parfois, ce code peut être diffusé par d’autres logiciels malicieux et afficher la publicité, par exemple, sur des navigateurs Internet. Très souvent, ces logiciels publicitaires fonctionnent en utilisant la base de données collectées par des logiciels espions.

Canulars

Comme les adwares, ce type de programme malveillant ne provoque pas de dommage direct au système. Habituellement, les canulars génèrent des alertes sur des erreurs qui n’ont jamais eu lieu et effraient l’utilisateur afin qu’il effectue des actions qui conduiront à la perte de données. Leur objectif est d’effrayer ou de déranger l’utilisateur.

Dialers

Ce sont les logiciels spécifiques utilisant l’accès à Internet avec l’autorisation de l’utilisateur pour accéder aux sites déterminés. D’habitude, il possèdent un certificat signé et notifient toutes leurs actions à l’utilisateur.

Riskwares

Ces logiciels ne sont pas créés pour endommager le système, mais à cause de leurs particularités, ils peuvent présenter une menace pour la sécurité du système. Ces logiciels peuvent non seulement endommager les données ou les supprimer par hasard, mais ils peuvent également être utilisés par des hackers ou par d’autres logiciels pirates pour nuire au système. Les logiciels utilisés à distance, d’administration à distance, les serveurs FTP etc. peuvent être considérés comme potentiellement dangereux.

Objets suspects

Ce sont des menaces potentielles détectées à l’aide de l’analyse heuristique. Ces objets peuvent appartenir à un des types de menaces informatiques (même inconnues pour les spécialistes de la sécurité informatique) ou être absolument inoffensifs, en cas de faux positif. En tous cas, il est recommandé de placer les fichiers contenant des objets suspects en quarantaine et envoyer pour analyse aux spécialistes du laboratoire antivirus de Doctor Web.