Types de menaces informatiques

Sous le terme « menace », ce classement comprend tout logiciel pouvant endommager directement ou indirectement l’ordinateur, le réseau, l’information ou porter atteinte aux droits de l’utilisateur (programmes malicieux ou indésirables). Dans le sens plus large du terme, « menace » peut signifier un danger potentiel pour l’ordinateur ou pour le réseau (une vulnérabilité pouvant être utilisée pour des attaques de pirates).

Tous les types de logiciels décrits ci-dessous peuvent présenter un danger pour les données de l’utilisateur et pour leur confidentialité. Les logiciels qui ne dissimulent pas leur présence dans le système (par exemple, certains logiciels de diffusion de spam ou analyseurs du trafic), normalement ne sont pas classés comme menaces, mais sous certaines conditions, ils peuvent aussi causer des dommages à l’utilisateur.

Virus informatiques

Ce type de menaces informatiques est capable d’introduire son code dans le code d’exécution d’autres logiciels. Cette pénétration porte le nom d’infection. Dans la plupart des cas, le fichier infecté devient lui-même porteur de virus et le code introduit n’est plus conforme à l’original. La majeure partie des virus est conçue pour endommager ou exterminer les données.

En fonction du type d’objet infecté, Doctor Web classifie les virus selon les types suivants :

•Les virus de fichier infectent les fichiers du système d’exploitation (fichiers exécutables, bibliothèques dynamiques). Ces virus sont activés lors de l’accès au fichier infecté.

•Les macrovirus infectent les documents qui utilisent les applications de Microsoft Office (et d’autres programmes utilisant des commandes macros écrits, par exemple, en Visual Basic). Les macros, ce sont des programmes intégrés, écrits en langage de programmation totalement fonctionnel, qui sont automatiquement lancés sous des conditions déterminées (par exemple, dans Microsoft Word, les macros peuvent se lancer quand vous ouvrez, fermez ou sauvegardez un document).

•Les virus script sont écrits en langages de scénarios (langages de script). Ils infectent dans la plupart des cas d’autres fichiers script (par exemple, les fichiers du système d’exploitation). Ils peuvent infecter aussi d’autres types de fichiers qui supportent l’exécution des scripts, tout en se servant des scripts vulnérables des applications Web.

•Les virus de téléchargement infectent les secteurs de démarrage des disques et des partitions aussi bien que les principaux secteurs de démarrage des disques durs. Ils occupent peu de mémoire et restent prêts à remplir leurs fonctions jusqu’à ce qu’un déchargement, un redémarrage ou un arrêt du système ne soient effectués.

La plupart des virus possèdent des mécanismes spécifiques pour se dissimuler dans le système. Leurs méthodes de protection contre la détection s’améliorent sans cesse. Cependant, dans le même temps, de nouveaux moyens d’élimination de cette protection apparaissent. On peut également diviser les virus selon les principes de protection contre la détection :

•Les virus cryptés chiffrent leur code à chaque nouvelle infection ce qui empêche leur détection dans un fichier, un secteur de démarrage ou une mémoire. Toutes les copies de tels virus contiennent seulement un petit fragment de code commun (procédure de décryptage) qui peut être utilisé comme une signature de virus.

•Les virus polymorphes chiffrent également leur code, mais ils génèrent en plus une procédure de décryptage spéciale différente dans chaque copie de virus. Ceci signifie que de tels virus n’ont pas de signatures.

•Virus furtifs : ils agissent de telle façon qu’ils masquent leur activité et cachent leur présence dans les objets infectés. Ces virus captent les caractéristiques d’un objet avant de l’infecter et présentent ensuite ces anciennes caractéristiques au système d’exploitation ou à un programme cherchant à dépister des fichiers modifiés.

Les virus peuvent également être classifiés selon le langage de programmation en lequel ils sont écrits (dans la plupart des cas, il sont écrits en assembleur, mais il existe des virus qui sont écrits en langages de programmation de haut niveau, en langages de script, etc.) ou selon les systèmes d’exploitation qu’ils ciblent.

Vers d’ordinateurs

Ce dernier temps, les programmes malveillants de type « ver informatique » sont devenus beaucoup plus répandus que les virus et les autres programmes malveillants. Comme les virus, ils sont capables de créer leurs copies mais ils n’infectent pas d’autres objets. Un ver infiltre un ordinateur via le réseau (généralement sous forme d’une pièce jointe dans les messages e-mail ou via Internet) et distribue ses copies fonctionnelles à d’autres ordinateurs. Pour se propager, les vers peuvent profiter des actions de l’utilisateur ou choisir un poste à attaquer de manière automatique.

Les vers ne consistent pas forcément en un seul fichier (le corps du ver). La plupart d’entre eux comportent une partie infectieuse (le shellcode) qui se charge dans la mémoire vive de l’ordinateur, puis télécharge le corps du ver via le réseau sous forme d’un fichier exécutable. Tant que le système n’est pas encore infecté par le corps du ver, vous pouvez régler le problème en redémarrant l’ordinateur (et la mémoire vive est déchargée et remise à zéro). Mais aussitôt que le corps du ver entre dans le système, seul l’antivirus peut le désinfecter.

A cause de leur propagation intense, les vers peuvent mettre hors service des réseaux entiers, même s’ils n’endommagent pas directement le système.

Doctor Web divise les vers d’après leur mode de propagation :

•Les vers de réseau se propagent à l’aide de différents protocoles réseau ou protocoles d’échanges de fichiers.

•Vers de courrier se propagent via les protocoles de courrier (POP3, SMTP, etc.).

•Les vers de tchats se propagent à l’aide de logiciels de messagerie instantanée (ICQ, IM, IRC, etc.).

Chevaux de Troie

Ce type de programmes malveillants ne peut pas se répliquer. Un trojan remplace un programme souvent lancé et exécute ses fonctions (ou imite l’exécution de ces fonctions). En même temps, un Trojan effectue des actions malveillantes (endommage ou supprime des données, envoie des informations confidentielles, etc.) ou rend possible l’accès d’un cybercriminel à l’ordinateur afin de nuire à de tierces personnes.

Le masquage de Trojan et les fonctions malveillantes sont similaires à ceux d’un virus et peuvent même être un composant de virus. Cependant, la plupart des Trojans sont diffusés comme des fichiers exécutables séparés (via des serveurs d’échanges de fichiers, des supports amovibles ou des pièces jointes), qui sont lancés par l’utilisateur ou par une tâche système.

Il est difficile de classifier les trojans car ils sont souvent diffusés par des virus ou des vers mais également parce que beaucoup d’actions malveillantes pouvant être effectuées par d’autres types de menaces sont imputées aux trojans uniquement. Vous trouverez ci-dessous la liste de certains types de Trojans qui sont classés à part par les spécialistes de Doctor Web :

•Backdoors : ce sont des programmes de Troie qui offrent un accès privilégié au système, contournant le mécanisme existant d’accès et de protection. Les backdoors n’infectent pas les fichiers, mais ils s’inscrivent dans le registre, en modifiant les clés.

•Rootkits : ils sont destinés à intercepter les fonctions du système d’exploitation pour dissimuler leur présence dans le système. En outre, le rootkit peut masquer les processus des autres logiciels, des clés de registre, des fichiers et des dossiers. Le rootkit se propage comme un logiciel indépendant ou comme un composant supplémentaire d’un autre logiciel malveillant. Selon le principe de leur fonctionnement, les rootkits sont divisés en deux groupes : les rootkits qui fonctionnent en mode utilisateur (interception des fonctions des bibliothèques du mode utilisateur) (User Mode Rootkits – UMR), et les rootkits qui fonctionnent en mode noyau (interception des fonctions au niveau du noyau système, ce qui rend toute détection et toute désinfection très difficile) (Kernel Mode Rootkits – KMR).

•Enregistreurs de frappe (keyloggers) : ils sont utilisés pour collecter les données que l’utilisateur entre avec son clavier. Le but de ces actions est le vol de toute information personnelle (mots de passe, logins, numéros de cartes bancaires etc.).

•Clickers : ils redirigent les liens quand on clique dessus. D’ordinaire, l’utilisateur est redirigé vers des sites déterminés (probablement malveillants) avec le but d’augmenter le trafic publicitaire des sites web ou pour organiser des attaques par déni de service (attaques DDoS).

•Trojans proxy : ils offrent au cybercriminel l’accès anonyme à Internet via l’ordinateur de la victime.

Outre les actions listées ci-dessus, les programmes de Troie peuvent exécuter d’autres actions malveillantes, par exemple, changer la page d’accueil dans le navigateur web ou bien supprimer certains fichiers. Mais ces actions peuvent être aussi exécutées par les menaces d’autres types (par exemple, virus et vers).

Hacktools

Les hacktools sont créés pour aider les hackers. Les logiciels de ce type les plus répandus sont des scanners de ports qui permettent de détecter les vulnérabilités des pare-feux (firewalls) et des autres composants qui assurent la sécurité informatique de l’ordinateur. Ces instruments peuvent également être utilisés par les administrateurs pour vérifier la solidité de leurs réseaux. Parfois, les logiciels utilisant les méthodes de l’ingénierie sociale sont aussi considérés comme hacktools.

Adwares

Sous ce terme, on désigne le plus souvent un code intégré dans des logiciels gratuits qui impose l’affichage d’une publicité sur l’ordinateur de l’utilisateur. Mais parfois, ce code peut être diffusé par d’autres logiciels malicieux et afficher la publicité, par exemple, sur des navigateurs Internet. Très souvent, ces logiciels publicitaires fonctionnent en utilisant la base de données collectées par des logiciels espions.

Canulars

Comme les adwares, ce type de programme malveillant ne provoque pas de dommage direct au système. Habituellement, les canulars génèrent des alertes sur des erreurs qui n’ont jamais eu lieu et effraient l’utilisateur afin qu’il effectue des actions qui conduiront à la perte de données. Leur objectif est d’effrayer ou de déranger l’utilisateur.

Dialers

Ce sont de petites applications installées sur les ordinateurs, élaborées spécialement pour scanner un certain spectre de numéros de téléphone. Par la suite, les cybercriminels utiliseront les numéros trouvés pour prélever de l’argent à leur victime ou pour connecter l’utilisateur à des services téléphoniques surtaxés et coûteux.

Riskwares

Ces logiciels ne sont pas créés pour endommager le système, mais à cause de leurs particularités, ils peuvent présenter une menace pour la sécurité du système. Ces logiciels peuvent non seulement endommager les données ou les supprimer par hasard, mais ils peuvent également être utilisés par des hackers ou par d’autres logiciels pirates pour nuire au système. Les logiciels de communication ou d’administration à distance, les serveurs FTP etc. peuvent être considérés comme potentiellement dangereux.

Objets suspects

Les objets suspects, ce sont des menaces potentielles détectées à l’aide de l’analyse heuristique. Ces objets peuvent appartenir à un des types de menaces informatiques (même inconnues pour les spécialistes de la sécurité informatique) ou être absolument inoffensifs, en cas de faux positif. En tous cas, il est recommandé de placer les fichiers contenant des objets suspects en quarantaine et envoyer pour analyse aux spécialistes du laboratoire antivirus de l’entreprise Doctor Web.