Les vers (worms en anglais) sont des virus particuliers qui n'ont pas besoin d'hôte ou de véhicule pour se propager et se dupliquer. Ce ne sont donc que des virus mais ils représentent quand même 90% des virus actuels !
Ils utilisent les messageries, les messageries instantanées, les canaux IRC, les réseaux et le P2P pour se déplacer. En ce sens, ce ne sont qu'une forme particulière de virus liée à leur mode de déplacement d'une machine à une autre (réplication).
Ils exploitent les différentes ressources afin d'assurer leur reproduction. La définition d'un ver s'arrête à la manière dont il se propage de machine en machine, mais le véritable but de tels programmes peut aller au delà du simple fait de se reproduire : espionner, offrir un point d'accès caché (porte dérobée), détruire des données, faire des dégâts, envoyer de multiples requêtes vers un site internet dans le but de le saturer, etc... Les effets secondaires peuvent être aussi un ralentissement de la machine infectée, ralentissement du réseau, plantage de services ou du système, etc...
Des vers écrits sous forme de script peuvent être intégrés dans un courriel ou sur une page Web. Ils sont activés par l'utilisateur qui croit accéder à des informations lui étant destinées.
Le virus est passif en termes de propagation : il infeste un hôte ou un véhicule et, si ces derniers se répliquent, il se réplique avec eux. C'est donc l'utilisateur qui, à son insu, permet au virus de se dupliquer. Si l'utilisateur ne propage pas les supports infectés, le virus ne se propage pas non plus.
A contrarion, les vers et leur dispositif de réplication (réplicateur) visent tous les systèmes de transport connus pour se propager de leur propre initiative par cette voie au lieu de squatter un objet exécutable et d'attendre qu'il soit dupliqué par l'utilisateur. Donc, pour résumer, les vers sont constitués d'un réplicateur qui va se propager et propager ainsi sa charge virale active. Ce sont donc des virus ayant la capacité de se propager seuls.
Logiquement, on classe les vers selon la méthode qu'ils utilisent pour envoyer une copie d'eux-mêmes vers d'autres ordinateurs. On retrouve ainsi :
La méthode est très simple : le ver s'envoit, sous forme de pièce jointe, à un message e-mail généré de manière aléatoire, à toutes les adresses email qu'il peut trouver dans la machine infestée : celles des carnets d'adresses, bien sûr, mais aussi celles contenues dans les pages Web visitées et se trouvant dans la mémoire cache du navigateur, celles trouvées dans les historiques des messages reçus et envoyés, ...
Cette méthode est donc simple mais elle est surtout fulgurante : la propagation exponentielle se fait en quelques minutes à travers tout le Web. La charge active, elle, se déclenchera en temps voulu (par exemple à une date donnée ou après une période donnée). Souvent, il s'agit d'un déclenchement simultané de toutes les charges actives sur toutes les machines infestées, après une période de diffusion masquée plus ou moins longue, de manière à s'assurer d'avoir infesté le plus de machines possible. Le parasite lance alors une attaque de type DDoS à partir de centaines de milliers de machines zombifiées ou transforme les machines pénétrées en serveur SMTP lançant du spam.
Ces vers n'ont qu'une seule méthode de propagation : via les applications de messagerie instantanée en envoyant des liens vers des sites infectés à tous les individus repris dans la liste des contacts. La seule différence entre ces vers et les vers de courrier électronique ou les vers IRC réside dans le type de média utilisé pour envoyer les liens.
Les auteurs de virus utilisent diverses techniques pour diffuser les vers à travers Internet :
Dans le premier cas, le ver identifie les machines distantes et se copie dans les répertoires ouverts pour les fonctions de lecture et d'écriture. Ces vers de réseau balayent toutes les ressources disponibles à l'aide des services locaux du système d'exploitation et/ou balayent Internet à la recherche de machines vulnérables. Ils tenteront de se connecter aux machines ainsi découvertes et d'en prendre le contrôle total.
Dans le second cas, les vers balayent Internet à la recherche de machines sur lesquelles les correctifs de sécurité n'ont pas encore été installés, c'est à dire les machines tournant sous un système d'exploitation dont les vulnérabilités n'ont pas encore été résolues. Le ver envoie des paquets de données ou des requêtes qui installent soit tout le corps du ver, soit une section du code source qui contient une fonction de téléchargement. En cas d'installation réussie de ce code, la partie principale du corps du ver est ensuite téléchargée. Dans les deux cas, dès que le ver est installé, il exécute son code et le cycle se répète.
Les vers qui utilisent des serveurs Web et FTP appartiennent à des catégories différentes. L'infection se déroule en deux étapes. Ces vers pénètrent tout d'abord les fichiers de service sur le serveur de fichiers, comme les pages Web statiques. Le ver attend ensuite que le client accède aux fichiers infectés puis ils attaquent les machines individuelles. Ces machines servent ensuite à lancer d'autres attaques.
Certains auteurs de virus utilisent des vers ou des chevaux de Troie pour diffuser de nouveaux vers. Ils identifient tout d'abord les chevaux de Troie ou les vers qui ont réussi à installer des portes dérobées sur les machines victimes. Dans la majorité des cas, cette fonction permet au maître d'envoyer des commandes à la machine attaquée : ces zombies avec les portes dérobées peuvent servir à télécharger et exécuter des fichiers, dans ce cas il s'agit de copies du nouveau ver.
Nombreux sont les vers qui utilisent deux ou plusieurs méthodes de propagation combinées afin d'augmenter l'efficacité de la pénétration dans les machines prises pour cibles.
Ces vers s'attaquent aux canaux de chat même si, à ce jour, seuls les vers attaquant les canaux IRC ont été détectés. Les vers IRC utilisent les moyens de propagation classiques et la bêtise humaine : envoi de liens vers des sites infectés ou envoi de fichiers infectés aux contacts recueillis sur l'ordinateur infecté. L'envoi des fichiers infectés est moins efficace car le destinataire doit confirmer la réception, enregistrer le fichier et l'ouvrir avant que le ver puisse pénétrer dans l'ordinateur de la victime ...
Les vers P2P (Peer to Peer) se copient dans un répertoire partagé, en général sur une machine locale. Dès que le ver a réussi à placer une de ses copies, sous un nom anodin, dans un répertoire partagé, le réseau P2P prend la relève : le réseau informe les autres utilisateurs de l'existence d'une nouvelle ressource et fournit à son insu l'infrastructure nécessaire au téléchargement du fichier infecté. L'utilisateur n'a plus qu'à lancer l'ouverture du fichier pour être infecté.
Les vers P2P plus complexes imitent le protocole de réseaux de partage de fichiers particuliers : ils répondent positivement à toutes les requêtes et offrent les fichiers infectés qui contiennent le corps du ver.
La plupart des vers de ce type visent à prendre le contrôle total de la machine infectée, à l'insu de son propriétaire, et de la transformer en zombie.
mykerinos.net 2007 | dernière mise à jour le 03.02.2007