Vous pensez connaître les logiciels malveillants ?

Voici un rappel pour vous assurer que vous savez de quoi il s'agit - avec des conseils de base pour trouver et supprimer les logiciels malveillants lorsque vous avez été touché.

La terminologie de la sécurité est souvent utilisée à tort et à travers. Pourtant, il est important de bien connaître la classification des logiciels malveillants, car il est essentiel de savoir comment les différents types de logiciels malveillants se propagent pour les contenir et les supprimer.

Ce bestiaire concis des logiciels malveillants vous aidera à maîtriser les termes relatifs aux logiciels malveillants lorsque vous fréquentez des geeks.

1. Virus

Un virus informatique est le nom que la plupart des médias et des utilisateurs finaux donnent à tous les programmes malveillants dont on parle dans les journaux. Heureusement, la plupart des programmes malveillants ne sont pas des virus. Un virus informatique modifie d'autres fichiers hôtes légitimes (ou des pointeurs vers ceux-ci) de telle sorte que lorsque le fichier de la victime est exécuté, le virus l'est également.

Les virus informatiques purs sont rares aujourd'hui et représentent moins de 10 % de tous les logiciels malveillants. C'est une bonne chose : les virus sont le seul type de logiciels malveillants qui "infectent" d'autres fichiers. Ils sont donc particulièrement difficiles à nettoyer, car le logiciel malveillant doit être exécuté à partir du programme légitime. Cela a toujours été difficile, et aujourd'hui c'est presque impossible. Les meilleurs programmes antivirus ont du mal à le faire correctement et, dans de nombreux cas (si ce n'est la plupart), ils se contentent de mettre en quarantaine ou de supprimer le fichier infecté.

2. Les vers

Les vers existent depuis plus longtemps encore que les virus informatiques, depuis l'époque des ordinateurs centraux. Le courrier électronique les a mis à la mode à la fin des années 1990 et, pendant près de dix ans, les professionnels de la sécurité informatique ont été assaillis par des vers malveillants qui arrivaient sous forme de pièces jointes. Il suffisait qu'une personne ouvre un courriel contenant un ver pour que toute l'entreprise soit infectée en peu de temps.

Le trait distinctif du ver informatique est qu'il s'auto-reproduit. Prenez le célèbre ver Iloveyou : Lorsqu'il s'est déclenché, il a touché presque tous les utilisateurs de courrier électronique dans le monde, a surchargé les systèmes téléphoniques (avec des SMS envoyés frauduleusement), a fait tomber les réseaux de télévision et a même retardé d'une demi-journée mon journal de l'après-midi. Plusieurs autres vers, dont SQL Slammer et MS Blaster, ont fait entrer ce ver dans l'histoire de la sécurité informatique.

Ce qui rend un ver efficace si dévastateur, c'est sa capacité à se propager sans intervention de l'utilisateur final. Les virus, en revanche, doivent être lancés par un utilisateur final avant de pouvoir infecter d'autres fichiers et utilisateurs innocents. Les vers exploitent d'autres fichiers et programmes pour faire le sale boulot. Par exemple, le ver SQL Slammer a utilisé une vulnérabilité (corrigée) de Microsoft SQL pour provoquer des dépassements de tampon sur presque tous les serveurs SQL non corrigés connectés à l'Internet en 10 minutes environ, un record de vitesse qui tient toujours.

3. Trojans

Les vers informatiques ont été remplacés par des programmes malveillants de type cheval de Troie comme arme de choix pour les pirates. Les chevaux de Troie se font passer pour des programmes légitimes, mais ils contiennent des instructions malveillantes. Ils existent depuis toujours, même plus longtemps que les virus informatiques, mais se sont emparés des ordinateurs actuels plus que tout autre type de logiciel malveillant.

Un cheval de Troie doit être exécuté par sa victime pour faire son travail. Les chevaux de Troie arrivent généralement par courrier électronique ou sont poussés sur les utilisateurs lorsqu'ils visitent des sites Web infectés. Le type de cheval de Troie le plus populaire est le faux programme antivirus, qui s'affiche et prétend que vous êtes infecté, puis vous demande d'exécuter un programme pour nettoyer votre PC. Les utilisateurs mordent à l'hameçon et le cheval de Troie s'installe.

Les chevaux de Troie d'accès à distance (RAT), en particulier, sont devenus populaires parmi les cybercriminels. Les RAT permettent à l'attaquant de prendre le contrôle à distance de l'ordinateur de la victime, souvent dans l'intention de se déplacer latéralement et d'infecter un réseau entier. Ce type de cheval de Troie est conçu pour éviter la détection. Les acteurs de la menace n'ont même pas besoin d'écrire le leur. Des centaines de RAT prêts à l'emploi sont disponibles sur les marchés clandestins.

Il est difficile de se défendre contre les chevaux de Troie pour deux raisons : Ils sont faciles à écrire (les cybercriminels produisent et vendent régulièrement des kits de création de chevaux de Troie) et se propagent en trompant les utilisateurs finaux, ce qu'un correctif, un pare-feu ou toute autre défense traditionnelle ne peut empêcher. Les auteurs de logiciels malveillants produisent des chevaux de Troie par millions chaque mois. Les éditeurs de logiciels anti-malware font de leur mieux pour lutter contre les chevaux de Troie, mais les signatures sont trop nombreuses pour être suivies.

Blog

 

4. Hybrides et formes exotiques

Aujourd'hui, la plupart des logiciels malveillants sont une combinaison de programmes malveillants traditionnels, comprenant souvent des parties de chevaux de Troie et de vers et occasionnellement un virus. En général, le programme malveillant apparaît à l'utilisateur final comme un cheval de Troie, mais une fois exécuté, il attaque d'autres victimes sur le réseau comme un ver.

De nombreux programmes malveillants actuels sont considérés comme des rootkits ou des programmes furtifs. Essentiellement, les programmes malveillants tentent de modifier le système d'exploitation sous-jacent pour prendre le contrôle ultime et se cacher des programmes anti-malware. Pour se débarrasser de ces types de programmes, vous devez supprimer de la mémoire le composant qui les contrôle, en commençant par l'analyse antimalware.

Les bots sont essentiellement des combinaisons cheval de Troie/ver qui tentent d'intégrer des clients individuels exploités dans un réseau malveillant plus vaste. Les botmasters disposent d'un ou de plusieurs serveurs de "commande et de contrôle" auxquels les clients des bots se connectent pour recevoir leurs instructions actualisées. La taille des botnets varie de quelques milliers d'ordinateurs compromis à d'énormes réseaux comprenant des centaines de milliers de systèmes sous le contrôle d'un seul maître du botnet. Ces botnets sont souvent loués à d'autres criminels qui les utilisent ensuite à des fins malveillantes.

5. Ransomware

Les programmes malveillants qui chiffrent vos données et les retiennent en otage en attendant un paiement en crypto-monnaie représentent un pourcentage énorme des programmes malveillants depuis quelques années, et ce pourcentage continue de croître. Les ransomwares ont souvent paralysé des entreprises, des hôpitaux, des services de police et même des villes entières.

La plupart des ransomwares sont des chevaux de Troie, ce qui signifie qu'ils doivent être diffusés par une sorte d'ingénierie sociale. Une fois exécutés, la plupart recherchent et chiffrent les fichiers des utilisateurs en quelques minutes, bien que certains adoptent désormais une approche "attentiste". En observant l'utilisateur pendant quelques heures avant de déclencher la routine de cryptage, l'administrateur du logiciel malveillant peut déterminer exactement le montant de la rançon que la victime peut payer et s'assurer également de supprimer ou de crypter d'autres sauvegardes supposées sûres.

Les rançongiciels peuvent être évités comme tous les autres types de programmes malveillants, mais une fois qu'ils sont exécutés, il peut être difficile de réparer les dégâts sans une bonne sauvegarde validée. Selon certaines études, environ un quart des victimes paient la rançon, et parmi celles-ci, environ 30 % n'obtiennent toujours pas le déverrouillage de leurs fichiers. Dans tous les cas, le déverrouillage des fichiers cryptés, s'il est possible, nécessite des outils particuliers, des clés de décryptage et plus qu'un peu de chance. Le meilleur conseil est de s'assurer que vous disposez d'une bonne sauvegarde hors ligne de tous les fichiers essentiels.

6. Les logiciels malveillants sans fichier

Les logiciels malveillants sans fichier ne constituent pas vraiment une catégorie différente de logiciels malveillants, mais plutôt une description de leur mode d'exploitation et de persévérance. Les logiciels malveillants traditionnels voyagent et infectent de nouveaux systèmes en utilisant le système de fichiers. Les logiciels malveillants sans fichier, qui représentent aujourd'hui plus de 50 % de l'ensemble des logiciels malveillants et ne cessent de croître, sont des logiciels malveillants qui n'utilisent pas directement les fichiers ou le système de fichiers. Au lieu de cela, ils exploitent et se propagent dans la mémoire uniquement ou en utilisant d'autres objets du système d'exploitation "sans fichier" tels que les clés de registre, les API ou les tâches programmées.

De nombreuses attaques sans fichier commencent par l'exploitation d'un programme légitime existant, en devenant un "sous-processus" nouvellement lancé, ou en utilisant des outils légitimes existants intégrés au système d'exploitation (comme PowerShell de Microsoft). Le résultat final est que les attaques sans fichier sont plus difficiles à détecter et à arrêter. Si vous n'êtes pas déjà très familier avec les techniques et programmes d'attaque sans fichier les plus courants, vous devriez l'être si vous souhaitez faire carrière dans la sécurité informatique.

7. Adware

Si vous avez de la chance, le seul programme malveillant avec lequel vous êtes entré en contact est un adware, qui tente d'exposer l'utilisateur final compromis à des publicités indésirables et potentiellement malveillantes. Un logiciel publicitaire courant peut rediriger les recherches du navigateur d'un utilisateur vers des pages Web ressemblantes qui contiennent des promotions sur d'autres produits.

8. Malvertising

À ne pas confondre avec les adwares, le malvertising consiste à utiliser des publicités ou des réseaux publicitaires légitimes pour diffuser secrètement des malwares sur les ordinateurs d'utilisateurs peu méfiants. Par exemple, un cybercriminel peut payer pour placer une publicité sur un site Web légitime. Lorsqu'un utilisateur clique sur la publicité, le code qu'elle contient le redirige vers un site web malveillant ou installe un logiciel malveillant sur son ordinateur. Dans certains cas, le logiciel malveillant intégré dans une publicité peut s'exécuter automatiquement sans aucune action de l'utilisateur, une technique appelée "drive-by download".

Les cybercriminels sont également connus pour compromettre des réseaux publicitaires légitimes qui diffusent des publicités sur de nombreux sites Web. C'est souvent ainsi que des sites Web populaires comme le New York Times, Spotify et la Bourse de Londres ont été des vecteurs de publicités malveillantes, mettant leurs utilisateurs en danger.

L'objectif des cybercriminels qui utilisent le malvertising est bien sûr de gagner de l'argent. Le malvertising peut diffuser n'importe quel type de malware lucratif, notamment des ransomwares, des scripts de cryptomining ou des chevaux de Troie bancaires.

9. Logiciel espion

Les logiciels espions sont le plus souvent utilisés par des personnes qui souhaitent contrôler les activités informatiques de leurs proches. Bien entendu, dans le cadre d'attaques ciblées, les criminels peuvent utiliser les logiciels espions pour enregistrer les frappes au clavier des victimes et accéder aux mots de passe ou à la propriété intellectuelle.

Les logiciels publicitaires et les logiciels espions sont généralement les plus faciles à supprimer, souvent parce que leurs intentions ne sont pas aussi malveillantes que celles d'autres types de logiciels malveillants. Il suffit de trouver l'exécutable malveillant et d'empêcher son exécution, et le tour est joué.

Le mécanisme utilisé pour exploiter l'ordinateur ou l'utilisateur est bien plus préoccupant que le logiciel publicitaire ou espion proprement dit, qu'il s'agisse d'ingénierie sociale, de logiciels non corrigés ou d'une douzaine d'autres causes d'exploitation. En effet, bien que les intentions d'un logiciel espion ou d'un logiciel publicitaire ne soient pas aussi malveillantes que celles d'un cheval de Troie d'accès à distance par une porte dérobée, ils utilisent tous deux les mêmes méthodes pour s'infiltrer. La présence d'un logiciel publicitaire ou d'un logiciel espion doit servir d'avertissement pour indiquer que l'appareil ou l'utilisateur présente une certaine faiblesse qui doit être corrigée, avant que le mal ne s'installe.

Trouver et supprimer les logiciels malveillants

Malheureusement, la recherche et la suppression des composants individuels d'un programme malveillant peut s'avérer être une course folle. Il est facile de se tromper et de manquer un composant. De plus, vous ne savez pas si le programme malveillant a modifié le système de telle manière qu'il sera impossible de le rendre à nouveau totalement fiable.

À moins que vous ne soyez bien formé à la suppression des logiciels malveillants, sauvegardez les données (si nécessaire), formatez le disque et réinstallez les programmes et les données lorsque vous trouvez un logiciel malveillant sur un ordinateur. Appliquez un bon correctif et assurez-vous que les utilisateurs finaux savent ce qu'ils ont fait de mal. Ainsi, vous disposerez d'une plate-forme informatique fiable et pourrez poursuivre la lutte sans risques ni questions.