MalWares : Identification & Eradication

Par Foolfox le 17-06-2005

---

Définitions, identifier la menace et les solutions adaptée au type de menace

Sommaire :
I. Définitions
II. Identifier ces differents composants
II. 1. Les virus
II. 2. Les trojans
II. 3. Les spywares
III. Les solutions adaptées aux differents types de malwares
III. 1. Virus & Vers
III. 2. Les trojans
III. 3. Les Spams
III. 4. Les spywares
IV. EICAR



I. Définitions


Virus :

Un programme informatique capable de s'attacher à des fichiers et de
se répliquer à répétition, généralement sans la permission de l'utilisateur.
Certains virus s'attachent à des fichiers de manière à être exécutes lors du
lancement du fichier infecté. D'autres occupent la mémoire vive et infectent
des fichiers lorsque le système ouvre, modifie ou crée des fichiers.

Les virus peuvent être transmis par messagerie (sous forme d'attachement ou
inclus dans le corps du message), à travers des applications d'apparence
inoffensives (screen-savers, petits jeux, cartes de vœux, etc..).

Les virus actuels se propagent généralement à travers la messagerie. La
majorité des virus modifient l'en-tête du message de manière à cacher
l'origine du virus, et tenter d'induire le destinataire en erreur. Certains
virus disposent de capacités propres au vers (infection à travers
l'infrastructure réseau)


Vers :

Un vers est un programme parasite qui se réplique seul, mais contrairement aux
virus il n'infecte pas d'autres fichiers. Un vers crée plusieurs copies de
lui-même qu'il peut envoyer à d'autres ordinateurs a travers le réseau. Les
réseaux de chat et peer-to-peer sont les premiers vecteurs des vers.

Les vers exploitent généralement une faille d'un système pour assurer une
réplication massive et rapide.


Troyen :

Un Troyen est un programme malicieux qui se cache derrière une application
bénigne. Un troyen fait à dessein quelque chose que l'utilisateur n'attends
pas. Ce n'est pas un virus, car il n'a pas ses capacités de réplication, mais
un troyen peut être aussi offensif et destructeur qu'un virus. Les troyens
généralement contiennent des backdoors qui permettent la prise à distance de
la machine.


Spam :

Courrier non sollicité. Les spams sont principalement des courriers
publicitaires, peuvent être des escroqueries. Les spams (ou pourriels en
francais) inondent les boîtes de messagerie électronique, et provoquent une
surcharge des réseaux.


Spyware :

Logiciel qui envoie des informations sur l'utilisateur sur Internet. Les
spywares sont souvent inclus dans les freewares, et travaillent en tâche de
fond sans le consentement de l'utilisateur. Ces logiciels renvoient
potentiellement des informations sensibles (mot de passes, n° de cartes de
crédits, etc..), mais sont généralement usités pour renvoyer les habitudes
individuelles de l'utilisateur quant à ses surfs Internet, souvent utilisés
pour créer un profil marketing.

Le problème que peuvent poser ces logiciels, en plus de la surcharge du
système, c'est des conflits qui peuvent perturber l'exécution d'applications
légales, voir le crash du système.



II. Identifier ces differents composants


Il n'est pas toujours facile de déterminer si un malware as pris possession
d'une machine. Certains comportements toutefois sont clairement indicateurs
d'un problème.


II. 1. Les virus

Les virus sont parmis les plus délicats à détecter, ces derniers ont en effet
une longue culture du camouflage. Les virus actuels savent n'exploiter qu'une
faible partie des processus systèmes de manière à ne pas pénaliser les autres
processus (à l'exception des mass-mailers, pour lesquels le seul interêt est
l'envoi d'un maximum de messages en un minimum de temps). Une machine vérolée
n'est pas forcément moins rapide qu'une machine propre. Les symptômes qui
peuvent indiquer une infection sont les suivants :

- L'anti-virus ne se met plus à jour, ou le service est arreté.
- La machine subit des ralentissements irreguliers, spécialement lors
de la manipulation de fichiers.
- La machine met plus de temps à se charger au démarrage qu'usuellement
- Accès excessifs sur le disque dur.
- Le système se plaint periodiquement de manquer de ressources.


II. 2. Les trojans

Les trojans ne sont pas facilement détectable tel quel. Au niveau comportemental,
certains élements peuvent indiquer la présence d'un trojan :

- Certains évenements systèmes ne fonctionnent pas correctement (ex : les
accents ne sont pas affichés dans Word alors que les caractères standards
le sont => bonne probabilité d'un keylogger).

- Trafic réseau lourd dès le démarrage du système, avec ralentissement des
processus de connexion légaux. Ce point peut être assez delicat à déterminer
de manière visuelle.

Mais on peut rapidement s'assurer de la présence d'un troyen sur une machine,
en effet ces derniers présentent généralement des backdoors, et ces dernieres sont
limitées usuellement à un port ouvert en ecoute. La commande netstat -an permet de
lister les ports ouverts d'une machine ainsi que l'état de la connexion (LISTENING,
ESTABLISHED,...). Si un port non standard est ouvert en écoute, à priori un élement
non desiré est en place.


Quelques ports TCP que l'on trouve couramment sous Windows :

Pour une liste détaillée des numéros de ports assignés, la liste est disponible sur
le site suivant :

http://www.iana.org/assignments/port-numbers


II. 3. Les spywares

Les spywares eux regroupent plusieurs categories. Les plus flagrants sont ceux qui
essayent de modifier les paramêtre Internet Explorer. Les symptomes qui signalent
la présence d'un spyware :

- Remplacement de la page de démarrage par defaut d'IE
- Ouverture de fenêtre sur certains moteurs de recherche
- Fermeture automatique de fenetre IE sur certains sites (relatifs aux
anti-virus ou aux spywares)
- Modification de pages legales (ex, soulignement de certains termes sur
la page web)
- Popups systematiques quels que soit les sites visites.



III. Les solutions adaptees aux differents types de malwares


III. 1. Virus & Vers

- Concernant les virus, il est indispensable d'avoir un anti-virus à jour sur
son poste de travail, et fonctionnel (on ne désactive pas l'anti-virus)
- Une certaine prudence s'impose quand à l'exécution de composants non identifiés.
- Une machine infectée par un virus doit être traitée au cas par cas, dans le cas
d'une infection précise. Lorsqu'une machine à été infectée, on ne peut plus
considérer que l'anti-virus reste intègre, il est donc indispensable de désinstaller
l'anti-virus et de le ré-installer après la désinfection de la machine. Vérifier
ensuite le bon fonctionnement de l'anti-virus (injection du virus test EICAR ? voir
le point 4)


III. 2. Les trojans

La majorité des trojans sont détectés par les anti-virus. Toutefois, il suffit de
modifier la signature d'un trojan pour le rendre indétectable, et d'autre part certains
outils d'administration à distance (qui techniquement parlant sont des trojans visibles)
ne sont pas considerés comme des trojans et donc pas détectés par les anti-virus. Ces
produits peuvent facilement être modifiés pour ne pas être visibles.

Un trojan est basiquement un exécutable. Il ne dispose pas de mecanismes d'infection
tels que les virus qui permettent le lancement automatique du programme, un trojan doit
donc être lancé par le système. Pour s'exécuter au lancement de Windows, un programme
dispose de plusieurs moyens :

- Le premier moyen, négligé actuellement mais fonctionnel, le fichier autoexec.bat.
Sur des machines récentes, ce fichier doit être vide.
- Ensuite il faut vérifier la base de registre. La base de registre contient plusieurs
clés qui permettent le démarrage automatique d'applications au lancement de Windows.
Pour ouvrir l'éditeur de registre, lancer regedit.exe
Les clés à vérifier sont:



Dans ces clés se trouvent plusieurs entrées avec les chemins des exécutables correspondant.
Tout d'abord, sauvegarder le contenu de la clé en selectionnant la clé principale dans la
fenêtre de gauche, puis le menu Fichier->Exporter. Ensuite supprimer les élements qui ne
sont pas nécessaires. Dans le doute, tout supprimer (la sauvegarde génère un fichier .reg,
un double-clic sur le fichier .reg va remettre les infos en place), le système doit
fonctionner sans aucune entrée dans ces clés. Apres exécuter les applications une à une
pour déterminer celle qui ont une utilité de celles qui n'ont rien à y faire.
ATTENTION : la majorité des trojans se camouflent sous une identité réaliste, typiquement
un trojan porteras le nom d'un processus système légèrement modifié (taskmonitor au lieu
de taskmon, scvhost au lieu de svchost, etc...)


Apres le nettoyage, redémarrer la machine pour supprimer toute trace du processus en
mémoire. Si la manip précedente n'est pas efficace, il faut étudier le produit un peu plus
en détail.



III. 3. Les Spams

Les spams sont probablement parmis les plus faciles à identifier, il s'agit
prioritairement de courriers publicitaires non sollicités. Ces courriers contiennent
parfois une adresse d??Opt-Out (des inscription au service) sur lequel l'utilisateur peut
cliquer si il veut se des-inscrire. Il ne faut JAMAIS cliquer sur un de ces liens,
cela auras pour seul effet de faire passer l'adresse de messagerie dans un liste
d'adresses emails confirmees (ces listes se vendent plus cheres que les listes d'adresses
non confirmees).


Pour lutter contre les spams, il existe divers produits qui viennent se greffer sur
le client de messagerie. Ces produits permettent le prétraitement du courrier à réception
(déplacement automatiques des courriers suspects dans un dossier spam, le dossier doit
périodiquement être révisé par le propriétaire pour déterminer si aucun courrier légal
n'as été faussement déclaré comme spam. On ne fait jamais supprimer un message par un
mécanisme automatique).

Il existe un bon outil, efficace et gratuit, un plugin Outlook (SpamBayes) qui fonctionnent
à base d'un procedé d'analyse statistique (le produit ne nécessite donc pas de mise à
jour (connexion Internet)). Ce produit nécessite au départ un apprentissage de la part
de l'utilisateur, apprentissage qui est souvent réalisé en quelques jours.

Ce produit est disponible sur Internet, à l'adresse :
http://spambayes.sourceforge.net/windows.html


III. 4. Les Spywares

Les spywares peuvent être assez délicats à supprimer. Le problème avec beaucoup de
ces produits c'est qu'il ne s'agit pas d'un composant unique (processus), mais plutôt
une reconversion du système.

Les spywares peuvent s'inscrire sous plusieurs formes (Browser Helper Objects, ToolBar,
etc..), exploitent régulièrement les nouvelles vulnérabilites IE et Windows pour forcer
l'installation de leurs composants, et cherchent à camoufler leurs traces.
Un spyware ne seras pas simplement chargé à travers la clé Run de la base de registre,
mais seras defini à plusieurs endroits comme composant d'un produit légal
(principalement IE). Dans la majorite des cas, l'élement sera inscrit sous une forme
obscurcie (format Unicode au lieu de plain text par ex), donc pas identifiable par
une simple recherche.

Il est nécessaire avec ces malwares de disposer d'un outil pour assurer un nettoyage
complet du système. Un des bons outils pour supprimer divers types de malwares
s'appelle SpyBot - Search & Destroy


SpyBot - Search & Destroy est disponible en téléchargement gratuit sur le site suivant :

http://www.safer-networking.org/index.php?page=download


Télécharger les composants suivants (section Downloads) :

- Spybot - Search & Destroy 1.4
Application to scan for spyware, adware, hijackers and other malicious software

- Detection updates 200x-xx-xx
This updates the detection rules. Only needed if you do not want to use the update function
integrated into Spybot-S&D.


IV. EICAR


EICAR est un virus de test développé par l' European Institue for Computer Anti-virus
Research afin de fournir un moyen facile et sans danger de tester la bonne marche d'un
anti-virus.

EICAR n'est pas un virus et ne contient pas d'élements viral en soit, c'est toutefois un
programme DOS légitime (il affiche le message EICAR-STANDARD-ANTIVIRUS-TEST-FILE ! à
l'exécution), qui tient sur 68 octets, et qui n'est composé que de caractères imprimable,
donc facilement crée.

Pour créer ce virus, copier le texte suivant dans un fichier texte, et renommer le fichier
.TXT en .COM. A l'exécution, ce programme doit être détecté par l'anti-virus comme étant
le virus EICAR Test.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Ce fichier est disponible à l'adresse suivante :
http://www.eicar.org/anti_virus_test_file.htm

FoolFox / HAK pour FutureZone, 2004