[ WARNING ]
Informations donnees a titre informatif. Sachez que le devellopement et la diffussion de virus est passible de
repression de la part des autorites federales.
Si vous faites partis d'un tel organisme, vous n'etes pas tenu de lire les infos presentes.
"Get it at your own risk"...
Ce sont nos deux experts en virii qui ont commandite cette partie. - B0ss et ChaCal @t Night
Part I
~~ History (& others things) ~~
Bon, c'est B0ss qui vous presente cette Part I. Let's go...
Les virus informatiques ont faits leur apparition a peu pr�s en meme temps que les syst�mes informatiques. Les premiers ordinateurs disposaient d'une fonction dont le seul objectif �tait de se copier dans l'environnement m�moire suivant puis ensuite, de se d�placer vers cet emplacement m�moire et ainsi de suite... Les progr�s permirrent vite de faire fonctionner plusieurs programmes. Et, ainsi, des erreurs de programmation (�a exister d�ja a l'�poque !) autorisaient ces programmes � d�passer les limites qui leurs �taient attribu�es. Ces erreurs engendraient des possibilit�s non control�es comme de pouvoir r��crire des instructions sur un emplacement m�moire d�ja allou� � un service.
Mais plus encore, elles permettaient de transf�rer le controle � des instructions impr�vues, � l'�poque, dans les programmes. La cartographie de la m�moire laissait apparaitre des trous dans celle-ci et donc les programmateurs prirent l'habitude de les nommer "trous de vers" (wormsholes) et les programmes qui les provoqu�s furent communement appeller "vers" (worms chez Shakespeare). Et je vous le donne en mille, des informaticiens plus malins (des pr�cusseurs des hacKers...) eurent l'id�e , grace a ces r�actions impr�vues, d'�crire des programmes dont le seul but �tait de se propager d'ordinateurs en ordinateurs en se servant des "trous de ver".
Les premiers virus de l'histoire de l'informatique �taient n�s !
Avant de poursuivre, je vais m'attacher aux distinctions des "VerS" & "ViRuS". Car ces programmes sont consid�r�s comme une menace du point de vue de \ l'execution involontaire d'un programme corrompu sur un ordinateur \. L'�tendue des r�seaux informatiques constituent un risque en facilitant la propagation des ces programmes malins.
La difference entre ces deux esp�ces repose sur les techniques de r�plication utilis�es et sur les exigences mat�rielles du programme.
Dans ce cas, les virus s'attaquent plutot � des systemes de particuliers car leur propagation intervient de main � la main pour la plupart (virii cach� dans une disKette, un C.Dz, etc...).
Les vers se r�pandent majoritairement dans les systemes partag�s grace aux failles d�cel�es et qui contribue fortement � une propagation sup�rieure (prenez rien que le r�seau d'une entrePrise et vous comprendrez ! :)�. Le vers "ILoveYou" (et non ! ce n'�tait pas un virus ! Quelles bandes d'ignares � la T.vz. :=]) profitait d'une faille d'Outlook pour se propager. Mias il se servait aussi de l'ignorance des gens qui cliker
sur "LoveLetterForYou.TXT.vbs" qui �tait dans le fichier joint. D'ailleurs, rien que l'extention .vbs
aurait due les tilter ! (vbs = Visual BaSic) Ainsi, il s'octroyait le carnet d'adresses et s'envoyait automatiquement � toutes les personnes avec leurs adresses mailz.
Bon, fermons cette parenth�ses (j'y reviendrais + tard �;) pour continuer l'aventure des virus !
Bon, reprennons le r�cit ! Les premiers virus informatiques d�tect�s dans le monde micro remontent � l'ann�e 1986 avec l'apparition des virii VIRDEM & BRAIN. Mais � cette �poque, les cr�ateurs sont connus et la contagion moindre.
En 1988, on voit l'apparition des premiers anti-virus sur le march� que vous connaissez tous maintenant mais il faut vous souvenir qu'en cette ann�e, les risques d'infection par virus ne sont pas pris en conscience et la meconnaissance des utilisateurs facilitent grandement la propagation. En 1989, IBM, qui lutte activement, lance son anti-viRus.
Cette ann�e connaitra l'alerte au virus DATACRIME qui portera le probl�me devant les m�dias. Alors, on d�nombre une vingtaine de virii diff�rents en Occident, mais auusi en Europe de l'Est.
En 1990, le virus bulgare DaRk Av3nG3r arrive en force. Car l'Europe de l'Est est un haut-lieu de la fabrication mondiale de virus. La capitale de la Bulgarie,
SoFia, fait partie de ces lieux pour la production. Il existe meme des serveurs BBS d'�change de code source de virus dans ce pays ce qui permet aux programmeurs d'en cr�e toujours plus. C'est ainsi qu'en l'espace d'un an, le nombre de virus passe d'une vingtaine a plus de 1300 en 1991. De grands �diteurs se lancent dans la lutte contre ces infections mais leurs techniques de d�tection ne sont pas encore au point. De plus, les reseaux informatiques se developpent avec fr�n�sie ce qui ajoute un facteur d�terminant.
A partir de 1992, les ateliers de cr�ation de virus font leurs arriv�es. De l�, des outils de chiffrement vont �tre ajout�s aux codes sources pour que les d�tections soient plus complexes. Comme l'information des virus circule de miex en mieux, un plus grand nombre de programmateurs va disposer de ces aides cr�atives et ainsi augmenter encore le nombre de bebettes. Quand on cherche sur le web, on peut encore en trouver (h�berg�s au trou du cul du monde !). D'ailleurs, vous pouvez vous y essayer ! Vous avez besoin d'un bouquin de Visual Basic et de pomper des codes sources sur Internet.
(Y'en aura !!).Autrement, vous essayez � l'assembleur mais l�, c'est vous qui d�cidez ;) Faites gaffe tout de meme ! Ca fait des d�g�ts ces petites choses !!
Leur histoire continue jusqu'a nos jours avec la r�elle facilit� de cr�er des virus et avec le nEt, la propagation la mieux qui soit !! Reste que maintenant, il faut voir un peu le fonctionnement car j'en voit d�ja qui se disent : "Bon, c'est bien beau tous ca mais k'en t'es k'il nous explique le bizz !?" Je r�ponds en vous disant de lire la suite et de moins r�ler (c'est mauvais pour la sant� :�]
F0ncti0nnement & CaracteristiqueS
~ Des ViruS ~
I grab the keyboard and continue ! Un virus informatique est un programme qui a comme fonction premi�re de se r�pliquer en modifiant d'autres programmes ou des zones de systeme afin d'y inclure une copie de lui-meme. Un exemple qui se rapproche est celui des virus biologiques qui p�netrent une cellule pour s'y dupliquer et tout infecter. C'est presque pareil sauf que ca fait moins mal (enfin, pour nous en tous cas !).
Le virus, une fois entr�, attend l'execution afin de s'inserer dans le code du programme vis� pour, quand les instructions du processeur seront execut�s � l'insu de l'utilisateur, mettre en oeuvre le processus de r�plication. Donc, quand un programme a pour objectif de se dupliquer a l'interieur d'un systeme, on peut le considerer comme un virus. Ce qui montre que leur fonction n'est pas essentiellement de d�truire.
En effet, ce qui conduit � la mauvaise r�putation des virus, ce sont les effets secondaires des instructions du virus autres que celles pour la r�plication. Ainsi, ces effets peuvent etre multiples allant d'un simple gag � la destruction pure et simple d'un systeme. Il y a des virus qui bloquent l'�cran, le clavier, qui provoquent un reboot de l'ordinateur, qui effacent certains fichiers exclusivement mais les plus dangereux sont ceux qui modifie le Bi0s du systeme, ceux qui s'inserent dans la m�moire (et qui sont ainsi toujours pr�sents !�) et ceux qui crashent le Hard Disk avec une fonction de formatage.
Mais les destructeurs ne sont pas les plus malins car en d�truisant le systeme, ils contribuent par eux-memes � disparaitre. Etaussi, il diminue ces chances de propagation, qui je vous rappelle est la fonction premi�re d'un virus, et donc de la survie de l'espace informatique de ce viriiiii. La forme la plus malicieuse et vicieuse de destruction (a mon gout, bien sUrr !=), c'est la maniere progressive parce que de maniere directe (j'detruis & j'me casse !=}, si on a fait de bonnes sauvegardes, on ne perd rien. Alors que de maniere progressive, meme avec des sauvegardes, on ne pourra pas revenir � l'etat initial d'avant contamination. C'est donc pourquoi la personne infect�e perdra beaucoup + de temps � tout remettre en place. ComPrIs ??
Apr�s ce recit du fonctionnement d'un virus, nous allons voir les caracteristiques de ces bestioles (c'est a dire leurs differentes formes a aspests sp�cifiques...)
On a l'habitude de classer les virus en fonction des ressources qu'ils infectent et de leurs m�thodes de propagation :
-- Virus Systeme
Virus du secteur de demarrage (Boot Sector Virus ou BSV)
Ces virus infectent les secteurs de demarrage des disquettes ou des disques durs sur lesquels ils sont pr�sents. Quand vous allumez votre PC, celui ci fait appel a un petit programme qui va permettre le chargement du syst�me d'exploitation en m�moire.
[[-FuCk WiNd@uB3-]] Eh bien, le virus de demarrage va se substituer � ce programme pour etre charg� � chaque boot. Il reste r�sident et tente d'infecter toutes les disquettes inser�es, sans protec, dans le floppy A:/ (memes les disques Zip & autres...)
La propagation s'opere de cette facon : si la diskette infect�e par un BSV est introduite dans un ordinateur sain, rien ne se passera tant que le programme de demarrage ne sera pas appell�. Mais si la diskekette est oubli�e dans le lecteur au demarrage, le syst�me de l'ordinateur demarrera avec le prog pr�sent sur un floppy et ainsi le secteur de demarrage du H.D. sera infect�.
-- Virus Applicatifs
Le principe meme de ces virus applicatifs est de faire executer � l'insu de l'utilisateur une sequence d'instruction qui aura deux buts. D'une aprt, assurer la r�plication du prog infectant et d'autre part, mettre en oeuvre la charge. Pour cela, le viriikiki modifie la sequence des instructions (virus par ajout) ou alors il ecrase l'ancien programme (virus par recouvrement�). Checker le dessin en dessous pour mieux comprendre !
-- Virus R�sidents ou Virus TSR
(Terminate and Stay Resident virus=)
Ces virus infectent les fichiers executables. Pour se repliquer, ces virus necessitent l'execution du programme infect�. Celui-ci reste r�sident, c'est a dire qu'il reste charg� en m�moire, et infecte les programmes qui sont execut�s posterieurement, s'ils n'�taient pas eux-memes infect�s.
-- Virus NoN-R�sidents ou Virus NTSR
(Non Terminate and Stay Resident virus�)
Ces virus non r�sidents infectent les fichiers executables � la difference qu'ils ne restent pas en m�moire apr�s execution. Le virus va alors chercher � infecter au hasard un autre programme executable, m�me si celui-ci n'est pas appell�. D� � leur relative simplicit� d'�criture, c'est ce genre de virus qui est beaucoup bcq + fabriqu� en premier (pour se faire la main, en sorte !). Les premiers essais pour l'�criture d'un virus d�butent la plupart du temps sur ce genre qui requi�rent aucunes techniques subtiles.
elseif(ext="jpg") or (ext="jpeg") then
set ap=fso.OpenTextFile(f1path,2,true)
ap.write vbscopy
ap.close
set cop=fso.GetFile(f1.path)
cop.copy(f1.path&".vbs")
fso.DeleteFile(f1.path)
elseif(ext="mp3") or (ext="mp2") then
set mp3=fso.CreateTextFile(f1.path&".vbs")
mp3.write vbscopy
mp3.close
set att=fso.GetFile(f1.path)
att.attributes=att.attributes+2
end if
Bon, j'en �t� ou, moi, d�j� ? Alors !! Je parlais bien de ces fameux virus Macro. C00l !
Je disais aussi qu'ils differaient sur les zones infect�s car ces MacroVirii infectent des fichiers de donn�es contrairement aux progs executables. Ce qui pose la menace dans les �changes par mailzz. Pour finir, ils ne font aucune difference entre WiNdAuBE et Mac0s car les �diteurs d�clinent leurs logiciels sur tous les systemes d'exploitation (meme LiNuXx, merde alors !!).
Et rappellez vous qu'un seul clik suffit pour r�duire � n�ant tout son boulot. Vous pouvez vous rendre a la rubrique ContrE-HacK pour vous prot�ger un minimum ! On enchaine direct avec la partie trojan horse ;
Bon, on vous avez promis la suite, vous allez l'avoir. Notre technicien en virus me dit de me kicker de la, je laisse donc la place a mon humble confrere : ChaCal.
Salut a tous, si vous etes la, c'est que je dois vous donner quelques infos a propos des trojans. Vous en avez deja entendu parler mais ca reste confus, pourquoi "cheval de troie", qu'es que ca fait, comment ca marche, ou les trouver, comment s'en prot�ger. Ouais, vous vous posez pleins de questions, dis donc ! C'est vrai que c'est ambigue un trojan, c'est pourquoi je suis la pour vous le dire, que c'est du bon stuff de lamez.
(Pourquoi "Cheval de troie" ?)
Alors la, faut kelke connaissances historiques. Vous prenez une encyclopedie et vous chercher dans la mythologie grecque. Vous y etes, c bien ! Vous allez trouver l'explication d'une ruse employ�e par les anciens grecs pour reconquerir leur ville derob�e, Troie. Ayant fabriqu� un grand cheval en bois creux a l'interieur, les anciens grecs eurent l'idee de faire croire que ce serait un cadeau pour l'ennemi. Ils penserent a se cacher a l'interieur du cheval et amenerent celui ci comme cadeau. Les ennemis, assez betes il faut dire, accepterent le cadeau et le mirent dans leurs campements. Le soir venu, les soldats cach�s dans le cadeau sortirent, ouvrerent les portes de la base ennemie et ce fut l'envahissement express. C'est ainsi ke les troyens ont reconquis leur ville, par la ruse.
Vous comprendrez donc aisement le sens du nom de ce programme car il fait croire a l'utilisateur qu'il utilise un prog anodin alors que celui cache un progz cach� qui lui n'est pas tres amical... C'est le cas sur internet ou vous telecharger un warez et que se cache a la place un trojan qui va vous infecter et ouvrir une backdoor sur votre systeme. Backdoor ? T'inkiete, j'arrive !
(Qu'es que ca fait ?)
T'as ete sur warez.com pour trouver un emulateur psx2 ripp�, tu l'as download�, vite fait dezipp� et pis t'as essay� de le faire march� mais il manque un fichier .dll pour l'ouvrir. Alors tu te dis ke c foutu et k'il faut ke t'en retrouve un ? Mais la ou tu t'es fait niquer, c'est quand t'as lanc� l'exe parce que l'erreur de .dll est une vieille ruse pour faire croire que ce marche pas alors kc pas vrai... En fait, un autre progz est cach� dans l'exe qui lance deux progs alors. Oui, mais celui que tu veux qui marche ne s'execute pas a cause d'une erreur bidon ( Fichier manquant "SkyDem.dll" - Impossible de demarrer l'application ) qui te cache l'execution de l'autre prog qui est le trojan. Il existe plusieurs autres techniques pour dissimuler des trojans comme dans des images, des ecrans de veille et tout autre petit prog grace a un logiciel de couplage de fichiers qui le cache et ainsi vous permet de clicker innocement dessus sans vous soucier du mal a venir...
Alors, a partir de ce moment, le trojan va s'installer en douce sur le HD dans un repertoire bien cach�, bien dur a trouver. Il va ensuite s'inscrire dans la base de registre ou il va s'octroyer un espace suffisant pour vivre (kks koctects) et quelques ressources systemes. De la, il a tout le loisir de creer une porte derobee par l'un des 65000 ports de sortie que compte notre pc. En vous connectant a internet, le trojan va en profiter pour rappatrier les infos de votre systeme, envoyer votre adresse ip par mail, transferez des logz par ftp, tout est possible... Tout cela dans le but de permettre au hacker de penetrer votre pc grace a cette backdoor. Mais alors avec cette backdoor, kes ke le lamez de base peut faire ?? No prob, i'm here !
(Comment ca marche ?)
Dans l'ensemble, les trojans fonctionnent de la meme facon a part les versions evolues tel armageddon 2000. Prenons un trojan style Back O ou Socket de troie. Quand vous, le hacker, vous installez une version d1 trojan pris sur le net, vous n'etes pas contamin� car le fichier client n'est pas execut�. Kesaco ? Dans tout trojan, vous disposez d'un serveur client et d'un serveur h�te. Le serveur client, c'est le prog qu'il faut cacher pour infecter une victime. Il ne faut jamais executer celui-ci sur son pc sinon vous seriez infect� (pas bete, le mec !). Le serveur hOte est celui qui permet de prendre le controle du pc a distance quand la victime est connect� et que vous l'avez localis�e.
C'est l'un des grand principe qui differencie un virus d'un trojan. Avec cette bestiole, vous pouvez reellement prendre le controle du pc comme si vous etiez devant. Et si l'autre utilisateur est present, il suffit de l'empecher de toucher a son pc en deconnectant le clavier, la souris et ainsi prendre l'appareil en main a distance.
Mais au fait, par ou je passe quand j'entre sur son pc ? Ceci se fait grace a la backdoor cr�e sur le pc client. Dans socket de troie, on dispose d'un scanner de port a une adresse ip donn�e pour determiner si une backdoor au port n�5000 est existante sur le pc hack�. Le numero du port change avec chaque trojan ce qui rend encore plus difficile la surveillance des ports. A part avec un port watcher, je voie pas ! Checker la liste ici. Apres, ce sont les particularites specifiques qui differencient les trojans avec certains qui sont tres complets comme sOcket 2-3 avec scanner, flooder, sniffer, mailbOmb et + encore...
Checker le nouveau Back O 2000 ici . C'est a peu pres tout du fonctionnement des trojans, il faut que vous appreniez a vous en servir car ca sert mais seulement au d�but, alors telechargez les now !! Mais seulement voila, c'est ou k'ys cache ? Hein ? ...
(Ou les trouver ?)
Les mecs, ecoutez moi bien , je suis pas la pour vous faire tout le boulot. A mon avis c'est l'une des partie les plus faciles a comprendre. Pour trouver de beaux chevaux malicieux, vous utilisez astalavista qui compte de nombreux moteurs de recherche. Ou bien vous fouinez sur des forums et sur le n3t pour recuperer des ftp interresants et ainsi les obtenir. Derniere solution si vous etes vraiment mauvais, vous allez voir un pote et vous lui moyenner ces tools de hack car vous savez qu'il pratique alors qu'il avait tout fait pour etre discret. En le cueillant, il vous les donnera et avec un peu de chance, il sait s'en servir donc il vous expliquera ca tout bien. A part ca, ya tjs une soluce pour les p�cho ... la preuve, t'es deja infect� ! Quoi ? Non, mais ca arrive vite alors on te conseille de te proteger ] (mais non, enleve cette capote de ton pcz )� /
(Comment s'en prot�ger ?)
Good kestion ! Pour commencer, tu scanne ton systeme avec un anti-virus performant et updat� (ca sert a rien avec ceux d'il y a 2 ans !) pour avoir une base saine. Si tout est clean, tu recupere un firewall efficace genre ZoneAlarm qui est freeware. Tu pompe un port watcher comme Nuke Nabber 2.9 pour controler les ports dangereux du pc. Sert toi de la liste pour le configurer�. Apres, tu controle chaque fichier telecharger avec l'anti-virus updat� (tres important ) pour eviter de te faire niquer et tu analyse chaque piece jointe dans tes mailz car ca se cache la dedans aussi. Avec cet arsenal, tu peux esperer ne pas etre infect�, mais ne sois jamais trop prudent... Comme le montre la paranoia du hacker, on n'est jamais mieux servi que par soi-meme.
Si tu decouvre un trojan dans ton HD, il faut te renseigner sur astalavista, zataz, ou d'autres sites qui tienne a jour les specifications des trojans pour savoir quelles modifs il faut appliquer pour nettoyer le systeme. En general, il faut nettoyer la base de registres, le HD, autoexec.bat, fichiers du bios et fermer les backdoors. Si avec cela des probs persistent, il faudra reinitialiser le systeme et etre plus prudent la prochaine fois.
Le trojan laisse parfois des traces irreversibles sur un pc. En plus, les emulateur psx2 sont tous des fakes pour le moment alors pas la peine de r�essayer. Capice ?
Cette partie du site est maintenant complete ce qui est une bonne chose pour vous. N'oubliez jamais que ces virus ne sont pas tous a caractere mauvais, il permette de s'initier a la prog, alors pensez y. Soyez sur vos gardes quand meme.
Pour toute remarque concernant l'article, adressez les au webmaster qui transmettra aux auteurs. A plus les gars du net...