Pour sélectionner les types d'objets à identifier, procédez comme suit :
Sous-catégorie : virus et vers (Viruses_and_Worms)
Niveau de danger : élevé
Les virus et les vers classiques exécutent sur l'ordinateur des actions qui n'ont pas été autorisées par l'utilisateur. Ils peuvent créer leurs propres copies qui possèdent la capacité d'auto-reproduction.
Virus classique
Une fois que le virus classique s'est introduit dans un système, il infecte un fichier quelconque, s'y active, exécute son action malveillante, puis ajoute sa copie à d'autres fichiers.
Le virus classique se multiplie uniquement sur les ressources locales de l'ordinateur et il est incapable de s'introduire lui-même dans un autre ordinateur. Il peut pénétrer dans d'autres systèmes uniquement s'il ajoute sa copie dans un fichier enregistré dans un dossier partagé, sur un cédérom d'installation ou si l'utilisateur envoie un email avec le fichier infecté en pièce jointe.
Le code du virus classique peut s'introduire dans divers secteurs de l'ordinateur, du système d'exploitation ou de l'application. En fonction de l'environnement dans lequel ils évoluent, on parle de virus de fichiers, virus de démarrage, virus de script et virus de macro.
Les virus peuvent infecter des fichiers de diverses manières. Les virus écraseurs (overwriting) remplacent le code du fichier infecté par leur propre code et suppriment ainsi le contenu du fichier. Le fichier infecté cesse de fonctionner et il ne peut être restauré. Les virus parasites (Parasitic) modifient les fichiers, mais ceux-ci demeurent totalement ou partiellement fonctionnels. Les virus compagnons (Companion) ne modifient pas les fichiers mais créent des copies. Lorsque le fichier infecté est exécuté, son double est lancé, à savoir le virus. Il existe également des virus-liens (Link), des virus qui infectent les modules objets (OBJ), des virus qui infectent les bibliothèques de compilateur (LIB), les virus qui infectent les textes source des programmes et d'autres.
Ver
Le code du ver, à l'instar de celui du virus classique, s'active et exécute son action malveillante dès qu'il s'est introduit dans le système. Le ver doit son nom à sa capacité à "ramper" d'ordinateur en ordinateur, sans que l'utilisateur n'autorise cette diffusion des copies via divers canaux d'informations.
La principale caractéristique qui distingue les vers entre eux est leur mode de diffusion. Le tableau suivant reprend une description des différents types de vers en fonction du mode de diffusion.
Mode de diffusion des vers
Type |
Name |
Description |
---|---|---|
Email-Worm |
Email-Worm |
Ils se diffusent via email. L'email infecté contient un fichier joint avec la copie du ver ou un lien vers ce fichier sur un site compromis ou créé spécialement à cette fin. Lorsque vous ouvrez le fichier joint, le ver est activé. Lorsque vous cliquez sur le lien, téléchargez le fichier, puis ouvrez celui-ci, le ver commence également à exécuter ses actions malveillantes. Ensuite, il continue à diffuser ses copies après avoir trouvé d'autres adresses email auxquelles il envoie des messages infectés. |
IM-Worm |
Vers de client IM |
Ils se propagent via les clients IM. En règle générale, ce ver envoie aux contacts un message contenant un lien vers la copie du ver sur un site. Quand l'utilisateur télécharge le fichier et l'ouvre, le ver s'active. |
IRC-Worm |
Vers de chats |
Ils se diffusent via les canaux IRC (Internet Relay Chats), ces systèmes qui permettent de discuter en temps réel avec d'autres personnes. Ce ver publie un fichier avec sa copie ou un lien vers celle-ci dans le chat. Quand l'utilisateur télécharge le fichier et l'ouvre, le ver s'active. |
Net-Worm |
Vers de réseau (vers de réseaux informatiques) |
Ils se diffusent via les réseaux informatiques. À la différence des autres types de vers, le ver de réseau se propage sans l'intervention de l'utilisateur. Il recherche une application vulnérable sur les ordinateurs du réseau local. Pour ce faire, il envoie un paquet réseau spécial (un exploit) qui contient le code du ver ou une partie de celui-ci. Si le réseau abrite un ordinateur "vulnérable", celui-ci acceptera le paquet. Une fois qu'il s'est complètement introduit dans cet ordinateur, le ver s'active. |
P2P-Worm |
Vers de réseau d'échange de fichiers |
Ils se propagent via les réseaux d'échange de fichiers pair à pair. Afin d'infiltrer le réseau d'échange de fichiers, le ver se copie dans le dossier d'échange de fichiers qui se trouve normalement sur l'ordinateur de l'utilisateur. Le réseau d'échange de fichiers affiche les informations relatives à ce fichier et l'utilisateur peut "trouver" le fichier infecté comme n'importe quel autre fichier, le télécharger puis l'ouvrir. Les vers plus sophistiqués imitent le protocole d'un réseau d'échange de fichiers en particulier : ils répondent positivement aux recherches et proposent leur copie pour le téléchargement. |
Ver |
Autres vers |
Parmi ces autres vers, citons :
|
Sous-catégories : chevaux de Troie (Trojan_programs)
Niveau de danger : élevé
À la différence des vers et des virus, les chevaux de Troie ne créent pas leur propre copie. Ils s'infiltrent sur les ordinateurs via email ou via le navigateur lorsque l'internaute visite un site infecté. Les chevaux de Troie sont exécutés sur intervention de l'utilisateur. Ils entament leur action malveillante directement après l'exécution.
Le comportement des chevaux de Troie sur l'ordinateur infecté varie. Parmi les fonctions principales des chevaux de Troie, citons le blocage, la modification ou la suppression d'informations ainsi que la perturbation du fonctionnement des ordinateurs ou des réseaux. De plus, les chevaux de Troie peuvent recevoir ou envoyer des fichiers, les exécuter, afficher des messages, contacter des pages Internet, télécharger des applications et les installer et redémarrer l'ordinateur.
Les individus malintentionnés utilisent souvent des "sélections" composées de divers chevaux de Troie.
Les types de comportement des chevaux de Troie sont décrits dans le tableau suivant.
Types de comportement des chevaux de Troie sur l'ordinateur infecté
Type |
Name |
Description |
---|---|---|
Trojan-ArcBomb |
Chevaux de Troie (bombes dans les archives) |
Il s'agit d'archives qui, au moment de la décompression, atteignent un tel poids qu'elles perturbent le fonctionnement de l'ordinateur. Lorsque l'utilisateur tente de décompresser une archive de ce genre, l'ordinateur peut commencer à ralentir, voire à s'arrêter et le disque peut se remplir de données "vides". Ces "bombes" sont particulièrement dangereuses pour les serveurs de fichiers et de messagerie. Si le serveur utilise un système de traitement automatique des données entrantes, ce genre de "bombe d'archive" peut entraîner l'arrêt du serveur. |
Backdoor |
Chevaux de Troie pour l'administration à distance |
Considérés comme les chevaux de Troie les plus dangereux. Leurs fonctions rappellent celles des programmes d'administration à distance installés sur les ordinateurs. Ces programmes s'installent à l'insu de l'utilisateur sur l'ordinateur et permettent à l'individu malintentionné d'administrer l'ordinateur à distance. |
Trojan |
Chevaux de Troie |
Cette catégorie reprend les programmes malveillants suivants :
|
Trojan-Ransom |
Chevaux de Troie exigeant le versement d'une rançon |
Ces programmes "prennent en otage" les données de l'ordinateur après les avoir modifiées ou bloquées ou perturbent le fonctionnement de l'ordinateur de telle manière que l'utilisateur n'est plus en mesure d'exploiter les données. L'individu malintentionné exige le versement d'une somme d'argent en échange de l'envoi d'un programme qui rétablira le fonctionnement de l'ordinateur et les données qu'il abrite. |
Trojan-Clicker |
Chevaux de Troie qui cliquent |
Ils accèdent à des pages Internet depuis l'ordinateur de la victime : ils envoient des instructions au navigateur ou remplacent les adresses Internet conservées dans les fichiers système. Grâce à ces programmes malveillants, les individus malintentionnés organisent des attaques réseau ou augmentent le nombre de visites sur le site afin d'accroître le nombre d'affichages de bannières publicitaires. |
Trojan-Downloader |
Chevaux de Troie qui téléchargent |
Ils accèdent à la page Internet de l'intrus, y téléchargent d'autres applications malveillantes et les installent sur l'ordinateur de l'utilisateur. Ils peuvent contenir le nom du fichier de l'application malveillante à télécharger ou le recevoir à partir de la page Internet consultée. |
Trojan-Dropper |
Chevaux de Troie qui procèdent à des installations |
Ils enregistrent sur le disque, puis installent d'autres chevaux de Troie présents dans le corps de ces programmes. Les individus malintentionnés peuvent utiliser ce genre de chevaux de Troie pour :
|
Trojan-Notifier |
Chevaux de Troie qui envoient des notifications |
Ils signalent à l'individu malintentionné que la communication avec l'ordinateur infecté est établie et transmettent des informations relatives à l'ordinateur : adresse IP, numéro du port ouvert ou adresse email. Ils contactent l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens. Ces programmes sont souvent utilisés dans les sélections de différents chevaux de Troie. Ils indiquent à l'individu malintentionné que les autres chevaux de Troie ont bien été installés sur l'ordinateur de l'utilisateur. |
Trojan-Proxy |
Chevaux de Troie faisant office de proxy |
Ils permettent à l'individu malintentionné de contacter anonymement des pages Internet via l'ordinateur de la victime ; le plus souvent, ils sont utilisés pour diffuser du spam. |
Trojan-PSW |
Chevaux de Troie qui volent des mots de passe |
Il s'agit de chevaux de Troie qui volent des mots de passe (Password Stealing Ware) ; ils volent les données des comptes des utilisateurs, les données d'enregistrement d'un logiciel. Ils recherchent les données confidentielles dans les fichiers système et dans la base de registre et les transmettent à leur « attaquant » via email ou via FTP sur la page Internet de l'individu malintentionné ou par d'autres méthodes. Certains de ces programmes appartiennent à des groupes particuliers décrits dans ce tableau. Il s'agit des chevaux de Troie qui volent les comptes bancaires (Trojan‑Banker), des chevaux de Troie qui volent les données des utilisateurs des clients IM (Trojan‑IM) et des chevaux de Troie qui volent les données des adeptes de jeux en ligne (Trojan‑GameThief). |
Trojan-Spy |
Chevaux de Troie espions |
Ils espionnent l'utilisateur et collectent des informations sur les actions qu'il effectue lorsqu'il travaille sur son ordinateur. Ils peuvent intercepter les données que l'utilisateur saisit au clavier, faire des captures d'écran ou collecter des listes d'applications actives. Une fois qu'ils ont obtenu ces informations, ils les transmettent à l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens. |
Trojan-DDoS |
Chevaux de Troie pour attaques réseau |
Ils envoient de nombreuses requêtes vers un serveur distant au départ de l'ordinateur de la victime. Le serveur ne dispose pas de ressources suffisantes pour traiter les requêtes et il arrête de fonctionner (Denial-of-service (DoS), déni de service). Ces programmes infectent généralement plusieurs ordinateurs pour attaquer simultanément un serveur. Les programmes de type DoS lancent l'attaque depuis un ordinateur avec l'accord de l'utilisateur. Les programmes de type DDoS (Distributed DoS) lancent des attaques distribuées depuis plusieurs ordinateurs, à l'insu de l'utilisateur de l'ordinateur infecté. |
Trojan-IM |
Chevaux de Troie qui volent les données des utilisateurs de clients IM |
Ils volent les numéros et les mots de passe des utilisateurs des clients IM. Ils transmettent ces informations à l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens. |
Rootkit |
Rootkits |
Ils masquent d'autres applications malveillantes et leur activité, et prolongent ainsi la persistance de ces applications dans le système d'exploitation. Ils peuvent également dissimuler des fichiers, des processus dans la mémoire d'un ordinateur infecté ou des clés de registre qui exécutent des applications malveillantes. Les rootkits peuvent masquer l'échange de données entre les applications sur l'ordinateur de l'utilisateur et les autres ordinateurs du réseau. |
Trojan-SMS |
Chevaux de Troie qui envoient des messages SMS |
Ils infectent des téléphones mobiles et les utilisent pour envoyer des messages SMS vers des numéros payants. |
Trojan-GameThief |
Chevaux de Troie qui volent les données des adeptes de jeux en ligne |
Ils volent les comptes des adeptes de jeux en ligne ; ils transmettent les données à l'individu malveillant par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens. |
Trojan-Banker |
Chevaux de Troie qui volent les données de comptes bancaires. |
Ils volent les données des comptes bancaires ou les données des comptes de système de porte-monnaie électronique ; ils transmettent les données à l'individu malveillant par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens. |
Trojan-Mailfinder des adresses email |
Chevaux de Troie qui récoltent des adresses email |
Ils recueillent les adresses email sur l'ordinateur et les envoient à l'individu malintentionné par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens. Les individus malintentionnés utilisent ensuite ces adresses pour diffuser du spam. |
Sous-catégories : outils malveillants (Malicious_tools)
Niveau de danger : moyen
Contrairement aux autres types de logiciels malveillants, les outils malveillants n'exécutent pas leurs actions immédiatement après leur démarrage. Elles peuvent être stockées et lancées en toute sécurité sur l'ordinateur de l'utilisateur. Les individus malintentionnés utilisent les fonctions de ces programmes pour développer des virus, des vers et des chevaux de Troie, organiser des attaques réseau contre des serveurs distants, s'introduire dans des ordinateurs ou exécuter d'autres actions malveillantes.
Les différentes fonctionnalités des outils malveillants sont regroupées en types présentés dans le tableau suivant.
Fonctionnalités des outils malveillants
Type |
Name |
Description |
---|---|---|
Constructor |
Constructeurs |
Ils permettent de créer de nouveaux virus, vers ou chevaux de Troie. Certains constructeurs sont dotés d'une interface standard à base de fenêtres qui permet, à l'aide de menus, de sélectionner le type de programme malveillant à créer, son mode de résistance face aux débogueurs ainsi que d'autres propriétés. |
Dos |
Attaques réseau |
Ils envoient de nombreuses requêtes vers un serveur distant au départ de l'ordinateur de la victime. Le serveur ne dispose pas de ressources suffisantes pour traiter les requêtes et il arrête de fonctionner (Denial-of-service (DoS), déni de service). |
Exploit |
Exploits |
L'exploit est un ensemble de données ou de code qui exploite une vulnérabilité de l'application dans laquelle il est exécuté afin de réaliser une action malveillante quelconque sur l'ordinateur. Par exemple, un exploit peut écrire ou lire des fichiers ou contacter des pages Internet "infectées". Divers exploits exploitent les vulnérabilités de diverses applications et services réseau. L'exploit sous la forme d'un paquet réseau se transmet via le réseau vers de nombreux ordinateurs à la recherche d'ordinateurs possédant des services réseau vulnérables. L'exploit d'un fichier DOC utilise la vulnérabilité de l'éditeur de test. Il peut commencer à exécuter les fonctions intégrées par l'individu malintentionné lorsque l'utilisateur ouvre le fichier infecté. L'exploit intégré à un email recherche les vulnérabilités dans un client de messagerie quelconque. Il peut commencer à exécuter l'action malveillante dès que l'utilisateur ouvre le message infecté dans le client de messagerie. Les vers de réseau (Net-Worm) se diffusent grâce aux exploits. Les exploites de type Nuker sont des paquets réseau qui mettent l'ordinateur hors service. |
FileCryptor |
Encodeurs |
Ils encodent d'autres programmes malveillants afin de les cacher pour les logiciels antivirus. |
Flooder |
Programmes de "pollution" du réseau |
Ils envoient une multitude de messages via les canaux réseau. Les programmes utilisés pour polluer les canaux IRC (Internet Relay Chats) appartiennent à cette catégorie. La catégorie Flooder ne reprend pas les applications qui "polluent" l'email, les clients IM et les systèmes mobiles. Ces programmes sont regroupés dans des catégories distinctes décrites dans ce tableau (Email-Flooder, IM-Flooder et SMS-Flooder). |
HackTool |
Outils de piratage |
Ils permettent de s'emparer de l'ordinateur sur lequel ils sont installés ou d'attaquer un autre ordinateur (par exemple, ajout d'autres utilisateurs au système sans l'autorisation de la victime ; purge des journaux du système afin de dissimuler les traces de leur présence dans le système). Il s'agit de quelques sniffers qui possèdent des fonctions malveillantes telles que l'interception des mots de passe. Les sniffers sont des programmes qui permettent de consulter le trafic réseau. |
Hoax |
Canulars |
Ils effraient l'utilisateur à l'aide de messages semblables à ceux que pourrait produire un virus : ils peuvent découvrir un virus dans un fichier sain ou annoncer le formatage du disque alors qu'il n'aura pas lieu. |
Spoofer |
Utilitaires d'imitation |
Ils envoient des messages et des requêtes réseau au départ d'adresses fictives. Les individus malintentionnés les utilisent pour se faire passer pour l'expéditeur. |
VirTool |
Instruments pour la modification des programmes malveillants |
Ils permettent de modifier d'autres programmes malveillants afin de les rendre invisibles pour les logiciels antivirus. |
Email-Flooder |
Programmes qui "inondent" l'email. |
Ils envoient de nombreux messages aux adresses email du carnet d'adresses ("pollution du courrier"). Ce flux important de messages empêche l'utilisateur de lire le courrier utile. |
IM-Flooder |
Programmes de "pollution" des clients IM |
Ils envoient de nombreux messages aux utilisateurs de clients IM. Ce flux important de messages empêche l'utilisateur de lire les messages utiles. |
SMS-Flooder |
Programmes de "pollution" des messages SMS |
Ils envoient de nombreux messages SMS vers les téléphones portables. |
Sous-catégorie : logiciels publicitaires (Adware)
Niveau de danger : moyen
Les logiciels publicitaires montrent des publicités à l'utilisateur. Elles affichent des bannières publicitaires dans l'interface d'autres programmes ou réorientent les demandes vers les sites dont la publicité est assurée. Certains d'entre elles recueillent également des informations marketing sur l'utilisateur qu'elles renvoient à l'auteur : par exemple, catégorie de sites Internet visités, mots clés utilisés dans les recherches. А̀ la différence des chevaux de Troie espions, elles transmettent ces informations avec l'autorisation de l'utilisateur.
Sous-catégorie : numéroteurs automatiques.
Niveau de danger : moyen
Les numéroteurs automatiques peuvent établir subrepticement des connexions téléphoniques à l'aide d'un modem.
Sous-catégorie : programmes légitimes pouvant être exploités par un individu malintentionné afin de nuire à l'ordinateur ou à vos données.
Niveau de danger : moyen
La majorité de ces applications est utile et bon nombre d'utilisateurs les emploient. Parmi ceux-ci, nous retrouvons les clients IRC, les numéroteurs automatiques (dialers), les programmes pour le chargement des fichiers, les dispositifs de surveillance de l'activité des systèmes informatiques, les utilitaires de manipulation de mots de passe, les serveurs Internet de services FTP, HTTP ou Telnet.
Toutefois, si les individus malintentionnés mettent la main sur de tels programmes ou les infiltrent dans l'ordinateur de l'utilisateur, ils peuvent exploiter certaines de leur fonction pour compromettre la sécurité.
Ces programmes se distinguent par leurs fonctions dont les types sont décrits dans le tableau ci-dessous :
Type |
Name |
Description |
---|---|---|
Client-IRC |
Clients de chats |
Les utilisateurs installent ces programmes afin de pouvoir communiquer dans les canaux IRC (Internet Relay Chats). Les individus malintentionnés les utilisent pour diffuser des programmes malveillants. |
Downloader |
Programmes de téléchargement |
Ils peuvent télécharger des fichiers depuis des pages Internet en mode caché. |
Monitor |
Programmes de surveillance |
Ils permettent de surveiller l'activité sur l'ordinateur sur lequel ils sont installée (observent les applications exécutées et les échangent de données avec les applications sur d'autres ordinateurs). |
PSWTool |
Récupérateur de mots de passe |
Ils permettent de consulter et de récupérer les mots de passe oubliés. C'est à cette fin que les individus malintentionnés les installent à l'insu des utilisateurs. |
RemoteAdmin |
Programmes d'administration à distance |
Ils sont largement utilisés par les administrateurs de système. Ces programmes permettent d'accéder à l'interface de l'ordinateur distant afin de l'observer et de l'administrer. Les individus malintentionnés les installent dans ce même but à l'insu des utilisateurs afin d'observer les ordinateurs distants et de les administrer. Les applications légitimes d'administration à distance se distinguent des Backdoors. Les chevaux de Troie possèdent des fonctions qui leur permettent de s'introduire dans un système et de s'y installer. Les applications légitimes ne possèdent pas de telles fonctions. |
Server-FTP |
Serveurs FTP |
Ils remplissent les fonctions d'un serveur FTP. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole FTP. |
Server-Proxy |
Serveurs proxy |
Ils remplissent les fonctions d'un serveur proxy. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom. |
Server-Telnet |
Serveurs Telnet |
Ils remplissent les fonctions d'un serveur Telnet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole Telnet. |
Server-Web |
Serveurs Internet |
Ils remplissent les fonctions d'un serveur Internet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole HTTP. |
RiskTool |
Outils utilisés sur l'ordinateur local |
Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille sur son propre ordinateur. Ces outils permettent à l'utilisateur de masquer des fichiers ou des fenêtres d'applications actives et de mettre fin à des processus actifs. |
NetTool |
Outils réseau |
Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille avec d'autres ordinateurs sur le réseau. Ces outils permettent à l'utilisateur de les redémarrer, de détecter les ports ouverts et de lancer des applications installées sur les ordinateurs. |
Client-P2P |
Clients de réseaux d'échange de fichiers |
Ils permettent d'utiliser les réseaux P2P. Les individus malintentionnés peuvent les utiliser pour diffuser des programmes malveillants. |
Client-SMTP |
Clients SMTP |
Envoient les emails en mode caché. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom. |
WebToolbar |
Barre d'outils Internet |
Ils ajoutent une barre d'outils dans l'interface d'autres applications en vue d'une utilisation de systèmes de recherche. |
FraudTool |
Pseudo-programmes |
Ils se font passer pour d'autres programmes. Par exemple, il existe des pseudo-programmes antivirus qui affichent des messages signalant la détection de logiciels malveillants. Or, en réalité, ils ne trouvent ni ne désinfectent rien. |
Sous-catégorie : fichiers compressés susceptibles de causer des dommages.
Niveau de danger : moyen.
Le fichier est compressé à l'aide d'un outil de compression spécial utilisé pour contenir des programmes malveillants : virus, vers, chevaux de Troie. Kaspersky Endpoint Security analyse le module de décompression dans les archives autoextractibles SFX.
Pour dissimuler les programmes malveillants afin qu'ils ne soient pas détectés par un antivirus, les pirates informatiques les compressent à l'aide d'empaqueteurs spéciaux. Les experts de Kaspersky ont identifié les outils de compression que les individus malintentionnés utilisent le plus souvent.
Sous-catégorie : fichiers compressés à plusieurs reprises.
Niveau de danger : moyen.
Le fichier est emballé par un ou plusieurs empaqueteurs trois fois ou plus.
Pour dissimuler un programme malveillant afin qu'il ne soit pas détecté par un antivirus, les pirates informatiques peuvent compresser un fichier plusieurs fois. Kaspersky Endpoint Security analyse les fichiers compressés.
Types d'objets à détecter