Assiste.com
Virus - Propagation par autopropagation (vers - worm)
Les vers ont résolu le problème de la réplication en ajoutant un module d'autopropagation à leur structure. Ils s'envoient eux-mêmes vers d'autres machines en utilisant un système de transport. Un vers ne dépend pas d'un hôte, contrairement aux virus.
cr 01.04.2012 r+ 21.08.2020 r- 18.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Les virus de type worm (ver) ont résolu l'un des problèmes des virus : celui de leur propagation. Les virus "traditionnels" sont statiques dans leur mode de propagation : ils attendent sagement qu'un être humain les balade d'une machine à une autre par hôte infecté. Les vers ont résolu ce problème en ajoutant un module d'auto-propagation à leur structure et ils s'envoient eux-mêmes, activement, vers d'autres machines en utilisant un système de transport. Un vers peut être exécuté de manière indépendante. Il ne dépend pas d'un hôte, contrairement aux virus.
Le classement des vers :
Les vers sont classés selon la méthode qu'ils utilisent pour se propager, c'est-à-dire selon la méthode qu'ils utilisent pour envoyer une copie d'eux-mêmes vers d'autres machines.
Les dispositifs de propagation des vers (worms) visent tous les systèmes de transports connus afin de se propager de leur propre initiative par ces voies au lieu de cibler les objets exécutables et d'attendre que ceux-ci soient promenés d'une machine à une autre par la volonté de l'utilisateur. Pour le reste, il s'agit de virus "normaux". Les vers (worms) sont donc des virus avec leur propre véhicule.
E-mail Worms
Si le système de transport est le courrier électronique (e-mail), le ver est classé à "e-mail worm". Pour cela il embarque un outil de collecte d'adresses e-mail dans la machine infectée et un outil d'envoie de messages (un serveur SMTP).
Voir e-mail wormsInstant Messaging Worms
Si le système de transport est une messageries instantanées (Instant Messaging - les "Messenger" comme MSN Messenger, AOL Instant Messenger, Wanadoo Messager etc. ...), le ver est classé à "Instant Messaging Worm".
Voir Instant Messaging WormsInternet Worms
Si les systèmes de transport sont les réseaux (réseaux locaux (Local NetWorks - LAN) ou réseau des réseaux (WWW - Internet)), le ver est classé à "Internet Worm"
Voir Internet WormsIRC Worms
Si les système de transport sont les cannaux IRC (zones de chat) comme mIRC..., le ver est classé à "IRC Worm".
Voir IRC WormsFile-sharing Networks Worms
Si les systèmes de transport sont les réseaux de peer to peer (p2p), en infectant les fichiers partagés ou en se faisant passer pour un fichier partagé, le ver est classé à File-sharing Networks Worms.
Voir File-sharing Networks Worms
Il existe d'autres classements des vers (worms) :
en fonction de la méthode d'installation
en fonction de la méthode de lancement
en fonction d'autres caractéristiques standard dans tous les programmes malveillants : polymorphisme, furtivité etc.
De nombreux vers parmi ceux qui ont déclenché de grandes épidémies utilisent plus d'une méthode de propagation et plus d'une technique d'infestation.
Que sont les vers ?
Les vers ne sont qu'une forme particulière de virus liée à leur mode de déplacement d'une machine à une autre (propagation). Ce sont des rampants d'où leur nom de vers.
Le ver (worm) est un virus qui n'a plus besoin de compter sur un utilisateur et sa duplication hypothétique de disquettes ou de cd-rom infestés pour sauter vers une autre machine (ou sur sa mise hypothétique en partage, dans un fichier piégé, sur un réseau de P2P). Il le fait lui-même. Le virus ne se propage pas automatiquement, le ver (worm) oui.
Les vers (worms) sont constitués des quatres couches habituelles de la structure des virus plus une, le mécanisme de propagation via un système de transport.
La charge active (payload) des vers est de même nature que celle des virus. Voir « Charge active ».
On retrouve les trois mêmes architectures :
Ceux qui infestent un poste client (une station, votre ordinateur) et sont autonomes - tous les éléments constitutifs du vers, réplicateur et charge active, sont installés sur votre machine, le réseau ne lui servant qu'à se dupliquer et se diffuser.
Ceux qui infestent les serveurs - ils sont également autonomes et tous les éléments du vers, réplicateur et charge active, sont autocontenus. Cas des vers Sapphire/Slammer par exemple ou CodeRed.
Ceux qui infestent un réseau local (un réseau d'entreprise, son serveur et ses postes clients). Le ver est constitué en plusieurs petits bouts de programmes appelés segments, chacun pouvant être dupliqué plusieurs fois, disséminés sur les différents postes du réseau. Ces segments communiquent entre-eux (coopèrent), le réseau leur servant aussi à se dupliquer. Une forme particulière de ces vers et celle dont la coopération entre les segments est orchestrée par un segment maître (segment racine) qui coordonne les activités des autres segments. Elle est appelée octopus (pieuvre). Ces vers sont assez furtifs, surtout s'ils adoptent des techniques de camouflage comme le polymorphisme, et difficiles à éradiquer.
