Les vers informatiques (worms en anglais) est une catégorie de menaces informatiques qui se distinguent par leur capacité à s’auto-propager.
Les vers informatiques sont les seuls logiciels malveillants ayant la possibilité de s’auto-propager sans action de l’utilisateur.
Les vers informatiques ont existé très tôt, autour de 2004, cette page donne un historique et quelques explications autour du fonctionnement des vers informatiques.
Introduction
Suite à la sortie du premier ransomware de type “worm” Wana Decryptor, voici un article concernant les vers informatiques ou worms.
Certaines menaces comme les trojan (cheval de troie) n’ont pas de capacité pour se propager d’un ordinateur à l’autre.
L’utilisateur doit télécharger ou exécuter un fichier malveillant conçu pour installer le trojan dans l’ordinateur (dropper).
Les virus, à proprement parlé, eux sont capables de s’installer d’un ordinateur à l’autre, si un utilisateur exécuté un fichier infecté par ce dernier, le code virale se place alors en mémoire et va infecter tous les exécutables de l’ordinateur.
Les vers informatiques, eux, intègrent la possibilité de se propager d’un ordinateur à l’autre de manière plus ou moins automatique.
Cela permet en général, des propagations importantes et surtout très rapides, plusieurs dizaines de milliers d’ordinateurs en quelques jours et ainsi constituer des botnets importants.
Fonctionnement
Pour pouvoir se propager directement, les vers informatiques exploitent la plupart du temps des vulnérablités à distance.
Les vulnérabilités à distance reposent sur des vulnérabilités sur les services réseaux de Windows.
Ces derniers ouvrent sur l’ordinateur des connexions en écoute, si le service réseau comporte une vulnérabilité, le ver va envoyer une requête sur l’ordinateur et exploiter cette vulnérabilité pour exécuter une copie de lui même et infecter l’ordinateur.
Ainsi le ver informatique saute d’un ordinateur à l’autre.
Pour cela, le vers informatique (worm) va envoyer des requêtes à l’aveugle sur tout le réseau afin de tenter de trouver des ordinateurs vulnérables.
Les requêtes vont se faire sur le réseau local mais aussi vers internet afin de trouver des ordinateurs vulnérables.
Les vers informatiques (worms) sont donc particulièrement dangereux dans les entreprises puisque ces derniers vont tenter de se propager sur tous les ordinateurs du réseau et infecter grand nombre d’ordinateurs.
Cela peut aussi saturer le réseau, si les requêtes envoyées par les ordinateurs infectés sont agressives.
L’intérêt du pare-feu Windows est alors tout prouvé, puisque ce dernier peut protéger et interdire les connexions vers les services réseaux de Windows.
Ainsi, si l’ordinateur n’est pas à jour et des services réseaux possèdent des vulnérabilités, l’attaque par les ordinateurs infectés par le ver ne pourra pas atteindre le service réseaux qui posent problèmes.
Les routeurs / box limitent aussi grandement les vers informatiques Windows puisque, les ordinateurs du réseaux ne sont pas accessibles directement depuis internet.
Bien entendu, il existe des variantes, ainsi au lieu d’exploiter des vulnérabilités sur des services réseaux de Windows, on peut aussi trouver d’autres vecteurs de propagation et d’exploitaton comme des ordinateurs avec des mots de passes faibles sur Windows (Attaque bruteforce), des messages sur réseaux sociaux, les réseaux P2P ainsi que le piratage automatique de site internet.
Worm.Autorun
Les Worm.Autorun sont des vers utilisant les médias amovibles (clés USB, disque dur externe etc).
Apparu autour de 2008, elles sont devenues des menaces informatiques importantes autour de 2011.
Par le passé, Windows exécutait automatiquement le contenu du fichier autorun.inf contenu sur les médias amovibles.
Ainsi, à l’insertion d’un média amovible, on pouvait lancer un setup ou menu automatiquement.
Des vers informatiques (worm) ont alors exploitait ceci, en créant des fichiers autorun.inf qui exécute le vers.
Lors de l’utilisation d’un nouveau média, le vers se copie à nouveau sur le média afin de pouvoir se propager d’un ordinateur à l’autre.
Microsoft a dû publier une mise à jour qui désactive autorun.inf sur Windows 2000, Windows XP et Windows 2003 (KB967715).
Depuis Windows Vista, le système d’insertion automatique a été revu pour limiter ce type d’infection.
Les liens autour de ces Worm.Autorun : Explications infections disques amovibles (clefs USB etc)
Ces vers ont alors changé de méthodes, en copiant les données vers des raccourcis (les raccourcis reprennent le nom des fichiers présents sur le média amovible).
L’utilisateur croit ouvrir ses données, mais il exécute en réalité, un raccourci qui pointe vers le fichier malicieux.
Lors de l’utilisation d’un nouveau média amovible, les données sont transformées en raccourcis afin d’infecter de nouveaux ordinateurs.
Ces médias amovibles sont écrits, en général, en scripts VBS et portent donc le nom : Worm.VBS
Plus d’informations sur les scripts VBS malveillants : Malware VBS / WSH
Plus d’informations sur les : Les virus sur clé USB.
Historique des vers / worm
Plusieurs vers informatiques ont fait parler d’eux, de part leur propagation rapide ou le nombre d’ordinateurs infectés dans le monde.
Voici une présentation des vers informatiques les plus importants.
Blaster
Blaster est un ver informatique qui s’est répandu en août 2003 parmi les ordinateurs tournant avec les systèmes d’exploitation Windows XP et Windows 2000. Il est également connu sous les noms Nachi, Lovsan et Lovesan car il contient ces deux chaînes de caractères au sein de son code (laissées délibérément par son auteur).
Blaster a exploité une vulnérabilité de type buffer overflow qui était présente dans le service DCOM RPC de Windows XP/2000. Il se propageait rapidement vers des adresses IP générées aléatoirement. Une fois infecté, l’ordinateur s’éteignait après 60 secondes. Le ver était programmé pour commencer une attaque (quatre jours après son apparition) de type SYN flood sur le site des mises à jour Windows (windowsupdate.com) ce qui a forcé Microsoft à rediriger le site vers un autre nom de domaine
Plus de 2 milliards de dollars, des centaines de milliers d’ordinateurs infectés.
De part sa menace, Microsoft a dû sortir le service pack 2 de Windows XP intégrant un pare-feu (firewall).
Bagle
Bagle est un ver de 2004 qui se propageait par des courriers électronique vérolé (virus par mail).
Il s’agit d’un ver informatique, car Bagle était capable de récupérer le carnet d’adresse d’Outlook Express / Microsoft Outlook afin d’envoyer des mails avec des pièces jointes vérolés.
Cela permettait donc de se propager d’un ordinateur à l’autre à travers la toile.
Les mails se présentaient sous la forme d’un message intitulé « Hi » accompagné d’un fichier joint de nom aléatoire, avec extension en .EXE. Il reprenaît l’icône de la calculatrice Windows. Si ce fichier joint est exécuté, la véritable calculatrice apparaît pour faire diversion, mais le virus s’envoie aux adresses présentes dans le carnet Windows ainsi que divers autres fichiers, puis tente de se connecter à plusieurs sites web dont les adresses sont préprogrammées.
En 2016, Bagle se propage par les réseaux P2P.
La fiche suivant décrit le mode de propagation : Bagle/Beagle/Trojan.Tooso.R
Le ver Bagle se propageait par des cracks vérolés, qui était en réalité une copie de lui même.
Une fois l’ordinateur infecté, des cracks vérolés étaient créés dans les dossiers de partage des logiciels P2P (Emule, Kazaa etc) afin de pouvoir être mis en ligne et que de nouveaux utilisateurs téléchargent ces derniers.
Le botnet Bagle a pu ainsi compter de 520 000 à 780 000 ordinateurs infectés de par le monde.
Koobface
Koobface est ver informatique de 2008 qui s’attaquaient aux réseaux sociaux Facebook et MySpace.
Les ordinateurs infectaient envoyers des messages malicieux sur les réseaux sociaux ou mur Facebook.
Les messages redirigeaient vers des vidéos, où un faux message d’erreur Adobe Flash apparaissait lors d’une tentative de visionnage.
Un installeur Adobe Flash était alors proposait qui s’avérait être un dropper Worm.Win32.KoobFace
Plus d’informations, voir la fiche : Net-Worm.Win32.Koobface sur FaceBook et MySpace
Le schéma ci-dessous récapitule le mode de distribution du ver KoobFace :
Exemple d’une fausse page de vidéo de Worm.Koobface :
Conficker
Conficker aka Worm.Downadup est un vers informatique apparu autour de 2009.
Conficker a infecté des millions d’ordinateurs de part le monde et utilise plusieurs méthodes de propagations :
- exploite la vulnérabilité à distance MS08-67
- par des médias amovibles :
- récupération de mot de passe sur un réseau Windows et notamment les mots de passe administrateurs du domaine afin de pouvoir installer le ver sur des ordinateurs d’un domaine
Conficker aurait infecté 15 millions d’ordinateurs de part le monde, ce qui a été un des botnet les plus importants jusqu’ici.
Wana Decryptor / WannaCry
Wana Decryptor (aka WannaCry) est un crypto-ransomware qui vise à chiffrer les documents et vous réclamer de payer une rançon pour retrouver l’accès à ces derniers.
Jusque là, rien d’exception, seulement Wana Decrypt0r est le premier ransomware avec des capacités de vers informatiques.
Notamment, ce rançongiciel exploite la vulnérabilité MS17-010, qui vise le serveur de fichiers Windows (qui gère les partages réseaux).
Le fonctionnement est similaire à Blaster, Conficker et autres et permet à partir d’ordinateurs infectés de se propager à d’autres ordinateurs en envoyant des requêtes sur les réseaux.
En une journée, ce ransomware aurait infecté plus de 50 000 ordinateurs de part le monde.
Plus d’informations sur ce worm.Ransomware :
La capture d’écran ci-dessous montre les pays les plus vulnérables et exposés à la vulnérabilité exploitée par Wana Decrypt0r , on retrouve bien, les pays les plus touchés par Wana Decryptor :
-
ransomware et ver Wana Decryptor – répartition par pays
Divers autres ver informatique
Quelques commentaires de familles de logiciels malveillants qui possèdent des fonctionnalités de propagation propres.
Ces familles sont en général qualifiés de Trojan et non de Worm.
Ainsi on peut trouver :
- Les vers IM (Messenger) très actif autour de 2007 était capablent d’envoyer des messages automatiquement sur MSN Messenger afin d’infecter les internautes, exemple aussi avec Skype et Backdoor IRC (snk) vise Skype
- Sality/Trojan.Win32.Vilsel était capable de voler des identifiants FTP, se connecter et modifier les sites internet afin d’infecter les visiteurs.
- Sathurbot : Trojan Evolué qui effectue des attaques bruteforce afin d’infecter des sites internet.
Une vidéo Sality/Trojan.Win32.Vilsel en action :
et une présentation du Trojan.Sathurbot :
Les vers IoT
Dans le paragraphe de fonctionnement, il est expliqué que les routeur et box protègent les ordinateurs du réseau de part les vers provenant d’internet.
Les ordinateurs étant derrière le routeur, lorsqu’une requête est envoyée sur votre adresse IP internet, c’est le routeur qui est contacté et non un des ordinateurs au sein du réseau.
Cela protège donc des vers informatiques visant Windows.
Seulement, ces routeurs peuvent aussi posséder des vulnérabilités qui permettent de les infecter et faire joindre un botnet.
L’article suivant donne des exemples de ces pirages de routeur en hausse depuis quelques temps : Piratages de routeurs en hausse
Ainsi, des vers ont aussi vu le jour pour automatiser ces attaques et infecter des routeurs de part le monde ou d’autres équipements & objets internet (IoT).
On trouve notamment Linux/Rakos & Linux/Moose qui visent les routeurs.
De manière générale, cela pose le problème de la sécurité des IoT, qui ont permis des attaques DDoS massives, à travers notamment le botnet Mirai, le premier botnet massif d’IoT.
Plus d’informations sur la page: Internet des objets (IoT) et sécurité
Conclusion
Les vers informatiques reposent sur un fonctionnement unique, une capacité de se propager en attaquant d’autres ordinateurs du réseau.
Maintenir à jour ses ordinateurs, sites internet est la solution pour se protéger de ces vers informatiques puisque ces derniers exploitent des vulnérablités à distance.
Le pare-feu est aussi une protection importante contre les vers, afin de limiter l’ouverture aux services réseaux et donc la possibilité de piratage.
Liens liés aux virus informatiques
- Les virus informatiques
- Pourquoi et comment je me fais infecter?
- Comment vérifier si ordinateur a été hacké ou piraté ?
- Les botnets : réseau de machines infectées
- Business malwares : le Pourquoi des infections informatique
- Comment les virus informatiques sont distribués.
- La sécurité de son PC, c’est quoi ?
