Les logiciels malveillants sont des programmes qui, de façon nuisible, bloquent l'accès aux données électroniques, les modifient, les effacent ou les rendent accessibles. Ils possèdent toujours une charge de virus (payload en anglais) produisant différents effets. Ils vont des manifestations inoffensives de leur présence à la suppression du contenu du disque dur, en passant par l'espionnage des données personnelles. On classe les programmes malveillants en trois catégories : les chevaux de Troie, les vers et les virus.

1/ Les chevaux de Troie (ou trojan)

L'expression "cheval de Troie" fait appel à la référence historique du même nom. En informatique elle décrit un programme nuisible qui se cache dans une application apparemment saine afin de pénétrer dans l’ordinateur. Une fois dans le système, le Cheval de Troie ou trojan, en ouvre les portes et télécharge d’autres programmes nuisibles sur l’ordinateur contaminé.
Pour réussir ces actions à l’insu de l’utilisateur, les méthodes de camouflage des trojans sont quasiment illimitées. Ils peuvent s'infiltrer dans les lignes de commandes des administrateurs des systèmes UNIX, comme passwd, ps, netstat (Rootkits simples), ou se présenter sous la forme de Remote Access Trojans (RAT, également appelés portes dérobées).
Un trojan ne dispose pas de routine de propagation autonome. Ces programmes se diffusent donc par téléchargement (de crack ou serialkey par exemple) ou par courrier électronique sous la forme d'économiseurs d'écran ou de jeux. Une exécution du programme apparemment sain suffit pour contaminer le système.

 

La  classification du trojan dépend de sa fonction nuisible :

Backdoors	Les Backdoors ouvrent une porte dérobée au niveau de l'ordinateur infecté. L'ordinateur est alors commandé à distance par le hacker. La plupart du temps, d'autres logiciels sont installés et l'ordinateur intégré à un botnet (réseau de robots), avec d'autres PC zombies.
Adwares	Les adwares, ou logiciels publicitaires, enregistrent les activités et les processus d'un ordinateur (habitudes de navigation, par exemple). Lorsque l'occasion s'y prête, des messages publicitaires sont alors affichés à l’utilisateur. Des résultats affichés dans les moteurs de recherche peuvent aussi être manipulés afin de conduire à des sites commerciaux spécifiques.
Spywares	Les spywares, ou logiciels espions, permettent de voler des données utilisateur : mots de passe, documents, clés d'enregistrement de logiciels, adresses électroniques, etc. Les données sont recherchées sur les supports de données ou sont filtrées à partir du trafic réseau. Les données saisies au niveau des formulaires Web (des banques en ligne, notamment) sont également collectées. Dans le pire des cas, les pirates ont alors accès à tous les comptes de messagerie, forums et boutiques en ligne utilisés par la victime. Les spywares sont généralement très utilisés par les cybercriminels (voir analyse du 1er semestre 2010).
Outils de téléchargement et injecteurs (Downloader et Dropper)	De nombreux chevaux de Troie disposent d'une mission spécifique. Les outils de chargement et les injecteurs ont pour mission de charger ou de copier un fichier sur l'ordinateur infecté. Pour ce faire, ils essaient souvent modifier ou de compromettre les paramètres de sécurité du système.
Logiciels de numérotation (Dialler)	Les logiciels de numérotation utilisent la connexion par modem bas débit pour réaliser des appels vers des numéros surtaxés. Heureusement, avec la généralisation du haut débit ces programmes nuisibles ont disparus du secteur informatique. A terme, ils pourraient toutefois revenir à destination des smartphones.

2/ Les virus

Un virus est un programme qui cherche à se propager via d’autres programmes en les modifiant ou en s’accrochant à ceux-ci. Chaque programme infecté contribuant à la propagation, l’infection est souvent rapide. Pour s’introduire dans les ordinateurs, un virus utilise les supports de données amovibles (comme les clés USB), les réseaux (poste à poste inclus), les messages électroniques ou Internet.

Il est possible de distinguer différents groupes de virus :

- Virus du secteur d'amorçage
Les virus de secteur d'amorçage ou virus MBR (Master Boot Record) s'installent avant le secteur d'amorçage d'un support de données. Au démarrage de ce support, le code de virus est lu avant le secteur d'amorçage original. Le virus peut ainsi se nicher au cœur du système d’exploitation. Après infection, le code du virus reste en mémoire. On appelle ces virus des virus résidant en mémoire. Le virus est transmis lors du formatage des disquettes et peut alors se propager sur d'autres ordinateurs. Les virus du secteur d'amorçage ne sont pas uniquement actifs lors du formatage d’un support. La commande DIR DOS peut aussi déclencher la transmission du virus d'une disquette infectée au système. Les virus de secteur d'amorçage peuvent être extrêmement dangereux ou seulement agaçants. Le plus ancien et le plus répandu de ces virus fut Form (1987).

- Virus de fichiers
De nombreux virus se cachent dans les fichiers exécutables. Le fichier peut alors soit être supprimé/écrasé, soit servir de support au virus. Dans ce dernier cas, le code exécutable du fichier est utilisé pour exécuter le virus. Ainsi, lorsque le fichier exécutable est ouvert, le code du virus est lancé et l’infection est active.

- Virus multipartites
Ce groupe de virus combine les techniques d’infection du secteur d'amorçage (ou des tables de partitions) à celles utilisées sur les fichiers exécutables. 

- Virus compagnons
Les virus compagnons ne modifient pas les fichiers exécutables mais utilisent leur exécution pour se lancer. Cette action est possible en exploitant une particularité du mode DOS des systèmes d’exploitation. Dans certaines conditions, lors de l’exécution d’un exécutable, un fichier nuisible du même nom mais portant l’extension .COM peut être exécutée en premier. Lorsque les ordinateurs s'appuyaient uniquement ou fréquemment sur les lignes de commande, il s'agissait d'un mécanisme efficace pour exécuter en toute discrétion des codes nuisibles sur un ordinateur.

- Macrovirus
Les macrovirus (voir l’histoire des Macrovirus ici) s'accrochent aux fichiers. Ils ne sont cependant pas exécutables. Les macrovirus ne sont pas écrits dans un programme d'assemblage, mais dans un langage macro, comme Visual Basic. Pour être exécutés, ils ont besoin d'un interprète du langage macro, comme ceux intégrés à Word, Excel, Access et PowerPoint. C’est pourquoi ils sont principalement intégrés dans un fichier bureautique et se répandre par e-mail. Les macrovirus fonctionnent selon les mêmes principes que les virus de fichiers. Ils peuvent également se cacher, contaminer le secteur d'amorçage et créer des virus compagnons. 

- Virus furtifs et Rootkits
Les virus furtifs et les rootkits sont dotés de mécanismes de protection spéciaux leur permettant d'échapper à leur détection par les programmes antivirus. Le but de ce type de virus est de rester indétectable afin de pouvoir utiliser les ressources de l’ordinateur infecté à l’insu de son utilisateur. Très complexe, la procédure d’infection de ce type de danger se réalise généralement en deux temps :

• L’infection, via des scripts d’installation de différents composants dans le système.
• La mise en place du payload (la charge utile) et des systèmes de camouflage se réalise alors par le téléchargement sur des serveurs distants des différents composants nécessaires.

 

Une fois établi, le virus donne accès à l’ordinateur infecté au cybercriminel. Il peut alors espionner les données présentes sur l’ordinateur ou transitant par celui-ci, ou encore utiliser ses ressources (capacité de calcul, connexion Internet) à des fins criminelles.

- Virus polymorphes
Les virus polymorphes contiennent des mécanismes leur permettant de modifier leur aspect après chaque infection. Une partie du virus est ainsi chiffrée. La routine de chiffrement intégrée au virus génère à chaque copie une nouvelle clé, voire parfois de nouvelles routines. En outre, des séquences de commandes qui ne sont pas nécessaires au fonctionnement du virus peuvent être remplacées ou insérées accidentellement. Ainsi, on peut créer facilement des milliards de variantes d'un virus. Pour détecter et éliminer les virus chiffrés et polymorphes, les signatures de virus classiques ne sont souvent pas suffisantes. Le plus souvent, il faut écrire des programmes spécifiques.

- Tentative de virus
La tentative de virus désigne un virus partiellement défectueux qui infecte un premier fichier mais n'est pas en mesure de se reproduire.

- Virus de courriers électroniques
Les virus de courriers électroniques appartiennent au groupe des "blended threats" (menaces mixtes). Certains logiciels malveillants associent les propriétés des chevaux de Troie, des vers et des virus. Le virus Bubbleboy (voir son historique ici) a montré qu'il était possible de contaminer un ordinateur dès l'affichage de l'aperçu d'un message HTML. Le code du virus se cache dans les courriers HTML et utilise une faille de sécurité de Microsoft Internet Explorer. Le risque présenté par ces "virus mixtes" ne doit pas être sous-estimé.

3/ Les vers

Contrairement aux virus, les vers ne s'attachent pas aux fichiers exécutables. Ils se transmettent d'un ordinateur à l'autre par des connexions réseau ou entre ordinateurs.

Il existe différent type de ver :

- Ver de réseau
Un ver de réseau analyse au sein d’un réseau informatique les ports des ordinateurs accessibles. Pour qu’une attaque soit possible, les vers exploitent des failles pour se propager. Lovsan/Blaser et CodeRed sont des représentants notoires de cette catégorie.
Sasser profite d'une erreur de dépassement de mémoire tampon dans le Local Security Authority Subsystem Service (LSASS) pour contaminer les ordinateurs connectés à Internet.

- Ver de messagerie
Dans le cas de la propagation par courrier électronique, les vers peuvent utiliser les programmes de messagerie (par exemple, Outlook ou Outlook Express) ou posséder leur propre moteur de messagerie SMTP. En plus du trafic réseau qui en résulte et de l'augmentation des ressources système, les vers peuvent contenir d'autres fonctions nuisibles. Beagle et Sober sont des exemples célèbres de ce groupe.

- Ver peer to peer
Les vers peer to peer sont copiés dans les zones de partage des logiciels peer to peer, tels qu’Emule, Kazaa, etc. Là, ils attendent leurs victimes sous des noms de fichiers attrayants, comme ceux de logiciels à la mode ou de personnalités importantes.

- Ver de messagerie instantanée
Les vers de messagerie instantanée utilisent les programmes de discussion pour se propager. Ils n'utilisent pas seulement les fonctions de transfert des fichiers. Ils envoient désormais souvent un lien vers un site Web nuisible. Certains vers de messagerie instantanée sont même en mesure de discuter avec les victimes.

Points communs entre les virus et les vers

Les virus et les vers sont constitués des éléments communs suivants :

- Reproduction
Cette section du programme permet de multiplier le virus. Cette phase est obligatoire pour tous les virus et les vers. La contamination peut se faire par le biais de supports de données amovibles, de dossiers partagés, du réseau, de courriers électroniques ou de la messagerie instantanée. 

- DétectionLa fonction de détection permet de vérifier s'il y a déjà une infection avec ce virus. Chaque programme n'est infecté qu'une seule fois afin d'accélérer la propagation et de préserver le camouflage.

- Charge virale
Les charges (payload) qui accompagnent les virus et les vers peuvent être classées dans les groupes suivants :

• Portes dérobées : Elles permettent aux pirates d'accéder aux ordinateurs et aux données qu'ils contiennent. Ils peuvent ainsi manipuler les données ou déclencher des attaques par déni de service (DoS).
• Manipulation de données : Cela va des messages, des annonces et des bruits (plus ou moins drôles) jusqu'à la suppression de fichiers et de lecteurs.
• Chiffrement : l'accès aux données de l’utilisateur peut être bloqué par le biais du chiffrement (ransonware).
• Espionnage des données : Les objectifs de ces attaques sont les mots de passe, les numéros des cartes de crédit, les noms d'utilisateur et autres données personnelles et secrets industriels.
• Les attaques DDOS (déni de service distribué) : Les attaques de déni de service ont pour but de perturber un service ou un site à travers des requêtes envoyées fréquemment et en grand nombre à la cible. Si l'attaque ne provient que d'une seule source, alors il est très facile de la repousser. Dans le cadre des attaques par déni de service distribué (DDoS), les ordinateurs contaminés sont utilisés pour soutenir les attaques. Les attaques DoS et DDoS peuvent avoir pour but de redémarrer le système cible, de surcharger la bande passante et la capacité de mémoire ou de bloquer l'accès à un service du réseau. Sans arriver à la défaillance du système, le temps de calcul sollicité, la largeur de bande réseau requise ou l'espace disque occupé représentent de toute façon une nuisance.
  
  

- Conditions    
La propagation des virus et des programmes nuisibles peut prendre effet selon certaines conditions.
Dans le plus simple des cas, un programme nuisible est automatiquement lancé sans que la victime s'en aperçoive.
Dans certains cas, le payload est exécuté par la victime. Il peut s'agir de l'activation d'un programme contaminé, de l'ouverture d'une pièce jointe ou de l'hameçonnage de données personnelles.
Le lancement d'un programme nuisible peut également être soumis à certaines autres conditions. Par exemple, un virus peut prendre effet à une certaine date ou après un certain nombre d'alertes. L'exécution peut également dépendre de la présence de certains programmes sur l'ordinateur.

- Camouflage 

  
D’une manière générale, les malwares (principalement récents) s'efforcent de ne pas être détectés par les utilisateurs et les logiciels antivirus. Pour ce faire, ils disposent souvent de toute une série de mécanismes.

• Repérage : Ils repèrent les débogueurs ou s’en protègent en insérant dans leur code des lignes superflues dépourvues de sens.
• Falsification : Pour cacher les traces d'infection ils falsifient les messages d'état ou les entrées des journaux. Un virus se trouvant dans la mémoire peut ainsi faire croire au système qu’il s’agit d’un programme inoffensif. Cette procédure est notamment appliquée par les Rootkits.
• Chiffrement : Pour ne pas être découverts, les virus sont souvent chiffrés et/ou chiffrent leur code nuisible. Pour le déchiffrement, soit ce sont toujours les mêmes clés qui sont utilisées, soit les clés sont tirées d'une liste (oligomorphes), soit elles sont recréées à l'infini (polymorphes).
• Packers : Les runtime packers permettent de déstructurer les fichiers exécutables de telle manière qu'ils deviennent indétectables par les dernières signatures antivirus.