G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

G Data: Histoire des malwares

Home

Histoire des malwares

Histoire des malwares : 1995 - 2005

Internet se généralise. Cette formidable capacité d’échange d’informations et d’interaction entre les ordinateurs est un terreau fertile à la diffusion de virus. Plusieurs attaques massives poussent à une prise de conscience : avec Internet, il faut repenser la sécurité des ordinateurs.




1995

L’époque des macrovirus

Les premiers macrovirus apparaissent avec DMV et Nachtwächter. Concept 1995 est le premier macrovirus à entrer dans le domaine public et à se répandre dans des systèmes anglais de manière illimitée.

Le premier macrovirus polymorphe apparaît en Allemagne avec Hunter.c.

Wm.Concept est le premier macrovirus « in the wild » pour Word (virus HyperCard mis à part). Il se présente sous un nom attirant : « That's enough to prove a point. » (approximativement : « c’est suffisant comme preuve ») afin de pousser les utilisateurs à l’ouvrir. 
Wm.Concept est le point départ des virus dits « Proof of Concept ». Les virus POC montrent qu’il est possible de tirer profit d’une faille sans vraiment provoquer de dommages. 

L’apparition des macrovirus impose des exigences élevées aux outils d’analyse antiviraux. 

 



1996

Les premiers générateurs de virus apparaissent pour des macrovirus allemands et anglais. Les macrovirus ne se limitent pas à Word, ils visent également les fichiers Excel et AmiPro. Ils dépassent les limites des systèmes d’exploitation et infectent aussi bien les ordinateurs PC que Mac.

Laroux infecte le premier les fichiers MS-Excel.

Boza est le premier virus au format PE-EXE à infecter les fichiers de Windows 95. Il a été rédigé par Quantum, un membre du groupe des auteurs de virus australien.

 


1997

Les virus deviennent de plus en plus spécialisés et attaquent les points faibles des programmes, des systèmes d’exploitation ou du disque dur.

Les premiers scripts mIRC, diffusés à la manière d’un vers entre les utilisateurs de messageries instantanées, font leur apparition.

Le premier virus du système d’exploitation Linux fait son apparition.

 






1998

Les Backdoors : nouveaux moyens d’attaque 

Strange Brew est le premier virus pour Java.

Mis à part les macrovirus, qui sont désormais présents dans Access et d’autres programmes, les ordinateurs équipés de MacOS n’ont pas été contaminés par des virus depuis au moins trois ans. Le ver Autostart.9805 met fin cette relative accalmie. Autostart utilise le mécanisme de démarrage automatique QuickTime sur les ordinateurs PowerPC et se copie sur des disques durs et d’autres supports de données. Certains fichiers sont écrasés par des données superflues et sont ainsi rendus inutilisables. AutoStart se propage de Hong Kong au reste du monde.

Avec Netbus et Back Orifice, les portes dérobées, grâce auxquelles il est possible de surveiller et contrôler à distance l’ordinateur à l’insu de la victime, font leur apparition. Avec Back Orifice, les fonctions de commande à distance peuvent être utilisées à l’insu de l’utilisateur : toutes les caractéristiques d’un trojan. 

En juin, CIH (Spacefiller, Chernobyl) fait son apparition à Taïwan. Il dispose d’une des charges utiles les plus nuisibles de toute l’histoire des virus. Si sa fonction nuisible est activée (le 26 avril), il écrase le Flash-BIOS et le tableau de partitions du disque dur. Alors, l’ordinateur ne peut plus redémarrer. Sur certaines cartes mères, il faut changer les BIOS ou les reprogrammer. Les données sont cependant perdues, même après la restauration du système. L’auteur, l’étudiant chinois Chen Ing-Hau, n’a pas été poursuivi par la justice.  

VBS.Rabbit est le premier virus à utiliser l’hôte de script Windows (WSH, Windows Scripting Host). Il est rédigé en langage Visual Basic et s’attaque aux autres fichiers VBS. HTML.Prepend indique qu’il est possible d’infecter des fichiers HTML avec VBScript.





1999

L’email, moyen de propagation par excellence

En mars, le macrovirus Melissa infecte en un jour des milliers d’ordinateurs. Une fois le système Windows infecté, le fichier word contaminé est envoyé par courrier électronique aux 50 premières adresses du carnet d’adresses Outlook de l’ordinateur. Ainsi de suite, Ce « Mass Mailer » sature rapidement les réseaux et de nombreux serveurs de messagerie cèdent sous le poids des courriers électroniques. Selon la justice américaine, le montant des dégâts engendrés par cette attaque aurait été d’environ 1,2 milliards de dollars. En août, le créateur du vers, David l.Smith est arrêté. Il sera condamné en 2000 à 20 mois de prison. Une peine relativement faible qui s’explique par la collaboration technique de David l.Smith avec les autorités afin de combattre d’autres créateurs de virus. 

Happy99 fabrique une copie à partir de chaque courrier électronique envoyé et l’envoie de nouveau, avec le même texte, le même objet et un ver comme fichier joint en annexe. Il fonctionne également avec les envois Usenet.

En juin, ExploreZip se camoufle derrière une archive auto-extractible qui est envoyée en réponse à un courrier électronique entrant. Il se propage à travers les échanges entre réseaux et la négligence d’un utilisateur du réseau suffit à infecter les ordinateurs du réseau. La partie nuisible du virus recherche et efface les programmes en langages C et C++, ainsi que les fichiers Excel, Word et PowerPoint. 

Pretty Park se propage par le biais des courriers électroniques, mais également de messageries instantanées IRC. Il dispose de mécanismes de protection et de camouflage très efficaces qui empêchent la suppression du ver. Le ver est reconnu comme légitime dès la deuxième exécution de l’outil d’analyse des virus. Parfois même, les outils d’analyse des virus sont bloqués. Une manipulation du registre permet au virus Pretty Park d’être exécuté avant les fichiers EXE. En conséquence, tous les fichiers EXE sont identifiés comme contaminés par les antivirus.

En novembre, avec le virus informatique Bubbleboy, il suffit d’ouvrir un courrier électronique (même en mode d’aperçu) pour infecter l’ordinateur. Cette attaque touche les utilisateurs de l’application Microsoft Outlook. Bubbleboy utilise pour cela une erreur dans une bibliothèque de programmes.

 




2000

L’épisode ILOVEYOU marque les esprits

Malgré toutes les prophéties, aucun « danger du millénaire » n’apparait.

Palm/Phage et Palm/Liberty-A sont certes rares, mais capables d'infecter des assistants numériques personnels équipés du système PalmOS.

Le ver en script VB ou VBS/KAKworm exploite un point faible dans les scriplets et les typelibs d'Internet Explorer. Comme BubbleBoy, il est diffusé au moment de l'ouverture d'un courrier électronique (même sur l'écran de prévisualisation).

Le 4 mai, un courrier électronique intégrant une pièce jointe nommée Love-Letter-for-you.txt.vbs se propage sur les réseaux. Une fois la pièce jointe ouverte, l’ordinateur est infecté (fichiers renommés, base de registrre modifiée, etc.) et le vers « ILOVEYOU » est envoyé par courrier électronique à tous les contacts du carnet d'adresses Outlook de la victime. Le 13 mai, près de 50 millions d’ordinateurs sont infectés à travers le monde.  Les dommages auraient été quantifiés à près de 5 milliards de dollars. Les créateurs de ce vers, deux étudiants philippins, Reomel Ramones et Onel de Guzman n’ont jamais été condamnés, car  aucune loi aux Philippines  ne condamnait l’écriture de virus. En juillet, soit trois mois plus tard, le congrès philippin votait une loi relative à l’écriture de codes malveillants.

Après l’épisode LoveLetter et ses multiples variantes, les courriers électroniques sont filtrés au niveau des routeurs de fournisseurs d’accès en fonction des lignes d'objet. Mais déjà de nouvelles techniques voient le jour pour contourner ces protections. Ainsi, en juin, le vers Life Stages génère différentes lignes d'objet et peut donc passer à travers les mailles du filet.

En septembre, avec Liberty, les premiers chevaux de Troie pour assistants numériques personnels font leur apparition en Suède. Le virus est transmis lors de la synchronisation avec l'ordinateur PC et supprime ensuite toutes les mises à jour.





2001

Code Red attaque la maison blanche

En février, un ver se répand par courrier électronique, contenant en pièce jointe une prétendue photo de la joueuse de tennis russe Anna Kournikova. Une fois le courrier ouvert, le ver s'installe et est envoyé à toutes les adresses du répertoire Outlook.

Naked est également diffusé par courrier électronique. Il se présente sous la forme d'une animation Flash d'une femme nue. Une fois le courrier ouvert, le virus s'installe et est envoyé à toutes les adresses Outlook. Il supprime également les répertoires Windows et Système, ce qui rend l'ordinateur inutilisable. L'ordinateur ne peut être de nouveau utilisé qu'une fois le système d'exploitation réinstallé.

Le 13 juillet, Code Red exploite une erreur de dépassement de mémoire tampon du service d'indexage DLL du serveur d'informations Internet (IIS) de Windows NT, 2000 et XP. Il analyse de manière aléatoire les adresses IP à partir du port standard des liaisons Internet et diffuse un trojan. Entre le 20 et le 27 juillet, tous les ordinateurs infectés et connectés à Internet lancent une attaque par déni de service contre le site de la Maison blanche. La suppression du virus est très chère et engloutit des milliards.

Toujours en juillet, SirCam est diffusé sur les réseaux et via Outlook Express et introduit quelques nouveautés. Il veille à ce qu'un fichier EXE soit activé à chaque démarrage de Windows. Il est aussi le premier ver à disposer d'un moteur SMTP intégré. Il peut donc se répandre par lui-même, mais aussi envoyer des données personnelles de l’utilisateur sur un serveur distant. 

Le 18 septembre, le vers Nimda introduit une nouvelle fonctionnalité dans les dangers. Alors que l’utilisateur devait auparavant exécuter un code par exécution d’un fichier, avec Nimda aucune interaction de l'utilisateur n’est nécessaire pour assurer sa diffusion. Sa propagation se réalise via les courriers électroniques, les dossiers partagés en réseau, la navigation sur des sites Internet infectés ou l’exploitation de failles de sécurité dans Windows IIS. Ce vers infecte aussi les fichiers.

En novembre, le ver résidant en mémoire Badtrans utilise une faille de sécurité dans Outlook et Outlook Express pour se propager. Il s'installe en tant que service, répond aux courriers électroniques, espionne les mots de passe et enregistre les frappes au clavier.

G Data Software édite ses premières versions de solutions de sécurité dédiées aux entreprises. G Data AntiVirus Business et G Data AntiVirus Enterprise font leur apparition. 



2002

Le ver MyParty prouve au début de l'année que tout ce qui se termine par ".com" n'est pas forcément un site Internet. Celui qui double-clique sur le lien "www.myparty.yahoo.com" reçoit à la place des photos attendues un ver avec des composants de porte dérobée.

Klez exploite les failles de sécurité du programme IFRAME d'Internet Explorer pour s'installer automatiquement à la lecture du courrier électronique. Il se propage par courrier électronique et via le réseau et s’attache aux fichiers exécutables. Le 13 des mois pairs (ou d'autres jours selon les versions), tous les fichiers de tous les lecteurs accessibles sont écrasés. On ne peut restaurer les contenus que par des sauvegardes.

En mai, Benjamin est le premier ver à se propager sur le réseau KaZaA. Il s'installe sous différents noms dans le dossier de partage. Sur les ordinateurs infectés, la page d’accueil est modifiée et affiche maintenant de la publicité. Les réseaux P2P basés sur Gnutella ont déjà été infectés.

Le ver Lentin se répand via les fichiers .SCR. Ces fichiers ne sont pas seulement des animations d’économiseurs d'écran, mais sont aussi des fichiers exécutables potentiellement dangereux. Comparée à Klez, sa fonction nuisible est limitée. Sa vitesse de propagation n'est pas non plus comparable à celle de Klez.

Fin septembre, Opasoft (également appelé Brazil) se diffuse très rapidement. À partir d’un ordinateur infecté, il utilise le port 137 pour analyse le réseau et identifier les partages de fichiers et/ou d'imprimantes. Il tente ensuite d’accéder à l'ordinateur. En cas de protection du partage par un mot de passe, une liste de mots de passe est utilisée. Mais le virus profite aussi d’une faille dans la protection des mots de passe de Windows pour contourner la protection et se répandre sur l’ordinateur cible.

Tanatos alias BugBear détrône Klez de sa place de premier. Le ver se propage par courrier électronique et via le réseau, installe un composant de logiciel espion et envoie les enregistrements de frappes de clavier sur un serveur distant.

G Data Software intègre la technologie DoubleScan dans ses solutions. Il est le premier éditeur à utiliser en parallèle deux moteurs d’analyse antivirale pour optimiser la détection de malwares.

 

 





2003

Internet paralysé par une attaque sur les serveurs

En janvier, SQL-Slammer infecte quelques 75 000 serveurs SQL en 10 minutes ! Pour neutraliser les serveurs de bases de données, le ver utilise une faille du serveur SQL Microsoft connue depuis six mois. SQL-Slammer étant uniquement généré par une demande erronée et n'étant pas chargé en tant que fichier dans la mémoire, il n'est pas détecté par les programmes antivirus. Les conséquences économiques de Slammer sont importantes. A Seattle, les numéros d'urgence de la police et des pompiers sont inaccessibles, les guichets automatiques de Bank of America ne fonctionnent plus, 14 000 bureaux de poste Italiens restent fermés et la bourse en ligne est fortement affectée. La Corée du Sud est totalement déconnectée des réseaux pendant 12 heures. 

Le 11 aout, le virus Blaster apparait. Il se propage très rapidement pour arriver à son apogée le 13 aout (570 000 ordinateurs auraient été infectés). Ce ver se propage de manière autonome sur Internet en utilisant une faille de sécurité au niveau du service RPC/DCOM, pourtant comblé par Microsoft quatre semaines auparavant. Peu après, Welchia (alias Nachi) apparait. Ce vers supprime Lovesan/Blaster des ordinateurs et résoud la faille de sécurité RPC/DCOM. Un vers utile qui augmente toutefois le trafic réseau et qui applique des modifications dans le système sans aucune autorisation de l’utilisateur… 
Le 29 aout, un Américain, Jeffrey Lee Parsons âgé de 18 ans et auteur de Lovesan (une variante de Blaster), est arrêté. Cette variante aurait infecté près de 48 000 ordinateurs. En mars 2005, il sera condamné à 18 mois de prison.


Le ver Sobig.F établit un nouveau record de vitesse de propagation en utilisant son propre serveur de messagerie. Il se propage dix fois plus vite que les virus précédents. Sobig aurait infecté près de 500 000 ordinateurs à travers le monde.

 





2004

L’année de tous les dangers

Rugrat est le premier virus destiné au système Windows de 64 bits.

Cabir, le premier virus pour les téléphones mobiles équipés du système d'exploitation Symbian et de l'interface Bluetooth a été conçu par le groupe 29A, connu pour ses virus Proof of Concept. Peu après, le virus WinCE.4Dust.A, premier virus PoC pour Windows CE a été conçu par le même groupe.

Bagle est un ver qui se propage par courrier électronique et réseaux Peer to Peer. Ce Mass Mailer qui apparait le 18 janvier est un préalable à une série d’attaques qui se déroulera tout au long de l’année 2004. Les pirates se livrent une véritable bataille, chacun voulant faire encore plus fort que le concurrent. 

MyDoom apparait le 26 janvier. Il détrône Sobig en tant que vers se répandant le plus rapidement. En 4 jours 1 millions d’ordinateurs sont infectés par ce ver. Les PC infectés conduisent des attaques par déni de service vers le site de la société SCO Group. Un peu plus tard, les ordinateurs infectés par la variante MyDoom.B ciblent le site de Microsoft. D’autres variantes attaqueront les moteurs Google, AltaVista et Lycos. L’auteur de ce vers n’a jamais été identifié.

Netsky fait partie de la longue série des vers Mass Mailer qui vont sévir durant l’année 2004. 

Sasser apparait le 30 avril. Ce ver se propage automatiquement dans le réseau à travers une faille de sécurité sur les systèmes Windows (2000, XP et 2003 Server) n’ayant pas été mis à jour par un correctif de sécurité (mis à disposition le 13 avril). Cette propagation rapide met certains réseaux hors service. L’Agence France Presse voit par exemple ses communications satellites bloquées pendant plusieurs heures, et la compagnie Delta Air Line doit annuler plusieurs vols suite à des problèmes de réseau informatique. Cette attaque aurait coûté des dizaines de millions de dollars à l’économie mondiale. Sven Jaschan, un allemand de 18 ans est arrêté pour la création de ce vers. Il est aussi le créateur de Netsky. AC, une variante du vers Netsky. Reconnu coupable de sabotage, Sven Jaschan écopera en 2005 de seulement 21 mois de prison avec sursis, celui-ci ayant été considéré comme mineur au moment de la création des vers.

Pour faire face à toutes les menaces, G Data Software édite sa première suite de sécurité, G Data InternetSecurity.

 



2005

CommWarrior.A, premier vers pour Smartphone Symbian, se propage grâce au système MMS. Il envoie des messages MMS, incluant différents types de textes, comme des logiciels antivirus, des jeux, des pilotes, des émulateurs, des logiciels en 3D ou des images intéressantes, à toutes les entrées du répertoire.

G Data Software intègre dans ses solutions une technologie de Cloud Security afin de lutter contre les nouveaux dangers. La technologie OutbreakShield, une base de données en ligne, assure la protection en temps réel contre le Spam et les malwares inconnus.