Un aperçu de l’histoire des virus, des vers et des chevaux de Troie - troisième partie
Les premiers macrovirus ont fait leur apparition en 1995. Jusqu’alors, seuls des fichiers exécutables ou des secteurs d’amorçage étaient infectés. Les macrovirus posent des exigences élevées aux systèmes de détection. Melissa, Loveletter, Sobig et consorts ne cessent d’aligner de nouveaux records de vitesse de propagation.
1995 | Les premiers macrovirus font leur apparition avec "DMV" et "Nachtwächter". "Concept 1995" a été le premier macrovirus à entrer dans le domaine public et à se répandre dans des systèmes anglais de manière illimitée. Le premier macrovirus polymorphe apparaît en Allemagne avec Hunter.c. Wm.Concept est le premier macrovirus "in the wild" pour Word (virus HyperCard mis à part). Il ne comporte comme message que "That's enough to prove a point." (approximativement : "c’est suffisant comme preuve") et fut le virus le plus répandu peu de temps après. Wm.Concept créa la famille des virus "Proof of Concept". Les virus POC montrent qu’il est possible de tirer profit d’une faille sans vraiment provoquer de dommages. La détection des macrovirus impose des exigences élevées aux outils d’analyse des virus, et pas seulement à cause des formats des langages de script et des fichiers Office qui changent en permanence. |
1996 | Les premiers générateurs de virus apparaissent pour des macrovirus allemands et anglais. Les macrovirus ne se limitent pas à Word, ils visent également les fichiers Excel et AmiPro. Ils dépassent les limites des systèmes d’exploitation et infectent aussi bien les ordinateurs PC que Mac. Laroux infecte le premier les fichiers MS-Excel. Boza est le premier virus au format PE-EXE à infecter les fichiers de Windows 95. Il a été rédigé par Quantum, un membre du groupe des auteurs de virus australien. |
1997 | Les virus deviennent de plus en plus spécialisés et attaquent les points faibles des programmes, des systèmes d’exploitation ou du disque dur. Les premiers scripts mIRC, diffusés à la manière de vers entre les utilisateurs de messageries instantanées, font leur apparition. Le premier virus du système d’exploitation Linux fait son apparition. |
1998 | Strange Brew est le premier virus pour Java. Mis à part les macrovirus, qui sont désormais présents dans Access et d’autres programmes, les ordinateurs PC avec MacOS n’ont pas été contaminés par des virus depuis au moins trois ans. Cela change avec le ver Autostart.9805. Autostart utilise le mécanisme de démarrage automatique Quicktime sur les ordinateurs PowerPC et se copie sur des disques durs et d’autres supports de données. Certains fichiers sont écrasés par des données superflues et sont ainsi rendus inutilisables. AutoStart se propage de Hong Kong au reste du monde. Pour en savoir plus... Avec Netbus et Back Orifice, les portes dérobées, grâce auxquelles il est possible de surveiller et contrôler à distance l’ordinateur à l’insu de la victime, font leur apparition. En ce qui concerne Back Orifice, on se demande s’il s’agit d’un logiciel de maintenance ou de commande à distance. Comme les fonctions de commande à distance peuvent être utilisées sans que l’utilisateur ne le sache, Back Orifice est considéré comme un cheval de Troie. Avec Back Orifice, un pirate a réussi au milieu des années 2000 à entrer dans le réseau interne de Microsoft. En juin, CIH (Spacefiller, Chernobyl) fait son apparition à Taïwan. Il dispose d’une des charges utiles les plus nuisibles de toute l’histoire des virus. Il nous invite à nous demander si les virus sont en mesure de détruire le disque dur. Si sa fonction nuisible est activée (le 26 avril), il écrase le Flash-BIOS et le tableau de partitions du disque dur. Alors, l’ordinateur ne peut plus redémarrer. Sur certaines cartes mères, il faut changer les BIOS ou les reprogrammer. Les données sont cependant perdues, même après la restauration du système. L’auteur, l’étudiant chinois Chen Ing-Hau, n’a pas été poursuivi par la justice. Pour en savoir plus… VBS.Rabbit est le premier virus à utiliser l’hôte de script Windows (WSH, Windows Scripting Host). Il est rédigé en langage Visual Basic et s’attaque aux autres fichiers VBS. HTML.Prepend indique qu’il est possible d’infecter des fichiers HTML avec VBScript. Dr. Solomons a été acheté par Network Associates. Comme précédemment avec McAfee, les clients se sont détournés du programme. |
1999 | En mars, le ver "Melissa" a, dès le premier jour de son apparition, infecté des milliers d’ordinateurs et il s’est propagé partout dans le monde comme une traînée de poudre. Il envoie des courriers électroniques aux 50 premières adresses du carnet d’adresses Outlook, de nombreux serveurs de messagerie cèdent sous le poids des courriers électroniques. En août, David l.Smith révèle être à l’origine du ver. Happy99 fabrique une copie à partir de chaque courrier électronique envoyé et l’envoie de nouveau, avec le même texte, le même objet et un ver comme fichier joint en annexe. Il fonctionne également avec les envois Usenet. En juin, ExploreZip se camoulfle derrière une archive auto-décompressible qui est envoyée en réponse à un courrier électronique entrant. Il se propage à travers les échanges entre réseaux et la négligence d’un utilisateur du réseau suffit à infecter les ordinateurs du réseau. La partie nuisible du virus recherche et efface les programmes en langages C et C++, ainsi que les fichiers Excel, Word et PowerPoint. Pour en savoir plus… Pretty Park se propage par le biais des courriers électroniques mais également des messageries instantanées (IRC). Il dispose de mécanismes de protection et de camouflage très efficaces qui empêchent la suppression du ver. Le ver est reconnu comme légitime dès la deuxième exécution de l’outil d’analyse des virus. Parfois même, les outils d’analyse des virus sont bloqués. Une manipulation du registre permet au virus Pretty Park d’être exécuté avant les fichiers EXE. En conséquence, tous les fichiers EXE semblent contaminés. En novembre, avec Bubbleboy, la vision de "Good-Times", selon laquelle il suffit d’ouvrir un courrier électronique (même en mode d’aperçu) pour infecter l’ordinateur, devient réalité pour les utilisateurs de l’application Outlook. Bubbleboy utilise pour cela une erreur dans une bibliothèque de programmes. |
2000 | Malgré toutes les prophéties, il n'existe pas de "ver du millénaire" qui aurait mérité de porter ce nom. Palm/Phage et Palm/Liberty-A sont certes rares, mais capables d'infecter des assistants numériques personnels équipés du système PalmOS. Le ver en script VB ou VBS/KAKworm exploite le point faible des scriplets et des typelibs d'Internet Explorer. Comme BubbleBoy, il est diffusé au moment de l'ouverture d'un courrier électronique (même sur l'écran de prévisualisation). En mai, un ver envoie une avalanche de courriers électroniques avec l'objet "I love you" à partir du carnet d'adresses Outlook et occasionne d'énormes dégâts sur les réseaux internes des grandes entreprises. Ici aussi, les réseaux peuvent être complètement submergés en peu de temps. À partir de la version originale d'un étudiant philippin nommé Onel de Guzman, de nombreuses variantes ont été fabriquées. Les experts américains ont parlé de virus le plus pernicieux de l'histoire de l'informatique. L'auteur de W95/MTX s'est donné toutes les peines du monde pour supprimer les vers/virus hybrides des ordinateurs. Il a envoyé un fichier PIF avec une double extension pour chaque courrier électronique. Il bloque l'accès du navigateur vers quelques sites de fabricants d'antivirus et contamine les fichiers avec le virus qui remplace également quelques fichiers. Après la lettre d'amour et ses multiples variantes, les courriers électroniques ont été filtrés aux niveaux des portails des messageries en fonction des lignes d'objet. Stages of Life disposait de différentes lignes d'objet et a donc pu passer à travers les mailles du filet. En septembre, avec Liberty, les premiers chevaux de Troie pour assistants numériques personnels ont fait leur apparition en Suède. Le virus est transmis lors de la synchronisation avec l'ordinateur PC et supprime ensuite les actualisations. |
2001 | En février, un ver se répand par courrier électronique, contenant en pièce jointe une prétendue photo de la joueuse de tennis russe Anna Kournikova. Une fois le courrier ouvert, le ver s'installe et est envoyé à toutes les adresses du répertoire Outlook. Naked est également diffusé par courrier électronique. Il se présente sous la forme d'une animation Flash d'une femme nue. Une fois le courrier ouvert, le virus s'installe et est envoyé à toutes les adresses Outlook. Il supprime également les répertoires Windows et du système, ce qui rend l'ordinateur inutilisable. L'ordinateur ne peut être de nouveau utilisé qu'une fois le système d'exploitation réinstallé. En juillet, Code Red a exploité une erreur de dépassement de mémoire tampon du service d'indexage DLL du serveur d'informations Internet de Windows NT, 2000 et XP. Il analyse de manière aléatoire les adresses IP à partir du port standard des liaisons Internet et envoie un cheval de Troie qui lance une attaque par déni de service entre le 20 et le 27 du mois contre le site de la Maison blanche. La suppression du virus est très chère et engloutit des milliards. En juillet, SirCam est diffusé sur les réseaux et via Outlook Express et introduit quelques nouveautés. Il veille à ce qu'un fichier EXE soit activé à chaque démarrage. Il est le premier ver à disposer d'un moteur SMTP propre. Il est donc envoyé avec les données personnelles se trouvant sur l'ordinateur. En septembre, avec Nimda, un ver Internet ne nécessitant aucune interaction de l'utilisateur fait son apparition. Pour se diffuser, il utilise les courriers électroniques, ainsi que les failles de sécurité des programmes. De nombreux serveurs Web sont surchargés et les systèmes de fichiers infectés sont lisibles par tous. En novembre, le ver résidant en mémoire Badtrans utilise une faille de sécurité dans Outlook et Outlook Express pour se propager. Il s'installe en tant que service, répond aux courriers électroniques, espionne les mots de passe et enregistre les frappes au clavier. |
2002 | Le ver "MyParty" a prouvé au début de l'année que tout ce qui se termine par ".com" n'est pas forcément un site Internet. Celui qui double-clique sur le lien "www.myparty.yahoo.com" reçoit à la place des photos attendues un ver avec des composants de porte dérobée. Au début de l'année et en été, Klez exploite les failles de sécurité du programme IFRAME d'Internet Explorer pour s'installer automatiquement à la lecture du courrier électronique. Il se propage par courrier électronique et via le réseau et est joint aux fichiers exécutables. Le 13 des mois pairs (il s'agissait d'autres jours dans les anciennes versions), tous les fichiers de tous les lecteurs accessibles avec des contenus aléatoires sont écrasés. On ne peut restaurer les contenus que par des sauvegardes. En mai, Benjamin fut le premier ver à se propager sur le réseau KaZaA. Il s'installe sous différents noms dans un dossier réseau. Sur les ordinateurs infectés, une page Internet s'affiche avec de la publicité. Les réseaux P2P basés sur Gnutella ont déjà été infectés. Lentin est un ver qui profite du fait que beaucoup de gens ne savent pas que les fichiers SCR ne sont pas seulement de simples économiseurs d'écran mais également des fichiers exécutables. Comparé à Klez, sa fonction nuisible est limitée. Sa vitesse de propagation n'est pas non plus comparable à celle de Klez. Fin septembre, Opasoft (également appelé Brazil) s'est diffusé comme une traînée de poudre. Sur le port 137, l'ordinateur analyse le réseau et identifie les partages de fichiers et/ou d'imprimantes. Ensuite, il essaie de se copier sur l'ordinateur. En cas de protection à l'aide d'un mot de passe, une liste de mots de passe défile et le virus profite alors d'une faille dans le stockage des mots de passe. Tanatos alias BugBear est le premier ver à avoir chassé Klez de sa place de premier au printemps. Le ver se propage par courrier électronique et via le réseau, installe un composant de logiciel espion et envoie des enregistrements de frappes de clavier. |
2003 | En janvier, "SQL-Slammer" a infecté au moins 75 000 serveurs SQL en une heure et a paralysé Internet pendant des heures. Il a utilisé une faille du serveur SQL Microsoft connue depuis six mois pour neutraliser les serveurs de bases de données. SQL-Slammer étant uniquement généré par une demande erronée et n'étant pas chargé en tant que fichier dans la mémoire, il n'était pas détecté par les programmes antivirus. Conséquence : à Seattle, les numéros d'urgence de la police et des pompiers sont tombés en panne, les guichets automatiques de la Bank of America ne fonctionnaient pas, 14 000 bureaux de poste sont restés fermés en Italie, la bourse en ligne a été affectée de manière dramatique. En Corée, l'entreprise KT Corp a été temporairement totalement déconnectée du réseau. Avec la forte réduction des volumes commerciaux, l'indice a également chuté de 3 %. En Chine, l'ensemble du trafic réseau vers l'étranger a été bloqué. En août, le virus Lovesan (alias Blaster) s'est propagé de manière autonome sur Internet. Il utilisait une faille de sécurité comblée par Microsoft quatre semaines auparavant, au niveau du service RPC/DCOM, et infectait les ordinateurs sélectionnés de manière aléatoire, par le biais des adresses IP. Des centaines de milliers d'ordinateurs (on parle 570 000 ordinateurs) ont été infectés en un rien de temps. Peu après, Welchia (alias Nachi) a commencé à supprimer Lovesan/Blaster des ordinateurs et à résoudre la faille de sécurité RPC/DCOM. À la fin du mois d'août 2003, l'auteur de Lovesan, Jeffrey Lee Parsons, âgé de 18 ans, a été arrêté. En mars 2005, il a été condamné à payer une grosse somme d'argent. En accord avec Microsoft, sa peine a été convertie en plusieurs heures hebdomadaires de travaux d'intérêt général, sur une durée de trois ans. Le ver "Sobig.F" a établi un nouveau record de vitesse de propagation avec son propre serveur de messagerie. Il se propage dix fois plus vite que les virus précédents. |
2004 | Les virus sont utilisés comme des armes dans le domaine du crime organisé. Une multitude de chevaux de Troie espionnent les mots de passe, les numéros de cartes de crédit et autres informations personnelles. Il est possible de commander les ordinateurs à distance à l'aide de portes dérobées et de les intégrer à des réseaux de robots. Les zombies d'un réseau de robots ont permis de lancer des attaques du type Denial of Service sur des sites de paris lors la coupe d'Europe de football. Les exploitants paient bon gré mal gré les exigences des maîtres chanteurs. Rugrat est le premier virus destiné au système Windows de 64 bits. Cabir, le premier virus pour les téléphones mobiles équipés du système d'exploitation Symbian et de l'interface Bluetooth a été conçu par le groupe 29A, connu pour ses virus Proof of Concept. Peu après, le virus WinCE.4Dust.A, premier virus PoC pour Windows CE a été conçu par le même groupe. |
2005 | CommWarrior.A, premier ver pour téléphones intelligents Symbian, se propage grâce au système MMS. Il envoie des messages MMS, incluant différents types de textes, comme des logiciels antivirus, des jeux, des pilotes, des émulateurs, des logiciels en 3D ou des images intéressantes, à toutes les entrées du répertoire. |
Histoire des logiciels malveillants
- Les premières années
- 1988 -1994
- De 1996 à aujourd’hui
© 2007 - 2010 G Data Software AG. Tous droits réservés.
