Dans cette section pour tout public, je vais essayer d'aborder de manière la plus compréhensible un certain nombre de termes que nous utilisons dans notre métier, nos laboratoires et que, peut-être, vous rencontrerez dans les différents compte-rendus scientifiques sur ce site.

Dans ce post, voici une petite explication sur le mot WORM (vers).

La nomination du mot WORM est utilisé pour tout ce qui a une relation avec une attaque d'un groupe d'ordinateurs, serveur, connectés en réseaux.

Je qualifie cette attaque comme un code malicieux transitant sur le câble...et y restant.

Définition d'un vers

Un vers est :

- Autonome

- Sournois

- Transparent

Il se fixe sur les autostarts (les clefs de registres qui permettent de lancer automatiquement des programmes au démarrage de l'ordinateur)

Le vers effectue des rebonds sur les cartes réseaux pour affecter d’autres ordinateurs

Il ne représente pas un fléau en nombre d’infections, mais représente un nombre très important de propagations et de rebonds, appelé machines affectées.

Sa durée de vie est très longue (plusieurs mois)

Il fait réagir les Antivirus, sans pour autant qu’une action de nettoyage puisse être entreprise due aux rebonds réseaux. En d'autres termes, le worm essaye de pénétrer la machine, mais est stoppé par l'antivirus de cette machine. On parle alors que cette machine utilisateur est affectée.

Si le vers arrive à pénétrer la machine utilisateur sans qu'il soit arrêté, alors cette machine sera infecté, puisque le worm s'y sera installé !

Méthodologie d'un vers

Une machine infectée suffit pour affecter les autres machines du réseau, voire même des réseaux extérieurs car le vers contient généralement un scanner réseau.

De nombreux vers contiennent des backdoors ouvrant des portes extérieures et interagissent avec une technique BotNet pour envoyer les informations de connectivité (adresse IP) de la victime à son créateur, en vue de créer ou de renforcer le réseau des machines des utilisateurs qui ont été ou seront zombifiées.

Fonctionnement d'un worm

Il faut faire la différence en une machine infectée et affectée.

Partant sur le principe qu’un ver fonctionne si et seulement si il est lancé d’une machine infectée, il fera, via son scan réseau, une tentative d’infection puis un rebond IP pour saturer sa victime qui n’est pas forcément celle ou le rebond est effectué. Par conséquent, on appelera une machine qui reçoit le vers comme machine affectée.

Concept de fonctionnement concernant la propagation d'un vers

Le ver possède une notion de parallélisme des attaques ou des rebonds donnant ainsi naissance à du multi-threading réduisant ainsi les timeout pour une affectation et saturation importantes de sa ou ses victimes.

Le concept se porte sur les faits :

- d’infecter un nombre limité de machines afin de mieux les contrôler et de lancer une attaque en quelques secondes

OU

- de déployer en masse une affectation de rebonds en masse pour déstabiliser les accès TCP des machines vulnérables via un scan réseau, ou bien encore un déni de service contre un serveur d'une entreprise, ou bien même d'entretenir un ensemble de machines victimes pour un réseau zombie.

Simulations de Laboratoire :

On estime que 34000 machines d'utilisateurs affectés toutes les 5 secondes à partir de 17000 machines infectées résulte qu’en 36,506 secondes permettent une affectation en masse avec des Advanced worms utilisant la technique du parallélisme.

Voici une simulation effectuée sur la propagation d'un vers utilisant la technologie séquentielle de propagation. L'affectation pour 170 000 machine s'effectue en 500 minutes.

Voici une simulation effectuée sur la propagation d'un vers utilisant la technologie parallele multithreading de propagation. L'affectation pour 170 000 machine s'effectue en 70 SECONDES.

Comme on peut le constater on ne parle plus en minutes mais en seconde !!!

Voici une simulation à partir de diverses simulations de laboratoire que j'ai pu effectuées

On peut constater les temps de propagations des vers dits WORM.

Conclusion

Attention avec les détections des antivirus !

Ce n'est pas parce que l'antivirus envoie une alerte sur un worm que le poste est infecté!!!

Il faut bien lire les rapports de l'antivirus APRES un scan complet de la machine.

En effet, la machine en question peut être une machine AFFECTEE, qui recoit le vers, sans pour autant être INFECTEE.

Il vous faut impérativement trouver la source de la machine INFECTEE, car c'est elle qui fera réagir les antivirus des postes en cours d'affectation.

Dites vous, que, tant que vous n'avez pas trouver la machine infectée, l'utilisateur aura des réactions de la part des antivirus, sans pour autant être infecté !!!

Une technique des WORMs dérivée nous arrive depuis mars 2007 appelée STORM WORM et STORM BOTNET.

Nous traiterons dans cette section ces nouvelles catégories encore plus emergentes !