Haut de page
19 Mai 2012, St Yves

tout sur l'informaique
Liens partenaires
  • Aucun lien actuellement
A découvrir
Campagne membre

Bloc de contenu

virus déscription

Le 4 mai 2000, la prise de conscience est brutale, les médias font leurs gros titres de l'arrivée d'un nouveau virus, pernicieux qui porte un nom qui prête vraiment à confusion, "I love You".

Le virus "I love you" et ses congénères apparut plus récemment, ont provoqué une réaction forte et une prise de conscience des dégâts que peuvent causés ces petits programmes.

Ce fichier décrit le fonctionnement de ce virus et les méthodes de se protéger.

Cette analyse s'inspire d'un message posté sur fr.comp.securite dû à Jean-Claude Bellamy, qui a également placé sur son site un descriptif très intéressant du virus à voir sur : http://www.bellamyjc.net/.

Le virus en question est un VBscript, un langage qui a été développé par Microsoft pour réaliser des macro-commandes sous Windows.

Ce nouveau virus est du type "worm", et se présente dans un Email sous la forme de pièce-jointe nommée "LOVE-LETTER-FOR-YOU.TXT.vbs". Puisque c'est un VBscript, qui a donc tous les risques possibles de s'exécuter sur une plate-forme Windows suffisamment récente.
En particulier Windows 98 et Windows 2000, sur lesquelles WSH - Windows
Script Host - est installé par défaut. Les postes sous Windows 95 et Windows NT4 sur lesquels on n'a pas installé WSH ne risquent rien.

Description du script

(NB: dans tout ce qui suit, est désigné par "\windows" le répertoire principal de Windows, et par "\windows\system" le répertoire système de Windows. C'est à adapter suivant la version - Win9x ou NT/W2k)

1)Préparation de l'exécution

Modification de la base de registre par mise à 0 de la variable :
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting\Host\Settings\Timeout
NB: Cette variable permet de stopper tout script au bout d'un temps donné., 0 signifie "pas d'arrêt".

2)Recopie locale du virus

Le script se recopie en se renommant, dans les fichiers suivants :

  • \windows\Win32DLL.vbs
  • \windows\system\MSKernel32.vbs
  • \windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

3)Modification de la base de registre pour auto-relancement

Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée "MSKernel32"
Valeur : "\Windows\system\MSKernel32.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(NB: n'existe pas sous Windows NT et Windows 2000)
Ajout de l'entrée "Win32DLL"
Valeur : "\Windows\Win32DLL.vbs
Cela aura pour conséquence de relancer le script/virus à chaque démarrage de Windows

4)Préparation d'autres infections virales

Test d'existence du fichier "\windows\system\winFAT32.exe"
S'il n'existe pas : modification de la page d'accueil de Internet Explorer par modification de la clé :
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

Cette page pointe alors sur un URL (que VOLONTAIREMENT je ne citerai pas intégralement ici) commençant par "http://www.skyinet.net" et se terminant par "WIN-BUGSFIX.exe"

Il y a 4 adresses possibles, choisies aléatoirement. Les pseudos sont : "~young1s", "~angelcat", "~koichi" et "~chu"

Cette page est donc destinée à télécharger ce programme "WIN-BUGSFIX"qui est un cheval de Troie, qui récupère tous les mots de passe du poste et les envoie par Email à MAILME@SUPER.NET.PH. Cette action est dangereuse sous Windows 9x à cause des fichiers .pwl, facilement craquables, inoffensif sous NT ou W2k car les mots de passe sont stockés et chiffrés autrement)

Ensuite, WIN-BUGSFIX se recopie dans WINDOWS\SYSTEM\WinFAT32.EXE et ajoute une entrée "WinFAT32" dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avec pour valeur "WINDOWS\SYSTEM\WinFAT32.EXE"
Ainsi, ce cheval de Troie sera lancé à chaque démarrage de Windows.

5)Test d'existence du fichier "WIN-BUGSFIX.exe"

S'il existe :
5.1) modification de la base de registre :
Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée : "WIN-BUGSFIX"
Valeur : "%downread%\WIN-BUGSFIX.exe"

5.2) remise à blanc de la page d'accueil de IE
(pour étouffer les soupçons)

6)Création d'un fichier HTML destiné aux correspondants IRC

Le nom de ce fichier est "\windows\system\LOVE-LETTER-FOR-YOU.HTM". Il est titré "LOVELETTER - HTML", et contient un script en VBScript, dont le but est la création d'un fichier "\Windows\system\MSKernel32.vbs" (identique au virus initial). Comme ce fichier HTML contient un VBScript, quand on l'ouvrira, normalement Internet Explorer doit ouvrir une boite de dialogue demandant si on veut exécuter ce composant ActiveX.

Afin d'inciter le "client" à le faire, le fichier HTML affiche ce texte :
"This HTML file need ActiveX Control
"To Enable to read this HTML file"
"Please press 'YES' button to Enable ActiveX"
Et un "marquee" (texte défilant avec "----z------z---") s'affiche indéfiniment.

7)Examen de la messagerie (outlook)

Lecture de la clé HKEY_CURRENT_USER\Software\Microsoft\WAB pour déterminer les carnets d'adresses.

Création d'un message envoyé à toutes les adresses
Sujet : "ILOVEYOU"
Corps : "kindly check the attached LOVELETTER coming from me."
PJ    : le fichier "\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs" (le virus)

8)Infection de fichiers

Examen de tous les disques du PC locaux ET réseau.
Examen de tous les fichiers de chaque répertoire
Suivant les extensions de chaque fichier, l'infection va varier :

  • *.vbs, *.vbe
    les contenus de ces fichiers sont remplacés par le virus
  • *.js, *.jse, *.css, *.wsh, *.sct, *.hta,
    les contenus de ces fichiers sont remplacés par le virus
    De plus, leur extensions sont remplacées par .vbs
  • *.jpg, *.jpeg
    les contenus de ces fichiers sont remplacés par le virus
    de plus, .vbs est ajouté à leurs extensions
  • *.mp3, *.mp2- un fichier contenant le virus est créé, le nom de ce fichier étant le nom du fichier inital suivi de ".vbs"
    - le fichier original reçoit l'attribut "caché"
  • autres extensions :
    il ne se passe rien SAUF pour les fichiers suivants :
    mirc32.exe
    mlink32.exe
    mirc.ini
    script.ini
    mirc.hlp  (Ces fichiers témoignent de l'utilisation de IRC)
    Dans ce cas, le fichier "script.ini" est (ré)écrit, et contient un script qui envoie à tout correspondant IRC le fichier
    \windows\system\LOVE-LETTER-FOR-YOU.HTM
     

Attitude préventive.

NE PAS OUVRIR CE FICHIER
ou alors, suivre ma méthode : l'enregistrer en supprimant son extension VBS
l'ouvrir AVEC un éditeur de texte
ajouter tout au début la ligne suivante :
quit
(ainsi il ne pourra pas être exécuté)
LE SUPPRIMER!!!

Attitude curative

Au niveau fichiers

Si on l'a exécuté, le MAL EST FAIT!
Si on n'a pas de sauvegarde, on peut dire adieu à tous les .vbs, .js, hta, ... et les JPEG sont atteints.
Quant aux mp3 (ou mp2), rien n'est perdu :
- supprimer tous les "xxxx.mp3.vbs"
- dans une fenêtre de commande, taper la commande
attrib -h *.*   de façon à voir réapparaitre les mp3 cachés

Au niveau système

SUPPRIMER LES FICHIERS :

\windows\Win32DLL.vbs
\windows\system\MSKernel32.vbs
\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

EDITER LA BASE DE REGISTRE
clés :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Supprimer les entrées :
MSKernel32
WIN-BUGSFIX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(sous Windows 9X seulement)
Supprimer l'entrée :
Win32DLL

RECONFIGURER INTERNET EXPLORER
Panneau de configuration Internet
Onglet "Général"
Effacer toute adresse suspecte dans la page de démarrage

Tags associés : Virus, description

J'kaz !
0
Samedi 03 Mai 2008Poster un commentaire

virus I LOVE YOU !!!!!

Le 4 mai 2000, la prise de conscience est brutale, les médias font leurs gros titres de l'arrivée d'un nouveau virus, pernicieux qui porte un nom qui prête vraiment à confusion, "I love You".

Le virus "I love you" et ses congénères apparut plus récemment, ont provoqué une réaction forte et une prise de conscience des dégâts que peuvent causés ces petits programmes.

Ce fichier décrit le fonctionnement de ce virus et les méthodes de se protéger.

Cette analyse s'inspire d'un message posté sur fr.comp.securite dû à Jean-Claude Bellamy, qui a également placé sur son site un descriptif très intéressant du virus à voir sur : http://www.bellamyjc.net/.

Le virus en question est un VBscript, un langage qui a été développé par Microsoft pour réaliser des macro-commandes sous Windows.

Ce nouveau virus est du type "worm", et se présente dans un Email sous la forme de pièce-jointe nommée "LOVE-LETTER-FOR-YOU.TXT.vbs". Puisque c'est un VBscript, qui a donc tous les risques possibles de s'exécuter sur une plate-forme Windows suffisamment récente.
En particulier Windows 98 et Windows 2000, sur lesquelles WSH - Windows
Script Host - est installé par défaut. Les postes sous Windows 95 et Windows NT4 sur lesquels on n'a pas installé WSH ne risquent rien.

Description du script

(NB: dans tout ce qui suit, est désigné par "\windows" le répertoire principal de Windows, et par "\windows\system" le répertoire système de Windows. C'est à adapter suivant la version - Win9x ou NT/W2k)

1)Préparation de l'exécution

Modification de la base de registre par mise à 0 de la variable :
HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting\Host\Settings\Timeout
NB: Cette variable permet de stopper tout script au bout d'un temps donné., 0 signifie "pas d'arrêt".

2)Recopie locale du virus

Le script se recopie en se renommant, dans les fichiers suivants :

  • \windows\Win32DLL.vbs
  • \windows\system\MSKernel32.vbs
  • \windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

3)Modification de la base de registre pour auto-relancement

Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée "MSKernel32"
Valeur : "\Windows\system\MSKernel32.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(NB: n'existe pas sous Windows NT et Windows 2000)
Ajout de l'entrée "Win32DLL"
Valeur : "\Windows\Win32DLL.vbs
Cela aura pour conséquence de relancer le script/virus à chaque démarrage de Windows

4)Préparation d'autres infections virales

Test d'existence du fichier "\windows\system\winFAT32.exe"
S'il n'existe pas : modification de la page d'accueil de Internet Explorer par modification de la clé :
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

Cette page pointe alors sur un URL (que VOLONTAIREMENT je ne citerai pas intégralement ici) commençant par "http://www.skyinet.net" et se terminant par "WIN-BUGSFIX.exe"

Il y a 4 adresses possibles, choisies aléatoirement. Les pseudos sont : "~young1s", "~angelcat", "~koichi" et "~chu"

Cette page est donc destinée à télécharger ce programme "WIN-BUGSFIX"qui est un cheval de Troie, qui récupère tous les mots de passe du poste et les envoie par Email à MAILME@SUPER.NET.PH. Cette action est dangereuse sous Windows 9x à cause des fichiers .pwl, facilement craquables, inoffensif sous NT ou W2k car les mots de passe sont stockés et chiffrés autrement)

Ensuite, WIN-BUGSFIX se recopie dans WINDOWS\SYSTEM\WinFAT32.EXE et ajoute une entrée "WinFAT32" dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avec pour valeur "WINDOWS\SYSTEM\WinFAT32.EXE"
Ainsi, ce cheval de Troie sera lancé à chaque démarrage de Windows.

5)Test d'existence du fichier "WIN-BUGSFIX.exe"

S'il existe :
5.1) modification de la base de registre :
Dans la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Ajout de l'entrée : "WIN-BUGSFIX"
Valeur : "%downread%\WIN-BUGSFIX.exe"

5.2) remise à blanc de la page d'accueil de IE
(pour étouffer les soupçons)

6)Création d'un fichier HTML destiné aux correspondants IRC

Le nom de ce fichier est "\windows\system\LOVE-LETTER-FOR-YOU.HTM". Il est titré "LOVELETTER - HTML", et contient un script en VBScript, dont le but est la création d'un fichier "\Windows\system\MSKernel32.vbs" (identique au virus initial). Comme ce fichier HTML contient un VBScript, quand on l'ouvrira, normalement Internet Explorer doit ouvrir une boite de dialogue demandant si on veut exécuter ce composant ActiveX.

Afin d'inciter le "client" à le faire, le fichier HTML affiche ce texte :
"This HTML file need ActiveX Control
"To Enable to read this HTML file"
"Please press 'YES' button to Enable ActiveX"
Et un "marquee" (texte défilant avec "----z------z---") s'affiche indéfiniment.

7)Examen de la messagerie (outlook)

Lecture de la clé HKEY_CURRENT_USER\Software\Microsoft\WAB pour déterminer les carnets d'adresses.

Création d'un message envoyé à toutes les adresses
Sujet : "ILOVEYOU"
Corps : "kindly check the attached LOVELETTER coming from me."
PJ    : le fichier "\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs" (le virus)

8)Infection de fichiers

Examen de tous les disques du PC locaux ET réseau.
Examen de tous les fichiers de chaque répertoire
Suivant les extensions de chaque fichier, l'infection va varier :

  • *.vbs, *.vbe
    les contenus de ces fichiers sont remplacés par le virus
  • *.js, *.jse, *.css, *.wsh, *.sct, *.hta,
    les contenus de ces fichiers sont remplacés par le virus
    De plus, leur extensions sont remplacées par .vbs
  • *.jpg, *.jpeg
    les contenus de ces fichiers sont remplacés par le virus
    de plus, .vbs est ajouté à leurs extensions
  • *.mp3, *.mp2- un fichier contenant le virus est créé, le nom de ce fichier étant le nom du fichier inital suivi de ".vbs"
    - le fichier original reçoit l'attribut "caché"
  • autres extensions :
    il ne se passe rien SAUF pour les fichiers suivants :
    mirc32.exe
    mlink32.exe
    mirc.ini
    script.ini
    mirc.hlp  (Ces fichiers témoignent de l'utilisation de IRC)
    Dans ce cas, le fichier "script.ini" est (ré)écrit, et contient un script qui envoie à tout correspondant IRC le fichier
    \windows\system\LOVE-LETTER-FOR-YOU.HTM
     

Attitude préventive.

NE PAS OUVRIR CE FICHIER
ou alors, suivre ma méthode : l'enregistrer en supprimant son extension VBS
l'ouvrir AVEC un éditeur de texte
ajouter tout au début la ligne suivante :
quit
(ainsi il ne pourra pas être exécuté)
LE SUPPRIMER!!!

Attitude curative

Au niveau fichiers

Si on l'a exécuté, le MAL EST FAIT!
Si on n'a pas de sauvegarde, on peut dire adieu à tous les .vbs, .js, hta, ... et les JPEG sont atteints.
Quant aux mp3 (ou mp2), rien n'est perdu :
- supprimer tous les "xxxx.mp3.vbs"
- dans une fenêtre de commande, taper la commande
attrib -h *.*   de façon à voir réapparaitre les mp3 cachés

Au niveau système

SUPPRIMER LES FICHIERS :

\windows\Win32DLL.vbs
\windows\system\MSKernel32.vbs
\windows\system\LOVE-LETTER-FOR-YOU.TXT.vbs

EDITER LA BASE DE REGISTRE
clés :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Supprimer les entrées :
MSKernel32
WIN-BUGSFIX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
(sous Windows 9X seulement)
Supprimer l'entrée :
Win32DLL

RECONFIGURER INTERNET EXPLORER
Panneau de configuration Internet
Onglet "Général"
Effacer toute adresse suspecte dans la page de démarrage

Tags associés : Virus, love

J'kaz !
0
Samedi 03 Mai 2008Poster un commentaire

les bombes logiques

Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système (fournie par le BIOS), le lancement d'une commande, ou n'importe quel appel au système. Cette forme de virus a besoin d'un déclencheur pour s'activer. Installée sur un grand nombre de machines, la bombe logique s'active selon des critères très précis : il lui faut un certain type de logiciel, une connection à Internet via des machines présélectionnées, une programmation selon une heure ou une date précise (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire... L'objectif réside donc en la destruction. Contrairement aux vers, les bombes logiques ne se reproduisent pas. Une fois introduite dans un système, la bombe explose sur un signal donné de mise à feu (date système, énième répétition d'une commande, information d'apparence anodine qui peut être fatale

Tags associés : bombes, logiques

J'kaz !
0
Samedi 03 Mai 2008Poster un commentaire

histoire du premier virus informatique

La naissance et le développement de l'informatique et des nouvelles technologies associées ont permis l'émergence d'un nouveau type de recherche concernant la simulation de processus inhérents au vivant, à partir de matériaux non biochimiques. Dans ce contexte, les ingénieurs essaient, depuis les années 1950, de modéliser sur des supports informatiques ces processus naturels dont une de ses propriétés majeures : la reproduction.

Cette aventure commença dès les années 1950 lorsque les mathématiciens J. Von Neumann et Ulman créant les premiers calculateurs informatiques (futurs ordinateurs) ont découvert les premières techniques d'auto-réplication inspirées de la biologie, ayant la particularité de se reproduire et d'avoir un comportement évolutif en s'adaptant à leur environnement.

La première expérience d'infection : "core war
Les premières applications de ces programmes informatiques auto-réplicables sont passées du domaine de la fiction à l'expérience réelle dès les années 1960, avec une application du nom de "Core War", la guerre des tores de ferrite (matière utilisée dans les circuits de mémoire), réalisée par des ingénieurs américains des laboratoires Bell.

"Core War" désignait deux programmes chargés de s'anéantir mutuellement en se bombardant d'instructions, où l'instruction 0 détruisait les codes de fonctionnement de ces programmes.


Ce duel numérique se déroulait dans la mémoire vive de l'ordinateur et la particularité de ces codes était de se dupliquer afin de continuer à fonctionner malgré les bombardements de l'adversaire : la partie prenait fin dès lors qu'un des deux programmes ne répondait plus. Jeu connu à cette époque de seulement quelques initiés issus des hauts lieux de technologie de pointe, il fut en une décennie diffusé dans la presse qui publiait par ailleurs les techniques de réplication et les descriptions des codes, devenus alors accessibles à tous.

La diffusion à grande échelle de ce type de code eut pour effet de motiver une nouvelle génération de programmeur qui substituait l'aspect ludique par un aspect offensif et destructeur. C'est à partir des années 1980 que les dommages causés par ces intentions malveillantes se globalisèrent, grâce à l'avènement des systèmes informatiques multitâches et le développement des réseaux informatiques et de communication (notamment l'internet).

Tags associés : Histoire, virus, informatique

J'kaz !
0
Samedi 03 Mai 2008Poster un commentaire

chronologie des premieres virus les plus meutrier

1949 : John Von Neumann présente les fondements théoriques des logiciels autocopiés.
1960 : Un groupe de jeunes ingénieurs des laboratoires Bell met au point un jeu informatique du nom de Core war, voir ci-dessus.

1984 : Le magazine Scientific American présente un guide pour fabriquer ses propres virus.

1986 : Les frères Alvi, deux Pakistanais, fournissent à des touristes des copies de logiciels pirates infectés du virus Brain. Ce serait le premier virus clairement identifié et connu. Il a causé de sérieux dégâts sur les campus américains.

1988 : Peace/Mac affiche son message de paix universelle sur les écrans de possesseurs de Macintosh II.

1988 : Robent Morris est arrêté pour fraude informatique. Cet étudiant vient de causer 15 millions de dollars de dommage sur Internet à cause de son virus.

1989 : Datacrime : trois virus font trembler les Pays-Bas et la France. La police néerlandaise propose alors un ensemble de programmes informatiques à bas prix pour lutter contre ces virus. C'est à cette époque que la France prend réellement conscience de l'existence des virus.

1991 : Diffusé par une disquette vendue dans la revue Soft et Micro, le virus Frodo/4096 arrive en France. Le Clusif (Club de la sécurité des systèmes d'information français) propose sur son serveur une procédure de détection et de décontamination pour lutter contre Frodo. Le serveur enregistre 8 000 connexions.

1992 : Le virus Michelangelo plonge la planète dans l'effroi. Ses effets restent pourtant limités : 200 000 machines infectées, au lieu des 5 à 15 millions annoncées.

1998 : D'après les chiffres publiés par Dr Salomon's, éditeur d'antivirus, on recensait 17 745 virus différents en 1998, contre 18 en 1989.

2000 : le virus "I Love You" provoque l'effroi sur Internet par sa contagion très rapide

Tags associés : Chronologie, virus, meutrier

J'kaz !
0
Samedi 03 Mai 2008Poster un commentaire
Derniers commentaires
  • Aucun commentaire