Qu'est ce qu'un ver ? Quelle est sa principale différence avec un virus ?
Ce billet n'a pas la prétention d'être très technique, ni même long, il s'agit juste d'une introduction aux vers et virus.
Nous regarderons à la fin de ce billet le fonctionnement de W32.Slammer.
L'origine des virus remonte à 1970 où l'informatique n'était pas ce qu'elle est aujourd'hui. Trois informaticiens de Bell, on donc entamé une compétition, développant chacun un programme qui devait se charger en mémoire vive de l'ordinateur, se reproduire, se réparer et se cacher, tout en détruisant ou inactivant le programme des deux autres. Ils appelèrent ce jeu "Core War".
Plus tard, en 1984, le magazine "Scientific American" met en place un jeu, qui posera les bases des virus. Le principe était d'écrire de petits programmes infligeant des dégâts aux autres programmes tout en proliférant.
Enfin, en 1986, le premier virus qui infecta ARPANET fit son apparition : (C)Brain.
Un virus est donc un petit programme qui est intégré à un autre programme informatique, dans le but de nuire au fonctionnement de la machine infectée. Une fois qu'une machine est infectée, par intervention humaine, le virus ne se propagera que par l'intervention d'un humain par l'échange de données informatique (emails, CDs, fichier Word, Exel ..., films, images, petits jeux, clés USB ...ect).
Un virus compte donc sur la curiosité et la stupidité (excusez du peu) des utilisateurs, pour se propager. En effet, un grande majorité des utilisateurs ouvrent sans discernement les pièces jointes aux emails, sous pretexte que c'est un petit jeu sympa.
Effectivement, le jeu est rigolo/sympa/nul (Rayer la mention inutile), mais pendant que le jeu s'exécute, le virus est installé sur la machine. Bien entendu le mail précisera de bien le faire suivre à tout son carnet d'adresse si le jeu vous plait ... chose que beaucoup de gens font, c'est écrit de faire suivre à tout le monde sinon la barbe va nous pousser jusqu'au genoux, on aura une haleine de gnou, et les mites envahiront notre garde robe. Et comme je tiens à mon dernier costard acheté pour le mariage du cousin Paulo, ben j'ai pas envie d'avoir des mites, donc je fais suivre le jeu, infectant à mon tour une dizaine de personne.
Je parle ici d'un jeu, mais c'est la même chose avec les jolies présentations powerpoint (Mais si vous savez, les petites histoires pleine de morale ...), ou les images drôles.
A contrario du virus, le ver n'a pas besoin de votre intervention pour s'inviter sur votre machine. Le ver à cette faculté de se propager tout seul.
Le principe est le même que le virus, mais le code, va inclure une exploitation de faille par laquelle il pourra se propager.
Une fois sur votre machine, le ver va scanner des réseaux entiers à la recherche d'une vulnérabilité qu'il sait exploiter, pour se propager. C'est le cas de W32.Slammer qui utilise une faille de SQL2000 pour s'inviter sur le serveur distant.
Je ne rentrerai pas ici dans le détails des différents virus, ni des différents vecteurs d'attaque, il est juste important de noter que le virus se propage en exploitant la naïveté et la crédulité des utilisateurs. Un anti-virus à jour est indispensable aujourd'hui lorsque sa machine est connecté sur Internet. On estime l'espérance de vie d'une machine se connectant à Internet de 20 secondes ! C'est à dire que 20 secondes après votre connexion, votre machine va être attaquée, si vous n'avez pas d'anti-virus à jour, en quelques heures de surf, votre machine sera une vraie boite de Pétri !
Enfin, apprenez à ne pas ouvrir n'importe quel mail, et a toujours regarder d'un oeil suspicieux, les pièces jointes à des messages dont vous ne connaissez pas l'expéditeur. Ne comptez pas que sur votre anti-virus, les virus/vers d'aujourd'hui savent désactiver les antivirus ! (Surtout Norton, et pourquoi Norton AV, simplement parce qu'il est l'un des plus répandus ...)
Pour couper court à tous les trolleurs de la planète qui prétendent que parce que ils sont sous GNU-Linux ou Mac OS, ils ne risquent rien et n'ont pas besoin d'antivirus : FAUX !
Aujourd'hui, le but d'un virus ou d'un ver et de se propager le plus rapidement pour accomplir son méfait, or, pour se propager rapidement, il a besoin de toucher un maximum de machines, et quel est l'OS le plus utilisé sur la planète ? Windows. Cependant, il existe des virus pour MAC et des virus pour GNU-Linux.
Etant un ferveur défenseur de GNU-Linux, je ne m'intéresse pas à ce genre de troll bien poilu, si les GNU-Linuxiens, se croit à l'abri et ne veulent pas admettre qu'ils ont besoin d'un antivirus à jour, ils seront drôlement surpris, quand leur OS favoris occupera plus de 5% des ordinateurs personnels mondiaux et que cet OS commencera a intéresser les développeurs de virus.
Ce vers a été detecté dans sa première forme en janvier 2003, et mis à jour en février 2007. Ce ver s'attaque aux systèmes exécutant MSQL Server 2000, et il envoi des paquets de 376 octets sur un port réservé par MSQL. Entraînant un deny de service.
Le ver crée un trafic continu sur des adresses IP générées de façon aléatoire, en tentant de s'expédier lui-même à des hôtes qui exécutent le Service de Résolution de Microsoft SQL Server et écoutent sur ce port.
Source : CVE-CAN-2002-0649
A vos mises à jour !
Et n'oubliez pas : Have fun !