Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Le secret des noms

Lu par: 2708 Commentaires: 2 Cote de popularité: 41

mercredi 28 septembre 2016

Les noms propres sont donnés aux personnes, aux animaux domestiques, aux villes, ect…et également aux programmes malveillants ! Pour pouvoir les distinguer les uns des autres.

Tout éditeur de logiciels antivirus utilise sa propre méthode de dénomination des virus et des Trojans. Par exemple, Doctor Web a adopté l’algorithme de dénomination suivant :

[Type de programme malveillant].[Nom du logiciel malveillant].[Version]

Ainsi, dans l'entrée Trojan.Bolik.1 le mot " Trojan " désigne un type de programmes malveillants, le mot " Bolik " est son nom, et " 1 " est le numéro de la version du Trojan.

Comment déterminer le type de programme malveillant ?

Par exemple, les logiciels malveillants varient selon le type de système d’exploitation sous lequel ils peuvent fonctionner. La plupart de ces programmes sont conçus pour Microsoft Windows. Le deuxième rang, d’après le nombre de menaces existantes, est occupé par Google Android. Mais cela ne signifie pas qu’il n’existe pas de Trojans ciblant d'autres plateformes : Il existe des logiciels malveillants ciblant Linux, Apple OS X, divers systèmes mobiles comme Blackberry, mais ils sont moins nombreux. Par conséquent, les noms des Trojans ciblant Android, dans le classement de Doctor Web, commencent avec la désignation de la classe " Android ", par exemple, Android.BankBot.20 et les noms des logiciels malveillants ciblant les systèmes d’exploitation de la famille Linux commencent avec " Linux " : par exemple, Linux.Ellipsis.1. Parfois l’extension ".origin" est ajoutée aux noms des Trojans ciblant Android, signifiant que la détection de ces programmes est effectuée à l’aide de la technologie Doctor Web Origin Tracing.

Tout est clair en ce qui concerne les Trojans ciblant Android et Linux, mais ce n'est pas le cas pour Windows. Pour ce système d'exploitation, il existe plus de modifications de programmes malveillants dont les fonctions varient. Par exemple, les virus de fichiers classiques ont deux particularités caractéristiques : ils peuvent se multiplier sans interaction de l’utilisateur, c'est-à-dire qu’ils sont capables de s’auto répliquer et, de plus, ils peuvent infecter d’autres programmes. Chez Doctor Web, cette catégorie de programmes malveillants est désignée par le nom générique " Win32 " ou " Win64 " selon le nombre de bits des fichiers qu’ils peuvent infecter. Par exemple, un programme malveillant nommé Win32.Rmnet.16 est un virus de fichier.

Contrairement aux virus, les vers ne sont pas capables d'infecter les fichiers exécutables, mais ils savent parfaitement se reproduire via le réseau ou par email, par exemple, en s’envoyant en pièce jointe ou en créant leurs propres copies dans des dossiers partagés. Les spécialistes de Doctor Web ont nommé ces programmes HLLW — Hugh-Level-Language Worm, c'est-à-dire, litéralement " un ver écrit en langage de programmation de haut niveau, ou HLLM (High Level Language MassMailing Worm) - "un ver de mass mailing écrit en langage de programmation de haut niveau".

Trojan est la catégorie la plus répandue des applications malveillantes : on parle également de Chevaux de Troie. Le nom de cette catégorie remonte au mythe grec lié à la guerre de Troie, durant laquelle les grecs ont offert un cheval de bois aux résidents de Troie assiégée. La nuit venue, des guerriers qui se cachaient dans la sculpture en bois en sortirent et ouvrirent les portes de la ville dormant au reste de l’armée, qui prit la ville de Troie. Les logiciels dits Trojans fonctionnent de la même manière : ils pénètrent dans l'ordinateur dissimulés derrière une application inoffensive, par exemple, un lecteur de musique ou un jeu, et après le lancement de ladite appli, commencent leur activité malveillante. Il n'est pas facile de détecter ces programmes, notamment parce que beaucoup de Trojans peuvent se dissimuler dans "les profondeurs" du système d'exploitation et même déjouer certains types de protection antivirus.

Une autre catégorie de programmes malveillants porte le nom BackDoor, en français, " porte dérobée ". Ce nom correspond aux fonctions de ces malwares qui donnent accès aux pirates à l'ordinateur contaminé à l'insu de l'utilisateur. En utilisant les backdoors, les pirates peuvent non seulement consulter tous vos fichiers personnels mais ils sont également en mesure de les copier et de prendre le contrôle de la machine contaminée : lancer différents programmes sur la machine, envoyer une commande pour supprimer toutes les informations stockées sur les disques, supprimer l'OS, voler de l'argent des comptes bancaires, laisser des fichiers compromettant sur l’ordinateur contaminé.

Il existe d'autres dénominations comme Adware pour les programmes qui affichent des publicités intempestives, JS pour les scripts malveillants en JavaScript, etc

Les menaces informatiques modernes ont généralement de larges fonctionnalités et elles combinent souvent les signes de plusieurs classes de logiciels malveillants. Par exemple, un malware est conçu pour prendre le contrôle à distance de l'ordinateur contaminé (signe de backdoor) mais il est capable de se reproduire en créant ses propres copies dans des dossiers réseau (signe de ver), et sous certaines circonstances, il peut contaminer un fichier exécutable (signe de virus). Comment classer un tel programme ? Dans ce cas, entrera en vigueur le principe d'absorption des classes selon une séquence hiérarchique, par exemple, "Virus de fichier->Vers->Backdoors->Trojans". Ce principe permet de discerner les signes secondaires des signes prioritaires en ce qui concerne le niveau de menace. Dans l’exemple ci-dessus, la capacité des programmes malveillants à accéder à l’ordinateur (backdoor) est moins dangereuse que la capacité à se propager via le réseau (ver) qui est, à son tour, moins dangereuse que la capacité à infecter les fichiers exécutables (virus). C'est pourquoi cet exemplaire serait nommé Win32.nom.version ou Win32.HLLW.nom.version , il serait donc classé comme virus ou virus de fichier avec des signes de ver de réseau.

Le nom spécifique de chaque programme malveillant est choisi par les analystes, qui se fondent généralement sur des caractères dans le code du virus ou du Trojan ou sur d'autres signes. Ainsi, par exemple, le nom du virus de fichier Win32. INCLUDE.Karud a été inspiré par une chaîne caractéristique dans le code, particulièrement drôle si vous la lisez à l'envers (en russe, le mot « karud » lu à l’envers donne « durak », qui signifie « un sot »). D’autres Trojans ont une architecture si fine et exécutent leurs fonctions dans le système contaminé d'une manière tellement sophistiquée que cela s'exprime dans leurs noms. Ce sont, par exemple, les programmes malveillants de la famille Win32.Silly. Parfois un nom "parlant" peut s’appliquer à un Trojan à cause des nuances de son comportement sur la machine infectée, c'est bien le cas du Trojan.Zapadlo (en russe, le mot « Zapadlo » est un mot grossier).

Certaines propriétés de certaines menaces peuvent également avoir un impact sur leur dénomination. Par exemple, un backdoor soumis au labo a étonné les spécialistes par la présence d'un bloc de données chiffrées dont la destination n'était pas claire. Après avoir examiné le Trojan, on lui a donné le nom BackDoor.Mutny (en russe, "mutny" signifie "flou").

Un autre programme malveillant a été copié d’un rootkit très connu, BackDoor.MaosBoot, cependant, il y'avait sans doute un problème dans les outils de copie utilisés par les auteurs de virus car le Trojan s'est avéré défectueux comme s'il « marchait à cloche-pied ». Il a reçu le nom de BackDoor.Nedoboot (en russe, cela évoque une allusion avec l'idée de ne pas être bien chaussé).

L'un des noms les plus populaires dans les bases virales Dr.Web est assigné aux applications malveillantes par un logiciel robot spécialisé, Signature Generator, plus communément appelé Siggen. Quel est alors le nom des chevaux de Troie ? Facile à deviner ! Trojan.Siggen ;)

Le projet Lumières sur la sécurité recommande

 

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs