Scribd
Importer
40 vues4 pages

Sécurité Informatique : Virus et Malwares

Transféré par

mekurgu nsomoto yvan
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
40 vues4 pages

Sécurité Informatique : Virus et Malwares

Transféré par

mekurgu nsomoto yvan
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

Paix-Travail-Patrie Peace-Work-Fatherland
--------------
ECOLE NATIONALE SUPERIEURE
SUP’PTIC --------------
NATIONAL ADVANCED SCHOOL
DES POSTES, DES OF POSTS, TELECOMMUNICATIONS
TELECOMMUNICATIONS ET DES TICS AND ICT
------------- ----------------

DIVISION DES TECHNIQUES DES TELECOMMUNICATIONS


INGENIEURS DES TRAVAUX DES TELECOMMUNICATIONS
ITT2 , Académic Year 2017/2018

BASE DE SECURITE : VIROLOGIE INFORMATIQUE

FICHE TD 2 PAR : Papy FONDJO

Exercice 1 : Virus et vers

1. Quelle est la différence entre un virus et un ver ?


2. Dans quelle mesure les vers sont-ils plus dangereux que les virus ?
3. Certains vers qui se propagent sur Internet ne provoquent aucun dommage sur les
machines atteintes. Pourquoi sont-ils cependant nuisibles ?
4. Pour désinfecter un ordinateur, il est recommandé de le redémarrer depuis un CD-
ROM ou une clef USB ; pourquoi ?

Exercice 2 : Porte dérobée et cheval de Troie

1. Qu’est-ce qu’une porte dérobée (backdoor) ?


2. Comment un attaquant peut-il procéder pour en installer une ?
3. Qu’est-ce qu’un cheval de Troie ?
4. Comment un attaquant peut-il procéder pour en installer un ?

Exercice 3 : Codes malveillants indétectables

Il arrive régulièrement que des codes malveillants réussissent à persister sur une
machine sans être détectés par l’antivirus installé par la victime de l’infection. Décrire
deux techniques différentes qui permettent à un code malveillant de ne pas être détecté
par les logiciels antivirus.

Exercice 4 : Détection de rootkits

Pour être sûr de pouvoir détecter un rootkit, on recommande de démarrer un ordinateur avec
un système d’exploitation sain, par exemple à partir d’une clef USB. Ainsi on ne doit pas
compter sur le système d’exploitation infecté pour nous aider à trouver le code malveillant.
Certains antivirus sont néanmoins capables de détecter des rootkits même s’ils sont exécutés
sur un système infecté. Décrire une stratégie qui permet de détecter la présence d’un rootkit
même si celui-ci tente de dissimuler sa présence en falsifiant les réponses du système

Exercice 5 : Virus avec fichier joint chiffré

On considère dans cet exercice une variante du ver W32/Beagle. Ce ver se présente sous la
forme d’un courrier électronique possédant un fichier joint qui est à la fois compressé et
chiffré. Le mot de passe pour déchiffrer le fichier est contenu dans le corps du message. Si la
victime exécute le fichier obtenu après décompression avec le mot de passe fourni (qui est un
fichier avec une extension .exe), alors le ver se propage en choisissant la prochaine victime
dans le carnet d’adresses de la victime courante. Pourquoi le fichier compressé est-il chiffré
puisque le mot de passe est fourni dans le message ?

Exercice 6 : Fonctionnement de l’antivirus

Quelle(s) technique(s) utilise un antivirus pour détecter les programmes malveillants ?

Exercice 7 : Antivirus

En général, les produits antivirus des grandes marques sont tous capables de reconnaître
l’ensemble des virus connus.

1. Pour quelle raison une machine équipée d’un tel produit peut tout de même se faire
infecter ?
2. S’ils reconnaissent tous les mêmes virus, quel peut être l’avantage d’utiliser des
produits de différentes marques ?

Exercice 8 : Filtrage des fichiers joints

Un logiciel antivirus installé sur un serveur de messagerie permet de bloquer


automatiquement certains types de fichiers joints réputés dangereux. Pour cela,
l’administrateur configure le système en spécifiant la liste des extensions ou des types
spécifiques aux fichiers à bloquer (par exemple les extensions .exe, .vbs, .bat ou les types
MIME application/octet-stream, text/vbscript). Quel reproche peut-on faire à une
telle méthode d’un point de vue de la sécurité ?

Exercice 9 : Restauration d’un système après une infection virale

Un administrateur est responsable d’un parc informatique comprenant six stations


de travail connectées à Internet à travers un pare-feu. Plusieurs utilisateurs signalent
que leur machine redémarre de manière intempestive. Selon l’un des utilisateurs, ce
problème est dû à un ver virulent qui exploite une faille du système d’exploitation.
Pour se propager, le ver semble utiliser des connexions TCP et UDP vers d’autres
machines, aussi bien dans le réseau local que vers l’extérieur du réseau.
Détailler la démarche que doit suivre l’administrateur de ce réseau afin de résoudre le
problème au plus vite. Décrire pour cela :

1. Les mesures d’urgence à appliquer afin d’enrayer la propagation du ver.


2. Les mesures à prendre pour restaurer l’intégrité du système

Exercice 10 : Analyse d’un programme malveillant

Soit le code VBS ci-après :


Ce code est la version décodée du ver «Anna Kournikova », créé à partir du «VBS Worm Generator»
de Kalamar (un générateur de virus), par un attaquant néerlandais, Jan de Wit. Après analyse de ce
code on a établie qu’il permettait de remplir les fonctions suivantes :

 Le programme effectue des changements dans la base de registre,


créant une entrée nommée HKCU\software\OnTheFly. Cette entrée, initialisée à
made with Vbswg 1.50b, prendra la valeur 1 lorsque le programme sera exécuté.

 Le programme se copie dans le répertoire Windows.

 Si le programme est exécuté pour la première fois (HKCU\software\OnTheFly ne


vaut pas 1), alors on applique la procédure Infect().

 Si la date courante est le 26 janvier, alors le ver essaie de se connecter au site


www.dynabyte.nl

 Enfin, le programme teste dans une boucle infinie si le fichier est effacé : s’il est
effacé, alors il est créé de nouveau.

 La fonction Infect() propage le courrier électronique en l’envoyant à l’ensemble


des adresses électroniques contenues dans le carnet d’adresses.

1. Quel est la nature de ce logiciel malveillant


2. C’est quoi un générateur de virus ? ne permet-il que de générer les virus ?
3. Pour chacune des fonctions réalisées par ce programme malveillant et présentées plus haut,
retrouver dans son code source, l’instruction ou la sécante d’instruction exacte qui la réalise.

N.B : tout le code a été mis en commentaire pour montrer le caractère dangereux si vous vous
aventurez à compiler ce code.

Vous aimerez peut-être aussi