Comment les cybercriminels tentent de contourner le logiciel antivirus

Pour infecter un ordinateur avec un programme malveillant, les cyber-criminels doivent :

inciter l'utilisateur à exécuter un fichier infecté ou
tenter de s'introduire sur l'ordinateur de la victime via une vulnérabilité du système d'exploitation ou d'une application qui y est exécutée

Des cyber-criminels plus aguerris peuvent également tenter d'empêcher les logiciels antivirus exécutés sur l'ordinateur de la victime de détecter leurs programmes malveillants.

Techniques employées pour combattre les logiciels antivirus

Pour accroître leurs chances d'atteindre leurs objectifs et combattre les activités des logiciels antivirus, les cyber-criminels ont développé toutes sortes de techniques, parmi lesquelles :

Compression et chiffrage du code
La majorité des vers et des chevaux de Troie sont compressés et chiffrés. Les pirates informatiques conçoivent également des utilitaires spéciaux pour la compression et le chiffrage. Tous les fichiers Internet traités à l'aide de CryptExe, Exeref, PolyCrypt et quelques autres utilitaires ont été identifiés comme malveillants.

Pour détecter des vers et des chevaux de Troie compressés et chiffrés, le logiciel antivirus doit ajouter de nouvelles méthodes de décompression/déchiffrage ou de nouvelles signatures pour chaque échantillon de programme malveillant.
Mutation du code
Les cyber-criminels s'efforcent de déguiser leurs programmes malveillants en combinant le code d'un cheval de Troie à des instructions de « spam » pour que le code se présente sous différentes formes tout en conservant sa fonctionnalité d'origine. Des mutations de code se produisent parfois en temps réel, chaque fois (ou presque) que le cheval de Troie est téléchargé sur un site Web infecté. Le ver Warezov, qui utilisait cette technique, a déclenché une grave épidémie.
Techniques de dissimulation
Les technologies de dissimulation, ou « rootkits », généralement employées par les chevaux de Troie peuvent intercepter et remplacer des fonctions système afin de rendre le fichier infecté invisible par le système d'exploitation et les logiciels antivirus. Parfois, les branches du registre où sont enregistrés le cheval de Troie et d'autres fichiers système sont également cachées. HacDef, cheval de Troie utilisant les portes dérobées, est un exemple de code malveillant qui utilise ces techniques.
Blocage des logiciels antivirus et des mises à jour des bases de données antivirus
Beaucoup de chevaux de Troie et de vers infectant les réseaux recherchent activement les logiciels antivirus dans la liste des applications actives sur l'ordinateur ciblé. Le programme malveillant tente ensuite d'effectuer ce qui suit :
- Bloquer le logiciel antivirus
- Endommager les bases de données antivirus
- Entraver le bon fonctionnement des processus de mise à jour du logiciel antivirus
  
  Pour vaincre le programme malveillant, le logiciel antivirus doit se défendre en contrôlant l'intégrité de ses bases de données et en masquant ses processus aux chevaux de Troie.
Dissimulation du code sur un site Web
Les sociétés antivirus ne mettent pas longtemps à détecter les sites Web qui contiennent des chevaux de Troie. Leurs experts en analyse des virus peuvent alors étudier le contenu de ces sites et ajouter le nouveau programme malveillant à leurs bases de données. Toutefois, pour combattre les analyses antivirus, une page Web peut être modifiée de sorte que, lorsque des requêtes sont envoyées par une société antivirus, un fichier inoffensif soit téléchargé à la place du cheval de Troie.

Attaques massives

Lors d'une attaque massive, de nouvelles versions du cheval de Troie sont rapidement et en grandes quantités diffusées sur Internet. Les sociétés antivirus reçoivent alors un nombre incalculable de nouveaux échantillons à analyser. Le temps que chaque échantillon soit analysé, le cyber-criminel espère que son code malveillant pourra s'introduire sur les ordinateurs des utilisateurs.

Autres articles et liens en rapport avec les programmes malveillants et les solutions antivirus