Discussion :

[dahtah]

Bonjour à tous,
J'ai lu l'excellent hors série de Linux Mag sur les virus. J'ai bien compris comment certains fonctionnaient, mais c'est les modes de diffusions que je ne comprends pas bien.
Par exemple, un virus simple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
Rechercher tous les .py
Si non infecté : 
    ajouter code infectieux

Ce code doit lui même être interprêté pour réaliser l'infection. Celà nécessite une action de l'utilisateur. Or si je reçois un fichier quelconque, je ne vais pas l'interprêter. Le hacker est obligé d'avoir accès à la machine cible et dans ce cas là, pas besoin de l'infecter pour en avoir le contrôle.
Comment ces virus interpretés se propagent-ils?
Merci...

[supersnail]

bah il peuvent être installés par une applicaion malveillante,ou fournis avec un package modifié et comme raccourci mettre le virus au lieu de l'application hôte... (c'est pour ça qu'il faut se méfier des .deb ou .rpm sur des sites non officiels ou sous eMule)

[_solo]

Pour les scripts generalement ils se propagent avec d'autres scripts , infectant ou placant un loader dans les ficiers qui se lancent souvent /etc/ini.d/*

les .deb .rpm .tar.gz etc... modifier c'est pas les kiddies du coin qui le modifient mais deja quelqu'un de beaucoup plus competents.

sinon de plus en plus c'est des bug/failles du systemes pourtant minime qui sont utiler , mais sous linux c'est pas des vieux virus qui voyagent mais des rootkits relativement evoluer comparer a win32

[dahtah]

Tout d'abord, merci de vos réponse

Pour les scripts generalement ils se propagent avec d'autres scripts , infectant ou placant un loader dans les ficiers qui se lancent souvent /etc/ini.d/*

les .deb .rpm .tar.gz etc... modifier c'est pas les kiddies du coin qui le modifient mais deja quelqu'un de beaucoup plus competents.

Ces virus voyagent donc quasiment toujours avec une autre appli où script qui elle semble nette. Ainsi ces applis sont exécutées, lançant ainsi le script infectieux.
Je cherche à en savoir plus sur les modes de propagation, car je réfléchis à un virus "bénéfique". Par exemple, un admin réseau lance un ver dans son parc, qui s'auto propage aux machines du réseau, puis éxecute un script ou action prédéfini. Celui-ci remonte ses infos vers l'admin et ensuite s'auto détruit. Celà permettrait d'avoir du monitoring, maintenance, ... dynamique basé sur des scripts admin.
Bien sur, il faut bien maîtriser le côté infectieux et d'authentification. Pensez-vous que ce soit :
1) interessant
2) réalisable
Et quel mode de propagation vous semble adapté?
En tout cas, c'est une idée qui doit être passionante à réaliser techniquement, même si ardue.

[Vespasien]

réalisable: oui, c'est ainsi qu'est né l'un des premiers ver. 1988, Robert Tappan injecte un programme auto-reproducteur pour 60000 machines. L'infection n'est pas contenue, il envoi un mail expliquant à chacun comment se débarasser du produit.
Le soucis est de distinguer une machine déjà corrigée dont le virus s'est détruit d'une machine encore vierge.

Si ton ver peut avertir l'admin alors l'admin peut se connecter à la machine. Il serait plus fiable de faire un script admin qui se connecte à chaque machine et la corrige que d'attendre l'inverse.

[_solo]

Le soucis est de distinguer une machine déjà corrigée dont le virus s'est détruit d'une machine encore vierge.

dans 90% des cas les virus tags les fichiers qu'ils verolent pour eviter la surinfection

Si ton ver peut avertir l'admin alors l'admin peut se connecter à la machine. Il serait plus fiable de faire un script admin qui se connecte à chaque machine et la corrige que d'attendre l'inverse.

effectivement mais dans un developement tel qu'ici c'est a exclure , le reseaux doit toujours paraitre comme quelque chose d'hostile si un pirate reussit a corrompre un seul node il ne doit en aucun cas reussir a trouver les autres ou meme a remonter vers la racine.

tout ca c'est extremement interessant et realisable bien sur mais pour le mode de propagation la ca deviens plus ardu

learn and test
http://vaccin.sourceforge.net/
http://video.google.com/videoplay?do...71466051571159

[Vespasien]

effectivement mais dans un developement tel qu'ici c'est a exclure , le reseaux doit toujours paraitre comme quelque chose d'hostile si un pirate reussit a corrompre un seul node il ne doit en aucun cas reussir a trouver les autres ou meme a remonter vers la racine.

Tu lis ce que j'écris?
Je dis que c'est à l'admin de se connecter aux autres machines. Pas l'inverse.
Tu dis d'exclure ma solution car la machine n'a pas a remonter ensuite vers les autres.
Ou alors, tu n'es pas clair...
Tu sembles privilégier le ver à un script admin prétextant que le réseau doit être un environnment hostile. C'est incohérent.

Je ne te comprend pas.

[_solo]

je fait plus simple comme explication alors

Je dis que c'est à l'admin de se connecter aux autres machines. Pas l'inverse.

oui bien sur comme ca l'admin se fait hijacker son pass ou certificats autre moyen d'authentification

Tu dis d'exclure ma solution car la machine n'a pas a remonter ensuite vers les autres.

corrompre un seul agent reviendrais a corrompre TOUT le reseaux

Tu sembles privilégier le ver à un script admin prétextant que le réseau doit être un environnment hostile. C'est incohérent.

non!non!non! je me suis mal fait comprendre , le reseaux ne dit pas etre considerer comme hostile, mais comme LA PIRE DES MALADIES l'ebola n'etant rien a coter

Il y a encore moins de 2 mois je passer mon temps a voler des sessions d'admins a me faire passer pour des agents snmp , et faire des maps reseaux soit disant heutement secure , parce que les admins se croient tout puissant sur le reseaux et possedant la science infuse (aux royaume des aveugles les bornes font blablabla) , leur talon d'achille toujours leur faire croire qu'ils le sont vous obtiendrez ce que vous voulez avec du tact et flatant leur ego

Si vous etes amenez a deployer des solutions dites <<securiser>> , securiser des passerelles ou des postes/serveur toutjours partir du fait que les mechants sont plus fort que vous ( ce qui est souvent le cas ) parce que sachant que vous devrez la tester ensuite on se fait tres difficilement prontagoniste et juge de ce qu'on fait .