Chapitre 6 — Types de Malwares
Ce module couvre en détail tous les types de malwares testés dans l'examen Security+, leurs caractéristiques distinctives et les indicateurs de compromission (IoC).
Mémorisez ! Virus = besoin d'un fichier hôte et d'une action humaine pour se propager. Ver (Worm) = se propage automatiquement via le réseau, sans fichier hôte. Un ver peut propager un virus.
| Type | Propagation | Action | Exemple |
|---|---|---|---|
| Virus de fichier | Fichiers exécutables infectés | S'attache à des .exe, .doc, scripts | ILOVEYOU (2000) |
| Virus de macro | Documents Office avec macros | Exécuté à l'ouverture du document | Melissa, Emotet initial |
| Virus de secteur d'amorçage | Clés USB, bootloader | Infecte le MBR/VBR | Stoned, Brain |
| Virus polymorphe | Idem virus + mute | Change son code à chaque infection — difficile à détecter par signature | Storm Worm |
| Virus métamorphique | Idem + réécriture totale | Réécrit complètement son code — presque indétectable par signature | Zmist |
| Ver (Worm) | Réseau, email, vulnérabilités | Propagation autonome, consomme ressources | WannaCry, Conficker, Morris Worm |
- Trojan (Cheval de Troie) : se présente comme un logiciel légitime mais contient du code malveillant. N'est pas autonome (ne se propage pas seul). L'utilisateur l'installe volontairement en pensant installer quelque chose d'autre.
- RAT (Remote Access Trojan) : trojan permettant le contrôle à distance de l'appareil infecté. L'attaquant peut voir l'écran, enregistrer les frappes, accéder aux fichiers, activer la webcam.
- Backdoor : porte dérobée permettant un accès non autorisé au système, contournant l'authentification normale. Peut être installé par un trojan ou directement par un attaquant ayant eu accès.
- Downloader/Dropper : petit malware dont le rôle est de télécharger et installer d'autres malwares. Souvent la première charge utile d'un phishing.
- Ransomware : chiffre les fichiers de la victime et exige une rançon pour la clé de déchiffrement. Double extorsion = chiffrement + menace de publication des données. Ex: WannaCry, REvil, LockBit.
- Spyware : surveille et collecte les informations de l'utilisateur (frappes, captures d'écran, navigation) sans consentement.
- Keylogger : type de spyware qui enregistre toutes les frappes clavier (mots de passe, données bancaires).
- Adware : affiche des publicités non sollicitées. Peut aussi collecter des données de navigation (limites avec spyware).
- Scareware : faux logiciel de sécurité qui prétend détecter des virus et demande un paiement pour les supprimer (faux antivirus).
- Rootkit : modifie l'OS pour cacher sa présence et celle d'autres malwares. Extrêmement difficile à détecter et supprimer. Peut fonctionner au niveau kernel.
Mémorisez ! Rootkit = furtivité. Il cache les processus, fichiers, connexions réseau. Même un antivirus peut ne pas le voir. Détection : boot depuis un médium externe, analyse en offline, outils spécialisés (GMER, chkrootkit).
- Botnet : réseau de machines infectées (bots/zombies) contrôlées à distance par un attaquant. Utilisés pour DDoS, spam, minage de cryptomonnaie, credential stuffing.
- C2 (Command and Control) : infrastructure que l'attaquant utilise pour communiquer avec les bots. Peut utiliser HTTP, IRC, DNS (DNS tunneling), Tor pour éviter la détection.
- Zombie : machine infectée faisant partie d'un botnet.
- Mirai Botnet : célèbre botnet ciblant les appareils IoT avec des credentials par défaut. A lancé des DDoS records en 2016.