ObjectifCyber

Chapitre 6 — Types de Malwares

Ce module couvre en détail tous les types de malwares testés dans l'examen Security+, leurs caractéristiques distinctives et les indicateurs de compromission (IoC).

Mémorisez ! Virus = besoin d'un fichier hôte et d'une action humaine pour se propager. Ver (Worm) = se propage automatiquement via le réseau, sans fichier hôte. Un ver peut propager un virus.
TypePropagationActionExemple
Virus de fichierFichiers exécutables infectésS'attache à des .exe, .doc, scriptsILOVEYOU (2000)
Virus de macroDocuments Office avec macrosExécuté à l'ouverture du documentMelissa, Emotet initial
Virus de secteur d'amorçageClés USB, bootloaderInfecte le MBR/VBRStoned, Brain
Virus polymorpheIdem virus + muteChange son code à chaque infection — difficile à détecter par signatureStorm Worm
Virus métamorphiqueIdem + réécriture totaleRéécrit complètement son code — presque indétectable par signatureZmist
Ver (Worm)Réseau, email, vulnérabilitésPropagation autonome, consomme ressourcesWannaCry, Conficker, Morris Worm

Mémorisez ! Rootkit = furtivité. Il cache les processus, fichiers, connexions réseau. Même un antivirus peut ne pas le voir. Détection : boot depuis un médium externe, analyse en offline, outils spécialisés (GMER, chkrootkit).

1. WannaCry s'est propagé automatiquement à des milliers de systèmes via la vulnérabilité SMB EternalBlue, sans aucune action des utilisateurs. Quel type de malware est WannaCry ?

WannaCry est un ransomware-worm : il chiffre les fichiers (ransomware) ET se propage automatiquement via le réseau (worm) via la vulnérabilité EternalBlue dans SMBv1. La propagation sans action humaine = caractéristique d'un ver.

2. Un malware change son code à chaque nouvelle infection pour éviter la détection par les antivirus basés sur les signatures. Quel type de malware est-ce ?

Polymorphe = change son code (mutations) tout en gardant la même fonctionnalité. Chaque copie a une signature différente — les AV basés sur les signatures ne les détectent pas facilement. Contre-mesure : détection comportementale (heuristique).

3. Un employé télécharge une "version gratuite" d'un logiciel de montage vidéo qui, une fois installé, donne à un attaquant le contrôle total de son ordinateur. Quel type de malware est-ce ?

Trojan = se déguise en logiciel légitime (le logiciel de montage) mais contient du code malveillant. Si l'attaquant obtient le contrôle à distance, c'est un RAT (Remote Access Trojan). L'utilisateur l'a installé volontairement — c'est la caractéristique principale du trojan.

4. Un ransomware "double extorsion" est particulièrement dangereux car :

Double extorsion : même si la victime a des sauvegardes (et peut éviter de payer pour le déchiffrement), l'attaquant menace de publier les données sensibles volées. La victime est contrainte de payer même avec des backups parfaits.

5. La caractéristique principale d'un rootkit est :

Rootkit = furtivité. Il modifie l'OS (kernel ou niveau userland) pour cacher sa présence : processus malveillants invisibles, fichiers cachés, connexions réseau masquées. Un antivirus standard ne peut souvent pas le détecter car le rootkit intercepte les appels système.

6. Un botnet est utilisé pour une attaque DDoS en envoyant des millions de requêtes vers une cible. Comment appelle-t-on les machines infectées qui composent le botnet ?

Les machines infectées dans un botnet sont appelées "bots" ou "zombies". Elles sont contrôlées par un "botmaster" via une infrastructure C2 (Command & Control). La victime de la machine zombie ne sait souvent pas que son ordinateur est utilisé dans des attaques.

7. Un logiciel qui simule des alertes de virus ("Votre PC est infecté ! Achetez notre antivirus maintenant !") sans qu'il y ait de vrai virus est appelé :

Scareware = fausse alerte de sécurité pour effrayer l'utilisateur et le pousser à acheter un faux antivirus (souvent lui-même un malware). Différent du ransomware : pas de chiffrement réel. Juste une fausse interface alarmante.

8. Quelle est la différence principale entre un virus et un ver (worm) ?

Virus = besoin d'un hôte (fichier exécutable) et d'une action humaine (ouvrir, exécuter) pour se propager. Ver = propagation autonome via le réseau en exploitant des vulnérabilités, sans intervention humaine. WannaCry = worm. Melissa = virus de macro.

9. Un "downloader" (ou dropper) malware est utilisé pour :

Un downloader/dropper est généralement la première charge utile d'une campagne (ex: pièce jointe email). Sa seule fonction : télécharger et exécuter des malwares plus complexes (RAT, ransomware, etc.). Petit et discret — facile à faire passer les filtres de messagerie.

10. Les serveurs "Command and Control (C2)" sont utilisés par les attaquants pour :

C2 (Command and Control) = infrastructure de communication entre l'attaquant (botmaster) et les machines infectées (zombies). L'attaquant envoie des commandes (lancer DDoS, exfiltrer des données, installer d'autres malwares). Detection : surveiller les connexions sortantes anormales vers des IPs/domaines inconnus.