Définitions générales
Qu'est-ce qu'un virus informatique ?
Les virus informatiques sont nombreux, mais ils sont dotés
de certaines caractéristiques communes:
La
capacité de "s'auto-multiplier" (de se copier).
Une
partie qui, une fois activée, va tenter d'endommager les
données importantes de l'ordinateur infecté.
Les
virus informatiques peuvent avoir des effets divers, mais ils ont
tous en commun les particularités cités précédemment.
Certains d'entre eux ont pour effet de formater votre disque dur,
alors que d'autre s'appliquent à désordonner les
données composants vos documents, d'autre encore "détraquent"
l'affichage, etc...
Le virus dont le but n'est pas
spécifiquement la destruction des données sont tout aussi
dangereux: il "colonise" votre espace
disque et votre mémoire vive, et il en résulte une
baisse des performances très importante.
Bien sur, tout virus que vous pourriez détecter sur votre
ordinateur doivent être totalement supprimés le plus
rappidemment possible.
Les différents types de virus
Les virus composites
Les virus de secteur d'amorçage
Les virus flibustiers (bounty hunters)
Les virus furtifs
Les virus macro
Les virus multiformes
Les virus non résidents en mémoire
Les virus polymorphes (mutants)
Les virus résidents en mémoire
Les virus troyens
Les virus créés sous Visual Basic
Les virus de secteur d'amorçage
Un virus du secteur d'amorçage infecte le premier secteur
d'un disque physique: la zone d'amorce principale. A cause de la
structure inhérente sous Dos, le virus se trouve chargé
en mémoire avant les fichiers système. Le virus peut
donc contrôler l'ensemble des interruptions DOS et se créer
des possibilités de reproduction et de destruction. Les virus
de secteur d'amorçage modifient soit le contenu du secteur
d'amorçage du disque, ou celui du secteur d'amorçage de
DOS en modifiant leur contenu par les informations qu'il désire.
Le contenu original est déplacé vers une autre partie
du disque et le virus s'octroie cet emplacement. Le virus redirige
certaines opérations où il a déplacé les
données originales. Le virus est par conséquent exécuté
en premier, ce qui lui donne la possibilité de se loger en
mémoire avant que la séquence d'amorçage ne se
poursuive. Les virus de secteur d'amorçage résident
généralement en mémoire et y restent jusqu'à
ce que l'ordinateur soit mis hors tension.
Les virus flibustiers (bounty hunters)
Les virus flibustiers s'attaquent directement à
certains programme antivirus et les mettent en échec. Ce type
de virus est très rare mais peut être très
efficace contre certains antivirus.
Les virus furtifs
Les virus furtifs, ou "intercepteurs d'interruptions",
prennent le contrôle des interruptions du DOS, afin de tromper
les programmes antivirus, pour que ces dernier "croient"
que les fichiers sont non-infectés. De manière plus
précise, le programme qui essaye de lire les fichiers
infectés en verra la version originale et non infectée.
Cette prise de contrôle de la table d'interruption s'effectue
au début de la zone de mémoire. Habituellement, quand un
programme émet une demande d'interruption, celle-ci est
habituellement dirigée vers la table d'interruption.
Si le virus intercepte ces demandes, il peut les diriger n'importe où,
et effectuer toute les opérations. Ce contrôle de la table
d'interruption permet au virus furtif de se cacher de manière
extrêmement efficace. Sa détection est très
difficile.
Les virus macro
Les virus macro ont pour cible le fichier "normal.dot"
qui est utilisé pour tout exécution de MS Word ou
Excel. Ainsi, toute nouvelle macro créée avec
"normal.dot" sera infectée. Les conséquences
sont multiples, de la boîte de dialogue à la suppression
des fichiers.
Les virus multiformes
Les virus multiformes possèdent les mêmes
caractéristique que les virus de secteur d'amorçage et
du virus parasitaire. Il infecte les fichier *.COM et *.EXE ainsi que
le secteur d'amorçage. Démarrer un ordinateur à
partir d'une disquette infectée par ce virus va avoir comme
effet de loger ce virus en mémoire vive et d'affecter le
secteur d'amorçage du disque dur.
Les virus non résidents en mémoire
Les virus qui ne résident pas en mémoire
infectent des fichier *.COM, *.EXE, ou *.SYS et sont activé
chaque fois que le fichier infecté est utilisé. Dès
la première étape du lancement d'un fichier infecté,
d'autres programmes se trouvent infectés et servent à
leur tour de vecteur d'infection lorsqu'ils sont utilisés. La
méthode d'infection de ses virus est hautement imprévisible,
et leur taux d'infection est aussi élevé que les virus
résidents en mémoire, leur taille étant plus
petite. Ces virus ne modifient pas la table d'interruption et ne se
placent pas en mémoire.
Les virus polymorphes (mutants)
Lorsqu'ils se multiplient, les virus polymorphes cryptent ou
modifient leur code. Ainsi, aucune copie de ce virus n'est semblable.
Les programmes antivirus, se référant à une base
de signature connue, sont mis en échec par ce virus. La
popularité de ces virus a augmenté, suite à la
mise au point d'un moteur de mutation, par un groupe ou une
personne (?) se faisant appeler "Dark Avenger" (le vengeur
noir). Il a été diffusé sur plusieurs moteur BBS
et son code de programmation à été rendu public.
Le moteur de mutation permet de transformer n'importe quel virus
normal en virus polymorphe.
Les virus résidents en mémoire
Les virus résidents en mémoire infectent la
mémoire vive et perturbent divers fonctions de bas niveau
(interruptions). Ces virus peuvent causer de nombreux dégâts
et peuvent rester à l'abri de certains antivirus. Une fois
logé dans la mémoire conventionnelle ou la mémoire
haute, il va infecter systématiquement tout les programmes
exécutés. La diffusion du virus résident en
mémoire est rapide et très efficace. Une fois logé
en mémoire, l'unique façon de le déloger est de
couper toute source d'alimentation.
Les virus troyens
Les virus troyens sont des virus de prise de contrôle
d'un ordinateur distant (via la connexion internet). Il existe sous
deux formes:
-Soit celui qui vous veut du mal obtient votre
adresse IP et à partir de la peut faire ce qu'il veut sur
votre machine
-Soit vous recevez un programme destiné à
prendre le contrôle de votre machine.
Les virus réseau
Les virus réseau prennent pour cible les systèmes
d'exploitations pour réseau et utilise ensuite le réseau
pour s'y répandre. Ils prennent le contrôle des
interruption NetWare pour modifier l'effet des divers demandes
d'interruptions.
Les virus créés sous Visual Basic
Les virus écrits en VB Script utilisent des logiciels
fabriqués par Microsoft pour se répandre. En effet, leur
langage de programmation Visual Basic et son dérivé
VB Script. Ces virus sont d'actualités avec les célèbres
I Love You et Melissa. I Love You, une fois en contact avec Outlook,
lui commande d'envoyer une copie du message auquel il est attaché
à chacune des adresses du répertoire. Melissa attaquait
avec les fonctions d'automatisation du traitement de texte Microsoft
Word.
Les virus composites
Les virus composites sont des virus qui possèdent
toutes les caractéristique citées ci-dessous. Ils ont
pour cible fichier, secteur d'amorce...
Ce type de virus est très
rare.
