Virus
: typologie
Bienvenue dans l'espace des dossiers
sécurité ! C'est un espace qui vous
est ouvert. Vous pouvez venir y stocker vos dossiers,
vos documents, vos travaux sur tout ce qui concerne
la sécurité, la protection, les virus,
etc.
|
Tels leurs cousins biologiques, les virus
se répandent jusqu'à infecter la totalité
du support où ils ont trouvé asile. mais avant de les
chasser, mieux vaut connaître leurs diverses formes
et leurs modes opératoires.
// - VIRUS SYSTÈME
On les appelle aussi virus de boot ou du secteur de démarrage
; ils infectent la zone amorce d'un dique dur ou d'une disquette,
c'est-à-dire la première partie du disque lue par
l'ordinateur. Le virus remplace le contenu de cette zone
par son propre code, ce qui lui permet d'être exécuté
en premier lors du démarrage du PC. Puis, il déplace
le contenu original de la zone d'amorçage vers une
autre partie du disque. Le virus est chargé
dans la mémoire vive à la mise sous tension de la
machine et y demeure jusqu'à son arrêt. Pour infecter
un ordinateur, il suffit de le démarrer avec une
disquette ou un CD-Rom contenant le virus. Celui-ci contamine
ensuite toutes les disquettes ou supports amovibles insérés
dans l'ordinateur. Mais, l'échange de disquettes
étant de moins en moins fréquent, la propagation
des virus système diminue en proportion. Le
plus célèbre d'entre eux est le virus Michelangelo
qui fit son apparition en 1992. Un chercheur lui a attribué
le nom de Michel-Ange car la date de son déclenchement
correspond à l'anniversaire de l'artiste de la Rennaissance
(6 mars 1475). La même année, le virus Jack
Ripper cause de nombreux dégâts : il modifie certains
fichiers et il contient les textes "C 1992 Jack Ripper"
et "Fuck 'em up !". Le fichier Parity Boot présente
lui, la particularité d'afficher un vrai message
d'erreur système indiquant que la mémoire
de l'ordinateur a un problème avant de planter le
système d'exploitation.
// - VIRUS
INFECTANT DES PROGRAMMES
Appelés aussi
virus de fichiers ou virus parasites, ils infectent les
programmes. Ils parasitent les fichiers exécutables
ou les fichiers système et modifient l'ordre des
opérations habituellemnt effectuées afin d'être
exécutés en premier. Le virus s'active dès
que le fichier infecté est lancé, mais on
ne se rend compte de rien car le proramme infecté
fonctionne normalement. Ces virus sont de deux types
: ceux qui peuvent s'installer dans la mémoire vive
et ceux qui ne peuvent pas. Ils sont écrits en focntion
du système d'exploitation sous lequel tourne le programme
visé. Ainsi sous Dos, ce sont les fichiers
exécutables qui portent l'extension .exe ou .com
et les fichiers systèmes .sys qui sont attaqués.
Très nombreux, ces virus ont été largement
diffusés par l'intermédiaire de jeux et d'utilitaires
téléchargés sur Internet. Aujourd'hui
les virus Dos causent de moins en moins d'infections car
ils ont du mal à se reproduire lorsqu'ils sont exécutés
par Windows. Par contre, le nombre de virus s'attaquant
aux applications Windows 32 bits ne cesse de croître.
Ces derniers infectent surtout les fichiers PE (Portable
Executable), un format de fichier exécutable propre
aux OS de Microsoft depuis Windows95, ainsi que les ficheirs
VxD aussi appelés LE (Linear Executable). Ces virus
sont bien plus complexes que leurs aînés fonctionnant
sous Dos. D'ailleurs Boza, le premier virus à infecter des
fichiers exécutables sous Windows 95 saluait l'exploit
technique par l'intermédiaire d'une boîte de dialogue.
Il en existe aussi dans le monde Mac et Linux, moins pourtant
que pour les systèmes de Microsoft.
//
- VIRUS POLYMORPHES
Un virus polymorphe a
la capacité de modifier son code en se reproduisant.
Il peut ainsi modifier l'ordre d'exécution de ses
instructions ou en ajouter des fausses. Chaque copie est
donc différente, ce qui le rend difficile à détecter
par les antivirus qui se référent à une base
de signatures identifiées. Certains sont mêmes
cryptés.
// - VIRUS FURTIFS
Ils tentent de se faire passer pour des fichiers sains,
afin d'être invisibles aux yeux de l'utilisateur ou
du logiciel antivirus. En fait, ils surveillent les appels
aux fonctions de lecture des fichiers ou des clusters du
disque et modifient les données renvoyées
par ces fonctions.
// - VIRUS MULTIFORMES
Ils utilisent les deux techniques précédentes.
Ils sont capables d'infecter à la fois les secteurs d'amorçage
des diques durs ou des disquettes et les fichiers exécutables.
Ce qui facilite leur propagation.
// - MACROS
VIRUS
Ils se nichent dans les macro-commandes
utilisées à l'intérieur des applications,
notamment en bureautique, afin d'automatiser un certain
nombre de tâches comme la sauvegarde d'un fichier. La grande
majorité des macros virus vise les programmes de
Microsoft : Word, Excelet, dnas une moindre mesure, Access,
Powerpoint et Outlook. A l'ouverture d'un document contenant
une macro infectée, le virus se réplique dans
le document par défaut, contaminant ainsi chaque
fichier créé ou ouvert avec ce programme.
Ecrit en Word Basic puis en VBA (Visual Basic for Application),
le macro virus est si facile à concevoir qu'il se eépand
comme une traînée de poudre et représentait
près de 80% des infections en 1997. Bien qu'ils cèdent
le pas aux virus s'attaquant aux applications Windows 32
bits, les macros virus sont de plus en plus sophistiqués.
Ainsi Groovie, qui infecte les documents Word, est furtif
car il n'est pas remarqué avant que l'éditeur
Visual Basic ne soit sélectionné.
// - VIRUS SCRIPTS
Ils utilisent les différents
langages de scripts qui permettent de contrôler l'environnement
d'un logiciel. Ils sont créés à partir des
plus répandus : Javascript de Sun Microsystems et
VB (Visual Basic) Script de Microsoft. Dérivé
du VBA, ce dernier peut être utilisé dans les
navigateurs (Internet Explorer), les formulaires mails (Outlook),
Windows ou même dans les serveurs http Microsoft.
Ils se propagent très vite grâce à Internet et se
répliquent surtout par l'intermédiaire des
messageries électroniques ou de scripts intégrés
dans les pages HTML. On peut alors les assimiler à des vers.
Par ailleurs, les virus possèdent
différentes caractéristiques :
// - RÉSIDENT ET
NON RÉSIDENT
Les virus dits résidents
ou TSR (Terminate and Stay Resident), s'installent en mémoire
vive pour se propager rapidement. Exemples, les virus
système qui se logent immédiatement dans la
RAM au démarrage, ainsi qu'une grande partie des
virus programmes. Quand le fichier infecté est exécuté,
le virus se charge dans la mémoire où il reste actif.
de là, il peut contaminer tous les programmes exécutés
qui ne sont pas déjà infectés. Les virus
non résidents, eux, cherchent d'autres programmes
à contaminer dès que le fichier infecté est
exécuté.
// - AVEC OU SANS RECOUVREMENT
Un virus peut infecter les programmes de plusieurs manières.
Certains, appelés virus avec recouvrement, écrasent
le contenu du fichier cible avec leur code pour ne pas en
modifier la taille. Le fichier infecté devient donc
inutile et ne sert plus qu'à exécuter le virus. En
général, les virus avec recouvrement sont
non résidents en mémoire. Les virus
sans recouvrement, eux, recopient leurs codes à la fin du
fichier et placent une routine au début du programme
afin d'être actifs dès que le fichier est exécuté.
les fichiers infectés sont donc plus lourds que les
fichiers sains, et se détectent plus facilement.
Il existe aussi des virus qui ne touchent pas au fichier
cible mais créent un autre fichier portant le même
nom avec une extension différente afin d'être
exécuté en priorité. Ils profitent
du fait que sous Dos, les fichiers avec une extension .com
sont exécutés avant les fichiers .exe quand
ils portent les mêmes noms. Ce sont des virus compagnons.
Dossier VIRUS
Introduction : définition du virus.
Typologie : les différents types de virus.
Autres menaces : les vers, les troyens, les bombes logiques...
Prévention : comment faire pour ne pas être contaminé.
Désinfection : je suis infecté, que dois-je faire ?
|