|
Alerte Virus - Classification des virus
:: Qu'est-ce qu'un virus informatique ?
Techniquement, peut porter l'appellation de virus tout programme capable de se reproduire de lui-même (de se copier). En réalité, les virus informatiques possèdent une caractéristique commune : ils possèdent une routine destinée à endommager les données.
Cette routine est la partie d'un virus informatique qui, une fois activée, va tenter de rendre votre existence impossible en détruisant certaines de vos données importantes. Certaines d'entre-elles ont pour effet de reformater vos disques durs, alors que d'autres s'appliquent à désordonner les données composant vos documents. Quel que soit le type de virus auquel vous pouvez être amené à faire face, vous perdrez un temps considérable pour restituer les données infectées.
Les virus dont le but n'est pas spécifiquement la destruction de données constitue une menace tout aussi importante : en colonisant votre espace disque et votre mémoire vive, il engendrent des baisses de performances significatives. Leur capacité à se reproduire est leur point fort, et plus la parade sera longue à venir, plus votre ordinateur régressera en termes de performances. La conclusion à tout ceci est que, bien entendu, tous les type de virus informatiques doivent être impitoyablement éliminés.
:: Le cycle de vie d'un virus informatique
Les virus informatiques, tout comme les virus biologiques, possèdent un cycle de vie :
Création : c'est la période que va passer un programmeur à développer un virus aussi féroce que possible. La programmation se fait en code assembleur.
Gestation : il s'agit du procédé par lequel le virus est copié en un endroit stratégique afin que sa diffusion soit la plus rapide possible. En général, la méthode consiste à infecter un programme très populaire puis à le distribuer par l'intermédiaire d'un serveur BBS, du courrier électronique, de l'Internet ou au sein d'une entreprise, d'une école, etc.
Reproduction : les virus, de par leur nature, cherchent à se reproduire. Un virus correctement conçu se reproduira un nombre de fois important avant de s'activer. C'est là le meilleur moyen de s'assurer de la pérennité d'un virus.
Activation : les virus possédant une routine de destruction ne s'activent que lorsque certaines conditions sont réunies. Certains s'activent à certaines dates, d'autres possèdent un système de compte à rebours interne. Même les virus ne possédant pas de telles routines et qui ne nécessitent pas de procédure d'activation spécifique peuvent causer des dommages à votre système en s'appropriant petit à petit l'ensemble de vos ressources.
Découverte : cette phase de l'existence d'un virus n'est pas forcément consécutive à son activation, mais c'est généralement à ce moment là qu'elle a lieu. La découverte d'un virus est le moment où quelqu'un se rend compte de sa présence et parvient à l'isoler. Une fois cette opération réalisée, le nouveau virus est généralement transmis au NCSA (National Computer Security Association) à Washington DC où il est documenté puis distribué aux développeurs de logiciels antivirus. La découverte a lieu la plupart du temps au moins un an avant qu'un virus ne devienne une véritable menace pour la communauté informatique.
Assimilation : une fois la découverte faite, les développeurs de logiciels modifient leurs programmes pour qu'ils puissent détecter la présence du virus. Cette phase dure entre un jour et six mois, selon la compétence du développeur d'anti- virus. Eradication : si un nombre suffisant de développeurs d'antivirus sont capables de faire face au virus et si suffisamment de personnes se procurent l'antivirus adéquat, il est possible d'annihiler un virus. Dans les faits, aucun virus n'a réellement disparu, mais un grand nombre d'entre eux ont cessé de constituer une menace réelle.
:: Les virus de secteur d'amorçage
Les virus de secteur d'amorçage se tapissent dans le premier secteur d'un disque physique. A cause de la structure inhérente au DOS, le virus se trouve chargé en mémoire avant les fichiers système. Le virus peut alors contrôler l'ensemble des interruptions DOS et se ménager des opportunités inouïes de reproduction et de destruction. Les virus de secteur d'amorçage modifient soit le contenu du secteur d'amorçage du disque lui-même ou celui du secteur d'amorçage du DOS en modifiant leur contenu par les informations qu'il désire. Le contenu original du secteur est déplacé vers une autre zone du disque et le virus s'octroie cet emplacement.
Le virus redirige certaines opérations vers l'emplacement où il a inscrit les données du secteur original : le virus est par conséquent exécuté en premier, ce qui lui donne toute latitude pour se loger en mémoire avant que la séquence d'amorçage ne se poursuive. Les virus de secteur d'amorçage se chargent généralement en mémoire et y demeurent jusqu'à ce que l'ordinateur soit mis hors tension.
:: Les virus à infection de fichiers (Parasites)
Les virus à infection de fichiers se logent généralement au sein des fichiers de type .COM, .EXE ou .SYS et sont par conséquent exécutés à chaque fois qu'un fichier infecté est lancé. Il ne sont habituellement actifs qu'au moment du premier chargement du premier fichier infecté et ne posent guère de problèmes aux programmes antivirus standards. Les virus à infection de fichiers se greffent à un fichier afin de pouvoir être exécutés. Les virus parasitaires n'ont pas la possibilité de s'exécuter ou de se reproduire d'eux-mêmes. Il doivent modifier le contenu d'un fichier exécutable (.EXE, .COM) afin de pouvoir exercer un contrôle sur son mode d'opération.
L'ordre des opérations habituellement exécutées est modifié de manière à ce que celles dictées par le virus soient toujours exécutées en priorité. Le processus d'infection est la plupart du temps invisible par l'utilisateur, car une fois le virus exécuté, le programme lancé continue à fonctionner normalement. Certains virus se greffent à la fin d'un fichier programme, d'autres au début et d'autres au début et à la fin. Voici un exemple de la manière dont un virus se greffe à un fichier :
1. Tout d'abord, le virus repère l'octet final du fichier visé (.EXE ou .COM) 2. Le virus modifie les octets du début du programme (#1) afin d'y placer un jeu d'instructions lui permettant de contrôler l'exécution du programme. Lorsque le fichier infecté se trouve exécuté, c'est le virus qui prend les commandes. Une fois que le virus a terminé sa mise en place, il repasse les commandes au programme lui-même. (#2)
:: Les virus non résidents mémoire
Les virus qui ne résident pas en mémoire se greffent à des fichiers .COM, .EXE ou .SYS et sont exécutés à chaque fois que le fichier infecté est lancé. Le code du virus est entièrement activé dès la première étape du lancement d'un programme infecté. D'autres programmes se trouvent alors infectés et servent à leur tour de vecteurs d'infection lorsqu'ils se trouvent exécutés. Les taux d'infection par ce genre de virus sont aussi élevés que ceux des virus résidents parce que leur taille est petite et parce qu'ils ne modifient pas les tables d'interruptions et ne se placent pas en mémoire. La méthode d'infection est, de plus, hautement imprévisible.
:: Les virus résidents mémoire
Les virus résidents mémoire se logent dans la mémoire vive et viennent parasiter le fonctionnement de diverses fonctions de bas niveau (interruptions). Depuis leur localisation dans la RAM, ces virus peuvent causer des dommages importants tout en restant à l'abri de certains programmes antivirus.
La première fois qu'un virus résident mémoire est exécuté, il vérifie s'il n'est pas déjà chargé en mémoire. Si tel n'est pas le cas, il va se loger dans la mémoire conventionnelle ou la mémoire haute. A partir de ce moment, le virus va infecter systématiquement tous les programmes exécutés qui ne le sont pas déjà. Ce mode d'infection est à la fois rapide et efficace et engendre une diffusion du virus inégalée.
Le seul moyen pour déloger les virus de la mémoire est de couper toute source d'alimentation de l'ordinateur infecté. Un redémarrage soft n'est pas suffisant, car certains virus savent résister à ce genre d'opérations.
:: Les virus multiformes
Les virus multiformes possèdent les caractéristiques des virus de secteur d'amorçage et des virus parasitaires. Ils peuvent infecter les fichiers .COM et .EXE ainsi que le secteur d'amorçage de disquettes et de disques durs. Démarrer un ordinateur à partir d'une disquette infectée par un virus multiformes va avoir pour effet de placer le virus en mémoire vive et d'infecter le secteur d'amorçage du disque dur de l'ordinateur. En utilisant conjointement ces deux méthodes d'infection, le virus va facilement et rapidement infecter l'ensemble des périphériques d'un PC. Peu de virus de cette sorte existent, mais ils sont responsables d'une grande part des infections virales recensées.
:: Les virus furtifs
Les virus furtifs, autrement nommés " intercepteurs d'interruptions ", prennent le contrôle des interruptions principales du DOS pour faire croire au DOS et à un grand nombre de programmes antivirus que l'ensemble des fichiers sont sains. Cette prise de contrôle de la table d'interruptions s'effectue au tout début de la zone mémoire. Lorsqu'une application émet une requête d'interruption, celle-ci est habituellement redirigée vers la table d'interruptions qui oriente les commandes et permet au programme de fonctionner normalement. Dans le cas où un virus furtif intercepte ces requêtes, il a alors la possibilité de les rediriger où bon lui semble et par conséquent d'effectuer toutes les opérations à sa guise. Cette capacité qu'ont les virus furtifs de contrôler la table d'interruptions leur permet de se cacher de manière extrêmement efficace. Leur détection est très difficile.
:: Les virus polymorphes (Mutants)
Les virus polymorphes cryptent ou modifient le code qui les compose à chaque fois qu'ils se reproduisent : aucune copie d'un de ces virus ne ressemble aux autres. La plupart des systèmes de détection de virus sont mis en échec par ce genre de virus, car ils se réfèrent à une base de signatures de virus connus. Les virus polymorphes ont vu leur popularité augmenter suite au développement d'un " moteur de mutation ". Le Moteur de Mutation a été mis au point par une personne ou un groupe se faisant appeler " Dark Avenger " (le vengeur noir). Il a été diffusé sur plusieurs serveurs BBS et son code de programmation a été rendu public. Il est livré avec un jeu complet d'instructions permettant de transformer n'importe quel virus normal en virus polymorphe.
:: Les virus réseau
Les virus réseau prennent pour cible les systèmes d'exploitation pour réseaux (en général NetWare) et utilisent ensuite le réseau pour se répandre. Il prennent le contrôle des interruptions de NetWare pour modifier l'effet des diverses requêtes d'interruptions.
:: Les virus flibustiers (bounty hunters)
Les virus flibustiers prennent pour cible des programmes antivirus spécifiques et les mettent en échec. Ce type de virus est extrêmement rare mais est parfois très efficace contre certains programmes antivirus.
© 1997 Trend Micro, Inc.
|