Virus
Introduction aux virus
Definition d'un virus:
Un virus informatique est un logiciel malveillant ecrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherche ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecte. Il peut se repandre a travers tout moyen d'echange de donnees numeriques comme l'Internet, mais aussi les disquettes, les cederoms, les clefs USB, etc.
Son appellation provient d'une analogie avec le virus biologique puisqu'il presente des similitudes dans sa maniere de se propager et de se reproduire. On attribue le terme de « virus informatique » a l'informaticien et specialiste en biologie moleculaire Leonard Adleman (Fred Cohen, Experiments with Computer Viruses, 1984).
Un virus est un petit programme informatique situe dans le corps d'un autre, qui, lorsqu'on l'execute, se charge en memoire et execute les instructions que son auteur a programme. La definition d'un virus pourrait etre la suivante :
« Tout programme d'ordinateur capable d'infecter un autre programme
d'ordinateur en le modifiant de facon a ce qu'il puisse a son tour se reproduire. »
Le veritable nom donne aux virus est CPA soit Code Auto-Propageable, mais par analogie avec le domaine medical, le nom de "virus" leur a ete donne.
Les virus residents (appeles TSR en anglais pour Terminate and stay resident) se chargent dans la memoire vive de l'ordinateur afin d'infecter les fichiers executables lances par l'utilisateur. Les virus non residants infectent les programmes presents sur le disque dur des leur execution.
Le champ d'application des virus va de la simple balle de ping-pong qui traverse l'ecran au virus destructeur de donnees, ce dernier etant la forme de virus la plus dangereuse. Ainsi, etant donne qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variees, les virus ne sont pas classes selon leurs degats mais selon leur mode de propagation et d'infection.
On distingue ainsi differents types de virus :
les vers sont des virus capables de se propager a travers un reseau
les troyens (chevaux de Troie) sont des virus permettant de creer une faille dans un systeme (generalement pour permettre a son concepteur de s'introduire dans le systeme infecte afin d'en prendre le controle)
les bombes logiques sont des virus capables de se declencher suite a un evenement particulier (date systeme, activation distante, ...)
Depuis quelques annees un autre phenomene est apparu, il s'agit des canulars (en anglais hoax), c'est-a-dire des annonces recues par mail (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilite de gagner un telephone portable gratuitement) accompagnees d'une note precisant de faire suivre la nouvelle a tous ses proches. Ce procede a pour but l'engorgement des reseaux ainsi que la desinformation.
Types de virus:
Les virus mutants:
En realite, la plupart des virus sont des clones, ou plus exactement des «virus mutants», c'est-a-dire des virus ayant ete reecrits par d'autres utilisateurs afin d'en modifier leur comportement ou leur signature.
Le fait qu'il existe plusieurs versions (on parle de variantes) d'un meme virus le rend d'autant plus difficile a reperer dans la mesure ou les editeurs d'antivirus doivent ajouter ces nouvelles signatures a leurs bases de donnees.
Les virus polymorphes:
Dans la mesure ou les antivirus detectent notamment les virus grace a leur signature (la succession de bits qui les identifie), certains createurs de virus ont pense a leur donner la possibilite de modifier automatiquement leur apparence, tel un cameleon, en dotant les virus de fonction de chiffrement et de dechiffrement de leur signature, de facon a ce que seuls ces virus soient capables de reconnaitre leur propre signature. Ce type de virus est appele «virus polymorphe» (mot provenant du grec signifiant «qui peut prendre plusieurs formes»).
Les retrovirus:
On appelle « retrovirus » ou « virus flibustier » (en anglais bounty hunter) un virus ayant la capacite de modifier les signatures des antivirus afin de les rendre inoperants.
Les virus de secteur d'amorcage:
On appelle « virus de secteur d'amorcage » (ou virus de boot), un virus capable d'infecter le secteur de demarrage d'un disque dur (MBR, soit master boot record), c'est-a-dire un secteur du disque copie dans la memoire au demarrage de l'ordinateur, puis execute afin d'amorcer le demarrage du systeme d'exploitation.
Les virus trans-applicatifs (virus macros):
Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de script commun pouvant etre insere dans la plupart des documents pouvant contenir des macros, il s'agit de VBScript, un sous-ensemble de Visual Basic. Ces virus arrivent actuellement a infecter les macros des documents Microsoft Office, c'est-a-dire qu'un tel virus peut etre situe a l'interieur d'un banal document Word ou Excel, et executer une portion de code a l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'acceder au systeme d'exploitation (generalement Windows).
Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc etre imaginables sur de nombreuses autres applications supportant le VBScript.
Le debut du troisieme millenaire a ete marque par l'apparition a grande frequence de scripts Visual Basic diffuses par mail en fichier attache (reperables grace a leur extension .VBS) avec un titre de mail poussant a ouvrir le cadeau empoisonne.
Celui-ci a la possibilite, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'acceder a l'ensemble du carnet d'adresse et de s'autodiffuser par le reseau. Ce type de virus est appele ver (ou worm en anglais). |
