Une fois un virus détecté, que ce soit en mémoire ou sur le disque dur, il reste à le supprimer. Une fonction primordiale des Antivirus est donc la suppression des virus. Leur but est de débarrasser l'utilisateur de ce programme malveillant. Mais il n'est pas si simple que l'on croit de les éradiquer et de récupérer le programme original. En effet cela est impossible dans le cas de virus avec recouvrement : ils détruisent une partie du programme sain lors de sa duplication. La seule solution est la destruction des fichiers infectés ou carrément le formatage du disque dur. Pour les autres, même si ce n'est pas irréalisable, la tache est cependant très ardue : il faut savoir très précisément où est localisé, dans le fichier, le virus en question sachant qu'il peut être composé de plusieurs parties, ensuite il faut le supprimer, et enfin aller chercher la partie du programme dont le virus avait pris la place et la restaurer. Toutes ces manipulations nécessitent une connaissance parfaite du virus et de son mode d'action. Cette éradication se faisant par une recherche (du virus, de la partie déplacée), toutes les caractéristiques des différents virus doivent être répertoriées dans une base de donnée mise à jour pratiquement quotidiennement.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Recherche Avancé sur les Virus & les Antivirus :
Custom Search
jeudi 30 avril 2009
Antivirus Analyse spectrale
Tout code généré automatiquement est supposé contenir des signes révélateurs du compilateur utilisé. De même, au contraire, il est impossible de retrouver dans un vrai programme exécutable compilé certaines séquences de code. C’est grâce à ce principe qu'entre en jeu l'analyse spectrale. Cette analyse vise à repérer les virus polymorphes qui sont indétéctables autrement (leur signature changeant à chaque réplication). En effet, lorsqu’un virus polymorphe crypte son code, la séquence en résultant contient certaines associations d'instructions que l'on ne trouve pas en temps normal ; c'est ce que va détecter l'analyse spectrale. Par exemple, si dans un programme exécutable, Antivirus trouve une instruction de lecture d'un octet au-delà de la taille limite de la mémoire, on sera probablement en présence de code crypté, donc d'un virus polymorphe.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Démarche heuristique
Fondamentalement, l'analyse heuristique concerne la recherche de code correspondant à des fonctions virales. Elle est différente dans son principe, d’un moniteur de comportement qui surveille des programmes ayant une action de type virale. L’analyse heuristique est comme le scanning, passive. Elle considère le code comme une simple donnée, et n'autorise jamais son jamais son exécution.
Un analyseur heuristique va donc rechercher du code dont l'action est suspecte s'il vient à être exécuté.L'analyse heuristique permet par exemple, pour les virus polymorphes de chercher une routine de déchiffrement. en effet une routine de déchiffrement consiste à parcourir le code pour ensuite la modifier. Ainsi lors de l'analyse heuristique, Antivirus essaie de rechercher non pas des séquences fixes d'instructions spécifiques au virus mais un type d'instruction présent sous quelque forme que ce soit. Pour en revenir à notre exemple de virus polymorphes, Antivirus cherche une suite d'instructions de lecture suivie d'une suite d'instruction d'écriture. Cette méthode est donc un peu plus intelligente que les autres : car elle vise à analyser les fonctions et instructions les plus souvent présentes et que l'on retrouve dans la majorité des virus. Cette méthode permet ainsi, contrairement au scanning, de détecter des nouveaux virus dont la signature n'a pas été ajoutée à la base de données.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Moniteur de comportement
Les moniteurs de comportement ont pour rôle d'observer l'ordinateur à la recherche de toute activité de type virale, et dans ce cas de prévenir l’utilisateur.Typiquement, un moniteur de comportement est un programme résident que l'utilisateur charge à partir du fichier AUTOEXEC.BAT. et qui reste actif en arrière plan, surveillant tout comportement inhabituel. Que va faire le zouave ? Description d’attaque virale. Les tentatives d'ouverture en lecture/écriture des fichiers exécutables. Les tentatives d'écriture sur les secteurs de partitions et de démarrage. Les tentatives pour devenir résident.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Utilisation d'un contrôleur d'intégrité
Schématiquement, un contrôleur d'intégrité va construire un fichier contenant les noms de tous les fichiers présents sur le disque dur auxquels sont associés quelques caractéristiques. Ces dernières peuvent prendre en compte la taille, la date et l'heure de la dernière modification ou encore un checksum (somme de contrôle)Un CRC (code de redondance cyclique), ou un algorithme de checksum avec un système de chiffrement propriétaire pourra détecter toute modification ou altération des fichiers en recalculant le checksum à chaque démarrage de l'ordinateur(si Antivirus n'est pas résident), ou dès qu'un fichier exécutable est ouvert par un programme (si Antivirus est résident); en effet si le checksum d'un programme avant et après son exécution est différent, c'est qu'un virus a modifié le fichier en question, l'utilisateur en est donc informé. D'autre part Antivirus peut aussi stocker la date et la taille de chaque fichier exécutable dans une base de données, et tester les modifications éventuelles au cours du temps. Il est en effet rare de modifier la taille ou la date d'un fichier exécutable. La parade pour les virus est de sauvegarder la date du fichier avant la modification et de la rétablir après.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Recherche de la signature virus
On nomme ça aussi scanning. C'est la méthode la plus ancienne et la plus utilisée. Son avantage est qu'elle permet de détecter les virus avant leur exécution en mémoire. Son principe est de rechercher sur le disque dur toute chaîne de caractères identifiée comme appartenant à un virus. Cependant comme chaque virus a sa propre signature, il faut, pour le détecter avec un scanneur que le concepteur de Antivirus ait déjà été confronté au virus en question et l'ait intégré à une base de données. Un scanneur n'est donc pas en mesure de détecter les nouveaux virus ou les virus polymorphes (car ceci changent de signature à chaque réplication.) Cette méthode est à la fois la plus simple à programmer mais aussi la plus longue à mettre en œuvre car elle n'est utile que si elle recense tous les virus existant. Cela représente une somme de travail considérable et est quasiment impossible à réaliser. C'est pour ça que les concepteurs Antivirus proposent des mises à jour de la base de donnée tous les mois sur leur site WEB, c'est le seul moyen pour le scanneur de détecter les nouveaux virus.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Principales techniques de recherche virus
Nous présenterons quatre techniques majoritairement utilisées par les Antivirus pour localiser les virus. Il s'agit du scanning, du moniteur de comportement, du contrôleur d'intégrité et de la recherche heuristique. Brièvement présenté, le scanneur recherche dans tous les fichiers ou en RAM un code spécifique qui est censé indiquer la présence d'un virus. Le moniteur de comportement surveille les actions habituellement menées par les virus, les contrôleurs d'intégrité signalent les changements intervenus dans les fichiers et enfin la recherche heuristique recherche des instructions généralement utilisées par les virus.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Aspects techniques des Antivirus
Les Antivirus rivalisent souvent d'ingéniosité pour combattre les virus. Cependant ces derniers trouvent souvent la parade. Nous allons parler ici des différentes techniques utilisées par les Antivirus pour combattre leur raison de vivre.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Pourquoi un Antivirus ?
Pour Sécuriser les ordinateurs et préserver l'intégrité des données d'un ordinateur, qui peuvent être d'une importance énorme (par exemple, la base de données d'une banque ne doit sous aucun prétexte être modifiée par un virus...)
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Logiciel malveillant
Petit programme nuisible qui perturbe le fonctionnement des ordinateurs. On distingue plusieurs familles de logiciels malveillants. Les virus, les vers, les chevaux de Troie, les logiciels espions en sont des exemples.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Premiers virus
Dans les années 1960 apparaissent de petits programmes nuisibles. Ils se multiplient très vite, ce qui leur vaut le nom de rabbits (lapins), et monopolisent le temps de calcul de l'ordinateur, l'empêchant de fonctionner. A la différence des virus, ils sont incapables de sauter d'un ordinateur à l'autre.
C'est en 1972 qu'est réalisé le premier virus informatique. Creeper, tel est son nom, peut infecter d'autres machines, mais il demeure un virus de laboratoire. Le premier virus “ sauvage ” daterait de 1982 : Elk Cloner attaquait les ordinateurs Apple II. Le premier virus ciblant les PC apparaît en 1986 : (c) Brain se propage sur disquettes. Il faut attendre 1988 pour observer le premier virus circulant grâce à Internet : Morris Worm.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.mercredi 29 avril 2009
Prévenir les dégâts d'un virus
Même en faisant très attention et en possédant les meilleurs antivirus et logiciels de détection, il est impossible d'écarter totalement le risque d'être atteint par un virus et donc de s'exposer à son pouvoir de destruction. Il est donc fortement recommander de faire régulièrement des copies de sauvegarde du disque dur, copies qu'il faut dater et conserver puisqu'il est possible que la désinfection des fichiers infectés ne soit pas suffisante pour éradiquer le virus. Par ailleurs, il est probable que le programme causant le problème ait été introduit depuis un certain temps, ce qui obligera à remonter loin dans le temps avant de retrouver une sauvegarde saine. De telles précautions pourront peut-être permettre que ne soient perdues à jamais des données importantes.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Une méfiance de tous les instants
Un antivirus seul ne suffit pas à éviter les attaques quotidiennes des virus, il est en effet nécessaire que l'utilisateur lui-même soit vigilant quand il utilise sa machine.
Cette vigilance se présente sous la forme de réflexes de base à acquérir, la plupart peuvent paraître évident mais cela n'empêche pas certaines personnes de faire des erreurs qui peuvent par la suite se révéler dévastatrices. Ces réflexes se présentent sous de multiples formes et il serait impossible de tous les citer, en voici cependant quelques-uns :
Il est nécessaire de toujours se méfier d'un nom de fichier attaché ou d'un objet de courrier trop attractif. De plus, il ne faut jamais ouvrir un fichier joint dont le nom se termine par .EXE, .COM, .BAT, .VBS, .PIF, .OVL ou .SCR, sauf si l'on est absolument sûr de son contenu et/ou de son origine. Dans le cas contraire, il est préférable de le mettre directement dans la corbeille sans le lire.
Deuxièmement, il est préférable de télécharger les freeware et les shareware depuis des sites réputés. Il est recommandé d'éviter de télécharger des fichiers des sites peu connus et encore moins sur des sites pirates.
Pour finir, un des réflexes fondamentaux est d'analyser tous les fichiers téléchargés ou reçus avec un logiciel de détection (antivirus au autre) avant l'exécution du fichier. Ces logiciels de détection peuvent agir de deux façons : ils peuvent soit examiner les disques et disquettes sur demande soit examiner chacun des programmes qui sera exécuté. Ils doivent être le plus à jour possible. Deux ou trois logiciels de détection peuvent être utilisés en même temps afin d'augmenter les chances de déceler les virus. De plus, certains de ces utilitaires contiennent également un programme de désinfection qui permet parfois de se débarrasser des indésirables.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Cette vigilance se présente sous la forme de réflexes de base à acquérir, la plupart peuvent paraître évident mais cela n'empêche pas certaines personnes de faire des erreurs qui peuvent par la suite se révéler dévastatrices. Ces réflexes se présentent sous de multiples formes et il serait impossible de tous les citer, en voici cependant quelques-uns :
Il est nécessaire de toujours se méfier d'un nom de fichier attaché ou d'un objet de courrier trop attractif. De plus, il ne faut jamais ouvrir un fichier joint dont le nom se termine par .EXE, .COM, .BAT, .VBS, .PIF, .OVL ou .SCR, sauf si l'on est absolument sûr de son contenu et/ou de son origine. Dans le cas contraire, il est préférable de le mettre directement dans la corbeille sans le lire.
Deuxièmement, il est préférable de télécharger les freeware et les shareware depuis des sites réputés. Il est recommandé d'éviter de télécharger des fichiers des sites peu connus et encore moins sur des sites pirates.
Pour finir, un des réflexes fondamentaux est d'analyser tous les fichiers téléchargés ou reçus avec un logiciel de détection (antivirus au autre) avant l'exécution du fichier. Ces logiciels de détection peuvent agir de deux façons : ils peuvent soit examiner les disques et disquettes sur demande soit examiner chacun des programmes qui sera exécuté. Ils doivent être le plus à jour possible. Deux ou trois logiciels de détection peuvent être utilisés en même temps afin d'augmenter les chances de déceler les virus. De plus, certains de ces utilitaires contiennent également un programme de désinfection qui permet parfois de se débarrasser des indésirables.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les parades face aux virus
La première chose à laquelle on pense lorsque l'on souhaite se protéger des virus, c'est l'antivirus. Pourtant pour éviter au maximum d'être infecté par un virus, il faut surtout adopter un comportement de méfiance et de prévention face à ces programmes indésirables.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Présentation technique d'un virus
Afin de mieux comprendre le fonctionnement d'un virus, étudions le code de l'un d'entre eux.
Intéressons nous à un virus VBS Script créé avec Microsoft Visual Basic, et plus particulièrement à sa fonction de destruction qui consiste à lancer un formatage du disque C : , sans en demander la permission à la victime évidemment.
Code de ce virus :
Analyse du code :
Cette ligne permet de choisir une date précise d'exécution du virus
Ensuite on lance windows explorer. On lance son exécution 10 fois grâce à une boucle for afin de s'assurer que ça fonctionne bien. La commande shell permet d'exécuter.
Puis on créer le fichier Virus.bat qui est le virus en lui même. Dans celui-ci on rajoute deux commandes qui lanceront le formatage du disque C, pour cela on utilise la commande print qui permet d'écrire dans un fichier. Pour cela on utilise les commandes deltree et Format. Deltree est la commande de suppression en elle même, le /y permet de supprimer les fichiers de C : sans demander la permission à l'utilisateur.
Une fois le fichier Virus créé, il faut maintenant l'exécuter. Pour cela on lance une fenêtre d'invité de commande DOS (CMD.com) en arrière plan . C'est depuis cette fenêtre que l'on exécute le virus. Comme au début, on lance cette exécution 10 fois pour s'assurer qu'elle ai lieu. On cache les affichages à l'aide de la commande vbHide.
Dans le cas où le système d'exploitation est windows 98, il n'est pas nécessaire de créer un fichier spécial pour le virus. Le système étant moins protéger, il est possible de rajouter les commandes de formatages directement dans le fichier système AutoExec.bat. Ce fichier se trouve à la racine du disque dur, il est exécuté à chaque démarrage de la machine, le virus sera donc exécuté au même moment.
Pour terminer, on bloque l'ordinateur grâce à une particularité du système. En effet, le système se bloque lorsque les noms de périphériques sont utilisés plusieurs fois dans le même chemin de fichier (par ex. : c:\CON\CON).
Ce virus permet entre autre de remarqué l'évolution des systèmes d'exploitation qui tentent de se sécuriser. En effet, il est impossible de modifier sans permission le fichier AutoExec.Bat dans les systèmes les plus récents, cela oblige à créer un nouveau fichier qui risque d'être remarqué par l'utilisateur ou par un antivirus. En revanche Windows 98 étant bien moins sécurisé, on peut directement modifier le fichier système Autoexec.bat ce qui est bien plus discret.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Intéressons nous à un virus VBS Script créé avec Microsoft Visual Basic, et plus particulièrement à sa fonction de destruction qui consiste à lancer un formatage du disque C : , sans en demander la permission à la victime évidemment.
Code de ce virus :
Analyse du code :
Cette ligne permet de choisir une date précise d'exécution du virus
Ensuite on lance windows explorer. On lance son exécution 10 fois grâce à une boucle for afin de s'assurer que ça fonctionne bien. La commande shell permet d'exécuter.
Puis on créer le fichier Virus.bat qui est le virus en lui même. Dans celui-ci on rajoute deux commandes qui lanceront le formatage du disque C, pour cela on utilise la commande print qui permet d'écrire dans un fichier. Pour cela on utilise les commandes deltree et Format. Deltree est la commande de suppression en elle même, le /y permet de supprimer les fichiers de C : sans demander la permission à l'utilisateur.
Une fois le fichier Virus créé, il faut maintenant l'exécuter. Pour cela on lance une fenêtre d'invité de commande DOS (CMD.com) en arrière plan . C'est depuis cette fenêtre que l'on exécute le virus. Comme au début, on lance cette exécution 10 fois pour s'assurer qu'elle ai lieu. On cache les affichages à l'aide de la commande vbHide.
Dans le cas où le système d'exploitation est windows 98, il n'est pas nécessaire de créer un fichier spécial pour le virus. Le système étant moins protéger, il est possible de rajouter les commandes de formatages directement dans le fichier système AutoExec.bat. Ce fichier se trouve à la racine du disque dur, il est exécuté à chaque démarrage de la machine, le virus sera donc exécuté au même moment.
Pour terminer, on bloque l'ordinateur grâce à une particularité du système. En effet, le système se bloque lorsque les noms de périphériques sont utilisés plusieurs fois dans le même chemin de fichier (par ex. : c:\CON\CON).
Ce virus permet entre autre de remarqué l'évolution des systèmes d'exploitation qui tentent de se sécuriser. En effet, il est impossible de modifier sans permission le fichier AutoExec.Bat dans les systèmes les plus récents, cela oblige à créer un nouveau fichier qui risque d'être remarqué par l'utilisateur ou par un antivirus. En revanche Windows 98 étant bien moins sécurisé, on peut directement modifier le fichier système Autoexec.bat ce qui est bien plus discret.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Fonction de cryptage d'un virus
Malgré leur grand nombre et la volonté des développeurs à dissimuler leurs créations, les nouveaux virus sont rapidement repérés et les antivirus sont rapidement mis à jour afin d'offrir une parade contre le virus. C'est ainsi que les développeurs essaient de cacher de façon toujours plus efficace leurs virus. Afin de dissimuler au maximum leur création, les développeurs ont imaginés plusieurs techniques : il y a d'abord le cryptage qui consiste a rajouter au virus une routine de cryptage plus ou moins élaborées. Le problème est qu'une fois un virus crypter, il faut le décrypter afin qu'il puisse s'exécuter et appliquer ses précédentes fonctions. Il y a donc en plus de la routine de cryptage, une routine de décryptage qui apparaît en clair dans le virus. Afin de parer cette lacune, d'ingénieux concepteurs de virus ont eu l'idée d'intégrer dans la séquence de décryptage des instructions aléatoire n'ayant aucun effet. Chaque variante du virus devient donc vraiment unique et indétectable par les antivirus, on appelle ces virus des virus polymorphes.
Une autre technique de furtivité des virus est de faire croire au système d'exploitation que des secteurs du disque dur sont défectueux, il suffit alors au virus de s'y camoufler en attendant son activation. Cependant, si trop de secteurs deviennent défectueux, le système repère quelque chose d'anormal et il se peut que le virus soit détecté.
Enfin, un dernière méthode permettant de ״ cacher ״ le virus est de le placer dans le secteur de Boot puisque quand un ordinateur se lance, il exécute toujours un certain secteur du disque (le boot) qui va lui permettre de lancer le système d'exploitation . Le virus se situant dans ce secteur sera alors exécuté à chaque démarrage. De plus, les antivirus n'étant pas encore opérationnels à ce moment du lancement de la machine, cette exécution passe inaperçu.
Les virus sont donc des programmes complexes réunissant de nombreuses fonctions. C'est cette complexité qui attirent bon nombre des programmeurs plus ou moins qualifiés, des programmeurs pour qui construire un virus le plus efficace possible présente un challenge de taille. Quand un virus réunis la majorité des fonctions pré-citées, le tout assortie d'une bonne programmation, il devient alors difficilement détectable et il peut ensuite effectuer son travail de destruction (le plus souvent dévastateur) dans la plus grande discrétion.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Une autre technique de furtivité des virus est de faire croire au système d'exploitation que des secteurs du disque dur sont défectueux, il suffit alors au virus de s'y camoufler en attendant son activation. Cependant, si trop de secteurs deviennent défectueux, le système repère quelque chose d'anormal et il se peut que le virus soit détecté.
Enfin, un dernière méthode permettant de ״ cacher ״ le virus est de le placer dans le secteur de Boot puisque quand un ordinateur se lance, il exécute toujours un certain secteur du disque (le boot) qui va lui permettre de lancer le système d'exploitation . Le virus se situant dans ce secteur sera alors exécuté à chaque démarrage. De plus, les antivirus n'étant pas encore opérationnels à ce moment du lancement de la machine, cette exécution passe inaperçu.
Les virus sont donc des programmes complexes réunissant de nombreuses fonctions. C'est cette complexité qui attirent bon nombre des programmeurs plus ou moins qualifiés, des programmeurs pour qui construire un virus le plus efficace possible présente un challenge de taille. Quand un virus réunis la majorité des fonctions pré-citées, le tout assortie d'une bonne programmation, il devient alors difficilement détectable et il peut ensuite effectuer son travail de destruction (le plus souvent dévastateur) dans la plus grande discrétion.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Fonction de reproduction d'un virus
C'est elle qui ajoute le code du virus au code du fichier choisi par la fonction de recherche. Cette fonction définie également le type du virus : Virus avec ou sans recouvrement, crypté ou non, virus de fichier ou virus système… Quand un virus écrit son code, il doit préserver la structure de l'exécutable infecté.
Par exemple, quand un virus s'écrit dans le code d'un fichier, la date de modification du fichier infectée est normalement mise à jour. L'utilisateur pourrait alors remarqué ce changement de date et repérer le virus. Afin de ne laisser aucune trace de l'infection, le virus sauvegarde la précédente date de modification et la replace au bon endroit quand l'opération de reproduction est terminée. Cette fonction joue donc un rôle capitale dans la bonne propagation du virus. Si cette fonction venait à être mal codée, le fichier infectée ne s'exécuterait plus de la même façon ce qui pourrait alerter l'utilisateur sur la présence du virus.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Par exemple, quand un virus s'écrit dans le code d'un fichier, la date de modification du fichier infectée est normalement mise à jour. L'utilisateur pourrait alors remarqué ce changement de date et repérer le virus. Afin de ne laisser aucune trace de l'infection, le virus sauvegarde la précédente date de modification et la replace au bon endroit quand l'opération de reproduction est terminée. Cette fonction joue donc un rôle capitale dans la bonne propagation du virus. Si cette fonction venait à être mal codée, le fichier infectée ne s'exécuterait plus de la même façon ce qui pourrait alerter l'utilisateur sur la présence du virus.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Fonction de destruction d'un virus
Les routines de destruction peuvent être très variées mais se décomposent généralement en deux routines: la " Bombe " en elle même et une routine d'activation. C'est cette dernière qui décidera ou non de l'activation de la bombe. La routine d'activation se présente sous de multiples formes : Le virus peut s'activer à partir d'un certain nombre de copies, à partir d'une date, à partir d'une combinaison de touches au clavier, un certain nombre d'accès au disque dur, ou encore la présence d'un certain antivirus… Ces routines d'activations dépendent parfois du type de virus, mais le plus souvent, c'est le concepteur du virus qui choisit cette routine selon ces goûts et ces capacités.
Une fois que le virus est activé par la routine d'activation, la bombe, c'est à dire sa fonction de destruction en elle même, se met en route.
Elle aussi se présente sous de multiples formes : faire ralentir l'ordinateur avec des boucles (for, while, etc), le virus peut aussi afficher un simple message ou encore lancer le formatage du disque dur. Enfin, le virus peut écrire aléatoirement sur le disque ou bien faire planter la machine. Les virus peuvent aussi avoir une fonction spécifique tel que supprimer tel ou tel fichier.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Une fois que le virus est activé par la routine d'activation, la bombe, c'est à dire sa fonction de destruction en elle même, se met en route.
Elle aussi se présente sous de multiples formes : faire ralentir l'ordinateur avec des boucles (for, while, etc), le virus peut aussi afficher un simple message ou encore lancer le formatage du disque dur. Enfin, le virus peut écrire aléatoirement sur le disque ou bien faire planter la machine. Les virus peuvent aussi avoir une fonction spécifique tel que supprimer tel ou tel fichier.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Fonction de recherche d'un virus
C'est la première chose que fait un virus. Cette fonction de recherche va sélectionner les types de fichier à infecter (.com .exe .doc .bat …), elle va également décider de la vitesse à laquelle ces fichiers doivent être infecter. La vitesse d'infection est une composante majeur de la bonne propagation d'un virus. Si un virus se reproduit trop rapidement, il sera rapidement repéré par l'utilisateur car il utilisera de manière incessante le disque dur. En revanche, si un virus se reproduit trop lentement, il ne sera pas assez efficace.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les Virus Celebres
L'histoire des virus relativement courte possède déjà ses stars. Le premier virus ayant infecté le réseau Internet est un ver écrit par un étudiant américain du nom de Robert Morris en 1988. Ce virus, et les dommages qu'il a engendrés, sont à l'origine de la prise de conscience des dangers de diffusion via les réseaux.
En 1991, un nouveau virus sème la terreur sur toute la planète : la bombe logique Michelangelo. Ce virus, très médiatisé à l'époque et devant se déclencher le 6 mars 1992, aura beaucoup moins d'effets que prévus (environ 200 000 ordinateurs infectés).
En l'an 2000, c'est au tour du virus I Love You de faire trembler la planète. Variante du macrovirus relativement inoffensif Melissa, ce virus très destructeur se propage par courrier électronique sous la forme d'un fichier joint nommé LOVE-LETTER-FOR-YOU.TXT.vbs.
Enfin en janvier 2003, le nouveau virus venu, baptisé MyDoom, est « in the wild », dans la nature. Il se répand par la messagerie sous forme de pièce jointe à raison de plusieurs dizaines de milliers d'exemplaires par minutes. Plus original,son auteur a aussi programmé un mode de dissémination par Kazaa.
MyDoom a été programmé pour attaquer un site, en l'occurrence celui de SCO, un éditeur de logiciels UNIX. A partir de début février, MyDoom a submergé ce site de connexions, plus de 100 par minute. Avec un million d'ordinateurs infectés, cela a suffi pour mettre KO les serveurs de SCO. Microsoft a même lancé une chasse à l'homme en offrant une prime, comme SCO.
Toutefois, au-delà des effets d'annonce des médias, tous ces virus n'ont heureusement pas eu les effets cataclysmiques annoncés. La prudence des utilisateurs, doublée de divers systèmes de sécurité informatique (pare-feu, logiciels antivirus, etc.), permettent généralement d'enrayer assez rapidement la propagation des virus.
« Qu'est ce qu'un virus ? » voici la question à laquelle nous avons essayer de répondre le mieux possible dans cette première partie en vous expliquant les différents types de virus, leur évolution, le pourquoi de leur existence. Intéressons nous maintenant à leur fonctionnement.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
En 1991, un nouveau virus sème la terreur sur toute la planète : la bombe logique Michelangelo. Ce virus, très médiatisé à l'époque et devant se déclencher le 6 mars 1992, aura beaucoup moins d'effets que prévus (environ 200 000 ordinateurs infectés).
En l'an 2000, c'est au tour du virus I Love You de faire trembler la planète. Variante du macrovirus relativement inoffensif Melissa, ce virus très destructeur se propage par courrier électronique sous la forme d'un fichier joint nommé LOVE-LETTER-FOR-YOU.TXT.vbs.
Enfin en janvier 2003, le nouveau virus venu, baptisé MyDoom, est « in the wild », dans la nature. Il se répand par la messagerie sous forme de pièce jointe à raison de plusieurs dizaines de milliers d'exemplaires par minutes. Plus original,son auteur a aussi programmé un mode de dissémination par Kazaa.
MyDoom a été programmé pour attaquer un site, en l'occurrence celui de SCO, un éditeur de logiciels UNIX. A partir de début février, MyDoom a submergé ce site de connexions, plus de 100 par minute. Avec un million d'ordinateurs infectés, cela a suffi pour mettre KO les serveurs de SCO. Microsoft a même lancé une chasse à l'homme en offrant une prime, comme SCO.
Toutefois, au-delà des effets d'annonce des médias, tous ces virus n'ont heureusement pas eu les effets cataclysmiques annoncés. La prudence des utilisateurs, doublée de divers systèmes de sécurité informatique (pare-feu, logiciels antivirus, etc.), permettent généralement d'enrayer assez rapidement la propagation des virus.
« Qu'est ce qu'un virus ? » voici la question à laquelle nous avons essayer de répondre le mieux possible dans cette première partie en vous expliquant les différents types de virus, leur évolution, le pourquoi de leur existence. Intéressons nous maintenant à leur fonctionnement.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Virus cryptes
Virus cryptés
Les premiers virus polymorphiques apparaissent en 1990. Il s'agit de virus disposant d'une routine de cryptage variable. Repérer un tel virus devient une tâche compliquée, puisque deux exemplaires d'un même fichier infecté n'ont pas la même apparence. Ces nouveaux virus sont 1260, V2P1, V2P2, et V2P6.
L'année 1990 est aussi celle de Dark Avenger, un auteur bulgare qui a joué un rôle important dans l'élaboration de techniques avancées d'infection des virus. Les virus crées par ses soins se nomment, entre autres, Dark Avenger 180, Number of the beast ou encore Nomenklatura. Dark Avenger se sert des BBS pour la diffusion. Certains se dissimulent dans les logiciels anti-virus du domaine public !!! Toujours en Bulgarie est crée le VX BBS. Il s'agit d'un serveur d'échange de virus, d'information, et surtout de codes sources, auquel tout le monde s'accorde à reconnaître une responsabilité dans la naissance des vocations douteuses. Fin 1990, le nombre de virus s'élève à environ 250.
La possibilité de télécharger les lignes de programmes d'un virus permet à beaucoup d'introduire de subtiles modifications et de lâcher un nouvel agent infectieux dans la nature. En 1991, l'influence de ces serveurs se fait sentir et fin 1991, un millier de virus sont reconnus. Cette année-là, les éditeurs prennent la véritable mesure du marché qui s'ouvre à eux et de la difficulté de la lutte. Car les virus polymorphes croissent en nombre et en complexité. En Avril, un jeune suisse vole à un ami un nouveau virus et l'installe chez son père. La propagation du virus Téquila aurait été moins fulgurante si le père en question n'avait pas été un important distributeur de sharewares…Téquila se loge sur la table de répartitions du disque et infecte les fichiers. Or il est si difficile à détecter que si 1% des fichiers contaminés échappent au contrôle, l'infection recommence.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les premiers virus polymorphiques apparaissent en 1990. Il s'agit de virus disposant d'une routine de cryptage variable. Repérer un tel virus devient une tâche compliquée, puisque deux exemplaires d'un même fichier infecté n'ont pas la même apparence. Ces nouveaux virus sont 1260, V2P1, V2P2, et V2P6.
L'année 1990 est aussi celle de Dark Avenger, un auteur bulgare qui a joué un rôle important dans l'élaboration de techniques avancées d'infection des virus. Les virus crées par ses soins se nomment, entre autres, Dark Avenger 180, Number of the beast ou encore Nomenklatura. Dark Avenger se sert des BBS pour la diffusion. Certains se dissimulent dans les logiciels anti-virus du domaine public !!! Toujours en Bulgarie est crée le VX BBS. Il s'agit d'un serveur d'échange de virus, d'information, et surtout de codes sources, auquel tout le monde s'accorde à reconnaître une responsabilité dans la naissance des vocations douteuses. Fin 1990, le nombre de virus s'élève à environ 250.
La possibilité de télécharger les lignes de programmes d'un virus permet à beaucoup d'introduire de subtiles modifications et de lâcher un nouvel agent infectieux dans la nature. En 1991, l'influence de ces serveurs se fait sentir et fin 1991, un millier de virus sont reconnus. Cette année-là, les éditeurs prennent la véritable mesure du marché qui s'ouvre à eux et de la difficulté de la lutte. Car les virus polymorphes croissent en nombre et en complexité. En Avril, un jeune suisse vole à un ami un nouveau virus et l'installe chez son père. La propagation du virus Téquila aurait été moins fulgurante si le père en question n'avait pas été un important distributeur de sharewares…Téquila se loge sur la table de répartitions du disque et infecte les fichiers. Or il est si difficile à détecter que si 1% des fichiers contaminés échappent au contrôle, l'infection recommence.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Le concept des virus informatiques
Le concept de virus est apparu avec les premiers calculateurs électroniques. Dès 1949, John Von NEUMANN, pionner de l'informatique à qui l'on attribut la conception du programme mémorisé, présente les fondements théoriques de l'auto-copie de logiciels dans un article intitulé Theory and Organisation of Complicated Automata.
En 1986, deux amis passionnés d ‘informatique s'aperçoivent que les disquettes contiennent, dans leur secteur de démarrage, un programme servant démarrer l' ordinateur. Ils le remplacent par leur propre programme qui, d' une part, a pour mission de se copier par la suite sur le secteur de démarrage de toute disquette insérée dans le lecteur, d' autre part de changer le nom de la disquette par l'intitulé « (C) Brain ». Ensuite, le programme démarre l'ordinateur. Ils appellent cela un virus. Au début, donc, rien de bien méchant. Seulement voilà, leur idée va faire des émules et bientôt la création échappe à tout contrôle.
Toujours en 1986, Ralph Burger, programmeur, développe un virus greffant une copie de lui-même sur les fichiers COM. Ralph Burger distribue ce virus lors d' une conférence et écrit un livre sur le sujet. Un an plus tard, le virus Vienna décrit dans ce livre se répand : une fois sur huit cela provoque le redémarrage de l'ordinateur. Puis vient le virus Lehigh : à la quatrième infection, du fichier Command.com, le virus détruit la FAT du disque (sorte de table des matières du disque).
Les meilleurs crus de l'année 1987 sont Suriv-01, -02, -03 et Jérusalem. Les trois premiers infectent les fichiers COM, EXE, ou COM et EXE. Le quatrième échappe à tout contrôle et va habituellement infecter tous les fichiers qui sont exécutés… sauf les vendredis 13, date à laquelle il les écrase. Son nom vient du fait que c'est l'université de Jérusalem qui a, la première, eu affaire au dit virus. Cette année voit aussi naître trois virus les plus connus : Ping-Pong qui fait dégringoler les lettres affichées.
Les années 1988 et 1989 ont vu peu de nouveaux virus. Le grand public fait la connaissance des virus le vendredi 13 janvier 1988, par l'intermédiaire d'une vigoureuse campagne de presse exploitant l'aura de mystère entourant le virus Jérusalem. Fin 1989, on recense une trentaine de virus.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
En 1986, deux amis passionnés d ‘informatique s'aperçoivent que les disquettes contiennent, dans leur secteur de démarrage, un programme servant démarrer l' ordinateur. Ils le remplacent par leur propre programme qui, d' une part, a pour mission de se copier par la suite sur le secteur de démarrage de toute disquette insérée dans le lecteur, d' autre part de changer le nom de la disquette par l'intitulé « (C) Brain ». Ensuite, le programme démarre l'ordinateur. Ils appellent cela un virus. Au début, donc, rien de bien méchant. Seulement voilà, leur idée va faire des émules et bientôt la création échappe à tout contrôle.
Toujours en 1986, Ralph Burger, programmeur, développe un virus greffant une copie de lui-même sur les fichiers COM. Ralph Burger distribue ce virus lors d' une conférence et écrit un livre sur le sujet. Un an plus tard, le virus Vienna décrit dans ce livre se répand : une fois sur huit cela provoque le redémarrage de l'ordinateur. Puis vient le virus Lehigh : à la quatrième infection, du fichier Command.com, le virus détruit la FAT du disque (sorte de table des matières du disque).
Les meilleurs crus de l'année 1987 sont Suriv-01, -02, -03 et Jérusalem. Les trois premiers infectent les fichiers COM, EXE, ou COM et EXE. Le quatrième échappe à tout contrôle et va habituellement infecter tous les fichiers qui sont exécutés… sauf les vendredis 13, date à laquelle il les écrase. Son nom vient du fait que c'est l'université de Jérusalem qui a, la première, eu affaire au dit virus. Cette année voit aussi naître trois virus les plus connus : Ping-Pong qui fait dégringoler les lettres affichées.
Les années 1988 et 1989 ont vu peu de nouveaux virus. Le grand public fait la connaissance des virus le vendredi 13 janvier 1988, par l'intermédiaire d'une vigoureuse campagne de presse exploitant l'aura de mystère entourant le virus Jérusalem. Fin 1989, on recense une trentaine de virus.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Pourquoi les virus existent-ils?
Les virus informatiques n'ont apparemment aucune valeur marchande indépendamment de leurs applications militaires. Alors, pourquoi les créer?
Mark A.Ludwig tente de répondre à cette question dans son livre Naissance d'un virus.
Depuis que les ordinateurs ont été inventés dans les années 40, il y a eu une fraternité entre les personnes employées à explorer les possibilités sans les limites de ces magnifiques machines. Cette fraternité a réuni des mathématiciens et des scientifiques célèbres qui, aussi longtemps que les ordinateurs les ont entouré, ont rêvé de machines intelligentes qui raisonneraient.
Pendant de nombreuses années, c'était purement de la science-fiction.
Pourtant, la pensée même de cette possibilité conduit certains à une plausible réalité. Le virus informatique est une nouvelle approche radicale sur ces machines vivantes. Au lieu d'essayer de concevoir quelque chose qui imite grossièrement le comportement humain, fortement complexe, il est possible de commencer par copier ce qui semble le plus simple dans la matière organique.
Les organismes monocellulaires sont simples et font très peu de choses. Leurs seuls objectifs sont apparemment de survivre et de se reproduire. Si l'on pense à un nouvel univers, non pas un monde physique, mais à un autre électronique, qui existe à l' intérieur d' un ordinateur, alors, un virus n' est pas très différent dans le sens qu' il a les mêmes objectifs que l' organisme vivant : survivre et se reproduire. La création d'un virus est donc le premier pas vers la création de la vie. Nos leaders qui arguent que les virus informatiques sont dangereux et que ceux qui les créent ne mesurent pas leur puissance essaient simplement de centraliser la puissance entre leurs mains. Donc, il n' y a aucun mal à essayer de restaurer une certaine petite puissance de l'individu.
Telle est, en substance, l'opinion de Ludwig sur le problème de l'existence des virus. Celui-ci est clairement en faveur des virus et de leurs créateurs.
Cependant, de nos jours, d'importants dégâts sont causés par de nombreux et nouveaux virus qui apparaissent, et c'est en se posant la question suivante : « à qui profitent les nouveaux virus ? » que l'on peut trouver tout d'abord leurs créateurs et le pourquoi de leur existence.
Certains virus sont peut être fabriqués par esprit de vengeance par quelque informaticien licencié désirant montrer à son ancien employeur combien il aurait dû le garder dans sa société.
Nous avons aussi les spammeurs : ils infectent pour diffuser des messages non sollicités. Depuis quelques mois ces spammeurs sont traqués. Les serveurs qu'ils utilisaient ont été fermés les uns après les autres. Alors, pour inonder les boîtes aux lettres, ils ont trouvé une nouvelle méthode : utiliser les PC de particuliers disposant de connexions à haut débit, les infecter par des virus comme Sobig qui ont été créés uniquement pour prendre le contrôle de ces ordinateurs, ces PC seront alors transformés en « machines zombies » et utilisés pour envoyer des spams, sans débourser un centime.
A cette liste se rajoute les maîtres chanteurs : ils menacent pour obtenir des rançons. En Novembre 2003, six propriétaires de casino en ligne one fait appel à des spécialistes en sécurité car des inconnus leur demandaient de l'argent. Faute de quoi, leurs sites allaient être submergés de demandes de connexion, afin d'empêcher les visiteurs légitimes d'y accéder et cela à cause du virus Mimail.H qui attaque des sites antispam pour les envahir et les faire fermer.
Nous retrouvons également les voleurs de données personnelles : il joue les indiscrets pour créer de faux papiers. Numéro de sécurité sociale, de permis de conduire, de carte bancaire…voici quelques unes des 25 informations que le virus Cayam tente de soustraire à ses victimes, en leur présentant un courriel contenant un faux écran d'identification d'eBay.
Enfin les braqueurs de banque :ils dérobent les mots de passe pour vider les comptes bancaires. Crédit agricol, Banque populaire, Crédit lyonnais : ces trois banques figurent parmi les 1300 espionnées par le vicieux virus Bugbear.B, il enregistre en permanence les données tapées au clavier par ses victimes et les envoie à son auteur par courriel.
Voyons maintenant l'évolution de ceux-ci depuis le premier virus : « Brain » jusqu' aux dernières évolutions.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Mark A.Ludwig tente de répondre à cette question dans son livre Naissance d'un virus.
Depuis que les ordinateurs ont été inventés dans les années 40, il y a eu une fraternité entre les personnes employées à explorer les possibilités sans les limites de ces magnifiques machines. Cette fraternité a réuni des mathématiciens et des scientifiques célèbres qui, aussi longtemps que les ordinateurs les ont entouré, ont rêvé de machines intelligentes qui raisonneraient.
Pendant de nombreuses années, c'était purement de la science-fiction.
Pourtant, la pensée même de cette possibilité conduit certains à une plausible réalité. Le virus informatique est une nouvelle approche radicale sur ces machines vivantes. Au lieu d'essayer de concevoir quelque chose qui imite grossièrement le comportement humain, fortement complexe, il est possible de commencer par copier ce qui semble le plus simple dans la matière organique.
Les organismes monocellulaires sont simples et font très peu de choses. Leurs seuls objectifs sont apparemment de survivre et de se reproduire. Si l'on pense à un nouvel univers, non pas un monde physique, mais à un autre électronique, qui existe à l' intérieur d' un ordinateur, alors, un virus n' est pas très différent dans le sens qu' il a les mêmes objectifs que l' organisme vivant : survivre et se reproduire. La création d'un virus est donc le premier pas vers la création de la vie. Nos leaders qui arguent que les virus informatiques sont dangereux et que ceux qui les créent ne mesurent pas leur puissance essaient simplement de centraliser la puissance entre leurs mains. Donc, il n' y a aucun mal à essayer de restaurer une certaine petite puissance de l'individu.
Telle est, en substance, l'opinion de Ludwig sur le problème de l'existence des virus. Celui-ci est clairement en faveur des virus et de leurs créateurs.
Cependant, de nos jours, d'importants dégâts sont causés par de nombreux et nouveaux virus qui apparaissent, et c'est en se posant la question suivante : « à qui profitent les nouveaux virus ? » que l'on peut trouver tout d'abord leurs créateurs et le pourquoi de leur existence.
Certains virus sont peut être fabriqués par esprit de vengeance par quelque informaticien licencié désirant montrer à son ancien employeur combien il aurait dû le garder dans sa société.
Nous avons aussi les spammeurs : ils infectent pour diffuser des messages non sollicités. Depuis quelques mois ces spammeurs sont traqués. Les serveurs qu'ils utilisaient ont été fermés les uns après les autres. Alors, pour inonder les boîtes aux lettres, ils ont trouvé une nouvelle méthode : utiliser les PC de particuliers disposant de connexions à haut débit, les infecter par des virus comme Sobig qui ont été créés uniquement pour prendre le contrôle de ces ordinateurs, ces PC seront alors transformés en « machines zombies » et utilisés pour envoyer des spams, sans débourser un centime.
A cette liste se rajoute les maîtres chanteurs : ils menacent pour obtenir des rançons. En Novembre 2003, six propriétaires de casino en ligne one fait appel à des spécialistes en sécurité car des inconnus leur demandaient de l'argent. Faute de quoi, leurs sites allaient être submergés de demandes de connexion, afin d'empêcher les visiteurs légitimes d'y accéder et cela à cause du virus Mimail.H qui attaque des sites antispam pour les envahir et les faire fermer.
Nous retrouvons également les voleurs de données personnelles : il joue les indiscrets pour créer de faux papiers. Numéro de sécurité sociale, de permis de conduire, de carte bancaire…voici quelques unes des 25 informations que le virus Cayam tente de soustraire à ses victimes, en leur présentant un courriel contenant un faux écran d'identification d'eBay.
Enfin les braqueurs de banque :ils dérobent les mots de passe pour vider les comptes bancaires. Crédit agricol, Banque populaire, Crédit lyonnais : ces trois banques figurent parmi les 1300 espionnées par le vicieux virus Bugbear.B, il enregistre en permanence les données tapées au clavier par ses victimes et les envoie à son auteur par courriel.
Voyons maintenant l'évolution de ceux-ci depuis le premier virus : « Brain » jusqu' aux dernières évolutions.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Schema de l'infection du virus classique :
Schéma de l'infection du virus classique :
(Les numéros correspondent à l'ordre d'exécution du fichier)
Si l'ordre du fichier sur le disque est différent de l'ordre d'exécution, c'est pour des raisons pratiques : étant donné que le virus s'écrit par dessus le programme, il doit le garder intact. Cependant, le virus doit s'exécuter avant le programme. C'est pourquoi il remplace le code de démarrage du programme pour y mettre le sien tout en prenant soin de replacer le code de démarrage du programme à la fin de celui-ci pour pouvoir continuer à l'employer. Par la suite, le virus ajoute encore, éventuellement le reste de son code qui n'aurait pas pu être placé au début du programme, faute de place. On peut cependant remarquer que l'ordre d'exécution n'est pas perturbé et se fait selon l'ordre suivant : virus - programme (suivre l'ordre des chiffres).
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
(Les numéros correspondent à l'ordre d'exécution du fichier)Si l'ordre du fichier sur le disque est différent de l'ordre d'exécution, c'est pour des raisons pratiques : étant donné que le virus s'écrit par dessus le programme, il doit le garder intact. Cependant, le virus doit s'exécuter avant le programme. C'est pourquoi il remplace le code de démarrage du programme pour y mettre le sien tout en prenant soin de replacer le code de démarrage du programme à la fin de celui-ci pour pouvoir continuer à l'employer. Par la suite, le virus ajoute encore, éventuellement le reste de son code qui n'aurait pas pu être placé au début du programme, faute de place. On peut cependant remarquer que l'ordre d'exécution n'est pas perturbé et se fait selon l'ordre suivant : virus - programme (suivre l'ordre des chiffres).
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les canulars
• Les canulars : Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax), c'est-à-dire des annonces reçues par mail propageant de fausses informations (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement,...) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation.
Ainsi, de plus en plus de personnes font suivre des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple :
provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes
Les conséquences de ces canulars sont multiples :
ils contribuent à engorger inutilement les réseaux en provoquant une masse de données superflues circulant dans les infrastructures réseaux,
ils tendent à provoquer de la désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) pour certains de ces courriers,
ils encombrent inutilement nos boîtes aux lettres déjà chargées,
ils nous font perdre du temps,
ils peuvent contribuer à la dégradation de l'image d'une personne ou bien d'une entreprise,
ils provoquent un effet d'incrédulité, c'est-à-dire qu'à force de recevoir de fausses informations on finit par ne plus croire aux vraies.
Ainsi, il est essentiel de suivre certains principes avant de faire circuler une information sur Internet.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Ainsi, de plus en plus de personnes font suivre des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple :
provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes
Les conséquences de ces canulars sont multiples :
ils contribuent à engorger inutilement les réseaux en provoquant une masse de données superflues circulant dans les infrastructures réseaux,
ils tendent à provoquer de la désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) pour certains de ces courriers,
ils encombrent inutilement nos boîtes aux lettres déjà chargées,
ils nous font perdre du temps,
ils peuvent contribuer à la dégradation de l'image d'une personne ou bien d'une entreprise,
ils provoquent un effet d'incrédulité, c'est-à-dire qu'à force de recevoir de fausses informations on finit par ne plus croire aux vraies.
Ainsi, il est essentiel de suivre certains principes avant de faire circuler une information sur Internet.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les virus VBS script
• Les virus VBS script : Ce type de virus se propage par mail à l'aide d'un fichier attaché (type exe, vbs etc..) bien souvent en ayant un nom évocateur. Ces nombreux virus sont en langage Visual Basic. Ils sont de type Vbs (Visual Basic Script) ou plus simplement « script ». Par exemple, le désormais célèbre I Love You et le virus KakWorm sont écrits dans ce langage.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Virus flibustiers (Bounty hunters)
* Virus flibustiers (Bounty hunters) : virus visant la modification des antivirus les rendant non - opérationnels. Ce genre de virus est très rare mais très efficace.
Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractéristiques vues ci-dessus. Plus le virus a de caractéristiques, plus il sera dangereux, compliqué, vorace en ressources de l'ordinateur (du à sa complexité). Ce qui signifie gênant sans même être actif, et surtout difficile à détecter par un antivirus (trompé, rendu inactif, ...) mais aussi plus facilement repérable, et ce, dû à la baisse des performances de la machine.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractéristiques vues ci-dessus. Plus le virus a de caractéristiques, plus il sera dangereux, compliqué, vorace en ressources de l'ordinateur (du à sa complexité). Ce qui signifie gênant sans même être actif, et surtout difficile à détecter par un antivirus (trompé, rendu inactif, ...) mais aussi plus facilement repérable, et ce, dû à la baisse des performances de la machine.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Virus polymorphes (mutants)
* Virus polymorphes (mutants) : ce virus est différent à chaque infection. Il doit ceci à son encryption (Il existe un algorithme reprenant une valeur au hasard, permettant d'avoir un fichier crypté à chaque fois différent ne dérangeant cependant pas le décryptage). Le programme entier et le virus sont encryptés, excepté le premier segment destiné à la décryption. Ce genre de virus est donc beaucoup plus difficile à détecter que les précédents et presque impossible à détruire sans supprimer le fichier infecté, vu qu'il est crypté.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Virus furtifs (intercepteurs d'interruptions)
* Virus furtifs (intercepteurs d'interruptions) : ce sont des virus modifiant complètement le fonctionnement du système d'exploitation. Ces virus le modifient tellement qu'il semble sain aux antivirus. Ceci les rend très difficiles à détecter, puisque les antivirus sont trompés, croyant le système d'exploitation sain.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Virus residents
Il s'agit de virus qui restent présent dans la mémoire de l'ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d'une source infectée, une source douteuse, soit d'un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu'un programme est exécuté et qu'il n'est pas infecté, le virus l'infecte. La différence avec celui vu précédemment est qu'il n'y a pas besoin de procédure pour trouver une cible, puisque c'est l'utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu'à l'arrêt complet de la machine. Certains d'entre eux peuvent résister au simple redémarrage (c-à-d : CTRL – ALT – DEL).
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Virus Non residents
C'étaient les virus les plus répandus il y a quelques années. Lors de l'infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l'exécution du fichier, c'est le code viral qui est d'abord lancé. Ce code viral cherche d'autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s'agit donc d'un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu'il contient le virus en plus du programme.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les macrovirus
• Les macrovirus : ce sont des virus écrits sous forme de macros (une macro est une série de commandes destinée à effectuer automatiquement quelques tâches d'une application spécifique) exécutables dans des applications bureautiques (traitement de texte, tableur, etc.) ou des logiciels clients de messagerie électronique. Ces macrovirus vont détourner tous les appels des macros standards. La propagation se fait généralement par l'opération de sauvegarde. Comme de plus en plus de logiciels intègrent ces notions de macros, les macrovirus sont devenus les virus les plus fréquents et les plus redoutables pouvant malheureusement causer de grands dégâts (formatage du disque dur par exemple).
Un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les virus de secteur d'amorce ou boot sector
• Les virus de secteur d'amorce (aussi appelés virus « boot sector ») : cette catégorie regroupe les virus infectant le secteur d'amorçage du disque (disque dur, disquettes, disque zip, ...). Il s'agit d'un type de virus infectant la partie faisant démarrer l'ordinateur.
Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infecté, il doit être démarré avec un secteur d'amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l'ordinateur. Le secteur d'amorçage du disque est le premier secteur lu au démarrage de l'ordinateur. Ce genre de virus a donc un contrôle complet de la machine, puisqu'il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l'« incrustation » du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l'ordinateur, jusqu'au moment où on l'éteint.
Mais pourquoi le secteur d'amorçage d'un ordinateur n'est pas protégé contre l'écriture ? Le secteur d'amorçage est typique au système d'exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l'utilisateur désire changer de système d'exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d'amorcer sa machine avec une disquette ou un disque dur de quelqu'un d'autre.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infecté, il doit être démarré avec un secteur d'amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l'ordinateur. Le secteur d'amorçage du disque est le premier secteur lu au démarrage de l'ordinateur. Ce genre de virus a donc un contrôle complet de la machine, puisqu'il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l'« incrustation » du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l'ordinateur, jusqu'au moment où on l'éteint.
Mais pourquoi le secteur d'amorçage d'un ordinateur n'est pas protégé contre l'écriture ? Le secteur d'amorçage est typique au système d'exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l'utilisateur désire changer de système d'exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d'amorcer sa machine avec une disquette ou un disque dur de quelqu'un d'autre.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les chevaux de Troie ou les trojans
• Les chevaux de Troie : par analogie avec la mythologie grecque, ce sont des programmes dont l'aspect malveillant est caché au premier abord. Un cheval de Troie permet généralement de préparer une attaque ultérieure de la machine infectée. Par exemple, ils agissent en laissant ouverts des ports de communication qui peuvent être ensuite utilisés par des programmes d'attaque. Ils sont difficiles à détecter par un utilisateur non averti.
Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté.
Un cheval de Troie peut par exemple :
voler des mots de passe
copier des données sensibles
exécuter tout autre action nuisible
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté.
Un cheval de Troie peut par exemple :
voler des mots de passe
copier des données sensibles
exécuter tout autre action nuisible
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les bombes logiques
lles sont de véritables bombes à retardement. Ce sont de petits programmes restant inactifs tant qu'une condition n'est pas remplie, une fois la condition remplie (une date par exemple), une suite de commandes est exécutée (dont le but, le plus souvent, hélas, est de faire le plus de dégâts possible).
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !
Un exemple célèbre est le virus Michelangelo qui devait se déclencher à la date anniversaire de la naissance de l'artiste (Michel-Ange) ;
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !
Un exemple célèbre est le virus Michelangelo qui devait se déclencher à la date anniversaire de la naissance de l'artiste (Michel-Ange) ;
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Types de virus informatiques
Types de virus
On peut classer les virus selon leur mode de déclenchement ou leur mode de propagation. On distingue alors plusieurs catégories de virus :
• Les vers : il s'agit de programmes possédant la faculté de s'autoreproduire et de se déplacer à travers un réseau en utilisant des mécanismes de communication classiques, comme les RPC (Remote Procedure Call, procédure d'appel à distance) ou le rlogin (connexion à distance), sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...) pour se propager. Un ver est donc un virus réseau. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrices pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.
• Les bombes logiques: elles sont de véritables bombes à retardement. Ce sont de petits programmes restant inactifs tant qu'une condition n'est pas remplie, une fois la condition remplie (une date par exemple), une suite de commandes est exécutée (dont le but, le plus souvent, hélas, est de faire le plus de dégâts possible).
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !
Un exemple célèbre est le virus Michelangelo qui devait se déclencher à la date anniversaire de la naissance de l'artiste (Michel-Ange) ;
• Les chevaux de Troie : par analogie avec la mythologie grecque, ce sont des programmes dont l'aspect malveillant est caché au premier abord. Un cheval de Troie permet généralement de préparer une attaque ultérieure de la machine infectée. Par exemple, ils agissent en laissant ouverts des ports de communication qui peuvent être ensuite utilisés par des programmes d'attaque. Ils sont difficiles à détecter par un utilisateur non averti.
Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté.
Un cheval de Troie peut par exemple :
voler des mots de passe
copier des données sensibles
exécuter tout autre action nuisible
...
• Les macrovirus : ce sont des virus écrits sous forme de macros (une macro est une série de commandes destinée à effectuer automatiquement quelques tâches d'une application spécifique) exécutables dans des applications bureautiques (traitement de texte, tableur, etc.) ou des logiciels clients de messagerie électronique. Ces macrovirus vont détourner tous les appels des macros standards. La propagation se fait généralement par l'opération de sauvegarde. Comme de plus en plus de logiciels intègrent ces notions de macros, les macrovirus sont devenus les virus les plus fréquents et les plus redoutables pouvant malheureusement causer de grands dégâts (formatage du disque dur par exemple).
Un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).
• Les virus de secteur d'amorce (aussi appelés virus « boot sector ») : cette catégorie regroupe les virus infectant le secteur d'amorçage du disque (disque dur, disquettes, disque zip, ...). Il s'agit d'un type de virus infectant la partie faisant démarrer l'ordinateur.
Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infecté, il doit être démarré avec un secteur d'amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l'ordinateur. Le secteur d'amorçage du disque est le premier secteur lu au démarrage de l'ordinateur. Ce genre de virus a donc un contrôle complet de la machine, puisqu'il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l'« incrustation » du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l'ordinateur, jusqu'au moment où on l'éteint.
Mais pourquoi le secteur d'amorçage d'un ordinateur n'est pas protégé contre l'écriture ? Le secteur d'amorçage est typique au système d'exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l'utilisateur désire changer de système d'exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d'amorcer sa machine avec une disquette ou un disque dur de quelqu'un d'autre.
• Les virus fichiers :
Virus Non résidents :
C'étaient les virus les plus répandus il y a quelques années. Lors de l'infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l'exécution du fichier, c'est le code viral qui est d'abord lancé. Ce code viral cherche d'autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s'agit donc d'un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu'il contient le virus en plus du programme.
Virus résidents :
Il s'agit de virus qui restent présent dans la mémoire de l'ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d'une source infectée, une source douteuse, soit d'un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu'un programme est exécuté et qu'il n'est pas infecté, le virus l'infecte. La différence avec celui vu précédemment est qu'il n'y a pas besoin de procédure pour trouver une cible, puisque c'est l'utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu'à l'arrêt complet de la machine. Certains d'entre eux peuvent résister au simple redémarrage (c-à-d : CTRL – ALT – DEL).
Virus multiformes :
Virus regroupant les caractéristiques des virus parasites et des virus du secteur d'amorçage.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
On peut classer les virus selon leur mode de déclenchement ou leur mode de propagation. On distingue alors plusieurs catégories de virus :
• Les vers : il s'agit de programmes possédant la faculté de s'autoreproduire et de se déplacer à travers un réseau en utilisant des mécanismes de communication classiques, comme les RPC (Remote Procedure Call, procédure d'appel à distance) ou le rlogin (connexion à distance), sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...) pour se propager. Un ver est donc un virus réseau. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrices pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.
• Les bombes logiques: elles sont de véritables bombes à retardement. Ce sont de petits programmes restant inactifs tant qu'une condition n'est pas remplie, une fois la condition remplie (une date par exemple), une suite de commandes est exécutée (dont le but, le plus souvent, hélas, est de faire le plus de dégâts possible).
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !
Un exemple célèbre est le virus Michelangelo qui devait se déclencher à la date anniversaire de la naissance de l'artiste (Michel-Ange) ;
• Les chevaux de Troie : par analogie avec la mythologie grecque, ce sont des programmes dont l'aspect malveillant est caché au premier abord. Un cheval de Troie permet généralement de préparer une attaque ultérieure de la machine infectée. Par exemple, ils agissent en laissant ouverts des ports de communication qui peuvent être ensuite utilisés par des programmes d'attaque. Ils sont difficiles à détecter par un utilisateur non averti.
Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté.
Un cheval de Troie peut par exemple :
voler des mots de passe
copier des données sensibles
exécuter tout autre action nuisible
...
• Les macrovirus : ce sont des virus écrits sous forme de macros (une macro est une série de commandes destinée à effectuer automatiquement quelques tâches d'une application spécifique) exécutables dans des applications bureautiques (traitement de texte, tableur, etc.) ou des logiciels clients de messagerie électronique. Ces macrovirus vont détourner tous les appels des macros standards. La propagation se fait généralement par l'opération de sauvegarde. Comme de plus en plus de logiciels intègrent ces notions de macros, les macrovirus sont devenus les virus les plus fréquents et les plus redoutables pouvant malheureusement causer de grands dégâts (formatage du disque dur par exemple).
Un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).
• Les virus de secteur d'amorce (aussi appelés virus « boot sector ») : cette catégorie regroupe les virus infectant le secteur d'amorçage du disque (disque dur, disquettes, disque zip, ...). Il s'agit d'un type de virus infectant la partie faisant démarrer l'ordinateur.
Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infecté, il doit être démarré avec un secteur d'amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l'ordinateur. Le secteur d'amorçage du disque est le premier secteur lu au démarrage de l'ordinateur. Ce genre de virus a donc un contrôle complet de la machine, puisqu'il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l'« incrustation » du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l'ordinateur, jusqu'au moment où on l'éteint.
Mais pourquoi le secteur d'amorçage d'un ordinateur n'est pas protégé contre l'écriture ? Le secteur d'amorçage est typique au système d'exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l'utilisateur désire changer de système d'exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d'amorcer sa machine avec une disquette ou un disque dur de quelqu'un d'autre.
• Les virus fichiers :
Virus Non résidents :
C'étaient les virus les plus répandus il y a quelques années. Lors de l'infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l'exécution du fichier, c'est le code viral qui est d'abord lancé. Ce code viral cherche d'autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s'agit donc d'un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu'il contient le virus en plus du programme.
Virus résidents :
Il s'agit de virus qui restent présent dans la mémoire de l'ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d'une source infectée, une source douteuse, soit d'un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu'un programme est exécuté et qu'il n'est pas infecté, le virus l'infecte. La différence avec celui vu précédemment est qu'il n'y a pas besoin de procédure pour trouver une cible, puisque c'est l'utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu'à l'arrêt complet de la machine. Certains d'entre eux peuvent résister au simple redémarrage (c-à-d : CTRL – ALT – DEL).
Virus multiformes :
Virus regroupant les caractéristiques des virus parasites et des virus du secteur d'amorçage.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Qu'est-ce qu'un virus?
Pour répondre à cette question nous traiterons plusieurs points abordés dans cette première partie.
Tenter une définition n'est pas chose aisée. En effet, la littérature spécialisée nous enseigne que pratiquement chaque auteur a sa propre définition « scientifique » de ce que sont et ce que ne sont pas les virus informatiques. Nous dirons ici que tout Code Parasite Autopropageable (CPA) est une virus informatique (définition de Mark Ludwig, tirée de The Little Book of Computers Viruses, 1991). Le terme « code » fait bien évidemment référence à des instructions rédigées dans un langage de programmation évolué ou non. Le mot « parasite » souligne le caractère insidieux du code viral : il est là où on ne devrait normalement pas le trouver. Il constitue un ajout non-voulu par l'utilisateur. Quant à « autopropageable, il renvoie à cette caractéristique de duplication qu'ont les virus : la capacité à se multiplier en infectant d'autres fichiers. Ils recopient leurs propres instructions (code) au sein de celles d'un autre programme. L'efficacité de la duplication se mesure au fait que l'exécution du programme hôte n'est pas altérée, alors que ses fonctionnalités ont été modifiées. C'est une définition parmi tant d'autre d'un virus informatique mais intéressons nous maintenant aux différents types qui existent.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Tenter une définition n'est pas chose aisée. En effet, la littérature spécialisée nous enseigne que pratiquement chaque auteur a sa propre définition « scientifique » de ce que sont et ce que ne sont pas les virus informatiques. Nous dirons ici que tout Code Parasite Autopropageable (CPA) est une virus informatique (définition de Mark Ludwig, tirée de The Little Book of Computers Viruses, 1991). Le terme « code » fait bien évidemment référence à des instructions rédigées dans un langage de programmation évolué ou non. Le mot « parasite » souligne le caractère insidieux du code viral : il est là où on ne devrait normalement pas le trouver. Il constitue un ajout non-voulu par l'utilisateur. Quant à « autopropageable, il renvoie à cette caractéristique de duplication qu'ont les virus : la capacité à se multiplier en infectant d'autres fichiers. Ils recopient leurs propres instructions (code) au sein de celles d'un autre programme. L'efficacité de la duplication se mesure au fait que l'exécution du programme hôte n'est pas altérée, alors que ses fonctionnalités ont été modifiées. C'est une définition parmi tant d'autre d'un virus informatique mais intéressons nous maintenant aux différents types qui existent.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les dialers
Les dialers sont des programmes qui composent un numéro pour connecter votre ordinateur à Internet. Il peut être sans danger et légitime si c'est celui de votre fournisseur d'accès par exemple. Toutefois, certains dialers sont malveillants et peuvent parfois s'installer à votre insu sur votre machine et composer un numéro très coûteux.
Pour vous prémunir de ce risque, faites toujours attention aux logiciels que vous téléchargez et assurez-vous de le télécharger depuis un site dont vous avez confiance comme le site officiel du logiciel en question.
regarde les telechargement a gauche ils pourront probablement vous débarrasser de ce genre de saleté. Le danger des dialers concerne particulièrement ceux qui possèdent un modem analogique.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Pour vous prémunir de ce risque, faites toujours attention aux logiciels que vous téléchargez et assurez-vous de le télécharger depuis un site dont vous avez confiance comme le site officiel du logiciel en question.
regarde les telechargement a gauche ils pourront probablement vous débarrasser de ce genre de saleté. Le danger des dialers concerne particulièrement ceux qui possèdent un modem analogique.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les rootkits
Un rootkit est un « kit » pour devenir "root"(administrateur) d'une machine.C'est un code malicieux vraiment complexe qui se greffe sur une machine, et parfois le noyau même du système d'exploitation. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne. Autrement dit, c'est une série de programmes qui permettent au pirate de s'installer sur une machine ( déjà infecté ou exploitant une faille de sécurité ) et d'empêcher sa détection. Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares, doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. La croissance des rootkit est favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaille sous les droits d'un administrateur, ce qui facilite grandement l'installation de rootkit dans les ordinateurs.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les keyloggers
Un keylogger est un logiciel qui enregistre les frappes au clavier pour voler, par exemple, un mot de passe.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les chevaux de Troie trojan
Un cheval de Troie (ou trojan) est un programme qui, introduit dans une séquence d'instructions normales, prend l'apparence d'un programme valide. Mais il contient en réalité une fonction illicite cachée, grâce à laquelle les mécanismes de sécurité du système informatique sont contournés, ce qui permet la pénétration par effraction dans des fichiers pour les consulter, les modifier ou les détruire. A la différence d'un ver, le cheval de Troie ne se réplique pas : il peut demeurer inoffensif, à l'intérieur d'un jeu ou d'un utilitaire, jusqu'à la date programmée de son entrée en action.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les vers
Un ver (ou worm) est un type de virus particulier. Concrètement, il s’agit de programmes capables de se répliquer à travers les terminaux connectés à un réseau, puis d’exécuter certaines actions pouvant porter atteinte à l’intégrité des systèmes d’exploitation.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les virus
Un virus est un morceau de programme informatique malicieux, conçu et écrit pour qu'il se reproduise. Cette capacité à se répliquer, peut toucher votre ordinateur, sans votre permission et sans que vous le sachiez. En termes plus techniques, le virus classique s'attachera à un de vos programmes exécutables et se copiera systématiquement sur tout autre exécutable que vous lancez.
Un antivirus pourra vous défendre contre ces malwares.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Un antivirus pourra vous défendre contre ces malwares.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les spywares
Un spyware (espiogiciel ou logiciel espion) est un programme ou un sous-programme, conçu dans le but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son concepteur, ou à un tiers via Internet ou tout autre réseau informatique, sans avoir obtenu au préalable une autorisation explicite et éclairée desdits utilisateurs.
Des logiciels comme Ad-Aware et Spybot peuvent les supprimer.
Eliminer un logiciel espion spyware
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Des logiciels comme Ad-Aware et Spybot peuvent les supprimer.
Eliminer un logiciel espion spyware
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Les malwares
Ce sont des virus, des spywares, des chevaux de Troie, bref, toutes sortes de petits programmes conçus pour vous nuire, ou vous surveiller, vous traquer, et qu'il vaut mieux pourchasser et détruire.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
dimanche 26 avril 2009
Comment fonctionnent le pare-feu et l'antivirus ?
à-dire protéger l'ordinateur contre les dangers d'Internet ? Non ?
Monsieur Pare-feu : Pas tout à fait. En fait, on se partage le travail. Osons une analogie médicale. Un masque et des gants permettent de se protéger contre les microbes, mais ces filtres ne les arrêtent pas tous. Quand on est contaminé, une deuxième ligne de défense veille à l'intérieur de l'organisme, ce sont les anticorps. Disséminés dans tout l'organisme, ils empêchent les microbes de se propager. Dans un PC, c'est exactement le même schéma. La première ligne de défense, c'est moi, le pare-feu. Je suis une barrière filtrante placée entre l'ordinateur et le réseau Internet. Quand, malgré mes efforts, l'ordinateur est infecté, c'est l'antivirus qui prend le relais.
Monsieur Antivirus : Oui, je surveille l'intérieur de l'ordinateur, je repère les virus et je les place en quarantaine. Quand c'est possible, je les détruis. Toute cette vermine n'arrive pas seulement par Internet. Je surveille aussi les autres sources potentielles comme les clés USB et les CD-Rom, sur lesquels peuvent traîner des logiciels malveillants.
Monsieur Pare-feu : Pas tout à fait. En fait, on se partage le travail. Osons une analogie médicale. Un masque et des gants permettent de se protéger contre les microbes, mais ces filtres ne les arrêtent pas tous. Quand on est contaminé, une deuxième ligne de défense veille à l'intérieur de l'organisme, ce sont les anticorps. Disséminés dans tout l'organisme, ils empêchent les microbes de se propager. Dans un PC, c'est exactement le même schéma. La première ligne de défense, c'est moi, le pare-feu. Je suis une barrière filtrante placée entre l'ordinateur et le réseau Internet. Quand, malgré mes efforts, l'ordinateur est infecté, c'est l'antivirus qui prend le relais.
Monsieur Antivirus : Oui, je surveille l'intérieur de l'ordinateur, je repère les virus et je les place en quarantaine. Quand c'est possible, je les détruis. Toute cette vermine n'arrive pas seulement par Internet. Je surveille aussi les autres sources potentielles comme les clés USB et les CD-Rom, sur lesquels peuvent traîner des logiciels malveillants.
Quel est votre secret pour neutraliser les menaces ?
Monsieur Pare-feu : Je surveille les tuyaux d'Internet, les fameux ports d'entrée. Je les ferme tous, sauf ceux qui sont utiles à l'échange de messages électroniques, à la consultation des sites Web, au chat et quelques autres. Et ces ports laissés ouverts, je les surveille attentivement, à la recherche du moindre signe extérieur de mauvaises intentions. Les informations arrivent sous la forme de paquets séparés. Si un paquet paraît suspect, je scrute son passeport, je l'interroge sur son séjour. Puis, j'observe les paquets suivants envoyés par le même expéditeur. Parfois, je devine une attaque. Alors, je bloque tous les paquets de l'expéditeur. En revanche, si le paquet me paraît normal, j'ouvre la barrière. Surtout s'il est attendu par un logiciel. Certaines menaces déjouent ma surveillance à l'entrée du PC. J'essaie dans ce cas de les coincer à la sortie, lorsqu'ils tentent de s'évader avec leur butin.
Monsieur Antivirus : Quand les paquets arrivent sur le PC, leur contenu est déchargé dans la mémoire de l'ordinateur. Je patrouille justement dans cette zone. J'ai en main des portraits-robots précis des logiciels malveillants. Grâce à ces fiches signalétiques, je les repère dès qu'ils passent à l'action. Certains logiciels malveillants sont très habiles puisqu'ils changent d'apparence en permanence. Ce sont les “ virus polymorphes ”. Leur portrait-robot ne me sert à rien, je parviens à les coincer en observant leur comportement. S'ils tentent de modifier un programme, par exemple, c'est très suspect. Evidemment, parfois, je me trompe et j'arrête des logiciels innocents.
Que risque-t-on, si l'on ne vous installe pas ?
Monsieur Antivirus : Un effacement complet du disque dur, une destruction de Windows ! Ce sont les deux plus grosses menaces. Vous risquez aussi de perdre des amis : certains virus s'envoient par courriels à tous vos correspondants.
Monsieur Pare-feu : Sans moi, on peut se faire voler des informations. Dans le pire des cas, un numéro de carte bancaire. Votre PC peut se transformer en “ zombie ”, une sorte d'automate, programmé à distance par un pirate qui lance des attaques massives sur Internet. Vous risquez aussi d'être espionné. En effet, un pirate peut lire les textes que vous tapez, voir les images filmées par votre webcam. Sans pare-feu, la porte est grande ouverte : avec beaucoup de savoir-faire et quelques logiciels spécialisés, un pirate peut voir beaucoup de choses et même modifier vos fichiers à loisir.
Etes-vous efficaces à 100 % tous les deux ?
Monsieur Antivirus : Pour ma part, je neutralise 99 % des logiciels malveillants, mais pas 100 %. C'est déjà un excellent résultat : mes collègues les moins doués n'arrêtent même pas 70 % des menaces. Je tiens cette information d'experts en sécurité, qui ont testé les antivirus les plus répandus et publié leurs résultats sur le site www.av-comparatives.org.
Monsieur Pare-feu : Je n'arrête pas non plus toutes les attaques. La forteresse logicielle que j'érige a des failles, des erreurs que des pirates pourraient exploiter. Je les colmate dès qu'on me les signale, mais il en reste toujours. Heureusement, un pirate a peu de chances d'en découvrir. En réalité, le danger vient surtout de l'utilisateur. Quand je leur demande : “ Dois-je laisser ce logiciel accéder à Internet ? ”, certains utilisateurs répondent sans réfléchir. Résultat : ils ouvrent parfois la porte à un pirate.
Les pirates sont créatifs, ils imaginent de nouvelles menaces en permanence. Comment suivre leur rythme ?
Monsieur Antivirus : Il n'y a qu'une solution, mettre à jour les portraits-robots des virus. Quand un nouveau virus est détecté, quelques heures plus tard, sa fiche descriptive est prête. Avec la marche à suivre pour le neutraliser. J'ai besoin de me connecter à Internet chaque jour pour télécharger les définitions des nouveaux virus. C'est impératif.
Monsieur Pare-feu : En ce qui me concerne, c'est la même chose : il faut télécharger les mises à jour, pas forcément quotidiennement, mais très régulièrement.
Vous êtes parfois agaçants !
Monsieur Antivirus : C'est vrai. Je ralentis l'ordinateur et je passe ma vie à télécharger des mises à jour. Croyez bien que j'en suis désolé, mais pour assurer votre sécurité, je ne vois aucune autre solution.
Monsieur Pare-feu : Je suis casse-pieds, c'est sûr. Je lance des alertes à tort et à travers. J'empêche certains logiciels d'accéder à Internet. Dans les réseaux domestiques, j'empêche les ordinateurs de communiquer entre eux. Pour lever ces blocages, il faut m'apprivoiser. Comprendre mon fonctionnement. Je ne cherche pas à vous compliquer la vie ! Je suis juste excessivement prudent…
Premiers virus
Dans les années 1960 apparaissent de petits programmes nuisibles. Ils se multiplient très vite, ce qui leur vaut le nom de rabbits (lapins), et monopolisent le temps de calcul de l'ordinateur, l'empêchant de fonctionner. A la différence des virus, ils sont incapables de sauter d'un ordinateur à l'autre.
C'est en 1972 qu'est réalisé le premier virus informatique. Creeper, tel est son nom, peut infecter d'autres machines, mais il demeure un virus de laboratoire. Le premier virus “ sauvage ” daterait de 1982 : Elk Cloner attaquait les ordinateurs Apple II. Le premier virus ciblant les PC apparaît en 1986 : (c) Brain se propage sur disquettes. Il faut attendre 1988 pour observer le premier virus circulant grâce à Internet : Morris Worm.
Qu'est-ce que c'est ?
Logiciel malveillant
Petit programme nuisible qui perturbe le fonctionnement des ordinateurs. On distingue plusieurs familles de logiciels malveillants. Les virus, les vers, les chevaux de Troie, les logiciels espions en sont des exemples.
Port
Porte d'entrée de l'ordinateur qui ouvre sur un réseau, Internet par exemple. Chaque port est spécialisé dans un certain type de communication. Citons le port 110 dédié à la réception des courriels ; le port 80 spécialisé dans la navigation Web ; le port 21 pour l'envoi de fichiers (FTP).
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
Antivirus : Lequel choisir ? Comment fonctionne-t-il ?
Fonctionnement :
L'antivirus est le dernier rempart de votre ordinateur, il a pour premier but de détecter et d'éradiquer, avant son installation si possible, le virus présent sur votre ordinateur.
La plupart des antivirus scannent les fichiers de votre ordinateur ainsi que les courriers électroniques, les techniques utilisées sont les suivantes :
- la signature : lorsque l'antivirus scanne un fichier, il cherche dans sa base de signatures. Si celle du fichier correspond à celle d'une infection, l'antivirus réagit en émettant une alerte. Cette méthode est la plus utilisée actuellement, la signature correspond à un morceau de code.
- l'analyse heuristique : cette méthode permet de détecter une infection même si l'antivirus ne possède pas la signature du fichier dans sa base de données. Pour se faire, il simule le fonctionnement d'un programme inconnu pour faire son jugement. Malheureusement, l'antivirus peut se tromper, ce sont les faux-positifs.
- l'analyse du comportement : les antivirus actuels intègrent maintenant une recherche permanente. Il analyse donc tous les fichiers modifiés ou créés. S'il détecte un comportement suspect, il vous avertira immédiatement par une alerte. Cette méthode, si elle est activée, est utilisée en complément des deux autres.
Maintenant que l'antivirus a détecté un fichier, il vous proposera plusieurs choix :
- Réparer l'infection : elle ne fonctionne que dans une certaine limite sur les fichiers légitimes corrompus par une infection.
- Mise en quarantaine : la plus efficace et la plus utilisée. Il rend inactif le fichier et le met dans un dossier réservé par l'antivirus.
- Supprimer le fichier : méthode radicale à utiliser de préférence en mode sans échec pour plus de chance de réussite. A utiliser à vos risques et périls !
- Ignorer l'alerte : Le fichier n'est pas infecté ? Ignorer l'alerte émise. Mais il se peut que l'antivirus ne puisse rien faire d'autre. Il va falloir se débrouiller autrement.
Limites :
Un antivirus ne vous protègera jamais complètement. Les virus ne sont plus majoritaires, la famille des malwares s'est agrandit, l'efficacité de l'antivirus se réduit par conséquent. Avec l'expansion d'Internet, le nombre d'infections a explosé : les développeurs d'antivirus ne peuvent pas suivre le rythme. Ce qui réduit encore une fois l'efficacité de l'antivirus puisqu'il se base en priorité sur les signatures.
Autre problème, le temps que l'antivirus détecte le virus, celui-ci aura déjà fait des dégâts.
De plus, les voies de propagation pour toucher l'internaute sont de plus en plus nombreuses et simples à exploiter (eMule, pages MySpace infectées, MSN, etc.).
Pour éviter tous problèmes, nous vous conseillons fortement la lecture du dossier sur la prévention et la protection en cliquant sur l'image ci-dessous :
I Les cracks et les keygens
II Les faux codecs
III Les logiciels gratuits
IV Les rogues, les faux logiciels de sécurité
V La navigation sur des sites à haut risque d'infections
VI Les pièces jointes et les vers par messagerie instantanée
VII Les hoax et le phishing
AV-Comparatives :
La plupart des sites d'actualités informatique réalisent leurs propres comparatifs mais ils ne détaillent jamais suffisamment pour que nous les considérions comme crédibles.
C'est à ce moment qu'intervient AV-Comparatives qui se démarque par le sérieux de ses comparatifs. Malheureusement, comme pour tous ces comparatifs, certaines infections utilisées ne sont plus en circulation.
Comparatif d'août 2007 (version en ligne). Le prochain comparatif sera réalisé en février 2008.
Notre sélection :
Nous avons fait notre propre sélection. Un antivirus gratuit est largement suffisant si vous respectez les règles de bonne conduite sur Internet (voir le dossier ci-dessus)
ATTENTION ! Il ne faut prendre qu'un antivirus !
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
C'est quoi un Antivirus? Comment çà fonctionne?
Pourquoi un Antivirus ?
Pour Sécuriser les ordinateurs et préserver l'intégrité des données d'un ordinateur, qui peuvent être d'une importance énorme (par exemple, la base de données d'une banque ne doit sous aucun prétexte être modifiée par un virus...)
Aspects techniques des Antivirus
Les Antivirus rivalisent souvent d'ingéniosité pour combattre les virus. Cependant ces derniers trouvent souvent la parade. Nous allons parler ici des différentes techniques utilisées par les Antivirus pour combattre leur raison de vivre.
Principales techniques de recherche virus
Nous présenterons quatre techniques majoritairement utilisées par les Antivirus pour localiser les virus. Il s'agit du scanning, du moniteur de comportement, du contrôleur d'intégrité et de la recherche heuristique. Brièvement présenté, le scanneur recherche dans tous les fichiers ou en RAM un code spécifique qui est censé indiquer la présence d'un virus. Le moniteur de comportement surveille les actions habituellement menées par les virus, les contrôleurs d'intégrité signalent les changements intervenus dans les fichiers et enfin la recherche heuristique recherche des instructions généralement utilisées par les virus.
Recherche de la signature
On nomme ça aussi scanning. C'est la méthode la plus ancienne et la plus utilisée. Son avantage est qu'elle permet de détecter les virus avant leur exécution en mémoire. Son principe est de rechercher sur le disque dur toute chaîne de caractères identifiée comme appartenant à un virus. Cependant comme chaque virus a sa propre signature, il faut, pour le détecter avec un scanneur que le concepteur de Antivirus ait déjà été confronté au virus en question et l'ait intégré à une base de données. Un scanneur n'est donc pas en mesure de détecter les nouveaux virus ou les virus polymorphes (car ceci changent de signature à chaque réplication.) Cette méthode est à la fois la plus simple à programmer mais aussi la plus longue à mettre en œuvre car elle n'est utile que si elle recense tous les virus existant. Cela représente une somme de travail considérable et est quasiment impossible à réaliser. C'est pour ça que les concepteurs Antivirus proposent des mises à jour de la base de donnée tous les mois sur leur site WEB, c'est le seul moyen pour le scanneur de détecter les nouveaux virus.
Utilisation d'un contrôleur d'intégrité
Schématiquement, un contrôleur d'intégrité va construire un fichier contenant les noms de tous les fichiers présents sur le disque dur auxquels sont associés quelques caractéristiques. Ces dernières peuvent prendre en compte la taille, la date et l'heure de la dernière modification ou encore un checksum (somme de contrôle)Un CRC (code de redondance cyclique), ou un algorithme de checksum avec un système de chiffrement propriétaire pourra détecter toute modification ou altération des fichiers en recalculant le checksum à chaque démarrage de l'ordinateur(si Antivirus n'est pas résident), ou dès qu'un fichier exécutable est ouvert par un programme (si Antivirus est résident); en effet si le checksum d'un programme avant et après son exécution est différent, c'est qu'un virus a modifié le fichier en question, l'utilisateur en est donc informé. D'autre part Antivirus peut aussi stocker la date et la taille de chaque fichier exécutable dans une base de données, et tester les modifications éventuelles au cours du temps. Il est en effet rare de modifier la taille ou la date d'un fichier exécutable. La parade pour les virus est de sauvegarder la date du fichier avant la modification et de la rétablir après.
Moniteur de comportement
Les moniteurs de comportement ont pour rôle d'observer l'ordinateur à la recherche de toute activité de type virale, et dans ce cas de prévenir l’utilisateur.Typiquement, un moniteur de comportement est un programme résident que l'utilisateur charge à partir du fichier AUTOEXEC.BAT. et qui reste actif en arrière plan, surveillant tout comportement inhabituel. Que va faire le zouave ? Description d’attaque virale. Les tentatives d'ouverture en lecture/écriture des fichiers exécutables. Les tentatives d'écriture sur les secteurs de partitions et de démarrage. Les tentatives pour devenir résident.
Démarche heuristique
Fondamentalement, l'analyse heuristique concerne la recherche de code correspondant à des fonctions virales. Elle est différente dans son principe, d’un moniteur de comportement qui surveille des programmes ayant une action de type virale. L’analyse heuristique est comme le scanning, passive. Elle considère le code comme une simple donnée, et n'autorise jamais son jamais son exécution.
Un analyseur heuristique va donc rechercher du code dont l'action est suspecte s'il vient à être exécuté.L'analyse heuristique permet par exemple, pour les virus polymorphes de chercher une routine de déchiffrement. en effet une routine de déchiffrement consiste à parcourir le code pour ensuite la modifier. Ainsi lors de l'analyse heuristique, Antivirus essaie de rechercher non pas des séquences fixes d'instructions spécifiques au virus mais un type d'instruction présent sous quelque forme que ce soit. Pour en revenir à notre exemple de virus polymorphes, Antivirus cherche une suite d'instructions de lecture suivie d'une suite d'instruction d'écriture. Cette méthode est donc un peu plus intelligente que les autres : car elle vise à analyser les fonctions et instructions les plus souvent présentes et que l'on retrouve dans la majorité des virus. Cette méthode permet ainsi, contrairement au scanning, de détecter des nouveaux virus dont la signature n'a pas été ajoutée à la base de données.
Analyse spectrale
Tout code généré automatiquement est supposé contenir des signes révélateurs du compilateur utilisé. De même, au contraire, il est impossible de retrouver dans un vrai programme exécutable compilé certaines séquences de code. C’est grâce à ce principe qu'entre en jeu l'analyse spectrale. Cette analyse vise à repérer les virus polymorphes qui sont indétéctables autrement (leur signature changeant à chaque réplication). En effet, lorsqu’un virus polymorphe crypte son code, la séquence en résultant contient certaines associations d'instructions que l'on ne trouve pas en temps normal ; c'est ce que va détecter l'analyse spectrale. Par exemple, si dans un programme exécutable, Antivirus trouve une instruction de lecture d'un octet au-delà de la taille limite de la mémoire, on sera probablement en présence de code crypté, donc d'un virus polymorphe.
Techniques d'éradication de virus
Une fois un virus détecté, que ce soit en mémoire ou sur le disque dur, il reste à le supprimer. Une fonction primordiale des Antivirus est donc la suppression des virus. Leur but est de débarrasser l'utilisateur de ce programme malveillant. Mais il n'est pas si simple que l'on croit de les éradiquer et de récupérer le programme original. En effet cela est impossible dans le cas de virus avec recouvrement : ils détruisent une partie du programme sain lors de sa duplication. La seule solution est la destruction des fichiers infectés ou carrément le formatage du disque dur. Pour les autres, même si ce n'est pas irréalisable, la tache est cependant très ardue : il faut savoir très précisément où est localisé, dans le fichier, le virus en question sachant qu'il peut être composé de plusieurs parties, ensuite il faut le supprimer, et enfin aller chercher la partie du programme dont le virus avait pris la place et la restaurer. Toutes ces manipulations nécessitent une connaissance parfaite du virus et de son mode d'action. Cette éradication se faisant par une recherche (du virus, de la partie déplacée), toutes les caractéristiques des différents virus doivent être répertoriées dans une base de donnée mise à jour pratiquement quotidiennement.
VOUS POUVEZ UTILISER LE MOTEUR DE RECHERCHE EN HAUT PÖUR PLUS D'INFORMATIONS OU TELECHARGEMENTS.
vendredi 24 avril 2009
Différents types de malveillants
Les malwares :
Ce sont des virus, des spywares, des chevaux de Troie, bref, toutes sortes de petits programmes conçus pour vous nuire, ou vous surveiller, vous traquer, et qu'il vaut mieux pourchasser et détruire.
Les spywares :
Un spyware (espiogiciel ou logiciel espion) est un programme ou un sous-programme, conçu dans le but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son concepteur, ou à un tiers via Internet ou tout autre réseau informatique, sans avoir obtenu au préalable une autorisation explicite et éclairée desdits utilisateurs.
Des logiciels comme Ad-Aware et Spybot peuvent les supprimer.
Eliminer un logiciel espion spyware
Les virus :
Un virus est un morceau de programme informatique malicieux, conçu et écrit pour qu'il se reproduise. Cette capacité à se répliquer, peut toucher votre ordinateur, sans votre permission et sans que vous le sachiez. En termes plus techniques, le virus classique s'attachera à un de vos programmes exécutables et se copiera systématiquement sur tout autre exécutable que vous lancez.
Un antivirus pourra vous défendre contre ces malwares.
Les vers :
Un ver (ou worm) est un type de virus particulier. Concrètement, il s’agit de programmes capables de se répliquer à travers les terminaux connectés à un réseau, puis d’exécuter certaines actions pouvant porter atteinte à l’intégrité des systèmes d’exploitation.
Les chevaux de Troie :
Un cheval de Troie (ou trojan) est un programme qui, introduit dans une séquence d'instructions normales, prend l'apparence d'un programme valide. Mais il contient en réalité une fonction illicite cachée, grâce à laquelle les mécanismes de sécurité du système informatique sont contournés, ce qui permet la pénétration par effraction dans des fichiers pour les consulter, les modifier ou les détruire. A la différence d'un ver, le cheval de Troie ne se réplique pas : il peut demeurer inoffensif, à l'intérieur d'un jeu ou d'un utilitaire, jusqu'à la date programmée de son entrée en action.
Les keyloggers :
Un keylogger est un logiciel qui enregistre les frappes au clavier pour voler, par exemple, un mot de passe.
Les dialers :
Les dialers sont des programmes qui composent un numéro pour connecter votre ordinateur à Internet. Il peut être sans danger et légitime si c'est celui de votre fournisseur d'accès par exemple. Toutefois, certains dialers sont malveillants et peuvent parfois s'installer à votre insu sur votre machine et composer un numéro très coûteux.
Pour vous prémunir de ce risque, faites toujours attention aux logiciels que vous téléchargez et assurez-vous de le télécharger depuis un site dont vous avez confiance comme le site officiel du logiciel en question.
regarde les telechargement a gauche ils pourront probablement vous débarrasser de ce genre de saleté. Le danger des dialers concerne particulièrement ceux qui possèdent un modem analogique.
Les rootkits :
Un rootkit est un « kit » pour devenir "root"(administrateur) d'une machine.C'est un code malicieux vraiment complexe qui se greffe sur une machine, et parfois le noyau même du système d'exploitation. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne. Autrement dit, c'est une série de programmes qui permettent au pirate de s'installer sur une machine ( déjà infecté ou exploitant une faille de sécurité ) et d'empêcher sa détection. Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares, doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. La croissance des rootkit est favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaille sous les droits d'un administrateur, ce qui facilite grandement l'installation de rootkit dans les ordinateurs.
Les virus informatiques
I.Introduction
II.Qu'est-ce qu'un virus?
1.Types de virus
2.Pourquoi les virus existent-ils?
3.Historique des virus
a.Le prologue
b.Virus cryptés
c.L'ère de la mutation
III.Aspect informatique
1.Les éléments fonctionnels
2.Présentation technique d'un virus
3.Les parades face aux virus
IV.Aspect juridico-économique.
1.Aspect juridique
d.Le virus est utilisé pour réalisé un accès frauduleux au système
e.Le virus informatique est utilisé pour réalisé une atteinte au système
f.Le virus informatique est utilisé pour réalisé une atteinte aux données
g.Le projet de loi anti-spam
2.Impact économique
h.Les problèmes économiques des virus
i.Un nouveau marché
V.Conclusion
Introduction
De nos jours, l'informatique joue un rôle de plus en plus important dans notre vie quotidienne. Il est en effet probable que dans quelques années nous trouvions un ordinateur par foyer. Or le nombre de personnes ayant une connexion à Internet grandit chaque jour. Cela implique donc que dans plusieurs années la plupart des propriétaires d'ordinateur, et donc la plupart des foyers, sera connectée à Internet. Le meilleur moyen d'être victime d'un virus informatique étant de télécharger des données, ce que l'on fait par la simple action de surfer, recevoir un e-mail ou encore tchater, ont sera donc de plus en plus sujet à être contaminé. Lorsque l'on sait qu'un virus peut détruire tout un ordinateur, aussi bien au niveau matériel que logiciel, nous comprenons alors que les virus informatiques deviennent un fléau de plus en plus important dans notre société. Pour tenter de vaincre ou tout du moins de contrer ce fléau, il faut tout d'abord comprendre le fonctionnement des virus informatiques.
C'est pour cela que nous avons défini la problématique suivante : « Quelles sont les causes et conséquences des virus informatiques ?».
Pour y répondre nous développerons trois thèmes principaux. Tout d'abord nous nous attarderons sur la question « Qu'est ce qu'un virus ?». Pour cela nous étudierons les différents types de virus, les raisons de leur existence, leur histoire ainsi que les plus grands virus ayant existés.
Nous aborderons ensuite l'aspect informatique des virus. Nous verrons alors les différents éléments fonctionnels de ceux-ci, nous analyserons le code d'un virus, puis nous nous intéresserons aux parades existantes pour les éliminer.
Pour finir nous traiterons l'aspect juridico-économique ce qui nous amènera à nous pencher sur les différentes lois visant à punir les auteurs des virus puis à évaluer les conséquences de ceux-ci sur le marché.
Qu'est-ce qu'un virus?
Pour répondre à cette question nous traiterons plusieurs points abordés dans cette première partie.
Tenter une définition n'est pas chose aisée. En effet, la littérature spécialisée nous enseigne que pratiquement chaque auteur a sa propre définition « scientifique » de ce que sont et ce que ne sont pas les virus informatiques. Nous dirons ici que tout Code Parasite Autopropageable (CPA) est une virus informatique (définition de Mark Ludwig, tirée de The Little Book of Computers Viruses, 1991). Le terme « code » fait bien évidemment référence à des instructions rédigées dans un langage de programmation évolué ou non. Le mot « parasite » souligne le caractère insidieux du code viral : il est là où on ne devrait normalement pas le trouver. Il constitue un ajout non-voulu par l'utilisateur. Quant à « autopropageable, il renvoie à cette caractéristique de duplication qu'ont les virus : la capacité à se multiplier en infectant d'autres fichiers. Ils recopient leurs propres instructions (code) au sein de celles d'un autre programme. L'efficacité de la duplication se mesure au fait que l'exécution du programme hôte n'est pas altérée, alors que ses fonctionnalités ont été modifiées. C'est une définition parmi tant d'autre d'un virus informatique mais intéressons nous maintenant aux différents types qui existent.
Types de virus
On peut classer les virus selon leur mode de déclenchement ou leur mode de propagation. On distingue alors plusieurs catégories de virus :
• Les vers : il s'agit de programmes possédant la faculté de s'autoreproduire et de se déplacer à travers un réseau en utilisant des mécanismes de communication classiques, comme les RPC (Remote Procedure Call, procédure d'appel à distance) ou le rlogin (connexion à distance), sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...) pour se propager. Un ver est donc un virus réseau. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrices pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.
• Les bombes logiques: elles sont de véritables bombes à retardement. Ce sont de petits programmes restant inactifs tant qu'une condition n'est pas remplie, une fois la condition remplie (une date par exemple), une suite de commandes est exécutée (dont le but, le plus souvent, hélas, est de faire le plus de dégâts possible).
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !
Un exemple célèbre est le virus Michelangelo qui devait se déclencher à la date anniversaire de la naissance de l'artiste (Michel-Ange) ;
• Les chevaux de Troie : par analogie avec la mythologie grecque, ce sont des programmes dont l'aspect malveillant est caché au premier abord. Un cheval de Troie permet généralement de préparer une attaque ultérieure de la machine infectée. Par exemple, ils agissent en laissant ouverts des ports de communication qui peuvent être ensuite utilisés par des programmes d'attaque. Ils sont difficiles à détecter par un utilisateur non averti.
Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté.
Un cheval de Troie peut par exemple :
voler des mots de passe
copier des données sensibles
exécuter tout autre action nuisible
...
• Les macrovirus : ce sont des virus écrits sous forme de macros (une macro est une série de commandes destinée à effectuer automatiquement quelques tâches d'une application spécifique) exécutables dans des applications bureautiques (traitement de texte, tableur, etc.) ou des logiciels clients de messagerie électronique. Ces macrovirus vont détourner tous les appels des macros standards. La propagation se fait généralement par l'opération de sauvegarde. Comme de plus en plus de logiciels intègrent ces notions de macros, les macrovirus sont devenus les virus les plus fréquents et les plus redoutables pouvant malheureusement causer de grands dégâts (formatage du disque dur par exemple).
Un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).
• Les virus de secteur d'amorce (aussi appelés virus « boot sector ») : cette catégorie regroupe les virus infectant le secteur d'amorçage du disque (disque dur, disquettes, disque zip, ...). Il s'agit d'un type de virus infectant la partie faisant démarrer l'ordinateur.
Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infecté, il doit être démarré avec un secteur d'amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l'ordinateur. Le secteur d'amorçage du disque est le premier secteur lu au démarrage de l'ordinateur. Ce genre de virus a donc un contrôle complet de la machine, puisqu'il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l'« incrustation » du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l'ordinateur, jusqu'au moment où on l'éteint.
Mais pourquoi le secteur d'amorçage d'un ordinateur n'est pas protégé contre l'écriture ? Le secteur d'amorçage est typique au système d'exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l'utilisateur désire changer de système d'exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d'amorcer sa machine avec une disquette ou un disque dur de quelqu'un d'autre.
• Les virus fichiers :
Virus Non résidents :
C'étaient les virus les plus répandus il y a quelques années. Lors de l'infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l'exécution du fichier, c'est le code viral qui est d'abord lancé. Ce code viral cherche d'autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s'agit donc d'un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu'il contient le virus en plus du programme.
Virus résidents :
Il s'agit de virus qui restent présent dans la mémoire de l'ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d'une source infectée, une source douteuse, soit d'un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu'un programme est exécuté et qu'il n'est pas infecté, le virus l'infecte. La différence avec celui vu précédemment est qu'il n'y a pas besoin de procédure pour trouver une cible, puisque c'est l'utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu'à l'arrêt complet de la machine. Certains d'entre eux peuvent résister au simple redémarrage (c-à-d : CTRL – ALT – DEL).
Virus multiformes :
Virus regroupant les caractéristiques des virus parasites et des virus du secteur d'amorçage.
Les autres caractéristiques des virus :
* Virus furtifs (intercepteurs d'interruptions) : ce sont des virus modifiant complètement le fonctionnement du système d'exploitation. Ces virus le modifient tellement qu'il semble sain aux antivirus. Ceci les rend très difficiles à détecter, puisque les antivirus sont trompés, croyant le système d'exploitation sain.
* Virus polymorphes (mutants) : ce virus est différent à chaque infection. Il doit ceci à son encryption (Il existe un algorithme reprenant une valeur au hasard, permettant d'avoir un fichier crypté à chaque fois différent ne dérangeant cependant pas le décryptage). Le programme entier et le virus sont encryptés, excepté le premier segment destiné à la décryption. Ce genre de virus est donc beaucoup plus difficile à détecter que les précédents et presque impossible à détruire sans supprimer le fichier infecté, vu qu'il est crypté.
* Virus réseau : Ces virus se reproduisent dans les réseaux en prenant le contrôle des interruptions réseau (peu fréquents).
* Virus flibustiers (Bounty hunters) : virus visant la modification des antivirus les rendant non - opérationnels. Ce genre de virus est très rare mais très efficace.
Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractéristiques vues ci-dessus. Plus le virus a de caractéristiques, plus il sera dangereux, compliqué, vorace en ressources de l'ordinateur (du à sa complexité). Ce qui signifie gênant sans même être actif, et surtout difficile à détecter par un antivirus (trompé, rendu inactif, ...) mais aussi plus facilement repérable, et ce, dû à la baisse des performances de la machine.
• Les virus VBS script : Ce type de virus se propage par mail à l'aide d'un fichier attaché (type exe, vbs etc..) bien souvent en ayant un nom évocateur. Ces nombreux virus sont en langage Visual Basic. Ils sont de type Vbs (Visual Basic Script) ou plus simplement « script ». Par exemple, le désormais célèbre I Love You et le virus KakWorm sont écrits dans ce langage.
• Les canulars : Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax), c'est-à-dire des annonces reçues par mail propageant de fausses informations (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement,...) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation.
Ainsi, de plus en plus de personnes font suivre des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple :
provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes
Les conséquences de ces canulars sont multiples :
ils contribuent à engorger inutilement les réseaux en provoquant une masse de données superflues circulant dans les infrastructures réseaux,
ils tendent à provoquer de la désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) pour certains de ces courriers,
ils encombrent inutilement nos boîtes aux lettres déjà chargées,
ils nous font perdre du temps,
ils peuvent contribuer à la dégradation de l'image d'une personne ou bien d'une entreprise,
ils provoquent un effet d'incrédulité, c'est-à-dire qu'à force de recevoir de fausses informations on finit par ne plus croire aux vraies.
Ainsi, il est essentiel de suivre certains principes avant de faire circuler une information sur Internet.
Schéma de l'infection du virus classique :
(Les numéros correspondent à l'ordre d'exécution du fichier)Si l'ordre du fichier sur le disque est différent de l'ordre d'exécution, c'est pour des raisons pratiques : étant donné que le virus s'écrit par dessus le programme, il doit le garder intact. Cependant, le virus doit s'exécuter avant le programme. C'est pourquoi il remplace le code de démarrage du programme pour y mettre le sien tout en prenant soin de replacer le code de démarrage du programme à la fin de celui-ci pour pouvoir continuer à l'employer. Par la suite, le virus ajoute encore, éventuellement le reste de son code qui n'aurait pas pu être placé au début du programme, faute de place. On peut cependant remarquer que l'ordre d'exécution n'est pas perturbé et se fait selon l'ordre suivant : virus - programme (suivre l'ordre des chiffres).
Pourquoi les virus existent-ils?
Les virus informatiques n'ont apparemment aucune valeur marchande indépendamment de leurs applications militaires. Alors, pourquoi les créer?
Mark A.Ludwig tente de répondre à cette question dans son livre Naissance d'un virus.
Depuis que les ordinateurs ont été inventés dans les années 40, il y a eu une fraternité entre les personnes employées à explorer les possibilités sans les limites de ces magnifiques machines. Cette fraternité a réuni des mathématiciens et des scientifiques célèbres qui, aussi longtemps que les ordinateurs les ont entouré, ont rêvé de machines intelligentes qui raisonneraient.
Pendant de nombreuses années, c'était purement de la science-fiction.
Pourtant, la pensée même de cette possibilité conduit certains à une plausible réalité. Le virus informatique est une nouvelle approche radicale sur ces machines vivantes. Au lieu d'essayer de concevoir quelque chose qui imite grossièrement le comportement humain, fortement complexe, il est possible de commencer par copier ce qui semble le plus simple dans la matière organique.
Les organismes monocellulaires sont simples et font très peu de choses. Leurs seuls objectifs sont apparemment de survivre et de se reproduire. Si l'on pense à un nouvel univers, non pas un monde physique, mais à un autre électronique, qui existe à l' intérieur d' un ordinateur, alors, un virus n' est pas très différent dans le sens qu' il a les mêmes objectifs que l' organisme vivant : survivre et se reproduire. La création d'un virus est donc le premier pas vers la création de la vie. Nos leaders qui arguent que les virus informatiques sont dangereux et que ceux qui les créent ne mesurent pas leur puissance essaient simplement de centraliser la puissance entre leurs mains. Donc, il n' y a aucun mal à essayer de restaurer une certaine petite puissance de l'individu.
Telle est, en substance, l'opinion de Ludwig sur le problème de l'existence des virus. Celui-ci est clairement en faveur des virus et de leurs créateurs.
Cependant, de nos jours, d'importants dégâts sont causés par de nombreux et nouveaux virus qui apparaissent, et c'est en se posant la question suivante : « à qui profitent les nouveaux virus ? » que l'on peut trouver tout d'abord leurs créateurs et le pourquoi de leur existence.
Certains virus sont peut être fabriqués par esprit de vengeance par quelque informaticien licencié désirant montrer à son ancien employeur combien il aurait dû le garder dans sa société.
Nous avons aussi les spammeurs : ils infectent pour diffuser des messages non sollicités. Depuis quelques mois ces spammeurs sont traqués. Les serveurs qu'ils utilisaient ont été fermés les uns après les autres. Alors, pour inonder les boîtes aux lettres, ils ont trouvé une nouvelle méthode : utiliser les PC de particuliers disposant de connexions à haut débit, les infecter par des virus comme Sobig qui ont été créés uniquement pour prendre le contrôle de ces ordinateurs, ces PC seront alors transformés en « machines zombies » et utilisés pour envoyer des spams, sans débourser un centime.
A cette liste se rajoute les maîtres chanteurs : ils menacent pour obtenir des rançons. En Novembre 2003, six propriétaires de casino en ligne one fait appel à des spécialistes en sécurité car des inconnus leur demandaient de l'argent. Faute de quoi, leurs sites allaient être submergés de demandes de connexion, afin d'empêcher les visiteurs légitimes d'y accéder et cela à cause du virus Mimail.H qui attaque des sites antispam pour les envahir et les faire fermer.
Nous retrouvons également les voleurs de données personnelles : il joue les indiscrets pour créer de faux papiers. Numéro de sécurité sociale, de permis de conduire, de carte bancaire…voici quelques unes des 25 informations que le virus Cayam tente de soustraire à ses victimes, en leur présentant un courriel contenant un faux écran d'identification d'eBay.
Enfin les braqueurs de banque :ils dérobent les mots de passe pour vider les comptes bancaires. Crédit agricol, Banque populaire, Crédit lyonnais : ces trois banques figurent parmi les 1300 espionnées par le vicieux virus Bugbear.B, il enregistre en permanence les données tapées au clavier par ses victimes et les envoie à son auteur par courriel.
Voyons maintenant l'évolution de ceux-ci depuis le premier virus : « Brain » jusqu' aux dernières évolutions.
Historique des virus
a.Le prologue
Le concept de virus est apparu avec les premiers calculateurs électroniques. Dès 1949, John Von NEUMANN, pionner de l'informatique à qui l'on attribut la conception du programme mémorisé, présente les fondements théoriques de l'auto-copie de logiciels dans un article intitulé Theory and Organisation of Complicated Automata.
En 1986, deux amis passionnés d ‘informatique s'aperçoivent que les disquettes contiennent, dans leur secteur de démarrage, un programme servant démarrer l' ordinateur. Ils le remplacent par leur propre programme qui, d' une part, a pour mission de se copier par la suite sur le secteur de démarrage de toute disquette insérée dans le lecteur, d' autre part de changer le nom de la disquette par l'intitulé « (C) Brain ». Ensuite, le programme démarre l'ordinateur. Ils appellent cela un virus. Au début, donc, rien de bien méchant. Seulement voilà, leur idée va faire des émules et bientôt la création échappe à tout contrôle.
Toujours en 1986, Ralph Burger, programmeur, développe un virus greffant une copie de lui-même sur les fichiers COM. Ralph Burger distribue ce virus lors d' une conférence et écrit un livre sur le sujet. Un an plus tard, le virus Vienna décrit dans ce livre se répand : une fois sur huit cela provoque le redémarrage de l'ordinateur. Puis vient le virus Lehigh : à la quatrième infection, du fichier Command.com, le virus détruit la FAT du disque (sorte de table des matières du disque).
Les meilleurs crus de l'année 1987 sont Suriv-01, -02, -03 et Jérusalem. Les trois premiers infectent les fichiers COM, EXE, ou COM et EXE. Le quatrième échappe à tout contrôle et va habituellement infecter tous les fichiers qui sont exécutés… sauf les vendredis 13, date à laquelle il les écrase. Son nom vient du fait que c'est l'université de Jérusalem qui a, la première, eu affaire au dit virus. Cette année voit aussi naître trois virus les plus connus : Ping-Pong qui fait dégringoler les lettres affichées.
Les années 1988 et 1989 ont vu peu de nouveaux virus. Le grand public fait la connaissance des virus le vendredi 13 janvier 1988, par l'intermédiaire d'une vigoureuse campagne de presse exploitant l'aura de mystère entourant le virus Jérusalem. Fin 1989, on recense une trentaine de virus.
b.Virus cryptés
Les premiers virus polymorphiques apparaissent en 1990. Il s'agit de virus disposant d'une routine de cryptage variable. Repérer un tel virus devient une tâche compliquée, puisque deux exemplaires d'un même fichier infecté n'ont pas la même apparence. Ces nouveaux virus sont 1260, V2P1, V2P2, et V2P6.
L'année 1990 est aussi celle de Dark Avenger, un auteur bulgare qui a joué un rôle important dans l'élaboration de techniques avancées d'infection des virus. Les virus crées par ses soins se nomment, entre autres, Dark Avenger 180, Number of the beast ou encore Nomenklatura. Dark Avenger se sert des BBS pour la diffusion. Certains se dissimulent dans les logiciels anti-virus du domaine public !!! Toujours en Bulgarie est crée le VX BBS. Il s'agit d'un serveur d'échange de virus, d'information, et surtout de codes sources, auquel tout le monde s'accorde à reconnaître une responsabilité dans la naissance des vocations douteuses. Fin 1990, le nombre de virus s'élève à environ 250.
La possibilité de télécharger les lignes de programmes d'un virus permet à beaucoup d'introduire de subtiles modifications et de lâcher un nouvel agent infectieux dans la nature. En 1991, l'influence de ces serveurs se fait sentir et fin 1991, un millier de virus sont reconnus. Cette année-là, les éditeurs prennent la véritable mesure du marché qui s'ouvre à eux et de la difficulté de la lutte. Car les virus polymorphes croissent en nombre et en complexité. En Avril, un jeune suisse vole à un ami un nouveau virus et l'installe chez son père. La propagation du virus Téquila aurait été moins fulgurante si le père en question n'avait pas été un important distributeur de sharewares…Téquila se loge sur la table de répartitions du disque et infecte les fichiers. Or il est si difficile à détecter que si 1% des fichiers contaminés échappent au contrôle, l'infection recommence.
c.L'ère de la mutation
Dark Avenger distribue, en janvier 1992, le MtE, Mutation Engine, sorte de kit de création de virus polymorphes. Les anti-virus sont un temps tenus en échec mais une fois la parade trouvée, il suffit de détecter la signature du MtE pour pouvoir détecter tout virus crée par son intermédiaire. Le virus Michelangelo ; le plus médiatisé de tous, menace la planète informatique : l'infection doit se déclencher le 6 mars. Au lieu de cinq millions de contaminations annoncées, seuls 5 à 10000 PC ont été attaqués.
A partir de cette date ; les virus sont connus du grand public, plusieurs grands éditeurs se lancent dans la bataille. Les serveurs BBS dédiés aux virus sont interdits une fois le mal largement répandu. De plus en plus de kits de création de virus circulent. Les années qui suivent voient le perfectionnement des virus polymorphes et un déluge de nouveaux virus. Les records de contamination se succèdent et ce qui inquiète aujourd'hui les experts en sécurité, ce sont les chevaux de Troie installés sur les PC infectés par les virus. « Entre novembre 2003 et janvier 2004, le nombre de portes dérobées circulant sur Internet a doublé, alors qu'il était resté stable les mois précédents », avertit François Paget, chercheur antivirus chez Network Associates. Une mesure effectuée par Vpatrol, l'outil de veille commun à tous les éditeurs d'antivirus. Ces « backdoors » permettent à tous ceux qui disposent du bon code de s'introduire dans les machines infectées pour lancer contre des sites des attaques identiques à celle de MyDoom (virus que nous verrons par la suite) contre SCO. Des attaques de ce type auraient été précédées d'opérations de chantage, comme cela semble avoir été le cas pour les casinos en ligne.
Détail
1949 : John Von Neumann présente les fondements théoriques des logiciels autocopiés.
1960 : Un groupe de jeunes ingénieurs des laboratoires Bell met au point un jeu informatique du nom de Core war : on installe dans la mémoire vive d'un ordinateur deux programmes chargés de se retrouver. Le gagnant doit détruire l'autre en s'autocopiant dans ses fichiers.
1984 : Le magazine Scientific American présente un guide pour fabriquer ses propres virus.
1986 : Les frères Alvi, deux Pakistanais, fournissent à des touristes des copies de logiciels pirates infectés du virus Brain. Ce serait le premier virus clairement identifié et connu. Il a causé de sérieux dégâts sur les campus américains.
1988 : Peace/Mac affiche son message de paix universelle sur les écrans de possesseurs de Macintosh II.
1988 : Robent Morris est arrêté pour fraude informatique. Cet étudiant vient de causer 15 millions de dollars de dommage sur Internet à cause de son virus.
1989 : Datacrime : trois virus font trembler les Pays-Bas et la France. La police néerlandaise propose alors un ensemble de programmes informatiques à bas prix pour lutter contre ces virus. C'est à cette époque que la France prend réellement conscience de l'existence des virus.
1991 : Diffusé par une disquette vendue dans la revue Soft et Micro, le virus Frodo/4096 arrive en France. Le Clusif (Club de la sécurité des systèmes d'information français) propose sur son serveur une procédure de détection et de décontamination pour lutter contre Frodo. Le serveur enregistre 8 000 connexions.
1992 : Le virus Michelangelo plonge la planète dans l'effroi. Ses effets restent pourtant limités : 200 000 machines, au lieu des 5 à 15 millions annoncés.
1995 : Les premiers virus macros destructeurs apparurent en été.
1998 : D'après les chiffres publiés par Dr Salomon's, éditeur d'antivirus, on recensait 17 745 virus différents en 1998, contre 18 en 1989.
1999 : Le virus Mélissa se propage par internet. Caché dans un document Word, Mélissa s'auto envoyait aux 50 premiers contacts contenus dans le carnet d'adresses d'Outlook. Résultat : plus de 300 000 ordinateurs infectés. Internet devenait le premier vecteur de contamination.
2000 : Le virus I Love You sème de nouveau la panique sur Internet.
2003 : Le virus MyDoom a beaucoup fait parlé de lui, et la tête de l'auteur de ce dernier reste mise à prix.
Les Virus Célèbres
L'histoire des virus relativement courte possède déjà ses stars. Le premier virus ayant infecté le réseau Internet est un ver écrit par un étudiant américain du nom de Robert Morris en 1988. Ce virus, et les dommages qu'il a engendrés, sont à l'origine de la prise de conscience des dangers de diffusion via les réseaux.
En 1991, un nouveau virus sème la terreur sur toute la planète : la bombe logique Michelangelo. Ce virus, très médiatisé à l'époque et devant se déclencher le 6 mars 1992, aura beaucoup moins d'effets que prévus (environ 200 000 ordinateurs infectés).
En l'an 2000, c'est au tour du virus I Love You de faire trembler la planète. Variante du macrovirus relativement inoffensif Melissa, ce virus très destructeur se propage par courrier électronique sous la forme d'un fichier joint nommé LOVE-LETTER-FOR-YOU.TXT.vbs.
Enfin en janvier 2003, le nouveau virus venu, baptisé MyDoom, est « in the wild », dans la nature. Il se répand par la messagerie sous forme de pièce jointe à raison de plusieurs dizaines de milliers d'exemplaires par minutes. Plus original,son auteur a aussi programmé un mode de dissémination par Kazaa.
MyDoom a été programmé pour attaquer un site, en l'occurrence celui de SCO, un éditeur de logiciels UNIX. A partir de début février, MyDoom a submergé ce site de connexions, plus de 100 par minute. Avec un million d'ordinateurs infectés, cela a suffi pour mettre KO les serveurs de SCO. Microsoft a même lancé une chasse à l'homme en offrant une prime, comme SCO.
Toutefois, au-delà des effets d'annonce des médias, tous ces virus n'ont heureusement pas eu les effets cataclysmiques annoncés. La prudence des utilisateurs, doublée de divers systèmes de sécurité informatique (pare-feu, logiciels antivirus, etc.), permettent généralement d'enrayer assez rapidement la propagation des virus.
« Qu'est ce qu'un virus ? » voici la question à laquelle nous avons essayer de répondre le mieux possible dans cette première partie en vous expliquant les différents types de virus, leur évolution, le pourquoi de leur existence. Intéressons nous maintenant à leur fonctionnement.
Aspect informatique
Les éléments fonctionnels
Comme nous l'avons expliqué dans la première partie, il existe différents types de virus, ces différentes catégories sont faites en fonction des modes de transmission des virus mais également en fonction de leur fonctionnement, de la manière dont ils infectent les ordinateurs.
Tout d'abord, il faut savoir qu'un virus en lui même est inoffensif tant que le fichier infecté par ce virus n'est pas exécuté, que ce soit par l'utilisateur ou par un programme. Il existe ensuite des éléments fonctionnels à chaque type de virus, mais il y a également des éléments fonctionnels propre à tous les virus.
Parmi ces derniers, signalons que tout virus informatique voulant survivre et se propager doit contenir au moins deux routines : Une routine de recherche des fichiers à infecter, et une routine de contamination. Ces deux routines sont essentielles. En effet, un virus ayant une routine de recherche inefficace et mal pensée n'infectera pas assez de fichiers (provoquant ainsi la disparition du virus) ou, au contraire, en infectera trop (provoquant la découverte du virus par l'utilisateur qui pourra ensuite mettre en place une parade au virus). La présence de ces deux routines est suffisante à la propagation d'un virus, même si celui-ci ne fait rien d'autre que se propager.
Il existe aussi d'autres routines : des routines ayant pour but d'ennuyer l'utilisateur de l'ordinateur infecté, le Virus peut aussi y avoir des routines destinées à crypter son code et ainsi se rendre moins détectable les antivirus (virus polymorphes) .
Revenons maintenant plus en détail sur ces différentes fonctions des virus, fonctions qui vont permettre à un virus de se propager, de faire des dégâts, le tout de la manière la plus invisible possible pour ne pas être repéré par l'antivirus ou par l'utilisateur.
Fonction de recherche
C'est la première chose que fait un virus. Cette fonction de recherche va sélectionner les types de fichier à infecter (.com .exe .doc .bat …), elle va également décider de la vitesse à laquelle ces fichiers doivent être infecter. La vitesse d'infection est une composante majeur de la bonne propagation d'un virus. Si un virus se reproduit trop rapidement, il sera rapidement repéré par l'utilisateur car il utilisera de manière incessante le disque dur. En revanche, si un virus se reproduit trop lentement, il ne sera pas assez efficace.
Fonction de reproduction
C'est elle qui ajoute le code du virus au code du fichier choisi par la fonction de recherche. Cette fonction définie également le type du virus : Virus avec ou sans recouvrement, crypté ou non, virus de fichier ou virus système… Quand un virus écrit son code, il doit préserver la structure de l'exécutable infecté.
Par exemple, quand un virus s'écrit dans le code d'un fichier, la date de modification du fichier infectée est normalement mise à jour. L'utilisateur pourrait alors remarqué ce changement de date et repérer le virus. Afin de ne laisser aucune trace de l'infection, le virus sauvegarde la précédente date de modification et la replace au bon endroit quand l'opération de reproduction est terminée. Cette fonction joue donc un rôle capitale dans la bonne propagation du virus. Si cette fonction venait à être mal codée, le fichier infectée ne s'exécuterait plus de la même façon ce qui pourrait alerter l'utilisateur sur la présence du virus.
Fonction de destruction
Les routines de destruction peuvent être très variées mais se décomposent généralement en deux routines: la " Bombe " en elle même et une routine d'activation. C'est cette dernière qui décidera ou non de l'activation de la bombe. La routine d'activation se présente sous de multiples formes : Le virus peut s'activer à partir d'un certain nombre de copies, à partir d'une date, à partir d'une combinaison de touches au clavier, un certain nombre d'accès au disque dur, ou encore la présence d'un certain antivirus… Ces routines d'activations dépendent parfois du type de virus, mais le plus souvent, c'est le concepteur du virus qui choisit cette routine selon ces goûts et ces capacités.
Une fois que le virus est activé par la routine d'activation, la bombe, c'est à dire sa fonction de destruction en elle même, se met en route.
Elle aussi se présente sous de multiples formes : faire ralentir l'ordinateur avec des boucles (for, while, etc), le virus peut aussi afficher un simple message ou encore lancer le formatage du disque dur. Enfin, le virus peut écrire aléatoirement sur le disque ou bien faire planter la machine. Les virus peuvent aussi avoir une fonction spécifique tel que supprimer tel ou tel fichier.
Fonction de cryptage
Malgré leur grand nombre et la volonté des développeurs à dissimuler leurs créations, les nouveaux virus sont rapidement repérés et les antivirus sont rapidement mis à jour afin d'offrir une parade contre le virus. C'est ainsi que les développeurs essaient de cacher de façon toujours plus efficace leurs virus. Afin de dissimuler au maximum leur création, les développeurs ont imaginés plusieurs techniques : il y a d'abord le cryptage qui consiste a rajouter au virus une routine de cryptage plus ou moins élaborées. Le problème est qu'une fois un virus crypter, il faut le décrypter afin qu'il puisse s'exécuter et appliquer ses précédentes fonctions. Il y a donc en plus de la routine de cryptage, une routine de décryptage qui apparaît en clair dans le virus. Afin de parer cette lacune, d'ingénieux concepteurs de virus ont eu l'idée d'intégrer dans la séquence de décryptage des instructions aléatoire n'ayant aucun effet. Chaque variante du virus devient donc vraiment unique et indétectable par les antivirus, on appelle ces virus des virus polymorphes.
Une autre technique de furtivité des virus est de faire croire au système d'exploitation que des secteurs du disque dur sont défectueux, il suffit alors au virus de s'y camoufler en attendant son activation. Cependant, si trop de secteurs deviennent défectueux, le système repère quelque chose d'anormal et il se peut que le virus soit détecté.
Enfin, un dernière méthode permettant de ״ cacher ״ le virus est de le placer dans le secteur de Boot puisque quand un ordinateur se lance, il exécute toujours un certain secteur du disque (le boot) qui va lui permettre de lancer le système d'exploitation . Le virus se situant dans ce secteur sera alors exécuté à chaque démarrage. De plus, les antivirus n'étant pas encore opérationnels à ce moment du lancement de la machine, cette exécution passe inaperçu.
Les virus sont donc des programmes complexes réunissant de nombreuses fonctions. C'est cette complexité qui attirent bon nombre des programmeurs plus ou moins qualifiés, des programmeurs pour qui construire un virus le plus efficace possible présente un challenge de taille. Quand un virus réunis la majorité des fonctions pré-citées, le tout assortie d'une bonne programmation, il devient alors difficilement détectable et il peut ensuite effectuer son travail de destruction (le plus souvent dévastateur) dans la plus grande discrétion.
Présentation technique d'un virus
Afin de mieux comprendre le fonctionnement d'un virus, étudions le code de l'un d'entre eux.
Intéressons nous à un virus VBS Script créé avec Microsoft Visual Basic, et plus particulièrement à sa fonction de destruction qui consiste à lancer un formatage du disque C : , sans en demander la permission à la victime évidemment.
Code de ce virus :
Analyse du code :
Cette ligne permet de choisir une date précise d'exécution du virus
Ensuite on lance windows explorer. On lance son exécution 10 fois grâce à une boucle for afin de s'assurer que ça fonctionne bien. La commande shell permet d'exécuter.
Puis on créer le fichier Virus.bat qui est le virus en lui même. Dans celui-ci on rajoute deux commandes qui lanceront le formatage du disque C, pour cela on utilise la commande print qui permet d'écrire dans un fichier. Pour cela on utilise les commandes deltree et Format. Deltree est la commande de suppression en elle même, le /y permet de supprimer les fichiers de C : sans demander la permission à l'utilisateur.Une fois le fichier Virus créé, il faut maintenant l'exécuter. Pour cela on lance une fenêtre d'invité de commande DOS (CMD.com) en arrière plan . C'est depuis cette fenêtre que l'on exécute le virus. Comme au début, on lance cette exécution 10 fois pour s'assurer qu'elle ai lieu. On cache les affichages à l'aide de la commande vbHide.Dans le cas où le système d'exploitation est windows 98, il n'est pas nécessaire de créer un fichier spécial pour le virus. Le système étant moins protéger, il est possible de rajouter les commandes de formatages directement dans le fichier système AutoExec.bat. Ce fichier se trouve à la racine du disque dur, il est exécuté à chaque démarrage de la machine, le virus sera donc exécuté au même moment.
Pour terminer, on bloque l'ordinateur grâce à une particularité du système. En effet, le système se bloque lorsque les noms de périphériques sont utilisés plusieurs fois dans le même chemin de fichier (par ex. : c:\CON\CON).
Ce virus permet entre autre de remarqué l'évolution des systèmes d'exploitation qui tentent de se sécuriser. En effet, il est impossible de modifier sans permission le fichier AutoExec.Bat dans les systèmes les plus récents, cela oblige à créer un nouveau fichier qui risque d'être remarqué par l'utilisateur ou par un antivirus. En revanche Windows 98 étant bien moins sécurisé, on peut directement modifier le fichier système Autoexec.bat ce qui est bien plus discret.
Les parades face aux virus
La première chose à laquelle on pense lorsque l'on souhaite se protéger des virus, c'est l'antivirus. Pourtant pour éviter au maximum d'être infecté par un virus, il faut surtout adopter un comportement de méfiance et de prévention face à ces programmes indésirables.
Une méfiance de tous les instants
Un antivirus seul ne suffit pas à éviter les attaques quotidiennes des virus, il est en effet nécessaire que l'utilisateur lui-même soit vigilant quand il utilise sa machine.
Cette vigilance se présente sous la forme de réflexes de base à acquérir, la plupart peuvent paraître évident mais cela n'empêche pas certaines personnes de faire des erreurs qui peuvent par la suite se révéler dévastatrices. Ces réflexes se présentent sous de multiples formes et il serait impossible de tous les citer, en voici cependant quelques-uns :
Il est nécessaire de toujours se méfier d'un nom de fichier attaché ou d'un objet de courrier trop attractif. De plus, il ne faut jamais ouvrir un fichier joint dont le nom se termine par .EXE, .COM, .BAT, .VBS, .PIF, .OVL ou .SCR, sauf si l'on est absolument sûr de son contenu et/ou de son origine. Dans le cas contraire, il est préférable de le mettre directement dans la corbeille sans le lire.
Deuxièmement, il est préférable de télécharger les freeware et les shareware depuis des sites réputés. Il est recommandé d'éviter de télécharger des fichiers des sites peu connus et encore moins sur des sites pirates.
Pour finir, un des réflexes fondamentaux est d'analyser tous les fichiers téléchargés ou reçus avec un logiciel de détection (antivirus au autre) avant l'exécution du fichier. Ces logiciels de détection peuvent agir de deux façons : ils peuvent soit examiner les disques et disquettes sur demande soit examiner chacun des programmes qui sera exécuté. Ils doivent être le plus à jour possible. Deux ou trois logiciels de détection peuvent être utilisés en même temps afin d'augmenter les chances de déceler les virus. De plus, certains de ces utilitaires contiennent également un programme de désinfection qui permet parfois de se débarrasser des indésirables.
Prévenir les dégâts d'un virus
Même en faisant très attention et en possédant les meilleurs antivirus et logiciels de détection, il est impossible d'écarter totalement le risque d'être atteint par un virus et donc de s'exposer à son pouvoir de destruction. Il est donc fortement recommander de faire régulièrement des copies de sauvegarde du disque dur, copies qu'il faut dater et conserver puisqu'il est possible que la désinfection des fichiers infectés ne soit pas suffisante pour éradiquer le virus. Par ailleurs, il est probable que le programme causant le problème ait été introduit depuis un certain temps, ce qui obligera à remonter loin dans le temps avant de retrouver une sauvegarde saine. De telles précautions pourront peut-être permettre que ne soient perdues à jamais des données importantes.
Inscription à :
Articles (Atom)