- Votre question porte sur :
-
Tout afficher Tout cacher
Les différents types de virus
- Les virus macro
- Les virus macro sont écrits dans le langage macro d'une application, généralement Microsoft Word et Excel. Ils se propagent lors de l'ouverture d'un document infecté ou de l'enregistrement de nouveaux documents. Ils constituent un véritable fléau car les documents s'échangent bien plus fréquemment que les fichiers exécutables ou les disquettes. Les nouveaux virus macro sont également très faciles à créer ou à modifier. Les premiers virus macro infectant les documents Microsoft Word ont été détectés en août 1995. En avril 1999, plus de 3800 de ces virus étaient répertoriés. Il s'agissait à ce moment-là du type de virus le plus couramment signalé dans le monde. Bien que d'autres logiciels de traitement de texte (WordPerfect et Word Pro, par exemple) puissent lire et écrire des documents Word, ils ne peuvent pas être infectés par des virus Microsoft Word. L’AntiVirus Securitoo détecte, identifie et nettoie tous les virus macro susceptibles d'être rencontrés.
- Les virus de fichier
- Les virus de fichier infectent les programmes exécutables (généralement les fichiers .com et .exe), mais ils infectent aussi parfois les fichiers de recouvrement ou de bibliothèque. Un fichier de recouvrement peut porter une extension quelconque, bien que les plus courantes soient .dll, .ovl et .ovr. En outre, le code exécutable se trouve dans les fichiers .sys, .drv et .fnt, ainsi que dans de nombreux autres types de fichiers. Un virus de fichier recherche un programme exécutable convenable dans lequel il ajoute son propre code, habituellement à la fin du fichier hôte. Pour être sûr de s'exécuter avec le programme parent, le virus ajoute une instruction de renvoi au début du programme. Ce renvoi transfère le contrôle au code du virus situé à la fin du code hôte. Une fois activé, le virus règne librement sur l'ordinateur. Normalement, le but d'un virus est de répandre l'infection. Cette opération se déroule de diverses façons.
- Les virus résidents
- Lorsqu'un programme infecté est exécuté, le virus peut rester résident dans la mémoire et infecter tout autre programme exécuté. Les virus qui utilisent cette méthode sont appelés « virus résidents ».
- Les virus à action directe
- D'autres virus peuvent rechercher un nouveau fichier à contaminer lorsqu'ils sont activés. Après avoir infecté un nombre précis de nouvelles lignes, le virus transfère le contrôle au programme d'origine. Les virus qui utilisent cette méthode sont appelés « virus à action directe ». Une fois le contrôle revenu au programme d'origine, son exécution continue de manière transparente.
- Les bombes à retardement
- Après avoir infecté un ordinateur, le virus peut passer dans sa phase active, c'est-à-dire atteindre le but défini par l'auteur du virus. Cette transition peut avoir lieu à une date précise ou lorsqu'une condition particulière se présente. Dans sa phase active, le virus peut détruire des données ou agir de manière offensive, en formatant le disque dur, par exemple. Parfois, ces virus sont relativement inoffensifs. Tout au plus ralentissent-ils l'ordinateur chaque vendredi ou affichent-ils une balle qui rebondit à l'écran. Même si l'objectif premier d'un virus n'est pas d'être nuisible, il peut le devenir si son auteur n'est pas suffisamment compétent. En outre, il est possible de modifier un virus de façon à le rendre plus agressif. La suppression de données ou de programmes et le formatage ou l'écrasement des données contenues sur le disque dur par un virus constitue des dommages évidents et irréversibles. Cependant, d'autres formes de dommages, plus subtiles, sont envisageables. Certains virus peuvent modifier les données ou introduire des erreurs de saisie dans des textes. D'autres n'ont d'autre but intentionnel que de créer des copies. Les actions d'un virus ralentissent le démarrage du programme infecté. Les retards sont parfois si légers qu'il est presque impossible de les remarquer. Il existe toutefois des virus qui infectent un grand nombre de fichiers immédiatement après leur exécution, ce qui peut ralentir le démarrage du programme infecté de plusieurs dizaines de secondes. Lorsqu'un virus ajoute son code au programme, la taille du programme change. Pour contourner cette situation, certains virus stockent leur code dans une zone inhabituelle du fichier hôte. Dans ce cas, la taille du programme infecté ne change pas. La plupart des virus tentent de reconnaître les infections existant dans des fichiers afin de ne pas infecter une nouvelle fois les programmes qui le sont déjà. Habituellement, les virus marquent les fichiers infectés avec une sorte de marqueur facile à distinguer, tel que l'indication d'une valeur incorrecte au niveau du tampon horodateur. L’AntiVirus Securitoo détecte, identifie et nettoie tous les virus de fichier susceptibles d'être rencontrés.
- Les virus de secteur d'amorçage
- Comme son nom l'indique, un virus de secteur d'amorçage infecte le secteur d'amorçage d'un disque dur ou d'une disquette. Généralement, ce secteur contient le code de chargement des fichiers du système d'exploitation. Un virus de secteur d'amorçage remplace le secteur d'origine par sa copie et stocke l'original à un autre emplacement, ou le remplace purement et simplement. Lorsque l'ordinateur est lancé ultérieurement à partir de cette disquette, le virus prend le contrôle et se cache dans la RAM. Il charge ensuite le secteur d'amorçage d'origine et l'exécute. Tout semble normal. Toutefois, toutes les disquettes qui seront dès lors insérées dans l'ordinateur seront infectées par le virus. Toute disquette formatée contient un secteur d'amorçage. Toutes les disquettes système et de données, ainsi que toutes les disquettes contenant des programmes ou aucun fichier, renferment des codes dans leurs secteurs d'amorçage. Ce code est exécuté si le démarrage de l'ordinateur s'effectue à partir de la disquette. Si elle ne contient pas le système d'exploitation, le code du programme du secteur d'amorçage affiche un message du type : Disque non système ou erreur disque. Si la disquette est infectée, le disque dur l'est probablement déjà. La meilleure façon de protéger votre ordinateur des virus de secteur d'amorçage est d'éviter de démarrer l'ordinateur à partir d'un lecteur de disquettes. Vous pouvez effectuer cette opération dans le BIOS, mais il se peut que cette option ne soit pas disponible sur d'anciens modèles d'ordinateurs. Si l'ordinateur n'est pas équipé d'un disque dur et doit être démarré à partir d'une disquette, utilisez toujours la même disquette et veillez à ce qu'elle soit systématiquement protégée en écriture. La plupart des virus de secteur d'amorçage infectent l'enregistrement d'amorçage principal (MBR - master boot record) des disques durs. Ceci constitue un réel problème, car les MBR ne peuvent pas être nettoyés par la commande de formatage. La meilleure façon de nettoyer le MBR consiste à utiliser l’AntiVirus Securitoo. Une autre solution revient à formater le disque à faible niveau, à recréer des partitions à l'aide de FDISK, à les formater avec la commande FORMAT et à restaurer son contenu à partir d'une copie de sauvegarde. Les virus de secteur d'amorçage peuvent infecter un PC, quel que soit son système d'exploitation (DOS, Windows, NT, Linux, NetWare, etc.). Les systèmes autres que DOS échouent généralement à l'amorçage dans ce cas. Etant donné que la taille de l'enregistrement d'amorçage est limitée à 512 octets sur une disquette, les virus volumineux doivent masquer une partie de leur code hors du secteur d'amorçage lui-même. De nombreux virus créent des secteurs défectueux sur le disque et y stockent leur code. Ils peuvent également cacher leur code dans la zone réservée au répertoire principal. Une autre option consiste à formater une piste supplémentaire et à l'utiliser pour stocker le code du virus. Seuls les virus relativement sophistiqués utilisent ce dernier recours. Comme cinq formats de disquette sont disponibles (360 Ko, 1,2 Mo, 720 Ko, 1,44 Mo et 2,88 Mo), très peu de virus sont capables d'infecter tous les types de disquettes. Un virus de secteur d'amorçage se cache généralement en mémoire haute, réduisant ainsi la quantité de mémoire vue par DOS. Par exemple, un ordinateur avec 640 Ko peut sembler n'en avoir que 639 Ko. Certains modules BIOS utilisent également un ou deux kilo-octets de la mémoire DOS. Pour détecter les virus de secteur d'amorçage, l’AntiVirus Securitoo vérifie le MBR, les secteurs d'amorçage, la table de partition et les autres emplacements où pourrait se cacher un virus. Ne démarrez jamais un ordinateur équipé d'un disque dur avec une disquette, car il s'agit de la seule façon d'infecter le disque dur avec un virus de secteur d'amorçage. Vous pouvez prévenir ce problème sur de nombreuses machines en définissant l'ordre d'amorçage dans le BIOS de l'ordinateur de façon à ce qu'il démarre toujours depuis le disque dur, même si une disquette est insérée dans le lecteur.
- Les virus compagnons
- Les virus compagnons utilisent le DOS pour forcer leur exécution. Lorsque plusieurs fichiers portant le même nom de base, mais des extensions différentes, se trouvent dans le même répertoire, le fichier doté de l'extension .com est exécuté en premier. Ceci se produit uniquement lorsque l'entrée de la ligne de commande ne mentionne pas l'extension. Les virus compagnons tirent parti de cette fonction en sélectionnant un fichier .exe et en créant un fichier .com portant le même nom dans le même répertoire. Comme le fichier .com peut être caché, il ne figure pas dans la liste des fichiers du répertoire. C'est lui qui contient le code du virus. Il est également possible de concevoir un virus compagnon qui passerait en premier dans l'ordre des répertoires spécifié dans la variable d'environnement PATH ou un virus qui utiliserait une autre méthode pour que son code soit exécuté avant le programme hôte. Une fois activé, un tel virus exécute le programme réel et prend de nouveau le contrôle lorsque l'exécution du programme est terminée. L’AntiVirus Securitoo détecte, identifie et nettoie tous les virus compagnons susceptibles d'être rencontrés.
- Les virus furtifs
- Il y a quelques années, il semblait que la meilleure arme contre les infections virales avait été trouvée. Il s'agissait d'une technique appelée « contrôle de somme ». Les méthodes de contrôle de somme calculent une signature unique pour chaque fichier. En calculant de nouveau la chaîne de recherche de signature et en la comparant à son original stocké dans une base de données, il est possible de détecter chaque modification apportée à un fichier et assurer ainsi l'intégrité du système. Toutefois, il n'a pas fallu longtemps pour que les premiers virus furtifs d'infection de fichiers voient le jour et anéantissent les espoirs de victoire finale dans la bataille contre les virus. Un virus furtif falsifie les informations lues à partir d'un disque de façon à ce que le programme qui lit ce disque reçoive des données incorrectes. Le virus intercepte les vecteurs d'interruption utilisés pour lire les données du disque et envoie de fausses informations au programme en cours de lecture. Le programme reçoit ainsi des informations qui indiquent, de manière erronée, que tout va bien. Cette technique est employée avec succès par les virus de fichiers et les virus de secteur d'amorçage. Prenez, par exemple, le virus appelé Brain, le premier virus furtif connu. Brain est un virus de secteur d'amorçage qui transfère le contenu original du secteur à un endroit adapté du disque. Trop volumineux pour résider complètement sur l'enregistrement d'amorçage, il doit stocker une partie de son propre code dans la zone de données du disque. Lorsqu'un ordinateur est démarré à partir d'une disquette infectée, le virus est exécuté en premier. Après avoir pris le contrôle, Brain exécute le secteur d'amorçage d'origine. Tout semble normal à l'utilisateur, mais Brain observe toutes les lectures et écritures sur le disque. Au moment où un programme tente de lire le contenu du secteur d'amorçage, Brain répond par l'envoi du code d'origine du secteur d'amorçage depuis sa « cachette » sur le disque. Etant donné que le programme voit le code d'origine, tout paraît être en ordre, même si une disquette est infectée. Brain dirige toutes les tentatives d'écriture vers le secteur d'amorçage, protégeant ainsi son propre code. Des méthodes similaires sont également utilisées dans les virus qui infectent les fichiers. Un virus furtif peut intercepter toutes les lectures sur disque afin de soumettre de fausses informations. C'est la raison pour laquelle l’AntiVirus Securitoo doit vérifier la mémoire RAM avant l'exécution. Si un virus furtif est déjà actif, il peut facilement falsifier toutes les lectures sur disque. Toutefois, même un virus furtif est incapable de cacher complètement son code dans la mémoire et il est possible de trouver un virus actif en vérifiant la totalité de la mémoire disponible avant de lancer une analyse. C'est ainsi que procède l’AntiVirus Securitoo. Lorsque vous lancez l’AntiVirus Securitoo pour Windows, la mémoire de l'ordinateur est analysée en premier. Le programme vérifie la mémoire dans la gamme 0 - 1088 Ko, accessible aux virus DOS. Des vérifications de système spécifiques sont lancées pour détecter les virus Windows. Lorsque l’AntiVirus Securitoo trouve un virus dans la mémoire, une boîte de dialogue apparaît, proposant d'enregistrer tous les travaux ouverts, avant la fermeture de Windows. Une fois la session Windows fermée, vous devez redémarrer l'ordinateur à partir d'une disquette saine, puis l'analyser avec l’AntiVirus pour DOS. Il n'est pas nécessaire que l’AntiVirus pour Windows NT effectue une analyse de la mémoire car Windows NT protège automatiquement la mémoire système et les zones de mémoire privées de chaque programme.
- Les virus autocryptés, polymorphes et mutants
- La plupart des programmes d'analyse procèdent en examinant des chaînes de recherche de virus. Malheureusement, les virus qui modifient leur code entre les infections rendent impossible la reconnaissance du virus par chaîne de recherche. Les virus mutants changent leur code et, parfois, leur fonction entre plusieurs générations du même virus. La technique de mutation la plus courante est le cryptage. De nombreux virus mutants cryptent leur code grâce à un algorithme simple utilisant des données, telles que l'heure, comme clé de cryptage. Toutes les générations d'un même virus sont ainsi différentes les unes des autres, à l'exception de la routine de décryptage au début du code du virus. Pour que la routine de décryptage soit impossible ou peu pratique à utiliser comme chaîne de recherche, les auteurs de virus essayent de réduire la taille du virus. En effet, il n'est pas possible d'utiliser les très courtes chaînes de recherche, car la probabilité de trouver la même séquence d'octets dans les programmes normaux augmente, ce qui provoque de fausses alertes inutiles. La plupart des virus ne se cryptent qu'au moment de l'infection, bien que certains procèdent ainsi lorsqu'ils sont résidents dans la mémoire. Whale est l'un de ces virus très complexes et sophistiqués. L'auteur de virus bulgare Dark Avenger a créé un moteur de mutation de virus en 1991, appelé MtE. Le MtE pouvait être facilement incorporé à un virus. Il en résultait un virus qui était similaire au virus d'origine au point de vue de la fonction, mais qui était attaché au programme hôte dans l'une de ses nombreuses versions. Le MtE était distribué par des BBS illégaux comme fichier objet qui pouvait être joint à tout virus, ancien ou nouveau. Il est extrêmement difficile d'isoler une chaîne de recherche dans un virus crypté par MtE qui pourrait se retrouver dans la génération suivante du même virus. L'algorithme de cryptage utilisé par MtE est tellement évolué qu'un seul octet en commun peut se retrouver dans tous les fichiers cryptés par MtE. En outre, l'emplacement de cet octet varie. L'instruction commune est JNZ (Jump if Not Zero), que l'on retrouve dans pratiquement tous les programmes existants. Le MtE utilise de nombreux algorithmes de cryptage différents et ajoute aléatoirement des octets aux routines de décryptage. MtE n'est pas le seul générateur de mutation connu. Il en existe des douzaines. Plusieurs virus polymorphes ont été créés sans l'aide d'un générateur externe. Il existe d'autres méthodes de génération de virus mutants, outre le cryptage de leur code. L'une d'entre elles consiste à construire le virus à partir de petits modules qu'il est possible d'échanger à l'intérieur du code sans en modifier le fonctionnement. L’AntiVirus Securitoo trouve les virus polymorphes grâce à son moteur d'analyse basé sur un émulateur.
- Les retrovirus
- L'action de certains virus est intentionnellement dirigée contre les programmes antivirus connus. Un virus peut rechercher des fichiers appartenant à un logiciel antivirus et les supprimer. Un virus actif peut identifier l'exécution d'un produit antivirus et bloquer l'ordinateur. Par conséquent, l'utilisateur est amené à croire que le programme d'analyse est à l'origine de ce problème. D'autres virus n'ont pas pour but la destruction du produit antivirus. Une autre façon encore plus sournoise de paralyser un programme antivirus consiste à apporter des modifications au programme lui-même. Le programme d'analyse semblera toujours fonctionner normalement, mais il ne trouvera plus de virus. Le virus Peach est un bon exemple de rétrovirus. Il s'agit d'un virus de fichier standard, mais qui comporte certaines fonctions dirigées contre le logiciel antivirus. Lorsque Peach infecte des fichiers .exe, il vérifie un certain octet dans les informations d'en-tête du fichier. Si l'octet a une valeur particulière, le fichier ne sera pas infecté. Peach tente apparemment de vérifier si le fichier est un certain programme connu. Les experts sur les virus doivent encore trouver quel programme Peach essaie d'éviter. Après vingt-sept exécutions, Peach attaque le logiciel Central Point AntiVirus (CPAV) s'il est installé sur le même ordinateur. CPAV enregistre ses chaînes de recherche dans un seul fichier sur un disque et ne vérifie pas l'existence du fichier de chaîne de recherche. Peach supprime ce fichier et CPAV semble fonctionner normalement mais, en fait, ne reconnaît pas les virus à cause de l'absence du fichier de chaînes de recherche. Etant donné l'existence de rétrovirus, l’AntiVirus Securitoo utilise de nombreuses techniques contre la falsification de ses fichiers.
- Les virus multi-partition
- Les virus multi-partition utilisent plusieurs techniques d'infection. Ils infectent les fichiers exécutables, les secteurs d'amorçage, l'enregistrement d'amorçage principal (master boot record - MBR), les FAT ainsi que les répertoires. Les virus multi-partition ont une meilleure chance de survivre à un nettoyage que d'autres types de virus. Même si le virus est nettoyé des fichiers du programme, il les infectera de nouveau s'il n'est pas supprimé du secteur d'amorçage. Tequila est un virus multi-partition. Il infecte à la fois les fichiers .exe et l'enregistrement d'amorçage principal. Il dispose de mécanismes de cryptage et d'aptitudes avancées à se dissimuler. L’AntiVirus Securitoo détecte, identifie et nettoie tous les virus multi-partition susceptibles d'être rencontrés.
