Virus : Charge Active
Virus : Charge Active
La charge active (PayLoad) est un terme emprunté au vocabulaire militaire où il désigne le composant actif d'un engin explosif. Sa nature, et plus encore sa masse, sont fonction de l'effet recherché.
Dans un virus ou parasite informatique, la charge active (PayLoad) est la partie du code qui est affectée à la fonction du virus ou du parasite, par opposition aux autres parties du code qui sont affectées à sa réplication, à sa propagation et à sa dissimulation.
Certains virus ont une charge active totalement destructrice mais, la plupart du temps, ils veulent prendre le contrôle de plusieurs centaines de milliers d'ordinateurs pour s'en servir au profit de quelqu'un (détourner les revenus publicitaires des sites que vous visitez, diffuser leurs publicités, espionner vos faits et gestes, voler vos données etc. ...). Dans ce cas, ces virus recherchent des machines parfaitement saines et fonctionnelles, n'y font aucun dégât et ne se font absolument pas remarquer. Ils vont même jusqu'à détruire certains autres virus "concurrents" (guerre des gangs maffieux prenant le contrôle de millions d'ordinateurs et agissant en "pousse toi de là que je m'y mette") ce qui les a fait qualifier, à la légère, de virus "chevaliers blancs". Voir Zombies et BotNets.
La charge active des virus et des vers connaît trois grandes architectures :
Certains virus sont totalement destructeurs mais d'autres veulent prendre le contrôle de plusieurs centaines de milliers d'ordinateurs pour s'en servir, à l'insu de leurs propriétaires, au profit de quelqu'un (les PC infectés s'appellent alors des Zombies et leur interconnexion dans le cadre d'un réseau privé caché aux yeux de leurs propriétaires s'appelle un BotNet (un réseau de robots)). Dans ce cas, ces virus recherchent des machines parfaitement saines, n'y font aucun dégât et ne se font absolument pas remarquer. Ils vont même jusqu'à détruire certains autres virus "concurrents" (guerre des gangs maffieux prenant le contrôle de millions d'ordinateurs) ce qui les a fait qualifier, à la légère, de virus "chevaliers blancs". Voir Zombies et BotNets.
Dans un virus ou parasite informatique, la charge active (PayLoad) est la partie du code qui est affectée à la fonction du virus ou du parasite, par opposition aux autres parties du code qui sont affectées à sa réplication, à sa propagation et à sa dissimulation.
Certains virus ont une charge active totalement destructrice mais, la plupart du temps, ils veulent prendre le contrôle de plusieurs centaines de milliers d'ordinateurs pour s'en servir au profit de quelqu'un (détourner les revenus publicitaires des sites que vous visitez, diffuser leurs publicités, espionner vos faits et gestes, voler vos données etc. ...). Dans ce cas, ces virus recherchent des machines parfaitement saines et fonctionnelles, n'y font aucun dégât et ne se font absolument pas remarquer. Ils vont même jusqu'à détruire certains autres virus "concurrents" (guerre des gangs maffieux prenant le contrôle de millions d'ordinateurs et agissant en "pousse toi de là que je m'y mette") ce qui les a fait qualifier, à la légère, de virus "chevaliers blancs". Voir Zombies et BotNets.
La charge active des virus et des vers connaît trois grandes architectures :
- Ceux qui infestent, par réplication, un poste client (une station, votre ordinateur) et sont autonomes - tous les éléments constitutifs du virus sont installés sur votre machine.
- Ceux qui infestent les serveurs - ils sont également autonomes et tous les éléments du virus sont auto-contenus. Infester un serveur permet de contrôler tous les "clients" du serveur. S'il s'agit des serveurs d'un fournisseur d'accès à l'Internet, ce sont des millions d'abonnés à ce fournisseur d'accès qui sont sous contrôle.
- Ceux qui infestent un réseau local (un réseau d'entreprise, son serveur et les postes clients du serveur). Le virus est constitué en plusieurs petits bouts de programmes appelés segments, chacun pouvant être dupliqué plusieurs fois, disséminés sur les différents postes du réseau. Ces segments communiquent entre-eux (coopèrent), le réseau leur servant aussi à se dupliquer. Une forme particulière de ces virus et celle dont la coopération entre les segments est orchestrée par un segment maître (segment racine) qui coordonne les activités des autres segments. Cette forme est appelée octopus (pieuvre). Ces virus sont extrêmement furtifs et très difficiles à éradiquer : chaque segment peut employer des méthodes de polymorphisme les rendant indétectables par les méthodes des signatures et chaque segment, analysé tout seul par les méthodes heuristiques des antivirus ou les sandbox et autres machines virtuelles, n'alerte pas par son activité très limitée. Il faut arriver à détecter l'hostilité de la coopération entre ces segments.
Certains virus sont totalement destructeurs mais d'autres veulent prendre le contrôle de plusieurs centaines de milliers d'ordinateurs pour s'en servir, à l'insu de leurs propriétaires, au profit de quelqu'un (les PC infectés s'appellent alors des Zombies et leur interconnexion dans le cadre d'un réseau privé caché aux yeux de leurs propriétaires s'appelle un BotNet (un réseau de robots)). Dans ce cas, ces virus recherchent des machines parfaitement saines, n'y font aucun dégât et ne se font absolument pas remarquer. Ils vont même jusqu'à détruire certains autres virus "concurrents" (guerre des gangs maffieux prenant le contrôle de millions d'ordinateurs) ce qui les a fait qualifier, à la légère, de virus "chevaliers blancs". Voir Zombies et BotNets.
| Historique des révisions de ce document : |
|
02.02.2008 Révision
|
Rédigé en écoutant :
Music
Music