Virus - Typologie des virus

Virus - Typologie des virus

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clé:
Virus, Typologie
 
 
On n'échappe pas à la tentation de tout classer, de mettre tout l'existant en tiroirs, avec des étiquettes dessus. Les virus informatiques n'y échappent pas. Il y a le classement par méthode de réplication :




Les Virus de Fichiers ou Virus parasites ou Réplication par injection
Vous avez remarqué que les noms de vos fichiers sont suivis d'un suffixe. Des suffixes comme .exe, .com, .dll etc. ... désignent des fichiers exécutables (des programmes, des applications). Les virus de fichiers exécutables (applicatifs) se lient intimement au contenu de ces fichiers en s'injectant dedans et ne font plus qu'un avec eux. Chaque fois que vous ouvrez un programme infesté, le virus est exécuté puis "rend la main" à l'exécution normale du programme hôte qu'il infeste. Il va alors chercher de nouvelles cibles (par exemple, pour infester tous les programmes que vous lancez ou pour infester systématiquement tous les fichiers de type exécutable sur vos disques). Ces virus ont un problème : ils modifient la longueur du code du fichier initial en y ajoutant leur propre longueur ce qui les rend repérables. Fiche Réplication par injection


Les Virus de Boot
Ces virus, parmi les plus anciens, infestent le MBR (Master Boot Record). Qu'est-ce que c'est ? Lorsque vous allumez votre ordinateur, un premier programme s'exécute, le Bios (Basic Input Output System), contenu dans une mémoire "morte" ineffaçable (un composant électronique de la carte mère de votre ordinateur dont le contenu ne peut être modifié qu'avec des programmes très particuliers dit de "flashage de Bios"). Au démarrage de votre ordinateur, le Bios effectue quelques tests puis "donne la main" à un second programme, le BootStrap (le "lanceur", le "coup de pied au cul") qui, lui, lance réellement l'ordinateur en chargeant le noyau du système d'exploitation choisi (il peut y avoir plusieurs systèmes sur un disque dur, comme Windows et Linux...), qui prend enfin le relais. Hors, le BootStrap est conventionnellement installé dans les secteurs 0 et 1 de la piste 0 de tous les disques durs "bootables" et de toutes les disquettes "bootables". Le dispositif dit "antivirus" des Bios n'est pas un antivirus a proprement parlé mais simplement un verrouillage de la zone de BootStrap. C'est une interdiction d'écrire dans ces zones que vous devez positionner sur "on" ou "actif" dès après l'installation du système d'exploitation. Aucun autre programme ne devra, par la suite, vous demander l'autorisation de modifier le bootstrap (sauf l'installation de votre antivirus à qui vous donnerez le droit de le faire).
Fiche Propagation par Boot

Les Macro Virus
Ils sont apparus peu de temps après l'émergence des langages de macro-commandes dans les logiciels de bureautique et infestent, non pas les programmes eux-mêmes mais les documents manipulés par ces programmes (tels les documents Word, Excel, PowerPoint, etc. ...) Il s'agit de langages "interprétés" et non pas "compilés" ce qui a permis assez facilement le développement d'interpréteurs du même langage de macro-commandes sous plusieurs plate-formes (Windows, Unix, Linux, Mac OS...) assurant ainsi la portabilité des documents dans plusieurs mondes habituellement cloisonnés. Première particularité : cette portabilité des documents émis par ces logiciels et donc des macro-commandes accompagnant ces documents, assurant leur indépendance vis-à-vis des systèmes d'exploitation, à permis l'émergence de virus multi plate-formes (s'attaquant simultanément au monde Mac et au monde PC). Seconde particularité : ils infectent des fichiers de données plutôt que des fichiers de programmes. Ces virus sont très dangereux car les langages de macro-commandes, malheureusement, permettent de faire beaucoup trop de choses, dont la manipulation des fichiers sur un disque dur. Leur propagation est contenue grâce aux antivirus et à de nouveaux dispositifs de sécurité incorporés désormais dans Word, Excel... Leurs attaques peuvent être dramatiques, allant jusqu'au formatage des disques durs.

Les Vers ou Worms - Les virus de mail
Ils représentent actuellement l'écrasante majorité des attaques virales (plus de 80% selon certains observateurs) à cause de l'extrême facilité à joindre tout le monde par e-mail. Des robots peuvent piller les sites internet, les forums de discussions etc. ... pour récupérer et constituer des bases de données d'adresses e-mail à qui les virus sont transmis en pièces jointes de ces e-mail exactement comme lors d'un spam direct. Puis, dès que le virus est activé sur un ordinateur, il se réplique vers toutes les adresses e-mail du carnet d'adresse (dans Outlook etc. ...) de l'ordinateur infesté etc. ... Cette propagation en tache d'huile est fulgurante et sans frontière. On appelle ces virus des "vers" (ou "worm").

Les virus multiformes (ou multimodes)
Généralement virus de boot et de fichiers simultanément. Peu nombreux mais très virulents.

Les virus furtifs
Tous les virus des formes précédentes peuvent être, simultanément, furtifs. Ils agissent en interceptant les "interruptions" au niveau le plus bas du système d'exploitation. Par exemple, toute demande d'ouverture de fichier se fait sous la forme d'une interruption (une requête au superviseur). Un virus particulièrement bien écrit peut intercepter cette interruption en s'interposant et en redirigeant les requêtes, prenant ainsi le contrôle de la table d'interruption et retournant au superviseur des codes laissant croire, par exemple à un antivirus, que tout va bien.

Les virus polymorphes
Tous les virus des formes précédentes peuvent être, simultanément, polymorphes, c'est-à-dire avoir la capacité de changer de look à chaque réplication, par exemple en intervertissant l'ordre de certaines instructions ou en intercalant des instructions "bidon" ou en s'auto cryptant sur la base d'une clé changeant à chaque réplication, afin d'aveugler les antivirus en modifiant sans arrêt leur signature. Ces virus sont un casse tête pour les chercheurs dans les laboratoires des éditeurs d'antivirus car ils doivent non plus chercher une signature certaine, il n'y en a plus, mais une constante comportementale, un prédicat (méthodes heuristiques) ou, mieux, observer une réelle exécution du fichier suspect dans un pseudo ordinateur, un ordinateur virtuel ou « boite à sable » ou « bac à sable » ou « sandbox », simulant l'ordinateur hôte complet, pour « voir ce qui se passe » (c'est le bac à sable des artificiers dans lequel les effets de la déflagration d'un explosif sont totalement amortis). Ce dernier type d'antivirus était encore rare fin 2003 et regardé avec les yeux de Chimène par les spécialistes de la sécurité, comme l'avenir probable des antivirus (mais nécessitent une machine puissante - on ne peut installer ce genre d'antivirus sur une machine à base de Céléron 800 avec 128Mo de mémoire ram). Aujourd'hui aucun antivirus sérieux ne peut se passer d'analyses heuristiques et de Sanboxing sous peine de disparaître dans les tableaux comparatifs et d'être jeté aux Gémonies.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

Historique
 
   
Rédigé en écoutant :
Music