LES VIRUS INFORMATIQUE : |
Qu'est qu'un virus informatique ?
Quels sont les effets d'un virus ?
Un virus peut-il endommager physiquement mon
ordinateur ?
Les différents types de virus
Les règles de prudence
Trouver un anti-virus
Quest-ce quun virus informatique ? |
Quels sont les effets dun virus ? |
Un virus peut-il endommager physiquement mon ordinateur ? |
Les différents types de virus |
(Ce qui suit est une traduction partielle de
la FAQ du groupe de discussion VIRUS-L/comp.virus dont vous
pouvez retrouver lintégralité à ladresse suivante
: http://www.cis.ohio-state.edu/hypertext/faq/usenet/computer-virus/faq/faq.html)
La deuxième catégorie de virus regroupe les virus qui infectent le code exécutable des zones systèmes dun disque (SYSTEM ou BOOT-RECORD INFECTORS). Pour un PC, il y a des virus ordinaires qui naffectent que les secteurs réservés au DOS et dautres qui affectent le MBR (Master Boot Record : secteur #0 sur une disquette ou un disque dur et qui contient un petit programme exécutable affichant le message « disque non système »). Ces virus, une fois introduits dans un système, résident dans la mémoire de la machine.
Pour rendre cette classification un peu plus ardue à comprendre, certains virus sont capables dinfecter à la fois des fichiers et des secteurs systèmes (ex : le virus Tequila). Ces virus sont appelés MULTI-PARTITE ou BOOT-AND FILE.
En plus de ces deux grandes catégories de virus, les chercheurs spécialisés dans la lutte contre les virus ont identifié deux autres catégories distinctes de virus :
Les virus FILE SYSTEM (fichiers systèmes) ou CLUSTER (ex : Dir-II) qui modifient les tables dentrées dun répertoire de telle sorte quun virus est chargé et exécuté avant que le programme voulu ne le soit. Le programme nest pas altéré, mais sa référence dans le répertoire est modifié. Certains considèrent ces virus comme étant une catégorie à part entière dans la classification des virus, alors que dautres considèrent quils sont une sous-catégorie des virus FILE-INFECTORS.
Les virus KERNEL (noyau) sattaquent à des fonctions spécifiques des programmes qui constituent le noyau dun système dexploitation. Un virus FILE-INFECTOR qui peut infecter des fichiers noyau nest PAS un virus KERNEL. Ce terme est réservé aux virus qui utilisent une spécificité des fichiers noyaux (par exemple, emplacement physique sur le disque). Retour à la table des matières
Nous allons maintenant examiner les différents modes de fonctionnement des virus :
Les virus furtifs (STEALTH) |
Un virus furtif est un virus qui,
lorsquil est actif, dissimule les
modifications apportées aux fichiers ou aux
secteurs boot. En règle générale, ce
phénomène est rendu possible par le virus qui
observe les appels aux fonctions de lecture des
fichiers et falsifie les résultats renvoyés par
ces fonctions. Cette méthode permet au virus de
ne pas être détecté par les utilitaires
anti-virus qui recherchent des modifications
éventuelles apportées aux fichiers. Néanmoins,
pour que cela soit possible, le virus doit être
actif en mémoire résidente, ce qui est
détectable par les anti-virus. Retour
à la table des matières
Les virus polymorphes (POLYMORPHIC) |
Un virus polymorphe est un virus qui produit
des copies variées de lui-même, mais qui
restent opérationnelles. Ces stratégies ont
été employées dans lespoir que les
utilitaires anti-virus ne puissent pas détecter
toutes les instances du virus. Retour
à la table des matières
Les virus compagnons (COMPANION) |
Un virus compagnon est un virus qui, au lieu
de modifier un fichier existant, crée un nouveau
programme qui est exécuté à linsu de
lutilisateur au lieu du programme voulu. Le
programme original est ensuite exécuté de telle
sorte que tout apparaît normal à
lutilisateur. Sur un PC, ceci est
généralement accompli en créant un nouveau
fichier .COM portant le même nom que le fichier
.EXE. Les anti-virus qui ne cherchent que les
modifications apportées aux fichiers existants
(vérificateurs dintégrité) ne
détecteront pas ce type de virus. Retour
à la table des matières
Les virus "cavité" (CAVITY) |
Les virus cavités sont des virus qui
écrasent une partie du fichier hôte qui est
constitué dune constante (en général,
des 0) sans augmenter la taille du fichier et
tout en préservant sa fonctionnalité. Retour à la table des matières
Les virus blindés (ARMORED) |
Un virus blindé est un virus qui utilise des
astuces spéciales pour que son dépistage, son
désassemblage et la compréhension de son code
soient plus durs. Retour à la
table des matières
Les virus souterrains (TUNNELLING) |
Les virus souterrains sont des virus qui
appellent directement les vecteurs
dinterruption du DOS et du BIOS,
contournant ainsi tout programme de contrôle qui
pourrait être chargé et avoir intercepté ces
mêmes vecteurs dans le but de détecter
lactivité dun virus. Certains
anti-virus utilisent cette même technique pour
contourner un virus inconnu ou non détecté. Retour à la table des matières
Les virus compte-gouttes (DROPPER) |
Un virus compte-gouttes est un programme
conçu pour installer un virus sur le
système visé. Le code du virus est en règle
général contenu dans ce programme de telle
manière quil ne sera pas détecté par un
anti-virus qui, dans dautres circonstances,
détecte ce virus (le compte-gouttes nest
pas infecté par ce virus). Bien quassez
rare, ce type de virus a été signalé à
plusieurs reprises. Un compte-gouttes qui
installe le virus seulement en mémoire (donc
sans infecter de fichiers sur le disque) est
parfois appelé un injecteur Retour à la table des matières
Les bombes ANSI (ANSI BOMB) |
Une bombe ANSI est une séquence de
caractères, généralement incluse dans un
fichier texte, qui reprogramme certaines
fonctions du clavier dordinateurs ayant une
console ANSI (écran + clavier). On peut ainsi
reprogrammer la touche Enter dun clavier
pour quelle exécute linstruction
format c : suivi de la fonction Enter.
Néanmoins, cette possibilité ne constitue pas
une grande menace. En effet, il est rare pour un
logiciel moderne dexiger un ordinateur
tournant sur une console ANSI. De même, peu de
gens utilisent des logiciels qui envoient
simplement la sortie sur le terminal, donc une
bombe ANSI dans un Email ne reprogrammerait pas
votre clavier. Retour à la table
des matières
Parallèlement à ces différents types de propagation, les virus se différencient également par leur vitesse de propagation (Nota : cette description ne s'applique qu'aux virus de fichiers) :
Les infecteurs normaux |
Un virus de fichier typique (ex : Jerusalem) infecte les programmes au fur et à mesure que ces derniers sont exécutés.
Les infecteurs rapides |
Un infecteur rapide est un virus qui, lorsqu'il est activé en mémoire, infecte non seulement le programme qui est exécuté mais également ceux qui sont simplement ouverts. Le résultat est que, si on lance un scan anti-virus ou un vérificateur d'intégrité, tout ou partie des programmes seront infectés.
Les infecteurs lents |
Le terme infecteur lent fait référence aux virus qui n'infecteront des fichiers que s'ils sont modifiés ou créés. Le but est de faire croire aux utilisateurs de vérificateurs d'intégrité que les rapports de modifications sont dues à des raisons légitimes.
Les infecteurs occasionnels |
Les infecteurs occasionnels sont des virus qui
infectent de manière sporadique (par exemple, 1
fois sur 10 programmes exécutés, programmes
dont la taille dépasse un certains nombres
d'octets, etc). En infectant moins souvent, ces
virus réduisent la probabilité d'être
découverts. Retour à la table
des matières
Les vers (WORM) |
Un ver informatique est un programme complet,
qui est capable de répandre des copies, ou des
segments, fonctionelles de lui-même sur d'autres
systèmes informatiques (en règle générale,
via un réseau).
Contrairement aux virus, les vers n'ont pas
besoin de programme-hôte. Il existe deux types
de vers : les vers de station de travail et les
vers de réseaux.
Les vers de station sont entièrement contenus
dans le système sur lequel ils tournents et ils
utilisent les connexions réseaux pour se copier
sur d'autres machines. Ceux qui se terminent
après s'être copiés sur un autre système (il
n'y a donc qu'un seul exemplaire du ver sur le
réseau) sont parfois appelés lapin
Les vers de réseaux sont constitués de
plusieurs parties (ou segments), chacunes
tournant sur des machines différentes et qui
utilisent le réseau pour communiquer. Ils se
servent également du réseau pour se dupliquer.
Les vers de réseaux qui possèdent un segment
principal coordinant les actions des autres
segments sont parfois appelés pieuvres Retour à la table des matières
Les macro virus |
Par rapport aux virus décrits ci-dessus, les
macro-virus constituent une catégorie à part.
En effet, ces virus ne sont pas spécifiques à
un système d'exploitation et infectent
indifféremment des ordinateurs tournant sous
DOS, Windows (3.x, 95,98,2000 et NT) ou
Macintosh. De plus, ces virus n'infectent pas des
programmes mais des documents.
Ces virus utilisent certaines fonctions du
langage macro de MS Word pour infecter le modèle
de base NORMAL.DOT. Dès qu'un document infecté
est ouvert, le virus infectera ce modèle qui est
la base de la majorité des autres documents et
modèles de MS Word.
A leurs débuts, ces virus étaient sans danger
et se contentaient d'afficher des boites de
dialogues de manière inopinée. Aujourd'hui
certains de ces virus ont un but destructeur et
peuvent aller jusqu'à l'effacement pur et simple
de fichiers.
Le mythe des virus par Email |
Les messages d'alerte |
Ce genre de mail vous rappelle-t-il quelque chose ?
ATTENTION !!! ALERTE AU VIRUS !!! Si vous recevez un
e-mail intitulé NE L'OUVREZ PAS. Le virus qu'il contient
va effacer l'intégralité de votre disque dur. Faites
suivre ce message à autant de personnes de votre
connaissance. Ceci est un nouveau virus, très nocif et
peu de gens connaissent son existence..
Viennent ensuite les références de la personne bien
informée qui a identifié ce virus (une personne du
département recherche d'IBM, ou du département Vente de
Microsoft, etc) afin de donner une plus grande
crédibilité à cette alerte.
CES MAILS SONT DES CANULARS ! Il est impossible d'infecter son ordinateur par l'intermédiaire du texte d'un Email. Un Email n'est pas un programme mais un fichier texte qui ne contient aucune instruction exécutable. Il ne s'agit pas non plus d'un document pouvant contenir des macros, il n'existe donc aucun risque d'infection par un macro-virus. Le terme virus ne veut pas dire qu'il s'agit d'organismes qui flottent dans l'univers virtuel d'internet et qui pourrait infecter un ordinateur, à la manière du virus de la grippe infectant un être humain. N'oubliez pas qu'un virus requiert un programme hôte et non pas un simple fichier texte.
Liste des faux virus |
|
|
Que faire si vous recevez un message d'alerte ? |
En tout premier lieu, il convient de ne pas faire suivre ce message. Vous contribueriez au gâchis de bande passante généré par ces Emails.
Vous pouvez ensuite envoyer une réponse à l'expéditeur de ce message en lui expliquant que l'existence d'un tel virus est impossible, soit en résumant la discussion contenue dans cette page ou tout simplement en lui indiquant l'URL de cette page. Il est en effet préférable d'informer le plus de monde possible sur ces canulars afin de faire cesser ces pratiques. Plus de gens seront au courant de ces supercheries, moins ces canulars circuleront sur le net.
Restez courtois avec votre correspondant. La tentation d'être agressif est grande, surtout s'il s'agit du énième message d'alerte, mais gardez en mémoire que l'expéditeur est animé de bonnes intentions, et qu'il y a de fortes chances qu'il s'agisse de quelq'un d'inexpérimenté.
La transmission de vrais virus au moyen d'Email |
Le but de cette discussion est de vous montrer qu'il est impossible d'être infecter par un virus en lisant un mail, mais il existe néanmoins une possibilité d'envoyer un virus par Email : par le biais d'un fichier attaché au document
En effet, un fichier attaché à un mail n'a rien à voir avec le mail lui-même. Si le mail est un fichier texte, le fichier attaché peut-être n'importe quel type de fichier, y compris un exécutable. Par contre, le téléchargement de ce fichier, en supposant qu'il soit infecté, n'est pas suffisant pour infecter votre ordinateur. Il vous faut d'abord l'exécuter pour démarrer l'infection.
Il vous faut agir avec la plus grande prudence si vous recevez un fichier par mail!
Retour à la table des matières
Les règles de prudence |
Trouver un anti-virus |
Produit (lien cliquable) |
URL |
---|---|
Norton Anti Virus | http://www.symantec.com/ |
MacAfee VirusScan | http://www.nai.com/default_mcafee.asp |
Authentex | http://www.thunderbyte.com/ |
VirusSafe | http://www.virusafe.com/ |
Anywhere AntiVirus | http://www.helpvirus.com/ |
Consultez la Catégorie Yahoo! pour d'autres fournisseurs. |
Retour à la table des matières
Retour à la page d'acceuil
Les virus | InfoBio. | Le maroc | Le tourisme au maroc
La sécurité sur le net | Association
| Droit de l'homme | Les bonnes recettes.
| Les codes d'erreurs| | Rigoler | Chat | Liste préférée | Mon livre d'or |
Copyright viennent à : abderrahmane
idoumjoud.
Dernière révision : October 29, 2000.