PDA

Voir la version complète : C'est différentes sortes de virus possibles (explication)



albert
03/03/2013, 16h38
Bonjour,
on parle souvent de virus mais c'est quoi exactement ?
voici les explications :

L'exécute, se charge en mémoire etexécute les instructions que son auteur a programmées. La définition d'un viruspourrait être la suivante : « Tout programme d'ordinateur capable d'infecter unautre programme d’ordinateur en le modifiant de façon à ce qu'il puisse à sontour se reproduire. »

Le véritable nom donné aux virus est CPA soit Code Auto-Propageable,mais par analogie avec le domaine médical, le nom de "virus" leur aété donné.


Les virus résidents (appelés TSR enanglais pour Terminate and stay resident) se chargent dans la mémoirevive de l'ordinateur afin d'infecter les fichiers exécutables lancés parl'utilisateur. Les virus non résidants infectent les programmes présents sur ledisque dur dès leur exécution.
Le champ d'application des virus va de la simple balle de ping-pong quitraverse l' écran au virus destructeur de données, ce dernier étant la forme devirus la plus dangereuse. Ainsi, étant donné qu'il existe une vaste gamme devirus ayant des actions aussi diverses que variées, les virus ne sont pas classésselon leurs dégâts mais selon leur mode de propagation et d'infection.

On distingue ainsi différents types de virus :

Tout programme d'ordinateur capable d'infecter un autreprogramme

• Les vers d'ordinateur en le modifiant de façon à ce qu'il puisse à son tourse reproduire. Sont des virus capables de se propager à travers un réseau.

• Les chevaux de Troie (troyens)sont des virus permettant de créer une faille dans un système (généralementpour permettre à son concepteur de s'introduire dans le système infecté afind'en prendre le contrôle)



• Les bombes logiques sont des virus capables de se déclencher suite àun événement particulier (date système, activation distante, ...)



Depuis quelques années un autre phénomène est apparu, il s'agit des canulars(en anglais hoax), c'est-à-dire des annonces reçues par mail (par exemplel'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilitéde gagner un téléphone portable gratuitement) accompagnées d'une note précisantde faire suivre la nouvelle à tous ses proches. Ce procédé a pour butl'engorgement des réseaux ainsi que la désinformation


Antivirus

Un antivirus est un programme capable de détecter la présence de virussur un ordinateur et, dans la mesure du possible, de désinfecter ce dernier. Onparle ainsi d'éradication de virus pour désigner la procédure de nettoyage del'ordinateur.

Il existe plusieurs méthodes d'éradication :
• La suppression du code correspondant au virus dans le fichier infecté;
• La suppression du fichier infecté ;
• La mise en quarantaine du fichier infecté, consistant à le déplacerdans un emplacement où il ne pourra pas être exécuté.


Détection des virus

Les virus se reproduisent en infectant des « applications hôtes »,c'est-à-dire en copiant une portion de code exécutable au sein d'un programmeexistant. Or, afin de ne pas avoir un fonctionnement chaotique, les virus sontprogrammés pour ne pas infecter plusieurs fois un même fichier. Ils intègrentainsi dans l'application infectée une suite d'octets leur permettant devérifier si le programme a préalablement été infecté : il s'agit de lasignature virale.

Les antivirus s'appuient ainsi sur cette signature propre à chaque viruspour les détecter. Il s'agit de la méthode de recherche de signature(scanning), la plus ancienne méthode utilisée par les antivirus.

-Cette méthode n'est fiable que si l'antivirus possède une base virale à jour,c'est-à-dire comportant les signatures de tous les virus connus. Toutefoiscette méthode ne permet pas la détection des virus n'ayant pas encore étérépertoriés par les éditeurs d'antivirus. De plus, les programmeurs de virusles ont désormais dotés de capacités de camouflage, de manière à rendre leursignature difficile à détecter, voire indétectable : il s'agit de "virus polymorphes".



-Certains antivirus utilisent un contrôleur d'intégritépour vérifier si les fichiers ont été modifiés. Ainsi le contrôleur d'intégritéconstruit une base de données contenant des informations sur les fichiersexécutables du système (date de modification, taille et éventuellement unesomme de contrôle). Ainsi, lorsqu'un fichier exécutable change decaractéristiques, l'antivirus prévient l'utilisateur de la machine.

-La méthode heuristique consiste à analyser le comportement des applicationsafin de détecter une activité proche de celle d'un virus connu. Ce typed'antivirus peut ainsi détecter des virus même lorsque la base antivirale n'apas été mise à jour. En contrepartie, ils sont susceptibles de déclencher defausses alertes.



Les virus mutants


-En réalité, la plupart des virus sont des clones, ou plus exactement des«virus mutants», c'est-à-dire des virus ayant été réécrits par d'autresutilisateurs afin d'en modifier leur comportement ou leur signature.
Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même virusle rend d'autant plus difficile à repérer dans la mesure où les éditeursd'antivirus doivent ajouter ces nouvelles signatures à leurs bases de données.

Les virus polymorphes

-Dans la mesure où les antivirus détectent notamment les virus grâce àleur signature (la succession de bits qui les identifie), certains créateurs devirus ont pensé à leur donner la possibilité de modifier automatiquement leurapparence, tel un caméléon, en dotant les virus de fonction de chiffrement etde déchiffrement de leur signature, de façon à ce que seuls ces virus soientcapables de reconnaître leur propre signature. Ce type de virus est appelé «virus polymorphe» (mot provenant du grecsignifiant «qui peut prendre plusieurs formes»).



Les rétrovirus

-On appelle « rétrovirus » ou « virus flibustier » (en anglaisbounty hunter) un virus ayant la capacité de modifierles signatures des antivirus afin de les rendre inopérants.

-Les virus de secteur d'amorçage


On appelle « virus de secteur d'amorçage » (ou virus de boot), un virus capable d'infecter le secteur de démarraged'un disque dur (MBR, soit master boot record), c'est-à-dire un secteur dudisque copié dans la mémoire au démarrage de l'ordinateur, puis exécuté afind'amorcer le démarrage du système d'exploitation.


Les virus trans-applicatifs (virus macros)

-Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de scriptcommun pouvant être inséré dans la plupart des documents pouvant contenir desmacros, il s'agit de VBScript, un sous-ensemble de VisualBasic. Ces virus arrivent actuellement à infecter les macros desdocuments Microsoft ******, c'est-à-dire qu'un tel virus peut être situé àl'intérieur d'un banal document Word ou Excel, et exécuter une portion de codeà l'ouverture de celui-ci lui permettant d'une part de se propager dans lesfichiers, mais aussi d'accéder au système d'exploitation (généralementWindows).

Or, de plus en plus d'applications supportent Visual Basic, ces viruspeuvent donc être imaginables sur de nombreuses autres applications supportantle VBScript.
Le début du troisième millénaire a été marqué par l'apparition à grandefréquence de scripts Visual Basic diffusés par mail en fichier attaché(repérables grâce à leur extension .VBS) avec un titre de mail poussant àouvrir le cadeau empoisonné.

Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerieMicrosoft, d'accéder à l'ensemble du carnet d'adresse et de s'auto diffuserpar le réseau. Ce type de virus est appelé ver (ou worm en anglais).
Différents types de virus

Qu’est ce qu’unCheval de Troie ?
-Un Cheval de Troie est un programme simulant de faire quelque chose,mais faisant tout autre chose à la place. Leur nom vient du fameux Cheval deTroie de la Grêce antique, offert en cadeau, mais qui en fait avait pourbut de causer la ruine et la destruction de la ville ayant reçu ce cheval enbois.



Un Cheval de Troie sur un ordinateur est un programme exécutable indépendant,qui est présenté comme ayant une action précise.Néanmoins lorsque ce programme est lancé, il va par exemple formater le disquedur, voler les mots de passe ou envoyer des informations confidentielles aucréateur via Internet.



Qu’est ce qu’un Ver?
Un Ver est un programme indépendant, qui se copie d’ordinateur enordinateur. La différence entre un ver et un virus est quele ver ne peut pas se greffer à un autre programme et donc l’infecter,il va simplement se copier via un réseau ou Internet, d’ordinateur enordinateur. Ce type de réplication peut donc non seulement affecter unordinateur, mais aussi dégrader les performances du réseau dans une entreprise.Comme un virus ce ver peut contenir une action nuisible du typedestruction de données ou envoi d’informations confidentielles.

Virus de Zone d’amorce
Un virus de zone d’amorce utilise la méthode la plus simple existantepour se propager. Il infecte la zone d’amorce des disques durs et desdisquettes, la zone d’amorce est la première partie du disque lu parl’ordinateur lors de son démarrage, elle contient lesinformations expliquant à l’ordinateur comment démarrer.

Cette zone contient aussi des informations expliquant à l’ordinateur comment ledisque est formaté, si il y a des partitions etc.

Pour être infecté, il faut avoir démarré sur une disquette, ou un disqueamovible contenant le virus. Une fois la zone d’amorce de l’ordinateurinfectée, ce virus se transmettra sur toute disquette ou support amovibleinséré dans l’ordinateur. La plupart des virus de zone d’amorce ne fonctionnentplus sous les nouveaux systèmes d’exploitation tels que Windows NT.

Virus DOS

La plupart des virus programmes écrits fonctionnent sous le systèmed’exploitation DOS. Le DOS est le système d’exploitation le plus simple surmachine PC, néanmoins Windows exécute les programmes DOS sans aucuns problèmesmême si beaucoup de virus DOS n’arrivent pas à se reproduire lorsqu’ilssont exécutés par Windows. Il est beaucoup plus simple d’écrire un virus pourDOS, car DOS existe depuis beaucoup plus longtemps que Windows et il y a doncbeaucoup plus de gens ayant l’expertise nécessaire à ce genre de pratiques. Deplus un virus écrit sous DOS sera beaucoup plus petit en taille que sonéquivalent écrit sous Windows. Néanmoins ce type devirus est doucement en train de disparaître au fur et à mesure.
Virus Windows

Les virus Windows fonctionnent sous Windows et vont pouvoir infecter lesprogrammes Windows. Le nombre de virus Windows est beaucoup plus réduit que lenombre de virus DOS, néanmoins ils sont considérés comme une plus grande menaceque les virus DOS puisque la plupart des ordinateurs fonctionnent maintenantsous Windows.

Virus Windows NT

Windows NT est le système Windows souffrant le moins des virus, carc’est le système Windows ayant la plus faible compatibilité avec le DOS, doncbeaucoup de virus écrits pour le DOS à l’origine ne fonctionnent pas sousWindows NT. L’architecture de sécurité de Windows NT est aussi très complexe.Les créateurs de virus ont réussi à créer des virus qui utilisent des fonctionsnon documentées de cette architecture.

Virus macintosh

La plupart desvirus Macintosh connus à ce jour sont bénins et ne détruisent rien, ils se contententd’afficher des images ou des messages. Les virus Macintosh sont spécifiques aumac et ne peuvent infecter des programmes Windows. Le nombre de virus Macintoshest assez réduit due à la complexité du système d’exploitation MacOS.

Virus Macro

Les virus Macros sont la plus grande menace à ce jour, ils se propagentlorsqu’un document Microsoft Word, Excel ou PowerPointcontaminé est exécuté. Un virus Macro est une série de commandespermettant d’effectuer un certain nombre de tâches automatiquement au sein desapplications ci dessus. Le but non nuisible du langage de macro dans cesapplications est à l’origine de pouvoir créer des raccourcis pour effectuer destâches courantes, par exemple en une touche imprimer un document, lesauvegarder et fermer l’application.

Les Virus Macros non supprimés se répandent très rapidement. L’ouvertured’un document infecté va contaminer le document par défaut de l’application, etensuite tous les documents qui seront ouverts au sein de l’application. Lesdocuments Word, Excel et PowerPoint étant les documents les plus souventpartagés, envoyés par Internet, ceci explique la diffusion rapide de ces virus.De plus le langage de programmation des Macros est beaucoup plus facile àapprendre et moins compliqué qu’un langage de programmation classique.



Virus Polymorphe
Ceci est une sous catégorie, dans le sens ou n’importe lequel des types devirus ci dessus peut en plus être polymorphe. Lesvirus polymorphes incluent un code spécial permettant de rendrechaque infection différente de la précédente. Ce changement constant rend ladétection de ce type de virus compliqué. Souvent le code change, mais l’actionpour lequel il a été créé est toujours la même. Par exemple, le virus peutintervertir l’ordre des instructions de son action en son sein, ou rajouter defausses instructions afin de tromper la vigilance de l’antivirus, qui lui,recherche une signature précise.

Beaucoup de virus polymorphes sont aussi encryptés. Le virus encryptera soncode et ne le décryptera que lorsqu’il doit infecter un nouveau fichier, lerendant encore plus difficile à détecter.

Virus Furtif


Un virus furtif, comme son nom l’indique, va se cacher lorsquel’ordinateur ou l’utilisateur accède au fichier infecté. Si l’utilisateurou l’antivirus tente de voir si le fichier est infecté, le virus le saura et vase cacher offrant à l’antivirus et à l’utilisateur une version non infectée dufichier.

Par exemple un virus macro non furtif, serait visibledans le menu Outils, Macros de Word, révélant sa présence d’un simple coupd’œil, alors qu’un virus macro furtif, ne montrera pas sa présence de la sorte.


Virus Multi cibles


Les virus multi cibles utilisent à la fois les techniques d’infection desvirus programmes et ceux de zone d’amorce. Ils infecteront donc à la foisles zones d’amorces et les programmes. Ces virus ont tendance à avoir unetaille un peu plus élevée que les autres types puisqu’ils doivent contenir lesinstructions pour effectuer deux types d’infections. En doublant l’infection,le virus double sa chance d’être transmis à un autre ordinateur et de serépandre. Ceci explique qu’ils sont responsables d’un grand nombred’infections, sans être très nombreux.

Par exemple si vous lancez un programme infecté par levirus Tequila, ce virus infectera dans un premier temps la zone d’amorce del’ordinateur. La prochaine fois que vous allumerez votre ordinateur, ce virusTequila infectera donc tous les programmes que vous utilisez ou qui sont lancésau démarrage de votre machine et ainsi de suite, tout programme exécuté seradonc infecté.

Hoax ou “Faux virus”
Ces fausses alertes sont aussi sérieuses que les vrais virus. En effetelles font perdre du temps et peuvent générer une certaine anxiété quant à lavéracité ou non du message. Une des raisons pour lesquels ces Hoax sont sirépandus, c’est q’il suffit d’avoir une certaine créativité et un talentrédactionnel, pour envoyer un e mail contenant de fausses informations.
Le premier de ces Hoax connu a été envoyé par deux abonnés à AOL en 1992,il s’appelle Good Times. Depuis les messages du type “si vous recevez un emailavec comme sujet bonjour, effacez le, ne l’ouvrez pas, il détruira votreordinateur”, sont presque aussi répandus que les vrais virus. Nous pouvonsfacilement développer des armes pour lutter contre les vrais virus, il est plusdifficile de concevoir quelque chose pour lutter contre la désinformation. Leseul moyen c’est l’éducation des utilisateurs de micro ordinateurs.



A

brahimily
04/03/2013, 13h27
merci ,trés interessant