Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

 

macro


Le terme "Virus" est couramment employé. Trop couramment même, si bien qu'on ne fait plus très bien la différence entre les différents types de virus.

Nous allons revoir les grandes catégories ainsi que leurs principales catégories.

 

 

 

 

Introduction

Un virus est un petit programme informatique situé dans le corps d'un autre programme, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé.

"on appelle virus tout programme informatique capâble d'infecter un autre programme informatique en le modifiant de façon à ce qu'il puisse à son tour se reproduire" dit mon dictionnaire Hachette (1994, mais bon ^^)

Tout comme un virus biologique, ils se multiplient...
C'est à dire qu'ils s'insèrent dans les fichiers que vous exécutez dès lors qu'ils sont résidents en mémoire.

Le véritable nom donné aux virus est CPA soit Code Auto Propageable, mais par analogie avec le domaine médical, le nom "virus" leur a été donné.

Les virus vont de la simple balle de ping pong qui traverse l'écran de votre PC au virus destructeur de données, ce dernier étant la forme de virus la plus virulente.

Ainsi, étant donné qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variées, les virus ne sont pas classés selon les dégâts qu'ils occasionnent, mais selon leur mode de propagation et d'infection.

On distingue ainsi différents types de virus :

  • les vers
  • les troyens ou chevaux de Troie 
  • les bombes logiques 
  • les virus de macros également appelés virus trans-applicatifs 
  • les virus de boot 
  • les rétrovirus 
  • les virus polymorphes 
  • les virus mutants

 

 

Les vers

 

ver

Un ver est un programme qui peut s'auto-reproduire et se déplacer à travers un réseau informatique en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier) pour se propager.

Un ver est donc un virus réseau

La plus célèbre anecdote à propos des vers date de 1988. Un étudiant (Robert T. morris, de Cornell University) avait fabriqué un programme capable de se propager sur un réseau. Il le lança, et 8 heures plus tard, celui-ci avait déjà infecté plusieurs milliers d'ordinateurs.
C'est ainsi que de nombreux ordinateurs sont tombés en panne en quelques heures car le ver se reproduisait trop vite pour qu'il puisse être effacé sur le réseau.
De plus, tous ces vers ont créé une saturation au niveau de la bande passante, ce qui a obligé la NSA a arrêter toutes les connexions pendant une journée.

Voici la manière dont, en général, un ver se reproduisait il y encore une dizaine d'années :

  1. Le ver s'introduit sur une machine de type Unix
  2. Il dresse une liste des machines connectées à celle-ci 
  3. IL force les mots de passe à partir d'une liste de mots 
  4. Il se fait passer pour un utilisateur auprès des autres machines 
  5. Il créé un petit programme sur la machine pour pouvoir se reproduire 
  6. Il se dissimule sur la machine infectée 
  7. Et il recommence...

Aujourd'hui, les vers se propagent principalement grâce aux messageries, à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier électronique contenues dans les carnets d'adresses et en envoyant des copies d'eux même à tous les destinataires.

Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers exécutables envoyés en tant que pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur le fichier attaché.

Il est simple de se protégéer d'une infection par ver !
La meilleure méthode consiste à ne pas ouvrir à l'aveugle les fichiers qui vous sont envoyés en fichiers attachés.

Ainsi, tous les fichiers exécutables ou interprétables par le système d'exploitation peuvent potentiellement infecter votre ordinateur.

Les fichiers comportant notamment les extensions suivantes sont potentiellement susceptibles d'être infectés :

exe, com, bat, pif, vbs, scr, doc, xls, msi, eml

 

Sous Windows, il est conseillé de désactiver la fonction 'masquer les extensions', car cette fonction peut tromper l'utilisateur sur la véritable extension d'un fichier.
Ainsi, un fichier dont l'extension est .jpg.vbs apparaîtra alors comme un fichier jpg !!!

Ainsi, les fichiers comportant les extensions suivantes ne sont pas interprétés par le système et possèdent donc un risque d'infection minime :

txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm

 

Des vers dans des photos ou des images ???!!!

Il est courant d'entendre dire que les fichiers GIF ou JPG peuvent contenir des virus.

En effet, tous les fichiers peuvent contenir un morceau de code informatique véhiculant un virus.
Pour autant, le système devra préalablement avoir été modifié par un autre virus pour être capable d'interpréter le code contenu dans ces fichiers !

Pour tous les fichiers dont l'extension peut supposer que le fichier est infecté (ou pour les extensions que vous ne connaissez pas), n'hésitez pas à installer un antivirus et à scanner systématiquement le fichier attaché avant de l'ouvrir.

Voici également une liste plus complète, mais non exhaustive des extensions de fichiers susceptibles d'être infectés :

386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA, CLASS, CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB, DWG, EML, EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT, MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT, OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML, SHW, SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX, VOM, VS?, VWP, VXE, VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC, XML, XLS, XLT, ZIP

Exemple de vers connus : I love you, Code Red, Morris, Bagle, Blaster, Melissa, Sobig

 

 

 

Les bombes logiques

 

bombe_logique

Ce sont des dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande ou nimporte quel appel au système.

Ainsi, ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13 ème anniversaire de la catastrophe nucléaire.

Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site internet, d'un service en ligne ou d'une entreprise.

Exemple de bombes logiques : Tchernonyl, ToneLoc

Qu'est ce que le déni de service (Denial Of Service) ?

Les attaques par Denial of Service (souvent abrégé en DoS ) consistent à paralyser temporairement (rendre inactif pendant un temps donné) des serveurs afin qu'ils ne puissent plus être utilisés ni consultés.

Elles sont un fléau pouvant toucher tout serveur mais aussi tout particulier relié à Internet ou au réseau.

Le but d'une telle attaque n'est pas de récupérer ou d'altérer des donées, mais de nuire à des sociétés dont l'activité repose sur un système d'informaton en l'empâchant de fonctionner.

D'un point de vue technique, ces attaques ne sont pas très compliquées, mais ne sont pas moins efficaces contre tout type de machine possédant un système d'exploitation Windows, Linux, Unix Commercial ou tout autre système :

  • Windows : 95, 98, Me, 2000, XP
  • Linux : Debian, Mandrake, RedHat, Suse 
  • Unix commercial : HP-UX, AIX, IRIX, Solaris

En effet, la plupart des attaques par déni de service n'exploitent non pas les failles d'un système d'exploitation particulier, mais celles de l'architecture TCP/IP.

Les attaques par déni de service consistent en un envoi de paquets IP de taille et de constitution inhabituelle, ce qui a pour cause la saturation ou une défaillance de gestion de la part de la machine victime, qui ne peut plus assurer les services réseaux qu'elle propose.

 

La technique

Pour être précis, le DoS se fait par l'envoi d'un datagramme IP de 65536 octets fabriqué grâce à la fragmentation.
Une fois le datagramme refragmenté sur l'hôte distant, on obtient un débordement de mémoire (communément appelé Buffer OverFlow) provoquant un plantage de la machine...

 

 

Les virus trans-applicatifs, également appelés virus de macros

 

virus_tras_applicatifs

Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de script commun pouvant être inséré dans la plupart des documents pouvant contenir des macros, il s'agit de VBScript, un sous-ensemble de Visual Basic.

Ces virus arrivent actuellement à infecter les macros des documents Microsoft Office, c'est-à-dire qu'un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accèder au système d'exploitation (généralement Windows).

Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc être imaginables sur de nombreuses autres applications supportant le VBScript.
Le début du troisième millénaire a été marqué par l'apparition à grande fréquences de scripts Visual Basic diffusés par mail en fichier attaché (repérables grâce à leur extension .VBS) avec un titre de mail poussant à ouvrir le cadeau empoisonné.

Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accèder à l'ensemble du carnet d'adresse et de s'autodiffuser par le réseau : ce type de virus est appelé ver (ou worm en anglais).

Exemples  : Star Office, Jerusalem

 

Comment lutter contre les virus de macros ?

Réglez les options de sécurité dans des programmes comme Excel, Access ou Word sur "Elevée".

N'exécutez jamais les macros sur un fichier dont vous ne connaissez pas la source.

Les virus de macros sont difficilement détectés par les anti virus classiques !

 

 

 

Les virus de boot

 

boot

On appelle virus de boot, un virus capable d'infecter le secteur de démarrage d'un disque MBR (soit Master Boot Record), c'est à dire un secteur du disque copié dans la mémoire au démarrage de l'ordinateur, puis exécuté afin d'amorcer le démarrage du système d'exploitation.

Il sont en général coriaces !

Exemples  : Hurri, Alcon, Brain, Form, Hare, OneHalf

 

 

Les rétro-virus, ou virus "flibustier"

 

retrovirus

On appelle "rétrovirus" ou "virus flibustier" (en anglais bounty hunters) un virus ayant la capacité de modifier les signatures des antivirus afin de les rendre inopérants.

Exemple  : CrazyEddie

 

 

 

Les virus polymorphes

 

polymorphe

Etant donné que les antivirus détectent (entre autres) les virus grâce à leur signature (la succession de bits qui les identifie), certains créateurs de virus ont pensé à leur donner la possibilité de modifier automatiquement leur apparence, tel un caméléon, en dotant les virus de fonction de chiffrement et de déchiffrement de leur signature de façon à ce que seuls ces virus soient capables de reconnaître leur propre signature.

Ce type de virus est appelé virus polymorphe (ce mot provenant du grec signifie qui peut prendre plusieurs formes).

Exemples  : Induc, Conflicker, Zhelatin

 

 

 

Les virus mutants

 

mutant

En réalité, la plupart des virus sont des clones, ou plus exactement des "mutants", c'est-à-dire des virus ayant été réécrits par d'autres utilisateurs afin d'en modifier leur comportement ou leur signature.

Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même virus le rend d'autant plus difficile à repérer dans la mesure où les éditeurs d'antivirus doivent ajouter ces nouvelles signatures à leurs bases de données.

Exemples  : Tibs, Sdbot, Ircbot,

 

 

 

passez_le_test

 

 

greg

 

 

1000 caractères restants