Un Virus Informatique est un petit programme capable d’infecter et de modifier d’autres programmes. Le virus informatique contient une fonctionnalité malveillante (payload) cachée qui se déclenche ou s’initialise lors de son exécution. Dans de nombreux cas, le virus informatique s’installe à l’insu de l’utilisateur et modifie les paramètres du système pour ensuite s’exécuter à chaque démarrage de la machine. Il agit alors de manière discrète et continue. Télécharger Kaspersky Antivirus Gratuit 2023 Pour Windows 10
1. Les grandes familles des Virus Informatiques
1.1 Programmes simples
Un programme simple contient une fonctionnalité malveillante (payload) cachée qui se déclenche ou s’initialise lors de son exécution. Il n’y a pas propagation. En un seul exemplaire, ce programme doit être introduit dans l’ordinateur ciblé.
L’action induite peut avoir un caractère destructif ou simplement perturbateur. Elle peut être immédiate ou retardée dans le temps. Dans de nombreux cas, le programme appelé s’installe à l’insu de l’utilisateur et modifie les paramètres du système pour ensuite s’exécuter à chaque démarrage de la machine. Il agit alors de manière discrète et continue.
On retrouve dans cette catégorie :
– les Bombes logiques.
– Chevaux de Troie.
– Portes dérobées.
1.1.1 Bombe logique
C’est un programme contenant une fonction destructrice cachée et généralement associée à un déclenchement différé. Cette fonction a été rajoutée de façon illicite à un programme hôte qui conservera son apparence anodine et son fonctionnement correct jusqu’au moment choisi par le programmeur malveillant. Elle peut être conçue pour frapper au hasard ou de manière ciblée.
a. Exemple de bombe logique ciblée : un programmeur insère dans le programme de paie de l’entreprise qui l’emploie une fonction de destruction dont l’exécution est déclenchée si son nom disparaît du fichier du personnel.
b. Exemple de bombe logique aveugle : un programmeur insère dans un logiciel public distribué gratuitement sur Internet une routine de destruction qui se déclenche chaque 1er avril.
1.1.2 Chevaux de Troie et portes dérobées (en anglais backdoors)
Chevaux de Troie est un virus informatique qui permet d’obtenir un accès non autorisé sur les équipements qui les contiennent.
On utilise le terme de cheval de Troie lorsqu’il s’agit d’une fonction cachée et rajoutée au sein d’un programme légitime quelconque. Le terme de porte dérobée s’applique à tout programme malveillant spécifiquement dédié à cet effet.
1.2 Programmes auto-reproducteurs
La finalité d’un programme auto-reproducteur est identique à celle d’un programme simple. Il s’agit d’exploiter, de perturber ou de détruire. A sa première exécution, le programme cherche à se reproduire. Il sera donc généralement résident en mémoire et, dans un premier temps, discret. Si elle existe, la fonctionnalité malveillante (payload) s’effectuera dans un délai plus ou moins court et sur un critère quelconque prédéfini (trigger).
Pour de nombreux virus la perturbation se limite à la reproduction et à tous les ennuis qu’elle engendre. Il n’y a pas à proprement parler de fonction malveillante (absence de payload). Les vers et les virus forment à eux seuls la famille des programmes auto-reproducteurs, on les etrouve au premier rang des infections informatiques.
2. la distinction entre ver et virus
– Un ver (d’après la définition de Peter Denning en 1990) est un programme capable de fonctionner de manière indépendante. Il se propage de machine en machine au travers des connexions réseau. Un ver ne modifie aucun programme, il peut cependant transporter avec lui des portions de code qui pourront, par la suite, effectuer une telle activité (virus par exemple).
– Un virus (d’après Fred Cohen en 1984/87) est un programme capable d’infecter d’autres programmes en les modifiant pour y inclure une copie de lui-même qui pourra avoir légèrement évolué. Le virus ne peut pas fonctionner d’une manière indépendante. L’exécution du programme hôte est nécessaire à son activation. Par analogie avec son cousin biologique, il se multiplie au sein de l’environnement qu’il cible et entraîne corruption, perturbation, et/ou destruction.
3. Classement des Virus Informatique par cible
Il existe quatre catégories principales de virus. Elles ont chacune une cible bien précise :
– Les virus programme, dont le vecteur de contamination principal est constitué par les exécutables,
– virus système, dont le vecteur de contamination est le secteur de partition ou le secteur de démarrage (Boot Sector),
– Les virus interprétés qui regroupent les virus de macro sur les documents et les virus de Script utilisant un langage de programmation particulier qui se rapprochent de la programmation par lot (batch),
– Les vers qui, comme nous l’avons vu, sont les infections typique des réseaux.
De nombreux virus cumulent les cibles et renforcent ainsi leur capacité de contamination. Ils prennent alors les noms de virus multipartites ou multifonction.
3.1 Virus programme
Les virus programme cherchent à infecter les exécutables binaires compilés. Le principe de fonctionnement est le suivant :
1) le virus est présent dans un fichier exécutable,
2) lorsque celui-ci est exécuté, le virus choisit et contamine un ou plusieurs autres fichiers,
3) il agit généralement par ajout entraînant une augmentation de taille,
4) s’il se maintient résident en mémoire, il infecte d’autres fichiers à l’exécution, ou simplement
lors d’une manipulation.
3.2 Virus système
Préalablement à l’apparition des macro-virus, les virus systèmes étaient -de loin- les plus répandus. Ils infectent les zones systèmes des disques durs ou des disquettes :
– secteur de partitions (MBR, Master Boot Record) pour les disques durs,
– secteur d’amorce (Boot, Dos Boot Record) pour les disques durs et les disquettes.
3.3 Virus multipartites
Un virus multipartite cherche à infecter les zones systèmes des disques durs ou des disquettes et les fichiers exécutables. Selon des critères propres à chaque virus, l’une ou l’autre des techniques d’infection est mise en œuvre à un instant donné. Le but recherché est une plus grande propagation.
De tels virus infectent, par exemple, le secteur de partition du système puis, une fois résidant en mémoire vive, infectent les fichiers exécutables situés sur des unités logiques.
Exemples : Tequila, One-Half.
3.4 Virus interprétés
4.4.1 Virus de macro
Les virus interprétés regroupent principalement les virus de macro et les virus de script. Du fait de la sophistication des outils de bureautique actuels, tout fichier de données doit être considéré comme potentiellement dangereux.
3.4.2 Virus de script
Un langage de script est un langage de programmation spécialisé destiné à contrôler l’environnement d’un logiciel. Interprété, il peut donc être exécuté sur toute machine disposant de l’interpréteur approprié. Deux des plus utilisées sont VBScript et JavaScript.
Lire aussi : Tout savoir sur le Virus