Virus

Un virus est un petit programme informatique situ dans le corps d'un autre, qui, lorsqu'on l'excute, se charge en mmoire et excute les instructions que son auteur a programm. La dfinition d'un virus pourrait tre la suivante : Tout programme d'ordinateur capable d'infecter un autre programme d'ordinateur en le modifiant de faon ce qu'il puisse son tour se reproduire.

Le vritable nom donn aux virus est CPA soit Code Auto-Propageable, mais par analogie avec le domaine mdical, le nom de "virus" leur a t donn. Les virus rsidents (appels TSR en anglais pour Terminate and stay resident) se chargent dans la mmoire vive de l'ordinateur afin d'infecter les fichiers excutables lancs par l'utilisateur. Les virus non rsidants infectent les programmes prsents sur le disque dur ds leur excution. Le champ d'application des virus va de la simple balle de ping-pong qui traverse l'cran au virus destructeur de donnes, ce dernier tant la forme de virus la plus dangereuse. Ainsi, tant donn qu'il existe une vaste gamme de virus ayant des actions aussi diverses que varies, les virus ne sont pas classs selon leurs dgts mais selon leur mode de propagation et d'infection. On distingue ainsi diffrents types de virus : Les vers sont des virus capables de se propager travers un rseau Les chevaux de Troie (troyens) sont des virus permettant de crer une faille dans un systme (gnralement pour permettre son concepteur de s'introduire dans le systme infect afin d'en prendre le contrle) Les bombes logiques sont des virus capables de se dclencher suite un vnement particulier (date systme, activation distante, ...)

Depuis quelques annes un autre phnomne est apparu, il s'agit des canulars (en anglais hoax), c'est--dire des annonces reues par mail (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilit de gagner un tlphone portable gratuitement) accompagnes d'une note prcisant de faire suivre la nouvelle tous ses proches. Ce procd a pour but l'engorgement des rseaux ainsi que la dsinformation.

Antivirus
Un antivirus est un programme capable de dtecter la prsence de virus sur un ordinateur et, dans la mesure du possible, de dsinfecter ce dernier. On parle ainsi d'radication de virus pour dsigner la procdure de nettoyage de l'ordinateur. Il existe plusieurs mthodes d'radication : La suppression du code correspondant au virus dans le fichier infect ; La suppression du fichier infect ; La mise en quarantaine du fichier infect, consistant le dplacer dans un emplacement o il ne pourra pas tre excut.

Dtection des virus

Les virus se reproduisent en infectant des applications htes , c'est--dire en copiant une portion de code excutable au sein d'un programme existant. Or, afin de ne pas avoir un fonctionnement chaotique, les virus sont programms pour ne pas infecter plusieurs fois un mme fichier. Ils intgrent ainsi dans l'application infecte une suite d'octets leur permettant de vrifier si le programme a pralablement t infect : il s'agit de la signature virale. Les antivirus s'appuient ainsi sur cette signature propre chaque virus pour les dtecter. Il s'agit de la mthode de recherche de signature (scanning), la plus ancienne mthode utilise par les antivirus. Cette mthode n'est fiable que si l'antivirus possde une base virale jour, c'est--dire comportant les signatures de tous les virus connus. Toutefois cette mthode ne permet pas la dtection des virus n'ayant pas encore t rpertoris par les diteurs d'antivirus. De plus, les programmeurs de virus les ont dsormais dots de capacits de camouflage, de manire rendre leur signature difficile dtecter, voire indtectable : il s'agit de "virus polymorphes". Certains antivirus utilisent un contrleur d'intgrit pour vrifier si les fichiers ont t modifis. Ainsi le contrleur d'intgrit construit une base de donnes contenant des informations sur les fichiers excutables du systme (date de modification, taille et ventuellement une somme de contrle). Ainsi, lorsqu'un fichier excutable change de caractristiques, l'antivirus prvient l'utilisateur de la machine. La mthode heuristique consiste analyser le comportement des applications afin de dtecter une activit proche de celle d'un virus connu. Ce type

d'antivirus peut ainsi dtecter des virus mme lorsque la base antivirale n'a pas t mise jour. En contrepartie, ils sont susceptibles de dclencher de fausses alertes.

Types de virus
Les virus mutants
En ralit, la plupart des virus sont des clones, ou plus exactement des virus mutants, c'est--dire des virus ayant t rcrits par d'autres utilisateurs afin d'en modifier leur comportement ou leur signature. Le fait qu'il existe plusieurs versions (on parle de variantes) d'un mme virus le rend d'autant plus difficile reprer dans la mesure o les diteurs d'antivirus doivent ajouter ces nouvelles signatures leurs bases de donnes.

Les virus polymorphes

Dans la mesure o les antivirus dtectent notamment les virus grce leur signature (la succession de bits qui les identifie), certains crateurs de virus ont pens leur donner la possibilit de modifier automatiquement leur apparence, tel un camlon, en dotant les virus de fonction de chiffrement et de dchiffrement de leur signature, de faon ce que seuls ces virus soient capables de reconnatre leur propre signature. Ce type de virus est appel virus polymorphe (mot provenant du grec signifiant qui peut prendre plusieurs formes).

Les rtrovirus
On appelle rtrovirus ou virus flibustier (en anglais bounty hunter) un virus ayant la capacit de modifier les signatures des antivirus afin de les rendre inoprants.

Les virus de secteur d'amorage

On appelle virus de secteur d'amorage (ou virus de boot), un virus capable d'infecter le secteur de dmarrage d'un disque dur (MBR, soit master boot record), c'est--dire un secteur du disque copi dans la mmoire au dmarrage de l'ordinateur, puis excut afin d'amorcer le dmarrage du systme d'exploitation.

Les virus trans-applicatifs (virus macros)

Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de script commun pouvant tre insr dans la plupart des documents pouvant contenir des macros, il s'agit de VBScript, un sousensemble de Visual Basic. Ces virus arrivent actuellement infecter les macros des documents Microsoft Office, c'est--dire qu'un tel virus peut tre situ l'intrieur d'un banal document Word ou Excel, et excuter une portion de code l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accder au systme d'exploitation (gnralement Windows). Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc tre imaginables sur de nombreuses autres applications supportant le VBScript. Le dbut du troisime millnaire a t marqu par l'apparition grande frquence de scripts Visual Basic diffuss par mail en fichier attach (reprables grce leur extension .VBS) avec un titre de mail poussant ouvrir le cadeau empoisonn. Celui-ci a la possibilit, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accder l'ensemble du carnet d'adresse et de s'autodiffuser par le rseau. Ce type de virus est appel ver (ou worm en anglais).