TYPES  DE  VIRUS

     

 

 

          Il existe différents types de virus qui se distinguent par leur "lieu de vie" et leur mode d'action, voici une liste de ces  virus et leurs caractéristiques :

 

 

Les virus de secteur d'amorçage :

Les virus de secteur d'amorçage se tapissent dans le premier secteur d'un disque physique (soit dans la zone d'amorce principale, soit dans la zone d'amorce propre à chaque partition). A cause de la structure inhérente au DOS, le virus se trouve chargé en mémoire avant les fichiers système. Le virus peut alors contrôler l'ensemble des interruptions DOS et se ménager des opportunités inouïes de reproduction et de destruction. 

Les virus de secteur d'amorçage modifient soit le contenu du secteur d'amorçage du disque lui-même ou celui du secteur d'amorçage du DOS en modifiant leur contenu par les informations qu'il désire. Le contenu original du secteur est déplacé vers une autre zone du disque et le virus s'octroie cet emplacement. Le virus redirige certaines opérations vers l'emplacement où il a inscrit les données du secteur original : le virus est par conséquent exécuté en premier, ce qui lui donne toute latitude pour se loger en mémoire avant que la séquence d'amorçage ne se poursuive.

Les virus de secteur d'amorçage se chargent généralement en mémoire et y demeurent jusqu'à ce que l'ordinateur soit mis hors tension. 

 

Les virus à infection de fichiers (Parasites) :

Les virus à infection de fichiers se logent généralement au sein des fichiers de type .COM, .EXE, .BIN ou .SYS et sont par conséquent exécutés à chaque fois qu'un fichier infecté est lancé. Il ne sont habituellement actifs qu'au moment du premier chargement du premier fichier infecté et ne posent guère de problèmes aux programmes antivirus standards.

Les virus à infection de fichiers se greffent à un fichier afin de pouvoir être exécutés. Les virus parasitaires n'ont pas la possibilité de s'exécuter ou de se reproduire d'eux-mêmes. Il doivent modifier le contenu d'un fichier exécutable (.EXE, .COM) afin de pouvoir exercer un contrôle sur son mode d'opération. L'ordre des opérations habituellement exécutées est modifié de manière que celles dictées par le virus soient toujours exécutées en priorité. Le processus d'infection est la plupart du temps invisible par l'utilisateur, car une fois le virus exécuté, le programme lancé continue à fonctionner normalement. Certains virus se greffent à la fin d'un fichier programme, d'autres au début et d'autres au début et à la fin.

 

Les virus non résidents mémoire :

Les virus qui ne résident pas en mémoire se greffent à des fichiers .COM, .EXE ou .SYS et sont exécutés à chaque fois que le fichier infecté est lancé. 

Le code du virus est entièrement activé dès la première étape du lancement d'un programme infecté. D'autres programmes se trouvent alors infectés et servent à leur tour de vecteurs d'infection lorsqu'ils se trouvent exécutés. Les taux d'infection par ce genre de virus sont aussi élevés que ceux des virus résidents parce que leur taille est petite et parce qu'ils ne modifient pas les tables d'interruptions et ne se placent pas en mémoire. La méthode d'infection est, de plus, hautement imprévisible.

 

Les virus résidents mémoire :

Les virus résidents mémoire se logent dans la mémoire vive et viennent parasiter le fonctionnement de diverses fonctions de bas niveau (interruptions). Depuis leur localisation dans la RAM, ces virus peuvent causer des dommages importants tout en restant à l'abri de certains programmes antivirus. 

La première fois qu'un virus résident mémoire est exécuté, il vérifie s'il n'est pas déjà chargé en mémoire. Si tel n'est pas le cas, il va se loger dans la mémoire conventionnelle ou la mémoire haute. A partir de ce moment, le virus va infecter systématiquement tous les programmes exécutés qui ne le sont pas déjà. Ce mode d'infection est à la fois rapide et efficace et engendre une diffusion du virus inégalée. 

Le seul moyen pour déloger les virus de la mémoire est de couper toute source d'alimentation de l'ordinateur infecté. Un redémarrage soft n'est pas suffisant, car certains virus savent résister à ce genre d'opérations.

 

Les virus multiformes :

Les virus multiformes possèdent les caractéristiques des virus de secteur d'amorçage et des virus parasitaires. Ils peuvent infecter les fichiers .COM et .EXE ainsi que le secteur d'amorçage de disquettes et de disques durs. 

Démarrer un ordinateur à partir d'une disquette infectée par un virus multiforme va avoir pour effet de placer le virus en mémoire vive et d'infecter le secteur d'amorçage du disque dur de l'ordinateur. 

En utilisant conjointement ces deux méthodes d'infection, le virus va facilement et rapidement infecter l'ensemble des périphériques d'un PC. Peu de virus de cette sorte existent, mais ils sont responsables d'une grande part des infections virales recensées.

 

Les virus furtifs :

Les virus furtifs, autrement nommés " intercepteurs d'interruptions ", prennent le contrôle des interruptions principales du DOS pour faire croire au DOS et à un grand nombre de programmes antivirus que l'ensemble des fichiers sont sains (Cela veut dire que les programmes qui essaient de lire des fichiers ou des secteurs infectés en voient la forme originale et non infectée, au lieu de la forme actuelle) . Cette prise de contrôle de la table d'interruptions s'effectue au tout début de la zone mémoire. Lorsqu'une application émet une requête d'interruption, celle-ci est habituellement redirigée vers la table d'interruptions qui oriente les commandes et permet au programme de fonctionner normalement. Dans le cas où un virus furtif intercepte ces requêtes, il a alors la possibilité de les rediriger où bon lui semble et par conséquent d'effectuer toutes les opérations à sa guise. 

Cette capacité qu'ont les virus furtifs de contrôler la table d'interruptions leur permet de se cacher de manière extrêmement efficace. Leur détection est très difficile.

 

Les virus polymorphes (Mutants) :

Les virus polymorphes cryptent ou modifient le code qui les compose à chaque fois qu'ils se reproduisent : aucune copie d'un de ces virus ne ressemble aux autres. La plupart des systèmes de détection de virus sont mis en échec par ce genre de virus, car ils se réfèrent à une base de signatures de virus connus. 

Les virus polymorphes ont vu leur popularité augmenter suite au développement d'un " moteur de mutation ". Le Moteur de Mutation a été mis au point par une personne ou un groupe se faisant appeler " Dark Avenger " (le vengeur noir). Il a été diffusé sur plusieurs serveurs BBS et son code de programmation a été rendu public. Il est livré avec un jeu complet d'instructions permettant de transformer n'importe quel virus normal en virus polymorphe.

 

Les virus réseau :

Les virus réseau prennent pour cible les systèmes d'exploitation pour réseaux (en général NetWare) et utilisent ensuite le réseau pour se répandre. Il prennent le contrôle des interruptions de NetWare pour modifier l'effet des diverses requêtes d'interruptions.

 

Les virus flibustiers (bounty hunters) :

Les virus flibustiers prennent pour cible des programmes antivirus spécifiques et les mettent en échec. Ce type de virus est extrêmement rare mais est parfois très efficace contre certains programmes antivirus.

 

Les virus macro :

Les virus macros ont pour cible le fichier "normal.dot" qui est utilisé pour toute exécution de macro Word ou Excel. Ainsi toute nouvelle macro créée avec un fichier "normal.dot" infecté sera infectée. Les conséquences sont variables allant du simple affichage d'une boîte de dialogue à la suppression de fichiers.

 

Les virus composites :

Les virus composites sont des virus regroupant toutes les caractéristiques énoncées ci-dessus. Ils infectent à la fois les fichiers, les enregistrement principaux d'amorce et les secteurs d'amorce. Ces types de virus sont encore rares, mais leur nombre croît de façon exponentielle.

 

Les virus troyens :

Les virus troyens ne sont pas des virus autonomes, ceux-ci sont en fait des programmes de prise de contrôle d'un ordinateur distant (via la connexion internet). Ils existent sous 2 formes : soit celui qui vous veut du mal obtient votre adresse IP et à partir de là peut faire ce qu'il veut sur votre ordinateur et voir ce que vous voyez, soit vous recevez un programme (d'où la référence au cheval de Troie) qui une fois implanté sur votre disque permet la prise totale de contrôle de votre machine. 

 

Les virus créés sous Visual Basic :

Les virus écrits en VB Script utilisent les logiciels créés par Microsoft pour se répandre, en effet, toutes les applications Microsoft sont liées les unes aux autres par leur langage de programmation Visual Basic et son dérivé VB script. Ces virus sont d'actualité avec le célèbre ILoveYou dont le principe d'attaque est un programme écrit en VB Script qui, une fois en contact avec Outlook, le logiciel de gestion de courrier électronique de l'ensemble Office, lui commande d'envoyer une copie du message auquel il est attaché à chacune des adresses du répertoire. Melissa (qui a fait des ravages l'an dernier) attaquait en se servant des fonctions d'automatisation du traitement de texte Microsoft Word. D'autres virus se sont transmis via le tableur Microsoft Excel.  

 

  Sachez aussi qu'il n'y a que les fichiers actifs qui peuvent contenir des virus. C'est pour cela qu'il est impossible de trouver des virus dans les fichiers passifs tels que des images, des fichiers textes sans macro, des vidéos ou des fichiers sonores. 

 

Écrivez-nous :

 Retour au début : Page suivante :

Ecrivez-nous !

Retour début de la page !

Page suivante !