TYPES DE VIRUS

Le virus macro

Avant de commencer toute analyse, il faut définir la notion MACRO. « Une macro est une série de commandes destinée a effectuer automatiquement quelques tâches d’une application spécifique ». (Définition : Intro to macro viruses, site de l’antivirus Dr Solomon). Certaines applications autorisent à leurs macros un accès aux fichiers, c’est à partir de ces programmes qu’il est possible de créer des macros se recopiant par elles même. On peut dès lors les appeler virus (C.F.R. def. Virus). Le premier virus macro (DMV : infecte WORD) fut écrit par J. McNamara dans un but de démonstration. Le but était de prouver qu’il est possible de créer de tels virus. Les premiers virus macros destructeurs apparurent en été; 1995. Ils infectaient presque tous Word. Atom, dont le script se trouve en analysé sur ce site est un des premiers virus macro. Le nombre de virus macro devrait avoisiner les 1 800 (on en découvre plus de 5 chaque jour).

Le fonctionnement d’un virus macro est relativement simple : Soit, il recherche des fichiers cible et les infecte (comparable aux virus classiques), soit, le virus infecte un fichier appelé NORMAL.DOT Ce fichier pourrait être comparé au secteur d’amorçage du programme. (voir analyse : il se copie dans le normal.dot). Celui-ci peut aussi contenir des macros. Or il existe des noms de macros qui sont exécutés automatiquement lors d’une action donnée (AutoExit, quand on quitte le programme ; AutoClose, lorsque l’on ferme un document, AutoOpen, quand on ouvre un fichier, ...). C’est donc ainsi que le virus se répand. Les virus infectant ces macros peuvent être comparés aux virus furtifs qui infectaient les interruptions, les fonctions du système. De manière générale les virus ont quelques caractéristiques supplémentaires qui les caractérisent :

- Infection ou non du fichier NORMAL.DOT (ou équivalent).
- Modification des menus. Save As (sauvant le virus en plus du document), par exemple.
- Emploi de raccourcis clavier, c’est à dire qu’ils entrent en action dès qu’on tape une certaine combinaison de touches (Pex. : « t » ou « s », « CTRL + C », ...).
- Sauvegarde de la macro dans ou hors du fichier infecté.
- Certains dissimulent le menu macro empèchant le contrôle des macros. Et d’autres modifient ce menu de telle façon qu’il semble vide.(cfr virus furtifs)
- Virus et/ou données encryptées par mot de passe (cfr virus polymorphes)
- Infection de fichiers exécutables (com, exe, ...).

« L’avantage » de ces virus est l’évolution des macro. En effet, un virus prévu pour Word 2.0 ne fonctionnera probablement plus sous Word 6.0.

La plupart des virus macro se limitent à infecter les fichiers document mais il en existe aussi certains infectant les fichiers exécutables de DOS (et donc Windows aussi ! exemple : Anarchy.6093). Ces virus sont à la fois classiques et des virus macro.

Les virus "boot sector"

Cette catégorie regroupe les virus infectant le Secteur d’amorçage du disque (disque dur, disquettes, disque zip, ...) :

Il s’agit d’un type de virus infectant la partie faisant démarrer l’ordinateur. Ces types de virus sont de nos jours peu contagieux. Pour qu’un ordinateur soit infecté, il doit être démarré avec un secteur d’amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd’hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l’ordinateur. Le secteur d’amorçage du disque est le premier secteur lu au démarrage de l’ordinateur. Ce genre de virus a donc un contrôle complet de la machine, puisqu’il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l’« incrustation » du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l’ordinateur, jusqu’au moment où on l’éteint. Mais pourquoi le secteur d’amorçage d’un ordinateur n’est pas protégé contre l’écriture ? Le secteur d’amorçage est typique au système d’exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l’utilisateur désire changer de système d’exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d’amorcer sa machine avec une disquette ou un disque dur de quelqu’un d’autre.

Les virus fichiers

1. Virus Non résidents :
C’étaitaient les virus les plus répandus il y a quelques années. Lors de l’infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l’exécution du fichier, c’est le code viral qui est d’abord lancé. Ce code viral cherche d’autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s’agit donc d’un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu’il contient le virus en plus du programme.

2. Virus résidents :
Il s’agit de virus qui restent présent dans la mémoire de l’ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d’une source infectée, une source douteuse, soit d’un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu’un programme est exécuté et qu’il n’est pas infecté, le virus l’infecte. La différence avec celui vu en point 1 est qu’il n’y a pas besoin de procédure pour trouver une cible, puisque c’est l’utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu’à l’arrêt complet de la machine. Certains d’entre eux peuvent résister au simple redémarrage (c-à-d : CTRL – ALT – DEL).

Schéma de l’infection du virus classique :

(Les numéros correspondent à l’ordre d’exécution du fichier)

Si l'ordre du fichier sur le disque est différent de l'ordre d'exécution, c'est pour des raisons pratiques : étant donné que le virus s'écrit par dessus le programme, il doit le garder intact. Cependant, le virus doit s'exécuter avant le programme. C'est pourquoi il remplace le code de démarrage du programme pour y mettre le sien tout en prenant soin de replacer le code de démarrage du programme à la fin de celui-ci pour pouvoir continuer à l'employer. Par la suite, le virus ajoute encore, éventuellement le reste de son code qui n'aurait pas pu être placé au début du programme, faute de place. On peut cependant remarquer que l'ordre d'exécution n'est pas perturbé et se fait selon l'ordre suivant : virus - programme (suivre l'ordre des chiffres).

3. Virus multiformes :
Virus regroupant les caractéristiques des virus parasites et des virus du secteur d’amorçage.

4. Les autres caractéristiques des virus :

Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractéristiques vues ci-dessus. Plus le virus a de caractéristiques, plus il sera dangereux, compliqué, vorace en ressources de l’ordinateur (du à sa complexité). Ce qui signifie gênant sans même être actif, et surtout difficile à détecter par un antivirus (trompé, rendu inactif, ...) mais aussi plus facilement repérable, et ce, dû à la baisse des performances de la machine.

sources : Martin Melchior sur http://www.lesvirus.com/

Les virus VBS script

Ce type de virus se propage par mail à l'aide d'un fichier attaché (type exe, vbs etc..) bien souvent en ayant un nom évocateur. Ces nombreux virus sont en langage Visual Basic. Ils sont de type Vbs (Visual Basic Script) ou plus simplement « script ». Par exemple, le désormais célèbre I Love You et le virus KakWorm sont écrits dans ce langage. Encore une fois, par une manipulation très simple, vous pouvez vous mettre à l'abri de ce genre d'intrus. Pour cela, il suffit de supprimer la référence faite aux fichiers portant l'extension .vbs. On élimine ainsi tout risque de contamination.

Sous Windows 98, sélectionnez le Panneau de configuration à partir du menu Démarrer, puis allez dans Paramètres. Double-cliquez sur l'icôneAjout et suppression de programmes puis, sélectionnez l'onglet Installation de Windows et l'option Accessoires. Enfin, trouvez le module intitulé Exécution de script et décochez la case correspondante.

Sous Windows Millennium, à partir du menu Démarrer, sélectionnez Panneau de configuration. Ouvrez alors le fichier Options des dossiers et choisissez l'onglet Type de fichiers . Repérez le(s) fichier(s) portant l'extension .vbs ou .vbe et supprimez-le(s).

Mais le moyen le plus sûr pour l'instant reste la prudence en n'ouvrant pas les pièces jointes aux mails que vous recevez. Sans exécuter le programme, aucun risque d'infection. Néanmoins, une nouvelle génération de virus ne nécessitant pas l'ouverture de leur fichier pour inoculer la machine commencent à faire leur apparition. D'un autre calibre que les virus "classiques", ceux-ci sont infiniment plus dangereux...

Retour | Haut