|
Non résident / Résident
|
Système
|
Pacthwork (1)
|
Cache-cache
|
|
|
|
|
|
|
Worms
|
Anti anti-virus
|
Cheval de troie
|
Patchwork (2)
|
|
|
|
|
|
|
Microsoft: la menace
|
Bombe logique
|
Info ou Intox
|
Attaque sur le materiel
|
|
|
|
|
|
Virus Non résident
/ Résident
Il s'agît d'un virus qui s'appuie sur une spécificité
du DOS qui concerne la priorité d'exécution des fichiers suivant
leur type. Ainsi quand on lance un exécutable, le DOS cherche d'abord
à exécuter les .com, puis les .exe et enfin les .bat.
Ces virus se dupliquent en créant un .com qui porte le même nom
qu'un .exe ou .bat.
Virus avec recouvrement
( En anglais " overwritting virus ")
<up>
C'est un virus qui se recopie au début du fichier à
infecter, en écrasant ce dernier. La taille du fichier reste inchangé
mais le contenu original de ce dernier est définitivement perdu. Le
fichier ne fera qu'exécuter le virus.
Virus parasite
<up>
Ce type de virus n'affecte pas l'exécution du fichier
original. Pour cela, il se copie à la fin du fichier et par une routine
de saut placé dans l'entête, le code du virus est exécuté
avant la partie principale du fichier.
Il peut infecter les fichiers de type .com, .exe, .sys, .bin.
Il est beaucoup plus facile d'infecter un fichier de type .com que de type
.exe. En effet, les fichiers de types .com sont chargés tel quel en
mémoire. Les fichiers de type .exe ont un " header " plus
compliqué à manipuler pour que le chargement en mémoire
se passe bien.
Virus non résident
<up>
Il s'agît de virus de type parasite qui ne peuvent opérer
que quand ils sont exécutés. A la première exécution,
ils sont activés. Ils infectent alors les autres fichiers qui activeront
eux mêmes de nouveau le virus quand ils seront à leur tour exécutés.
Virus résident
ou TSR (Terminate and Stay Resident) <up>
Un virus résident est logé dans la mémoire
vive. Il dort et est activé suite à un évènement
du type : une suite de caractère saisit au clavier, une heure, une
date, un autre programme essayant d'ouvrir un fichier, un simple DIR, …..
Pour cela, il lit les vecteurs d'interruptions du système et remplace
l'adresse du programme associé à l'interruption par sa propre
adresse. A chaque fois que l'interruption sera appellé, c'est le virus
qui s'exécutera et qui ensuite redonnera le contrôle aux vrais
programmes.
Sur un PC, il y a 255 interruptions dont 15 matériels.
Le seul moyen pour déloger les virus de la mémoire
est de couper toute source d'alimentation de l'ordinateur infecté.
Un redémarrage soft n'est pas suffisant, car certains virus savent
résister à ce genre d'opérations.
Virus système
Secteur d'amorçage
<up>
A l'allumage, le PC exécute le programme contenu dans
la ROM, l'EPROM ou la flash EPROM qui teste les différentes unités
physiques à la recherche du disque dur.
Il charge ensuite en RAM les premiers secteurs du disque dur afin de les exécuter.
Ce secteur d'amorce est le MBR. (MASTER BOOT RECORD).
Le virus cherche donc à recopier son code dans cette partie du disque
dur ou de la disquette.
Le principe de fonctionnement est le suivant:
-
Le virus est présent dans le secteur de BOOT d'une
disquette
- Il contamine le PC lors d'un BOOT sur cette disquette
- Il déplace ou écrase le code original du BOOT ou du MBR
- Il remplace ce code par le sien
- Il sauvegarde le code excédent(du virus) dans des secteurs libres
ou occupés du disque dur
-
A partir de ce moment là, à chaque démarrage
de l'ordinateur, le virus est chargé en mémoire, et peut infecter
de nouvelles disquettes
Il est théoriquement possible de modifier le contenu
d'une flash EPROM, pour que le virus se charge encore avant le secteur de
partition. Cependant, dans la pratique,cela se révèle impossible
du fait des nombreuses incompatibilités entre les différentes
ROMs.
Virus de FAT <up>
Ce genre de virus s'attaque à la Table d'allocation des
fichiers pour que dès qu'on lance un exécutable, on lance d'abord
le virus.
Amorçage du système
<up>
Le virus contamine les fichiers de démarrage du système
d'exploitation, ce qui permet sa mise en mémoire avant la fin du chargement
du système.
Un premier patchwork
Virus multiforme <up>
C'est un virus possédant les facultés d'infection
des secteurs d'amorçage des Virus système et celle de parasitage
des Virus parasites. Ils peuvent ainsi, par exemple, être placés
en mémoire à la suite d'un boot et contaminer les fichiers .com
et .exe. qui eux mêmes activeront le virus lors de leur exécution.
Virus dropper <up>
C'est un programme qui dépose les virus. Il peut lui
même être un virus, ainsi certain virus macro déposent
des virus de boot, qui peuvent à leur tour lancer l'infection de virus
macro…
Virus qui se cache
Virus furtif <up>
Ce virus peut modifier les appels systèmes pour qu'ils
effacent les renseignements le concernant tels que la taille, la présence
d'un dossier, sa présence en mémoire, sa signature, etc….
Cela permet de le cacher des outils chargés de le détecter.
(Anti-virus).
Pour cela, il contrôle la table d'interruption en s'attaquant en particulier
aux interruptions utilisées par les antivirus.
Une autre méthode employée consiste à obliger
le logiciel d'antivirus à examiner un secteur non infecté, dont
le virus a fait une copie au préalable.
Virus crypté
<up>
La définition, dans le cas des parasites, change un peu
du standard. Le cryptage pour les virus ou les vers signifient généralement
leur aptitude à rendre leur code suffisamment complexe, voir auto-modifiant
pour que l'analyse soit extrêmement difficile. Il existe ainsi des virus
qui vont prendre des données, les décrypter, les poser dans
une zone exécutable, les exécuter. Celles-ci vont à leur
tour prendre une partie du code, le changer, etc.. etc...
Ce virus est particulièrement redoutable. Il sait se
dissimuler aux yeux de l'antivirus, grâce au cryptage de son code à
chaque duplication, il va même jusqu'à crypter aussi le programme
de cryptage.
Virus polymorphe <up>
Modifie son code à chaque reproduction pour rendre son
identification difficile. (Signature différente à chaque fois)
La signature des virus a rapidement été un de leur problème.
Les sociétés d'anti-virus n'avaient qu'à comparer une
chaine d'octets pour savoir quel était le virus concerné. D'où
l'idée qu'ont eu certains de modifier légèrement la descendance
de leur virus pour rendre la signature plus complexe. La modification peut
être faite par différents moyens :
-
Ajout d'instruction inutile (fonction NOP en assembleur,
boucle d'attente, calcul sans intérêt)
-
Changer la manière de coder une intruction (a=b*c
est équivalent à a=c*b ou encore à a=c+c*(b-1))
Exemple d'un virus polymorphe et crypté
-
Le virus se présente sous une forme cryptée.
Dès son activation, un sous programme décrypte le corps du
virus en employant la première clé de cryptage.
-
Sa première tâche : rechercher de nouveaux
fichiers à contaminer.
-
Le virus se duplique. Dans un premier temps, il génère
aléatoirement un nouveau sous-programme de cryptage ainsi qu'une
nouvelle clé.
Le sous programme de cryptage et la clé sont utilisés pour
crypter le reste du corps.
-
Un nouveau virus polymorphe complètement différent
du premier est créé.
On peut ainsi avoir plus de 4 milliards de combinaisons.
Les virus polymorphes ont vu leur popularité augmenter
suite au développement d'un " moteur de mutation ". Le Moteur
de Mutation a été mis au point par une personne ou un groupe
se faisant appeler " Dark Avenger " (le vengeur noir).
Il a été diffusé sur plusieurs serveurs BBS et son code
de programmation a été rendu public. Il est livré avec
un jeu complet d'instructions permettant de transformer n'importe quel virus
normal en virus polymorphe.
Worms
Virus réseaux <up>
Le rôle d'un vers n'est pas de se multiplier sur le disque
dur mais de se multiplier en mémoire et à travers un réseau.
Les vers sont des virus modifiés qui nécessitent
des connexions réseaux pour se propager. Certains virus génériques
sont dotés de fonction de ver, tel QAZ. Les exemples de ver purs se
trouvent généralement sur unix :
Le ver de Morris "l'original"
Le ver Ramen
Le ver Lion
Le ver Adore
Mais de récents événements ont montré la facilité
de propagation de ces vers sur Windows NT :
Code Rouge (CodeRed) version 1, 2 et 3
NIMDA
On pourra aussi noter que certains virus macro ou exécutables sont
dotés de fonction d'appel automatique à la messagerie électronique,
engendrant des réplications par réseau (ex : Iloveyou, bubbleboy,SIRCAM).
Anti anti-virus
Virus flibustier
(bounty hunters) <up>
Les virus flibustiers prennent pour cible des programmes antivirus
spécifiques et les mettent en échec. Ce type de virus est extrêmement
rare mais est parfois très efficace contre certains programmes antivirus.
C'est généralement un virus segmenté qui, une fois qu'il
a neutralisé son agresseur poursuit son oeuvre.
Cheval de Troie
Trojan <up>
Le cheval de Troie utilise le principe d'infection d'un système
par l'intermédiaire d'un autre programme qui se veut intéressant
pour l'utilisateur.
C'est un virus de type résident.
Il peut avoir deux modes d'actions différents qui peuvent être
combinés.
Autonome : Sniffeur de mots de passe, destructions de fichiers etc…
Serveur : Il ouvre des connections sur la machine infectée.
Le pirate en connaissant l'adresse IP de la victime ainsi que le port d'écoute
du virus, peut prendre le contrôle de la machine.
Un deuxième patchwork
Virus composite <up>
Mélange de tous les virus ci-dessus.
Microsoft : La menace
Virus macro
<up>
Il contamine les fichiers " Normal.dot " ou "
Xlouvrir " car ce sont des fichiers consultés aux démarrages
des applications de type macro.
Ainsi, les macros ne sont pas elles-même contaminées mais provoquent
l'activation du virus à leur exécution.
Ils sont d'autant plus dangereux qu'il existe la compatibilité ascendante
et descendante pour toutes les applications microsoft. Il peut même
passé de windows à mac sans problème.
Virus visual basic <up>
Toutes les applications Microsoft sont liées les unes
aux autres par leur langage de programmation Visual Basic et son dérivé
VB script.
Exemple de ce que peut faire I love you.
Bombe logique
Boummmmm <up>
Les bombes logiques. Ce sont des parties de programme qui effectuent
une action nuisible sous certaines conditions (de date, de longueur de fichier,
de disparition d'un nom d'un fichier du personnel). On les trouve dans les
virus et dans les programmes que laissent certains programmeurs qui ont peur
de se faire renvoyer.
Info ou intox ?
Les Hoaxes <up>
Ce sont de faux virus. Vous recevez un mail qui vous dit attention
n'ouvrez pas votre courrier, etc, etc.. dans cette catégorie : PENPAL
GREETINGS, GOOD TIMES, JOIN THE CREW, etc,
Sachez que le fait de lire un mail ne peut JAMAIS infecter un disque dur,
à moins d'avoir une interpretation automatique des messages par un
logiciel (si vous utilisez Outlook, vous tombez malheureusement dans cette
catégorie)
Il y a aussi des faux vrais virus qui font croire à la présence
d'un virus, qui propose un moyen d'éradication, qui lui même
infecte le système. Il s'agît alors d'une startégie d'infection
et non pas d'un virus en soit.
Les attaques sur le matériel
Attaque du CMOS <up>
Certains virus très rares sont capables d 'attaquer directement
les données inscrites dans le CMOS.
Le CMOS est une mémoire présente sur la carte
mère, alimentée par une pile où sont sauvegardés
certains paramètres de configuration :
-
taille disque dur
-
taille RAM
-
date et heure
-
des données nécessaires au démarrage.
Une récupération peut être faite par un redémarrage
de votre machine avec les options par défaut.
Attaque Hard
<up>
Attaque direct du matériel rendant votre PC inutilisable.
Ce genre de virus est très rare car il y a beaucoup trop de contraintes.
"Certains prétendent que c'est impossible, d'autres essayent
de prouver le contraire, en tout état de cause s'ils existent, ils
sont très rares ou très discret."
Il est toutefois possible en connaissant la spécificité
d'un modèle et d'une marque de bloquer un disque dur. Lorsqu'on connaît
la multitude de configuration au sein même d'une marque, on se rend
compte de l'ampleur du travail.
L'attaque d'un écran est plus fortement probable. Il
suffit de balancer des résolutions et des fréquences de rafraîchissement
non supportées pour faire fumer un écran.
