les virus informatiques

LES VIRUS
INFORMATIQUES
1. introduction présentation
Les virus informatiques sont des programmes créés pour se propager sur
d'autres ordinateurs. Ils sont susceptibles de nuire au bon fonctionnement de
l'ordinateur qui a été infecté. Le vecteur des infections par virus informatique sont les
divers lecteurs des ordinateurs et le plus souvent par internet.
Le nom de virus informatique apparaît en 1984 et est mentionnée par Leonard
Adleman informaticien et spécialiste en biologie nucléaire. Il lui donne ce nom du
fait de sa similitude avec un virus biologique.
D'après Sophos (première société de développement d'antivirus créée en 1985)
le nombre de virus atteignait les 93000 en 2004. Ce chiffre aussi énorme n'est enfait
qu'une exagération de la réalité. Les éditeurs d'antivirus revoient toujours les chiffres
au plus haut pour toucher les utilisateurs, ce n'est rien d'autre qu'une démarche
commerciale car la plupart des virus n'atteignent jamais le stade d'expansion massive.
Un grand nombre des virus vise le système d'exploitation windows . Les autres
touchent des systèmes d'exploitations maintenant dépassés et plus commercialisés
depuis longtemps.
De nouvelles maladies, bien humaine cette fois-ci, font émergence : une sorte
de paranoïa autour du virus informatique. Des personnes bien plus malveillantes que
ces programmes se servent de la peur des gens envers les virus pour inonder les
boîtes e-mail de message de fausse alerte concernant certains fichiers (pourtant
inoffensifs) présent sur les machines et conseillent aux utilisateurs naïfs de les
supprimer. Ce qui représente un risque pour la stabilité des plateformes. Sinon dans
d'autres cas cela favorise le bombing mail car sous la panique, l'utilisateur renvoie
les e-mails ce qui peut saturer le serveur (la plupart des mails contiennent la mention
« renvoyer ce mail à tout vos contacts », le but étant de convaincre tous d'envoyer des
mails à tous les contacts). On appelle ça un Hoax (ou canular).
2) Les prémisse du virus informatique
Bienque n'ayant pas du tout le même objectifs qu'aujourd'hui, les premiers
virus informatiques ont été élaborés au sein de la société Bell, Core War, en 1970. A
cette époque il ne s'agissait que d'un jeu interne développé par trois informaticiens de
cette société, où les joueurs écrivaient un programme, le chargeaient en mémoire vive
pour que l'OS puisse le lire et l'executer. L'objectif du jeu est de détruire les
programmes des adversaires tout en proliférant. Les programmes se recopient, de se
réparent si nécessaire, de se déplacent dans la mémoires et attaquent les autres
adversaires en écrivant aléatoirement dans d'autres zones mémoire. C'est le principe
des virus informatique. La partie se termine quand tout les fichiers des autres sont
détruits ou quand le temps est écoulé. Le joueur ayant le plus grands score
(programme survivant ou le plus d'attaques réussies) se voit attribuer le titre de
vainqueur.
C'est en 1984 que le magazine Scientifique American présente un jeu similaire
aux grand publics, ce qui a signé la vrai entrée en service des virus.
La première attaque virale a été dirigé contre ARPANET par le virus Brain qui
renommait tout les lecteurs de disquettes en (C)Brain. Les premiers virus avaient une
vocation publicitaire pour leur programmeur qui ne cherchait qu'à se faire connaître
et de ce fait trouver un travail au sein des sociétés.
3) Les différents types de virus :
A l'heure actuelle, on distingue de nombreuses formes de virus en voici
quelques-une :
Les virus les plus rencontrés sont des morceaux de programmes écrits en
assembleur (logiciel qui sert à écrire un programme en langage plus simple
d'utilisation que le langage machine binaire et de ce fait exploitable par l'homme) qui
s'intègre dans un programme normal. A chaque utilisation du programme infecté le
virus en profite pour se copier dans d'autres programme executable ce qui provoque
une réaction en chaine et tout les fichiers sont très vite contaminés.
Ces virus peuvent être programmés pour déclencher une action spécifique à un
instant donné, comme par exemple l'affichage d'un message ou la destruction des
données.
Les macros-virus qui s'attaquent aux macros de microsoft office qui se copient
à chaques executions de macros sur les logiciels comme word et excel par exemple,
prolifère et peuvent lancer leur commande destructrice s'ils en sont pourvus.
Les virus de type boot sévissaient surtout du temps où les systèmes
d'exploitations étaient chargés en RAM gràce à une disquette ( ATARI,...). Mais on
peut encore les retrouver se copiant dans le master boot record (MBR ou zone
d'amorçage de 512 octets au cylindre 0, tête 0, secteur 0 du disque dur). Ce qui
provoque une attaque quasiment irrémédiable qui peut finir par un formatage
anarchique par le virus à son activation, de la zone d'ammorce s'il n'est pas chassé de
cette zone par un antivirus.
Les virus-vers sont semblables aux virus normaux car ils ont un programme
hôte mais ils ont les même but que les vers comme par exemple la discrétion totale
vis-à-vis des antivirus et firewalls pour pouvoir proliférer et s'occuper de leurs tâches
spécifiques comme créer des failles ou alors lancer une attaque en connectant au
même instant toutes les machines infectés au même serveur pour le saturer (même
principe que le bomb mailing mais sans l'intervention directe de l'homme et à l'insu
de l'utilisateur).
Tout autre logiciel n'ayant pas la capacité de se reproduire n'est pas caractérisé
de virus mais plutôt de malware.
4) Quelques caractéristiques notoires et communes aux virus
les plus dangereux :
Un virus peut se crypter (se chiffrer) en se répliquant afin de rester invisible
aux « yeux » des antivirus, Ainsi son code nocif ne peut être déchiffré par l'antivirus
qui le considère alors comme un programme anodin.
Un virus peut aussi changer sa routine de cryptage ( en changeant sa clé de
cryptage en quelques sortes) au cours des réplications. Dans ce cas il devient encore
plus difficile d'être détecté par des antivirus. On le dit Polymorphe.
Un virus peut aussi se métamorphoser, dans ce cas il change sa structure et les
instructions qui le composent, en remplaçant son code par un code ayant les mêmes
objectifs mais de structure différente ( par exemple en langage C un « while » peut
être remplacé par des « if...else » ou des « for » sous certaines conditions).
Un virus peut être furtif gràce à une combine exploitant les failles d'un OS en
le leurrant. Ainsi un antivirus pourra « passer à côté » d'un élément viral car le
système d'exploitation indique que ce fichier est en bonne santé.
5) A chaque virus son nom.
D'après la convention de 1991 signée par les membres de CARO (Computer
Antivirus Research Organisation), un virus obtient un nom suite à sa découverte.
L'attribution suit un protocole à partir duquel le virus se verra attribué un nom dont:
Le préfixe est le nom du système d'exploitation (W32 pour windows XP par
exemple),ou le
mode d'infection (WORM...)
Un mot ou radical symbolisant la faille qu'il exploite ou sa caractéristique
(Swen est l'anagramme de
News, Nimda l'anagramme de Admin, Sasser exploite
une faille LSASS, ...)
Un suffixe un numéro de version (les virus sont souvent repris sous formes de
variantes comportant des similitudes avec la version d'origine).
Donc par exemple le nouveau virus découvert le 8 avril 2007 a pour nom
WIN32.ZHELATIN.CQ
il a les caractéristiques suivantes:
Zhelatin.CQ
Zhelatin.CQ est un virus qui se propage par courrier électronique. Il se présente sous
la forme d'un message en anglais accompagné d'un fichier joint dont l'extension est
.EXE, en tentant de se faire passer pour une dépêche d'actualité annonçant un incident
militaire ou une déclaration de guerre impliquant l'Iran, les Etats-Unis ou Israël.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière
générale, même si son nom est intriguant ou attrayant il ne faut pas exécuter un
fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur puis l'avoir
analysé avec un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les
mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur. Les
utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit
en ligne pour rechercher et éliminer le virus.
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
Trojan.Peed.Gen (Bit Defender)
Trojan.Small-1604 (ClamAV)
Trojan.Packed.80 (DrWeb)
W32/Trojan.ADUB (F-Prot)
Email-Worm.Win32.Zhelatin.cq (F-Secure)
Email-Worm.Win32.Zhelatin.cq (Kaspersky)
W32/Dref-AF (Sophos)
W32.Mixor.AR@mm (Symantec)
WORM_NUWAR.AOK (Trend Micro)
TAILLE :
51.342 octets
DECOUVERTE :
08/04/2007
DESCRIPTION DETAILLEE :
Le virus Zhelatin.CQ se présente sous la forme d'un message en anglais dont le corps
est vide et le titre variable :
•
•
•
•
•
•
•
•
Missle Strike: The USA kills more then 20000 Iranian citizens
Missle Strike: The USA kills more then 1000 Iranian citizens
Missle Strike: The USA kills more then 10000 Iranian citizens
Israel Just Have Started World War III
USA Just Have Started World War III
Iran Just Have Started World War III
USA Missle Strike: Iran War just have started
USA Declares War on Iran
La pièce jointe est un fichier dont la taille est 50 Ko, possédant une extension .EXE et
un nom variable :
•
•
•
•
•
•
•
•
News.exe
More.exe
Read More.exe
Click Here.exe
Click Me.exe
Read Me.exe
Movie.exe
Video.exe
Si ce fichier joint est exécuté, le virus se copie sur le disque dur sous un nom
aléatoire, modifie la base de registres pour s'exécuter automatiquement à chaque
démarrage de l'ordinateur, s'envoie automatiquement aux adresses figurant dans le
carnet d'adresses Windows et divers fichiers en utilisant une adresse d'expéditeur
usurpée ou falsifiée, puis tente de désactiver certains antivirus et pare-feux personnels
Mais comme on peut le constater les dénominations divergent selon les éditeurs
d'antivirus, ceci est encore due à un action marketing pour perdre l'utilisateur novice
dans les dénominations et l'inciter à prendre un antivirus « spécifique ».
6) La solution : les antivirus.
L'antivirus est la solution la plus intéressante dans le cadre de la lutte préventif et
défensive contre les virus, pour fonctionner ils utilisent:
• la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus
particulier ;
• la détection d'instructions suspectes dans le code d'un programme (analyse
heuristique);
• la création de listes de renseignements sur tous les fichiers du système, en vue
de détecter d'éventuelles modifications ultérieures de ces fichiers par un
virus ;
• la détection d'ordres suspects ;
• la surveillance des lecteurs de support amovible: lecteur disquettes, lecteur CDDVD ROM, USB...
Les autres solutions serait :
d'être équipé d'un très bon firewall aussi bien physique (routeur programmable) que
logiciel;
de ne pas naviguer sur les sites suspects;
de ne pas accepter les mails de n'importe qui et leurs pièces jointes;