Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Sécurité informatique

Les virus informatiques

publicité 
Le virus informatique
Lebon, Guermit
Grégory, Abderrahmane
6U
2011-2012
Introduction
Nous allons vous présenter les virus, les virus... oui mais les virus c'est quoi exactement... J'ai
déjà eu des virus quand j'étais malade....
Il est vrai que le terme virus vient du virus biologiques, car comme le virus biologique le virus
informatique se propage en utilisant les facultés de reproduction de la cellule hôte.
Pour faire simple, un virus informatique est un logiciel mal veillant conçu pour se propager
d'ordinateur en ordinateur en s'insérant dans les programmes
légitimes appelés « hôte ». Ceci permettant de perturber plus
moins gravement le fonctionnement de l'ordinateur impliqué.
Les virus informatiques se propagent le plus souvent via les
pièces jointes des messages électroniques ou par l'intermédiaire
des téléchargements sur internet.
Historique
Savez-vous comment ont été créés les premiers virus ? Et pourquoi ?
Les tous premiers virus n'avaient pas du tout les mêmes buts qu'ils ont aujourd'hui... à la base
ceux-ci étaient des jeux informatiques joués par plusieurs informaticiens des sociétés Bell et
CoreWar en 1970. Le jeu consistait à détruire les programmes adverses tout en assurant sa
propre protection, ce jeu s'appelait la « CoreWar ». Elles étaient deux ou plusieurs
programmes chargés de s'anéantir mutuellement en se bombardant d'instructions, où
l'instruction 0 détruisait les codes de fonctionnements de ces programmes.
Il faut savoir que ce duel numérique se déroulait dans la mémoire vive de l'ordinateur et la
particularité de ces codes était de se dupliquer afin de continuer fonctionner malgré les
bombardements des adversaires... La partie prenait fin lorsque l'un des deux programmes ne
fonctionnait plus.
Les symptômes de la présence d’un virus
• L'ordinateur
fonctionne plus lentement que d'habitude.
• L'ordinateur
ne répond plus ou se bloque fréquemment.
• L'ordinateur
se bloque, puis redémarre après quelques minutes.
• L'ordinateur
redémarre tout seul. En outre, l'ordinateur ne fonctionne pas comme
La sécurité informatique
Page 2
d'habitude.
• Les
applications de l'ordinateur ne fonctionnent pas correctement.
• Les
disques ou les lecteurs de disque sont inaccessibles.
• Vos
impressions ne se déroulent pas correctement.
• Des
messages d'erreur inhabituels s'affichent.
• Les
menus et boîtes de dialogue apparaissent déformés.
• Le
nom de la pièce jointe récemment ouverte se termine par une double extension,
telle que .jpg, .vbs, .gif ou .exe.
• Un
programme antivirus est désactivé sans raison. Il est, en outre, impossible de le
redémarrer.
• Un
programme antivirus ne peut être installé sur l'ordinateur ou le programme
antivirus installé ne s'exécute pas.
• De
nouvelles icônes apparaissent sur le bureau sans que vous les y ayez mises ou
celles-ci ne sont associées à aucun programme récemment installé.
• Les
• Un
haut-parleurs diffusent des sons ou de la musique étranges de manière inattendue.
programme disparait de l'ordinateur sans que vous l'ayez désinstallé
volontairement.
La sécurité informatique
Page 3
Les différents types de virus
Il y a plusieurs types de virus informatiques nous allons vous les citer et les expliquer.
Virus classique
Pour commencer, il y a le virus classique qui est un morceau de programme, souvent écrit
en assembleur*, qui s'intègre dans un programme normal (le plus souvent à la fin, mais
cela peut varier). Chaque fois que l'utilisateur exécute ce programme « infecté », il active
le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus,
lorsqu'il contient une charge utile*, il peut, après un certain temps (qui peut être très long)
ou un évènement particulier, exécuter une action prédéterminée. Cette action peut aller
d'un simple message anodin à la détérioration de certaines fonctions du système
d'exploitation ou la détérioration de certains fichiers ou même la destruction complète de
toutes les données de l'ordinateur. On parle dans ce cas de « bombe logique » et de
« charge
utile ».
*un langage de bas niveau qui représente le langage machine sous une forme lisible par un
humain.
*En informatique, on utilise ce terme au figuré pour désigner la partie du code exécutable
d'un virus qui est spécifiquement destinée à nuire.
Exemple : Wimux(Apparu en 2001, il se propageait dans les fichiers exécutables de Windows,
mais il infectait également les exécutables Linux (format Elf). Son seul but était de se
répandre, sans occasionner de dommages sur les systèmes infectés).
Virus de boot
Ensuite, il y a le virus de boot qui s'installe dans un des secteurs de boot d'un périphérique
de démarrage, disque dur, disquette, ou autre. Il remplace un chargeur d'amorçage*
existant (en copiant l'original ailleurs) ou en créé un (sur un disque ou il n'y en avait pas)
mais ne modifie pas un programme comme un virus normal ; quand il remplace un
programme de démarrage existant. Il se distingue du virus normal par le fait qu'il infecte
aussi un périphérique vierge de tout logiciel de démarrage, contrairement au virus
classique qui ne s'attaque jamais à rien.
*Un chargeur d'amorçage (ou bootloader) est un logiciel permettant de lancer un ou plusieurs
système d'exploitation.
La sécurité informatique
Page 4
Macrovirus
Les macrovirus utilisent le langage de programmation d'un logiciel pour modifier le
fonctionnement du programme. Ils s'attaquent surtout aux fichiers des utilisateurs. Les
macrovirus augmentent vite car ils s’intègrent dans des fichiers très échangés. d’ailleurs,
leur programmation est plus facile que celle des autres virus.
*on surnomme macros les programmes en VBA de Microsoft Office.
* VBA (Visual Basic pour Application) est un langage de programmation qui vient du langage
Basic.
Virus-vers
Il y a aussi ce qu’on appel les virus-vers, ils sont plus récents ils sont apparus aux environs
de l’année 2003, ce sont des virus classiques car ils ont un programme hôte.
Mais ils s’associent au vers pour trois raisons :
•
Leur mode de propagation est lié au réseau en général via l’exploitation de la faille
de sécurité.
•
Comme les vers, leur action est discrète et non destructrice pour les utilisateurs de
la machine infectée.
•
Comme des vers ils visent large, par exemple l’attaque des saturations de
ressources ou l’attaque DOS d’un serveur.
Virus batch
Pour finir il y a les virus batch, ils sont apparus quand MS DOS était le système
d’exploitation le plus répandu. Ce sont des virus primitif très lent et qui infectent peu.
Bien sûr, il existe d’autre menace en informatique, s’en distinguant souvent par l’absence de
système de reproduction qui est propre au virus et aux vers. Mais dans ce cas nous parlerons
plus tôt de « Malware » qui se traduit par logiciel malveillant.
Les virus fichiers
Virus Non résidents
La sécurité informatique
Page 5
Lors de l'infection, le virus cherche un fichier cible, et remplace le premier segment du
programme. La section originale est alors ajoutée en fin de programme. Au moment de
l'exécution du fichier, c'est le code viral qui est d'abord lancé et il va chercher d'autres
programmes à infecter. Une fois infecté, il remet la première section du programme infecté et
l'exécute. Le virus s’est propagé de façon invisible. Il s'agit donc d'un virus fort contagieux.
La détection de ce genre de virus est facile à détecter car le fichier infecté est plus grand que
le fichier sain, puisqu'il contient le virus en plus du programme.
Virus résidents
Ce sont des virus qui restent présent dans la mémoire de l'ordinateur (RAM, à ne pas
confondre avec le disque dur qui peut aussi être appelé mémoire). Lorsqu’un fichier infecté
est exécuté (NB : ce fichier infecté vient soit d'une source infectée, une source douteuse, soit
d'un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste
actif. Dès qu'un programme est exécuté et qu'il n'est pas infecté, le virus l'infecte. La
différence avec celui vu précédemment est qu'il n'y a pas besoin de procédure pour trouver
une cible, puisque c'est l'utilisateur qui la désigne en exécutant le programme cible. Ce genre
de virus est actif à partir du moment où un programme infecté est exécuté jusqu'à l'arrêt
complet de la machine.
Principe de fonctionnement d’un virus
Fonction de recherche
La première chose que fait le virus, c’est rechercher un fichier à infecter et déterminer la
vitesse de l’infection car c’est une composante majeur du bon déroulement de la propagation
du virus.
Si un virus se reproduit trop rapidement, il sera rapidement repéré par l'utilisateur car il
utilisera de manière incessante le disque dur. Par contre, si un virus se reproduit trop
lentement, il ne sera pas assez efficace.
Fonction de reproduction
Maintenant, elle va ajouter le code du virus au code du fichier choisi par la fonction de
recherche.
Cette fonction définie également le type du virus. Quand un virus écrit son code, il doit
préserver la structure de l'exécutable infecté.
Par exemple, quand un virus s'écrit dans le code d'un fichier, la date de modification du fichier
infectée est normalement mise à jour. L'utilisateur pourrait alors remarquer ce changement de
date et repérer le virus. Pour ne laisser aucune trace de l'infection, le virus sauvegarde la
précédente date de modification et la replace au bon endroit quand l'opération de reproduction
est terminée. Si cette fonction venait à être mal codée, le fichier infectée ne s'exécuterait plus
de la même façon ce qui pourrait alerter l'utilisateur sur la présence du virus.
Fonction de destruction
Les routines de destruction peuvent être très variées mais se décomposent généralement en
deux : la " Bombe " en elle même et une routine d'activation. C'est elle qui décidera ou non de
l'activation de la bombe. Elle se présente sous de multiples formes : Le virus peut s'activer à
La sécurité informatique
Page 6
partir d'un certain nombre de copies, à partir d'une date, à partir d'une combinaison de touches
au clavier, un certain nombre d'accès au disque dur, ou encore la présence d'un certain
antivirus… Ces routines d'activations dépendent parfois du type de virus, mais le plus
souvent, c'est le concepteur du virus qui choisit cette routine selon ces capacités.
Exemple avec le « DNSchanger »
Voici l’un des virus les plus connût et qui fait partie de l’actualité, puisqu’il a été détecté en
Février 2012. Si vous avez bien suivis vous saurez donc qu’il s’agit d’un virus-vers car il s’est
attaqué au réseau en général, il n’est pas destructeur pour la machine et il vise large puisqu’il
a touché 4000000 utilisateurs dans le monde. Comme son nom l’indique il s’est donc attaqué
au serveur DNS, ce qui a eu pour conséquence pour les victimes une impossibilité de se
connecter sur internet. Un site permettant de vérifier si celui-ci était présent ou non sur votre
ordinateur, www.DNS-OK.be
Comment lutter contre un virus informatique ?
Pour éliminer un virus informatique, il y a en effet plusieurs façons.
Le scanning
Les virus sont identiques d’une copie à l’autre. Il est donc plus facile, une fois que le virus est
identifié de lui enlever une chaîne d’octets et de parcourir toute la mémoire à la recherche
d’une autre chaîne semblable.
La sécurité informatique
Page 7
Moniteurs de comportement
Le moniteur de comportement est un programme qui a comme rôle de surveiller le système à
la recherche d’une action trahissant la présence d’un virus et de prévenir l’utilisateur dés qu’il
aura détecté un virus.
Contrôleur d’intégrité
Un contrôleur d’intégrité va construire un fichier contenant les noms de tous les fichiers
présents sur le disque et quelques unes de leurs caractéristiques et va les surveiller. Il alertera
l’utilisateur dès que les paramètres de l’un d’eux auront été modifiés. Il effectuera alors des
tests sur le fichier suspect, pour déterminer s’il est infecté.
L’antivirus
Les antivirus sont des logiciels capables de détecter des virus. Lorsqu’il en on détecter un, ils
peuvent le mettre en quarantaine ou de le détruire selon la volonté de l’utilisateur et ensuite de
réparer les fichiers qui ont infecté par le virus sans les endommager.
Pour cela, ils utilisent plusieurs techniques. Soit ils utilisent la reconnaissance de séquences
d’octets caractéristiques d’un virus particulier, soit la détection d’instructions suspectes dans
le code d’un programme, ou encore la création de listes de renseignements sur tous les
fichiers du système, pour détecter des modifications de ces fichiers par un virus. Ils peuvent
aussi détecter des ordres suspects et surveille les lecteurs de support amovible tels que les
disquettes, CD-ROM, clé USB….
Virologie
Le terme virus informatique a été créé par analogie avec le virus en biologie : un virus
informatique utilise son hôte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre à
d'autres ordinateurs.
Comme pour les virus biologiques, pour lesquels ce sont les hôtes les plus en contact avec
d'autres hôtes qui augmentent les chances de développement d'un virus, en informatique ce
sont les systèmes et logiciels les plus répandus qui sont les plus atteints par les virus :
Microsoft windows, Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer,
Microsoft Internet Information Server... Les versions professionnelles de Windows
(NT/2000/XP pro) permettant de gérer les droits de manière professionnelle ne sont pas
immunisées contre ces envahisseurs furtifs.
Cependant, des systèmes à diffusion plus restreinte ne sont pas touchés proportionnellement.
La majorité de ces systèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X
ou Linux), utilisent en standard une gestion des droits de chaque utilisateur leur permettant
d'éviter les attaques les plus simples, les dégâts sont donc normalement circonscrits à des
zones accessibles au seul utilisateur, épargnant la base du système d'exploitation.
La sécurité informatique
Page 8
Présentation technique d’un virus
Pour vous aider à mieux comprendre la manière dont fonctionne un virus, nous allons nous
intéresser au code de l’un d’entre eux, le virus VBS Script créé avec Microsoft Visual Basic et
en particulier, à sa fonction de destruction qui consiste à formater le disque C de l’ordinateur.
Voici le code du virus :
Analyse du code :
Cette ligne permet de choisir une date précise d'exécution du virus.
Ensuite on lance windows explorer. On lance son exécution 10 fois grâce à une boucle for
pour s'assurer que ça fonctionne bien. La commande shell permet d'exécuter.
Ensuite, on crée le fichier Virus.bat qui est le virus à qui on y ajoute 2 commandes qui
lanceront le formatage du disque C. a commande print qui permet d’écrire dans un fichier et
la commande deltree qui supprime le fichier du disque C.
Une fois que le fichier Virus créé, il faut l'exécuter. Pour cela on lance une fenêtre d'invité de
commande DOS (CMD.com) en arrière plan. C'est depuis cette fenêtre que l'on exécute le
virus. On lance cette exécution 10 fois pour s'assurer qu'elle ai lieu. On cache les affichages à
l'aide de la commande vbHide.
Dans le cas où le système d'exploitation est windows 98, il n'est pas nécessaire de créer un
fichier spécial pour le virus. Comme le système est moins protéger, il est possible de rajouter
La sécurité informatique
Page 9
les commandes de formatages directement dans le fichier système AutoExec.bat. Ce fichier se
trouve à la racine du disque dur, il est exécuté à chaque démarrage de la machine et le virus
sera donc exécuté au même moment.
Pour terminer, on bloque l'ordinateur grâce à une particularité du système. En effet, le système
se bloque lorsque les noms de périphériques sont utilisés plusieurs fois dans le même chemin
de fichier (par ex. : c:\CON\CON).
Ce virus permet entre autre de remarqué l'évolution des systèmes d'exploitation qui tentent de
se sécuriser. En effet, il est impossible de modifier sans permission le fichier AutoExec.Bat
dans les systèmes les plus récents, ce qui nous oblige à créer un nouveau fichier qui risque
d'être remarqué par l'utilisateur ou par un antivirus. En revanche Windows 98 étant bien
moins sécurisé, on peut directement modifier le fichier système Autoexec.bat ce qui est bien
plus discret.
Comment nomme-t-on les virus ?
Lors de leur découverte, les virus se voient attribuer un nom.
Celui-ci est en théorie conforme à la convention signée en 1991 par les membres de
CARO(Computer Antivirus ResearchOrganization).
Ce nom se détermine ainsi :
• en préfixe, le mode d'infection (macro virus, cheval de Troie, ver...) ou du système
d'exploitation concerné ;
• un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est
l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille
LSASS, ...) ;
• en suffixe un numéro de version (les virus sont souvent repris sous forme de variantes
comportant des similitudes avec la version d'origine).
Conclusion
Malgré leur but premier qui était simplement un jeu entre des informaticiens, les virus sont
rapidement devenus une menace pour les utilisateurs, ceux-ci ce reproduisant très rapidement
il n’est pas toujours facile de s’en débarrasser. Heureusement grâce au technologie qui ne
cesse d’augmenter (antivirus, système d’exploitations,…) les virus ont beaucoup plus de mal
de faire de gros dégâts aux utilisateurs.
La sécurité informatique
Page 10
Bibliographie
http://fr.wikipedia.org/wiki/Virus_informatique
http://support.microsoft.com/kb/129972/fr
Avec confirmation des informations sur plusieurs autres sites.
La sécurité informatique
Page 11
Documents connexes
agents de
agents de
Remise des prix Xavier Bernard à l`Académie vétérinaire
Remise des prix Xavier Bernard à l`Académie vétérinaire
Maladie à Virus Ebola (EVD)
Maladie à Virus Ebola (EVD)
Définition
Définition
Activité 2 : Les différentes phases de la maladie
Activité 2 : Les différentes phases de la maladie
Méningite, aigüe aseptique
Méningite, aigüe aseptique
la mononucléose
la mononucléose
Sachant que cette période de l`année est propice aux virus
Sachant que cette période de l`année est propice aux virus
Fiche technique : Fièvre catarrhale ovine
Fiche technique : Fièvre catarrhale ovine
Les Virus - hrsbstaff.ednet.ns.ca
Les Virus - hrsbstaff.ednet.ns.ca
Mardi 10 septembre 2013 Les virus dans tous leurs états Par
Mardi 10 septembre 2013 Les virus dans tous leurs états Par
Téléchargement
publicité