Les virus informatiques - 11/11/2001

Son origine

Les virus trouvent leur origine dans un jeu. Ce jeu naquit en 1970, dans les laboratoires de la société Bell aux Etats-Unis. Il s'appelle Core War et a été développé par trois jeunes informaticiens de cette société. Le principe est simple: chaque joueur écrit un programme le plus concis possible. Ces programmes sont chargés en mémoire vive. Le système d'exploitation, multitâche, exécute tour à tour une instruction de chacun des programmes. Chaque joueur ignore évidemment la position des autres programmes. Le but est de détruire le programme de l'adversaire et d'assurer sa propre survie. Pour cela, les programmes sont capables de se recopier, de se déplacer, de se réparer eux-même, de bombarder l'adversaire de 0, etc. La partie est terminée lorsque l'un des joueurs a perdu tous ses programmes ou si ceux-ci ont été modifiés au point d'être rendus inactifs ou encore au bout d'un temps défini. Le gagnant est celui qui possède le plus grand nombre de copies de programmes actifs. Ce jeu contient en lui-même tout le principe de la programmation des virus.

Son programme

On garde à l'esprit qu'un virus informatique n'est rien d'autre qu'un programme. Il est constitué d'un sous-programme indispensable, et parfois d'autres sous-programmes tel qu'une partie destructrice, ou une routine pour le protéger contre les anti-virus. Le programme indispensable est le programme de reproduction. Il contient une partie pour la recherche qui lui permet de localiser de nouveaux fichiers ou de nouvelles zones d'action sur le disque. Il s'assure qu'il n'a pas déjà infecté le fichier choisi. Une partie reproduction qui permet d'accrocher le virus au fichier sélectionné. Cette partie est suffisante pour avoir un virus.

Prenons l'exemple de l'infection d'un programme .EXE:

Un virus qui va infecter un fichier .EXE devra modifier l'en-tête et le tableau du pointeur de réadressage, aussi bien qu'ajouter son propre code au module chargeable. Le virus s'attachera à la fin du programme et obtiendra la main quand le programme commencera. Ainsi le virus ne pourra pas être détecté en début de programme. Il s'exécutera et remettra les octets initiaux en début de programme(en mémoire principale), et lui donnera la main comme s'il n'avait pas existé.

Il possède en général une signature, en d'autres termes, il est écrit avec une suite d'octets qui ne varient pas, ce qui permet de l'identifier grâce à une séquence d'octets consécutifs. C'est la méthode la plus utilisée par les anti-virus. Seulement le virus doit être connu.

Les types de cible

Nous pouvons classer les virus selon leur cible, nous avons 3 types de cible.

• Le système : le virus système ou amorce s'attaque à au système ou à la zone d'amorçage du disque dur ou d'une disquette. Certains virus attaquent par exemple le boot secteur. C'est la première chose qu'un ordinateur charge en mémoire à partir du disque et exécute quand il est allumé. En attaquant cette zone de disque, le virus peut obtenir le contrôle immédiat de l'ordinateur.
• Les fichiers : Un virus peut attaquer des nombreux fichiers. En général, il ne connaît que la structure d'un type de fichier et parfois même d'un seul fichier, ce qui lui permet de vraiment s'adapter à ces fichiers et d'être plus facilement invisible. Aujourd'hui ce sont les fichiers transitant par l'Internet qui sont le plus visé.
• Les macro : le développement des outils de bureautique a permis l'explosion de ces fichiers qui se propagent en général avec des fichiers de données.

Les virus offensifs

Les virus offensifs possèdent un détonateur et une charge. Le détonateur est l'action ou la date (par exemple Vendredi 13 pour Jérusalem) qui détermine le déclenchement de la phase offensive. La charge est justement cette dernière (formater le disque dur, détruire des fichiers, et dans le pire des cas détruire du hard).
Certains virus offensifs, n'ont pas de détonateur, mais crée des dégâts partiels à chaque exécution(par exemple détruire un fichier au hasard).
Plus le détonateur est long à ce déclencher, plus le virus aura de temps pour se répandre.

Quelques formes particulières de virus informatiques:

• Cheval de Troie : Il est caché dans un programme qui aide à sa diffusion (par exemple un shareware).
• Polymorphe : Il peut prendre plusieurs formes, en fait, il utilise des méthodes de cryptage aléatoire de leurs codes. Cela empêche les anti-virus de l'identifier grâce à sa signature (en fait, il ne possède pas de signature).
• Furtif : Ils renvoient des informations fausses aux systèmes d'exploitations(telle que la taille d'un fichier), ce qui les rend invisibles.

Quelques virus connus

• Brain le premier virus connu (parfaitement inoffensif).
• Michelangelo qui a crée une psychose au début de l'année 1992, il se déclenche le 6 mars, jour anniversaire de la naissance de Michel-Ange en 1475.
• 1260,V2P1,V2P2,V2P6 les premiers virus polymorphiques.
• Iloveyou qui s'est propagé par les mails