Tech

Où le virus se loge-t-il ?

Dossier - Virus informatiques et autres bestioles ! Partie 1/2
DossierClassé sous :Informatique , Incontournables , Virus

-

Il existe divers types de programmes nuisibles qui sont parfois regroupés sous le nom de malwares (par opposition à software). Le public appelle généralement virus deux types de malwares : les virus proprement dits et les vers.

  
DossiersVirus informatiques et autres bestioles ! Partie 1/2
 

On distingue classiquement trois types de virusles virus de programmes, les virus du système et les virus de document (essentiellement Word et Excel).

A cette liste se rajoute depuis quelques années une quatrième catégorie : les virus de mail qui sont en réalité des vers pour la plupart d'entre eux. Enfin quelques virus/vers/chevaux de Troie peuvent être transmis par des pages Web et tout récemment on a vu certains de ces programmes malveillants s'introduire directement dans les ordinateurs par l'intermédiaire de l'Internet. La distinction nette entre virus, vers et cheval de Troie s'est beaucoup estompée, certains de ces programmes empruntant des caractéristiques appartenant aux autres catégories. Le public a donc tendance à confondre tous ces programmes malveillants sous le nom de virus.

  • Virus de programmes
Ces virus ajoutent leur code à celui d'un programme présent sur le disque dur (ou autre support). Lorsque ce programme est lancé, c'est le code du virus qui est exécuté en premier. Le virus passe alors dans la mémoire de l'ordinateur et recherche sur le disque un (des) nouveau(x) programme(s) à contaminer. La contamination se fait donc de proche en proche. Tant que la fonction d'agression du virus n'est pas activée aucune manifestation de la présence du virus n'est perceptible pour un utilisateur non averti.
Certains virus ajoutent leur code au programme en recouvrant (=remplaçant) une partie du code du programme. La taille du fichier contaminé ne change pas mais on observera probablement assez vite des dysfonctionnements ou des blocages correspondant aux parties du programme remplacées (toutefois s'il s'agit d'une partie du programme qui est rarement utilisée le problème tardera à se manifester).

La plupart des virus de programmes insèrent leur code dans celui du programme sans le recouvrir : la longueur du programme est augmentée de la longueur de celle du virus. Un simple examen avec la commande DIR du DOS ou sont équivalent Windows devrait permettre en théorie de vérifier que le programme présent est plus long que le programme d'origine. Toutefois, beaucoup de virus « furtifs » détournent ces instructions pour afficher non pas la longueur exacte du programme contaminé, mais la longueur diminuée de celle du virus (le programme semblera avoir gardé sa longueur initiale et on ne pourra pas vérifier la contamination par cette méthode).

Afin d'éviter la contamination d'un programme par plusieurs exemplaires du même virus (ce qui nuirait à la discrétion de la contamination), la plupart de ceux-ci vérifient que le fichier n'a pas déjà été contaminé avant d'ajouter leur propre code. Les méthodes utilisées dans ce but sont variables et n'empêchent nullement un programme d'être contaminé par plusieurs virus différents.

De toutes façons, au début l'infection est toujours discrète car la longueur du code des virus est faible (le plus petit virus dont j'ai trouvé mention a une longueur de 135 octets, mais c'est assez exceptionnel quand même).

  • Virus du système

Il n'y a pas que les fichiers de programmes qui peuvent contenir du code exécutable. En raison de la manière dont le système d'exploitation démarre et prend le contrôle des disques et disquettes, le premier secteur de la disquette (secteur d'amorçage = secteur de boot) ou les premiers secteurs du disque dur (secteur de la table de partition et secteur d'amorçage) peuvent contenir un bout de code exécutable.

C'est bien entendu un endroit rêvé pour installer un virus. S'il s'agit du disque à partir duquel le système d'exploitation est chargé, ce procédé est d'autant plus redoutable que le code du virus s'exécutera et se chargera en mémoire au démarrage, avant le chargement du système d'exploitation et à plus forte raison avant celui d'un éventuel logiciel antivirus.

Pour qu'un virus du système (= virus de boot) s'installe dans un ordinateur il faut généralement démarrer celui-ci avec une disquette contaminée présente dans le lecteur A: (que cette disquette contienne ou non le DOS) car le BIOS tente normalement de lire le contenu du secteur d'amorçage de A: avant celui de C:. C'est la raison pour laquelle il est préférable de rendre le disque C: prioritaire en modifiant un réglage du BIOS. Toutefois certains virus de programme sont également conçus pour aller infecter secondairement le secteur de boot.

En conclusion, les virus classiques (voir toutefois ci-dessous virus Word ou Excel) ne pouvaient pas être transmis par un fichier de données (= document). Mais contrairement à ce que l'on croit parfois un virus peut parfaitement être présent (dans le secteur de boot) sur une disquette qui ne contient pas de programme, et les disquettes ont été pendant longtemps le moyen le plus efficace de propager les virus. Pendant plusieurs années les virus les plus répandus en France ont été les virus de boot.

  • Virus Word et Excel (virus de macro)

Les applications sophistiquées, telles que le traitement de texte Word ou le tableur Excel, contiennent un langage de programmation qui permet d'automatiser des opérations complexes grâce à l'écriture de macro-instructions (connues sous le nom de macros) exécutées par l'application.

Ces macros sont enregistrées dans les documents. Autrement dit, tout document renfermant des macros contient du code exécutable. Cette particularité a ouvert la porte à l'apparition de virus écrits en langage de macros et incorporés par des mécanismes d'infection spécifiques dans ces documents. Ce sont des virus pour les documents Word qui sont apparus les premiers (en 1995), puis des virus pour Excel ont été signalés. A partir de 1997 les virus Word ont été les virus les plus répandus.

  • Virus/vers de mail

L'apparition de ce type de programme a été rendue possible par le fait qu'on peut attacher à des mails des fichiers divers. S'il s'agit de fichiers exécutables, ils s'exécutent immédiatement dès qu'on clique dessus. Bien entendu ce sont les systèmes les plus répandus qui sont les premiers visés, en particulier le lecteur de mails Outlook Express de Microsoft. Certains de ces virus/vers tirent parti du fait que les ordinateurs équipés de Windows disposent d'un langage de programmation incorporé appelé vbscript.

Il faut se méfier du fait que le titre du fichier attaché (c'est lui qui est dangereux) peut paraître intéressant car il peut être prélevé par le virus parmi les titres présents sur le disque dur de l'expéditeur. De plus plusieurs virus peuvent prélever du texte sur le disque dur pour l'envoyer comme un mail normal. C'est ainsi que j'ai reçu un exemplaire de virus avec un texte de message qui était un dossier médical nominatif prélevé sur un ordinateur d'un organisme de santé. Cet exemple montre que certains virus peuvent causer la diffusion d'informations confidentielles, problème qui n'a pas été assez souligné.

Lorsque les correctifs d'Outlook Express n'ont pas été installés certains virus/vers de mail peuvent se déclencher dès l'affichage du mail, même si on n'a pas cliqué sur le document attaché.

Certains de ces vers peuvent même infecter des pages Web qui contamineront ensuite les ordinateurs des visiteurs.

Quand on reçoit un virus par mail, dans la plupart des cas :

l'expéditeur ne sait pas que son ordinateur envoie des mails contaminés (c'est le virus qui a expédié le mail à l'insu de l'expéditeur, ou qui attache le virus à un mail rédigé par l'expéditeur ;)

l'expéditeur n'est probablement pas celui qui figure dans les en-têtes du mail : beaucoup de virus prélèvent en effet une adresse au hasard dans le carnet d'adresse (ou dans d'autres documents) de l'ordinateur infecté et s'envoient dans un message en se faisant passer pour cet expéditeur (par exemple l'ordinateur de Dupont a dans son carnet d'adresses l'adresse de Durand et celle de Duval... le virus peut envoyer un mail contaminé à Duval en se faisant passer pour Durand, alors que le virus s'est expédié depuis l'ordinateur de Dupont).

Les vers de mails peuvent en effet utiliser la fonction d'envoi des messages d'Outlook Express à l'insu de l'utilisateur, mais les plus « efficaces » intègrent leur propre serveur de mail (serveur SMTP) qui travaille de façon totalement autonome et bombarde de mails contaminés toutes les adresses trouvées sur l'ordinateur.

  • Les hoaxes
Un hoax (canular en français) est un message que vous recevez d'une personne inconnue ou d'un correspondant qui vous l'a fait suivre.

En règle très générale le message signale l'arrivée du virus le plus dangereux qu'on ait jamais vu, affirmation confirmée par Microsoft, le FBI, ou tout autre organisme important.  Ce virus va détruire le disque dur, peut-être vider votre compte bancaire, et aucun antivirus ne peut le détecter et encore moins réparer ses dégâts. Enfin le texte se termine par une forte incitation à diffuser cette information à tous les membres de votre carnet d'adresse.

Vous avez là les caractéristiques types d'un hoax, car les vrais virus ne sont jamais annoncés ainsi et le seul but de ces messages est de provoquer un phénomène de boule de neige par la diffusion pyramidale d'une fausse information. Ne relayez jamais ce type de message.

En cas de doute consultez http://www.hoaxbuster.com

Deux hoaxes plus pervers font toujours des victimes. Leur principe est de dire que si vous avez sur votre disque dur un fichier dont le nom est indiqué, il faut l'effacer parce que c'est un virus. Et bien entendu le message vous demande de diffuser l'information à tous vos correspondants, parce que vous les avez infectés.

L'un des hoax parle du fichier SULFNBK.EXE et l'autre de JDBGMGR.EXE dont l'icône est un petit ourson. Dans les deux cas n'effacez pas ces fichiers : ils font partie du système d'exploitation. Par chance leur rôle est habituellement mineur et cela n'entraîne la plupart du temps que peu de perturbations. Malheureusement les choses se compliquent parce qu'un autre message peut vous arriver qui propose de réinstaller SULFNBK.EXE en cliquant sur une pièce jointe. Mais là il s'agit d'un vrai virus : Magistr