Les virus fichiers (parasites).

1. Virus Non résidents :
C’étaitaient les virus les plus répandus il y a quelques années. Lors de l’infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l’exécution du fichier, c’est le code viral qui est d’abord lancé. Ce code viral cherche d’autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s’agit donc d’un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu’il contient le virus en plus du programme.

2. Virus résidents :
Il s’agit de virus qui restent présent dans la mémoire de l’ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d’une source infectée, une source douteuse, soit d’un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu’un programme est exécuté et qu’il n’est pas infecté, le virus l’infecte. La différence avec celui vu en point 1 est qu’il n’y a pas besoin de procédure pour trouver une cible, puisque c’est l’utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu’à l’arrêt complet de la machine. Certains d’entre eux peuvent résister au simple redémarrage (c-à-d : CTRL – ALT – DEL).

Schéma de l’infection du virus classique :
(Les numéros correspondent à l’ordre d’exécution du fichier)

Si l'ordre du fichier sur le disque est différent de l'ordre d'exécution, c'est pour des raisons pratiques : étant donné que le virus s'écrit par dessus le programme, il doit le garder intact. Cependant, le virus doit s'exécuter avant le programme. C'est pourquoi il remplace le code de démarrage du programme pour y mettre le sien tout en prenant soin de replacer le code de démarrage du programme à la fin de celui-ci pour pouvoir continuer à l'employer. Par la suite, le virus ajoute encore, éventuellement le reste de son code qui n'aurait pas pu être placé au début du programme, faute de place. On peut cependant remarquer que l'ordre d'exécution n'est pas perturbé et se fait selon l'ordre suivant : virus - programme (suivre l'ordre des chiffres).

3. Virus multiformes :
Virus regroupant les caractéristiques des virus parasites et des virus du secteur d’amorçage.

4. Les autres caractéristiques des virus :
a. Virus furtifs (intercepteurs d’interruptions) : ce sont des virus modifiant complètement le fonctionnement du système d’exploitation. Ces virus le modifient tellement qu’il semble sain aux antivirus. Ceci les rend très difficiles à détecter, puisque les antivirus sont trompés, croyant le système d’exploitation sain.

b. Virus polymorphes (mutants) : ce virus est différent à chaque infection. Il doit ceci à son encryption (Il existe un algorithme reprenant une valeur au hasard, permettant d’avoir un fichier crypté à chaque fois différant ne dérangeant cependant pas le décryptage). Le programme entier et le virus sont encryptés, excepté le premier segment destiné à la décryption. Ce genre de virus est donc beaucoup plus difficile à détecter que les précédents et presque impossible à détruire sans supprimer le fichier infecté, vu qu’il est crypté.

c. Virus réseau : Ces virus se reproduisent dans les réseaux en prenant le contrôle des interruptions réseau (peu fréquents).

d. Virus flibustiers (Bounty hunters) : virus visant la modification des antivirus les rendant non - opérationnels. Ce genre de virus est très rare mais très efficace.

Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractéristiques vues ci-dessus. Plus le virus a de caractéristiques, plus il sera dangereux, compliqué, vorace en ressources de l’ordinateur (du à sa complexité). Ce qui signifie gênant sans même être actif, et surtout difficile à détecter par un antivirus (trompé, rendu inactif, ...) mais aussi plus facilement repérable, et ce, dû à la baisse des performances de la machine.

Précédente - Retour - Suivante


*** Visitez notre Sponsor ! ***
Membre de ClickFR, Reseau francophone Paie-Par-Click