Je rappelle que ce tutoriel est fait à des fins purement instructives et non destructives.
Tout d'abord un virus qu'est-ce que c'est ?
Un virus est un programme informatif créé dans le but de nuire. Certains peuvent avoir des effets catastrophiques. Il existe plusieurs sortes de contaminations de virus : les contaminations par fichiers qui se transmettent de fichiers en fichiers et qui doivent détruire le plus de programmes possibles et ceux qui ne se contentent juste de faire des dégâts au moment du clic.
Les langages de programmations des virus
Il existe plus de 60000 virus à ce jour et tous programmés en asm ( assembleur), VBScript, JavaScript, Batch voire certains en C++ . Le langage le plus utilisé dans la programmation des virus reste l'assembleur suivi du VBScript, Batch et C++ . Le but de ces programmes étant de posséder une taille minimum afin d'être moins détectable et ce qui traduit le mieux cette fonction est l'assembleur car c'est un langage de "bas niveau" .
Les différents types de virus
Il existe de multiples virus donc dans différentes catégories . Il se peut que vous ne les connaissiez même pas toutes car il y a des familles qui se font rares. Il existe donc :
- Virus de Boot (virus de secteur d'amorçage ou virus de partitions)
- Virus de fichiers
- Virus de dossiers
- Les compagnons ( Virus MS-DOS )
- Virus Action Directe
- Virus Stealths (ou furtif )
- Virus polymorphes
- Virus tunnels et les rétrovirus ( dit aussi flibustiers, virus d'anti-virus)
- Macro virus
- Virus ANSI
- Bombes logiques
- Chevaux de Troie
- Virus hydriques ( combinaison de plusieurs familles )
Cette liste me parait décrire tous les types de virus connus.
Fonctionnement des virus
Les virus de BOOT
Le secteur de BOOT ( amorçage de la machine ) contient l'enregistrement d'amorçage principale. Il est stocké sur le premier secteur de votre disque dur (cylindre 0, tête 0, secteur 0 ou parfois 1 ) c'est à dire qu'il va s'exécuter au démarrage de votre pc et le contaminer à chaque démarrage. Le secteur d'amorçage étant propre au système d'exploitation, le virus doit pouvoir être en mode écriture au cas où l'utilisateur voudrait changer d'utilisateur. Il peut contaminer aussi bien un disque dur qu'une disquette. Il a donc un contrôle complet sur la machine. Vu qu'ils sont dans le premier secteur, ces virus sont extrêmement difficile à s'en débarrasser.
Les virus de fichiers
Ce sont les fichiers les plus répandus, plus classiques. Ils contaminent les applications (.EXE ou .COM ), les .DLL, les .OCX, et aussi les fichiers systèmes de l'ordinateur ( .SYS ou .DRV ) principalement. Leur principal atout est leur vitesse de propagation. Il existe certains qui résident en mémoire. Le virus entre en fonctionnement lors de l'exécution d'un fichier infecté. S'i le virus n'est pas résident en mémoire, il cherche un fichier cible sinon celui-ci est désigné par l'utilisateur. Le virus intercepte l'appel à ce moment précis et vérifie si le fichier est contaminé. Si ce n'est pas le cas, il s'incorpore au début du fichiers. Le programme viral est donc exécuté en premier ou alors, si le programme est déjà infecté, le virus se met dans la mémoire à la recherche d'autres applications cibles. C'est un cercle vicieux. Ce type de virus est, contrairement à d'autres, facile à détecter car ils sont toujours actifs et augmentent la taille de l'application. La taille augmentée est en fonction de celle du virus. En revanche, il ne s'active pas directement dans la mémoire du pc à chaque démarrage mais peut-être rapidement exécuté si une application comme "explorer.exe, iexplorer.exe" est rapidement chargée.
Les virus de dossiers
Ce type de virus rare est particulièrement coriace. Ces virus exploitent le mode de gestion des supports. Ils utilisent un dossier qui reçoit l'adresse physique de la première unité d'allocation de la totalité des fichiers du support (disque dur, disquette ). Quand l'utilisateur appelle un fichier de programme, le virus s'interpose et se procure l'adresse de début de ce fichier en consultant le dossier et la remplace par sa propre adresse. Il enregistre la véritable adresse dans sa base de données personnelle de manière à exécuter des logiciels infectés quand on lui demande. Il sert an fait d'intermédiaire entre l'appel des fichiers et leurs correspondances dans le dossiers et contaminent chaque fichier accéder masquant sa présence en l'exécutant. Quand tout le disque est endommagé, il finit par causer de grave dégâts à votre système. La meilleure parade reste la sauvegarde de vos données et évidemment un bon anti-virus.
Les compagnons ( ou virus MS-DOS )
Ces virus sont rares. Ils étaient utilisés au temps de MS-DOS. Ils sont transmis par les fichiers programmes comme les virus de fichiers. Ils s'attaquent seulement à certains exécutable (.COM, .EXE, .BAT ) et aux formats archives (.ZIP, .RAR ... ). Ces virus exploitent une faille qui consiste à exécuter un fichier .COM au lieu d'un fichier .EXE ou .BAT. Lorsqu'on appelle un fichier sous MS-DOS, il n'est pas nécessaire d'en préciser l'extension. Dans ce cas MS-DOS cherche d'abord parmi les .COM, après les .EXE et enfin les .BAT. Le virus exploite cette caractéristique en créant un fichier .COM du nom du fichier .EXE, et en y intégrant son code. Lancé en mémoire, quand un fichier .EXE est lancé, il crée dans le répertoire un fichier .COM du même nom et lui affecte l'attribut caché (car les .COM sont exécutés avant ). Il appelle ensuite le programme d'origine de sorte que l'utilisateur ne le démasque pas. Mais maintenant Windows empêche cette manipulation et le virus ne peut s'exprimer que sous MS-DOS.
Les virus de type action directe
Ces programmes, considérés comme virus de fichiers, sont actifs jusqu'à l'arrêt du pc et infectent le plus de fichiers en un temps record. En faisant une analyse de la mémoire vive nous pouvons les détecter. Leur mode d'infections sont les disquettes, les CD-ROM, le courrier électronique, les transfert de fichiers et les téléchargements. Le virus commence par un branchement en fin de fichier, vers le code viral. LE code du virus se termine par un retour au programme d'origine afin de passer inaperçu pour l'utilisateur. Il provoque une augmentation de la taille du programme d'origine.
Les virus furtifs ( stealth )
Ce n'est pas une catégorie de virus proprement dit, c'est en fait une technique. Ils parviennent à déjouer la surveillance des anti-virus en leur faisant croire que le système est sain. Il intercepte les demandes du système ou de l'utilisateur afin de ne pas se dévoiler. Il présente les informations demandé par le système comme avant l'infection c'est à dire que l'utilisateur n'y voit que du feu. Il peuvent disparaitre juste pendant le scann de l'anti-virus et s'exécuter juste après. Les virus peuvent entreprendre les mêmes actions que tout autre virus mais possède un potentiel destructeur très important car leur protection leur permet de rester caché plus longtemps.
Les virus polymorphes ( ou mutants )
Ici aussi c'est une caractéristique qui crypte leur code afin de rester inaperçu. Cette technique consiste à changer la licence du logiciel afin de ne pas se faire repérer ( car chaque virus possède une signature ).Cette signature permet aux anti-virus de débusquer les malfaiteurs car le détecteur cherche les signatures dans tous les programmes du disque dur. Certains utilisent même une technique de codage avancée. Le programme et le virus sont ainsi crypté sauf le premier segment qui sert à la décryptions .
Virus tunnel et rétrovirus ou flibustier ( bounty hunters )
Les virus tunnel sont crées afin de contrer un anti-virus pour le désactiver, le supprimer ou tout ce que vous voulez. Mais comme les anti-virus mettent au point à chaque fois des parades contre ce type de virus, leur temps d'activité reste limité.
Les rétrovirus ou virus flibustiers sont un peu plus agressifs. Ils endommages les fichiers systèmes de votre anti-virus afin de le rendre inopérationnel. Ils modifient de même les fichiers de configurations afin de neutraliser le prochain lancement du scann.
Macrovirus
Ce type de virus n'est pas constitué d'un code binaire, mais d'instructions d'un macro-langage tel que le VBA de Ms Office ou de Script le Lotus Smart Suite. Ces langages étant assez simples ont permis un développement impressionnant de ce type de virus. Le fait que personnes ne s'en méfiait a aussi joué pour beaucoup. Bien qu'il existe des patchs pour ces logiciels, ces virus sont très dangereux.
Virus ANSI
De nombreux pc utilisent au démarrage un pilotes de claviers appelé "Ansi.sys". Ce fichier consiste à changer les paramètres du clavier, d'associer une commande à une touche ... Ces virus exploitent cette faille et associent une commande pour supprimer tout un dossier ou autres actions pas cool pour l'utilisateur. Les pc sous Win 9x ne nécessite plus ce pilote donc le danger semble écarté.
Bombes logique
Ce sont des codes viraux qui s'exécutent lors d'un évènement spécial. Ces évènements peuvent être à une date précise, à la fin d'un niveau d'un jeu ou à un nouveau record ( dans ce cas le virus est directement dans le jeu ).
Chevaux de Troie ( ou trojan )
Les chevaux de Troie sont un peu différents. Ils sont constitués de 3 parties généralement : "serveur.exe", "client.exe" et "editserveur.exe". Ils permettent de prendre le contrôle d'un pc à distance. Le fichier "serveur.exe" est le fichier sur lequel il ne faut pas cliqué car c'est celui qui infecte la machine. Le fichier "client.exe" est celui qui vous permettra de prendre le contrôle de la machine une fois que la victime aura cliqué sur "serveur.exe". Quant au fichier "editserveur.exe" il n'est pas toujours présent; celui-ci permet de configurer "serveur.exe". Les actions que font ces virus sont prendre le contrôle de la souris, faire des capture d'écran, avoir les mot de passe de la victime, transfert de fichier .... Ces virus sont extrêmement dangereux et permettent surtout de faire des choses pas très légales. En revanche, vous pouvez utiliser ces virus si vous désirez des fichiers sur votre ordinateur et que vous n'êtes pas chez vous ...
Virus hydriques
Ces virus sont constitués de plusieurs familles c'est à dire qu'un virus peut être un virus de BOOT, tout en étant furtif et polymorphe. Avec des combinaisons dangereuses ils peuvent être très dangereux. Ce sont même les plus dangereux des virus.
Si vous avez des explication sur d'autre virus ou de fonctionnalité déposé la en commentaire je vais les publier après être bien sur de ce que vous demandez merci.
Tout d'abord un virus qu'est-ce que c'est ?
Un virus est un programme informatif créé dans le but de nuire. Certains peuvent avoir des effets catastrophiques. Il existe plusieurs sortes de contaminations de virus : les contaminations par fichiers qui se transmettent de fichiers en fichiers et qui doivent détruire le plus de programmes possibles et ceux qui ne se contentent juste de faire des dégâts au moment du clic.
Les langages de programmations des virus
Il existe plus de 60000 virus à ce jour et tous programmés en asm ( assembleur), VBScript, JavaScript, Batch voire certains en C++ . Le langage le plus utilisé dans la programmation des virus reste l'assembleur suivi du VBScript, Batch et C++ . Le but de ces programmes étant de posséder une taille minimum afin d'être moins détectable et ce qui traduit le mieux cette fonction est l'assembleur car c'est un langage de "bas niveau" .
Les différents types de virus
Il existe de multiples virus donc dans différentes catégories . Il se peut que vous ne les connaissiez même pas toutes car il y a des familles qui se font rares. Il existe donc :
- Virus de Boot (virus de secteur d'amorçage ou virus de partitions)
- Virus de fichiers
- Virus de dossiers
- Les compagnons ( Virus MS-DOS )
- Virus Action Directe
- Virus Stealths (ou furtif )
- Virus polymorphes
- Virus tunnels et les rétrovirus ( dit aussi flibustiers, virus d'anti-virus)
- Macro virus
- Virus ANSI
- Bombes logiques
- Chevaux de Troie
- Virus hydriques ( combinaison de plusieurs familles )
Cette liste me parait décrire tous les types de virus connus.
Fonctionnement des virus
Les virus de BOOT
Le secteur de BOOT ( amorçage de la machine ) contient l'enregistrement d'amorçage principale. Il est stocké sur le premier secteur de votre disque dur (cylindre 0, tête 0, secteur 0 ou parfois 1 ) c'est à dire qu'il va s'exécuter au démarrage de votre pc et le contaminer à chaque démarrage. Le secteur d'amorçage étant propre au système d'exploitation, le virus doit pouvoir être en mode écriture au cas où l'utilisateur voudrait changer d'utilisateur. Il peut contaminer aussi bien un disque dur qu'une disquette. Il a donc un contrôle complet sur la machine. Vu qu'ils sont dans le premier secteur, ces virus sont extrêmement difficile à s'en débarrasser.
Les virus de fichiers
Ce sont les fichiers les plus répandus, plus classiques. Ils contaminent les applications (.EXE ou .COM ), les .DLL, les .OCX, et aussi les fichiers systèmes de l'ordinateur ( .SYS ou .DRV ) principalement. Leur principal atout est leur vitesse de propagation. Il existe certains qui résident en mémoire. Le virus entre en fonctionnement lors de l'exécution d'un fichier infecté. S'i le virus n'est pas résident en mémoire, il cherche un fichier cible sinon celui-ci est désigné par l'utilisateur. Le virus intercepte l'appel à ce moment précis et vérifie si le fichier est contaminé. Si ce n'est pas le cas, il s'incorpore au début du fichiers. Le programme viral est donc exécuté en premier ou alors, si le programme est déjà infecté, le virus se met dans la mémoire à la recherche d'autres applications cibles. C'est un cercle vicieux. Ce type de virus est, contrairement à d'autres, facile à détecter car ils sont toujours actifs et augmentent la taille de l'application. La taille augmentée est en fonction de celle du virus. En revanche, il ne s'active pas directement dans la mémoire du pc à chaque démarrage mais peut-être rapidement exécuté si une application comme "explorer.exe, iexplorer.exe" est rapidement chargée.
Les virus de dossiers
Ce type de virus rare est particulièrement coriace. Ces virus exploitent le mode de gestion des supports. Ils utilisent un dossier qui reçoit l'adresse physique de la première unité d'allocation de la totalité des fichiers du support (disque dur, disquette ). Quand l'utilisateur appelle un fichier de programme, le virus s'interpose et se procure l'adresse de début de ce fichier en consultant le dossier et la remplace par sa propre adresse. Il enregistre la véritable adresse dans sa base de données personnelle de manière à exécuter des logiciels infectés quand on lui demande. Il sert an fait d'intermédiaire entre l'appel des fichiers et leurs correspondances dans le dossiers et contaminent chaque fichier accéder masquant sa présence en l'exécutant. Quand tout le disque est endommagé, il finit par causer de grave dégâts à votre système. La meilleure parade reste la sauvegarde de vos données et évidemment un bon anti-virus.
Les compagnons ( ou virus MS-DOS )
Ces virus sont rares. Ils étaient utilisés au temps de MS-DOS. Ils sont transmis par les fichiers programmes comme les virus de fichiers. Ils s'attaquent seulement à certains exécutable (.COM, .EXE, .BAT ) et aux formats archives (.ZIP, .RAR ... ). Ces virus exploitent une faille qui consiste à exécuter un fichier .COM au lieu d'un fichier .EXE ou .BAT. Lorsqu'on appelle un fichier sous MS-DOS, il n'est pas nécessaire d'en préciser l'extension. Dans ce cas MS-DOS cherche d'abord parmi les .COM, après les .EXE et enfin les .BAT. Le virus exploite cette caractéristique en créant un fichier .COM du nom du fichier .EXE, et en y intégrant son code. Lancé en mémoire, quand un fichier .EXE est lancé, il crée dans le répertoire un fichier .COM du même nom et lui affecte l'attribut caché (car les .COM sont exécutés avant ). Il appelle ensuite le programme d'origine de sorte que l'utilisateur ne le démasque pas. Mais maintenant Windows empêche cette manipulation et le virus ne peut s'exprimer que sous MS-DOS.
Les virus de type action directe
Ces programmes, considérés comme virus de fichiers, sont actifs jusqu'à l'arrêt du pc et infectent le plus de fichiers en un temps record. En faisant une analyse de la mémoire vive nous pouvons les détecter. Leur mode d'infections sont les disquettes, les CD-ROM, le courrier électronique, les transfert de fichiers et les téléchargements. Le virus commence par un branchement en fin de fichier, vers le code viral. LE code du virus se termine par un retour au programme d'origine afin de passer inaperçu pour l'utilisateur. Il provoque une augmentation de la taille du programme d'origine.
Les virus furtifs ( stealth )
Ce n'est pas une catégorie de virus proprement dit, c'est en fait une technique. Ils parviennent à déjouer la surveillance des anti-virus en leur faisant croire que le système est sain. Il intercepte les demandes du système ou de l'utilisateur afin de ne pas se dévoiler. Il présente les informations demandé par le système comme avant l'infection c'est à dire que l'utilisateur n'y voit que du feu. Il peuvent disparaitre juste pendant le scann de l'anti-virus et s'exécuter juste après. Les virus peuvent entreprendre les mêmes actions que tout autre virus mais possède un potentiel destructeur très important car leur protection leur permet de rester caché plus longtemps.
Les virus polymorphes ( ou mutants )
Ici aussi c'est une caractéristique qui crypte leur code afin de rester inaperçu. Cette technique consiste à changer la licence du logiciel afin de ne pas se faire repérer ( car chaque virus possède une signature ).Cette signature permet aux anti-virus de débusquer les malfaiteurs car le détecteur cherche les signatures dans tous les programmes du disque dur. Certains utilisent même une technique de codage avancée. Le programme et le virus sont ainsi crypté sauf le premier segment qui sert à la décryptions .
Virus tunnel et rétrovirus ou flibustier ( bounty hunters )
Les virus tunnel sont crées afin de contrer un anti-virus pour le désactiver, le supprimer ou tout ce que vous voulez. Mais comme les anti-virus mettent au point à chaque fois des parades contre ce type de virus, leur temps d'activité reste limité.
Les rétrovirus ou virus flibustiers sont un peu plus agressifs. Ils endommages les fichiers systèmes de votre anti-virus afin de le rendre inopérationnel. Ils modifient de même les fichiers de configurations afin de neutraliser le prochain lancement du scann.
Macrovirus
Ce type de virus n'est pas constitué d'un code binaire, mais d'instructions d'un macro-langage tel que le VBA de Ms Office ou de Script le Lotus Smart Suite. Ces langages étant assez simples ont permis un développement impressionnant de ce type de virus. Le fait que personnes ne s'en méfiait a aussi joué pour beaucoup. Bien qu'il existe des patchs pour ces logiciels, ces virus sont très dangereux.
Virus ANSI
De nombreux pc utilisent au démarrage un pilotes de claviers appelé "Ansi.sys". Ce fichier consiste à changer les paramètres du clavier, d'associer une commande à une touche ... Ces virus exploitent cette faille et associent une commande pour supprimer tout un dossier ou autres actions pas cool pour l'utilisateur. Les pc sous Win 9x ne nécessite plus ce pilote donc le danger semble écarté.
Bombes logique
Ce sont des codes viraux qui s'exécutent lors d'un évènement spécial. Ces évènements peuvent être à une date précise, à la fin d'un niveau d'un jeu ou à un nouveau record ( dans ce cas le virus est directement dans le jeu ).
Chevaux de Troie ( ou trojan )
Les chevaux de Troie sont un peu différents. Ils sont constitués de 3 parties généralement : "serveur.exe", "client.exe" et "editserveur.exe". Ils permettent de prendre le contrôle d'un pc à distance. Le fichier "serveur.exe" est le fichier sur lequel il ne faut pas cliqué car c'est celui qui infecte la machine. Le fichier "client.exe" est celui qui vous permettra de prendre le contrôle de la machine une fois que la victime aura cliqué sur "serveur.exe". Quant au fichier "editserveur.exe" il n'est pas toujours présent; celui-ci permet de configurer "serveur.exe". Les actions que font ces virus sont prendre le contrôle de la souris, faire des capture d'écran, avoir les mot de passe de la victime, transfert de fichier .... Ces virus sont extrêmement dangereux et permettent surtout de faire des choses pas très légales. En revanche, vous pouvez utiliser ces virus si vous désirez des fichiers sur votre ordinateur et que vous n'êtes pas chez vous ...
Virus hydriques
Ces virus sont constitués de plusieurs familles c'est à dire qu'un virus peut être un virus de BOOT, tout en étant furtif et polymorphe. Avec des combinaisons dangereuses ils peuvent être très dangereux. Ce sont même les plus dangereux des virus.
Si vous avez des explication sur d'autre virus ou de fonctionnalité déposé la en commentaire je vais les publier après être bien sur de ce que vous demandez merci.
