Qu'est-ce qu'un virus ?

Faut-il prendre la menace des virus au sérieux ?

Contrairement à la plupart des risques menaçant la sécurité des données informatiques, les virus peuvent rester dangereux, même si vous effectuez des sauvegardes régulières. Si celles-ci écartent le danger d'un désastre total provoqué par une attaque virale, des mesures supplémentaires semblent cependant nécessaires étant donné que les copies de sauvegarde peuvent elles-mêmes être infectées ou altérées. Si la sécurité n'est pas rigoureuse, un virus bien conçu peut ainsi se propager d'un ordinateur à l'autre, sans que vous ne vous en rendiez compte. Avec le temps, un virus peut infecter tous les ordinateurs d'une entreprise, sauvegardes comprises. Il peut même altérer les données très lentement de manière à rendre son action encore plus sournoise. Si le concepteur d'un tel virus était suffisamment compétent et machiavélique, les modifications pourraient être tellement subtiles qu'il serait pratiquement impossible de s'en apercevoir avant longtemps… C'est à dire, bien trop tard pour pouvoir réparer les dégâts occasionnés par ce virus ! Même si des différences dans les données sont perceptibles, elles sont souvent attribuées à des erreurs de saisie ou autres facteurs humains. Il s'agit là du dommage le plus grave, car il devient même impossible de faire confiance aux sauvegardes après la détection du virus.

Après s'être propagé pendant sa période de latence, un virus peut devenir actif et contaminer soudainement la totalité des ordinateurs d'un réseau, semant la pagaille. L'étendue des dommages occasionnés par de telles bombes à retardement peut aller du simple "souci technique" jusqu'au problème majeur… et malheureusement très souvent dévastateur ! Les conséquences d'un virus peuvent s'avérer catastrophiques pour une entreprise, notamment dans le domaine de l'image de marque et du rapport au client. Certains virus sont en effet capables de se transmettre automatiquement via le carnet d'adresses de la messagerie électronique, contaminant ainsi l'ensemble des fichiers-clients! Or, quelle société souhaite prendre le risque de transmettre un virus, quand bien même celui-ci ne causerait que des dommages mineurs, à ses partenaires et clients ?

Il est en outre extrêmement difficile d'être absolument certain qu'un virus soit inoffensif. Même si l'éventualité d'un virus possédant un très fort degré de nuisance est relativement faible, le danger reste bien réel et ne doit pas être ignoré pour autant. Le coût du développement de consignes de sécurité appropriées et l'achat d'un logiciel antivirus efficace semble donc relativement faible comparé aux conséquences financières d'une intrusion virale au sein d'un réseau d'entreprise.

Idées fausses sur les virus.

Les fausses idées sur les virus sont aussi répandues que les virus eux-mêmes. Les utilisateurs n'ayant aucune connaissance des logiciels de protection contre les virus pourront trouver ici des informations élémentaires très utiles. Un certain nombre d'idées pré-conçues se trouvent également expliquées et démystifiées.

«Les virus se propagent d'eux-mêmes.»
Les virus ne peuvent pas être exécutés automatiquement. Par conséquent, ils ne peuvent pas non plus se propager spontanément. Un virus ne peut rien faire tant qu'un programme infecté n'est pas exécuté ou que l'ordinateur n'est pas lancé à partir d'une disquette infectée.

«Les virus peuvent infecter des disquettes protégées en écriture.»
Si une disquette est physiquement protégée en écriture, rien ne peut y être inscrit. Les virus ne peuvent pas infecter des disquettes protégées manuellement. Toutefois, les disquettes deviennent vulnérables lorsque la protection est désactivée. C'est la raison pour laquelle les disquettes protégées en écriture doivent être analysées.

«Certains virus sont complètement inoffensifs.»
Il existe des virus qui ne détruisent pas les informations intentionnellement. En fait, la plupart des virus ne font rien d'autre que se propager, alors que certains se contentent d'afficher un message quelconque de temps à autre. L'utilisateur peut alors penser que le virus en question est entièrement inoffensif. A vrai dire, les virus inoffensifs n'existent pas. Dans tous les cas, les virus augmentent la charge de l'ordinateur et changent le code du programme sans que l'utilisateur en ait connaissance. Même un simple virus considéré comme "inoffensif" peut empêcher certains programmes de fonctionner. Dans tous les cas, les virus consomment de l'espace sur le disque, espace qui serait mieux employé à un autre usage.

«Seuls les programmes piratés contiennent des virus.»
Dans la plupart des cas, les infections se propagent par le biais des programmes copiés. Il est fréquent de trouver l'origine d'infections virales dans des programmes du domaine public et des partagiciels (shareware) ou encore dans des copies illégales de ces programmes. Malheureusement, un très grand nombre d'infections virales proviennent des disquettes de programmes d'origine. Les statistiques attestent en effet de douzaines de cas dans lesquels les logiciels commerciaux, en principe totalement fiables, étaient eux-mêmes vecteurs de virus. Des centaines de milliers de disquettes infectées ont ainsi été livrées à des clients confiants. Après tout, pourquoi devrait-on se méfier de disquettes de logiciels et de programmes protégées en écriture, tout particulièrement si elles proviennent d'un grand éditeur de renom ?

«Les programmes antivirus offrent une protection totale contre les virus.»
Il est important de ne pas oublier que les programmes qui permettent de rechercher des virus (programmes d'analyse) ne peuvent identifier que les virus connus. Les méthodes d'analyse heuristique perfectionnées utilisées par Securitoo AntiVirus permettent quant à elles de détecter la présence de virus inconnus, mais pas de les identifier. C'est la raison pour laquelle nous proposons un service de mise à jour permanent.

«Les virus peuvent détruire les ordinateurs.»
Un ordinateur ne peut pas être détruit " physiquement " par un programme. De temps à autre, des rumeurs selon lesquelles certains virus ont fait exploser des moniteurs ou endommagé des disques durs, se mettent à circuler. Cependant, aucun de ces cas n'a pu être vérifié jusqu'à présent.

«Les infections virales n'arrivent qu'aux autres.»
Le risque d'être contaminé par un virus informatique diminue lorsqu'un volume moins important de données extérieures est récupéré. En pratique, personne n'est totalement à l'abri. D'autre part, la menace virale est souvent exagérée.

«Les infections virales peuvent être seulement éradiquées par le formatage du disque dur.»
Le formatage du disque dur est une solution extrême à laquelle il est rarement nécessaire d'avoir recours pour se débarrasser d'un virus. Le nettoyage peut généralement être effectué grâce à un programme antivirus de qualité.

Les différents types de virus.

Les virus macro.
Les virus macro sont écrits dans le langage macro d'une application, généralement Microsoft Word et Excel. Ils se propagent lors de l'ouverture d'un document infecté ou de l'enregistrement de nouveaux documents. Ils constituent un véritable fléau car les documents s'échangent bien plus fréquemment que les fichiers exécutables ou les disquettes. Les nouveaux virus macro sont également très faciles à créer ou à modifier. Les premiers virus macro infectant les documents Microsoft Word ont été détectés en août 1995. En avril 1999, plus de 3800 de ces virus étaient répertoriés. Il s'agissait à ce moment-là du type de virus le plus couramment signalé dans le monde. Bien que d'autres logiciels de traitement de texte (WordPerfect et Word Pro, par exemple) puissent lire et écrire des documents Word, ils ne peuvent pas être infectés par des virus Microsoft Word. Securitoo Anti-Virus détecte, identifie et nettoie tous les virus macro susceptibles d'être rencontrés.

Les virus de fichier.
Les virus de fichier infectent les programmes exécutables (généralement les fichiers .com et .exe), mais ils infectent aussi parfois les fichiers de recouvrement ou de bibliothèque. Un fichier de recouvrement peut porter une extension quelconque, bien que les plus courantes soient .dll, .ovl et .ovr. En outre, le code exécutable se trouve dans les fichiers .sys, .drv et .fnt, ainsi que dans de nombreux autres types de fichiers. Un virus de fichier recherche un programme exécutable convenable dans lequel il ajoute son propre code, habituellement à la fin du fichier hôte. Pour être sûr de s'exécuter avec le programme parent, le virus ajoute une instruction de renvoi au début du programme. Ce renvoi transfère le contrôle au code du virus situé à la fin du code hôte. Une fois activé, le virus règne librement sur l'ordinateur. Normalement, le but d'un virus est de répandre l'infection. Cette opération se déroule de diverses façons.

Les virus résidents.
Lorsqu'un programme infecté est exécuté, le virus peut rester résident dans la mémoire et infecter tout autre programme exécuté. Les virus qui utilisent cette méthode sont appelés "virus résidents".

Les virus à action directe.
D'autres virus peuvent rechercher un nouveau fichier à contaminer lorsqu'ils sont activés. Après avoir infecté un nombre précis de nouvelles lignes, le virus transfère le contrôle au programme d'origine. Les virus qui utilisent cette méthode sont appelés "virus à action directe". Une fois le contrôle revenu au programme d'origine, son exécution continue de manière transparente.

Les bombes à retardement.
Après avoir infecté un ordinateur, le virus peut passer dans sa phase active, c'est-à-dire atteindre le but défini par l'auteur du virus. Cette transition peut avoir lieu à une date précise ou lorsqu'une condition particulière se présente. Dans sa phase active, le virus peut détruire des données ou agir de manière offensive, en formatant le disque dur, par exemple. Parfois, ces virus sont relativement inoffensifs. Tout au plus ralentissent-ils l'ordinateur chaque vendredi ou affichent-ils une balle qui rebondit à l'écran. Même si l'objectif premier d'un virus n'est pas d'être nuisible, il peut le devenir si son auteur n'est pas suffisamment compétent. En outre, il est possible de modifier un virus de façon à le rendre plus agressif. La suppression de données ou de programmes et le formatage ou l'écrasement des données contenues sur le disque dur par un virus constituent des dommages évidents et irréversibles. Cependant, d'autres formes de dommages, plus subtiles, sont envisageables. Certains virus peuvent modifier les données ou introduire des erreurs de saisie dans des textes. D'autres n'ont d'autre but intentionnel que de créer des copies. Les actions d'un virus ralentissent le démarrage du programme infecté. Les retards sont parfois si légers qu'il est presque impossible de les remarquer. Il existe toutefois des virus qui infectent un grand nombre de fichiers immédiatement après leur exécution, ce qui peut ralentir le démarrage du programme infecté de plusieurs dizaines de secondes. Lorsqu'un virus ajoute son code au programme, la taille du programme change. Pour contourner cette situation, certains virus stockent leur code dans une zone inhabituelle du fichier hôte. Dans ce cas, la taille du programme infecté ne change pas. La plupart des virus tentent de reconnaître les infections existant dans des fichiers afin de ne pas infecter une nouvelle fois les programmes qui le sont déjà. Habituellement, les virus marquent les fichiers infectés avec une sorte de marqueur facile à distinguer, tel que l'indication d'une valeur incorrecte au niveau du tampon horodateur. Securitoo Anti-Virus détecte, identifie et nettoie tous les virus de fichier susceptibles d'être rencontrés.

Les virus de secteur d'amorçage.
Comme son nom l'indique, un virus de secteur d'amorçage infecte le secteur d'amorçage d'un disque dur ou d'une disquette. Généralement, ce secteur contient le code de chargement des fichiers du système d'exploitation. Un virus de secteur d'amorçage remplace le secteur d'origine par sa copie et stocke l'original à un autre emplacement, ou le remplace purement et simplement. Lorsque l'ordinateur est lancé ultérieurement à partir de cette disquette, le virus prend le contrôle et se cache dans la RAM. Il charge ensuite le secteur d'amorçage d'origine et l'exécute. Tout semble normal. Toutefois, toutes les disquettes qui seront dès lors insérées dans l'ordinateur seront infectées par le virus. Toute disquette formatée contient un secteur d'amorçage. Toutes les disquettes système et de données, ainsi que toutes les disquettes contenant des programmes ou aucun fichier, renferment des codes dans leurs secteurs d'amorçage. Ce code est exécuté si le démarrage de l'ordinateur s'effectue à partir de la disquette. Si elle ne contient pas le système d'exploitation, le code du programme du secteur d'amorçage affiche un message du type : Disque non-système ou erreur disque Si la disquette est infectée, le disque dur l'est probablement déjà. La meilleure façon de protéger votre ordinateur des virus de secteur d'amorçage est d'éviter de démarrer l'ordinateur à partir d'un lecteur de disquettes. Vous pouvez effectuer cette opération dans le BIOS, mais il se peut que cette option ne soit pas disponible sur d'anciens modèles d'ordinateurs. Si l'ordinateur n'est pas équipé d'un disque dur et doit être démarré à partir d'une disquette, utilisez toujours la même disquette et veillez à ce qu'elle soit systématiquement protégée en écriture. La plupart des virus de secteur d'amorçage infectent l'enregistrement d'amorçage principal (MBR - master boot record) des disques durs. Ceci constitue un réel problème, car les MBR ne peuvent pas être nettoyés par la commande de formatage. La meilleure façon de nettoyer le MBR consiste à utiliser Securitoo Anti-Virus. Une autre solution revient à formater le disque à faible niveau, à recréer des partitions à l'aide de FDISK, à le formater avec la commande FORMAT et à restaurer son contenu à partir d'une copie de sauvegarde. Les virus de secteur d'amorçage peuvent infecter un PC, quel que soit son système d'exploitation (DOS, Windows, NT, Linux, NetWare, etc.). Les systèmes autres que DOS échouent généralement à l'amorçage dans ce cas. Etant donné que la taille de l'enregistrement d'amorçage est limitée à 512 octets sur une disquette, les virus volumineux doivent masquer une partie de leur code hors du secteur d'amorçage lui-même. De nombreux virus créent des secteurs défectueux sur le disque et y stockent leur code. Il peuvent également cacher leur code dans la zone réservée au répertoire principal. Une autre option consiste à formater une piste supplémentaire et à l'utiliser pour stocker le code du virus. Seuls les virus relativement sophistiqués utilisent ce dernier recours. Comme cinq formats de disquette sont disponibles (360 Ko, 1,2 Mo, 720 Ko, 1,44 Mo et 2,88 Mo), très peu de virus sont capables d'infecter tous les types de disquettes. Un virus de secteur d'amorçage se cache généralement en mémoire haute, réduisant ainsi la quantité de mémoire vue par DOS. Par exemple, un ordinateur avec 640 Ko peut sembler n'en avoir que 639 Ko. Certains modules BIOS utilisent également un ou deux kilo-octets de la mémoire DOS. Pour détecter les virus de secteur d'amorçage, Securitoo Anti-Virus vérifie le MBR, les secteurs d'amorçage, la table de partition et les autres emplacements où pourrait se cacher un virus. Ne démarrez jamais un ordinateur équipé d'un disque dur avec une disquette, car il s'agit de la seule façon d'infecter le disque dur avec un virus de secteur d'amorçage. Vous pouvez prévenir ce problème sur de nombreuses machines en définissant l'ordre d'amorçage dans le BIOS de l'ordinateur de façon à ce qu'il démarre toujours depuis le disque dur, même si une disquette est insérée dans le lecteur.

Les virus compagnons.
Les virus compagnons utilisent le DOS pour forcer leur exécution. Lorsque plusieurs fichiers portant le même nom de base, mais des extensions différentes, se trouvent dans le même répertoire, le fichier doté de l'extension .com est exécuté en premier. Ceci se produit uniquement lorsque l'entrée de la ligne de commande ne mentionne pas l'extension. Les virus compagnons tirent parti de cette fonction en sélectionnant un fichier . EXE et en créant un fichier .COM portant le même nom dans le même répertoire. Comme le fichier .COM peut être caché, il ne figure pas dans la liste des fichiers du répertoire. C'est lui qui contient le code du virus. Il est également possible de concevoir un virus compagnon qui passerait en premier dans l'ordre des répertoires spécifié dans la variable d'environnement PATH ou un virus qui utiliserait une autre méthode pour que son code soit exécuté avant le programme hôte. Une fois activé, un tel virus exécute le programme réel et prend de nouveau le contrôle lorsque l'exécution du programme est terminée. Securitoo Anti-Virus détecte, identifie et nettoie tous les virus compagnons susceptibles d'être rencontrés.

Les virus furtifs.
Il y a quelques années, il semblait que la meilleure arme contre les infections virales avait été trouvée. Il s'agissait d'une technique appelée "contrôle de somme". Les méthodes de contrôle de somme calculent une signature unique pour chaque fichier. En calculant de nouveau la chaîne de recherche de signature et en la comparant à son original stocké dans une base de données, il est possible de détecter chaque modification apportée à un fichier et assurer ainsi l'intégrité du système. Toutefois, il n'a pas fallu longtemps pour que les premiers virus furtifs d'infection de fichiers voient le jour et anéantissent les espoirs de victoire finale dans la bataille contre les virus. Un virus furtif falsifie les informations lues à partir d'un disque de façon à ce que le programme qui lit ce disque reçoive des données incorrectes. Le virus intercepte les vecteurs d'interruption utilisés pour lire les données du disque et envoie de fausses informations au programme en cours de lecture. Le programme reçoit ainsi des informations qui indiquent, de manière erronée, que tout va bien. Cette technique est employée avec succès par les virus de fichiers et les virus de secteur d'amorçage. Prenez, par exemple, le virus appelé Brain, le premier virus furtif connu. Brain est un virus de secteur d'amorçage qui transfère le contenu original du secteur à un endroit adapté du disque. Trop volumineux pour résider complètement sur l'enregistrement d'amorçage, il doit stocker une partie de son propre code dans la zone de données du disque. Lorsqu'un ordinateur est démarré à partir d'une disquette infectée, le virus est exécuté en premier. Après avoir pris le contrôle, Brain exécute le secteur d'amorçage d'origine. Tout semble normal à l'utilisateur, mais Brain observe toutes les lectures et écritures sur le disque. Au moment où un programme tente de lire le contenu du secteur d'amorçage, Brain répond par l'envoi du code d'origine du secteur d'amorçage depuis sa " cachette " sur le disque. Etant donné que le programme voit le code d'origine, tout paraît être en ordre, même si une disquette est infectée. Brain dirige toutes les tentatives d'écriture vers le secteur d'amorçage, protégeant ainsi son propre code. Des méthodes similaires sont également utilisées dans les virus qui infectent les fichiers. Un virus furtif peut intercepter toutes les lectures sur disque afin de soumettre de fausses informations. C'est la raison pour laquelle Securitoo Anti-Virus doit vérifier la mémoire RAM avant l'exécution. Si un virus furtif est déjà actif, il peut facilement falsifier toutes les lectures sur disque. Toutefois, même un virus furtif est incapable de cacher complètement son code dans la mémoire et il est possible de trouver un virus actif en vérifiant la totalité de la mémoire disponible avant de lancer une analyse. C'est ainsi que procède Securitoo Anti-Virus. Lorsque vous lancez Securitoo Anti-Virus pour Windows 3.1, Windows 95 ou Windows 98, la mémoire de l'ordinateur est analysée en premier. Le programme vérifie la mémoire dans la gamme 0 - 1088 Ko, accessible aux virus DOS. Des vérifications de système spécifiques sont lancées pour détecter les virus Windows. Lorsque Securitoo Anti-Virus pour Windows trouve un virus dans la mémoire, une boîte de dialogue apparaît, proposant d'enregistrer tous les travaux ouverts, avant la fermeture de Windows. Une fois la session Windows fermée, vous devez redémarrer l'ordinateur à partir d'une disquette saine, puis l'analyser avec Securitoo Anti-Virus pour DOS. Il n'est pas nécessaire que Securitoo Anti-Virus pour Windows NT effectue une analyse de la mémoire car Windows NT protège automatiquement la mémoire système et les zones de mémoire privées de chaque programme.

Les virus autocryptés, polymorphes et mutants.
La plupart des programmes d'analyse procèdent en examinant des chaînes de recherche de virus. Malheureusement, les virus qui modifient leur code entre les infections rendent impossible la reconnaissance du virus par chaîne de recherche. Les virus mutants changent leur code et, parfois, leur fonction entre plusieurs générations du même virus. La technique de mutation la plus courante est le cryptage. De nombreux virus mutants cryptent leur code grâce à un algorithme simple utilisant des données, telles que l'heure, comme clé de cryptage. Toutes les générations d'un même virus sont ainsi différentes les unes des autres, à l'exception de la routine de décryptage au début du code du virus. Pour que la routine de décryptage soit impossible ou peu pratique à utiliser comme chaîne de recherche, les auteurs de virus essayent de réduire la taille du virus. En effet, il n'est pas possible d'utiliser les très courtes chaînes de recherche, car la probabilité de trouver la même séquence d'octets dans les programmes normaux augmente, ce qui provoque de fausses alertes inutiles. La plupart des virus ne se cryptent qu'au moment de l'infection, bien que certains procèdent ainsi lorsqu'ils sont résidents dans la mémoire. Whale est l'un de ces virus très complexes et sophistiqués. L'auteur de virus bulgare Dark Avenger a créé un moteur de mutation de virus en 1991, appelé MtE. Le MtE pouvait être facilement incorporé à un virus. Il en résultait un virus qui était similaire au virus d'origine au point de vue de la fonction, mais qui était attaché au programme hôte dans l'une de ses nombreuses versions. Le MtE était distribué par des BBS illégaux comme fichier objet qui pouvait être joint à tout virus, ancien ou nouveau. Il est extrêmement difficile d'isoler une chaîne de recherche dans un virus crypté par MtE qui pourrait se retrouver dans la génération suivante du même virus. L'algorithme de cryptage utilisé par MtE est tellement évolué qu'un seul octet en commun peut se retrouver dans tous les fichiers cryptés par MtE. En outre, l'emplacement de cet octet varie. L'instruction commune est JNZ (Jump if Not Zero), que l'on retrouve dans pratiquement tous les programmes existants. Le MtE utilise de nombreux algorithmes de cryptage différents et ajoute aléatoirement des octets aux routines de décryptage. MtE n'est pas le seul générateur de mutation connu. Il en existe des douzaines. Plusieurs virus polymorphes ont été créés sans l'aide d'un générateur externe. Il existe d'autres méthodes de génération de virus mutants, outre le cryptage de leur code. L'une d'entre elles consiste à construire le virus à partir de petits modules qu'il est possible d'échanger à l'intérieur du code sans en modifier le fonctionnement. Securitoo Anti-Virus trouve les virus polymorphes grâce à son moteur d'analyse basé sur un émulateur.

Les rétrovirus.
L'action de certains virus est intentionnellement dirigée contre les programmes antivirus connus. Un virus peut rechercher des fichiers appartenant à un logiciel antivirus et les supprimer. Un virus actif peut identifier l'exécution d'un produit antivirus et bloquer l'ordinateur. Par conséquent, l'utilisateur est amené à croire que le programme d'analyse est à l'origine de ce problème. D'autres virus n'ont pas pour but la destruction du produit antivirus. Une autre façon encore plus sournoise de paralyser un programme antivirus consiste à apporter des modifications au programme lui-même. Le programme d'analyse semblera toujours fonctionner normalement, mais il ne trouvera plus de virus. Le virus Peach est un bon exemple de rétrovirus. Il s'agit d'un virus de fichier standard, mais qui comporte certaines fonctions dirigées contre le logiciel antivirus. Lorsque Peach infecte des fichiers .exe, il vérifie un certain octet dans les informations d'en-tête du fichier. Si l'octet a une valeur particulière, le fichier ne sera pas infecté. Peach tente apparemment de vérifier si le fichier est un certain programme connu. Les experts sur les virus doivent encore trouver quel programme Peach essaie d'éviter. Après vingt-sept exécutions, Peach attaque le logiciel Central Point Anti-Virus (CPAV) s'il est installé sur le même ordinateur. CPAV enregistre ses chaînes de recherche dans un seul fichier sur un disque et ne vérifie pas l'existence du fichier de chaîne de recherche. Peach supprime ce fichier et CPAV semble fonctionner normalement mais, en fait, ne reconnaît pas les virus à cause de l'absence du fichier de chaînes de recherche. Etant donné l'existence de rétrovirus, Securitoo Anti-Virus utilise de nombreuses techniques contre la falsification de ses fichiers.

Les virus multi-partition.
Les virus multi-partition utilisent plusieurs techniques d'infection. Ils infectent les fichiers exécutables, les secteurs d'amorçage, l'enregistrement d'amorçage principal (master boot record - MBR), les FAT ainsi que les répertoires. Les virus multi-partition ont une meilleure chance de survivre à un nettoyage que d'autres types de virus. Même si le virus est nettoyé des fichiers du programme, il les infectera de nouveau s'il n'est pas supprimé du secteur d'amorçage. Tequila est un virus multi-partition. Il infecte à la fois les fichiers .exe et l'enregistrement d'amorçage principal. Il dispose de mécanismes de cryptage et d'aptitudes avancées à se dissimuler. Securitoo Anti-Virus détecte, identifie et nettoie tous les virus multi-partition susceptibles d'être rencontrés.