virologieDEMO

Qu'est ce qu'un VIRUS?

Un virus informatique est un petit programme écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais aussi les disquettes, les cédéroms, les clefs USB etc. Son appellation provient d'une analogie avec le virus biologique puisqu'il présente des similitudes dans sa manière de se propager et de se reproduire.

Le nombre total de virus couverts par Sophos s’élève à 93 875 (tous types confondus, en aout 2004) d'après Mag-securs. Ce chiffre n'est qu'une approximation grossière du nombre réel de virus en circulation, chaque éditeur d'antivirus ayant intérêt à "gonfler" la réalité, d'autant plus que sur tous les virus identifiés, très peu atteignent le stade de la diffusion massive sur les réseaux. La très grande majorité concerne la plate-forme Windows.

Le reste est essentiellement destiné à des systèmes d'exploitation qui ne sont plus distribués depuis quelques années (comme Mac OS 9 et ses prédécesseurs). Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de système d'exploitation totalement sains.

Les différents types de virus: Le virus classique est un morceau de programme, souvent écrit en assembleur, qui s'intègre dans un programme normal, le plus souvent à la fin, mais aussi au début ou même au milieu. À chaque fois que l'utilisateur exécute ce programme « infecté » il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge virale, il peut après un certain laps de temps (qui peut être très long) ou un évènement particulier, corrompre des fonctions du système de l'ordinateur ou des fichiers de l'utilisateur. Cela peut aller d'un simple message anodin à la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique ou de charge utile. Les vers, qui se répandent dans le courrier électronique en profitant des failles des différents logiciels de messagerie (notamment Microsoft Outlook). Dès qu'ils ont infecté un ordinateur, ils s'envoient eux-même dans tout le carnet d'adresses, ce qui fait que l'on reçoit ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante (I Love You). Les experts n'arrivent pas à se mettre d'accord sur l'appartenance ou non des vers à la classe des virus informatiques. Les macro-virus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme.

D'autres menaces peuvent être rapprochées des virus, ils s'en distinguent souvent par l'absence de système de reproduction caractéristique des virus : Les spywares, logiciels espions accompagnant certains graticiels (mais pas les logiciels libres), partagiciels et pilotes de périphériques, s'installant discretement sur l'ordinateur, sans prevenir l'utilisateur, et collectant et envoyant des informations personnelles à des organismes tierces. Les canulars (hoax en anglais) dont le contenu est souvent une alerte sur un faux-virus et qui ne visent qu'à saturer les serveurs de mails de messages inutiles. Les chevaux de Troie, ce nom vient de la célèbre ruse imaginée par Ulysse. Ces programmes prétendent être légitimes (souvent de petits jeux ou utilitaires), mais comportent des routines nuisibles exécutées sans l'autorisation de l'utilisateur. On confond souvent les chevaux de Troie avec les backdoors. Ces derniers sont en effet une catégorie de chevaux de Troie, mais pas la seule. Les backdoors prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler par le biais d'Internet. Les chevaux de Troie ne sont pas des virus car il leur manque la fonction de reproduction, essentielle pour qu'un programme puisse être considéré comme un virus.

retour Haut de page

Les logiciels antivirus
Les antivirus sont des logiciels capables de détecter des virus, détruire, mettre en quarantaine et parfois de réparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles : la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ; la détection d'instructions suspectes dans le code d'un programme (analyse heuristique); la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ; la détection d'ordres suspects ; la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, ...

Dénomination des virus

Lors de leur découverte, les virus se voient attribuer un nom. Celui-ci est en théorie conforme à la convention signée en 1991 par les membres de CARO (Computer Antivirus Research Organization). Il se détermine ainsi :
1- en préfixe, le mode d'infection (macro virus, cheval de Troie, ver,...) ou du système d'exploitation concerné ;
2- un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ;
3- en suffixe un numéro de version (les virus sont souvent repris sous formes de variantes comportant des similitudes avec la version d'origine).

Malheureusement, les laboratoires d'analyse des différents éditeurs antiviraux affectent parfois leur propre appellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations.

C'est ainsi que, par exemple, le virus Netsky dans sa variante Q sera appelé W32.Netsky.Q@mm chez Symantec, WORM_NETSKY.Q chez Trend Micro, W32/Netsky.Q.worm chez Panda ou I-Worm.NetSky.r chez Kaspersky.

Il est cependant possible d'effectuer des recherches génériques pour un nom donné grâce à des moteurs de recherche spécialisés, comme celui de Virus Bulletin ou de Kevin Spicer.

retour Haut de page

Virologie

Le terme virus informatique a été créé par analogie avec le virus en biologie : un virus informatique utilise son hôte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre à d'autres ordinateurs.
Comme pour les virus biologiques, où la diversité génétique ralentit les chances de croissance d'un virus, en informatique ce sont les systèmes les plus répandus qui sont le plus atteints par les virus : (Microsoft Windows, Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer et Microsoft Internet Information Server).
Cependant, des systèmes moins répandus ne sont pas touchés proportionnellement. La majorité des autres systèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestion des droits de chaque utilisateur, qui leur permet d'éviter les attaques les plus simples et les dégâts sont normalement circonscrits à l'utilisateur, laissant la base du système d'exploitation intacte. Les versions professionnelles de Windows (NT/2000/XP pro) permettent cependant de gérer les droits de la même manière. Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, qui fait de lui une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées. La possibilité d'exécuter automatiquement des scripts dans les courriels est une autre source d'infection. La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions).
De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.



	Qu'est ce qu'un VIRUS?

Les différents virus Autres menaces Dénomination des virus	Un virus informatique est un petit programme écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais aussi les disquettes, les cédéroms, les clefs USB etc. Son appellation provient d'une analogie avec le virus biologique puisqu'il présente des similitudes dans sa manière de se propager et de se reproduire.		les logiciels antivirus Virologie lutter contre virus
			les logiciels antivirus Virologie lutter contre virus

	Le nombre total de virus couverts par Sophos s’élève à 93 875 (tous types confondus, en aout 2004) d'après Mag-securs. Ce chiffre n'est qu'une approximation grossière du nombre réel de virus en circulation, chaque éditeur d'antivirus ayant intérêt à "gonfler" la réalité, d'autant plus que sur tous les virus identifiés, très peu atteignent le stade de la diffusion massive sur les réseaux. La très grande majorité concerne la plate-forme Windows.

	Le reste est essentiellement destiné à des systèmes d'exploitation qui ne sont plus distribués depuis quelques années (comme Mac OS 9 et ses prédécesseurs). Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de système d'exploitation totalement sains.

Les différents types de virus: Le virus classique est un morceau de programme, souvent écrit en assembleur, qui s'intègre dans un programme normal, le plus souvent à la fin, mais aussi au début ou même au milieu. À chaque fois que l'utilisateur exécute ce programme « infecté » il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge virale, il peut après un certain laps de temps (qui peut être très long) ou un évènement particulier, corrompre des fonctions du système de l'ordinateur ou des fichiers de l'utilisateur. Cela peut aller d'un simple message anodin à la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique ou de charge utile. Les vers, qui se répandent dans le courrier électronique en profitant des failles des différents logiciels de messagerie (notamment Microsoft Outlook). Dès qu'ils ont infecté un ordinateur, ils s'envoient eux-même dans tout le carnet d'adresses, ce qui fait que l'on reçoit ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante (I Love You). Les experts n'arrivent pas à se mettre d'accord sur l'appartenance ou non des vers à la classe des virus informatiques. Les macro-virus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme.		D'autres menaces peuvent être rapprochées des virus, ils s'en distinguent souvent par l'absence de système de reproduction caractéristique des virus : Les spywares, logiciels espions accompagnant certains graticiels (mais pas les logiciels libres), partagiciels et pilotes de périphériques, s'installant discretement sur l'ordinateur, sans prevenir l'utilisateur, et collectant et envoyant des informations personnelles à des organismes tierces. Les canulars (hoax en anglais) dont le contenu est souvent une alerte sur un faux-virus et qui ne visent qu'à saturer les serveurs de mails de messages inutiles. Les chevaux de Troie, ce nom vient de la célèbre ruse imaginée par Ulysse. Ces programmes prétendent être légitimes (souvent de petits jeux ou utilitaires), mais comportent des routines nuisibles exécutées sans l'autorisation de l'utilisateur. On confond souvent les chevaux de Troie avec les backdoors. Ces derniers sont en effet une catégorie de chevaux de Troie, mais pas la seule. Les backdoors prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler par le biais d'Internet. Les chevaux de Troie ne sont pas des virus car il leur manque la fonction de reproduction, essentielle pour qu'un programme puisse être considéré comme un virus. retour Haut de page



			retour Haut de page

Les logiciels antivirus Les antivirus sont des logiciels capables de détecter des virus, détruire, mettre en quarantaine et parfois de réparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles : la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ; la détection d'instructions suspectes dans le code d'un programme (analyse heuristique); la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ; la détection d'ordres suspects ; la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, ...
		retour Haut de page
Dénomination des virus Lors de leur découverte, les virus se voient attribuer un nom. Celui-ci est en théorie conforme à la convention signée en 1991 par les membres de CARO (Computer Antivirus Research Organization). Il se détermine ainsi : 1- en préfixe, le mode d'infection (macro virus, cheval de Troie, ver,...) ou du système d'exploitation concerné ; 2- un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ; 3- en suffixe un numéro de version (les virus sont souvent repris sous formes de variantes comportant des similitudes avec la version d'origine). Malheureusement, les laboratoires d'analyse des différents éditeurs antiviraux affectent parfois leur propre appellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations. C'est ainsi que, par exemple, le virus Netsky dans sa variante Q sera appelé W32.Netsky.Q@mm chez Symantec, WORM_NETSKY.Q chez Trend Micro, W32/Netsky.Q.worm chez Panda ou I-Worm.NetSky.r chez Kaspersky. Il est cependant possible d'effectuer des recherches génériques pour un nom donné grâce à des moteurs de recherche spécialisés, comme celui de Virus Bulletin ou de Kevin Spicer. retour Haut de page	les pop-ups: Bagle Tchernobyl Sasser Slammer I love you le Trojan AutoStart Flag Frankie Graphics Accelerator Init MacMag MDEF Nvir Scores SevenDust T4 WDEF (A et B) ZUCt	Virologie Le terme virus informatique a été créé par analogie avec le virus en biologie : un virus informatique utilise son hôte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre à d'autres ordinateurs. Comme pour les virus biologiques, où la diversité génétique ralentit les chances de croissance d'un virus, en informatique ce sont les systèmes les plus répandus qui sont le plus atteints par les virus : (Microsoft Windows, Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer et Microsoft Internet Information Server). Cependant, des systèmes moins répandus ne sont pas touchés proportionnellement. La majorité des autres systèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestion des droits de chaque utilisateur, qui leur permet d'éviter les attaques les plus simples et les dégâts sont normalement circonscrits à l'utilisateur, laissant la base du système d'exploitation intacte. Les versions professionnelles de Windows (NT/2000/XP pro) permettent cependant de gérer les droits de la même manière. Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, qui fait de lui une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées. La possibilité d'exécuter automatiquement des scripts dans les courriels est une autre source d'infection. La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions). De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.

Techniques de lutte contre les virus et les spywares et anti-intrusions. A) Utilisation d'un antivirus B) Utilisation d'un Firewall (verrouillage des ports et des protocoles dont l'utilisation n'est pas requise). C)Utilisation d'un Anti-spy D) L'utilisation des outils plus sécurisés mais surtout moins monopolistes de navigation, de mails etc. tels que Mozilla Firefox, Opera, Thunderbird ou Foxmail augmentent l'efficacité des moyens antivirus. Dans les entreprises, la diversification des operating systems OS est une solution complémentaire et raisonnable à la lutte antivirus comme l'introduction de systèmes logiciels ou matériels Unix, Linux ou propriétaires non standards dans la gestion des réseaux. On peut trouver des solutions logicielles professionnelles open sources performantes, stables et sécurisées telles que : Pour les serveurs http/mails/proxy : OS Linux - Firewall : standard Netbuilders (IPTABLES) et ses interfaces graphiques (shorewall) Messagerie : serveurs de mails Postfix ou Exim - Web serveur http : Apache - Proxy: Squid avec en antivirus (Clamav ) et en antispam (Squidguard) couplés à du filtrage par analyse de forme et de contenu Regexp. Moins couteuses, ces solutions professionnelles sont aussi efficaces et ergonomiques que leurs alter-egos commerciaux. Bien construites, elles sont extremement performantes et puissantes. Pour les postes clients d'un célébre constructeur: On peut construire et/ou compléter sa securité grace à des solutions Opensource relativement sures avec les excellents Mozilla, Firefox (navigateur), Thunderbird (client mail), Clamwin (antivirus ) et TDI (firewall ) et Spybot spyware. De bonnes alternatives commerciales existent. Il y a également des solutions gratuites intéressantes pour une utilisation non commerciale. Elles sont mentionnées plus loin. retour Haut de page