AVERTISSEMENT:
Cet article donne juste un petit aperçu des virus et anti-virus.HISTOIRE :
Il ne se vaut pas exhaustif et est juste destiné à familiariser les membres de l'aFas, pour les ceux-ce qui ne le seraient pas encore ;-*), au danger des virus et à leur diffusion. Il est plus orienté personnel que professionnel. Je me suis cassé le c*l pour écrire cette page alors, même si vous savez tout des virus et anti-virus, lisez-là, elle vous sera surement utile, même si elle ne vous rappelle que des souvenirs d'anciens combattants ;-))
John Von Neuman est considéré comme un très grand mathématicien et le père de l'informatique. C'est lui, qui un beau jour de 1949 en découvrant le mécanisme d'autocopie de logiciels a crée le premier virus. Il venait de fonder le principe de réplication, base de tout virus. Le "Core War" fut un jeu organisé dans les laboratoires BELL d'ATT au milieu des années 1960. Le principe était d'installer sur un même disque dur deux programmes. Le vainqueur était celui qui détruirait l'autre programme et occuperait l'intégralité de la place disque. Ce jeu venait de poser le deuxième fondement du virus : analyse de l'environnement et modification de données. A cette époque, les disquettes faisaient 8 pouces et cohabitaient avec les cartes perforées, donc pas facile de se répliquer autre que par le réseau. C'est donc au début des annèes 1970 que les premiers vers font leurs apparitions. Avec l'avénemant de l'IBM PC et de l'os de Microsoft en juin 1986, BRAIN fit son apparition.
| Date de découverte | Nom du Virus | Type |
| 1986 - Juin | BRAIN | Premier virus |
| 1987 - Février | VIENNA | Premier code en librairie |
| 1987 - Août | JERUSALEM | Premier virus programme résident |
| 1987 - Décembre | STONED | Première infection mondiale |
| 1988 - Janvier | CASCADE | Premier virus crypté |
| 1989 - Août | DARK ADVENGER | Premier virus à ouverture de fichier |
| 1990 - Janvier | FRODO | Premier virus furtif |
| 1990 - Janvier | 1260 | Premier virus crypté polymorphe |
| 1990 - Mai | FISH | Premier virus réencrypté |
| 1990 - Août | WHALE | Premier virus défensif |
| 1992 - Septembre | WIN_VIR.14 | Premier virus WINDOWS 3.x |
| 1993 - Mars | BATMAN | Premier virus BATCH résident |
| 1993 - Avril | NOVEMBER 13 | Premier bios trojanisé |
| 1995 - Août | CONCEPT | Premier macro virus WORD |
| 1995- Septembre | RAIMBOWS | Premier virus rendant PC inaccessible |
| 1996 - Janvier | BOZA | Premier virus WIN95 |
| 1996 - Juin | LAROUX | Premier macro virus EXCEL |
| 1997 - Janvier | BLISS | Premier virus LINUX |
| 1997 - Février | SHAREFUN.A | Premier macro virus MSMAIL |
| 1997 - Février | NIGHTSHADE | Premier virus OFFICE 97 |
| 1997 - Juin | MAD 2736 | Premier virus crypté WIN95 |
| 1997 - Septembre | CABANAS | Premier virus WIN NT |
| 1997 - Octobre | NAVRHAR | Premier virus WORD + VxD |
| 1997 - Novembre | BLURP 4733 | Premier virus multi OS MAC + PC |
| 1998 - Janvier | PAIX.A | Premier virus de formule EXCEL |
| 1998 - Mars | ACCESS IV | Premier macro virus ACCESS |
| 1998 - Juin | CIH (Chernobyl) | Premier virus FLASH BIOS |
| 1998 - Août | BACKORIFICE | Premier trojan WINDOWS |
| 1998 - Août | STRANGEBREW | Premier virus JAVA |
| 1998 - Septembre | ATTACH | Premier macro virus POWERPOINT |
| 1999 - Janvier | HAPPY99 | Premier ver WINDOWS |
| 1999 - Janvier | REDIRECT | Premier ver HTML |
| 1999 - Mars | MELISSA | Premier macro virus à propagation rapide |
| 1999 - Décembre | VBS_KAKWORM | Premier virus à propagation lente via HTML |
| 2000 - Mai | I LOVE YOU | Premier virus VBS à technologie Activ'Mail |
| 2000 - Juin | SHS_STAGE | Premier virus à extension abîmée |
| 2000 - Août | TROJ_MTX | Premier anti anti-virus |
| 2000 - Octobre | I-Worm.PIF.Fable | Premier virus infectant un .pif |
| 2000 - Novembre | TROJ_SHOKWAVE | Premier vers à technologie Shockwave |
| 2001 - Avril | KOURNIKOVA | Premier trojan Mass Mailer |
| 2001 - Juillet | SIRCAM | Premier virus à serveur SMTP intégré. |
| 2001 - Août | PEACHY | Premier virus sur fichier PDF |
| 2001 - Novembre | W32/Kriz | Premier virus diffusé sur console de jeux Dreamcast Sega |
| 2001 - Décembre | GONER (Pentagone) | Premier virus de mail détruisant firewall et antivirus |
| 2001 - Décembre | MALDAL | Virus de mail détruisant firewall et antivirus. 30 minutes après infection, il détruit .DLL, .DRV, .VXD et .TSP. Ensuite il met hors tension l'ordinateur. |
| 2002 | Attente des premiers virus pour portable (Wap, GPRS) et Pocket (PalmOS, EPOC, PocketPC) |
EVOLUTION DU NOMBRE DE VIRUS :
| Année | Nombre de Virus connus |
| 1989 | 18 |
| 1991 | 409 |
| 1992 | 1161 |
| 1993 | 2723 |
| 1994 | 3973 |
| 1995 | 6006 |
| 1996 | 8281 |
| 1997 | 11241 |
| 1998 | 17745 |
| 1999 | 25182 |
| 2000 | 31320 |
| 2001 | 50676 |
Les virus ne se propage plus uniquement par le réseau, monté en puissance des firewalls oblige, mais de plus en plus via email en exploitant les failles de sécurité d'Outlook. Les virus utilisent également les nouveaux programmes de communication pour se propager (ICQ, Gnutella, MSN Messenger, IRC). Les Emails et l'Internet confortent leur position de premieres sources d'infection. Les vers infectant les serveurs réseaux à base de systèmes d'exploitation Microsoft font leur retour en force, mais Linux n'est pas épargné ... Les principales attaques sont le refus de service (Denial of Service) et le détournement de DNS
CYCLE DE VIE :
Création
Période de développement du virus.Gestation
Procédé de copie du virus pour une diffusion rapide.Reproduction
Un virus correctement conçu se reproduira un nombre de fois important avant de s'activer. C'est là le meilleur moyen de s'assurer de la pérennité d'un virus. Le plus difficile est de doser le période de reproduction et la période d'activation. Trop longue, le virus est découvert sans s'être activé, trop courte, il est détecté de suite.Activation
Facultatif, certains virus n'ont pas de charge active, ils ne font que se propager. Certains s'activent à certaines dates, d'autres possèdent un système de compte à rebours interne. Attention, un virus sans charge active est aussi dangereux que les autres. Il ralenti la machine, peut écraser des fichiers, etc ..Découverte
Un nouveau virus est généralement transmis au NCSA (National Computer Security Association) à Washington DC où il est documenté puis distribué aux développeurs de logiciels antivirus. Les virus ayant pour activation peuvent être facilement stopper dans les temps, mais ils deviennent de plus en plus rares ...Assimilation
C'est la période nécéssaire aux développeurs d'anti-virus pour comprendre, analyser le virus et écrire une parade. De quelques heures à plusieurs jours.Éradication
L'éditeur met son anti-virus à jour et le diffuse. L'utilisateur peut désinfecter son ordinateur.
Dans les faits, aucun virus n'a réellement disparu, mais un grand nombre d'entre eux ont cessé de constituer une menace réelle.
LES DIFFERENTS TYPE DE VIRUS :
Les virus de secteur d'amorçage
Les virus de secteur d'amorçage se tapissent dans le premier secteur d'un disque physique. A cause de la structure inhérente au DOS, le virus se trouve chargé en mémoire avant les fichiers système. Le virus peut alors contrôler l'ensemble des interruptions DOS et se ménager des opportunités inouïes de reproduction et de destruction. Les virus de secteur d'amorçage modifient soit le contenu du secteur d'amorçage du disque lui-même ou celui du secteur d'amorçage du DOS en modifiant leur contenu par les informations qu'il désire. Le contenu original du secteur est déplacé vers une autre zone du disque et le virus s'octroie cet emplacement. Le virus redirige certaines opérations vers l'emplacement où il a inscrit les données du secteur original : le virus est par conséquent exécuté en premier, ce qui lui donne toute latitude pour se loger en mémoire avant que la séquence d'amorçage ne se poursuive. Les virus de secteur d'amorçage se chargent généralement en mémoire et y demeurent jusqu'à ce que l'ordinateur soit mis hors tension.
Les virus à infection de fichiers (Parasites)
Les virus à infection de fichiers se logent généralement au sein des fichiers de type .COM, .EXE ou .SYS et sont par conséquent exécutés à chaque fois qu'un fichier infecté est lancé. Il ne sont habituellement actifs qu'au moment du premier chargement du premier fichier infecté et ne posent guère de problèmes aux programmes antivirus standards. Les virus à infection de fichiers se greffent à un fichier afin de pouvoir être exécutés. Les virus parasitaires n'ont pas la possibilité de s'exécuter ou de se reproduire d'eux-mêmes. Il doivent modifier le contenu d'un fichier exécutable (.EXE, .COM) afin de pouvoir exercer un contrôle sur son mode d'opération. L'ordre des opérations habituellement exécutées est modifié de manière à ce que celles dictées par le virus soient toujours exécutées en priorité. Le processus d'infection est la plupart du temps invisible par l'utilisateur, car une fois le virus exécuté, le programme lancé continue à fonctionner normalement. Certains virus se greffent à la fin d'un fichier programme, d'autres au début et d'autres au début et à la fin. Voici un exemple de la manière dont un virus se greffe à un fichier :1. Tout d'abord, le virus repère l'octet final du fichier visé (.EXE ou .COM)Les virus non résidents mémoire
2. Le virus modifie les octets du début du programme (#1) afin d'y placer un jeu d'instructions lui permettant de contrôler l'exécution du programme. Lorsque le fichier infecté se trouve exécuté, c'est le virus qui prend les commandes. Une fois que le virus a terminé sa mise en place, il repasse les commandes au programme lui-même. (#2)
Les virus qui ne résident pas en mémoire se greffent à des fichiers .COM, .EXE ou .SYS et sont exécutés à chaque fois que le fichier infecté est lancé. Le code du virus est entièrement activé dès la première étape du lancement d'un programme infecté. D'autres programmes se trouvent alors infectés et servent à leur tour de vecteurs d'infection lorsqu'ils se trouvent exécutés. Les taux d'infection par ce genre de virus sont aussi élevés que ceux des virus résidents parce que leur taille est petite et parce qu'ils ne modifient pas les tables d'interruptions et ne se placent pas en mémoire. La méthode d'infection est, de plus, hautement imprévisible.
Les virus résidents mémoire
Les virus résidents mémoire se logent dans la mémoire vive et viennent parasiter le fonctionnement de diverses fonctions de bas niveau (interruptions). Depuis leur localisation dans la RAM, ces virus peuvent causer des dommages importants tout en restant à l'abri de certains programmes antivirus. La première fois qu'un virus résident mémoire est exécuté, il vérifie s'il n'est pas déjà chargé en mémoire. Si tel n'est pas le cas, il va se loger dans la mémoire conventionnelle ou la mémoire haute. A partir de ce moment, le virus va infecter systématiquement tous les programmes exécutés qui ne le sont pas déjà. Ce mode d'infection est à la fois rapide et efficace et engendre une diffusion du virus inégalée. Le seul moyen pour déloger les virus de la mémoire est de couper toute source d'alimentation de l'ordinateur infecté. Un redémarrage soft n'est pas suffisant, car certains virus savent résister à ce genre d'opérations.Les virus multiformes
Les virus multiformes possèdent les caractéristiques des virus de secteur d'amorçage et des virus parasitaires. Ils peuvent infecter les fichiers .COM et .EXE ainsi que le secteur d'amorçage de disquettes et de disques durs. Démarrer un ordinateur à partir d'une disquette infectée par un virus multiformes va avoir pour effet de placer le virus en mémoire vive et d'infecter le secteur d'amorçage du disque dur de l'ordinateur. En utilisant conjointement ces deux méthodes d'infection, le virus va facilement et rapidement infecter l'ensemble des périphériques d'un PC. Peu de virus de cette sorte existent, mais ils sont responsables d'une grande part des infections virales recensées.Les virus furtifs
Les virus furtifs, autrement nommés " intercepteurs d'interruptions ", prennent le contrôle des interruptions principales du DOS pour faire croire au DOS et à un grand nombre de programmes antivirus que l'ensemble des fichiers sont sains. Cette prise de contrôle de la table d'interruptions s'effectue au tout début de la zone mémoire. Lorsqu'une application émet une requête d'interruption, celle-ci est habituellement redirigée vers la table d'interruptions qui oriente les commandes et permet au programme de fonctionner normalement. Dans le cas où un virus furtif intercepte ces requêtes, il a alors la possibilité de les rediriger où bon lui semble et par conséquent d'effectuer toutes les opérations à sa guise. Cette capacité qu'ont les virus furtifs de contrôler la table d'interruptions leur permet de se cacher de manière extrêmement efficace. Leur détection est très difficile.
Les virus polymorphes (Mutants)
Les virus polymorphes cryptent ou modifient le code qui les compose à chaque fois qu'ils se reproduisent : aucune copie d'un de ces virus ne ressemble aux autres. La plupart des systèmes de détection de virus sont mis en échec par ce genre de virus, car ils se réfèrent à une base de signatures de virus connus. Les virus polymorphes ont vu leur popularité augmenter suite au développement d'un " moteur de mutation ". Le Moteur de Mutation a été mis au point par une personne ou un groupe se faisant appeler " Dark Avenger " (le vengeur noir). Il a été diffusé sur plusieurs serveurs BBS et son code de programmation a été rendu public. Il est livré avec un jeu complet d'instructions permettant de transformer n'importe quel virus normal en virus polymorphe.Les virus réseau
Les virus réseau prennent pour cible les systèmes d'exploitation pour réseaux (en général NetWare) et utilisent ensuite le réseau pour se répandre. Il prennent le contrôle des interruptions de NetWare pour modifier l'effet des diverses requêtes d'interruptions.
Les virus flibustiers (bounty hunters)
Les virus flibustiers prennent pour cible des programmes antivirus spécifiques et les mettent en échec. Ce type de virus est extrêmement rare mais est parfois très efficace contre certains programmes antivirus.
Les Hoax ou “Faux virus”
Ces fausses alertes sont aussi sérieuses que les vrais virus. En effet elles font perdre du temps et peuvent générer une certaine anxiété quant à la vérité ou non du message. Certains sont même destructifs (Sulfnbk). Une des raisons pour lesquels ces Hoax sont si répandus, c’est qu’il suffit d’avoir une certaine créativité et un talent rédactionnel, pour envoyer un e mail contenant de fausses informations.
Le premier de ces Hoax connu a été envoyé par deux abonnés à AOL en 1992, il s’appelle Good Times. Depuis les messages du type “si vous recevez un email avec comme sujet bonjour, effacez le, ne l’ouvrez pas, il détruira votre ordinateur”, sont presque aussi répandus que les vrais virus. Nous pouvons facilement développer des armes pour lutter contre les vrais virus, il est plus difficile de concevoir quelque chose pour lutter contre la désinformation. Le seul moyen c’est l’éducation des utilisateurs de micro ordinateurs.
LES MESURES DE PROTECTION :
Installez un logiciel anti-virus et maintenez le à jour
Le meilleur moyen de ne pas se faire infecter par des virus est d'installer un logiciel anti-virus de qualité sur son ordinateur. Et surtout, n'oubliez pas les mises à jour du logiciel et des listes de virus (définitions des virus)! Une solution qui reste toute relative, car aucun produit ne détecte 100% des virus, 100% du temps : d'où l'importance de la prévention. Par ailleurs, de nouveaux virus apparaissant chaque jour, il faut veiller à régulièrement actualiser la base de données virales du logiciel : la plupart des éditeurs proposent une mise à jour au minimum mensuelle, mais pas toujours gratuite...Télécharger TOUJOURS un anti-virus ou sa mise à jour sur le site de l'éditeur. (Cf McAfee Dos 3.0, en fait un virus qui infectait tous les fichiers scannés)
Méfiez-vous des pièces attachées (file attachements)
Quelle que soit l'extension du fichier que vous recevez, il est conseillé de ne jamais les ouvrir directement dans l'e-mail. Enregistrez le plutôt sur le disque dur (detach) pour l'analyser ensuite avec votre logiciel antiviral. Si votre logiciel antiviral détecte une trace d'infection, vous pouvez éliminer le virus en supprimant le message avec la pièce jointe et en vidant la corbeille. N'ouvrez jamais des fichiers avec une double-extension (ex. xxx.jpg.vbs). Même si l'expéditeur est connu. C'est sans aucun doute un virus.Ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être proposés sur des sites persos ou des chats eux-mêmes plus ou moins douteux.
Fuyez les disquettes d'origine douteuse (ou ayant transité dans des lieux publics vulnérables comme les salles de cours ou TP des écoles ou universités), et protégez les vôtres en écriture.
Créez dès maintenant, si ce n'est pas déjà fait, une disquette de boot saine contenant un antivirus (la plupart des antivirus le proposent) pour une désinfection d'urgence et sys.exe (attention ne pas utiliser sys c: en cas de multiboot..).
Procédez régulièrement à des sauvegardes du contenu important de votre disque dur après avoir vérifié l'absence de virus : cela peut paraître fastidieux, mais en cas d'infection (ou même simplement en cas de crash de disque dur), ça vous sauvera la mise...
Tester TOUJOURS une archive avec un anti-virus à jour avant de la diffuser.
Soyez informé sur les virus ou faux-virus qui circulent en ce moment
Hoaxbuster : www.hoaxbuster.com
Secure.com : www.secuser.com
LES ANTI-VIRUS :
NOTA : Chaque éditeur rencontre un problème de taille de sa base de référence. C'est pourquoi, il utilise une base glissante. C'est à dire que les vieux virus, peu répandu géographiquement ou en alerte sont systhématiquement enlevés de leur base. Il est donc possible qu'un jour, un virus d'antan puisse refaire surface. C'est pourquoi, je vous recommande l'installation d'un anti-virus résident, seul parade puisqu'il scanne les entêtes des fichiers exécutés et leurs actions. De plus c'est la seule parade contre les vers html ....
| PRODUIT | EDITEUR | Site Web |
| Aladdin | Esafe | www.esafe.com |
| Avast32 | Calyx Data Control | www.asw.cz |
| Dr Salomon's Antivirus Toolkit | Dr Salomon/AB Soft | www.drsolomon.com |
| F-Prot Professionnal | Frisk/Informatique developpement | www.datafellows.com |
| IBM Antivirus | IBM | www.av.ibm.com |
| Kaspersky Anti-Virus (Ex AntiViral ToolKit Pro) | Eugene Kaspery/Eur'Net | Officiel : www.kaspersky.com France (nul) : www.avp-france.com Suisse : www.avp.ch |
| Norton Antivirus | Symantec | www.symantec.fr |
| Panda Antivirus Pro | Panda Software | www.pandasoftware.com |
| ThunderByte Anti-Virus | Delta Logic | www.norman.com |
| Sophos | Sophos | www.sophos.fr |
| Viguard | Tegam | www.tegam.fr |
| VirusScan | McAfee | www.nai.com |
PROGRAMME CONSEILLES : (www.secure.com)
SOURCES :
Anti Nowhere League BBS
Auto Reproducteurs Informatiques
La Vie Artificielle
Le Chantier
Les Virus
NTD.ch
Securer.com