AVG SoSWindows

AVG System Définition

Merci à Philippe membre SoSWindows pour ce tutorial.
Nous vous conseillions de prendre votre temps à la lecture de toutes ces pages
la vie de votre parc informatique ou de votre PC personnel peut en dépendre.

Virus de BOOT

Récemment les virus de boot étaient responsables de la majorité des infections. La raison principale de leur "succès" était que les disquettes étaient les médias les plus courants pour passer des données entre utilisateurs.

Le chemin emprunté par les virus est généralement simple. Supposez que vous recevez une disquette avec un secteur de boot infecté. Vous en copiez des données, mais oubliez de l'enlever du lecteur A:. Quand vous relancez l'ordinateur, le boot exécutera le programme infecté de la disquette. Le virus se chargera d'abord et infectera le disque dur. Notez qu'on peut l'empêcher en changeant l'ordre de boot dans le CMOS (Laissez boot C : au lieu de A:).

Généralement la place infectée sur un disque dur est la partition, bien que certains virus infectent le boot. Le contenu original de la partition est alors déplacé à une place "sûre" sur le disque dur.

Ce diagramme montre un schéma simplifié d'un disque dur.

(1) disque propre, tandis que (2), (3) et (4) montrent des façons différentes où ils peuvent être infectés. Dans le cas (3), le contenu original de la partition est stocké à la fin du répertoire racine. Si le répertoire racine est presque plein alors l'information sur l'emplacement de certains fichiers peut être perdu. De la même façon dans le cas (4), la sauvegarde est stockée dans la dernière partie de la partition de données utilisateur et peut être corrompue.

Comme le virus a infecté un secteur système du disque dur, il sera chargé en mémoire à chaque démarrage de l'ordinateur. Il prendra d'abord le contrôle des services système du disque au niveau le plus bas avant l'exécution du boot original qu'il a stocké dans une autre partie du disque dur. L'ordinateur semble se comporter exactement comme d'habitude. Personne ne remarquera le fractionnement supplémentaire du boot de l'ordre d'une seconde.

Le virus contrôlera aussi le gestionnaire d'accès aux partitions. La partition contient son propre code et il suffit de la lire avec un antivirus pour déterminer la présence d'un virus. Le virus ne permettra pas à la partition d'être lue et lancera toutes les demandes à l'emplacement sur le disque dur où il a stocké le contenu original. Ainsi, rien n'est détecté. Ces méthodes sont appelées les techniques de "ruse" et leur but principal est de masquer la présence du virus. Tous les virus de boot n'emploient pas ces méthodes, mais d'autres toutes aussi courantes.

Virus de Fichier

Comme dit plus haut, ces virus infectent les fichiers - des exécutables ou programmes.

Virus copieur

C'est la forme la plus basique de virus car ils se dévoilent presque immédiatement et limitent ainsi leur chance de se diffuser d'un ordinateur à un autre. Ils infectent des programmes en les recopiant (ou une partie d'entre eux) avec leur propre code, en les endommageant définitivement. Certains virus essayent de cacher que le programme est endommagé en affichant un faux message d'erreur.

Ce diagramme montre un fichier propre (1).

(2) même fichier infecté par un virus copieur.

Virus de compagnie

Dans MS-DOS et Windows, quand vous voulez lancer le fichier XYZ, il cherchera d'abord XYZ.COM et seulement s'il n'existe pas, il essaiera de trouver XYZ.EXE. Les virus de compagnie profitent de cette propriété en cherchant les EXE des programmes et créent un fichier de compagnie qui a le même nom, mais porte une extension COM. Le nouveau fichier contient seulement le code viral et quand il a été exécuté, il passe le contrôle à l'EXE original.

Ce n'est pas une très bonne ampleur de diffusion, mais un grand avantage - il ne marque pas les fichiers et peut donc échapper aux contrôles de sécurité ou à la protection résidente.

Une autre méthode employée par les virus de compagnie est basée sur le chemin spécifié. Un virus met simplement un fichier infecté dans le chemin inscrit avant le répertoire du programme original.

Le diagramme montre une infection par un virus de compagnie. L'EXE original reste inchangé, mais un nouveau COM du même nom a été créé.

Virus parasites

Ces virus marquent leur cible en s'y attachant, mais ne l'endommagent pas - les fonctions du fichier paraissent normales. Ils ont une bien meilleure chance de se diffuser que leurs cousins ci-dessus.

Le code de la cible est modifié et quand le fichier est exécuté, le virus se lance d'abord et passe ensuite le contrôle au programme hôte.

Ces diagrammes montrent les différents chemins utilisés par les virus parasites.

(1) un fichier propre. Le chemin le plus courant est son type

(2) Certaines instructions, insérées au lancement du fichier, orientent le corps principal du virus vers la fin du fichier. Les virus parasites écrivent tout leur code au début (c'est plus facile pour les hackers) et déplacent le code original vers la fin du fichier

(3) copie tout le fichier original après le virus

(4). Cependant, les virus peuvent se mettre n'importe où dans le corps du fichier hôte

(5). Parfois plusieurs segments sont insérés (pour confondre les programmes antivirus) comme dans le cas où (6), il y a d'autres méthodes mais rarement employées.

Quand un code viral est attaché à un fichier, la taille de ce dernier augmente. Une autre façon consiste à s'insérer au fichier plutôt que d'ajouter. Le virus doit recopier un secteur "inutilisé" dans le corps du fichier hôte. Cette méthode limite le taux de diffusion car seuls certains programmes ont de tels "trous". La plupart des versions de COMMAND.COM contiennent des vides dans leur code et sont susceptibles d'être infectés.

Des vides inutilisés peuvent être aussi trouvés dans des exécutables de Windows. Le premier virus qui a employé ces "trous" pour infecter un fichier sans changer sa longueur était CIH.

Une autre façon de masquer les changements est l'autodéfense "active". Il est facile à un virus résident de convertir les fichiers du système d'exploitation. Quand on regarde la longueur d'un fichier infecté, le virus peut répondre en indiquant les valeurs originales au lieu de la vérité. On peut tromper ainsi certains programmes efficacement (par exemple la commande DIR) mais il peut entraîner des conséquences malheureuses. Dés qu'un programme ouvre ce fichier, il verra sa vraie taille et la taille annoncée qui ne correspondent pas. Les utilitaires comme CHKDSK ou NDD (Norton Disk Doctor) affichent les erreurs sur le disque et si vous essayez de les réparer, le résultat peut être désastreux.

Multipartite virus

L'avantage du virus de boot est qu'il a d'abord accès à la mémoire, lui permettant d'infecter ensuite tout le logiciel exécuté. Mais si le système d'exploitation n'a pas encore été installé, les seules fonctions disponibles sont le système de base du BIOS qui ne lui est d'aucune utilité. Ainsi les fichiers ne peuvent pas être infectés et la vitesse de diffusion est limitée. Les virus de fichier, eux, peuvent s'attaquer à "un plus haut niveau" du système d'exploitation pour infecter les fichiers qui sont fréquemment fournis aux utilisateurs d'ordinateur.

Les virus Multipartite combinent les techniques des deux types et peuvent infecter le système et les fichiers. Ils peuvent infecter non seulement la partition, mais les exécutables aussi. En s'attaquant à un exécutable, ils peuvent utiliser n'importe quelle méthode et infecter la table d'allocation comme une infection faite par des virus de boot.

Un virus multipartite patiente après le chargement en mémoire et attend le DOS pour se charger avant de prendre le contrôle du système d'exploitation. Ce n'est pas facile mais il peut y parvenir. Un bon exemple est le virus One_Half qui est un des plus répandus.

Les Macrovirus

Des macrovirus sont sans doute les éléments les plus communs que l'on voit sur un PC. Parce que les macrovirus infectent les objets qui sont généralement partagés entre beaucoup de personnes, transférés via email et publiés souvent sur les pages Web. C'est ainsi que les macrovirus se transmettent très facilement.

Même le vieux Word 6.0 a le Basic, assez puissant pour écrire des macrovirus. Les versions actuelles de produits de Microsoft Office emploient maintenant Visual Basic pour les applications (VBA) qui combine la puissance de langage de programmation moderne avec la facilité du Basic.

D'un point de vue technique, nous pouvons diviser les macrovirus en différentes catégories. Si AVG annonce un macrovirus, vous pouvez voir à partir de son préfixe quelle plate-forme est visée. Par exemple WM/ signifie Word 6, W97M/ signifie Word 97.

Mais la situation actuelle n'est pas si simple. Les nouveaux produits Microsoft Office sont (ou tentent d'être) compatibles avec les versions précédentes. Vous pouvez prendre un macrovirus WM/Example et le charger dans Word 97 et voici ce qui peut se passer :

Vous obtenez un virus parfaitement fonctionnel reconverti pour une macro W97M/Example.

Vous avez alors un macrovirus qui ne peut pas se propager seul mais toutes ses fonctions destructives sont fonctionnelles.

Word peut reconnaître certains virus dans votre WM/EXAMPLE et empêcher la conversion.

La situation est plus compliquée avec Excel qui convertit aussi bien vers une version inférieure que supérieure.

Why is all this up/down converting so important?

Le processus est multiple. Si vous prenez une macro pour Excel 5, la convertissez pour Excel 97 et revenez en arrière à Excel 5, elle peut devenir une macro légèrement différente. Donc vous avez inconsciemment créé une nouvelle version d'un macrovirus connu que vous devez être capable de détecter et ôter.

Macrovirus pour Word

En 1995, Microsoft Word 6 était le premier produit affecté par le macrovirus. Le premier (WM/Concept. A) était né, appelé PayLoad.

Après un temps relativement court, nous avons vu beaucoup de modifications de ce macrovirus suivi par d'autres écrits à partir de zéro.

Les macrovirus pour Word emploient une particularité appelée "automacros". Le principe de base est que certaines macros avec des noms spéciaux sont automatiquement exécutées quand Word démarre, ouvre un fichier, ou le ferme. Le macrovirus s'insère alors dans NORMAL.DOT.

Dans Word, il est parfois possible de mettre hors service les automacros mais ce n'est pas la solution idéale. Certains macrovirus emploient d'autres méthodes pour prendre le contrôle de Word.

Une autre méthode d'autodéfense est de lire seulement NORMAL.DOT. Mais on peut aussi contourner cela et, de plus, vous ne pourrez le personnaliser.

Macrovirus pour Excel

Excel offre les mêmes occasions pour les hackers que Word. Il a des automacros et un répertoire appelé XLSTART qui est automatiquement chargé.

Mais Excel n'a pas les macros VBA comme Word. Dans Excel, il y a "des formules" - macros stockées dans les cellules des tableaux. Le premier macrovirus employant cette technologie était XF/PAIX.

Macrovirus pour d'autres produits OFFICE

L'écriture d'un macrovirus pour d'autres produits Office n'est pas difficile. Nous avons déjà quelques virus pour Access et nous attendons des macrovirus pour Power Point dans un proche avenir.

Mais ces macrovirus ne sont pas aussi dangereux que ceux pour Word ou Excel. Parce que les fichiers de données de ces produits ne sont pas si fréquemment partagés.

Il y a un danger dans Power Point sans macrovirus écrits spécialement pour ce produit. Vous pouvez inclure dans votre présentation n'importe quel nombre d'objets d'Excel ou de Word. Et ces objets peuvent être infectés par des macrovirus - si vous éditez la présentation et ouvrez l'objet infecté avec son application, alors le virus peut s'étendre plus loin.

Macrovirus pour d'autres plates-formes

Avec d'autres produits, la situation est un peu meilleure. Les virus sont écrits, mais ne sont jamais si répandus. Il y a là deux raisons principales :

1 - comment est distribué le produit pour lequel le macrovirus est écrit. Si quelqu'un sort LE MEILLEUR TRAITEMENT DE TEXTE JAMAIS VU, mais le vend à quelques utilisateurs seulement, le macrovirus écrit pour ce produit a peu de chance de s'étendre.

2 - La deuxième raison est d'ordre technique. Par exemple, Ami Pro garde ses macros dans un fichier séparé par lequel on doit passer obligatoirement à la différence de Word où les macros peuvent être mises à l'intérieur du document à votre insu.

Mais la situation actuelle peut changer radicalement dans les quelques années suivantes. Microsoft a donné sa technologie VBA à beaucoup de sociétés, donc nous pouvons nous attendre voir des macrovirus pour d'autres produits.

Comportement des virus

Les virus changent le contenu du système, réduisent la mémoire disponible ou créent / marquent les fichiers.

De plus, les hackers peuvent inclure leurs propres payloads, certains simplement amusants, mais souvent destructifs. Certains virus sont nuisibles parce qu'ils sont souvent mal écrits, pas parce que leur auteur en a eu l'intention.

Les effets des virus: >>SUITE>>