QU'EST-CE QU'UN VIRUS?

Malware est un mot valise (contraction de malicious software, un "maliciel") qui désigne n'importe quel programme délibérément créé pour exécuter une action non autorisée, généralement malfaisante.
D'une manière générique, les virus, les portes dérobées, les lecteurs de frappes, les voleurs de mots de passe ou autres chevaux de Troie, les virus de macros Word et Excel, les virus de secteurs d'amorçage, de scripts (fichiers par lots, du shell Windows, java, etc.) ainsi que les chevaux de Troie, les logiciels criminels, espions et publicitaires, sont autant d'exemples de ce qu'on désigne comme des logiciels malveillants.
Il suffisait autrefois de parler de virus ou de cheval de Troie, mais avec l'évolution des méthodes et des voies d'infection, ces termes n'offrent plus une définition satisfaisante pour tous les types de logiciels malveillants qui existent maintenant.

Virus, Hijacker, Spyware, Adware, Rogue, Cheval de Troie, Vers, Backdoor, Dialer, Keylogger, Worms, Rootkit, Trojan, BHO parasite, Downloader, Etc… sont de nombreuses appélations.

Un virus est un programme qui se réplique lui-même, c'est-à-dire qu'il se propage d'un fichier à un autre dans votre ordinateur, puis d'un ordinateur à l'autre. Il peut en outre être programmé pour effacer ou endommager les données.
plus longtemps celui-ci reste non détecté et plus le nombre de fichiers infectés augmente dans l'ordinateur.

1 - Exécution du programme porteur de l'infection 2 - Le virus est en mémoire
3 - Recherche de programmes exécutables à infecter 4 - Copie du code viral dans les fichiers exécutables

Le nom donné à ces logiciels fait allusion au cheval de bois employé par les Grecs pour pénétrer à l'intérieur et capturer la ville de Troie. La définition classique d'un cheval de Troie est celle d'un logiciel apparemment inoffensif mais qui, une fois lancé, provoque des dommages. Le fait que les chevaux de Troie ne se propagent pas de manière autonome est le critère qui les différencie des virus ou des vers.
D'une manière générale, les chevaux de Troie d'aujourd'hui s'installent en secret et accomplissent leur tâche malveillante à l'insu de l'utilisateur. La plupart des logiciels criminels modernes sont des variantes de chevaux de Troie, mais tous sont conçus pour mettre en œuvre un objectif malveillant bien défini. Les plus communs sont les « portes dérobées » (Backdoor Trojans, souvent accompagnés d'un enregistreur de frappes), les logiciels espions (Trojan Spies), les collecteurs de mots de passe et enfin, les proxy (Trojan Proxies) qui transforment votre ordinateur en un service de pollupostage automatique.

1 - Exécution du cheval de Troie grâce à l'extension de fichier cachée 2 - Le cheval de Troie (qui n'est pas un document PDF) est en mémoire
3 - Placement du cheval de Troie dans le démarrage de Windows

Les vers sont généralement considérés comme un sous-ensemble des virus, avec certaines différences essentielles. Un ver est un programme informatique capable de se reproduire mais sans infecter de fichiers, au lieu de cela, il s'installe lui-même dans l'ordinateur victime et recherche des voies de propagation vers d'autres ordinateurs. Contrairement aux virus d'exécutables qui se dissimulent dans des fichiers ou dans le code contenu dans le secteur de démarrage du disque, un ver ne crée qu'un seul exemplaire de son code. Contrairement à un virus, le code d'un ver est autonome.
Leur spécificité est de se propager via le réseau uniquement. Mais un virus d'exécutable peut avoir les routines d'un ver et se propager également par email. Un ver ne se multiplie généralement pas localement, contrairement aux virus ; sa méthode la plus habituelle de propagation consiste à s'envoyer dans des mails générés automatiquement ou via le réseau. Certains Vers intègrent des routines de cassage de mot de passe réseaux par attaque dictionnaire.

Les classes de Vers:

Vers de réseau

Vers de courrier électronique

Vers de messagerie instantanée

Vers Internet

Vers IRC

Vers de réseaux de partage de fichiers

1 - Contact d'un commercial infecté 2 - Le ver est ouvert par le commercial
3 - Le ver envoie automatiquement des mails aux collaborateurs 4 - Propagation du ver sur le réseau local

Un Backdoor (porte dérobée) peut être introduit soit par le développeur du logiciel, soit par un tiers, typiquement un pirate informatique. La personne connaissant la porte dérobée peut l'utiliser pour surveiller les activités de l'ordinateur, et en prendre le contrôle. Selon l'étendue des droits que le système d'exploitation donne au logiciel contenant la porte dérobée, le contrôle peut s'étendre à l'ensemble des opérations de l'ordinateur.
La généralisation de la mise en réseau des ordinateurs rend les portes dérobées nettement plus utiles que du temps où un accès physique à l'ordinateur était la règle. Ces programmes peuvent être exploités pour espionner votre activité, capturer des mots de passe ou numéros de carte bancaire, ou voler des informations sensibles dans une entreprise.

1 - Le pirate envoie délibérément un fichier piégé par mail 2 - La victime ouvre le fichier
3 - Le pirate prend contrôle du poste de la victime 4 - Piratage des droits du poste de la victime pour des copies ou suppressions

Ce terme recouvre toute une panoplie d'outils logiciels, utilisés par les pirates, et capables d'éviter leur détection une fois installés par effraction dans un ordinateur. Ce terme (littéralement : kit de l'utilisateur root) provient de l'univers Unix, bien qu'il ait été depuis récupéré pour désigner les techniques employées par les auteurs de chevaux de Troie pour dissimuler leurs actions sous Microsoft® Windows®.
Les rootkits sont de plus en plus utilisés pour masquer l'activité des chevaux de Troie.
Une fois installés dans le système, les rootkits sont non seulement invisibles pour l'utilisateur, ils sont aussi capables d'échapper à leur détection par les logiciels de protection. Le fait que bon nombre d'utilisateurs ouvrent une session avec des droits d'administrateur, au lieu de créer un compte à accès restreint, facilite grandement la tâche des cybercriminels qui cherchent à installer ce genre de logiciel.
Il commence à émerger des rootkit matériel arrivant à se glisser dans les firmwares des cartes réseaux, cartes graphiques, etc...

1 - Le gestionnaire des tâches demande le contenu de la mémoire de Windows 2 - Lecture du tableau SSDT
3 - Le Rootkit crochète le tableau et filtre son contenu 4 - La réponse du tableau est erronée sans que virus.exe soit affiché en mémoire

Ce terme désigne un réseau d'ordinateurs contrôlés par des cybercriminels au moyen d'un cheval de Troie ou de n'importe quel autre programme malveillant. En effet, de nos jours les virus informatiques ont un but lucratif pour les pirates. Beaucoup de pirates informatiques contrôlent ainsi des milliers d'ordinateurs grâce aux virus activés sur les ordinateurs des victimes.
Le pirate responsable d'un Botnet utilise ce regroupement d'ordinateur à des fins illicites. Le pirate est rémunéré par un acheteur (entreprise pharmaceutique illégale, mafia, etc...) lui demandant d'utiliser les ordinateurs compromis pour envoyer du SPAM ou voler des données personnelles.
Les infections destinées à dérober des numéros de cartes bancaires afin d'être revendus et utilisés par des groupes mafieux sont de plus en plus répandues. Un Botnet peut aussi être utilisé pour attaquer des entités commerciales ou gouvernementales.

1 - Le pirate contrôle un Botnet (regroupement d'ordinateurs infectés) 2 - Ordinateurs zombies envoyant du SPAM ou des attaques
3 - Réception de SPAM avec pièce jointe infectée 4 -Attaque DOS (Denial Of Service)

Les Rogues sont des faux logiciels de sécurité. Ces logiciels sont des infections qui utilisent la crédibilité et la peur des utilisateurs pour s'introduite sur les ordinateurs. En effet, certains sites internet affichent des faux messages d'alerte indiquant que l'ordinateur est infecté ou peut être optimisé (ce qui est faux). Ces messages semblent crédibles aux utilisateurs non avertis. Un clic sur ces messages installe le rogue et infecte l'ordinateur.

Dans le cas d'un téléchargement à la dérobée, votre ordinateur se retrouve infecté tout simplement du fait de consulter un site Web contenant du code malveillant. Les cybercriminels explorent le Net à la recherche de serveurs Web vulnérables qu'ils pourront infiltrer.
Quand ils en trouvent un, les cybercriminels sont capables d'injecter du code malveillant (souvent sous forme de script) à l'intérieur des pages Web. Si vous n'avez pas installé les derniers correctifs de votre système d'exploitation ou de vos applications, le programme malveillant est téléchargé automatiquement dans votre ordinateur dès que vous visitez la page Web infectée.

Quand un logiciel Anti-Virus ne détecte aucune menace cela ne veut pas dire que l’ordinateur n’est pas infecté mais qu’il n’y a aucune menace référencée dans ses mises à jour...
Une nuance qui a toute son importance. Les Anti-Virus ne peuvent pas intégrer les menaces dans leur base de signature avant que celles ci existent et se répandent sur les ordinateurs. Il y a toujours un délai entre la sortie d'un nouveau virus et son intégration dans les mises à jour Anti-Virus. La qualité d'un Anti-Virus se mesure par sa capacité à intégrer rapidement les nouveaux virus existants dans sa base de détection.
Ce délai peut varier de façon importante suivant les Anti-Virus. Le nombre d'ordinateur victimes d'infections s'explique par le fait que les virus échappent à la détection Anti-Virus grâce à leur vitesse de mise à jour plus importante que l'Anti-Virus ou grâce au fait qu'ils ne sont pas encore référencés. Il est faux de penser que les infections finiront par être détectés car de nombreuses infections se mettent à jour elles aussi.
Il devient alors problématique pour l'Anti-Virus, aussi réactif qu'il soit, de détecter l'infection car cette dernière à toujours un temps d'avance et n'est pas référencée dans les bases Anti-Virus.

Il n'est pas toujours facile de dire si votre ordinateur est infecté. Bien plus qu'auparavant, les auteurs de virus, de vers, de chevaux de Troie ou de logiciels espions se donnent du mal pour masquer leur code et dissimuler les agissements de leurs programmes sur un ordinateur infecté. C'est pourquoi il est essentiel de suivre les conseils de ce guide : en particulier, installez un logiciel de sécurité Internet, pensez à installer les correctifs de sécurité destinés à votre système d'exploitation et à vos applications et effectuez régulièrement des copies de sauvegarde de vos données. Il est très difficile de fournir la liste des symptômes caractéristiques d'un ordinateur infecté, parce que ces mêmes symptômes peuvent être aussi bien provoqués par des problèmes matériels ou logiciels.

Voici quelques exemples :

Votre ordinateur se comporte de manière inattendue par rapport à votre expérience habituelle.

Des messages ou des images inattendues s'affichent.

Vous entendez des sons inattendus, au hasard. Des programmes s'exécutent inopinément.

Votre pare-feu personnel vous informe qu'une application a tenté de se connecter à Internet, alors que vous n'en avez lancé aucune.

Vos amis vous disent qu'ils reçoivent des messages provenant de votre adresse, alors que vous ne leur avez rien envoyé.

Votre ordinateur plante fréquemment, ou les programmes ralentissent leur exécution. Vous obtenez un bon nombre de messages d'erreur du système.

Le système d'exploitation ne démarre pas quand vous allumez votre ordinateur.

Des fichiers ou des dossiers ont été effacés ou modifiés.

Vous remarquez des accès au disque dur (signalés par de petites lumières intermittentes) mais, à votre connaissance, aucun programme n'est en exécution.

Votre navigateur se comporte de manière instable, par exemple, vous ne parvenez pas à fermer une fenêtre du navigateur.

L’évolution des virus est destinée à s'adapter aux détections anti-virus et à offrir un spectre plus large dans les actions néfastes. Les deux représentations 3D ci-dessous permettent de visualiser l'évolution entre deux virus informatiques : le virus informatique Bagle datant de 2009 et le virus informatique Brain datant de 1986.
La différence du nombre d'anneaux et de cubes montre l'évolution entre un virus récent et un virus plus ancien. Le cube rouge se trouvant sur la partie supérieure (tout en haut) est la fonction "principale" qui représente le début de l'activation de l'infection informatique (le clic de l’utilisateur ou l'activation du virus sur l'ordinateur). Le premier anneau contient les fonctions principales du virus qui appellent ensuite les fonctions du second anneau et ainsi de suite.

Virus BAGLE AG 2004 (Image source F-Secure © Copyright)

VIRUS BRAIN.A 1986 (Image source F-Secure © Copyright)

Top 10 des Virus les plus dévastateurs