Fonctionnement d'un virus

1) Les types de virus 

VIRUS BIOLOGIQUE

I- Virus à ADN

  • 1 - Virus à ADN à un seul brin

  • 2 - Virus à ADN à double brin

II- Virus à ARN

  • 1 - Virus à ARN à double brin

  • 2 - Virus à ARN à un seul brin à polarité positive (ARN +)  

  • 3 - Virus à ARN à un seul brin à polarité négative (ARN -)

I- un virus à ADN est un virus qui possède de l'ADN dans son matériel génétique et n'utilise pas d'intermédiaire à ARN durant sa réplication. Il se réplique en utilisant une ADN polymérase. Leur ADN peut être soit à simple brin ou à double brin, ces derniers étant les plus courants.

II- C'est un virus dont le génome est constitué d'ARN. Sa particularité est de posséder une enzyme appelée transcriptase inverse qui permet la transcription de l'ARN viral du génome en molécule d'ADN complémentaire capable de s'intégrer à l'ADN de la cellule hôte. Il utilise ensuite la machinerie cellulaire pour se répliquer.  

VIRUS INFORMATIQUE

Avant de commencer il vous faut quelques notions, un virus en règle générale peut appliquer sa charge virale et se reproduire que lorsqu'il est chargé dans la mémoire vive ( la mémoire vive est la mémoire où chaque information stockée peut à tout moment être consultée, ou modifiée c'est l'espace principal de stockage dont le contenu disparaît lors de la mise hors tension de l'ordinateur)

a) type de virus

Il existe 3 grands types de virus que l'ont peut différencier par l'endroit où ils se logent.

1) Les virus programmes

Lorsque l'utilisateur éxécute un programme éxécutable infecté les lignes du programme viral s'éxécutent en premier. Elles se copient dans la mémoire vive de l'ordinateur de facon à se recopier toute seule dans un autre programme qui sera lancé plus tard. Une fois installé dans la mémoire le virus redonne le contrôle au programme infecté, si bien que l 'utilisateur ne peut déceler sa présence. Lorsque le programme infecté atteint un autre ordinateur par l'intermédiaire d'une clé usb par exemple, le cycle recommence.

Les virus programmes peuvent être séparés en deux groupes:

- Les non-résidents:

Ce sont des virus plus facile à créer que les virus résidents, mais ils sont aussi plus faciles à détecter et à supprimer. Ils ne cherchent des programmes à infecter qu'à partir du moment où ils ont été activés (ouverts). Ils peuvent être activés de différentes manières : soit par le lancement par l'utilisateur d'un certain logiciel, soit par la combinaison de plusieurs touches, par un certain nombre d'accès au disque dur, à une certaine date ou une certaine heure...Leurs modes d'activation sont nombreux et ils peuvent donc rester très longtemps sur le disque dur.

- Les résidents :

Les virus résidents sont plus difficiles à créer, mais ils sont plus efficaces et ont plus de chance de remplir leur fonction. Ils peuvent rester endormis des années dans le disque de l'ordinateur « hôte» avant d'être activés. Le virus est alors chargé dans la mémoire vive et peut donc se propager très rapidement.

2) Le virus zone d'amorcage ( virus boot )

Un virus "boot" est un virus dont le code va se loger et s'enregistrer dans le premier secteur de stockage appelé secteur de démarrage ou MASTER BOOT RECORD. Habituellement, le secteur de démarrage contient des instructions de chargement du système qui gère le fonctionnement de l'ordinateur et qui permet l'affichage des données ou la lecture des ordres tapés par l'utilisateur. Lorsque le support de stockage infecté est en contact avec l'ordinateur, il va copier le secteur de démarrage de ce péripherique dans la mémoire vive de l'ordinateur et donc libérer le virus. Ce type de virus est très problématique lorsqu'il est installé sur le disque dur de l 'ordinateur car quand l'ordinateur est mis sous tension, le virus est presque immédiatement lancé alors que l'antivirus peut mettre plusieurs minutes a s'activer. Il est alors trop tard le virus s'est déjà répandu non seulement dans l ordinateur mais aussi dans tous les autres secteurs de stockages.

3) Les virus interprétés (macros)

Ces virus sont independants du système d'exploitation, ce qui leur permet d'infecter aussi bien des ordinateurs "Windows" que "Apple". Ceci est possible car les macros virus infectent des fichiers de données au lieu de bouts de programmes . Beaucoup de programmes comme par exemple des traitements de texte ou des tableurs peuvent éxécuter des séquences de commandes nommées macros qui automatisent des taches fastidieuses. Certains programmes macros de traitement de texte placent automatiquement un mot long ou une expression tout entière quand l'utilisateur n'a écrit que quelques lettres. Des macros de tableurs effectuent de longs calculs . Les concepteurs de virus eux ont programmés des macros capables de se recopier dans d'autres fichiers de types docs. De tels virus se propagent beaucoup plus vite que les autres formes de virus car de nombreuses personnes s'échangent des fichiers de données lorsque par exemple ils rédigent un document en commun.

Les virus se différencient aussi par leur vitesse de propagation :

- Les infecteurs normaux :

Un virus de fichier typique (ex : Jérusalem) infecte les fichiers cibles dès leurs exécutions.

- Les infecteurs rapides :

Un infecteur rapide est non seulement capable d'infecter le fichier hôte mais aussi les autres fichiers qui sont déjà ouverts.

- Les infecteurs lents :

Le terme infecteur lent fait référence aux virus qui n'infecteront des fichiers que s'ils sont modifiés ou créés. Le but est  d'empêcher l'utilisateur de remarquer les changements dans les fichiers en question.

- Les infecteurs occasionnels :

Les infecteurs occasionnels sont des virus qui infectent de manière sporadique et sont souvent dotés d'une gâchette de déclenchement qui définira le moment de l'infection.

Certain virus appartenant à un de ces 3 groupes peuvent se differencier les uns des autres par leurs manières d'infecter un programme :

- L'infection par recouvrement

Un virus par recouvrement écrase une partie ou la totalité du programme qu'il infecte. Sachant que même si le code du programme n'est détruit que partiellement le programme ne peut plus fonctionner normalement. Le programme ne fonctionnant plus l'utilisateur le déctecte rapidement. Généralement les virus par recouvrement ne se disséminent pas largement. Ce qui est interressant chez ce mode d'infection c'est que la taille du code du programme ne change pas mais le fait que le programme ne puisse plus fonctionner lorsqu'il est infecté rend sa détection très facile.

- L'infection par ajout (sans recouvrement)

Un virus par ajout modifie un programme sans le détruire ainsi le programe infecté continuera de fonctionner normalement. Il va placé son code viral dans 2 parties du code du programme, une partie au début et l'autre à la fin. L'ordinateur va d'abord lire le début du virus. Celui-ci va le renvoyer directement à la suite du virus, sautant ainsi le logiciel. Une fois le virus lu et activé il va laisser le programme fonctionner normalement. A l'inverse de l'infection par recouvrement le virus n'empêche pas le programme de fonctionner mais la taille du code du logiciel augmente ce qui rend sa détection facile pour les antivirus.

- L'infection par cavité

Cette infection n 'est possible que si le virus connait la structure spécifique du programme qu'il infecte. Il va comme lors d'une infection par ajout altéré le point d' entrée du programme puis disséminer en plusieurs parties son programme dans les espaces non utilisés du programme hôte.

- L'infection par point d'entrée obscure

Avant infection, l' analyse du programme cible permet un positionnement du point d' entrée du code viral en un lieu variable au sein du fichier. Le point d'entrée du programme et les instructions qui s'y situent sont inchangés. Lorsque cette technique est associée à une infection par cavité et à un codage polymorphique, la détection devient très problématique. Cette technique est maintenant régulièrement rencontrée dans les environnements "Windows". Elle est très pénalisante pour les antivirus qui doivent parfois élargir fortement leur zone de recherche.

- Le virus compagnon

Il peut exister une préséance d'éxécution pour les fichiers éxécutables. Le virus compagnon va donc créer un fichier de toute pièce où il insère son code viral et en lui donnant le même nom que le fichier éxécutable. Ainsi lors de l'appel à l'éxécution il n'y a que le nom qui est utilisé (comme dans la plupart des cas), cela sera le code viral qui s éxécutera en premier. Puis il laissera le programme original s'éxécuter pour que l 'utilisateur ne se doute de rien.

les virus peuvent se differencier par une fonctionalité qui a pour but de contrecarrer l'action de l' antivirus :

- Les virus furtifs

Un virus furtif est un virus qui, lorsqu'il est actif, dissimule les modifications apportées aux fichiers ou aux secteurs de boot. En règle générale, ce phénomène est rendu possible par le virus qui observe les appels aux fonctions de lecture des fichiers et falsifie les résultats renvoyés par ces fonctions. Cette méthode permet au virus de ne pas être détecté par les utilitaires antivirus qui recherchent des modifications éventuelles apportées aux fichiers. Néanmoins, pour que cela soit possible, le virus doit être actif en mémoire résidente, ce qui est détectable par les antivirus.

- Les virus polymorphes

Chaque fois qu'un virus non résident infecte un fichier, il laisse une signature pour ne pas réinfecter plusieurs fois ce même fichier. Ainsi, avant de s'attaquer à quoi que ce soit, il vérifie s'il ne comporte pas sa signature. Les antivirus se servent de cette signature pour identifier la plupart des virus. Et c'est là que le virus polymorphe entre en jeu : un virus polymorphe est un virus dont la signature virale change en fonction des fichiers infectés, on pourrait le comparer à un caméléon. Ce type de virus est donc très difficile à détecter par une signature.

- Les virus blindés

Un virus blindé est un virus qui utilise des astuces spéciales pour que son dépistage, son désassemblage et la compréhension de son code soit plus difficile. Ils utilisent certaines ruses techniques pour mieux résister au désassemblage et à la détection et rendre leur fonctionnement quasiment incompréhensible.

- Les virus compte-gouttes

Un virus compte-gouttes est un programme conçu pour installer un virus sur le système visé. Le code du virus est en règle générale contenu dans ce programme de telle manière qu'il ne sera pas détecté par un antivirus qui, dans d'autres circonstances, détecte ce virus (le compte-gouttes n'est pas infecté par ce virus). Bien qu'assez rare, ce type de virus a été signalé à plusieurs reprises. Un compte-gouttes est en fait un cheval de Troie dont le but est d'installer le virus. Un compte-gouttes qui installe le virus seulement en mémoire (donc sans infecter de fichiers sur le disque) est appelé un injecteur.

Institution saint malo 2016
Optimisé par Webnode
Créez votre site web gratuitement ! Ce site internet a été réalisé avec Webnode. Créez le votre gratuitement aujourd'hui ! Commencer