Chevaux de Troie

Les chevaux de Troie, également appelés à tort des Troyens, se distinguent des vers et des virus par le fait qu'ils ne se reproduisent pas de façon autonome. L'expression "cheval de Troie", référence historique, décrit un programme qui fait croire à l'utilisateur qu'il possède une fonction particulière normale. Mais les chevaux de Troie contiennent en plus un segment caché, qui leur permet de pénétrer dans les ordinateurs infectés et leur donne un accès presque total au système, sans que l'utilisateur le remarque.
Dans ce cas de figure, les méthodes de camouflage des chevaux de Troie sont quasiment illimitées. Ils peuvent s'infiltrer dans les lignes de commandes des administrateurs des systèmes UNIX, comme passwd, ps, netstat (Rootkits simples), ou se présenter sous la forme de Remote Access Trojans (RAT, également appelés des portes dérobées). Ces programmes insidieux sont également envoyés par courrier électronique sous la forme d'économiseurs d'écran ou de jeux. Un seul démarrage suffit pour contaminer le système.

 

Vers

Contrairement aux virus, les vers ne s'attachent pas aux fichiers exécutables. Ils se transmettent d'un ordinateur à l'autre par des connexions réseau ou entre ordinateurs PC.

 

Vers de réseau

Dans les réseaux, les ports d'ordinateurs choisis de manière aléatoire sont analysés. Dès qu'une attaque est possible, les vers exploitent les failles des protocoles (par exemple, IIS) ou de leur mise en application pour se propager. Lovsan/Blaser et CodeRed sont des représentants notoires de cette catégorie.

Sasser profite d'une erreur de dépassement de mémoire tampon dans le Local Security Authority Subsystem Service (LSASS) pour contaminer les ordinateurs connectés à Internet.

 

Vers de messagerie

Dans le cas de la propagation par courrier électronique, les vers peuvent utiliser les programmes de messagerie (par exemple, Outlook ou Outlook Express) ou posséder leur propre moteur de messagerie SMTP. En plus du trafic réseau qui en résulte et de l'augmentation des ressources système, les vers peuvent contenir d'autres fonctions nuisibles. Beagle et Sober sont des exemples célèbres de ce groupe.

 

Vers poste à poste

Les vers poste à poste sont copiés dans les zones de partage des bourses d'échange poste à poste, telles que Emule, Kazaa, etc. Là, ils attendent leurs victimes sous des noms de fichiers attrayants, comme ceux de logiciels à la mode ou de personnalités importantes.

 

Ver de messagerie instantanée

Les vers de messagerie instantanée utilisent les programmes de discussion pour se propager. Ils n'utilisent pas seulement les fonctions de transfert des fichiers. Ils envoient désormais souvent un lien vers un site Web nuisible. Certains vers de messagerie instantanée sont même en mesure de discuter avec les victimes.

 

Virus

Les virus cherchent, eux aussi, à se dupliquer et à se propager sur d'autres ordinateurs. Pour ce faire, ils s'accrochent à d'autres fichiers ou se nichent dans la section d'amorçage de supports de données. Ils s'introduisent souvent clandestinement sur les ordinateurs par le biais des supports de données amovibles (comme les disquettes), des réseaux (poste à poste inclus), des messages électroniques ou d'Internet.

 

Les virus peuvent s'implanter à de nombreux emplacements du système d'exploitation et agir via les canaux les plus divers. Il est possible de distinguer différents groupes :

 

Virus du secteur d'amorçage

Les virus de secteur d'amorçage ou virus MBR (Master Boot Record) s'installent avant le secteur d'amorçage d'un support de données et font en sorte que, lors d'une procédure de démarrage exécutée à partir de ce support de données, le code de virus soit lu avant le secteur d'amorçage original. Le virus peut ainsi se nicher en toute discrétion dans le système et est alors exécuté lorsque le disque dur est amorcé. Après infection, le code du virus reste souvent en mémoire. On appelle ces virus des virus résidant en mémoire. Le virus est transmis avec le formatage des disquettes et peut se propager sur d'autres ordinateurs. Les virus du secteur d'amorçage ne sont pas uniquement actifs lors du formatage. La commande DIR DOS peut ainsi déclencher la transmission du virus d'une disquette infectée. Selon les dommages, les virus du secteur d'amorçage peuvent être extrêmement dangereux ou seulement agaçants. Le plus ancien et le plus répandu de ces virus a été baptisé "Form".

 

Virus de fichiers

De nombreux virus se cachent dans les fichiers exécutables. Le fichier est alors supprimé/écrasé ou le virus s'accroche au fichier. Dans ce dernier cas, le code exécutable du fichier peut encore être utilisé. Lorsque vous activez le fichier exécutable, la plus grande partie du code du virus rédigé dans un assembleur est exécutée, puis le programme d'origine est lancé (s'il n'a pas été supprimé).

 

Virus multipartites

Ce groupe de virus est particulièrement dangereux car ses représentants s'en prennent aussi bien au secteur d'amorçage (ou aux tables de partitions) qu'aux fichiers exécutables.

 

Virus compagnons

Sous DOS, les fichiers COM sont exécutés pour les fichiers EXE du même nom. Lorsque les ordinateurs s'appuyaient uniquement ou fréquemment sur les lignes de commande, il s'agissait d'un mécanisme efficace pour exécuter en toute discrétion des codes nuisibles sur un ordinateur.

 

Macrovirus

Les macrovirus s'accrochent également aux fichiers. Ils ne sont cependant pas exécutables. Les macrovirus ne sont pas écrits dans un programme d'assemblage, mais dans un langage macro, comme Visual Basic. Pour être exécutés, ils ont besoin d'un interprète du langage macro, comme ceux intégrés à Word, Excel, Access et PowerPoint. Les macrovirus fonctionnent selon les mêmes principes que les virus de fichiers. Ils peuvent également se cacher, contaminer le secteur d'amorçage et créer des virus compagnons.

 

Virus furtifs et Rootkits

Les virus furtifs ou virus indétectables sont dotés de mécanismes de protection spéciaux leur permettant d'échapper à la détection par les programmes antivirus. Pour cela, ils prennent le contrôle de diverses fonctions du système. Une fois cet état établi, ces virus restent indétectables lors des accès normaux aux fichiers ou aux zones du système. Ils donnent l'illusion au programme antivirus que le fichier infecté n'est pas contaminé ou rendent les fichiers invisibles au programme de protection antivirus. Les mécanismes de camouflage des virus furtifs fonctionnent uniquement quand le virus réside déjà dans la mémoire de travail.

 

Virus polymorphes

Les virus polymorphes contiennent des mécanismes leur permettant de modifier leur aspect après chaque infection. Une partie du virus est ainsi chiffrée. La routine de chiffrement intégrée au virus génère à chaque copie une nouvelle clé, voire parfois de nouvelles routines. En outre, des séquences de commandes qui ne sont pas nécessaires au fonctionnement du virus peuvent être remplacées ou insérées accidentellement. Ainsi, on peut créer facilement des milliards de variantes d'un virus. Pour détecter et éliminer les virus chiffrés et polymorphes, les signatures de virus classiques ne sont souvent pas suffisantes. Le plus souvent, il faut écrire des programmes spécifiques. Les investissements nécessaires à l'analyse et la mise à disposition de moyens appropriés sont souvent très élevés. Le titre de champion des virus revient donc à n'en pas douter aux virus polymorphes.

 

Tentative de virus

La tentative de virus désigne un virus partiellement défectueux qui infecte un premier fichier mais n'est pas en mesure de se reproduire.

 

Virus de courriers électroniques

Les virus de courriers électroniques appartiennent au groupes des "blended threats" (menaces mixtes). Certains logiciels malveillants associent les propriétés des chevaux de Troie, des vers et des virus. Le virus Bubbleboy a montré qu'il était possible de contaminer un ordinateur dès l'affichage de l'aperçu d'un message HTML. Le code du virus se cache dans les courriers HTML et utilise une faille de sécurité de Microsoft Internet Explorer. Le risque présenté par ces "virus mixtes" ne doit pas être sous-estimé.