Dès qu’un programme non infecté est exécuté, le virus l’infecte. Le virus peut se débrouiller pour s’envoyer à toutes les personnes du carnet d’adresse de la première victime et ainsi de suite. Au moment de l’exécution du fichier, le code viral est donc lancé en premier. En outre, certains disent que les créateurs de virus utilisent les systèmes libres, notamment Linux, et ne veulent donc pas s’attaquer aux autres aficionados. Ils peuvent entre autres détecter les tentatives d’ouverture en écriture des fichiers exécutables, les tentatives d’écriture sur les secteurs d’amorçage, ou les tentatives d’un exécutable à devenir résident.Pour détecter ces tentatives, les logiciels antivirus attrapent les principales interruptions de l’ordinateur, en les remplaçant par l’adresse de leur code. Cette action aura pour effet d’écraser le code de l’application.
(Photo Erin Gilmore) Dès lors, si une de ces caractéristiques change pour un exécutable, l’antivirus s’en aperçoit.L’analyse heuristique est relative à la recherche de code informatique correspondant à des fonctions de virus. En effet, le virus a toujours un objectif précis (détruire des fichiers, casser le système d’exploitation et bien d’autres choses encore). Nous ne publions ce code source que pour montrer comment développer un virus, à des fins d’étude.Comme nous allons le constater, la création d’un virus très performant est extrêmement simple, grâce au langage VBScript, et à toutes les interactions qu’il utilise avec les applications (notamment de messagerie).Le fonctionnement de ce virus est le suivant. On utilise généralement des astuces propres à chaque système (librairies, etc..) qui vont permettre indirectement d’atteindre notre stack et d’exécuter notre code. Nettoyer signifie supprimer le virus du fichier sans l’endommager. Outlook Express est un gruyère pour les virus. Dès lors, ils intègrent dans l’application infectée une signature virale, c’est-à-dire une suite d’octets significative, qui leur permet de vérifier si tel ou tel programme est déjà infecté.La méthode de base utilisée par les antivirus est donc de détecter cette signature propre à chaque virus. On peut donc dire que les virus informatiques sont nettement moins prédominants sous Linux (et les plates forme Unix en général) mais leur nombre n’en est pas pour autant nul. Citons donc quelques risques de virus et de bombes logiques :On voit donc que, bien que nettement moins exposé, le monde des logiciels libres n’est absolument pas à l’abri des virus, vers, et autres logiciels malveillants (chevaux de Troie…). Ainsi, le navigateur Internet Explorer permet d’accéder au système, ce qui est étrange. Il suffit de parcourir un peu les sites traitant du sujet pour mesurer la virulence des propos de chaque parti, dont les uns maintiennent que les virus sous Linux sont une utopie, tandis que les autres conseillent de prendre garde au risque de virus… et d’installer un antivirus sous Linux ! C’est l’un des premiers vers qui a pris une telle ampleur.Nous nous proposons ici d’en détailler les parties essentielles. Il s’agit de tromper l’antivirus sur l’état des fichiers infectés. En effet, pour certaines personnes, créer des virus est un jeu, où il faut faire toujours mieux que le concurrent, et rivaliser d’ingéniosité pour créer « LE » virus complètement invisible et dévastateur. Néanmoins, ce mécanisme ne permet pas la détection des virus « inconnus », c’est à dire n’ayant pas encore été répertoriés par les éditeurs.
Les macro virus sont en effet capables d’infecter aussi bien les Apple. Il convient de les prendre au conditionnel, car il reste à prouver que des attaques de ce genre puissent vraiment aboutir, surtout sur la matériel actuel. Certaines fausses alertes misent également sur l’ignorance des utilisateurs en matière d’informatique pour leur faire supprimer des éléments sains de leur système.Les virus informatiques suivent un cycle de vie, qui recense 7 grandes étapes :C’est la période durant laquelle un programmeur développe un virus aussi féroce que possible (dans la majeure partie des cas). Une semaine de 7 jours va donc du jour 0 au jour 6. Ce programme fut réalisé dans le but de créer une sorte de vie artificielle autonome (ou, du moins, comparable à celle de virus biologiques), sans la moindre volonté négative. Concernant le matériel, d’autres types de dégâts sont parfois indiqués. Une fois ce fichier téléchargé, il est exécuté à chaque démarrage de Windows.Cette méthode permet d’infecter de nombreux fichiers. Même s’il y parvient, il est peu probable qu’il parvienne ensuite à se propager. Le nombre des attaques entre janvier et juin 2003 a dépassé 70.000, soit environ deux fois plus qu’en 2002, selon les analystes.Les prévisions ne sont guère encourageantes, puisque les spams (notamment) risquent de croître de manière exponentielle, et de devenir des vecteurs pour les virus et certains programmes pour s’introduire dans les réseaux.Selon IDC, le marché mondial de la gestion de la sécurité s’appliquant aux contenus, qui comprend les solutions antivirus, les messages de sécurité et les filtres Web, devrait atteindre 6,4 milliards de dollars en 2007, soit un taux de croissance annuel de 19%.La mise au point de stratégies ou la formation des utilisateurs a des pratiques de sécurité peuvent réduire le risque d’infection, même si un virus pénètre dans un réseau interne. Non seulement les correctifs sont distribués au compte-gouttes, mais le système installe tout (« il vaut mieux trop que pas assez ») par défaut…Une petite anecdote raconte qu’un intrus a introduit un cheval de Troie dans le code d’une version du noyau Linux.