Les Virus

(Dossier complet)
MENU

La tendance des dernières années en matière d’informatique est la connectivité des ordinateurs. L’ordinateur cesse de plus en plus d’être un élément isolé doté d’une seule voie d’accès. Cette caractéristique, généralement positive du point de vue des utilisateurs et des PC, signifie également la multiplication des voies d’accès ouvertes aux virus.

Par conséquent, il est fondamental de savoir quelles voies d’accès peuvent être utilisées par un virus pour infecter un ordinateur et comprendre comment un anti-virus doit protéger chacune de ces voies d’accès.

Outre la multiplication des éventuelles voies d’accès des virus, de nouveaux types de virus et de nouveaux modes de transmission ont fait leur apparition.

Enfin, il est nécessaire de souligner l’importance de la surveillance des sorties. Cet aspect est généralement ignoré car le principe appliqué est "qu’aucun virus ne doit entrer". Il ne faut cependant pas oublier que la plupart des infections ne sont pas voulues, c’est-à-dire qu’une personne envoie à une autre un fichier ou une disquette infectée sans se douter qu’elle lui envoie un virus. Si tout le monde surveillait ses "sorties" et non pas seulement ses entrées, l’actuelle rapide diffusion des virus serait en grande mesure évitée. De plus, le fait d’envoyer un virus peut présenter des risques pour l’expéditeur lui-même.

Il s’agissait avant des seules voies d’accès à un PC (s’il n’était pas connecté en réseau). Les virus peuvent se loger dans les fichiers enregistrés sur l’un de ces deux supports ou sur le secteur d’amorce d’une disquette. Etant donné que ces deux supports peuvent contenir des fichiers susceptibles d’être infectés par un virus de macro, les trois types de virus les plus fréquents (amorce, fichiers et macro) peuvent être introduits par cette voie. Avec une protection permanente appropriée, un anti-virus peut éliminer efficacement le risque représenté par cette voie d’accès.

Cette voie d’accès des virus est ancienne mais s’est considérablement généralisé au cours dernières années. A l’heure actuelle, lorsque plusieurs ordinateurs se trouvent à un même endroit, ils sont connectés par un réseau. L’objectif fondamental de ce réseau est le partage d’informations et, par conséquent, de fichiers. Etant donné que sur un réseau tout type de fichiers sont partagés, il peut constituer une voie de transmission de virus de fichiers et de macro.

Comme dans le cas précédent, et cette fois-ci avec encore plus de force, une protection permanente appropriée est la meilleure façon de protéger cette voie d’accès des virus.

Si Internet existe maintenant depuis plusieurs années, son utilisation généralisée en tant que moyen de communication est récente. Aujourd’hui, sa présence dans tous les domaines s’affirme de plus en plus. Sa principale fonction est de faciliter, très souvent de rendre possible, l’échange d’informations. Par conséquent, Internet facilite également l’échange de fichiers qui, comme nous l’avons signalé, est le "véhicule" de transmission des virus. Cependant, le cas d’Internet est un peu plus complexe que celui d’un réseau, pour les raisons suivantes :

Internet comprend différents services, dont les pages Web, le courrier électronique, etc. Tous ces services ont recours à un protocole (un langage) spécifique qu’il est fondamental de connaître pour pouvoir analyser correctement cette voie d’entrée, afin d’y détecter un virus. Par exemple, un message de courrier électronique peut être associé à un fichier infecté par un virus. Ce fichier n’ayant pas son format normal, un anti-virus conventionnel ne peut le détecter. Par conséquent, il est nécessaire de disposer d’un anti-virus spécialement conçu pour comprendre le format sous lequel les messages de courrier électronique sont reçus, afin d’être en mesure de découvrir un virus.

· Courrier électronique: les virus peuvent se trouver dans les fichiers joints à un message de courrier électronique. Les virus ne peuvent jamais être situés sur un message de courrier électronique. En d’autres termes, un message de courrier électronique n’ayant aucun fichier joint ni aucun objet incrusté ne peut contenir un virus.

Il est important de noter que deux protocoles sont utilisés sur Internet pour le courrier électronique. POP3 est utilisé pour le courrier entrant (le courrier reçu) et SMTP pour le courrier sortant (le courrier envoyé).

· Nouvelles ou News (NNTP): ce service permet d’accéder à des forums sur certains serveurs où l’on peut introduire et consulter des nouvelles, ou débattre de différents sujets. Moyennant un abonnement, il est possible d’être informé régulièrement par courrier électronique des dernières nouvelles introduites sur le serveur, ce qui représente toujours un risque d’infection. Les nouvelles reçues au moyen de Exchange/Outlook ou de Outlook Express pourront être analysées.

· Téléchargement de fichiers (FTP): ce service permet de télécharger des fichiers d’Internet. Ces fichiers peuvent être infectés par des virus.

· Pages Web (HTTP): en principe, les pages Web (pages HTML) sont uniquement composées de texte et de graphiques et ne présentent donc pas de risques d’infection. Cependant, les pages Web incorporent de plus en plus d’autres types de composants tels que les applets Java ou les contrôles ActiveX

. Ce type d’objets peut être contaminé par des virus auxquels il suffit, pour infecter un ordinateur, que celui-ci accède à une page Web infectée.

Il convient de savoir où un virus peut se "cacher". Il faut surtout savoir que pour pouvoir se propager ou endommager totalement ou en partie les données de l’ordinateur, le virus doit être exécuté. Par conséquent, les virus ne se logeront qu’aux endroits où ils pourront être exécutés, à savoir :

· Fichiers exécutables: les virus se glissent dans des fichiers exécutables pour pouvoir s’emparer du contrôle de l’ordinateur.

· Documents d’un programme pouvant manipuler des macros: par le passé, les fichiers non exécutables ne pouvaient pas contenir de virus (ou du moins, il n’était pas utile qu’ils en aient) car un virus situé dans un fichier non exécutable ne pouvait rien faire. Cependant, la modernisation de certains programmes, tel le progiciel de Microsoft Office, a doté de macros les fichiers non exécutables, à savoir des documents ou des tableurs. Une macro est un ensemble d’instructions pouvant être exécutées par un certain programme. En d’autres termes, un document de Microsoft Word peut contenir un ensemble d’instructions exécuté par Word même. Désormais, les virus sont en mesure d’infecter les fichiers non exécutables pouvant contenir des macros.

· Fichiers joints à des messages de courrier électronique: tout type de fichier (exécutable ou non exécutable) peut être joint à un message de courrier électronique. Normalement, tous les messages de courrier électronique ainsi que leurs fichiers joints sont stockés sur un seul fichier. La structure de ce fichier n’étant pas standard et n’ayant aucune raison d’être connue, un anti-virus peut considérer cette base de messages comme un fichier courant et ne pas y déceler de virus.

· Secteur d’amorce: le secteur d’amorce est une zone située dans une disquette ou le disque dur contenant des informations importantes sur le type de disque. De plus, ce secteur comprend un programme exécuté lors du démarrage de ce disque. Par conséquent, puisque ce programme stocké dans le secteur d’amorce peut être exécuté, il peut être infecté par un virus. Il est important de savoir qu’un virus situé dans le secteur d’amorce est exécuté si le démarrage a lieu avec une disquette, même s’il ne s’agit pas d’une disquette de démarrage. Applets Java: si les pages d’Internet ou les pages Web (pages HTML) ne pouvaient contenir par le passé que du texte et des graphiques, le besoin d’avoir des pages de plus en plus complexes a eu pour effet de doter les pages Web de la capacité de contenir de petits programmes appelés applets Java. Lorsqu’un navigateur (browser) charge une page Web à l’aide de ces petits programmes, il se charge de les exécuter. Le fonctionnement est semblable à celui d’une macro. Par conséquent, les applets Java sont également susceptibles d’être infectés par un virus.

· Contrôles ActiveX: les contrôles ActiveX ont la même fonction que les applets Java. Par conséquent, puisqu’ils sont également exécutés, ils peuvent être infectés par un virus.

Une des meilleures stratégies de défense face aux virus consiste à les connaître. Si vous savez comment fonctionnent les différents types de virus, quelles parties de l’ordinateur ils attaquent et quel est leur comportement, vous serez en mesure de mieux vous défendre contre eux.

Il existe essentiellement trois types de virus :

Virus d’amorce.

Virus de fichier.

Virus de macro.

Qu’est-ce que le secteur d’amorce ou boot

Le secteur d’amorce (boot sector) est une zone très importante d’une disquette ou d’un disque dur car elle contient des informations sur le type de disque. De plus, ce secteur contient un programme qui s’exécute lors du démarrage de l’ordinateur et qui se charge de déterminer s’il existe un système d’exploitation et, le cas échéant, de l’exécuter.

Par conséquent, lors du démarrage d’un ordinateur, le programme situé dans le secteur d’amorce est généralement chargé afin qu’il exécute le système d’exploitation. Une fois cette action accomplie, l’ordinateur est mis en route et vous pouvez commencer à l’utiliser.

Un virus d’amorce infecte le programme situé dans le secteur d’amorce ou boot sector. Le virus est ainsi exécuté chaque fois que l’ordinateur est mis en route à partir d’une disquette ou du disque dur.

Il est important de savoir que certains virus appartiennent à plusieurs groupes de virus et que, par conséquent, ils peuvent infecter tant le secteur d’amorce que les fichiers.

Pour attraper un virus d’amorce, il est nécessaire de démarrer ou de tenter de démarrer l’ordinateur avec une disquette infectée. Il est fondamental de savoir que, même si un disque N’EST PAS un disque de démarrage il peut également nous contaminer avec un virus d’amorce puisque la tentative de démarrage suffit à favoriser la contagion.

Lors du démarrage ou de la tentative de démarrage d’un ordinateur avec un disque infecté, le virus est en fait exécuté. Il se réserve un espace dans la mémoire de l’ordinateur et "s’installe" dans cet espace réservé. Il exécute ensuite le programme original du secteur d’amorce pour donner une apparence de normalité et ne pas dévoiler sa présence sur l’ordinateur.

Désormais, tous les accès à un disque dur ou à une disquette sont interceptés par le virus. Il s’assure que ces disques sont bien infectés et si ce n’est pas le cas il les contamine. En d’autres termes, si vous avez démarré ou tenté de démarrer l’ordinateur avec une disquette contaminée, dès le premier contact avec le disque dur, celui-ci est contaminé. Par conséquent, chaque fois qu’un démarrage aura lieu à partir du disque dur, le virus sera exécuté et il contaminera des disquettes, assurant ainsi sa propagation.

La meilleure protection est incontestablement de disposer d’un anti-virus dûment mis à jour. Si vous activez une protection permanente et que vous analysez toutes les disquettes avant de les utiliser, il est peu probable qu’un virus d’amorce puisse se glisser dans l’ordinateur.

Une technique très simple permet une garantie supplémentaire car elle évite d’utiliser par mégarde, lors du démarrage, une disquette mélangée aux autres. Elle consiste à placer la séquence de démarrage dans le BIOS pour que le démarrage ait toujours lieu d’abord sur le disque dur et ensuite dans le lecteur de disquettes.

Qu’est-ce que le virus de fichier infecte

Comme son nom l’indique, un virus de fichier infecte les fichiers se trouvant sur tout support physique non protégé contre écriture. Par conséquent, un virus de fichier peut infecter les fichiers d’une disquette ou tout un disque dur.

Il est important de savoir que certains virus appartiennent à plusieurs groupes de virus et qu’ils peuvent donc infecter tant le secteur d’amorce que des fichiers.

Un virus de fichier peut être "contracté" en exécutant un fichier préalablement infecté. C’est la raison pour laquelle les virus n’infectent généralement que les fichiers exécutables. Les virus de macro sont une exception car ils infectent des fichiers non exécutables tels que des documents.

Les virus de fichier ont plus de systèmes de travail que les virus d’amorce.

Virus de fichier résidents: ces virus s’assurent tout d’abord que les conditions requises sont réunies pour qu’ils "attaquent". Si c’est le cas, le virus met en œuvre son action destructrice. Si ce n’est pas le cas, il se réserve un espace dans la mémoire et continue d’exécuter normalement le fichier afin que sa présence passe inaperçue.

Désormais, toutes les opérations concernant des fichiers sont interceptées par le virus qui contamine ainsi tous les fichiers qui ne l’étaient pas encore.

Virus de fichier d’action directe: ces virus s’assurent d’abord que les conditions requises sont réunies pour qu’ils mettent en œuvre leur action destructrice. Si ce n’est pas le cas, le virus contamine sans attendre les nouveaux fichiers. Ils contaminent généralement les fichiers du répertoire actuel ou les fichiers des répertoires correspondant à la variable PATH. Finalement, le virus continue d’exécuter normalement le fichier pour que sa présence passe inaperçue. Comme nous l’avons vu, ces virus ne restent pas dans la mémoire mais infectent parallèlement à leur exécution.

Virus de compagnie: ces virus peuvent être résidents ou d’action directe. Ils se caractérisent parce qu’ils mettent à profit une particularité du système d’exploitation MS-DOS. Ce système d’exploitation, lorsqu’il existe deux fichiers du même nom et aux extensions COM et EXE, exécute d’abord celui ayant l’extension COM. Par conséquent, un virus de compagnie n’infecte pas un fichier EXE mais crée un fichier COM (doté de l’attribut masqué pour dissimuler sa présence) qui contient le virus. Chaque fois que vous tenterez d’exécuter le fichier EXE en fait vous exécuterez le fichier COM qui mènera à bien sa tâche et, finalement le virus exécutera le fichier EXE pour que sa présence passe inaperçue.

Virus de superposition: dans les cas que nous avons vus jusqu’ici, le virus infecte d’autres fichiers sans altérer le contenu original du fichier et se contente de faire des ajouts. Les virus de superposition contaminent les fichiers en écrivant partiellement par-dessus les informations qu’ils contiennent. Les effets de cette action sont doubles: le fichier n’est plus jamais utilisable et ne peut pas être désinfecté car une partie de l’information originale a été perdue.

Tout d’abord, il est fondamental de maintenir activée la protection permanente. La fonction d’une protection permanente est de surveiller toutes les opérations du système d’exploitation liées aux fichiers, afin d’analyser les fichiers qui vont être utilisés.

Grâce à une bonne protection permanente, vous êtes protégé contre les virus de fichier. Il existe également une série de mesures recommandables :

· * Analysez immédiatement tous les fichiers que vous recevez quel que soit le moyen: disquettes, via le réseau, le courrier électronique, Internet, etc. (Différences entre versions)

· * Utilisez exclusivement un logiciel d’origine et fiable.

· * Analysez régulièrement votre disque dur afin de vérifier qu’aucun virus n’a réussi à y pénétrer.

Il est incontestablement nécessaire de disposer d’un anti-virus performant dûment mis à jour.

Qu’est-ce qu’un virus de macro infecte

Etant donné qu’un virus est essentiellement un programme, pour pouvoir agir, il doit être chargé sur le système d’exploitation. C’est la raison pour laquelle les virus infectent exclusivement les fichiers exécutables. Un virus a beau contaminer un fichier de texte, celui-ci n’étant pas exécutable, le virus n’a jamais le contrôle de l’ordinateur et par conséquent ne peut jamais être activé.

Il en est différemment en ce qui concerne les virus de macro. Les capacités sans cesse croissantes de certains programmes tels que les processeurs de texte, les tableurs, etc. ont incité leurs concepteurs à les doter d’une fonction utile: les macros. Une macro est une séquence d’instructions que le programme (le processeur de texte ou le tableur, par exemple) peut interpréter et exécuter.

Par conséquent, si un code viral est introduit dans une de ces macros, ce code est exécuté par le programme et s’empare ainsi du contrôle de l’ordinateur.

En conclusion, les fichiers utilisés par ces programmes (documents, tableurs, etc.) peuvent contenir des virus et contaminer d’autres fichiers du même type.

Ce type de virus présente un danger supplémentaire. Etant donné leurs caractéristiques, ils sont exécutés "dans" le programme. Par conséquent, si ce programme est de type multi plate-forme (c’est-à-dire qu’il peut être exécuté dans différents systèmes d’exploitation) le virus le sera aussi et il augmentera ainsi l’éventail des fichiers à infecter.

Les virus de macro mettent à profit une caractéristique courante des programmes utilisant des macros. Le programme MS-Word fournit un exemple très clair. Il utilise essentiellement deux types de fichiers: des documents et des modèles. Les modèles servent à définir des documents génériques et à faciliter ainsi le travail en évitant de recommencer toujours depuis le début.

Dans le cas de MS-Word, ce sont les modèles qui peuvent contenir des macros. Le problème réside dans le fait que tous les documents, par défaut, ont pour base un modèle spécifique appelé NORMAL.DOT. Ce modèle comprend une macro qui est automatiquement exécutée lors de l’ouverture du modèle.

Les créateurs de virus ont mis à profit cette caractéristique. En contaminant la macro qui est automatiquement exécutée, ils sont certains d’activer le virus qui va contaminer tous les documents qui vont être ouverts.

Comme nous l’avons expliqué, les macros virales sont exécutées et contaminent tous les documents qui sont ensuite ouverts. Ces documents vont à leur tour transmettre "l’infection".

Une des caractéristiques les plus dangereuses des virus de macro est leur grande rapidité de propagation. Par exemple, dans une société, un document contaminé situé sur le réseau et consulté par différentes personnes peut contaminer tous les documents de la société dans des délais très brefs.

En raison de l’importante quantité d’échanges de ce type de fichiers via le courrier électronique, ces virus peuvent se propager aux quatre coins de la planète en très peu de temps.

Il est important de souligner que, contrairement à la croyance généralisée, l’effet que peuvent avoir ces virus est particulièrement pervers. Leurs conséquences peuvent être aussi graves que celles des virus d’amorce ou de fichier.

La protection la plus efficace face aux virus de macro consiste à disposer d’un anti-virus doté de protection permanente. Ainsi, chaque fois que vous tentez d’ouvrir un document infecté, la protection permanente vous prévient et annule l’opération, supprimant tout risque.

Etant donné la facilité de propagation de ce type de virus via le courrier électronique, il est également recommandé de disposer d’un anti-virus capable d’analyser le courrier électronique (Différences entre versions) au moment même de la réception et avant qu’il ne soit ouvert.

Pour éviter d’être détectés par les anti-virus, les virus ont développé une série de techniques spécialisées et complexes. Les anti-virus ont dû s’adapter à ces nouvelles techniques afin de pouvoir détecter les virus chaque fois plus complexes et perfectionnés.

Voici certaines des techniques favorites des virus :

Furtivité (Stealth): il s’agit d’une technique propre aux virus de fichiers résidents. L’infection d’un fichier implique de modifier le fichier contaminé. Il est donc possible de remarquer qu’un virus a manipulé ce fichier.

Pour éviter cette situation, le virus résident peut arriver à surveiller toutes les opérations destinées à obtenir des informations sur le virus et après les avoir interceptées, fournir les informations antérieures à l’infection, continuant ainsi à tromper l’utilisateur.

Perçage (Tunneling): les virus et les anti-virus utilisent des techniques semblables. Les virus interceptent toutes les opérations du système d’exploitation sur les fichiers afin de pouvoir contaminer tous les fichiers auxquels il a accès. Par ailleurs, les protections permanentes des anti-virus interceptent également les opérations sur les fichiers afin de s’assurer que les fichiers auxquels l’utilisateur souhaite accéder ne sont pas contaminés. A l’aide de la technique de perçage ou tunneling, un virus réussit à trouver les services interceptés par la protection permanente et à les utiliser directement sans que la protection permanente s’en rende compte.

Autocryptage: les virus ont pour mission principale de se reproduire. Les anti-virus les détectent en recherchant une certaine chaîne (également appelée signature) qui est identique dans toutes les copies d’un même virus. Pour éviter ce mécanisme de recherche de virus (le plus courant) certains virus sont capables de se crypter et de se modifier chaque fois qu’ils infectent un fichier. Ainsi, le virus ne se reproduit jamais de la même façon et la méthode traditionnelle est impuissante. Cependant, la routine servant au cryptage est toujours la même et les anti-virus peuvent mettre cet aspect à profit pour repérer ce type de virus.

Polymorphisme: dans ce cas, les virus se cryptent chaque fois différemment et, de plus, la routine de cryptage elle-même varie. Par conséquent, il n’existe pas deux copies identiques d’un même virus, toutes leurs parties sont différentes. Pour détecter ce type de virus, des techniques de simulation de décryptage sont utilisées afin d’obliger les virus à se "montrer".

Nous vous offrons ci-après une série de conseils pour prévenir les dangereuses infections dues aux virus. N’oubliez pas que la prévention est un des outils les plus efficaces contre les virus informatiques.

Copies de sauvegarde: prenez l’habitude d’effectuer régulièrement des copies de sauvegarde de vos données les plus importantes. Il s’agit d’un des conseils les plus courants et les moins suivis dans le secteur informatique.

Des copies de sauvegarde régulières ne sont pas seulement une solution face aux virus mais également face à tout éventuel problème pouvant affecter l’ordinateur. Si vous ne faites que des copies de sauvegarde des données les plus importantes, elles seront de petite taille et rapides à exécuter. Il convient de faire au moins une copie de sauvegarde par mois.

Analysez tout ce que vous recevez: il s’agit d’un des points fondamentaux de la prévention. Analysez tous les programmes ou fichiers que vous introduisez ou avez introduits dans votre ordinateur avant de les exécuter ou de les ouvrir. Vous pouvez ainsi détecter les éventuels virus avant qu’ils n’aient le temps d’infecter aucun de vos fichiers.

Equipez-vous d’une protection permanente active: les protections permanentes surveillent constamment toutes les opérations de l’ordinateur susceptibles de permettre l’infection par un virus. Si vous activez une protection permanente performante d'un bon anti-virus comme celle de Panda Antivirus 6.0 par exemple, le risque de contagion est infime et vous travaillez considérablement mieux avec votre ordinateur car vous n’avez plus à vous soucier d’analyser tout ce que vous recevez. La protection permanente le fait automatiquement.

Analyses régulières: analysez régulièrement l’ensemble de votre ordinateur. Grâce aux analyses programmées de certains programmes de sécurité (anti-virus) il est aisé d’effectuer des analyses régulières quand vous n’utilisez pas votre ordinateur.
Ce type d’analyses régulières évite, si un virus a pénétré dans votre ordinateur, qu’il ne se propage trop. Il convient d’analyser tout le système au moins une fois par semaine. Toutefois, cette analyse dépend de l’utilisation que vous faites de l’ordinateur.

Rester à jour: en raison de la quantité de nouveaux virus détectés chaque mois, environ 300, il est indispensable de disposer d’un service de mises à jour afin d’assurer l’efficacité de l’anti-virus. Vous risquez sinon de voir votre ordinateur infecté impunément chaque mois par de nouveaux et dangereux virus. La plupart des Anti-virus professionnel disposent d'un "service on line" sur Internet qui permet d'avoir des mises à jours pour détecter les nouveaux virus.

Disque de démarrage propre: prévoyez de garder toujours à portée de la main une disquette de démarrage libre de virus. Elle vous permettra de nettoyer l’ordinateur s’il est contaminé par un virus. Les bons programmes d'antivirus proposent à l'utilisateur de créer des disquettes spéciales (de démarrage, et / ou de désinfection).

Il est parfois possible que, même si vous avez choisi l’option de désinfection, certains virus ne puissent être désinfectés.
Le cas le plus courant est la détection d’un virus dans un fichier situé dans un fichier comprimé. Pour pouvoir désinfecter, vous devez suivre la démarche ci-après :

1. Décomprimer le fichier comprimé dans un répertoire vide. Cette décompression n’implique aucun risque même si un des fichiers contenus dans le fichier comprimé est infecté par un virus.
2. Analyser le répertoire où la décompression a eu lieu en sélectionnant l’option de désinfection.
3. Ces deux opérations ont désinfecté le fichier contaminé. Si vous le souhaitez, vous pouvez comprimer à nouveau les fichiers afin de revenir à la situation initiale sans avoir de fichiers infectés dans le fichier comprimé.

<== Retour        ***        Chapitre suivant ==>

LES TYPES DE VIRUS (Chapitre VI)

Les caractéristiques des virus sont les suivantes :

· Résident: lors de l’exécution, le virus se réserve une petite partie de la mémoire et s’y installe pour se propager.

· Stealth: il s’agit d’une technique utilisée par certains virus résidents. Elle consiste à camoufler les modifications apportées par le virus sur les fichiers qu’il infecte. Quand un utilisateur essaie de voir une des caractéristiques du fichier que le virus a modifié, le virus, résident en mémoire, intercepte la consultation et fournit les données antérieures à la modification.

· Crypté: les virus possédant cette caractéristique sont capables d’avoir un cryptage différent chaque fois qu’ils infectent un fichier. Il est ainsi impossible de rechercher le virus à l’aide d’une chaîne.

· Superposition: les virus de superposition, pouvant être résidents ou non, écrasent le contenu du fichier qu’ils infectent, rendant ainsi ce fichier inutilisable. La taille du fichier ne varie pas à moins que celle du virus lui-même soit supérieure. La seule façon d’éliminer ces virus est d’effacer le fichier infecté et de mettre à sa place une copie non infectée.

· Polymorphe: les virus polymorphes sont des versions modernes des virus cryptés. Ils sont capables de changer la méthode de cryptage de génération en génération. De cette façon, aucune partie du virus ne reste inchangée.

· Compagnie: les virus de compagnie sont ceux qui, afin de contaminer un fichier EXE, créent un fichier COM du même nom, dont l’attribut de masqué est activé. Le virus réside dans ce fichier COM. S’il existe deux fichiers du même nom et aux extensions EXE et COM, le système d’exploitation MS-DOS exécute d’abord le fichier ayant l’extension COM. C’est là exactement ce que recherche ce type de virus. Ainsi, lorsque l’utilisateur tente d’exécuter un programme (fichier EXE) en réalité il exécute d’abord le virus (fichier COM) qui sera ensuite gardé en mémoire puis le fichier EXE comme dans une situation normale afin de ne pas éveiller les soupçons de l’utilisateur.

Voilà ! Vous êtes maintenant bien prévenus...
Bonne chance !

<== Retour

=> MENU <=

Dossier réalisé par Gasmi Boubaker - d'après des sources sûres (doc. anti_virus, sites spécialisés)...
certaines rubriques sont toutefois personnelles et ne sont que le témoignage d'une expérience personnelle.