Virus informatique - c'est malware, capable d'auto-propagation et d'effectuer des actions destructrices. Les virus pénètrent généralement dans votre ordinateur sous le couvert de quelque chose d'attrayant ou d'utile. Ils n'agissent que par programme: ils s'attachent au fichier et, avec le fichier infecté, pénètrent dans l'ordinateur. Il y a des virus qui restent dans la RAM de l'ordinateur après l'infection. Dans ce cas, ils continuent d'endommager d'autres fichiers et programmes téléchargeables jusqu'à ce que l'environnement dans lequel les virus s'exécutent soit arrêté. Ces virus sont appelés résidents de la mémoire. Une fois lancé, un autre type de virus recherche une fois les victimes, après quoi il sort et transfère le contrôle au fichier infecté. L'effet des virus peut se manifester de différentes manières: des effets visuels qui interfèrent avec le travail à la perte complète d'informations.
Les principales sources du virus
Un virus peut pénétrer dans votre ordinateur de plusieurs manières. Tout d'abord, via le lecteur flash (ou disquette) contenant les fichiers infectés. Une autre option consiste à réseau informatique, y compris le système de messagerie électronique et Internet. La source peut être un disque dur, qui a été infecté par un virus suite à l'utilisation de programmes infectés. De plus, l'installation d'un système d'exploitation infecté entraînera également l'introduction de logiciels malveillants dans votre ordinateur.
Le processus de propagation du virus lui-même peut être divisé en plusieurs étapes. Au début, le virus pénètre dans l'ordinateur. Après cela, il est activé et la recherche d'objets infectés commence. Vient ensuite l'étape de préparation des copies de virus et leur mise en œuvre ultérieure dans les programmes informatiques.
Vous pouvez en savoir plus sur un virus sur votre ordinateur par un certain nombre de signes. Sur stade précoce une infection se produit, une diminution de la quantité de RAM libre ou un ralentissement du chargement et du fonctionnement d'un ordinateur. Changements incompréhensibles dans les fichiers, incapacité à enregistrer les fichiers dans les répertoires nécessaires, messages système incompréhensibles, effets musicaux et visuels - tout cela sert également de signal qu'un virus est entré dans votre ordinateur. Pendant la phase active, les fichiers disparaissent, ils ne peuvent pas être chargés, ainsi que le système d'exploitation est chargé. De plus, lorsqu'un ordinateur est infecté par un virus, le disque dur peut être formaté.
Classification des virus
Environ 50 000 virus informatiques sont connus aujourd'hui. En fonction de la propriétés caractéristiques virus pour les détecter et les neutraliser, diverses méthodes peuvent être utilisées. Cela pose la question de la classification des malwares. Les experts distinguent conditionnellement les types de virus suivants.
Virus de démarrage
Ce type de virus infecte les secteurs de démarrage des supports permanents et amovibles. Souvent, un virus ne rentre pas complètement dans l'enregistrement de démarrage: seul son début y est écrit et le corps du virus est enregistré à un autre endroit du disque. Il reste résident en mémoire après le démarrage.
Virus de fichiers
Ces virus infectent les fichiers. Ce groupe est divisé en trois, en fonction de l'environnement dans lequel le code viral est exécuté:
Les virus de fichiers eux-mêmes sont ceux qui fonctionnent directement avec les ressources du système d'exploitation. Les fichiers avec l'extension .com, .exe sont affectés.
Les macrovirus sont des virus écrits dans le langage macro et exécutés dans l'environnement d'une application. Dans la grande majorité des cas, on parle de macros dans les documents Microsoft Office.
Les virus de script sont des virus exécutés dans l'environnement d'un shell de commande spécifique: précédemment - fichiers bat dans le shell de commande DOS, maintenant plus souvent VBS et JS - scripts dans le shell de commande Windows Scripting Host (WSH).
Virus invisibles
Ce type est également appelé virus furtif. La principale caractéristique du virus invisible est que le virus, étant constamment dans la mémoire de l'ordinateur, intercepte les appels au fichier infecté et en supprime le code du virus à la volée, transmettant une version inchangée du fichier en réponse à la demande. Ainsi, les virus furtifs masquent leur présence dans le système. Pour les détecter, les outils antivirus nécessitent la possibilité d'accéder directement au disque, en contournant les outils du système d'exploitation.
Il existe plusieurs façons de prévenir l'infection et ses conséquences dévastatrices. Par exemple, vous pouvez sauvegarder vos informations ou essayer de ne pas utiliser de programmes aléatoires et inconnus. Vous pouvez également installer un antivirus sur votre ordinateur. Il y a un large choix ici: des packages antivirus professionnels payants à.
Sous virus informatique (ou simplement un virus) est compris comme un programme fonctionnant de manière autonome qui a la capacité de s'insérer indépendamment dans le corps d'autres programmes, suivi par l'auto-reproduction et l'auto-propagation dans les réseaux informatiques et les ordinateurs individuels. La dite chevaux de Troiedont les corps contiennent des séquences de commandes cachées (modules) qui exécutent des actions qui nuisent aux utilisateurs. Le type de cheval de Troie le plus répandu est celui des programmes à usage de masse bien connus (éditeurs, jeux, traducteurs, etc.), qui intègrent des «bombes logiques» qui se déclenchent lorsqu'un événement se produit. Il convient de noter que les chevaux de Troie ne se répliquent pas eux-mêmes.
La différence fondamentale entre un virus et un programme cheval de Troie est que le virus, après son activation, existe indépendamment (de manière autonome) et, au cours de son fonctionnement, infecte (infecte) les programmes en y incluant (implantant) son texte. Les programmes infectés par un virus sont appelés porteurs de virus.
En règle générale, le programme est infecté de telle sorte que le virus prend le contrôle avant le programme lui-même. Pour ce faire, il est soit intégré au début du programme, soit implanté dans son corps afin que la première commande du programme infecté soit une transition inconditionnelle vers un virus informatique. Le texte du virus se termine par une commande de saut inconditionnel à la commande du porteur du virus, similaire à la première avant l'infection. Après avoir pris le contrôle, le virus sélectionne le fichier suivant, l'infecte, effectue éventuellement d'autres actions, puis donne le contrôle au porteur du virus.
L'infection «primaire» se produit lors du processus de réception de programmes infectés de la mémoire d'une machine dans la mémoire d'une autre, et comme moyen de déplacer ces programmes peuvent être utilisés comme supports magnétiques (disquettes), disques laser et canaux de réseaux informatiques. Les virus qui utilisent des outils réseau pour se propager sont généralement appelés réseau... Le cycle de vie d'un virus comprend généralement les périodes suivantes: introduction, incubation, réplication (auto-propagation) et manifestation. Pendant la période d'incubation, le virus est passif, ce qui complique la tâche de le trouver et de le neutraliser. Au stade de la manifestation, le virus remplit ses fonctions cibles caractéristiques, par exemple la correction irréversible d'informations dans un ordinateur ou sur des supports magnétiques.
Les signes de virus sont:
réduction de l'espace RAM disponible;
changer le nombre de fichiers;
redimensionnement des fichiers;
la vitesse du système ralentit fortement;
la lampe d'accès au lecteur commence à s'allumer, bien qu'il n'y ait pas d'accès;
gel du système.
Les signes les plus essentiels de virus informatiques nous permettent d'effectuer la classification suivante.
Par mode de fonctionnement:
virus résidant en mémoire - les virus qui, après activation, sont constamment dans la RAM de l'ordinateur et contrôlent l'accès à ses ressources;
virus de transit - virus qui ne sont exécutés qu'au moment du lancement du programme infecté.
Par l'objet de la mise en œuvre:
virus de fichiers - virus qui infectent les fichiers avec des programmes;
virus de démarrage (gravats) - virus qui infectent les programmes stockés dans les zones système des disques.
Par le degré et la méthode de déguisement:
les virus qui n'utilisent pas d'outils de camouflage;
furtif-virus (furtif) - virus essayant d'être invisibles;
virus mutants (MtE-virus) - Virus contenant des algorithmes de chiffrement qui distinguent différentes copies du virus.
Les types de virus les plus courants sont caractérisés par les principales caractéristiques suivantes.
Virus de transit de fichiers est entièrement placé dans le fichier exécutable, et par conséquent, il n'est activé que si le porteur du virus est activé et, une fois les actions nécessaires terminées, il redonne le contrôle au programme lui-même. Dans ce cas, le choix du prochain fichier à infecter est effectué par le virus en recherchant dans le répertoire. Un virus de fichier résident diffère d'un résident non-mémoire par sa structure logique et son algorithme général de fonctionnement.
Virus résidant en mémoire lorsqu'un ordinateur est infecté, il laisse sa partie résidente dans la RAM, qui intercepte alors les appels du système d'exploitation aux objets d'infection (fichiers, secteurs de démarrage des disques, etc.) et s'y injecte. Les virus résidents résident en mémoire et restent actifs jusqu'à ce que l'ordinateur soit éteint ou que le système d'exploitation redémarre.
Le moyen le plus courant d'infecter un PC avec des virus est d'infecter les programmes qui sont lancés, ainsi que les fichiers lorsqu'ils sont ouverts ou lus. L'une des options d'infection consiste à infecter le secteur d'amorçage (secteur d'amorçage) du support magnétique. Démarrage les virus peuvent mettre en œuvre un très large éventail de méthodes d'infection et de fonctions cibles.
Virus furtifs utiliser la sécurité faible de certains systèmes d'exploitation et remplacer certains de leurs composants (pilotes de disque, interruptions) de telle sorte que le virus devienne invisible (transparent) pour les autres programmes.
Virus polymorphes - il est assez difficile de détecter les virus qui ne contiennent pas une seule section permanente de leur code. Dans la plupart des cas, deux échantillons du même virus polymorphe n'auront pas une seule correspondance.
Macrovirus distribués sous le contrôle des programmes d'application, ce qui les rend indépendants du système d'exploitation. La très grande majorité des virus de macro fonctionnent sous Microsoft Word pour Windows. Le résultat du "travail" d'un virus macro peut être la destruction d'un document créé par l'application.
Le principe de base du travail réseau un virus est la capacité de transférer indépendamment votre code vers un serveur ou un poste de travail distant. Dans le même temps, les virus de réseau «à part entière» ont également la capacité d'exécuter leur code sur un ordinateur distant ou, au moins, de «pousser» l'utilisateur à lancer un fichier infecté.
Virus de réseau les plus connus de la fin des années 1980, ils sont également appelés vers de réseau (vers). Il s'agit notamment du virus Morris, des virus de l'arbre de Noël et des virus Wank Worm. Pour leur distribution, ils ont utilisé les erreurs des réseaux mondiaux de l'époque. Les virus ont transféré leurs copies de serveur à serveur et les ont lancées pour exécution. L'épidémie de virus Morris a paralysé plusieurs réseaux mondiaux aux États-Unis.
Les virus de réseau du passé se propagent sur un réseau informatique et, en règle générale, ne modifient pas les fichiers ou les secteurs sur les disques. Ils ont pénétré la mémoire de l'ordinateur à partir d'un réseau informatique, calculé les adresses réseau d'autres ordinateurs et envoyé des copies d'eux-mêmes à ces adresses. Ces virus créent parfois également des fichiers de travail sur les disques système, mais ils peuvent ne pas accéder du tout aux ressources informatiques (à l'exception de la RAM).
Après plusieurs épidémies de virus de réseau, des erreurs dans les protocoles réseau et les logiciels ont été corrigées. En conséquence, pas un seul cas d'infection par un virus de réseau n'a été enregistré depuis plusieurs années et pas un seul nouveau virus de réseau n'est apparu.
Le problème des virus de réseau ne réapparaît qu'au début de 1997 avec l'avènement des virus qui exploitent la puissance du courrier électronique. Le virus crée un nouveau message contenant un fichier de document infecté, puis sélectionne trois adresses aléatoires dans la liste d'adresses et leur envoie le message infecté. Étant donné que de nombreux utilisateurs définissent leurs paramètres de messagerie de telle sorte que lorsqu'ils reçoivent un message, celui-ci est automatiquement ouvert, le virus s'injecte «automatiquement» dans l'ordinateur du destinataire du message infecté.
Par opportunités destructrices les virus peuvent être répartis dans les groupes suivants:
utile les virus utilisés dans les jeux pour simuler des situations non standard;
sans danger ou non dangereux les virus, c'est-à-dire les virus qui n'affectent en aucun cas le fonctionnement de l'ordinateur (ils ne peuvent réduire la mémoire libre sur le disque qu'en raison de leur propagation, et créent également divers effets graphiques, sonores et autres);
dangereux des virus pouvant entraîner de graves dysfonctionnements de l'ordinateur;
très dangereux virus, dans l'algorithme de fonctionnement dont les procédures pouvant entraîner la perte de programmes, détruisent les données, effacent les informations nécessaires au fonctionnement de l'ordinateur enregistrées dans les zones de mémoire système.
Tableau 2 Caractéristiques des virus informatiques
|
Classe de virus |
Types de virus |
La nature de l'impact |
|
Structure de fichier non dommageable |
Elevage en RAM Opérateur ennuyeux |
Simulation de dysfonctionnement du processeur, mémoire, NMD, lecteur de disquettes, imprimante, ports, écran, clavier Formation de textes et messages graphiques sur le terminal. Synthèse de la parole, formation de la mélodie et effets spéciaux sonores Changement de modes pour configurer le clavier, l'écran, l'imprimante, les ports. |
|
Structure de fichier endommagée |
Endommager les programmes et les données utilisateur Informations système destructives (y compris les crypto-virus) |
Destruction du code source des programmes, bibliothèques informatiques, distorsion sans données, documents texte, graphiques et feuilles de calcul. Destruction du système logique du disque, distorsion de la structure du remplissage du support, formation de support, endommagement des fichiers du système d'exploitation. |
|
Agissant sur l'équipement de l'opérateur |
Désactiver l'équipement Opérateur agissant |
Burnout du phosphore, dommages aux microcircuits, disques magnétiques, imprimante. Impact sur la psyché de l'opérateur, etc. |
Les virus informatiques modernes ont un large éventail d'effets hostiles, allant des blagues inoffensives aux graves dommages matériels. Dans ce sens, l'exemple le plus récent est le virus Win95. CIH, il détruit la mémoire du BIOS (Basic Input \\ Output System), qui détermine la logique de fonctionnement même de l'ordinateur. Dans le même temps, les dommages causés sont assez faciles à corriger, la prévention de la fonction destructrice est satisfaite, simple - il suffit de définir une interdiction de mise à jour du BIOS dans le programme d'installation.
4.1 Virus de fichiers
Virus de fichiers- ce sont des virus qui, lors de la réplication, utilisent le système de n'importe quel système d'exploitation. L'injection d'un virus de fichier est possible dans tous les fichiers exécutables de tous les systèmes d'exploitation courants - DOS, Windows, OS \\ 2, Macintosh, UNIX, etc.
4.1.1 Virus de fichier résidant non mémoire
Fichier virus résident non mémoire est entièrement situé dans le fichier exécutable, par conséquent, il n'est activé que si le porteur du virus est activé et, à la fin des actions nécessaires, il renvoie le contrôle au programme lui-même. Dans ce cas, le choix du prochain fichier à infecter est effectué par le virus en recherchant dans le répertoire.
4.1.2 Virus résidant dans un fichier
Virus résident de fichier diffère du non-résident en ce qu'il infecte non seulement les fichiers exécutables situés dans la mémoire externe, mais également la RAM de l'ordinateur.
Un virus résidant en mémoire se compose d'un soi-disant programme d'installation et de gestionnaires d'interruption. L'installateur prend le contrôle lorsque le porteur du virus est activé et infecte la RAM en y plaçant la partie contrôle du virus et en remplaçant les adresses des éléments du vecteur d'interruption par les adresses de ses programmes qui traitent ces interruptions. Dans la phase dite de surveillance suivant la phase d'installation décrite, si une interruption se produit, le programme antivirus correspondant prend le contrôle.
En raison du schéma général de fonctionnement qui est beaucoup plus universel par rapport aux virus non résidents, les virus résidents peuvent mettre en œuvre une variété de méthodes d'infection. Les méthodes les plus courantes consistent à infecter les programmes lancés, ainsi que les fichiers lorsqu'ils sont ouverts ou lus.
4.1.3 Écraser les virus
Virus d'écrasement écrit son propre code au lieu du code du fichier infecté, détruisant son contenu, après quoi le fichier cesse de fonctionner et n'est pas restauré. Ces virus se détectent rapidement, car le système d'exploitation et les applications cessent rapidement de fonctionner.
4.1.4 Virus parasites
Virus parasites modifier le contenu des fichiers, tout en laissant les fichiers eux-mêmes pleinement ou partiellement fonctionnels. Ces virus sont subdivisés en virus qui écrivent au début, à la fin et au milieu des fichiers.
4.1.5 Virus compagnons
Virus compagnons ils ne modifient pas les fichiers infectés, mais créent un double fichier pour le fichier infecté, et lorsque le fichier infecté est lancé, ce double, c'est-à-dire le virus, prend le contrôle.
4.1.6 Vers de fichiers
Vers de fichiers (les vers) sont une sorte de compagnon - les virus, mais n'associent leur présence à aucun fichier exécutable. Lors de la réplication, ils copient simplement leur code dans certains répertoires du disque dans l'espoir que ces nouvelles copies seront un jour lancées par l'utilisateur.
4.1.7 Virus de lien
Lier les virus utiliser en particulier les organisations de système de fichiers. Ils, comme leurs virus compagnons, ne modifient pas le contenu physique des fichiers, mais quand un fichier infecté est lancé, ils «forcent» le système d'exploitation à exécuter son code en modifiant les champs obligatoires du système de fichiers.
4.1.8 OBJ, LIB et virus dans la source
Les virus qui infectent les bibliothèques de compilateurs, les modules objets et les codes source des programmes. Les virus infectant les fichiers OBJ et LIB y écrivent leur code au format d'un module objet ou d'une bibliothèque. Le fichier infecté n'est pas exécutable et n'est pas capable de propager davantage le virus dans son état actuel. Le porteur du virus "vivant" est le fichier COM, ou EXE, obtenu lors du processus de liaison du fichier OBJ / LIB infecté avec d'autres modules d'objets et bibliothèques. Ainsi, le virus se propage en deux étapes: le premier est infecté par OBJ / LIB
fichiers, à la deuxième étape (liaison) un virus fonctionnel est obtenu.
4.2 Macrovirus
Macrovirus sont des programmes en macro-langages intégrés dans certains traitements de données système (traitement de texte, tableur, etc.). Ils infectent les documents et les feuilles de calcul d'un certain nombre d'éditeurs de bureau.
Pour se reproduire, ils utilisent les capacités des langages de macro et avec leur aide se transfèrent d'un fichier infecté à d'autres. Les plus répandus sont les Macrovirus pour Microsoft Word, Excel et Office 97. Les virus de ce type prennent le contrôle lorsqu'un fichier infecté est ouvert et identifient les fichiers auxquels on accède par la suite depuis l'application bureautique correspondante - Word, Excel, etc.
Le virus informatique est un type de programme informatique ou de code malveillant, dont la caractéristique est la capacité de se reproduire (auto-réplication). En outre, les virus peuvent effectuer d'autres actions arbitraires à l'insu de l'utilisateur, y compris celles qui nuisent à l'utilisateur et / ou à l'ordinateur.
Propagé. Les virus se propagent en copiant leur corps et en assurant son exécution ultérieure: en s'introduisant dans le code exécutable d'autres programmes, en remplaçant d'autres programmes, en prescrivant l'exécution automatique, etc. Canaux: lecteurs flash (lecteurs flash); Email; Systèmes de messagerie instantanée; Les pages Web; Internet et réseaux locaux (vers).
Par conséquent, vous devez prendre quelques précautions, en particulier:
· Ne travaillez pas sous des comptes privilégiés sauf si c'est absolument nécessaire.
· N'exécutez pas de programmes inconnus à partir de sources douteuses.
· Essayez de bloquer la possibilité de modifications non autorisées des fichiers système.
· Désactivez les fonctionnalités système potentiellement dangereuses (par exemple, autorun-media dans MS Windows, masquer des fichiers, leurs extensions, etc.).
· N'allez pas sur des sites suspects, faites attention à l'adresse dans la barre d'adresse du navigateur.
· N'utilisez que des distributions approuvées.
· Effectuez constamment des sauvegardes des données importantes et ayez une image système avec tous les paramètres pour un déploiement rapide.
· Effectuer des mises à jour régulières des programmes fréquemment utilisés, en particulier ceux qui assurent la sécurité du système.
Les virus informatiques sont des types suivants:
· Virus de fichiers qui infectent les fichiers exe et com, parfois uniquement com. Le shell est infecté en premier, et à travers lui tous les autres programmes. Les plus dangereux sont les virus résidant en mémoire qui restent en permanence dans la RAM. L'infection se produit lorsque le programme infecté est lancé (au moins une fois), c'est-à-dire lorsque le virus prend le contrôle et est activé. Ces virus endommagent les programmes et les données, mais ils peuvent parfois détruire le contenu d'un disque dur entier.
· Virus de démarrage ou de démarrage - infectent les secteurs de démarrage des disques durs et des disquettes. Ils sont les plus dangereux pour un ordinateur, car en raison de leur travail destructeur, l'ordinateur arrête de se charger, parfois immédiatement après une infection, ce qui se produit même lorsque le contenu de la disquette infectée est affiché.
· Les virus qui infectent les pilotes spécifiés dans le fichier config.sys et les fichiers de disque DOS. Cela empêche l'ordinateur de démarrer.
· Virus DIR qui modifient la structure des fichiers.
· Virus invisibles ou furtifs. Ils sont très difficiles à trouver. Le moyen le plus simple masquage - lorsqu'un fichier est infecté, le virus prétend que la longueur du fichier n'a pas changé.
· Virus auto-modifiants. Ils changent de structure et de code au hasard et sont très difficiles à détecter. Ils sont également appelés polymorphes. Deux copies du même virus de ce type peuvent ne pas contenir les mêmes séquences d'octets.
· Virus de réseau - infectent les machines fonctionnant sur un réseau, y compris Internet.
· Virus Word, Excel, Access, PowerPoint - infectent les documents et les macros de programmes de MS Office.
· Virus Windows - fonctionnent et gâchent les données dans l'environnement Windows.
18. Virus informatiques. Caractéristiques.
1. bombe logique. Incorporation secrète dans un programme informatique. Ne devrait fonctionner qu'une seule fois lorsque certaines conditions logiques sont reçues. Dans ce cas, la «bombe» est automatiquement éliminée lorsque l'exécution d'un crime donné est terminée.
2. Cheval de Troie. Il consiste en l'introduction secrète d'un programme informatique malveillant dans le logiciel de quelqu'un d'autre, ce qui permet de mettre en œuvre secrètement d'autres fonctions qui ne sont pas prévues par le développeur du programme. Ces moyens de commettre un crime sont utilisés pour obtenir secrètement des informations confidentielles, par exemple un identifiant ou un mot de passe pour accéder à Internet.
3 matriochka de Troie Un constructeur automatique pour créer des programmes informatiques malveillants selon un algorithme défini par le criminel. Il est camouflé sous les programmes informatiques habituels. Lorsque l'ordinateur de la victime entre dans l'environnement logiciel, un algorithme est automatiquement déclenché, en fonction des modules créés, à partir duquel le programme malveillant sera créé. Une fois créés, les logiciels originaux s'autodétruisent. Les modules s'autodétruisent ensuite. De tels cycles peuvent être répétés à l'infini, comme des poupées gigognes intégrées les unes dans les autres.
4. Le ver. Virus auto-répliquant et auto-propagateur, qui a été créé spécifiquement pour fonctionner sur un réseau informatique. Contrairement à un virus courant qui se propage sous forme de fichier de données distinct, ce programme malveillant stocke ses modules sur plusieurs ordinateurs dans des postes de travail du réseau. Lorsqu'un ou plusieurs modules sont détruits sur le nombre de pages de travail correspondant, le ver les recrée automatiquement après chaque connexion de l'ordinateur désinfecté au réseau, comme un ver de terre découpé en morceaux.