Qui a inventé le premier virus informatique ? Virus informatiques. Types, types, modes d'infection Variétés de programmes antivirus

Tous les logiciels peuvent être conditionnellement divisés en utiles et malveillants. Dans le second cas, bien sûr, nous parlons de virus informatiques, dont le premier est apparu dans les années 70-80 du siècle dernier. Depuis lors, ces programmes malveillants ont beaucoup évolué, mais même maintenant, ils ont de nombreuses fonctionnalités en commun avec leurs ancêtres.

Comme vous l'avez peut-être deviné, cet article porte sur l'histoire des virus informatiques. Ainsi, vous découvrirez qui a inventé ces programmes malheureux et quel chemin ils ont parcouru depuis le moment de leur formation jusqu'à nos jours.

Historique des noms

Cela vaut la peine de commencer par la raison pour laquelle les virus ont généralement été nommés de cette façon, et pas d'une autre manière. Après tout, il était possible de trouver un nom plus lié à des sujets informatiques. Et le fait est que ces programmes sont très similaires dans la façon dont ils se propagent avec des virus biologiques. L'un et l'autre se reproduisent constamment, capturant progressivement de plus en plus de nouvelles parties du corps. De plus, les ordinateurs et ne se limitent pas à un seul transporteur, mais infectent constamment un nombre croissant de victimes.

Malheureusement, on ne sait pas exactement qui est l'auteur de ce terme bien établi. Certes, de nombreux experts affirment que l'expression "virus informatique" a été utilisée pour la première fois par l'écrivain de science-fiction Gregory Benford. Dans son ouvrage "The Scarred Man", écrit en 1970, un programme qui endommage les ordinateurs est appelé un virus.

Théorie

Si nous parlons de l'émergence de diverses nouvelles technologies, alors, comme cela arrive souvent, la théorie naît en premier, et ensuite seulement elle vient à la pratique. Les virus ne font pas exception à cette règle.

En 1949, le mathématicien américain John von Neumann a enseigné un cours sur les dispositifs automatiques complexes. Puis, déjà en 1951, il publie un ouvrage scientifique intitulé "La théorie des dispositifs d'auto-reproduction", qui décrit en détail la possibilité de créer un programme informatique capable de se copier.

Bien plus tard, en 1972, Veit Rizak a développé la théorie américaine. Il a décrit en détail le mécanisme de fonctionnement d'une application à part entière, qui était essentiellement un virus, pour le système Siemens 4004/35. Et enfin, en 1980, Jürgen Kraus, diplômé de l'Université de Dortmund, a pour la première fois comparé un tel programme à une infection biologique.

Bien sûr, tout ce qui précède a eu un impact énorme sur l'histoire des virus informatiques. Mais, comme vous l'avez peut-être remarqué, tous les travaux des scientifiques étaient exclusivement consacrés à des programmes inoffensifs capables de s'auto-reproduire.

De la théorie à la pratique

Inspirés par le travail de John, Bell Laboratories a décidé de mettre ses théories à l'épreuve. Ils ont créé un jeu pour 7090. Le projet s'appelait Darwin.

L'essence de ce jouet était qu'un certain nombre de programmes assembleurs (appelés organismes) étaient placés dans la mémoire de l'ordinateur. Dans ce cas, les organismes étaient à peu près également répartis entre les deux joueurs. Les programmes ont alors commencé le processus d'auto-copie, consommant à la fois de l'espace disque et des organismes hostiles. En conséquence, le gagnant était le joueur dont les "protections" absorbaient complètement toute la mémoire allouée, tout en détruisant les organismes de l'adversaire.

Comme vous pouvez le constater, Darwin fonctionne de manière très similaire aux logiciels malveillants modernes. Même si le jeu n'affecte en fait aucune fonction de l'ordinateur, il est considéré comme le prototype de tous les virus.

Plante grimpante et faucheuse

Dans le sillage du succès de Darwin, les développeurs ont commencé à créer de plus en plus d'applications avec des fonctionnalités similaires, mais Creeper devrait être distingué parmi eux. Il s'agit d'un virus expérimental dont l'apparition remonte à 1970. Le programme infectait les ordinateurs DEC PDP-10 exécutant le système d'exploitation Tenex et affichait le message : I`m the creeper! Attrape-moi si tu peux ("Je suis Creeper! Attrape-moi si tu peux!"). Malgré ce comportement, l'application n'est jamais sortie du banc d'essai, c'est pourquoi elle n'est pas considérée comme le premier virus informatique.

Ce qui est plus intéressant, c'est le programme Reaper, réalisé par la même équipe de développement. Curieusement, c'était la seule tâche dont était de trouver et de détruire le Creeper. Et je dois dire qu'elle a réussi à faire face à cela. Depuis lors, bien sûr, beaucoup de temps s'est écoulé, mais ce sont Creeper et Reaper qui ont jeté les bases de l'éternelle lutte entre virus et antivirus. Que s'est-il passé ensuite ?

Avec l'avènement des années 1980, l'ère du développement des ordinateurs personnels, ainsi que des disquettes comme supports de stockage, a commencé. C'est à la même époque que le premier virus informatique est apparu. Ainsi, Richard Skrenta, un écolier de 15 ans, a développé en 1981 un programme pour l'Apple II qui peut frapper le système d'exploitation DOS qui démarre à partir d'une disquette. Le virus s'appelait Elk Cloner et, ce qui est très important, il pouvait se copier sur des supports "sains", voyageant ainsi d'un ordinateur à l'autre.

En principe, le programme n'a pas beaucoup nui au PC. Le virus Apple II n'affichait qu'un message sur l'écran de l'ordinateur. Il a été écrit sous forme poétique. Cependant, Elk Cloner a été une mauvaise surprise pour les utilisateurs. Après tout, ils n'avaient jamais rien rencontré de tel auparavant. De plus, le programme a réussi à infecter de nombreux ordinateurs, ce qui, selon les normes de l'époque, passait complètement pour la première épidémie de virus.

cerveau

Le prochain événement important s'est produit en 1986. Les programmeurs Amjad et Bazit Alvi ont créé le premier virus informatique pour les systèmes IBM, appelé Brain. Selon les développeurs eux-mêmes, ils voulaient punir les pirates locaux avec l'aide de leur progéniture, mais la situation est devenue incontrôlable. Les croire ou non est déjà une affaire personnelle pour chacun.

Le virus informatique Brain s'est échappé bien au-delà du Pakistan, où vivaient ses créateurs, et a réussi à nuire à des dizaines de milliers d'utilisateurs. Aux États-Unis seulement, 20 000 ordinateurs en ont été affectés. Bien sûr, cela ne semble plus trop menaçant, mais cela a alors été assimilé à une épidémie mondiale.

La fin de l'ère des disquettes

Le temps a passé, la technologie s'est développée et l'ère des disquettes a progressivement commencé à décliner. Parallèlement à cela, Internet a gagné en popularité, grâce auquel les utilisateurs ont commencé à échanger des informations entre eux. Sans aucun doute, tous ces points sont très positifs, mais c'est grâce à eux que les virus informatiques sont devenus beaucoup plus dangereux.

Aujourd'hui, ils se sont tellement développés qu'ils peuvent se propager à une vitesse terrifiante. En quelques heures seulement, un virus particulier peut infecter des millions d'ordinateurs, perturbant même les agences gouvernementales et les grandes entreprises. Que pouvons-nous dire des utilisateurs ordinaires. De plus, plusieurs types de virus différents se sont formés, chacun ayant ses propres caractéristiques. Ils seront discutés ci-dessous.

"Vers"

Ces programmes malveillants se distinguent par leur capacité à s'auto-propager. Pour ce faire, ils utilisent la vulnérabilité des applications, les frappant à la fois via les réseaux locaux et mondiaux (Internet). Théoriquement, le "ver" peut infecter tous les ordinateurs du monde en 15 minutes, mais, heureusement, c'est impossible dans la réalité.

Le premier et l'un des représentants les plus célèbres de ce type de virus est le soi-disant ver Morris. Il a été créé en 1988 et a réussi à infecter dans les plus brefs délais environ 6200 ordinateurs, ce qui correspondait à l'époque à environ 10% de tous les PC connectés à Internet.

chevaux de Troie

Quant aux chevaux de Troie, contrairement aux mêmes "vers", ils ne peuvent pas se propager d'eux-mêmes. Ces virus pénètrent dans l'ordinateur en raison de certaines actions des utilisateurs eux-mêmes. Par exemple, vous pouvez installer un programme légal et inoffensif à première vue, mais les logiciels malveillants seront cachés sous son apparence.

Après avoir infecté un ordinateur, le cheval de Troie commence à effectuer toutes sortes d'actions non autorisées. Ainsi, il peut collecter des informations, y compris des mots de passe, ou simplement utiliser les ressources du système à des fins inconvenantes.

Le SIDA, qui a fait rage en 1989, est considéré comme le premier représentant de ce type de virus. Ensuite, il a été distribué sur des disquettes, a remplacé le fichier AUTOEXEC.BAT et a commencé à compter le nombre de démarrages du système. Dès que ce nombre a atteint 90, le cheval de Troie a crypté les noms de tous les fichiers sur le lecteur C, rendant impossible l'utilisation du système d'exploitation. La personne s'est donc vu proposer de payer pour avoir à nouveau accès à ses informations.

Polymorphes

Ils se distinguent par le fait qu'ils ont un niveau de protection accru contre la détection par les utilitaires antivirus. En termes simples, ces virus, grâce à la technique de programmation spéciale utilisée pour leur création, peuvent passer inaperçus pendant longtemps, causant des dommages au système. Le premier des polymorphes connus est relativement "jeune". Il est apparu en 1990 et s'appelait Chameleon, et son créateur est Mark Washburn.

Virus furtifs

Les virus furtifs, à première vue, ressemblent beaucoup aux polymorphes. Ils cachent leur présence sur l'ordinateur de la même manière, mais ils utilisent des méthodes légèrement différentes pour cela. Les virus furtifs interceptent les appels des programmes antivirus au système d'exploitation, excluant ainsi la possibilité de leur détection. Le premier représentant de cette famille est le programme Frodo, développé en Israël à la fin de 1989, mais la première utilisation a déjà eu lieu en 1990.

Un peu de protection

Alors que les virus ont évolué, les antivirus, qui sont le meilleur moyen de les combattre, ne sont pas non plus restés immobiles. Ainsi, en plus du Reaper déjà mentionné, des utilitaires conçus pour se protéger contre les logiciels indésirables sont apparus périodiquement. Certes, jusqu'en 1981, les virus ne constituaient pas une menace sérieuse, il n'était donc pas nécessaire de leur résister d'une manière ou d'une autre.

Si nous parlons d'antivirus au sens moderne du terme, le premier d'entre eux a commencé à être utilisé en 1985. Le programme s'appelait DRProtect et empêchait toutes les actions tierces liées au BIOS en redémarrant l'ordinateur si elles étaient détectées.

Néanmoins, les développeurs de logiciels malveillants ont progressivement appris à contourner la protection offerte par les antivirus primitifs de l'époque. Il n'a été possible de sauver la situation qu'en 1992 grâce au programme d'Eugene Kaspersky. Un émulateur de code système y a été intégré, qui, avec quelques modifications, est encore utilisé dans les antivirus à ce jour.

Qui en a besoin ?

Il est logique que les développeurs de virus, en les créant, poursuivent des objectifs spécifiques. Ce n'est que maintenant que leurs intentions peuvent être très différentes, allant des dommages à l'équipement des concurrents et se terminant par le désir de voler l'argent des autres. Souvent, lors d'attaques contre de grandes entreprises, les utilisateurs ordinaires sont victimes d'épidémies de virus, car ils peuvent s'en protéger dans une moindre mesure.

Quoi qu'il en soit, vous devez être préparé à de telles situations. Mettez toujours à jour votre antivirus avec la dernière version et vous minimiserez les risques d'infection de votre ordinateur.

La définition d'un virus informatique est une question historiquement problématique, car il est assez difficile de donner une définition claire d'un virus, tout en décrivant les propriétés qui sont inhérentes uniquement aux virus et ne s'appliquent pas aux autres systèmes logiciels. Au contraire, en donnant une définition stricte d'un virus comme un programme qui a certaines propriétés, on peut presque immédiatement trouver un exemple d'un virus qui n'a pas de telles propriétés.

Un autre problème avec la définition d'un virus informatique réside dans le fait qu'aujourd'hui un virus est le plus souvent compris non pas comme un virus "traditionnel", mais comme presque n'importe quel programme malveillant. Cela entraîne une confusion dans la terminologie, encore compliquée par le fait que presque tous les antivirus modernes sont capables de détecter ces types de programmes malveillants, ainsi l'association « malware-virus » devient de plus en plus stable.

Classification

Actuellement, il n'existe pas de système unique pour classer et nommer les virus, cependant, différentes sources peuvent être trouvées dans différentes classifications, en voici quelques-unes :

Classification des virus selon la méthode d'infection

Résidentiel

De tels virus, après avoir reçu le contrôle, restent d'une manière ou d'une autre en mémoire et recherchent des victimes en permanence, jusqu'à la fin de l'environnement dans lequel ils s'exécutent. Avec le passage à Windows, le problème de la mémoire n'est plus d'actualité : presque tous les virus s'exécutant dans l'environnement Windows, ainsi que dans l'environnement des applications Microsoft Office, sont des virus résidents. Par conséquent, l'attribut résident s'applique uniquement aux virus de fichiers DOS. L'existence de virus non résidents de Windows est possible, mais en pratique, ils constituent une rare exception.

Non-résident

Après avoir reçu le contrôle, un tel virus effectue une recherche unique de victimes, après quoi il transfère le contrôle à l'objet qui lui est associé (objet infecté). Les virus de script peuvent être classés dans ce type de virus.

Classification des virus selon le degré d'impact

Inoffensif

Les virus qui n'affectent en rien le fonctionnement de l'ordinateur (à l'exception de la réduction de l'espace disque disponible en raison de leur propagation) ;

Non dangereux

Les virus n'interfèrent pas avec le fonctionnement de l'ordinateur, mais réduisent la quantité de RAM libre et de mémoire disque, les actions de ces virus se manifestent par des effets graphiques ou sonores;

Dangereux

Des virus pouvant entraîner divers dysfonctionnements informatiques ;

Très dangereux

Virus, dont l'impact peut entraîner la perte de programmes, la destruction de données, l'effacement d'informations dans les zones système du disque.

Classification des virus selon la méthode de masquage

Lors de la création de copies pour le masquage, les technologies suivantes peuvent être utilisées :

Chiffrement- le virus est composé de deux éléments fonctionnels : le virus lui-même et l'encodeur. Chaque copie d'un virus se compose d'un encodeur, d'une clé aléatoire et du virus réel chiffré avec cette clé.

métamorphisme- création de diverses copies du virus en remplaçant des blocs de commandes par des équivalents, en réarrangeant des morceaux de code, en insérant des commandes "garbage" entre des morceaux de code significatifs qui ne font pratiquement rien.

Virus crypté

Il s'agit d'un virus qui utilise un cryptage simple avec une clé aléatoire et un chiffrement invariable. De tels virus sont facilement détectés par la signature de l'encodeur.

virus ransomware

Dans la plupart des cas, le virus ransomware se présente sous la forme d'une pièce jointe à un e-mail d'une personne inconnue de l'utilisateur, et éventuellement au nom d'une banque bien connue ou d'une grande organisation d'exploitation. Les lettres sont accompagnées d'un en-tête du type : « Acte de rapprochement… », « Votre dette envers la banque… », « Vérification des données d'inscription », « CV », « Blocage du compte en cours », etc. La lettre contient une pièce jointe avec des documents prétendument confirmant le fait indiqué dans l'en-tête ou le corps de la lettre. Lorsque vous ouvrez cette pièce jointe, le virus ransomware est instantanément lancé, qui cryptera discrètement et instantanément tous les documents. L'utilisateur détectera l'infection en voyant que tous les fichiers qui avaient auparavant des icônes familières seront affichés avec des icônes d'un type inconnu. De l'argent sera demandé pour le décryptage par le criminel. Mais, souvent, même après avoir payé l'attaquant, les chances de récupérer les données sont négligeables.

Les pièces jointes malveillantes se trouvent le plus souvent dans les archives .zip, .rar, .7z. Et si la fonction d'affichage des extensions de fichiers est désactivée dans les paramètres du système informatique, l'utilisateur (destinataire de la lettre) ne verra que les fichiers de la forme "Document.doc", "Act.xls" et similaires. En d'autres termes, les fichiers apparaîtront complètement inoffensifs. Mais si vous activez l'affichage des extensions de fichiers, il deviendra immédiatement clair qu'il ne s'agit pas de documents, mais de programmes ou de scripts exécutables, les noms de fichiers prendront une forme différente, par exemple, "Document.doc.exe" ou " Act.xls.js ». Lorsque de tels fichiers sont ouverts, le document n'est pas ouvert, mais le virus ransomware est lancé. Voici juste une courte liste des extensions de fichiers "dangereuses" les plus populaires : .exe, .com, .js, .wbs, .hta, .bat, .cmd. Par conséquent, si l'utilisateur ne sait pas ce qui lui a été envoyé dans la pièce jointe, ou si l'expéditeur n'est pas familier, alors, très probablement, la lettre contient un virus de cryptage.

En pratique, il existe des cas de réception par e-mail d'un fichier "Word" (avec l'extension .doc) normal, à l'intérieur duquel, en plus du texte, il y a une image, un lien hypertexte (vers un site inconnu sur Internet) ou un objet OLE incorporé. Lorsque vous cliquez sur un tel objet, une infection immédiate se produit.

Les virus rançongiciels gagnent en popularité depuis 2013. En juin 2013, la société bien connue McAfee a publié des données montrant qu'elle avait collecté 250 000 exemples uniques de virus rançongiciels au cours du premier trimestre 2013, soit plus du double du nombre de virus détectés au cours du premier trimestre 2012.

En 2016, ces virus ont atteint un nouveau niveau, changeant le principe de fonctionnement. En avril 2016, des informations sont apparues sur le réseau concernant un nouveau type de virus de cryptage qui, au lieu de crypter des fichiers individuels, crypte la table MFT du système de fichiers, ce qui fait que le système d'exploitation ne peut pas détecter les fichiers sur le disque et le disque entier est en fait crypté.

virus polymorphe

Un virus qui utilise un chiffrement métamorphique pour crypter le corps principal du virus avec une clé aléatoire. Dans ce cas, une partie des informations utilisées pour obtenir de nouvelles copies de l'encodeur peut également être chiffrée. Par exemple, un virus peut implémenter plusieurs algorithmes de chiffrement et, lors de la création d'une nouvelle copie, modifier non seulement les commandes de l'encodeur, mais également l'algorithme lui-même.

Classification des virus par habitat

L'"habitat" fait référence aux zones système de l'ordinateur, des systèmes d'exploitation ou des applications, dans les composants (fichiers) desquels le code du virus est introduit. Par habitat, les virus peuvent être divisés en:

• botte;
• déposer
• macro-virus ;
• virus de script.

À l'ère des virus DOS, les virus hybrides d'amorçage de fichiers étaient courants. Après la transition massive vers les systèmes d'exploitation de la famille Windows, les virus de démarrage eux-mêmes et les hybrides mentionnés ont pratiquement disparu. Séparément, il convient de noter le fait que les virus conçus pour fonctionner dans l'environnement d'un système d'exploitation ou d'une application particulière sont inopérants dans l'environnement d'autres systèmes d'exploitation et applications. Par conséquent, l'environnement dans lequel il peut s'exécuter est désigné comme un attribut distinct du virus. Pour les virus de fichiers, il s'agit de DOS, Windows, Linux, MacOS, OS/2. Pour les virus de macro - Word, Excel, PowerPoint, Office. Parfois, un virus a besoin d'une certaine version du système d'exploitation ou de l'application pour fonctionner correctement, alors l'attribut est spécifié plus précisément : Win9x, Excel97.

Virus de fichiers

Les virus de fichiers lors de leur reproduction utilisent d'une manière ou d'une autre le système de fichiers de n'importe quel (ou n'importe quel) système d'exploitation. Ils:

• sont intégrés dans des fichiers exécutables de diverses manières (le type de virus le plus courant) ;
• créer des fichiers en double (virus compagnons) ;
• créer des copies d'eux-mêmes dans divers répertoires ;
• utiliser les particularités de l'organisation du système de fichiers (link-virus).

Tout ce qui est connecté à Internet a besoin d'une protection antivirus : 82 % des virus détectés se « cachent » dans des fichiers avec des extensions PHP, HTML et EXE.

Le nombre de programmes malveillants ne cesse de croître et pourrait atteindre des proportions épidémiques dans un proche avenir. La propagation des virus dans le monde numérique n'a pas de frontières, et même avec toutes les opportunités disponibles, il est déjà impossible de neutraliser les activités de la communauté cybercriminelle aujourd'hui. Combattre les pirates et les auteurs de virus qui améliorent sans relâche leurs compétences devient de plus en plus difficile. Par exemple, les cybercriminels ont appris à masquer avec succès les canaux numériques pour la propagation des menaces, ce qui rend beaucoup plus difficile le suivi et l'analyse de leurs mouvements en ligne. Les modes de diffusion évoluent également, si les cybercriminels préféraient autrefois l'e-mail pour propager les virus, aujourd'hui les attaques en temps réel occupent les premières places. Il y a également eu une augmentation des applications Web malveillantes qui se sont avérées plus que adaptées aux attaquants. Selon Govind Rammurthy, PDG et directeur général d'eScan MicroWorld, les pirates ont appris aujourd'hui à échapper avec succès à la détection par les signatures antivirus traditionnelles, qui, pour un certain nombre de raisons, sont vouées à l'échec lorsqu'il s'agit de détecter les menaces Web. D'après les échantillons analysés par eScan, les menaces Web sont le type de malware le plus courant. 82 % des logiciels malveillants détectés sont des fichiers PHP, HTML et EXE, tandis que les fichiers MP3, CSS et PNG représentent moins de 1 %.

Cela suggère clairement que le choix des pirates est Internet, et non des attaques utilisant des vulnérabilités logicielles. Les menaces sont de nature polymorphe, ce qui signifie que les logiciels malveillants peuvent être efficacement recodés à distance, ce qui les rend difficiles à détecter. Par conséquent, une forte probabilité d'infection est associée, entre autres, aux visites sur place. Selon eScan MicroWorld, le nombre de liens de redirection et de téléchargements intempestifs sur des sites piratés a augmenté de plus de 20 % au cours des deux derniers mois. Les réseaux sociaux élargissent également considérablement les possibilités de diffusion des menaces.

Prenons par exemple une bannière circulant sur Facebook invitant l'utilisateur à changer la couleur de la page en rouge, bleu, jaune, etc. La bannière alléchante contenait un lien dirigeant l'utilisateur vers un site frauduleux. Là, les attaquants se sont retrouvés entre les mains d'informations confidentielles qui ont été utilisées ou vendues pour des profits illégaux à diverses organisations Internet. Ainsi, les antivirus basés sur des signatures traditionnelles sont aujourd'hui inefficaces, car ils ne peuvent pas protéger de manière fiable contre les menaces Web en temps réel. Antivirus, qui est basé sur les technologies cloud et reçoit des informations sur les menaces du "cloud", ces tâches sont au pouvoir.

Virus de démarrage

Les virus de démarrage s'écrivent soit dans le secteur de démarrage du disque (secteur de démarrage), soit dans le secteur contenant le chargeur de démarrage du disque dur (Master Boot Record), ou modifient le pointeur vers le secteur de démarrage actif. Ce type de virus était assez courant dans les années 1990, mais a pratiquement disparu avec le passage aux systèmes d'exploitation 32 bits et le refus d'utiliser les disquettes comme principal moyen d'échange d'informations. Théoriquement, il est possible que des virus de démarrage infectent les CD et les clés USB, mais aucun virus de ce type n'a été trouvé jusqu'à présent.

Macro-virus

De nombreux tableurs et éditeurs graphiques, systèmes de conception, traitements de texte ont leurs propres langages macro pour automatiser les actions répétitives. Ces macro-langages ont souvent une structure complexe et un riche ensemble de commandes. Les virus de macro sont des programmes dans des langages de macro intégrés dans de tels systèmes de traitement de données. Pour leur reproduction, les virus de cette classe utilisent les capacités des langages macro et avec leur aide se transfèrent d'un fichier infecté (document ou tableau) à d'autres.

Virus de script

Les virus de script, comme les virus de macro, sont un sous-groupe de virus de fichiers. Ces virus sont écrits dans divers langages de script (VBS, JS, BAT, PHP, etc.). Ils infectent d'autres programmes de script (fichiers de commande et de service MS Windows ou Linux) ou font partie de virus multicomposants. De plus, ces virus peuvent infecter des fichiers d'autres formats (par exemple, HTML), si des scripts peuvent y être exécutés.

Classification des virus selon la méthode d'infection des fichiers

Écraseurs

Cette méthode d'infection est la plus simple : le virus écrit son propre code à la place du code du fichier infecté, détruisant ainsi son contenu. Naturellement, dans ce cas, le fichier cesse de fonctionner et n'est pas restauré. Ces virus se détectent très rapidement, car le système d'exploitation et les applications cessent de fonctionner assez rapidement.

Injecter un virus au début d'un fichier

Ainsi, lorsqu'un fichier infecté est lancé, le code du virus est le premier à prendre le contrôle. En même temps, afin de maintenir le fonctionnement du programme, les virus désinfectent le fichier infecté, le redémarrent, attendent qu'il finisse de fonctionner et réécrivent à son début (parfois un fichier temporaire est utilisé pour cela, dans lequel le fichier neutralisé est écrit), ou restaurez le code du programme dans la mémoire de l'ordinateur et configurez les adresses nécessaires dans son corps (c'est-à-dire qu'elles dupliquent le fonctionnement du système d'exploitation).

Injection de virus en fin de fichier

La façon la plus courante d'injecter un virus dans un fichier consiste à ajouter le virus à la fin du fichier. Dans ce cas, le virus modifie le début du fichier de manière à ce que les premières commandes exécutables du programme contenues dans le fichier soient les commandes du virus. Afin de prendre le contrôle au démarrage du fichier, le virus corrige l'adresse de départ du programme (l'adresse du point d'entrée). Pour ce faire, le virus effectue les modifications nécessaires dans l'en-tête du fichier.

Injecter un virus au milieu d'un fichier

Il existe plusieurs méthodes pour injecter un virus au milieu d'un fichier. Dans le plus simple d'entre eux, le virus transfère une partie du fichier à sa fin ou « étale » le fichier et écrit son code dans l'espace libéré. Cette méthode est très similaire aux méthodes énumérées ci-dessus. Certains virus compriment le bloc de fichiers portables de manière à ce que la longueur du fichier ne change pas pendant l'infection.

La seconde est la méthode "cavité", dans laquelle le virus est écrit dans des zones manifestement inutilisées du fichier. Le virus peut être copié dans les zones d'en-tête inutilisées d'un fichier EXE, dans des "trous" entre les sections de fichiers EXE ou dans la zone de message texte des compilateurs populaires. Il existe des virus qui infectent uniquement les fichiers contenant des blocs remplis d'un octet constant, tandis que le virus écrit son propre code au lieu d'un tel bloc.

De plus, la copie du virus au milieu du fichier peut se produire à la suite d'une erreur virale, auquel cas le fichier peut être endommagé de manière irréversible.

Virus sans point d'entrée

Séparément, il convient de noter un groupe assez restreint de virus qui n'ont pas de "point d'entrée" (virus EPO - virus Entry Point Obscuring). Il s'agit notamment des virus qui ne modifient pas l'adresse du point de départ dans l'en-tête des fichiers EXE. Ces virus écrivent une commande pour passer à leur code quelque part au milieu du fichier et reçoivent le contrôle non pas directement lorsque le fichier infecté est lancé, mais lors de l'appel d'une procédure contenant le code pour transférer le contrôle au corps du virus. De plus, cette procédure peut être effectuée extrêmement rarement (par exemple, lors de l'affichage d'un message concernant une erreur spécifique). En conséquence, le virus peut «dormir» à l'intérieur du fichier pendant de nombreuses années et ne se libérer que dans certaines conditions limitées.

Avant d'écrire une commande pour passer à son code au milieu du fichier, le virus doit sélectionner l'adresse "correcte" dans le fichier - sinon le fichier infecté peut être corrompu. Il existe plusieurs méthodes connues par lesquelles les virus déterminent ces adresses à l'intérieur des fichiers, par exemple, en recherchant dans un fichier une séquence de code standard pour les en-têtes de procédure du langage de programmation (C/Pascal), en désassemblant le code du fichier ou en remplaçant les adresses des fonctions importées.

Virus compagnons

Les virus compagnons sont des virus qui ne modifient pas les fichiers infectés. L'algorithme de fonctionnement de ces virus est qu'un fichier jumeau est créé pour le fichier infecté, et lorsque le fichier infecté est lancé, c'est ce jumeau, c'est-à-dire le virus, qui reçoit le contrôle.

Les virus de ce type incluent ceux qui, lorsqu'ils sont infectés, renomment le fichier en un autre nom, s'en souviennent (pour le lancement ultérieur du fichier hôte) et écrivent leur code sur le disque sous le nom du fichier infecté. Par exemple, le fichier NOTEPAD.EXE est renommé en NOTEPAD.EXD et le virus est écrit sous le nom NOTEPAD.EXE. Au démarrage, le contrôle reçoit le code du virus, qui lance ensuite le BLOC-NOTES d'origine.

Il peut y avoir d'autres types de virus compagnons qui utilisent d'autres idées ou fonctionnalités originales d'autres systèmes d'exploitation. Par exemple, les compagnons PATH qui placent leurs copies dans le répertoire principal de Windows, en utilisant le fait que ce répertoire est le premier de la liste PATH, et les fichiers pour le démarrage de Windows y seront d'abord recherchés. De nombreux vers informatiques et chevaux de Troie utilisent également cette méthode de lancement automatique.

Lien virus

Les virus de liens ou les virus de liens ne modifient pas le contenu physique des fichiers, cependant, lorsqu'un fichier infecté est lancé, ils « forcent » le système d'exploitation à exécuter son code. Ils atteignent cet objectif en modifiant les champs nécessaires du système de fichiers.

Vers de fichiers

Les vers de fichiers n'associent en aucun cas leur présence à un fichier exécutable. Lorsqu'ils se reproduisent, ils copient simplement leur code dans certains répertoires du disque dans l'espoir que ces nouvelles copies seront un jour exécutées par l'utilisateur. Parfois, ces virus donnent à leurs copies des noms "spéciaux" pour encourager l'utilisateur à exécuter leur copie - par exemple, INSTALL.EXE ou WINSTART.BAT.

Certains vers de fichiers peuvent écrire leurs copies dans des archives (ARJ, ZIP, RAR). D'autres écrivent la commande pour exécuter le fichier infecté dans les fichiers BAT.

Virus OBJ, LIB et virus dans le code source

Les virus qui infectent les bibliothèques du compilateur, les modules objets et les codes source des programmes sont assez exotiques et pratiquement rares. Il y en a une dizaine au total. Les virus qui infectent les fichiers OBJ et LIB y écrivent leur code sous la forme d'un module objet ou d'une bibliothèque. Le fichier infecté n'est donc pas exécutable et incapable de propager davantage le virus dans son état actuel. Le support d'un virus "vivant" est un fichier COM ou EXE obtenu en liant un fichier OBJ/LIB infecté à d'autres modules objets et bibliothèques. Ainsi, le virus se propage en deux étapes : les fichiers OBJ/LIB sont infectés lors de la première étape et un virus exploitable est obtenu lors de la deuxième étape (liaison).

L'infection des textes sources du programme est une suite logique de la méthode de propagation précédente. Dans ce cas, le virus ajoute son code source aux textes sources (dans ce cas, le virus doit le contenir dans son corps) ou son propre dump hexadécimal (ce qui est techniquement plus simple). Un fichier infecté est capable de propager davantage le virus uniquement après compilation et liaison.

Diffusion

Contrairement aux vers (vers de réseau), les virus n'utilisent pas les services réseau pour s'infiltrer dans d'autres ordinateurs. Une copie du virus n'atteint les ordinateurs distants que si l'objet infecté est activé sur un autre ordinateur pour une raison qui ne dépend pas de la fonctionnalité du virus, par exemple :

• lors de l'infection de disques accessibles, le virus a pénétré dans des fichiers situés sur une ressource réseau ;
• le virus s'est copié sur un support amovible ou sur des fichiers infectés ;
• l'utilisateur a envoyé un e-mail avec une pièce jointe infectée.

À l'été 2012, les spécialistes de Kaspersky Lab ont dressé une liste des 15 logiciels malveillants les plus remarquables qui ont marqué l'histoire :

• 1986 Brian - le premier virus informatique ; il a été distribué en écrivant son propre code dans le secteur de démarrage des disquettes.
• En 1988, le ver Morris infectait environ 10 % des ordinateurs connectés à Internet (soit environ 600 ordinateurs).
• 1992 Michelangelo est le premier virus à attirer l'attention des médias.
• 1995 Concept est le premier virus de macro.
• 1999 Melissa a inauguré l'ère des envois massifs de logiciels malveillants, entraînant des épidémies mondiales.
• Le 26 avril 1999, la première catastrophe informatique mondiale s'est produite. Les programmeurs, peut-être, n'ont pas effrayé leurs enfants avec le virus de Tchernobyl ou le CIH. Selon diverses sources, environ un demi-million d'ordinateurs dans le monde ont été touchés, et jamais auparavant les conséquences des épidémies de virus n'ont été aussi massives et accompagnées de pertes aussi graves.
• 2003 Slammer est un ver sans fichier qui a provoqué une épidémie généralisée dans le monde entier.
• 2004 Cabir - le premier virus expérimental pour Symbian ; distribué via Bluetooth.
• 2006 Leap est le premier virus pour la plate-forme Mac OSX.
• 2007 Storm Worm - a d'abord utilisé des serveurs de commande et de contrôle distribués pour contrôler les ordinateurs infectés.
• 2008 Koobface est le premier virus qui attaque délibérément les utilisateurs du réseau social Facebook.
• 2008 Conficker est un ver informatique qui a provoqué l'une des plus grandes épidémies de l'histoire, à la suite de laquelle les ordinateurs des entreprises, des particuliers et des organisations gouvernementales de plus de 200 pays ont été infectés.
• 2010 FakePlayer – Cheval de Troie SMS pour smartphones Android.
• 2010 Stuxnet - un ver qui a lancé une attaque ciblée sur les systèmes SCADA (Supervisory Control And Data Acquisition), marquant le début de l'ère de la cyberguerre.
• 2011 Duqu est un cheval de Troie complexe qui collecte des informations auprès d'installations industrielles.
• 2012 Flame est un logiciel malveillant sophistiqué qui est activement utilisé dans un certain nombre de pays comme cyber-arme. En termes de complexité et de fonctionnalité, le logiciel malveillant surpasse tous les types de menaces connus jusqu'à présent.

Panda Security 2010 Classement des virus

• Evil Mac lover : C'est le nom donné au programme d'accès à distance au nom effrayant HellRaiser.A. Il n'affecte que les systèmes Mac et nécessite l'autorisation de l'utilisateur pour l'installer sur l'ordinateur. Si la victime l'installe, le programme aura un accès à distance complet à l'ordinateur et pourra exécuter un certain nombre de fonctions... jusqu'à ouvrir le lecteur de disque !
• Bon Samaritain : Certains ont sûrement déjà deviné de quoi il s'agit... Il s'agit du fichier Bredolab.Y. Il est déguisé en un message de support Microsoft vous invitant à installer de toute urgence un nouveau correctif de sécurité pour Outlook... Mais attention ! Si vous téléchargez le fichier suggéré, un faux outil de sécurité sera automatiquement installé sur votre ordinateur, qui vous avertira d'une infection du système et de la nécessité d'acheter l'une ou l'autre solution de sécurité pour combattre le virus. Si vous payez pour le programme proposé, vous ne l'obtiendrez bien sûr jamais, cela ne résoudra pas votre problème et vous ne récupérerez pas votre argent.
• Linguiste de l'année : Sans aucun doute, les temps sont difficiles maintenant... Et les pirates sont de plus en plus obligés de s'adapter aux nouvelles tendances et de faire tout leur possible pour attraper la prochaine victime à l'hameçon. Les astuces qu'ils sont prêts à utiliser pour tromper les utilisateurs ne connaissent pas de limites ! Pour ce faire, ils sont même prêts à apprendre des langues étrangères. Nous avons donc décidé de décerner le prix du linguiste de l'année à un virus appelé MSNWorm.IE. Ce virus, qui en soi n'a rien de spécial, se propage via des programmes de messagerie, incitant les utilisateurs à regarder n'importe quelle photo... en 18 langues ! Même si le smiley à la fin reste le « :D » universel…

Alors, si vous voulez savoir dire "Voir la photo" dans une autre langue, cette liste vous fera gagner du temps :

• Courageux : En 2010, ce prix est décerné à Stuxnet.A. Si vous deviez choisir une bande-son pour cette menace, ce serait quelque chose comme "Mission Impossible" ou "Holy One". Ce code malveillant a été conçu pour attaquer les systèmes de contrôle de supervision et de collecte de données, c'est-à-dire pour les infrastructures critiques. Le ver exploite une faille de sécurité USB de Microsoft pour accéder au cœur même des centrales nucléaires... On dirait l'intrigue d'un film hollywoodien !
• Le plus ennuyeux : rappelez-vous ce qu'étaient les virus ? Après avoir infecté votre ordinateur une fois, ils vous demandent constamment : « Êtes-vous sûr de vouloir quitter le programme ? - Pas vraiment?". Indépendamment de votre réponse, la même question revenait encore et encore : "Êtes-vous sûr de vouloir quitter le programme ?", capable d'exaspérer même un saint ... C'est exactement ainsi que le ver le plus ennuyeux de 2010, Oscarbot.YQ, travaux. Une fois installé, vous pouvez commencer à prier, à méditer ou à vous asseoir dans une position de yoga, car cela vous rendra fou. Chaque fois que vous essayez de fermer le programme, vous verrez une fenêtre avec une autre question, et une autre, et une autre ... Le plus ennuyeux, c'est inévitable.
• Le ver le plus sûr : Clippo.A. Ce nom peut rappeler à certains utilisateurs le nom Clippy, le surnom de trombone de l'assistant Microsoft Office. C'est le plus sûr de tous les vers existants. Une fois installé sur votre ordinateur, il protège tous les documents avec un mot de passe. Ainsi, lorsque l'utilisateur tentera de rouvrir le document, il ne pourra pas le faire sans le mot de passe. Pourquoi le virus fait-il cela ? La chose la plus intéressante est que juste comme ça! Personne ne propose de racheter le mot de passe ou d'acheter un antivirus. C'est juste fait pour vous embêter. Cependant, les utilisateurs qui ont été infectés ne sont pas du tout drôles, car. il n'y a pas de symptômes visibles d'infection.
• Victime de la crise : Ramsom.AB. La crise économique a touché de nombreuses personnes dans le monde, y compris des cybercriminels. Il y a quelques années, les soi-disant "ransomwares" (virus qui verrouillent votre ordinateur et demandent une rançon) demandaient plus de 300 $ pour le déverrouiller. Aujourd'hui, en raison de la crise, de la récession et de la concurrence entre les cyber-escrocs, les victimes se voient proposer de racheter leur ordinateur pour aussi peu que 12 $. Les temps difficiles sont arrivés... même presque désolé pour les pirates.
• Le plus économique : en 2010, le gagnant dans cette catégorie était SecurityEssentials2010 (bien sûr, un faux, pas l'antivirus MS officiel). Ce code malveillant agit comme n'importe quel autre faux antivirus. Il informe l'utilisateur que son ordinateur a été attaqué par des virus et ne peut être sauvé qu'en achetant cet antivirus. La conception du faux antivirus est très convaincante : les messages, les fenêtres ont l'air très crédibles. Donc sois prudent! Et ne me croyez pas sur parole.

Le virus Anna Kournikova a reçu son nom pour une raison - les destinataires pensaient qu'ils téléchargeaient des photos d'un joueur de tennis sexy. Les dommages financiers du virus n'ont pas été les plus importants, mais le virus est devenu très populaire dans la culture populaire, notamment, il est mentionné dans l'un des épisodes de la série Friends de 2002.

2 Sasser (2004)

En avril 2004, Microsoft a publié un correctif pour le service système LSASS (Local Security Authentication Server). Un peu plus tard, un adolescent allemand a publié le ver Sasser, qui exploitait cette vulnérabilité sur des machines non mises à jour. De nombreuses variantes du Sasser sont apparues sur les réseaux des compagnies aériennes, des sociétés de transport et des établissements médicaux, causant 18 milliards de dollars de dégâts.

3 Mélissa (1999)

Nommé d'après un strip-teaseur de Floride, le virus Melissa a été conçu pour se propager en envoyant un code malveillant aux 50 premiers contacts du carnet d'adresses Microsoft Outlook de la victime. L'attaque a été un tel succès que le virus a infecté 20 % des ordinateurs dans le monde et causé 80 millions de dollars de dégâts.

Le créateur du virus, David L. Smith, a été arrêté par le FBI, a passé 20 mois en prison et a payé une amende de 5 000 $.

Alors que la plupart des logiciels malveillants de notre liste ont causé des problèmes, Zeus (alias Zbot) était à l'origine un outil utilisé par un groupe criminel organisé.

Le cheval de Troie a utilisé des techniques de phishing et d'enregistrement de frappe pour voler les comptes bancaires des victimes. Le malware a volé avec succès 70 millions de dollars sur les comptes des victimes.

5 Troie de tempête (2007)

Storm Trojan est devenu l'une des menaces à la croissance la plus rapide, trois jours après sa sortie en janvier 2007, il a atteint un taux d'infection de 8 % sur les ordinateurs du monde entier.

Le cheval de Troie a créé un botnet massif de 1 à 10 millions d'ordinateurs, et en raison de son architecture de changement de code toutes les 10 minutes, Storm Trojan s'est avéré être un malware très persistant.

Le ver ILOVEYOU (Lettre du bonheur) s'est fait passer pour un fichier texte d'un fan.

En fait, la lettre d'amour constituait un grave danger : en mai 2000, la menace s'est propagée à 10 % des ordinateurs connectés au réseau, forçant la CIA à fermer ses serveurs pour empêcher sa propagation. Les dommages sont estimés à 15 milliards de dollars.

7 Sircam (2001)

Comme de nombreux premiers scripts malveillants, Sircam a utilisé des techniques d'ingénierie sociale pour forcer les utilisateurs à ouvrir une pièce jointe à un e-mail.

Le ver a utilisé des fichiers Microsoft Office aléatoires sur l'ordinateur de la victime, les a infectés et a envoyé un code malveillant aux contacts du carnet d'adresses. Selon une étude de l'Université de Floride, Sircam a causé 3 milliards de dollars de dégâts.

8. Nimda (2001)

Lancé à la suite des attentats du 11 septembre 2001, le ver Nimda a été largement attribué à al-Qaïda, mais cela n'a jamais été prouvé, et même le procureur général John Ashcroft a nié tout lien avec l'organisation terroriste.

La menace s'est propagée selon plusieurs vecteurs et a entraîné la chute des réseaux bancaires, des réseaux de tribunaux fédéraux et d'autres réseaux informatiques. Les coûts de nettoyage de Nimda ont dépassé 500 millions de dollars au cours des premiers jours.

À seulement 376 octets, le ver SQL Slammer contenait beaucoup de destruction dans un shell compact. Le ver a détruit Internet, les centres d'appels d'urgence, 12 000 guichets automatiques Bank of America et a mis hors ligne la majeure partie de la Corée du Sud. Le ver a également pu désactiver l'accès au Web mondial dans une centrale nucléaire de l'Ohio.

10 Michel-Ange (1992)

Le virus Michaelangelo s'est propagé à un nombre relativement restreint d'ordinateurs et a causé peu de dégâts réels. Cependant, le concept d'un virus censé "faire exploser l'ordinateur" le 6 mars 1992 a provoqué une hystérie de masse parmi les utilisateurs, qui s'est répétée chaque année à cette date.

11 Code Rouge (2001)

Le ver Code Red, nommé d'après une variante de la boisson Mountain Dew, a infecté un tiers de la suite de serveurs Web Microsoft IIS après sa sortie.

Il a réussi à casser whitehouse.gov en remplaçant la page principale par le message "Hacked by Chinese!". Les dommages causés par les actions de Code Red dans le monde sont estimés à des milliards de dollars.

12. Cryptolocker (2014)

Sur les ordinateurs infectés par Cryptolocker, des fichiers importants étaient cryptés et une rançon était requise. Les utilisateurs qui ont payé les pirates plus de 300 millions de dollars en bitcoins ont eu accès à la clé de cryptage, les autres ont perdu l'accès aux fichiers pour toujours.

Le cheval de Troie Sobig.F a infecté plus de 2 millions d'ordinateurs en 2003, paralysant Air Canada et ralentissant les réseaux informatiques dans le monde entier. Le logiciel malveillant a entraîné des coûts de nettoyage de 37,1 milliards de dollars, l'une des campagnes de récupération les plus coûteuses de tous les temps.

14. Crânes.A (2004)

Skulls.A (2004) est un cheval de Troie mobile qui a infecté le Nokia 7610 et d'autres appareils SymbOS. Le logiciel malveillant a été conçu pour remplacer toutes les icônes des smartphones infectés par l'icône Jolly Roger et désactiver toutes les fonctions du smartphone, à l'exception de l'émission et de la réception d'appels.

Selon F-Secure Skulls.A a causé des dommages mineurs, mais le cheval de Troie était insidieux.

15. Stuxnet (2009)

Stuxnet est l'un des virus de cyberguerre les plus connus. Créé dans le cadre d'un effort conjoint entre Israël et les États-Unis, Stuxnet ciblait les systèmes d'enrichissement d'uranium de l'Iran.

Des ordinateurs infectés contrôlaient les centrifugeuses jusqu'à leur destruction physique et informaient l'opérateur que toutes les opérations se déroulaient normalement.

En avril 2004, MyDoom a été désigné par TechRepublic comme la "pire infection de tous les temps", pour une bonne raison. Le ver a augmenté les temps de chargement des pages de 50 %, a empêché les ordinateurs infectés d'accéder aux sites de logiciels antivirus et a lancé des attaques contre le géant informatique Microsoft, provoquant des dénis de service.

La campagne de nettoyage MyDoom a coûté 40 milliards de dollars.

17. Netsky (2004)

Le ver Netsky, créé par le même adolescent qui a développé Sasser, parcourait le monde via des pièces jointes aux e-mails. La version P de Netsky était le ver le plus répandu au monde deux ans après son lancement en février 2004.

18. Conficker (2008)

Le ver Conficker (également connu sous le nom de Downup, Downadup, Kido) a été découvert pour la première fois en 2008 et a été conçu pour désactiver les programmes antivirus sur les ordinateurs infectés et bloquer les mises à jour automatiques susceptibles de supprimer la menace.

Conficker s'est rapidement répandu sur plusieurs réseaux, y compris ceux des agences de défense britanniques, françaises et allemandes, causant 9 milliards de dollars de dégâts.

Virus informatiques- des programmes spéciaux qui sont créés par des attaquants pour obtenir n'importe quel avantage. Le principe de leur fonctionnement peut être différent : soit ils volent des informations, soit ils incitent l'utilisateur à effectuer certaines actions au profit des attaquants, par exemple, réapprovisionner un compte ou envoyer de l'argent.
Aujourd'hui, il existe de nombreux virus différents. Les principaux seront abordés dans cet article.

Ver est un programme malveillant dont le but est de remplir l'ordinateur de toutes sortes de déchets afin qu'il devienne lent et maladroit. Le ver est capable de se reproduire, mais ne peut pas faire partie du programme. Le plus souvent, l'infection par ce virus se produit par le biais d'e-mails.

Cheval de Troie (troyen, cheval de Troie)- Ce programme justifie pleinement son nom. Il s'infiltre dans d'autres programmes et s'y cache jusqu'à ce que le programme hôte soit lancé. Tant que le programme hôte n'est pas lancé, le virus ne peut pas causer de dommages. Le plus souvent, un cheval de Troie est utilisé pour supprimer, modifier ou voler des données. Les chevaux de Troie ne peuvent pas se reproduire par eux-mêmes.

Spyware- ces Stirlitz collectent des informations sur l'utilisateur et ses actions. Le plus souvent, ils volent des informations confidentielles : mots de passe, adresses, numéros de carte/compte, etc.
Zombies - ce nom a été donné aux programmes malveillants parce qu'ils fabriquent en fait une machine "boite" à partir d'un ordinateur, obéissant aux intrus. En termes simples, les personnes malveillantes peuvent contrôler l'ordinateur de quelqu'un avec ces logiciels malveillants. Le plus souvent, l'utilisateur ne sait même pas que son ordinateur n'est plus le sien.

Programme de blocage (bannière)- ces programmes bloquent l'accès au système d'exploitation. Lorsque l'ordinateur est allumé, l'utilisateur voit une fenêtre contextuelle dans laquelle il est généralement accusé de quelque chose : violation du droit d'auteur ou téléchargement de logiciels piratés. De plus, il existe des menaces de suppression complète de toutes les informations de l'ordinateur. Pour éviter cela, l'utilisateur doit reconstituer le compte d'un certain téléphone ou envoyer des SMS. Seulement maintenant, même si l'utilisateur fait toutes ces opérations, la bannière de menace n'ira nulle part.

Virus de démarrage- appuyez sur le secteur de démarrage du disque dur (disque dur). Leur objectif est de ralentir considérablement le processus de chargement du système d'exploitation. Après une longue exposition à ces virus sur l'ordinateur, il y a une forte probabilité que le système d'exploitation ne se charge pas du tout.

Exploiter- Ce sont des programmes spéciaux qui sont utilisés par les attaquants pour pénétrer le système d'exploitation à travers ses vulnérabilités, des endroits non protégés. Ils sont utilisés pour infiltrer des programmes qui volent des informations nécessaires pour obtenir des droits d'accès à un ordinateur.

Hameçonnage- c'est le nom de l'action lorsque l'attaquant envoie des emails à ses victimes. Les lettres contiennent généralement une demande de confirmation de données personnelles : nom complet, mots de passe, codes PIN, etc. Ainsi, un pirate peut se faire passer pour une autre personne et, par exemple, retirer tout l'argent de son compte.

Spyware- les programmes qui envoient les données de l'utilisateur à des tiers à son insu. Les espions sont engagés dans le fait qu'ils étudient le comportement de l'utilisateur et ses endroits préférés sur Internet, puis diffusent des publicités qui l'intéresseront certainement.

rootkit- des outils logiciels qui permettent à un attaquant de pénétrer librement dans le logiciel de la victime, puis de masquer complètement toute trace de sa présence.
Les virus polymorphes sont des virus qui se camouflent et se réincarnent. Tout en travaillant, ils peuvent modifier leur propre code. Et donc ils sont très difficiles à détecter.

Virus logiciel- un programme qui s'attache à d'autres programmes et perturbe leur travail. Contrairement à un cheval de Troie, un virus informatique peut se répliquer et, contrairement à un ver, il a besoin d'un programme qui s'y « colle » pour fonctionner correctement.
Ainsi, on peut dire qu'un programme malveillant (Malware) est tout programme qui a été créé pour donner accès à un ordinateur et aux informations qui y sont stockées sans l'autorisation du propriétaire de cet ordinateur lui-même. Le but de telles actions est de nuire ou de voler des informations. Le terme "Malware" est générique pour tous les virus existants. Il convient de rappeler qu'un programme qui a été infecté par un virus ne fonctionnera plus correctement. Il doit donc être supprimé puis réinstallé.

Virus informatique- un type de logiciel malveillant qui peut infiltrer le code d'autres programmes, des zones de mémoire système, des secteurs de démarrage et distribuer ses copies via divers canaux de communication.

Le but principal d'un virus est de le propager. De plus, sa fonction concomitante est souvent de perturber le fonctionnement des systèmes matériels et logiciels - supprimer des fichiers et même supprimer le système d'exploitation, rendre les structures de données inutilisables, bloquer le travail des utilisateurs, etc. Même si l'auteur du virus n'a pas programmé d'effets nuisibles , le virus peut entraîner des pannes informatiques dues à des erreurs, des subtilités d'interaction non prises en compte avec le système d'exploitation et d'autres programmes. De plus, les virus ont tendance à occuper de l'espace de stockage et à consommer des ressources système.

Dans la vie de tous les jours, les "virus" sont appelés tous les logiciels malveillants, bien qu'il ne s'agisse en fait que d'un type parmi d'autres.

Histoire

Les bases de la théorie des mécanismes d'auto-reproduction ont été posées par John von Neumann, un Américain d'origine hongroise, qui a proposé en 1951 une méthode pour créer de tels mécanismes. Des exemples concrets de tels programmes sont connus depuis 1961.

Les premiers virus connus sont Virus 1,2,3 et Elk Cloner pour le PC Apple II, apparus en 1981. À l'hiver 1984, les premiers utilitaires antivirus sont apparus - CHK4BOMB et BOMBSQAD par Andy Hopkins (eng. Andy Hopkins). Au début de 1985, Gee Wong a écrit le programme DPROTECT, le premier antivirus résident.

Les premières épidémies de virus remontent à -1989 : Brain (distribué dans les secteurs d'amorçage des disquettes, a provoqué la plus grande épidémie), Jérusalem(manifesté le vendredi 13 mai 1988, détruisant les programmes lors de leur lancement), le ver Morris (plus de 6200 ordinateurs, la plupart des réseaux étaient hors service pendant cinq jours), DATACRIME (environ 100 000 ordinateurs infectés rien qu'aux Pays-Bas) .

Parallèlement, les principales classes de virus binaires se dessinent : vers de réseau (Morris worm, 1987), chevaux de Troie (AIDS, 1989), virus polymorphes (Chameleon, 1990), virus furtifs (Frodo, Whale, 2nd semestre 1990 ).

Parallèlement, des mouvements organisés d'orientation à la fois pro- et anti-virus se dessinent : en 1990, un BBS Virus Exchange spécialisé, le « Little Black Book of Computer Viruses » de Mark Ludwig, le premier anti-virus commercial Symantec Norton AntiVirus fait son apparition.

En outre, les virus monolithiques cèdent largement la place à des suites de logiciels malveillants et à des auxiliaires séparés par des rôles (chevaux de Troie, téléchargeurs/droppers, sites de phishing, spambots et araignées). Les technologies sociales - spam et phishing - sont également en plein essor comme moyen d'infection contournant les mécanismes de protection des logiciels.

Au début, basé sur les chevaux de Troie, et avec le développement des technologies de réseau p2p - et indépendamment - le type de virus le plus moderne prend de l'ampleur - les vers de botnet (Rustock, 2006, environ 150 000 bots ; Conficker, 2008-2009, plus de 7 millions de bots ; Kraken, 2009, environ 500 000 bots). Les virus, parmi d'autres logiciels malveillants, sont enfin officialisés comme moyen de cybercriminalité.

Étymologie du nom

Un virus informatique a été nommé d'après des virus biologiques pour un mécanisme de propagation similaire. Apparemment, la première utilisation du mot "virus" en relation avec le programme a été utilisée par Gregory Benford (Gregory Benford) dans l'histoire fantastique "The Scarred Man", publiée dans le magazine Venture en mai 1970.

Le terme "virus informatique" a ensuite été "découvert" et redécouvert plus d'une fois. Ainsi, la variable du sous-programme PERVADE(), dont la valeur déterminait si le programme ANIMAL serait distribué sur disque, s'appelait VIRUS. Joe Dellinger a également appelé ses programmes un virus, et c'est probablement ce qui a d'abord été correctement étiqueté comme un virus.

Définition formelle

Il n'y a pas de définition généralement acceptée d'un virus. Dans le milieu universitaire, le terme a été utilisé par Fred Cohen dans son ouvrage "Experiments with computer virus", où il attribue lui-même la paternité du terme à Leonard Adleman.

Formellement, le virus est défini par Fred Cohen en référence à la machine de Turing comme suit :

M : (S M , je M , O M : S M x je M > je M , N M : S M x I M > S M , D M : S M x I M > d)

avec un ensemble d'états donné S M, l'ensemble des symboles d'entrée JE SUIS et mappages (O M , N M , D M ), qui, d'après son état actuel s ∈ S M et caractère d'entrée je ∈ je M, lu sur la bande semi-infinie, détermine : le symbole de sortie o ∈ je M pour l'enregistrement sur bande, l'état suivant de la machine s" ∈ S M et mouvement le long de la bande d ∈ (-1,0,1).

Pour cet appareil M séquence de caractères v : v je ∈ je M peut être considéré comme un virus si et seulement si le traitement de la séquence và l'époque t implique qu'à l'un des moments suivants t sous-séquence v′(ne chevauche pas v) existe sur la bande, et cette séquence v′ a été enregistré Mà ce point t′ couché entre t Et t″:

∀ C M ∀ t ∀ j : S M (t) = S M 0 ∧ P M (t) = j ∧ ( C M (t, j) … C M (t, j + |v| - 1)) = v ⇒ ∃ v" ∃ j" ∃ t" ∃ t": t< t" < t" ∧ {j" … j" +|v"|} ∩ {j … j + |v|} = ∅ ∧ { C M (t", j") … C M (t", j" + |v"| - 1)} = v" ∧ P M (t") ∈ { j" … j" + |v"| - 1 }

• t ∈ N le nombre d'opérations élémentaires de "mouvement" effectuées par la machine
• P M ∈ N numéro de position sur la bande de la machine à ce moment t
• S M 0 état initial de la machine
• C M (t, c) contenu des cellules cà l'époque t

Cette définition a été donnée dans le contexte de l'ensemble viral VS = (M, V)- une paire constituée d'une machine de Turing M et un ensemble de séquences de caractères V : v, v" ∈ V. Il ressort de cette définition que la notion de virus est inextricablement liée à son interprétation dans un contexte ou un environnement donné.

Il a été montré par Fred Cohen que « toute suite de caractères auto-reproductible : un singleton VS, selon lequel il existe un nombre infini CONTRE, et pas- CONTRE, pour laquelle il existe des machines pour lesquelles toutes les séquences de caractères sont un virus, et des machines pour lesquelles aucune des séquences de caractères n'est un virus, permet de comprendre quand toute séquence de caractères finie est un virus pour une machine. Il prouve également qu'en général, la question de savoir si une paire donnée est (M, X) : X je ∈ je M virus est indécidable (c'est-à-dire qu'il n'existe aucun algorithme capable d'identifier de manière fiable tous les virus) par le même moyen par lequel le problème d'arrêt est prouvé indécidable.

D'autres chercheurs ont prouvé qu'il existe des types de virus (virus contenant une copie d'un programme de capture de virus) qui ne peuvent être détectés avec précision par aucun algorithme.

Classification

Il existe maintenant de nombreuses variétés de virus qui diffèrent par la principale méthode de distribution et de fonctionnalité. Si initialement les virus se propageaient sur des disquettes et d'autres supports, les virus qui se propagent à travers les réseaux locaux et mondiaux (Internet) dominent désormais. La fonctionnalité des virus, qu'ils adoptent à partir d'autres types de programmes, se développe également.

Via Internet, les réseaux locaux et les supports amovibles.

Mécanisme

Les virus se propagent en copiant leur corps et en assurant son exécution ultérieure : s'incrustant dans le code exécutable d'autres programmes, remplaçant d'autres programmes, s'enregistrant en autorun via le registre, etc. Un virus ou son porteur peut être non seulement des programmes contenant du code machine, mais également toute information contenant des commandes exécutables automatiquement, telles que des fichiers batch et des documents Microsoft Word et Excel contenant des macros. De plus, pour pénétrer dans un ordinateur, un virus peut utiliser des vulnérabilités dans des logiciels populaires (par exemple, Adobe Flash, Internet Explorer, Outlook), pour lesquels les distributeurs l'intègrent dans des données ordinaires (images, textes, etc.) avec un exploit qui utilise la vulnérabilité.

Une fois qu'un virus a réussi à infiltrer le code d'un programme, d'un fichier ou d'un document, il restera inactif jusqu'à ce que les circonstances forcent l'ordinateur ou l'appareil à exécuter son code. Pour qu'un virus infecte votre ordinateur, vous devez exécuter le programme infecté, ce qui, à son tour, entraînera l'exécution du code du virus. Cela signifie que le virus peut rester inactif sur l'ordinateur sans aucun symptôme d'infection. Cependant, une fois que le virus a pris effet, il peut infecter d'autres fichiers et ordinateurs sur le même réseau. Selon les objectifs du programmeur de virus, les virus causent des dommages mineurs ou ont un effet destructeur, comme la suppression de données ou le vol d'informations confidentielles.

Canaux

• Disquettes. Le canal d'infection le plus courant dans les années 1980-1990. Il est maintenant pratiquement inexistant en raison de l'émergence de canaux plus courants et efficaces et du manque de lecteurs de disquettes sur de nombreux ordinateurs modernes.
• Lecteurs flash ("lecteurs flash"). Actuellement, les clés USB remplacent les disquettes et répètent leur destin - un grand nombre de virus se propagent via des lecteurs amovibles, y compris des appareils photo numériques, des caméscopes numériques, des lecteurs numériques portables, et depuis les années 2000, les téléphones mobiles, en particulier les smartphones, ont joué un rôle croissant (les téléphones portables sont apparus).virus). L'utilisation de ce canal était auparavant principalement motivée par la possibilité de créer un fichier spécial autorun.inf sur un lecteur, dans lequel vous pouvez spécifier le programme que l'Explorateur Windows lance lorsque le lecteur est ouvert. Dans Windows 7, la possibilité d'exécuter automatiquement des fichiers à partir d'un support portable a été désactivée.
• E-mail . Habituellement, les virus dans les e-mails sont déguisés en pièces jointes inoffensives : images, documents, musique, liens vers des sites Web. Certains e-mails peuvent en effet ne contenir que des liens, c'est-à-dire que les lettres elles-mêmes peuvent ne pas contenir de code malveillant, mais si vous ouvrez un tel lien, vous pouvez accéder à un site Web spécialement créé contenant un code de virus. De nombreux virus de messagerie, une fois qu'ils arrivent sur l'ordinateur d'un utilisateur, utilisent le carnet d'adresses des clients de messagerie installés tels qu'Outlook pour s'envoyer plus loin.
• Systèmes de messagerie instantanée. Il est également courant ici d'envoyer des liens vers des soi-disant photos, de la musique ou des programmes qui sont en fait des virus via ICQ et d'autres programmes de messagerie instantanée.
• Les pages Web. Il est également possible d'infecter via des pages Internet du fait de la présence sur les pages du World Wide Web de divers contenus "actifs" : scripts, composant ActiveX. Dans ce cas, des vulnérabilités logicielles installées sur l'ordinateur de l'utilisateur ou des vulnérabilités du logiciel du propriétaire du site sont utilisées (ce qui est plus dangereux, car des sites respectables avec un flux important de visiteurs sont exposés à l'infection), et des utilisateurs peu méfiants, ayant accédé à un tel site , risquent d'infecter leur ordinateur.
• Internet et réseaux locaux (vers). Les vers sont un type de virus qui s'infiltre dans un ordinateur victime sans intervention de l'utilisateur. Les vers utilisent ce qu'on appelle des "trous" (vulnérabilités) dans le logiciel du système d'exploitation pour infiltrer un ordinateur. Les vulnérabilités sont des erreurs et des failles dans les logiciels qui permettent le téléchargement et l'exécution à distance du code machine, à la suite de quoi un ver pénètre dans le système d'exploitation et, en règle générale, commence à infecter d'autres ordinateurs via un réseau local ou Internet. Les attaquants utilisent les ordinateurs des utilisateurs infectés pour envoyer des spams ou pour des attaques DDoS.

Anti-détection

Prévention et traitement

À l'heure actuelle, de nombreux programmes antivirus sont utilisés pour empêcher les virus de pénétrer dans le PC. Cependant, rien ne garantit qu'ils seront en mesure de faire face aux derniers développements. Par conséquent, certaines précautions doivent être prises, notamment :

1. Ne travaillez pas sous des comptes privilégiés sauf en cas d'absolue nécessité (compte administrateur sous Windows).
2. N'exécutez pas de programmes inconnus provenant de sources douteuses.
3. Essayez de bloquer la possibilité de modification non autorisée des fichiers système.
4. Désactivez les fonctionnalités système potentiellement dangereuses (par exemple, l'exécution automatique des médias dans MS Windows, le masquage de fichiers, leurs extensions, etc.).
5. N'allez pas sur des sites suspects, faites attention à l'adresse dans la barre d'adresse du navigateur.
6. N'utilisez que des distributions fiables.
7. Faites constamment des copies de sauvegarde des données importantes, de préférence sur des supports qui ne sont pas effacés (par exemple, BD-R) et disposez d'une image système avec tous les paramètres pour un déploiement rapide.
8. Effectuez des mises à jour régulières des programmes fréquemment utilisés, en particulier ceux qui assurent la sécurité du système.

Économie

Des millions et même des milliards de dommages causés par les actions des virus et des vers sont également appelés. De telles déclarations et évaluations doivent être traitées avec prudence: les montants des dommages selon les estimations de divers analystes diffèrent (parfois de trois ou quatre ordres de grandeur) et les méthodes de calcul ne sont pas données.

Criminalisation

Au créateur du virus Partitions, qui a causé des dommages aux utilisateurs de Macintosh en 1988, n'a pas été inculpé parce que ses actions ne relevaient pas de la loi alors en vigueur aux États-Unis Loi sur la fraude et les abus informatiques ou d'autres lois. Cette affaire a conduit à l'élaboration de l'une des premières lois relatives aux virus informatiques : Loi sur l'éradication des virus informatiques(1988). De même, le créateur du virus le plus destructeur, ILOVEYOU, a échappé aux sanctions en 2000 en raison de l'absence de lois pertinentes aux Philippines.

La création et la distribution de logiciels malveillants (y compris les virus) sont poursuivies dans certains pays comme un type d'infraction distinct : en Russie, conformément au Code pénal de la Fédération de Russie (), aux États-Unis, conformément à Loi sur la fraude et les abus informatiques, au Japon