Virus informatiques – programmes spéciaux, qui sont créés par des attaquants pour obtenir un certain avantage. Le principe de leur fonctionnement peut être différent : soit ils volent des informations, soit incitent l'utilisateur à effectuer certaines actions au profit des attaquants, par exemple réapprovisionner un compte ou envoyer de l'argent.
Il existe aujourd’hui de nombreux virus différents. Les principaux seront abordés dans cet article.

Ver est un programme malveillant dont le but est de remplir l'ordinateur de toutes sortes de déchets afin qu'il devienne lent et maladroit. Le ver est capable de se reproduire, mais ne peut pas faire partie du programme. Le plus souvent, l’infection par ce virus se produit par courrier électronique.

Cheval de Troie (cheval de Troie, cheval de Troie)- Ce programme justifie pleinement son nom. Il infiltre d'autres programmes et s'y cache jusqu'au lancement du programme hôte. Jusqu'au lancement du programme hôte, le virus ne peut causer aucun dommage. Le plus souvent, un cheval de Troie est utilisé pour supprimer, modifier ou voler des données. Les chevaux de Troie ne peuvent pas se reproduire par eux-mêmes.

Spyware- ces Stirlitz collectent des informations sur l'utilisateur et ses actions. La plupart du temps, ils volent. information confidentielle: mots de passe, adresses, numéros de carte/compte, etc.
Zombies - ce nom a été donné aux programmes malveillants parce qu'ils transforment en réalité un ordinateur en une machine « molle », obéissant aux intrus. En termes simples, des personnes malveillantes peuvent contrôler l'ordinateur de quelqu'un avec ces logiciels malveillants. Le plus souvent, l’utilisateur ne sait même pas que son ordinateur n’est plus seulement le sien.

Programme bloqueur (bannière)- ces programmes bloquent l'accès à système opérateur. Lorsque l'ordinateur est allumé, l'utilisateur voit une fenêtre pop-up dans laquelle il est généralement accusé de quelque chose : violation du droit d'auteur ou téléchargement de logiciels piratés. Viennent ensuite les menaces suppression complète toutes les informations de l'ordinateur. Afin d'éviter cela, l'utilisateur doit reconstituer le compte d'un certain téléphone ou envoyer des SMS. Seulement maintenant, même si l'utilisateur effectue toutes ces opérations, la bannière de menace n'ira nulle part.

Virus de démarrage- appuyez sur le secteur de démarrage du disque dur ( disque dur). Leur objectif est de ralentir considérablement le processus de chargement du système d'exploitation. Après une longue exposition à ces virus sur l'ordinateur, il est fort probable que le système d'exploitation ne se charge pas du tout.

Exploiter- Il s'agit de programmes spéciaux utilisés par les attaquants pour pénétrer dans le système d'exploitation à travers ses vulnérabilités et ses endroits non protégés. Ils sont utilisés pour infiltrer des programmes qui volent les informations nécessaires pour obtenir les droits d'accès à un ordinateur.

Hameçonnage- c'est le nom de l'action lorsque l'attaquant envoie des emails à ses victimes. Les lettres contiennent généralement une demande de confirmation de données personnelles : nom complet, mots de passe, codes PIN, etc. Ainsi, un pirate informatique peut se faire passer pour une autre personne et, par exemple, retirer tout l'argent de son compte.

Spyware- des programmes qui envoient des données d'utilisateur à des tiers à son insu. Les espions étudient le comportement de l'utilisateur et ses endroits préférés sur Internet, puis affichent des publicités qui l'intéresseront certainement.

rootkit – logiciel qui permettent à un attaquant de pénétrer librement dans logiciel victimes, puis masquer complètement toute trace de sa présence.
Les virus polymorphes sont des virus qui se camouflent et se réincarnent. Tout en travaillant, ils peuvent modifier leur propre code. Ils sont donc très difficiles à détecter.

Virus logiciel- un programme qui s'attache à d'autres programmes et perturbe leur travail. Contrairement à un cheval de Troie, un virus informatique peut se répliquer et, contrairement à un ver, il a besoin d'un programme qui lui « adhère » pour fonctionner correctement.
Ainsi, nous pouvons dire qu'un programme malveillant (Malware) est tout programme créé pour donner accès à un ordinateur et aux informations qui y sont stockées sans l'autorisation du propriétaire de cet ordinateur lui-même. Le but de telles actions est d’endommager ou de voler des informations. Le terme " Logiciel malveillant» est généralisé à tous virus existants. Il convient de rappeler qu'un programme infecté par un virus ne fonctionnera plus correctement. Il faut donc le supprimer puis le réinstaller.

Virus domestiques du secteur bootstrap. Programmes écrits à la fin du programme d'amorçage du lecteur C : ou remplacez-le, en l'exécutant ainsi que leurs fonctions à partir du moment de l'infection. Ces virus pénètrent dans la machine lors du démarrage à partir d'une disquette infectée. Lorsque le programme d'amorçage est lu et exécuté, le virus est chargé en mémoire et infecte tout ce à quoi il est « destiné ».

Virus de démarrage de l'enregistrement de démarrage principal. Infecter l'enregistrement de démarrage principal du système (Master Boot Record) sur disques durs et le secteur de démarrage sur les disquettes. Ce type de virus prend le contrôle du système au niveau le plus bas en interceptant les instructions entre le matériel de l'ordinateur et le système d'exploitation.

• Macrovirus : dans certains logiciels d'ordinateur les langages macro sont utilisés pour automatiser les procédures fréquemment effectuées. À mesure que les ordinateurs sont devenus plus puissants, les tâches à résoudre sont devenues plus complexes. Certains langages macro permettent d'écrire des fichiers dans des formats autres que le document original. Cette fonctionnalité peut être utilisée par les auteurs de virus pour créer des macros qui infectent les documents. Les macrovirus se propagent généralement par Fichiers Microsoft Word et Excel.
• · Virus combinés : virus qui présentent une combinaison des propriétés ci-dessus. Ils peuvent infecter les fichiers, les secteurs de démarrage et les enregistrements de démarrage principaux.
• · Virus de fichiers : voyons maintenant comment fonctionne un simple virus de fichiers. Contrairement à virus de démarrage, qui sont presque toujours résidents, les virus de fichiers ne sont pas nécessairement résidents. Considérons le schéma de fonctionnement d'un virus de fichiers non résident. Supposons que nous ayons un fichier exécutable infecté. Lorsqu'un tel fichier est lancé, le virus prend le contrôle, effectue certaines actions et transfère le contrôle au « propriétaire »

Quelles actions le virus effectue-t-il ? Il recherche un nouvel objet à infecter : un fichier d'un type approprié qui n'a pas encore été infecté. En infectant un fichier, le virus s'injecte dans son code afin d'en prendre le contrôle lors de l'exécution du fichier. En plus de sa fonction principale - la reproduction, le virus peut très bien faire quelque chose de complexe (dire, demander, jouer) - cela dépend déjà de l'imagination de l'auteur du virus. Si un virus de fichier est résident, il s'installera dans la mémoire et aura la capacité d'infecter des fichiers et d'afficher d'autres capacités non seulement pendant l'exécution du fichier infecté. Lors de l'infection d'un fichier exécutable, un virus modifie toujours son code. L'infection d'un fichier exécutable peut donc toujours être détectée. Mais en modifiant le code du fichier, le virus n'effectue pas nécessairement d'autres modifications :

• il n'est pas nécessaire de modifier la longueur du fichier
• sections de code inutilisées
• pas besoin de changer le début du fichier

Enfin, les virus de fichiers incluent souvent des virus qui « ont quelque chose à voir avec les fichiers » mais qui ne sont pas obligés de s'immiscer dans leur code.

Ainsi, lorsqu'un fichier est lancé, le virus prend le contrôle (le système d'exploitation le lance lui-même), réside en mémoire et transfère le contrôle au fichier appelé.

• · Virus du fichier de démarrage : nous ne considérerons pas le modèle du virus du fichier de démarrage, car il n'existe pas nouvelle information vous ne le saurez pas. Mais voici l'occasion de discuter brièvement du virus de fichier de démarrage OneHalf, récemment extrêmement "populaire", qui infecte le secteur de démarrage principal (MBR) et les fichiers exécutables. La principale action destructrice est le cryptage des secteurs du disque dur. Chaque fois qu'il est lancé, le virus crypte une autre partie de secteurs et, après avoir crypté la moitié du disque dur, il l'annonce volontiers. Le principal problème du traitement ce virus est qu'il ne suffit pas de supprimer le virus du MBR et des fichiers, il faut décrypter les informations cryptées par celui-ci.
• · Virus polymorphes : La plupart des questions sont liées au terme « virus polymorphe ». Ce type de virus informatique est de loin le plus dangereux. Expliquons ce que c'est.

Les virus polymorphes sont des virus qui modifient leur code dans les programmes infectés de telle sorte que deux instances du même virus peuvent ne pas correspondre sur un seul bit.

De tels virus chiffrent non seulement leur code en utilisant différents chemins de chiffrement, mais contiennent également le code de génération du chiffreur et du déchiffreur, ce qui les distingue des virus de chiffrement ordinaires, qui peuvent également chiffrer des sections de leur code, mais ont en même temps un code constant. du chiffreur et du déchiffreur.

Les virus polymorphes sont des virus dotés de décodeurs auto-modifiables. Le but d'un tel cryptage est que si vous disposez à la fois de fichiers infectés et d'originaux, vous ne pourrez toujours pas analyser son code à l'aide d'un démontage conventionnel. Ce code est crypté et constitue un ensemble de commandes dénuées de sens. Le décryptage est effectué par le virus lui-même au moment de l'exécution. Dans le même temps, des options sont possibles : il peut se décrypter d'un seul coup, ou il peut effectuer un tel décryptage "en déplacement", il peut à nouveau crypter des sections déjà élaborées. Tout cela est fait dans le but de rendre difficile l’analyse du code du virus.

· Virus furtifs : lors d'une analyse de l'ordinateur, les programmes antivirus lisent les données - fichiers et zones système de disques durs et des disquettes utilisant le système d'exploitation et le système d'entrée/sortie de base du BIOS. Un certain nombre de virus, après leur exécution, restent présents mémoire vive modules spéciaux de l'ordinateur qui interceptent l'accès des programmes au sous-système de disque de l'ordinateur. Si un tel module détecte que le programme tente de lire un fichier infecté ou une zone système du disque, il remplace les données lisibles à la volée, comme s'il n'y avait pas de virus sur le disque.

Les virus furtifs trompent les programmes antivirus et passent donc inaperçus. Cependant, il existe un moyen simple de désactiver le mécanisme de masquage des virus furtifs. Il suffit de démarrer l'ordinateur à partir d'une disquette système non infectée et immédiatement, sans exécuter d'autres programmes à partir du disque de l'ordinateur (qui peut également être infecté), d'analyser l'ordinateur avec un programme antivirus.

Lorsqu'il est chargé à partir d'une disquette système, un virus ne peut pas prendre le contrôle et installer un module résident dans la RAM qui implémente un mécanisme furtif. Programme antivirus sera capable de lire les informations réellement écrites sur le disque et de détecter facilement le virus.

· Chevaux de Troie, signets logiciels et vers de réseau : un cheval de Troie (voir l'annexe 2 de la figure 2) est un programme qui contient une fonction destructrice qui est activée lorsqu'une certaine condition de déclenchement se produit. Habituellement, ces programmes sont déguisés en utilitaires utiles. Les virus peuvent transporter des chevaux de Troie ou « cheval de Troie » d'autres programmes – y introduisant des fonctions destructrices.

Les « chevaux de Troie » sont des programmes qui mettent en œuvre, en plus des fonctions décrites dans la documentation, d'autres fonctions liées aux failles de sécurité et aux actions destructrices. Des cas de création de tels programmes afin de faciliter la propagation de virus ont été constatés. Des listes de ces programmes sont largement publiées dans la presse étrangère. Ils se déguisent généralement en programmes de jeux ou de divertissement et causent du tort belles images ou de la musique.

· Les signets du programme contiennent également certaines fonctions qui endommagent l'avion, mais cette fonction, au contraire, essaie d'être aussi discrète que possible, car. plus le programme n'éveille pas de soupçons, plus le signet pourra fonctionner longtemps.

Si les virus et les chevaux de Troie causent des dommages par une avalanche d'auto-reproduction ou de destruction évidente, alors la fonction principale des virus de type ver opérant dans les réseaux informatiques est de pirater le système attaqué, c'est-à-dire de pirater le système attaqué. violer la sécurité pour compromettre la sécurité et l’intégrité.

Dans plus de 80 % des délits informatiques enquêtés par le FBI, des « crackers » pénètrent dans le système attaqué via l'Internet mondial. Lorsqu’une telle tentative réussit, l’avenir d’une entreprise qui a mis des années à se construire peut être compromis en quelques secondes.

Ce processus peut être automatisé par un virus appelé ver de réseau.

Les vers sont des virus qui se propagent sur les réseaux mondiaux et infectent des systèmes entiers, non programmes individuels. Il s'agit du type de virus le plus dangereux, car les objets d'attaque dans ce cas sont Systèmes d'informationéchelle de l’État. Avec l'avènement de réseau mondial Internet, ce type de faille de sécurité constitue la plus grande menace, puisque n'importe lequel des 40 millions d'ordinateurs connectés à ce réseau peut y être exposé à tout moment.

Variétés de virus

Le nom du paramètre	Signification
Sujet de l'article :	Variétés de virus
Rubrique (catégorie thématique)	Des ordinateurs

Que sont les virus, l'histoire de la création

Virus

John von Neumann a proposé en 1951 une méthode pour créer des mécanismes d'auto-reproduction

L’apparition des premiers virus informatiques est attribuée à tort aux années 1970, voire 1960. Généralement appelés « virus », des programmes tels que Animal, Creeper, Cookie Monster (le premier et le dernier dans la terminologie moderne sont des vers, CREEPER n'était ni un virus ni un ver, mais un programme auto-déplaçant, c'est-à-dire lorsqu'il était allumé. ordinateur distant lancé nouvelle copie CREEPER, la copie précédente ne fonctionne plus.)

Les virus se propagent en copiant leur corps et en assurant son exécution ultérieure : en s'intégrant dans le code exécutable d'autres programmes, en remplaçant d'autres programmes, en s'enregistrant en exécution automatique, etc. Un virus ou son support ne sont pas seulement des programmes contenant du code machine, mais également toute information contenant des commandes automatiquement exécutables - par exemple, des fichiers batch et des documents. Microsoft Word et Excel contenant des macros. Cependant, pour pénétrer dans un ordinateur, un virus peut utiliser les vulnérabilités de logiciels populaires (par exemple, Adobe Flash, Internet Explorer, Outlook), pour lequel les distributeurs l'intègrent dans des données ordinaires (images, textes, etc.) accompagné d'un exploit exploitant la vulnérabilité.

Lorsqu'ils se reproduisent, les vers copient uniquement leur code dans certains répertoires du disque dans l'espoir que ces nouvelles copies seront un jour exécutées par l'utilisateur.

Les premiers virus connus sont Virus 1,2,3 et Elk Cloner pour les PC Apple II. Les deux virus ont des fonctionnalités très similaires et sont apparus indépendamment l’un de l’autre à un court intervalle de temps en 1981.

Un virus informatique doit son nom à des virus biologiques pour un mécanisme de propagation similaire.

Apparemment, la première utilisation du mot « virus » en relation avec un programme a été faite par Gregory Benford dans l'histoire fantastique « The Scarred », publiée dans le magazine Venture en mai 1970.

Le premier antivirus - 1984.

Les virus se propagent en copiant leur corps et en assurant son exécution ultérieure : en s'intégrant dans le code exécutable d'autres programmes, en remplaçant d'autres programmes, en s'enregistrant en exécution automatique, etc. Un virus ou son porteur ne sont pas seulement des programmes contenant du code machine, mais aussi toute information contenant des commandes automatiquement exécutables.

selon l'habitat du virus

‣‣‣ Virus de fichiers

‣‣‣ Virus de démarrage

‣‣‣ Virus de macro réseau combinés

‣‣‣ Documenter les virus

‣‣‣ Virus de réseau

‣‣‣ Démarrable par fichier

Selon le mode de contamination de l'habitat :

Virus résident- lorsqu'un ordinateur est infecté, il laisse sa partie résidente dans la RAM, qui intercepte alors les appels du système d'exploitation aux objets infectés et s'y injecte.

Virus non résidents n’infectent pas la mémoire de l’ordinateur et sont actifs pendant une durée limitée.

Par possibilités destructrices :

1. inoffensif (n'affecte pas le fonctionnement de l'ordinateur, à l'exception de la réduction de la mémoire libre due à sa répartition)
2. non dangereux (réduit l'espace disque disponible)
3. dangereux (mener à des échecs)
4. Très dangereux (endommagement de pièces de mécanismes, perte de programmes, destruction de données)

Selon les caractéristiques de l'algorithme du virus .

Les virus compagnons sont des virus qui ne modifient pas les fichiers.

Les virus vers sont des virus qui se propagent sur un réseau informatique et, comme leurs virus compagnons, ne modifient pas les fichiers ou les secteurs des disques. Οʜᴎ pénétrer dans la mémoire d'un ordinateur à partir d'un réseau informatique, calculer les adresses réseau d'autres ordinateurs et envoyer leurs copies à ces adresses. Ces virus créent parfois des fichiers de travail sur les disques système, mais ne peuvent pas accéder du tout aux ressources de l'ordinateur (à l'exception de la RAM).

Virus polymorphes- virus qui modifient leur code dans les programmes infectés de telle sorte que deux instances du même virus ne correspondent pas sur un seul bit. Ce type de virus informatique est de loin le plus dangereux. De tels virus chiffrent non seulement leur code en utilisant différents chemins de chiffrement, mais contiennent également le code de génération du chiffreur et du déchiffreur, ce qui les distingue des virus de chiffrement ordinaires, qui peuvent également chiffrer des sections de leur code, mais ont en même temps un code constant. du chiffreur et du déchiffreur.

Virus furtifs - Ils trompent les programmes antivirus et passent ainsi inaperçus. Cependant, il existe un moyen simple de désactiver le mécanisme de masquage des virus furtifs. Il suffit de démarrer l'ordinateur à partir d'une disquette système non infectée et immédiatement, sans exécuter d'autres programmes à partir du disque de l'ordinateur (qui peut également être infecté), d'analyser l'ordinateur avec un programme antivirus. Lorsqu'il est chargé à partir d'une disquette système, un virus ne peut pas prendre le contrôle et installer un module résident dans la RAM qui implémente un mécanisme furtif. Le programme antivirus sera capable de lire les informations réellement écrites sur le disque et de détecter facilement le virus.

Chevaux de Troie (Spécialement pour Den =)) - il s'agit d'un programme qui contient une fonction destructrice qui est activée lorsqu'une certaine condition de déclenchement se produit. Habituellement, ces programmes sont déguisés en utilitaires utiles. Les « chevaux de Troie » sont des programmes qui implémentent, en plus des fonctions décrites dans la documentation, d'autres fonctions associées aux failles de sécurité et aux actions destructrices. Des cas de création de tels programmes afin de faciliter la propagation de virus ont été constatés. Des listes de ces programmes sont largement publiées dans la presse étrangère. Ils se déguisent généralement en programmes de jeux ou de divertissement et causent du tort avec de belles images ou de la musique.

Vers - virus qui se propagent sur les réseaux mondiaux, infectant des systèmes entiers et non des programmes individuels. Il s'agit du type de virus le plus dangereux, car les objets d'attaque dans ce cas sont les systèmes d'information à l'échelle nationale. Avec l'avènement de l'Internet mondial cette espèce Les failles de sécurité constituent la plus grande menace, puisque n’importe lequel des 40 millions d’ordinateurs connectés à ce réseau peut y être exposé à tout moment.

Variétés de virus - concept et types. Classification et caractéristiques de la catégorie « Variétés de virus » 2017, 2018.

Les soi-disant chevaux de Troie (chevaux de Troie, chevaux de Troie) côtoient également les virus informatiques.

Virus logiciels.

Les virus logiciels sont des blocs de code de programme délibérément intégrés dans d'autres programmes d'application. Lorsqu'un programme porteur d'un virus est lancé, le code du virus qui y est implanté est lancé.

Le fonctionnement de ce code provoque des modifications cachées à l'utilisateur dans le système de fichiers des disques durs et/ou dans le contenu d'autres programmes. Ainsi, par exemple, un code de virus peut se reproduire dans le corps d'autres programmes - ce processus est appelé reproduction. Au bout d'un certain temps, après avoir créé un nombre suffisant de copies, un virus logiciel peut procéder à des actions destructrices : perturber le fonctionnement des programmes et du système d'exploitation, supprimer les informations stockées sur le disque dur. Ce processus est appelé une attaque virale.

Les virus les plus destructeurs peuvent initier le formatage des disques durs. Étant donné que le formatage du disque est un processus assez long qui ne doit pas passer inaperçu auprès de l'utilisateur, dans de nombreux cas, les virus logiciels se limitent à multiplier les données uniquement dans le système. dur disque, ce qui équivaut à perdre les tables du système de fichiers. Dans ce cas, les données du disque dur restent intactes, mais elles ne peuvent pas être utilisées sans l'utilisation d'outils spéciaux, car on ne sait pas quels secteurs du disque appartiennent à quels fichiers. Théoriquement, il est possible de récupérer des données dans ce cas, mais la complexité de ce travail peut être extrêmement élevée.

On pense qu'aucun virus n'est capable de désactiver Matériel ordinateur. Cependant, il arrive parfois que le matériel et les logiciels soient tellement liés qu'il faut réparer la corruption du logiciel en remplaçant le matériel. Par exemple, dans la plupart des cartes mères le système d'entrée/sortie de base (BIOS) est stocké dans des périphériques de stockage inscriptibles en lecture seule (appelés mémoire flash).

La possibilité d'écraser les informations contenues dans une puce de mémoire flash est utilisée par certains virus logiciels pour détruire les données du BIOS.

Dans ce cas, pour restaurer l'ordinateur en état de fonctionnement, il est nécessaire soit de remplacer la puce qui stocke le BIOS, soit de reprogrammer à l'aide d'outils logiciels spéciaux.

Les virus logiciels pénètrent dans votre ordinateur lorsque vous exécutez des programmes non vérifiés reçus sur médias externes(disquette, CD, etc.) ou reçus d'Internet. Attention particulière devrait faire attention aux mots au début. Lors d'une copie normale de fichiers infectés, l'ordinateur ne peut pas être infecté. À cet égard, toutes les données reçues d'Internet doivent être soumises à des contrôles de sécurité obligatoires et si des données non sollicitées proviennent d'une source inconnue, elles doivent être détruites sans contrepartie. Une technique courante pour distribuer des « chevaux de Troie » consiste à joindre un e-mail contenant une « recommandation » pour extraire et exécuter un programme supposément utile.

virus de démarrage.

Depuis virus logiciels Les virus de démarrage diffèrent par la manière dont ils se propagent. Ils n'ont pas frappé fichiers de programme, certaines zones système des supports magnétiques (disquettes et disques durs). De plus, lorsque l'ordinateur est allumé, ils peuvent être temporairement localisés dans la RAM.

Habituellement, l'infection se produit lorsqu'un ordinateur est démarré à partir d'un support magnétique dont la zone système contient un virus amorçable. Ainsi, par exemple, lorsque vous essayez de démarrer un ordinateur à partir d'une disquette, le virus pénètre d'abord dans la RAM, puis dans le secteur de démarrage des disques durs. De plus, cet ordinateur devient lui-même une source de distribution d'un virus de démarrage.

Macrovirus.

Ce type particulier de virus infecte les documents exécutés dans certains programmes d'application. Avoir les moyens d’exécuter ce qu’on appelle les macros. Ces documents comprennent notamment des documents traitement de texte Microsoft Word (ils ont l'extension .Doc). L'infection se produit lorsqu'un fichier de document est ouvert dans la fenêtre du programme, à moins que la possibilité d'exécuter des macros ne soit désactivée dans le programme.

Comme pour d’autres types de virus, le résultat d’une attaque peut être soit relativement inoffensif, soit destructeur.

Les principaux types de virus informatiques.

Actuellement, plus de 5 000 virus logiciels sont connus, ils peuvent être classés selon les caractéristiques suivantes (Fig. 1) :

• -habitat;
• - le mode de contamination de l'environnement ;
• - impact;
• - caractéristiques de l'algorithme :

Selon l'habitat, les virus peuvent être divisés en virus de réseau, de fichier, de démarrage et de démarrage de fichier.

Les virus de réseau se propagent via divers réseaux informatiques.

Les virus de fichiers infectent principalement les modules exécutables, c'est-à-dire aux fichiers avec les extensions COM et EXE. Les virus de fichiers peuvent également infecter d'autres types de fichiers, mais en règle générale, ils sont écrits dans de tels fichiers, ils n'en prennent jamais le contrôle et perdent donc la capacité de se reproduire.

Les virus de démarrage infectent le secteur de démarrage du disque (Boot) ou le secteur contenant le programme de démarrage. disque système(Enregistrement de démarrage principal).

Les virus de démarrage de fichiers infectent à la fois les fichiers et les secteurs de démarrage des disques.

Selon la méthode d'infection, les virus sont divisés en résidents et non-résidents.

• - Lorsqu'un virus résident infecte un ordinateur, il laisse sa partie résidente dans la RAM, qui intercepte alors l'accès du système d'exploitation aux objets infectés (fichiers, secteurs de démarrage, etc.) et les infiltre. Les virus résidents résident en mémoire et restent actifs jusqu'à ce que l'ordinateur soit éteint ou redémarré.
• - Les virus non résidents n'infectent pas la mémoire de l'ordinateur et sont actifs pendant une durée limitée.

Selon le degré d'impact, les virus peuvent être divisés dans les types suivants :

• - inoffensifs, n'interférant pas avec l'ordinateur, mais réduisant la quantité de RAM libre et d'espace disque, les actions de ces virus se manifestent par des effets graphiques ou sonores ;
• - virus dangereux, ce qui peut entraîner divers dysfonctionnements de l'ordinateur ;
• - très dangereux, dont l'impact peut entraîner la perte de programmes, la destruction de données, l'effacement d'informations dans les zones système du disque.

Conférence 14 Virus informatiques

Classification des délits informatiques.

Virus informatiques, leurs propriétés et classification

Propriétés des virus informatiques

Tout d’abord, un virus est un programme. Une déclaration aussi simple peut à elle seule dissiper de nombreuses légendes sur les capacités extraordinaires des virus informatiques. Le virus peut retourner l’image sur votre moniteur, mais il ne peut pas retourner le moniteur lui-même. Les légendes selon lesquelles des virus tueurs « détruisent les opérateurs en affichant une palette de couleurs mortelle sur la 25e image » ne doivent pas non plus être prises au sérieux.

Un virus est un programme qui a la capacité de se reproduire. Cette capacité est le seul moyen inhérent à tous les types de virus. Mais les virus ne sont pas les seuls à pouvoir s’auto-répliquer. Tout système d'exploitation et de nombreux autres programmes sont capables de créer leurs propres copies. Non seulement les copies du même virus ne doivent pas nécessairement correspondre complètement à l’original, mais elles peuvent même ne pas correspondre du tout !

Un virus ne peut pas exister dans un « isolement complet » : aujourd'hui, on ne peut pas imaginer un virus qui n'utilise pas le code d'autres programmes, les informations sur la structure des fichiers, ou même simplement les noms d'autres programmes. La raison est claire : le virus doit d’une manière ou d’une autre assurer le transfert du contrôle sur lui-même.

Classement des virus

habitat

voie de contamination de l'environnement

impact

fonctionnalités de l'algorithme

Selon l'habitat, les virus peuvent être divisés en virus de réseau, de fichier, de démarrage et de démarrage de fichier.

Virus de réseau répartis sur différents réseaux informatiques.

Virus de fichiers sont intégrés principalement dans des modules exécutables, c'est-à-dire dans des fichiers avec des extensions COM et EXE. Les virus de fichiers peuvent également infecter d'autres types de fichiers, mais en règle générale, ils sont écrits dans de tels fichiers, ils n'en prennent jamais le contrôle et perdent donc la capacité de se reproduire.

Virus de démarrage sont intégrés dans le secteur de démarrage du disque (Boot-sector) ou dans le secteur contenant le programme de démarrage du disque système (MasterBootRe-cord).

Démarrage de fichier les virus infectent à la fois les fichiers et les secteurs de démarrage du disque.

Selon la méthode d'infection, les virus sont divisés en résidents et non-résidents.

Virus résident lorsqu'il infecte (infecte) un ordinateur, il laisse sa partie résidente dans la RAM, qui intercepte ensuite l'accès du système d'exploitation aux objets d'infection (fichiers, secteurs de démarrage du disque, etc.) et y pénètre. Les virus résidents résident en mémoire et restent actifs jusqu'à ce que l'ordinateur soit éteint ou redémarré.

Virus non résidents n’infectent pas la mémoire de l’ordinateur et sont actifs pendant une durée limitée.

Selon le degré d'impact, les virus peuvent être divisés dans les types suivants :

non dangereux, qui n'interfèrent pas avec le fonctionnement de l'ordinateur, mais réduisent la quantité de RAM libre et de mémoire disque, les actions de ces virus se manifestent par des effets graphiques ou sonores

dangereux virus qui peuvent causer divers problèmes avec votre ordinateur

très dangereux, dont l'impact peut entraîner la perte de programmes, la destruction de données, l'effacement d'informations dans les zones système du disque.

Selon les caractéristiques de l'algorithme, les virus sont difficiles à classer en raison de leur grande diversité.

virus réplicateurs, appelé vers, qui sont distribués sur les réseaux informatiques, calculent les adresses des ordinateurs du réseau et écrivent leurs copies à ces adresses.

connu virus invisibles, appelé virus furtifs, qui sont très difficiles à détecter et à neutraliser, car ils interceptent les appels du système d'exploitation vers les fichiers et secteurs de disque concernés et remplacent leur corps par des zones de disque non infectées.

Le plus difficile à détecter virus mutants, contenant des algorithmes de cryptage-déchiffrement, grâce auxquels les copies du même virus n'ont pas une seule chaîne d'octets répétitive. Il existe également ce qu'on appelle quasi-viral ou "Troyen" des programmes qui, bien que incapables de s'auto-propager, sont très dangereux, car, se faisant passer pour un programme utile, ils détruisent le secteur de démarrage et système de fichiers disques.

Virus de démarrage

Considérons le fonctionnement d'un virus de démarrage très simple qui infecte les disquettes. (Secteur de démarrage).

Supposons que vous ayez une disquette vierge et un ordinateur infecté, c'est-à-dire un ordinateur avec un virus résident actif. Dès que ce virus détecte qu'une victime appropriée est apparue dans le lecteur - dans notre cas, une disquette qui n'est pas protégée en écriture et pas encore infectée, il procède à l'infection. Lors de l'infection d'une disquette, le virus effectue les actions suivantes :

alloue une certaine zone du disque et la marque comme inaccessible au système d'exploitation, cela peut se faire de différentes manières, dans le cas le plus simple et traditionnel, les secteurs occupés par le virus sont marqués comme mauvais (mauvais)

copie sa queue et le secteur de démarrage d'origine (sain) dans la zone de disque allouée

remplace le programme d'amorçage dans le (vrai) secteur de démarrage par sa tête

organise la chaîne de transfert de contrôle selon le schéma.

Ainsi, le responsable du virus est désormais le premier à prendre le contrôle, le virus s'installe en mémoire et transfère le contrôle au secteur de démarrage d'origine.

Virus de fichiers

Voyons maintenant comment fonctionne un simple virus de fichier.

Contrairement aux virus de démarrage, qui sont presque toujours résidents, les virus de fichiers ne le sont pas nécessairement. Considérons le schéma de fonctionnement d'un virus de fichiers non résident. Supposons que nous ayons un fichier exécutable infecté. Lorsqu'un tel fichier est lancé, le virus prend le contrôle, effectue certaines actions et transfère le contrôle au « propriétaire »

Quelles actions le virus effectue-t-il ? Il recherche un nouvel objet à infecter : un fichier d'un type approprié qui n'a pas encore été infecté. En infectant un fichier, le virus s'injecte dans son code afin d'en prendre le contrôle lors de l'exécution du fichier. En plus de sa fonction principale - la reproduction, le virus peut très bien faire quelque chose de complexe (dire, demander, jouer) - cela dépend déjà de l'imagination de l'auteur du virus. Si un virus de fichier est résident, il s'installera dans la mémoire et aura la capacité d'infecter des fichiers et d'afficher d'autres capacités non seulement pendant l'exécution du fichier infecté. Lors de l'infection d'un fichier exécutable, un virus modifie toujours son code. L'infection d'un fichier exécutable peut donc toujours être détectée.

Mais en modifiant le code du fichier, le virus n'effectue pas nécessairement d'autres modifications :

il n'est pas nécessaire de modifier la longueur du fichier

sections de code inutilisées

pas besoin de changer le début du fichier

Ainsi, lorsqu'un fichier est lancé, le virus prend le contrôle (le système d'exploitation le lance lui-même), réside en mémoire et transfère le contrôle au fichier appelé.

Virus du fichier de démarrage

La principale action destructrice est le cryptage des secteurs du disque dur. Chaque fois qu'il est lancé, le virus crypte une autre partie de secteurs et, après avoir crypté la moitié du disque dur, il l'annonce volontiers. Le principal problème dans le traitement de ce virus est qu'il ne suffit pas de supprimer le virus des fichiers, il faut décrypter les informations cryptées par celui-ci.

Virus polymorphes

Ce type de virus informatique est de loin le plus dangereux. Expliquons ce que c'est.

Les virus polymorphes sont des virus qui modifient leur code dans les programmes infectés de telle sorte que deux instances du même virus peuvent ne pas correspondre sur un seul bit.

De tels virus chiffrent non seulement leur code en utilisant différents chemins de chiffrement, mais contiennent également le code de génération du chiffreur et du déchiffreur, ce qui les distingue des virus de chiffrement ordinaires, qui peuvent également chiffrer des sections de leur code, mais ont en même temps un code constant. du chiffreur et du déchiffreur.

Les virus polymorphes sont des virus dotés de décodeurs auto-modifiables. Le but d'un tel cryptage est que si vous disposez à la fois de fichiers infectés et d'originaux, vous ne pourrez toujours pas analyser son code à l'aide d'un démontage conventionnel. Ce code est crypté et constitue un ensemble de commandes dénuées de sens. Le décryptage est effectué par le virus lui-même au moment de l'exécution. Dans le même temps, des options sont possibles : il peut se décrypter d'un seul coup, ou il peut effectuer un tel décryptage "en déplacement", il peut à nouveau crypter des sections déjà élaborées. Tout cela est fait dans le but de rendre difficile l’analyse du code du virus.

Virus furtifs

Les virus furtifs trompent les programmes antivirus et passent donc inaperçus. Cependant, il existe un moyen simple de désactiver le mécanisme de masquage des virus furtifs. Il suffit de démarrer l'ordinateur à partir d'une disquette système non infectée et immédiatement, sans exécuter d'autres programmes à partir du disque de l'ordinateur (qui peut également être infecté), d'analyser l'ordinateur avec un programme antivirus.