@
@m This suffix is often attached to a virus' name to indicate the virus is a slow mailer. An important distinction, in terms of threat assessment, is made between slow mailers (which send one 'infected' message at a time or occasionally send small batches of infected messages) and mass mailers (also see @mm).
Ce suffixe est souvent attaché à un nom de virus pour désigner un virus qui se diffuse lui-même à partir des ordinateurs victimes par diffusion massive. Une distinction importante en termes d’évaluation des menaces est faite entre diffusions massives (qui envoient un grand nombre de messages infectés en une seule fois) et diffusions lentes (reportez-vous aussi à @m).
Revenir au début
A
Action directe Un virus qui essaie de localiser et d’infecter une ou plusieurs cibles lors de son exécution et qui s’en va ensuite s’appelle un virus action directe. Avec les systèmes d’exploitation à tâche unique comme le système DOS, les virus action directe ne contaminent qu’un petit nombre de cibles à chaque exécution. Le processus "Rechercher et infecter" ralentit le fonctionnement normal de l’hôte infecté sur lequel le virus est activé et un ralentissement important de l’ordinateur préviendra probablement l’utilisateur de la présence de quelque chose qui ne va pas (cf. Résidant).
Un contrôle ActiveX est essentiellement un programme Windows pouvant être distribué à partir d'une page web. Ces contrôles peuvent effectuer les mêmes actions qu’un programme Windows. Un programme ActiveX hostile agit sans le consentement de l’utilisateur, par exemple en effaçant le disque dur, en introduisant un virus ou un cheval de Troie dans l’ordinateur ou en analysant le lecteur à la recherche d’informations ou de documents fiscaux. A l'instar des autres chevaux de Troie, un contrôle ActiveX hostile donne habituellement l'impression de posséder d'autres fonctions que celles qu'il possède réellement.
Les agents DDoS participent à des attaques coordonnées qui mettent aux prises de nombreux ordinateurs infectés par l'agent DDoS avec une seule victime. Les agents sont répandus à travers le réseau Internet et inondent une cible à un signal donné. Le trafic engendré par de nombreux agents peut désactiver les sites web commerciaux.
Lors de la reconnaissance d’un pirate, un analyseur de port essaie de se connecter à tous les ports 65536 d’un ordinateur pour identifier si quelqu’un est à l'écoute de ces ports. Les analyses de ports ne sont pas toujours considérées comme illégales, car elles ne mettent pas vraiment le système en danger, d’une part parce que cette pratique peut être facilement usurpée (et donc difficilement mise en cause), et d’autre part parce que tout ordinateur sur Internet peut être amené à analyser un autre ordinateur. Cette pratique est souvent considérée comme une pratique clairement hostile devant être rendue illégale. Une personne malveillante passera en revue des milliers (voire des millions) d’ordinateurs plutôt qu’un seul afin de trouver un système potentiellement vulnérable. Les analyses de ports sont toujours automatisées au moyen d'outils appelés des analyseurs de ports.
Pour détecter de manière fiable les virus polymorphes, les analyseurs incluent des émulateurs de codes pour simuler l’exécution de code exécutable et vérifier qu’ils peuvent déchiffrer un virus connu. Un émulateur doit arrêter l’émulation d’un programme quand il n’est plus nécessaire de continuer et, pour des raisons de performances, de nombreux émulateurs sont gérés par de simples règles qui permettent de déterminer rapidement un point d'arrêt. Certains virus polymorphes incluent des duperies qui essaient de mettre en échec ces émulateurs de codes en les forçant à arrêter l’émulation avant que le code de déchiffrage ait terminé son travail. Ces méthodes sont communément appelées des techniques anti-émulation.
Le déroulement normal d'une connexion TCP comporte l'envoi d'une requête SYN (requête de connexionTCP) à l'ordinateur cible. Lorsque l'ordinateur cible reçoit le SYN, il renvoie un message SYN_RECEIVED à l'ordinateur émetteur du SYN (après lecture de l'adresse IP source du paquet d'origine). L'ordinateur cible attend alors que l'ordinateur d'origine de la requête envoie un SYN_ACK en réponse à son message SYN_RECEIVED (cet état SYN-RECEIVED est enregistré dans un tampon jusqu'à réception du ACK ou jusqu'à ce que la requête ait attendu un temps donné et ait été ensuite purgée). Lorsque cet établissement de liaison "en trois-étapes" est terminé, les données peuvent voyager librement entre les deux ordinateurs.
Lors d'une attaque par inondation de SYN, un SYN est envoyé à l'ordinateur cible, mais l'adresse IP source est rendue factice. L'ordinateur cible essaie de renvoyer son message SYN_RECEIVED à l'adresse IP origine du SYN, mais comme cette adresse est factice, le message est envoyé à une adresse IP inexistante ou à un ordinateur autre que l'émetteur du SYN d'origine (et qui ignorera par conséquent ce message). Lorsque ceci se produit, l'ordinateur cible peut envoyer plusieurs messages SYN_RECEIVED supplémentaires, et attendre un certain temps un SYN_ACK qui n'arrivera jamais, en stockant cette information dans un tampon. Plus le nombre d'envois de ces paquets factices est grand, plus les ressources système utilisées sur l'ordinateur cible sont importantes. Une fois que la limite d'un port TCP donné est atteinte, l'ordinateur cible répond en réinitialisant toutes les demandes de connexion postérieures jusqu'à ce que les ressources système soient libérées. Le résultat de cette attaque est un refus de service.
AntiVirus Emergency Discussion : liste des forums de discussion sur la sécurité informatique antivirus.
Liste de diffusions électroniques pour les chercheurs professionnels antivirus, leur permettant d'alerter d'autres chercheurs au sujet d'événements à caractère de "crise" ou d'"urgence" liés aux virus. Ces listes peuvent être localisées dans une région géographique ou en fonction de la langue, ou être connues pour assurer une diffusion mondiale. Elles agissent également en tant que forums de discussion permettant aux chercheurs de débattre des événements, d'examiner sur quels antécédents se baser pour lancer une alerte aux utilisateurs lors de la découverte d'un nouveau virus, et d'évaluer jusqu'à quel degré il convient d'en informer les médias. Outre cette liste de discussion, il existe une liste qui facilite la distribution en urgence et sécurisée d'échantillons. Les membres de cette liste doivent envoyer des échantillons de tout virus considéré comme suffisamment dangereux par l'organisation pour laquelle ils travaillent, et qui nécessite de lancer un avertissement général au public. Des responsables de Computer Associates expérimentés en matière d'analyse de virus figurent dans la liste de diffusion électronique AVED et sont membres de la commission (cf. REVS).
Revenir au début
B
Balises intégrées ou scripts inter sitesCette vulnérabilité se produit lorsqu’un serveur web exécute des vérifications inadéquates sur les contenus fournis par des tierces parties. Un attaquant distant peut probablement intégrer un script dans un morceau de texte qui est ensuite reproduit sur un site web. Les utilisateurs légitimes du système peuvent alors lancer le script par inadvertance lorsqu’ils se connectent innocemment aux informations des attaquants.
Groupe de boutons qui exécutent des tâches communes. Dans Internet Explorer, une barre d’outils se trouve en général sous la barre de menus en haut de la fenêtre. Les barres d'outils peuvent être créées par les objets d'aide du navigateur.
Basic Input/Output System. Programme de PC qui représente le tout premier niveau d'interface avec le matériel. Le BIOS d'un PC permet également d'initialiser le processus de bootstrap du système d'exploitation et de charger le secteur d'amorçage d'une disquette ou l'enregistrement d'amorçage principal d'une unité de disque dur et de lui transmettre le contrôle.
Sous CPM, DOS et Windows 3.x, les interfaces BIOS avec le matériel étaient de la plus haute importance pour assurer la bonne opération de l'ordinateur. Les matériels spécialisés reconnus ou non gérés par les BIOS standard devaient inclure une extension BIOS sur leur carte d'adaptateur ou fournir des pilotes d'unité permettant l'accès à l'unité (ou les deux) en cas d'utilisation par un logiciel autre que le logiciel propriétaire écrit sur leur interface matérielle. Les systèmes d'exploitation plus avancés de PC tels que les différents systèmes Unix écrits pour lui, NT, Linux, Windows 95, etc. ne dépendent du BIOS que pour sa fonction d'amorçage (bootstrapping) de système d'exploitation et fournissant leurs propres pilotes en mode protégé (ou en provenance d'un fournisseur) pour toutes les unités matérielles qu'ils peuvent utiliser. (Windows 9x autorise un degré de compatibilité en mode réel permettant son utilisation sur des ordinateurs plus anciens avec un matériel 'différent' non pris en charge par les lecteurs natifs, mais qui génère des charges de performance.)
Traditionnellement, le BIOS était fourni sur une puce à mémoire ROM connectée à un socket sur la carte principale de l'ordinateur. Cet arrangement permettrait le remplacement du BIOS s'il était nécessaire de pourvoir aux nouvelles configurations matérielles requises (ou de fournir des correctifs aux erreurs). Plus récemment, fournir le BIOS dans une puce à mémoire flash (ou mémoire ROM flash) est devenu une pratique standard car elle permet d'écrire les mises à jour directement sur la puce en passant par le logiciel.
Le BIOS ne doit pas être confondu avec la zone de stockage CMOS qui est utilisée pour stocker le BIOS ainsi que les données et options de configuration de la carte principale.
Codes d’échappement dont l’exécution provoque une redéfinition des touches du clavier en mappant une touche donnée soit vers une autre touche, soit vers une ligne de commande qui sera exécutée lorsque l'utilisateur appuiera sur cette touche. Cela permet de manipuler un système en profondeur et conduit l’utilisateur à déclencher par inadvertance des commandes qui vont supprimer ou modifier des fichiers. Les bombes ANSI sophistiquées s’implantent elles-mêmes dans les fichiers autoexec.bat ou config.sys du système. Les bombes ANSI ont généralement pour cibles les anciens systèmes Windows antérieurs à XP et peuvent encore affecter les ordinateurs fonctionnant avec XP.
Il s’agit habituellement des charges utiles des codes des virus. Celles-ci ne fonctionnent que lorsque des conditions logiques particulières ont été rencontrées pendant l’exécution du virus ou du cheval de Troie qui le transporte. Par exemple, beaucoup de virus comportent des charges utiles ne fonctionnant qu’à une certaine date ou entre deux dates ou heures, alors que d’autres comportent des charges utiles ne fonctionnant qu’après infection d’un nombre spécifique de fichiers ou de secteurs d’amorçage, et d’autres encore vérifient toutes sortes de types de conditions.
Les bombes logiques qui dépendent de déclencheurs sur la date, l’heure et le temps écoulé sont souvent appellés bombes temporelles. Celles qui fonctionnent habituellement lorsqu’un virus ou un cheval de Troie s’exécute pour la première fois sont désignés comme étant à effet immédiat.
Bombe logique déclenchée selon une ou plusieurs conditions de date ou de temps passé ou absolu.
Bloc de paramètres BIOS. Table de données dans le secteur d’amorçage système de toutes les unités logiques au format FAT, contenant des informations sur le formatage d’une unité. Cette table comprend le nombre de pistes, le nombre de secteurs par piste, la taille des secteurs et le nombre de secteurs par cluster logique. Ces données sont primordiales pour une lecture correcte de l’unité.
Boot Sector Infector : virus d’infection du secteur d’amorçage.
Revenir au début
C
CanularUn canular est un message habituellement distribué par courrier électronique ou dans des groupes de discussion, pour semer délibérément la peur et l'incertitude. Exactement comme les virus qu'ils prétendent décrire, les canulars sont envoyés d'utilisateur à utilisateur(s), ce qui ralentit le réseau et le trafic Internet, et provoque 'en soi', des dommages par gaspillage du temps des utilisateurs et par l'invitation claire (bien qu'inutile) à utiliser des procédures de nettoyage. Ces messages peuvent être considérés comme des virus entièrement fictifs et comme des chevaux de Troie. Ils peuvent également être des alertes trompant les utilisateurs à propos des programmes légitimes (les économiseurs d'écrans étaient la cible habituelle des anciens canulars et les utilitaires de Windows le sont devenus plus récemment). Les proies des canulars sont le manque de connaissances techniques et la bonne volonté de tous leurs destinataires. Généralement, les canulars sont des avertissements sur des dangers qui menacent votre ordinateur. Ils tendent à suivre un modèle standard. Donc, s'il vous arrive de recevoir un courrier électronique avec les caractéristiques suivantes, affichez-le avec prudence, si ce n'est suspicion légitime.
- Rapports concernant un virus qui peut provoquer des dégâts massifs sur votre PC : beaucoup de ces rapports allant même jusqu'à dire que le matériel critique va être détruit.
- Il peuvent paraître inutilement techniques (bien que n'ayant souvent aucun sens), mais semblent intéressants à beaucoup d'utilisateurs effrayés par la technologie/l'inconnu.
- Ils peuvent citer de fausses annonces formulées par des experts de l'industrie des antivirus, certains rapports allant même jusqu'à fournir un lien correct vers un site AV (dont la visite vous dira bizarrement quelque chose du genre : c'est un canular).
- Le message peut être écrit avec un langage passionnel. Il peut ainsi être coloré avec du texte en majuscules et contenir un grand nombre de points d'exclamation (dans le but d'accroître la sévérité du danger perçu et de rendre l'utilisateur plus désireux de transmettre le message).
- Il vous demande de transférer le message au plus grand nombre possible de personnes. C'est la ligne la plus évidente d'un canular. Les avertissements en provenance d'experts reputés ne vous demandent pas de transmettre leurs notifications. C'est cette partie du texte du message en particulier qui devrait immédiatement rendre circonspects les utilisateurs sceptiques.
L'encyclopédie de virus de Computer Associates contient des information à jour sur les canulars. S'il vous arrive de recevoir des avertissements non confirmés de virus, vous pouvez en vérifier le bien-fondé en visitant la section Canular de votre encyclopédie à l'adresse : Encyclopédie des virus.
Computer Antivirus Research Organization : organisation de recherche antivirus informatique.
Un groupe informel d’informaticiens professionnels dédiés à la recherche antivirus à des fins d’amélioration.
Ce nom (alias Data Diddlers) est répandu pour les virus contenant une charge utile qui modifie les données. Ce type de virus peut, par exemple, remplacer 0 par 9 dans un tableur Excel, ou encore remplacer certains mots comme c'est le cas de
Jal.A. Malheureusement, il peut s'avérer presque impossible de remarquer les modifications effectuées par certains de ces virus dans de grands volumes de données. Il en résulte que les utilisateurs peuvent ne pas réaliser qu'ils sont infectés depuis longtemps, ce qui nécessite de lancer des procédures de nettoyage potentiellement lentes and coûteuses.
Si un virus comporte des routines provoquant des dommages (autres que les effets secondaires et les bogues apparemment non sollicités), ces routines sont connues comme charges utiles ou ogives. Ce terme est une image en rapport avec les expressions militaires utilisées pour les roquettes et les munitions, où le virus est perçu comme "véhicule de livraison" et la routine auteur des dégâts comme charge utile ou ogive. Le terme déclencheur est aussi emprunté à ces analogies.
Tout programme conçu pour charger un autre programme.
Par analogie au cheval que les grecs sont censés avoir utilisé pour mettre fin au siège de Troie, le terme Cheval de Troie est appliqué aux programmes qui effectuent une action prévue par leurs programmeurs mais que l’utilisateur n’approuverait pas s'ils en avait connaissance (en fait, c'est un programme avec une intention cachée). A l’instar de beaucoup de termes centraux de ce domaine, la formulation d’une définition opérationnelle correcte provoque des débats considérables.
Dans le contexte des solutions Antivirus de Computer Associates et d’autres fournisseurs d’antivirus, la définition d’un cheval de Troie est la suivante : c’est un programme malfaisant qui n'a pas la possibilité de se répandre par lui-même. Une autre fonction caractérisant souvent les chevaux de Troie est l’accès à distance et la prise de contrôle des systèmes affectés. Les chevaux de Troie forment l'une des méthodes d’intrusion les plus courantes dans les systèmes dépourvus de sécurité. (Reportez-vous aussi à Porte dérobée(1) et Chevaux de Troie d’accès à distance).
Un programme permettant d’accéder subrepticement aux ressources d’un ordinateur (fichiers, connexions réseau, informations de configuration, etc.) via une connexion réseau est connu comme cheval de Troie d’accès à distance ou RAT. Remarquer que des fonctionnalités de ce type sont souvent incluses dans un logiciel légitime conçu pour permettre ce type d'accès. Par exemple, un logiciel permettant d’administrer à distance des stations de travail dans un réseau d’entreprise, ou permettant au personnel du support technique de "prendre le contrôle" d’un ordinateur pour démontrer à distance comment un utilisateur peut obtenir certains résultats, sont intrinsèquement des outils utiles (et même désirables dans beaucoup de paramètrages). La différence entre les chevaux de Troie d’accès à distance et les outils d’administration à distance est que ces derniers sont conçus au sein d’un système et sont installés et utilisés avec l’aval et l’assistance de l’administrateur système et des autres membres concernés de l’assistance technique. Les chevaux de Troie d’accès à distance sont aussi nommés fréquemment porte d’entrée (trapdoor) d’accès à distance et porte dérobée (backdoor) d’accès à distance, bien que ces deux derniers termes aient tendance à posséder leurs propres significations spécialisées et légèrement différentes .
Cylindre, Head (Tête), Secteur. Notation qui permet d’indiquer l’emplacement d’un secteur de disque à des routines d’accès au disque. Dans ce contexte, le terme "track" (piste) correspond au terme "cylindre" et "side" (côté) (ou parfois "surface") correspond au terme "head" (tête), mais CHS/Cylindre, Head (Tête), Secteur a l’avantage d’être précis.
Dans le cadre du travail des antivirus, ceci signifie que les virus de secteur d’amorçage (en particulier les virus d’enregistrement d’amorçage principal (MBR, Master Boot Record) effectuent généralement une copie "sécurisée" du contenu d’origine du secteur infecté à laquelle est souvent attribuée une adresse CHS fixe. Ainsi, il se peut que vous rencontriez des descriptions de ces virus spécifiant que "le MBR initial est sauvegardé dans 0,0,7". Ceci signifie dans ce cas que le MBR initial a été sauvegardé dans le septième secteur sur la tête (ou sur le "côté") zéro du cylindre (ou "piste") zéro.
Un classeur est un programme liant deux ou plusieurs fichiers en un seul, habituellement dans le but d’en cacher un. Un classeur compile une liste des fichiers que vous sélectionnez dans un fichier hôte que vous pouvez ensuite renommer. Un fichier hôte est un programme simple, compilé et personnalisé, permettant de décompresser et de lancer les programmes sources. Lorsque vous démarrez l’hôte, les fichiers intégrés sont automatiquement décompressés et lancés. Par exemple, lorsqu’un cheval de Troie est associé à Notepad, le résultat semble être du Notepad et fonctionner comme Notepad, mais le cheval de Troie est également exécuté.
CMOS (Complementary Metal Oxide Semiconductor – MOS complémentaire) : la mémoire RAM alimentée par batterie utilisée dans les PC AT, puis les PC ultérieurs pour stocker des informations de configuration matérielle, utilise la technologie CMOS. Cette mémoire ne se trouve pas dans lespace d'adresse de l’unité centrale, mais est accédée via des écritures et des lectures du port d'E/S, et son contenu ne peut pas être directement exécuté. Ceci signifie que les virus ne résident pas dans la mémoire RAM CMOS et ne peuvent pas l’infecter. Certains virus modifient le contenu de la mémoire RAM CMOS en tant que chargement, soit en effectuant un brouillage, soit en supprimant la référence à la disquette de manière que le MBR (contaminé) de l’unité du disque dur soit toujours exécuté en premier lors du redémarrage.
Le programme enregistré dans un secteur d'amorçage est appelé code d’amorçage. Les secteurs d’amorçage contiennent habituellement le code d’amorçage parce que ces petits programmes ont pour rôle de commencer le chargement du système d’exploitation de l’ordinateur une fois que le BIOS a terminé ses post-vérifications, bien que certains types de secteur d’amorçage puissent contenir un code d’amorçage, mais ceci est très rare. De bons exemples de secteurs d’amorçage qui ne contiennent normalement pas de code d’amorçage sont les secteurs d’amorçage qui se trouvent en-tête des partitions étendues, sous les systèmes d’exploitation DOS et Windows. Ces types de partitions ne peuvent pas être amorçables et les systèmes d’exploitation placent seulement une table de partitions (qui est requise) dans ces secteurs d’amorçage.
Ainsi, les secteurs d'amorçage système de disquettes, les partitions (unités logiques) sur les unités de disque dur et les MBR des unités de disque dur, contiennent normalement une sorte de code d'amorçage. C'est ce code, ou tout du moins l'espace qui lui est réservé, qui amorce la cible des virus. Lorsque le BIOS termine sa vérification du matériel, il lit le secteur d'amorçage approprié (selon l'unité définie pour démarrer en premier et si cette dernière est prête), sans effectuer de vérification de la validité de son contenu.
Moyen de pénétrer par effraction dans un système. Un code d’exploitation, ou exploit, profite de la faiblesse d’un système dans le but de le pirater. Les exploits sont à la base de la culture du piratage. Certains pirates deviennent célèbres en découvrant un exploit, d’autres en écrivant des scripts pour un exploit. De nombreux jeunes pirates (script-kiddies) appliquent un exploit à des millions de systèmes, avec ou sans objectif. Les utilisateurs commettent souvent les mêmes erreurs, c’est pourquoi les exploits ont tendance à se ressembler de plus en plus pour des systèmes très différents. La plupart des exploits peuvent être classés dans les catégories majeures suivantes : dépassement de tampon, remontée de répertoire, valeurs par défaut, refus de service.
Certaines applications stockent leurs informations dans des fichiers non sécurisés et des dossiers tels que le répertoire temp. Une condition d’accès concurrent à un fichier se produit quand un attaquant a une chance de pouvoir modifier ces fichiers avant que l’application d’origine ne cesse de les utiliser. Si l’attaquant réussit sa surveillance et attaque et modifie ces fichiers temp, l’application d'origine les traite comme s’ils étaient légitimes. Le nom de ce type d’attaque du point de vue des attaquants est "accès concurrent pour modifier le fichier".
Tout cookie partagé par une ou deux pages web dans le but de suivre l’historique de la navigation d’un utilisateur.
On désigne parfois sous le terme Creeper de réseau les virus qui se diffusent vers de nouveaux hôtes en trouvant des unités réseau (ou "partages") accessibles en écriture et en s’y copiant eux-mêmes ou en infectant des fichiers sur ces partages. Remarquez la distinction faite entre les creepers de réseau, qui infectent des fichiers sur les unités locales et les unités mappées, et les autres virus qui ne parviennent à infecter que des fichiers sur partages réseau. Pour être un creeper de réseau, un virus doit rechercher spécifiquement des ressources partagées du réseau, et en trouver qui ne soient pas en cours d’utilisation par son ordinateur hôte. VBS/Netlog a montré de façon surprenante jusqu’à quel point cette technique peut réussir lorsqu’elle ne dépend que de l’architecture de réseau de Microsoft et de l’ouverture des partages (qui possédent des accès en écriture mais sans mot de passe).
Certains chercheurs en antivirus considèrent les creepers de réseau comme des vers.
Cyberguerre sur IRC désigne tout outil utilisant IRC (Internet Relay Chat) pour usurper, écouter clandestinement, renifler, générer des spams, violer des mots de passe, harasser, frauder, contrefaire, "tromper", violer électroniquement, falsifier, pirater et contaminer le système par utilisation sans limite de virus, vers et chevaux de Troie provoquant des accès non autorisés, pernicieux et générateurs de dégâts et/ou des recherches d'informations et de données sur votre ordinateur, et d'autres formes d’activités qui peuvent même être considérées comme illégales.
Revenir au début
D
DDoSRefus de service distribué. Les tentatives de refus de service réalisées sur les grands sites au moyen d'attaques associées à la saturation des ressources ou plus particulièrement de stratégies associées à un ralentissement de la bande passante réseau, sont souvent inenvisageables à partir d’un seul ordinateur car le nombre des ressources des sites attaqués est bien trop important. Il existe une solution à ce problème, c’est l'utilisation du refus de service distribué, où plusieurs ordinateurs comportant un certain nombre de "services d’attaque" sont mis en oeuvre simultanément pour attaquer un système cible. Chacun de ces 'agents' DDoS fait partie de la 'charge' totale qui fait basculer à un moment donné le service ou le serveur attaqué, ou contribue à la bande passante nécessaire pour bloquer les connexions réseau au serveur attaqué. Voir également Refus de service.
Fin 1999, le code de plusieurs systèmes DDoS a été saisi sur des ordinateurs qui ont été compromis. Il s'agissait surtout des agents (la partie qui implémente le service d’attaque), mais quelques exemples de maîtres -- le composant qui fait le suivi de la disponibilité des agents et qui envoie les commandes pour commencer et mettre fin à une attaque -- furent également capturés. A l’époque, certains réseaux de ces agents DDoS contenaient plusieurs centaines d'agents actifs. Si la plupart de ces systèmes ont été conçus et développés pour des ordinateurs fonctionnant sous Unix (et en particulier Linux), ils peuvent également être mis en oeuvre sur des ordinateurs personnels (pour plus de détails, référez-vous à l’entrée DDoS dans l'encyclopédie des virus).
La condition qui détermine le lancement d’un virus ou le chargement d’un cheval de Troie est habituellement appelée déclencheur ou condition de déclenchement. Trigger (déclencher) est aussi un verbe utilisé pour indiquer l’activation d'une charge utile. (Reportez-vous aussi à Bombe Logique, Bombe temporelle; cf. Action Immédiate.)
La possibilité pour des virus ou tout autre logiciel de provoquer un dégât physique ou d’"endommager" le matériel d’un ordinateur fait l’objet de beaucoup de débats. La plupart de ces débats aboutissent à l’un de ces trois constats : rappel de vieilles histoires habituellement mal documentées sur du matériel détruit par des manigances logicielles, dégradation et usure accélérées, incompréhension de la différence existant entre dégâts matériels et écrasement de logiciels stockés dans certaines formes de stockage (semi-)permanent. Pour conclure brièvement sur chacun...
Il existe plusieurs rapports concernant d’anciens disques durs dont les mécanismes de contrôle ne possédaient pas (ou étaient réputés ne pas posséder) de vérification d'intégrité. L'opinion habituelle est que ces unités ont pu être mises hors service (et même "détruites") par redirection des accès à une unité vers un cylindre (piste) au delà du dernier emplacement physique de cylindre. Des histoires persistent aussi à propos des anciens écrans de PC, dont les composants électroniques internes seraient susceptibles de "griller" (et même de mettre le feu à l'écran s'il est laissé suffisamment longtemps) suite à une programmation de la fréquence de l'adaptateur d’écran à une valeur supérieure à celles spécifiées. Une variante de cette histoire est l’"explosion d'un écran par arrêt du balayage et bombardement d’un point fortement focalisé au moyen d'un faisceau continu".
Des histoires et spéculations similaires existent à propos de la "surutilisation" d’un appareil. Parmi celles-ci figure l’idée que certains écrans (habituellement anciens et non spécifiés) peuvent être endommagés de diverses manières ou rendus "pratiquement inutilisables" par le gravage accéléré provoqué par le phosphore ou l'équivalent. Parmi les autres idées répandues se trouvent la conviction d’une usure rapide des disques par suite d'accès répétés vers l'avant et vers l'arrière entre les tout premiers et derniers cylindres, et la conviction que cette usure provoque des modifications répétées du contenu des mémoires RAM CMOS, EEPROMs ou Flash.
Ces deux premiers types d’histoires doivent être relégués dans les rebuts de l'histoire, mais un autre type de rumeur est dans l'air depuis peu. Le virus CIH rend un PC inutilisable en écrasant par "reflash" la puce de mémoire flash comportant le BIOS. La routine du CIH écrase effectivement le BIOS. Cet exemple ne peut cependant être celui d’un logiciel endommageant du matériel bien que ce logiciel rende l’ordinateur inutilisable (et laisse souvent la carte mère complètement irréparable). Le matériel reste encore totalement fonctionnel, mais se trouve être mal architecturé, ce qui empèche le système de reprendre (économiquement) son activité. Même si cela peut sembler à l’utilisateur un détail alors qu’il est confronté à un remplacement de carte mère par suite du déclenchement d’une charge utile de virus, il convient d’établir une distinction claire, sur le plan technique, entre le virus CIH qui rend irréparable une carte système mal conçue et un logiciel endommageant du matériel.
Outil qui permet le déchiffrement d’un mot de passe ou d’un fichier de mot de passe. PestPatrol utilise ce terme à la fois pour les programmes qui adoptent une approche algorithmique et pour les programmes qui utilisent la force au moyen d’une liste de mots permettant de déchiffrer les mots de passe. Les déplombeurs de mot de passe sont utilisés légitimement par les administrateurs de sécurité qui veulent trouver les mot de passe inefficaces pour les modifier et améliorer la sécurité du système.
Outre le fait d’utiliser une identification précise pour les virus connus, les analyseurs peuvent employer (et le font) diverses formes de détections peu précises. L'idée essentielle présidant à ces mécanismes de détection heuristique consiste à assouplir quelque peu les règles de détection en détectant du code quasiment à la limite d’une indication d’infection de virus (ou d’une autre forme de fonction malveillante) et ayant une très faible probabilité d’être trouvé dans des programmes 'innocents' .
Par exemple, la présence de divers paramètres inhabituels dans des en-têtes de fichiers PE (exécutable 32 bits de Windows) peut être fortement indicative d'une "altération" liée à un virus. S’il s’avère aussi que ces en-têtes "bizarres" n’ont jamais été produits par une quelconque combinaison de compilateur/éditeur de liens de PE, leur détection et le marquage de leurs fichiers peuvent être de bons moyens heuristiques offerts à un utilisateur 'soupçonneux' pour détecter certains nouveaux types de virus d'infection de PE non encore connus de l’analyseur.
De la même façon, l’analyse du code d'une macro VBA peut, dans la plupart des cas, déterminer rapidement et de façon fiable si cette macro possède le code qui la copie elle-même vers d’autres documents et modèles. Cependant, cela ne suffit pas en tant qu’heuristique de virus de macro car il est fréquent que les programmes de macro légitimes possèdent des routines d’installation qui sont elles-mêmes des macros qui recopient d’autres macros. Le concepteur d’un bon détecteur heuristique de virus de macro essaye de prévenir l’apparition d’alarmes de faux positif pour ce type de packages d'installation de macro en demandant au détecteur heuristique de ne pas limiter ses recherches au seul code qui copie une macro vers un modèle global (l’emplacement habituel d’installation pour ces programmes de macro). Un réglage soigneux de l’importance (ou "poids") donnée aux diverses fonctions de type viral peut réduire grandement la fréquence de ces faux positifs. Cette approche, qui combine des fonctions heuristiques positives et négatives, est généralement considérée comme la meilleure. Une fonction heuristique positive est une fonction programmée considérée par l’analyseur comme facteur d’augmentation de la probabilité d’être perçue comme un virus, tandis qu’une fonction heuristique négative réduit cette probabilité.
Ces fonctions sont souvent désactivées par défaut dans les analyseurs comportant des possibilités de détection heuristique. La raison de cette désactivation peut être l’ajout par ces fonctions d’un temps système supplémentaire au processus d’analyse, ou encore le "libéralisme" complet de ces heuristiques. Dans ce dernier cas, en particulier, vous ne devez activer la détection heuristique de l’analyseur que si un nouveau virus est soupçonné, car les résultats de la détection peuvent attirer d’avantage votre attention sur les fichiers vraisemblablement affectés. Les heuristiques doivent aussi être activées et définies aux niveaux les plus élevés dans les analyseurs de passerelle de courrier électronique et les autres "points d'interception" si des contraintes professionnelles rendent inévitable la présence dans une organisation de fichiers dont le type présente un risque d’infection. Certains analyseurs dotés de possibilités de détection heuristique permettent à l’utilisateur de définir la "sensibilité" des heuristiques et celles-ci doivent être définies de nouveau à un niveau de sensibilité très élevé pour les analyseurs de passerelle de courrier électronique.
Nous ne pensons pas que des virus soient vraiment nécessaires dans les bureaux d’aujourd'hui, nous ne pensons donc pas qu’il y a vraiment besoin d’apprendre à en créer. Le didacticiel de virus explique "comment faire".
Divers représente un objet quelconque (autre qu’un document) qui n’appartient pas à une autre catégorie, peut-être parce qu’il peut appartenir à plusieurs catégories, ce qui est le cas, par exemple, d’une suite d’outils.
1. Système d’exploitation du disque : MS DOS et IBM DOS, et aussi DR DOS, etc.
2. Refus de service (il est préférable d’utiliser l’acronyme DoS pour éviter toute confusion).
Revenir au début
E
Echantillon de champ et virus de champ
Ecraseur de données En général, la forme la plus simple d’un virus est un programme qui se copie lui-même sur le haut d’autres programmes. Ces types de virus sont connus comme écraseurs de données et correspondent habituellement aux premiers types de virus écrits pour les plate-formes nouvellement "infectées par virus" (ex. Phage, le premier virus découvert à la fin 2000 sur PalmOS, était un simple écraseur de données). Comme les virus écraseurs de données ne préservent pas les fonctionnalités de leurs programmes hôtes, ils ont tendance à être très visibles et donc sans grand "succès" (cf. Virus parasite).
Mémoire en lecture seule effaçable et programmable électriquement (EEPROM).
Un type de ROM dont le contenu, non volatile, peut être modifié par application de voltages convenant à la reprogrammation de la puce. Le remplacement du besoin de source lumineuse ultraviolette par un mécanisme purement électronique d'effacement du contenu de puce a donné une avance à la technologie EEPROM par rapport à celle d’EPROM. Certains "BIOS modifiables" de l’époque ont été livrés sur puces EEPROM, mais les mémoires flash sont devenues ces dernières années la technologie préférée de mémoires non volatiles dotées de BIOS.
Ce code est habituellement une charge utile exécutée lorsque le virus ou le cheval de Troie qui la transporte sont lancés pour la première fois. Par exemple, une des causes de la rapidité et de l’impact des diffusions massive des virus W97M/Melissa et VBS/LoveLetter a été l’exécution de leur code de diffusion massive lors de la première exécution du virus de macro (Melissa) ou du script (LoveLetter). Une désactivation de cette fonctionnalité pour éviter de la lancer lors d’exécutions ultérieures de virus ou de chevaux de Troie n’a aucun effet (cf. Bombe logique).
Institut EICAR (European Institute for Computer Antivirus Research)
Groupe d'académiciens, chercheurs, spécialistes chargés de l’application de la loi et autres technologies, unis contre "l’écriture et la prolifération des codes malveillants tels que les virus d’ordinateur ou les chevaux de Troie, et contre la criminalité informatique, la fraude et l’emploi abusif des ordinateurs ou des réseaux" (citation de l’ordre de mission sur le site web EICAR).
Une méthode utilisée communément pour détecter des virus polymorphes consiste à simuler la partie exécutable d’un code de programme dans un émulateur. Le but est de détecter que le code déchiffre le code des virus connus. La conception de l’émulateur fait apparaître plusieurs problèmes fondamentalement insolubles. Par exemple, le fait qu’ils ne fonctionnent pas 'suffisamment longuement' sur chaque fichier pour provoquer un ralentissement de l’analyseur, et le fait qu’ils sont rendus suffisamment complexes pour incorporer beaucoup d’aspects de l'environnement simulé et pour que les techniques d’émulation et d’anti-émulation employées pour certains virus ne réduisent pas leur efficacité.
Programme qui est enregistré dans le secteur d’amorçage. Toutes les disquettes possèdent un enregistrement d’amorçage, qu’elles soient amorçables ou non. Lorsque vous démarrez ou réinitialisez votre ordinateur à l'aide d’une disquette dans l’unité A:, DOS lit l’enregistrement d’amorçage à partir de cette disquette. Si un virus de secteur d’amorçage a contaminé la disquette, l’ordinateur lit le code du virus en premier (parce que le virus a placé son code dans le secteur d’amorçage), puis il va sur le secteur appartenant à l’unité dont la lecture a été demandée par le virus, là où le virus a stocké l’enregistrement d’amorçage d’origine.
Le secteur d’amorçage placé au début d’un disque dur (emplacement de secteur 0,0,1 en notation CHS) est connu comme étant le secteur d’amorçage principal ou, plus habituellement, l’enregistrement d’amorçage principal (MBR). Comme le code d’amorçage de ce secteur de disque est chargé par le BIOS, le démarrage doit être lancé à partir du disque dur. Normalement, le code d’amorçage du MBR vérifie la table des partitions du MBR pour déterminer à partir de quelle partition charger un système d’exploitation. Il charge ensuite le contenu du secteur d’amorçage du système (le premier secteur de la partition) et transfère le contrôle à cet emplacement de chargement. Ce doit être le début du code d’amorçage de cette partition et il revient à ce code de 'savoir' comment démarrer le système d’exploitation sur cette partition.
L'enregistrement d’amorçage principal est habituellement nommé ainsi ou MBR, parfois secteur d’amorçage principal (ou MBS), et parfois, mais incorrectement, table des partitions (qui n'est en fait qu’une partie du contenu du MBR). L’enregistrement d’amorçage principal d’un ordinateur DOS ou Windows est normalement créé lors du partitionnement de l’unité avec FDISK, bien que toutes les variantes des outils de partitionnement et de gestion d’amorçage provenant de tierces parties peuvent aussi écrire dans la table des partitions et/ou dans le code d’amorçage de MBR.
Comme le MBR contient un programme (le code d’amorçage), il peut être infecté par un virus convenablement camouflé. Les détails de ces fonctions sont décrits dans la rubrique Facteur d’infection du secteur d’amorçage.
Un programme qui enregistre des séquences de touches est techniquement un enregistreur de frappe. Ce terme tend à être utilisé dans les cercles s’occupant des logiciels malveillants, pour désigner les programmes qui enregistrent subrepticement des frappes de touches et tiennent un journal de l’activité du clavier à la disposition de personnes autres que le ou les utilisateurs connectés. Ces fichiers journaux sont envoyés d’ordinaire par courrier électronique à la personne à l’origine de l'implantation du logiciel de journalisation, mais ce niveau de sophistication n’est pas nécessaire dans le cas d’ordinateurs accédés par le public (cyber-cafés, écoles et laboratoires informatiques des universités, etc...), car il suffit à l’attaquant d’accéder à une date ultérieure au fichier journal de l’ordinateur concerné et d’y récupérer les noms et les mots de passe des utilisateurs qui accédent aux autres systèmes et aux autres informations potentiellement sensibles. Bien que plus courants dans les programmes des chevaux de Troie et dans ceux des chevaux de Troie d'accès à distance, les enregistreur de frappe sont parfois utilisés dans les charges utiles de virus.
Masquage de point d’entrée.
Mémoire en lecture seule effaçable et programmable électriquement.
Un type de ROM dont le contenu, non volatile, peut être modifié par application de voltages appropriés pour la reprogrammation de la puce. Avant de reprogrammer une EPROM, il est nécessaire de l’exposer à une source lumineuse ultraviolette. Certains des premiers "BIOS modifiables" ont été livrés sur puces EPROM, mais les puces EEPROM sont devenues plus courantes. Plus récemment, la technologie de mémoire flash est devenue la technologie preférée de mémoire non-volatile pour la gestion des BIOS.
L’acception la plus courante du terme espace de remplissage désigne l’espace disque "gaspillé" par la différence entre la taille réelle d’un fichier et l’unité minimum de stockage du système de fichiers qui le stocke. Par exemple, la taille d’un cluster disque peut être 4Ko (4096 octets) dans un système de fichiers FAT32 sous Windows 9x. Comme un système de fichiers ne peut pas allouer d’espace disque par unités inférieures à un cluster, il en résulte que tous les fichiers de 1 à 4096 octets consomment 4096 octets d’espace disque disponible de l'unité, indépendamment de la taille réelle de ces fichiers. Donc, si vous créez dix fichiers d’un octet chacun, vous allez utiliser 40960 octets d'espace disque malgré un stockage de données de dix octets seulement. D’une certaine manière, c’est ce gaspillage de 40950 octets d'espace disque qui est appelé "espace de remplissage" (il y a des solutions à ce "problème" de gaspillage d’espace disque, telles que les méthodes d'allocation des sous-blocs etc., et ces solutions sont employées dans les systèmes de fichiers plus avancés).
Une chose importante à savoir est que peu de systèmes d’exploitation écrasent la place inutilisée entre la fin d’un fichier et la fin du dernier cluster occupé par ce fichier. Il est donc possible de trouver des morceaux de code de virus "inerte" dans toute une variété d’"espaces de remplissage". Alors qu’il est improbable de voir ces codes lors de l’analyse de fichiers, il est possible qu’ils soient détectés en mémoire et signalés de façon incorrecte comme infection active lorsque le contenu des tampons disque (dimensionnés pour les clusters) est copié à un endroit quelconque (voir l’exemple avec les secteurs d’amorçage dans Fantôme positif).
Cependant, il peut exister d’autres types d'espaces de remplissage plus significatifs pour les développeurs de virus. Par exemple, le format interne des exécutables de portable Win32 (format PE) est basé sur la section et consiste en des fichiers comportant un en-tête et une ou plusieurs sections contenant du code, des ressources de données etc.. Chaque section, y compris l'en-tête, est "complétée" pour atteindre le multiple complet le plus proche de la taille d'alignement du fichier (qui est spécifiée dans l'en-tête). Cette organisation signifie que les fichiers PE peuvent contenir des sections qui n'occupent pas complètement la dernière section qui leur est affectée dans le fichier, de même que le cluster final affecté à un fichier peut ne pas être rempli. Certains virus ont profité de cet espace de remplissage de section, le plus notable étant peut-être CIH (voir aussi Facteur d'infection multi-cavités).
Toute application qui utilise la connection réseau d’un utilisateur en arrière-plan, sans sa permission et sans l’informer, et qui collecte ou transmet des informations sur cet utilisateur ou son comportement. Beaucoup d’applications de logiciels espions collectent les données référantes (c'est-à-dire les données du navigateur web de l’utilisateur, qui révélent l’URL de la page sur laquelle il se trouvait), l’adresse IP (un numéro utilisé par les ordinateurs sur le réseau pour localiser un ordinateur particulier), et les informations système (telles que l’heure de visite, le type de navigateur utilisé, le système d'exploitation, la plate-forme, et la vitesse de l’unité centrale). Les applicatifs des espiogiciels sont parfois empaquetés avec d’autres produits commerciaux, et peuvent être introduits dans l’ordinateur lors de l’installation de produits commerciaux.
Remarque : Le terme "espiogiciel" est souvent utilisé pour parler d'une large catégorie de programmes malveillants non viraux. Cependant, dans le contexte de ce glossaire ainsi que dans la ligne de produits eTrust Pest Patrol, le terme "espiogiciel" sert à représenter une catégorie spécifique d’applications comme défini ici.
Une extension avec métacaractères (globbing) consiste à utiliser des caractères génériques ou des arguments pour augmenter fortement le volume de données demandé. Un exemple sous DOS est Dir *.*. Cette commande est utilisée pour demander tous les noms de fichiers dans le répertoire en cours, quelles que soient leurs extensions. Lorsque l’on soumet ces demandes d’extension avec métacaractères à un serveur web, il est parfois possible de provoquer une attaque de refus de service car le serveur est trop occupé pour accepter les demandes légitimes.
Revenir au début
F
Facteur d'infection "sparse" L'infection de type "sparse" est aussi une méthode de réduction des chances de détection rapide bien qu’elle ne soit pas destinée à contrer le contrôle d’intégrité. L’idée principale est de ne répliquer l’infection que de façon occasionnelle, par exemple toutes les 100 exécutions de programmes. Une autre forme d’infection de type "sparse" peut consister à n’infecter que les fichiers correspondant à certains critères tels qu’une taille divisible par une valeur donnée ou une date de création comportant un jour donné du mois etc.
Lorsque des programmes infectés par des facteurs habituels d’infection de fichiers (tels que Jérusalem au temps jadis et bien d'autres depuis) sont lancés, le code du virus prend d’habitude le contrôle en premier. Il vérifie alors qu’il ne s’est pas déjà copié lui-même en mémoire et accroche (hook) une interruption système ou un gestionnaire d’événements en les associant à la fonction "chargement et exécution" de la plate-forme hôte. Par la suite, quand cette fonction est appelée, la routine d’infection du virus entre en fonction, examine si le programme qui va être exécuté a déjà été infecté, et l’infecte dans le cas contraire.
A l’inverse, un facteur d’infection à diffusion rapide infecte non seulement les programmes au moment de leur exécution mais encore ceux qui ne sont qu’ouverts. Des facteurs d’infection à diffusion rapide encore plus agressifs infectent les cibles appropriées au moment où elles sont accédées par les moyens les plus ordinaires, tels que la lecture des informations de leur répertoire - à la façon d’une liste produite par un "DIR" sous DOS -, ou l’accès à un répertoire par l’explorateur pour afficher son contenu sous Windows. Ainsi, lorsqu’un facteur d’infection à diffusion rapide est actif en mémoire, le lancement d’un analyseur de virus ou d’un vérificateur d’intégrité peuvent provoquer l’infection de tous les fichiers susceptibles d’être les victimes du virus. Des exemples anciens de vastes diffusions de virus provoquées en partie par un facteur d’infection à diffusion rapide ont été les diffusions des virus Dark Avenger et Frodo, et plus récemment du virus CIH (cf. Facteur d'infection à diffusion lente).
Remarquez que, techniquement, la plupart des virus de macros sont des facteurs d'infection à diffusion rapide. Par exemple, les virus de macros Word ont tendance à infecter l'environnement de l'application Word (en ciblant délibérément un ou plusieurs modèles globaux), ce qui les rend toujours présents dans l'environnement Word à la suite d'une première infection. La plupart des virus utilisent aussi certaines formes de macros auto ou système, ou des gestionnaires standard d'événements. Ils sont normalement déclenchés pendant l'ouverture, la fermeture ou tout autre traitement (par exemple, lors de l'enregistrement) lancé par l'utilisateur de fichiers de documents au sein d'un environnement d'application Word. Cependant, à la différence des facteurs d'infection exécutables, de tels virus de macros ne sont pas diffusés par les analyseurs de virus normaux car la recherche et l'ouverture de fichiers occasionnées par les analyseurs se produisent hors de l'environnement de l'application hôte ( c.-à.-d. que ces fonctions de traitement de fichiers relèvent du système d'exploitation utilisé, et non de Word, Excel, etc., par conséquent les macros virales ne sont pas invoquées pendant le traitement des fichiers).
Notez aussi que cette résidence est associée au facteur d'infection à diffusion rapide. Ce terme a été mal choisi, car il a été défini avant que les systèmes d'exploitation multi-threads ou multi-processus ne deviennent les cibles des virus. L'écriture d'un virus sur de tels systèmes permet de le faire fonctionner comme processus séparé de son hôte et de le maintenir chargé aussi longtemps que nécessaire pour trouver et infecter tous les fichiers victimes potentiels, et enfin sortir (ces fonctions ont déjà été réalisées par exemple par Libertine.31672.). Comme ce mécanisme provoque l'infection presque immédiate de tous les hôtes, le terme "Facteur d'infection à diffusion rapide" semble probablement bien décrire ce type de virus malgré que ce soit un facteur d'infection à action directe. Il n'en reste pas moins que le terme "Facteur d'infection à diffusion rapide" a pour but de désigner les virus résidents qui provoquent des infections sur la plupart des accés de fichiers - le développement de ces virus a été réalisé par ajout d'une analyse mémoire aux analyseurs de virus sur demande.
C'est un type de virus qui s’attachent eux-mêmes aux fichiers .COM et .EXE (ou les remplacent; reportez-vous à Virus compagnon) quoiqu’ils infectent dans certains cas des fichiers comportant d’autres extensions telles que .SYS, .DRV, .BIN, .OVL, .CPL, .DLL, .SCR et d’autres encore. Les virus de fichiers les plus courants sont résidents, se chargent en mémoire lors du lancement de la première copie et prennent clandestinement le contrôle de l’ordinateur. Ces virus infectent habituellement les fichiers des autres programmes au moment où ils sont lancés ou même seulement accédés. Mais il existe aussi beaucoup de virus non résidents qui infectent simplement un ou plusieurs fichiers à chaque lancement d’un fichier infecté.
Un virus qui infecte les enregistrements d’amorçage principaux. En réalité, un virus qui n’infecte que les MBR ne serait pas très efficace et ses chances de réplication seraient très limitées en raison de la rareté des ajouts de nouveaux disques durs aux systèmes. Ses chances de diffusion seraient encore plus limitées par le fait qu’il est plus rare de transférer des disques durs d’ordinateur à ordinateur. Les facteurs d’infection de MBR infectent aussi habituellement les autres secteurs d’amorçage (en particulier ceux des disquettes) ou sont multi-cibles et infectent les fichiers de programmes et les MBR (et potentiellement aussi d’autres secteurs d’amorçage). Pour des considérations détaillées sur les problèmes généraux d’infection de secteur d’amorçage, reportez-vous à la rubrique Facteur d’infection du secteur d’amorçage.
Ce terme peu fréquent décrit généralement un virus de masquage de point d'entrée (EPO : Entry Point Obscuring). Certains virus non EPO référencés comme facteurs d'infection intermédiaires en raison des contraintes de conception de certains analyseurs, peuvent nécessiter une gestion spéciale.
La plupart des virus résidents tentent d’acquérir une efficacité maximale en infectant au moins les programmes régulièrement utilisés sur un système. Certains virus vont jusqu’à tenter d'infecter toutes les cibles possibles (reportez-vous à Facteur d'infection rapide). Cependant, l’infection de cibles nombreuses tend à augmenter la probabilité de détection, c’est la raison pour laquelle les virus résidents n’infectent que les fichiers qui sont en cours de modification ou de création. Cette particularité fait échouer les méthodes de contrôle d’intégrité telles que la notification par un vérificateur d’intégrité d’un ajout de nouveau fichier ou d’une modification de fichier existant, de sorte que l’utilisateur ignore la modification signalée en pensant qu’elle est entièrement due à des causes (légitimes) de création ou de modification de fichiers. Un exemple récent est le virus Darth Vader. Une technique adaptée, quoique différente, pour réduire la probabilité de détection est celle utilisée par le facteur d’infection "sparse".
Un facteur d'infection multi-cavités est une extension de la technique d'infection de cavité et est capable de fractionner son code en plusieurs parties et de placer chaque partie dans une "trou" de taille appropriée dans la cible de l'infection. A l'instar de la technique d'infection de cavité standard, cette technique présente l'avantage de ne pas augmenter la taille de la cible et d'offrir la possibilité d'infecter des fichiers qui n'ont pas un "trou" unique suffisamment grand pour placer l'intégralité du code du virus. C'est une technique d'infection très rare qui été rendue fameuse par le premier des virus multi-cavités, CIH (bien que le virus Commander_Bomber ait la réputation d'utiliser cette technique de manière similaire, il a construit ses propres cavités en déplaçant des parties de l'image exécutable d'origine pour qu'ils reçoivent des tranches de son code).
Il s’agit d’une forme spécifique du faux positif, dans laquelle l’erreur est provoquée par des 'éléments survivants' ou des 'restes' de virus incorrectement détectés et signalés en tant qu’infection. Comme le virus n’est pas présent, ou ne l’est plus (au sens où il ne peut pas être activé par l’intermédiaire d’actions normales de l’utilisateur ou du système), ou encore est présent mais inactif, il serait erroné pour un analyseur de signaler une infection (active). (Habituellement seule une partie des virus est présente dans tous les cas).
Par exemple, la consultation d’une disquette sous DOS ou Windows pour obtenir la liste de son répertoire racine, provoque la lecture du secteur d’amorçage système de cette disquette, car un accès correct au restant de la disquette nécessite de connaître les détails du BPB. Imaginez une disquette infectée par un virus d’amorçage puis désinfectée après écriture d’un programme d’amorçage très court qui affiche simplement un message notifiant que la disquette n'est pas une disquette système en état de fonctionnement. Ce petit programme peut facilement laisser intactes quelques centaines d’octets du code du secteur d’amorçage du virus si ce programme de désinfection n’a pas écrasé le reste du secteur d’amorçage. Certains analyseurs peuvent voir cette partie du code du virus et donc signaler la présence du virus. (Voir aussi Espace de remplissage).
Certains analyseurs développés parmi les premiers peuvent provoquer de fausses alarmes chez d’autres analyseurs ou signaler des virus en mémoire après le démarrage d'un autre analyseur. Ce mécanisme a généralement pris la forme d’un fantôme positif provoqué par un analyseur 'en train de voir' les chaînes d’analyse d’un autre analyseur. La solution simple à ce problème a consisté à ne pas stocker les chaînes d’analyse dans du texte brut, et à les chiffrer par différents moyens. A partir de ce moment, l’analyseur a été évidemment obligé de travailler avec ces chaînes chiffrées et de les déchiffrer, même si le fait d’être en mémoire a pu le conduire à ne les détecter que lors d’une exécution suivante de l’analyse.
Table d'allocation de fichiers (FAT).
C'est un des systèmes de fichiers cruciaux employés en standard dans toutes les versions de DOS et de Windows 9x. FAT enregistre dans un fichier les chaînages des clusters disques et le cluster final. Le premier cluster d'un fichier est enregistré dans l'entrée de son répertoire et agit aussi comme décalage dans la table de chaînage FAT, ce qui permet de localiser le reste du fichier.
Les systèmes de fichiers FAT16 se sont limités à des unités logiques comportant au maximum 65.536 clusters. Le gaspillage d'espace de remplissage s’est donc accru lorsque la taille des unités s’est agrandie et qu’il a fallu augmenter la taille des clusters pour que leur nombre reste inférieur ou égal à 65.536. Les systèmes de fichiers FAT32, introduits dans la version OEM Service Release 2 (OSR2) de Windows 95 et pris en charge par Windows 98, ME et Windows 2000, étendent le système de fichiers FAT pour prendre en charge les grandes unités (au delà de 2 téraoctets) et permettre aux unités beaucoup plus grandes de conserver des tailles de clusters relativement efficaces et plus petites, ce qui réduit le gaspillage d’espace de remplissage.
Techniquement, la plupart des partitions de disque dur réputées FAT sont en fait des partitions FAT16, mais le numéro est généralement une supposition. Les disquette au "format DOS" standard utilisent encore le format FAT12 d’origine, toujours utilisé sur les disquettes DOS.
Ces termes dérivent de ceux utilisés pour les statistiques. On dit qu'une erreur de faux positif (ou de type-I) s'est produite lorsqu'un fichier ou un secteur d'amorçage a la réputation d'être infecté par un virus alors qu'en réalité il est effacé. A l'inverse, il y a une erreur de faux négatif (ou de type-II) lorsqu'un fichier ou un secteur d'amorçage infecté est réputé non infecté. Dans le contexte des antivirus, les faux négatifs semblent probablement plus sérieux que les faux positifs, mais tous deux sont indésirables. Les faux positifs peuvent provoquer un arrêt prolongé et une perte de productivité car il faut généralement beaucoup plus de temps pour prouver qu'un programme ne peut pas répliquer dans telles ou telles conditions, que pour découvrir les conditions de réplication d'un programme de virus.
Les faux positifs sont rares avec les analyseurs connus de virus. Cependant, ils peuvent survenir si la chaîne d'analyse est mal choisie pour un virus, par exemple lorsqu'elle est aussi présente dans certains programmes bénins. Les faux négatifs constituent un problème plus fréquent avec les analyseurs de virus parce que les analyseurs de virus connus ont tendance à oublier complètement les virus nouveaux ou lourdement modifiés. Les faux positifs ont représenté historiquement un vrai problème pour les analyseurs dotés de mécanismes lourds de détection heuristique.
Un autre problème sérieux du même ordre se produit lorsqu'un analyseur détecte un virus sans l'identifier correctement. De telles erreurs positives de diagnostic peuvent provoquer des problèmes épouvantables si l'analyseur ou son utilisateur lancent par la suite une routine de désinfection spécifique à un virus, en se basant sur une connaissance détaillée des caractéristiques du "virus détecté". Les procédures de "désinfection générique" ne sont pas non plus complètement à l'abri de tels problèmes.
1. Certaines approches génériques de la détection de virus créent des fichiers de programmes "factices" écrits pour les unités des ordinateurs à surveiller. Ces fichiers sont contrôlés régulièrement pour modification, ou sont créés, vérifiés et ensuite détruits. Ces fichiers sont parfois appelés "fichiers Goat", "fichiers appâts" ou "fichiers leurres" car ils ne sont pas destinés à être exécutés dans un but pratique et agissent uniquement en tant que 'leurres' destinés à intercepter et à détecter la présence d’un virus actif.
2. Le terme "fichier Goat" (ou "chèvre") est utilisé fréquemment pour désigner aussi les fichiers "standard" dans lesquels les chercheurs en antivirus répliquent habituellement les virus. Ces fichiers peuvent faciliter l’analyse de virus parce que les chercheurs savent, lorsqu’il traitent des fichiers infectés, quelles parties de ces fichiers proviennent de "chèvres" d'origine, et peuvent donc en ignorer aisément le code au cours de leur analyse du virus. Différents chercheurs utilisent généralement différents fichiers Goat.
Revenir au début
G
Générateur de clésTout outil conçu pour casser la protection d'une copie de logiciel par extraction des clés stockées en interne, ces clés pouvant ensuite être fournies au programme pour le convaincre que l'utilisateur est un acheteur autorisé.
Un exemple de première génération de virus. Techniquement, ce terme est réservé à des formes du virus un peu "spéciales" et signifie qu'un autre échantillon, similaire à celui dont il est question ne peut pas résulter d'un événement normal d'infection. Les exemples comportent la forme initiale et déchiffrée de virus chiffrés ou polymorphes ainsi que des échantillons de "virus de code uniquement" de virus simples par ajout initial ou de virus par ajout, comme s'ils provenaient de la compilation de leur code source. Les échantillons de germe sont infectieux mais ne résultent pas eux-mêmes d'un incident naturel d'infection.
Revenir au début
H
HeuristiquesLe mot heuristique signifie "basé sur des règles". Normalement, pour qu’un produit antivirus détecte un virus, il faut que le virus ait été préalablement observé, analysé et que sa détection ait été ajoutée aux fichiers de mise à jour de signatures. Les heuristiques sont utilisées pour certaines familles de virus qui changent continuellement d’apparence et dont il est impossible de détecter chaque variante. Ce procédé permet de définir quelques règles pour percevoir si le programme ressemble à un virus et s’il agit comme un virus même si nous n'avons jamais vu ce virus auparavant.
Revenir au début
I
ImpactL'ampleur avec laquelle un attaquant peut accéder à un système et sa gravité pour l’organisation. Par exemple :
1, 2, 3 Collecte d’informations :
Peu ou aucune chance pour un attaquant d’obtenir un accès à un système.
4, 5, 6, 7 Accès utilisateur :
Les attaquants peuvent obtenir un niveau d’accès limité pour l’utilisateur ou le réseau.
8, 9, 10 Accès privilégié ou refus de service :
Les attaquants peuvent obtenir un accès root ou superutilisateur ou nuire gravement aux opérations du système.
1. Il existe deux façons principales d'obtenir des informations techniques ou administratives à propos d'un système informatique. La première consiste à obtenir ces informations à partir des ordinateurs et des systèmes eux-mêmes, la seconde à partir des administrateurs et des utilisateurs d'ordinateurs. Les tentatives clandestines ou non autorisées d'obtention de ce type d'informations sur un système sont connues sous l'appellation piratage ou craquage lorsqu'il s'agit d'obtenir les informations à partir d'ordinateurs, et sous l'appellation ingéniérie sociale lorsque la tentative implique la manipulation ou la "duperie" d'une personne par divulgation d'informations.
2. Par extension, le terme ingéniérie sociale est souvent employé pour décrire les "duperies" utilisées par les envois massifs de virus par courrier électronique dans le but de pousser les destinataires de messages avec pièces jointes infectées à exécuter (ou à "afficher") ces pièces jointes.
Un programme qui installe une application supplémentaire malveillante ou non voulue.
Programme de refus de service qui surcharge les connections en alourdissant le traitement des requêtes ou autres modes de communication.
Revenir au début
J
Java hostileLes navigateurs comportent une "machine virtuelle" qui encapsule les programmes Java et les empèche d'accéder à votre ordinateur local. La théorie sous-jacente est qu'un "applet" Java est considéré comme du contenu (comme les graphismes) et non comme un logiciel d’application complet. Néanmoins, depuis juillet 2000, des bogues se sont produits dans les machines virtuelles Java de tous les navigateurs connus. Ces bogues ont permis à des applets hostiles de "s’échapper" de la "sandbox" (espace mémoire protégé de l’ordinateur virtuel) et d’accéder à d’autres parties du système. La plupart des experts en sécurité naviguent avec Java désactivé sur leurs ordinateurs, ou l'encapsulent dans d'autres machines virtuelles/sandbox.
Revenir au début
K
Kit de construction Certains programmeurs de virus ne se sont pas contentés de développer leur propre virus, ils ont recherché l''opportunité' de devenir des programmeurs de virus à la portée de tous. La solution consiste à créer un "kit de construction" : c'est-à-dire un programme qui peut être exécuté par un non-programmeur dans lequel il suffit de définir quelques paramètres pour produire un virus. De nombreux kits ont été créés au cours des dernières années allant du simple virus d'infection COM et/ou EXE, aux virus polymorphes, de fichier de commandes, macros et script. Les premiers kits les plus connus s'appelaient VCL (Virus Construction Laboratory) et MS-MPC (Phalcon/Skism Mass-Produced Code Generator).
Voir Kit de construction.
Revenir au début
L
Liste des mots de déplombage de mot de passeUne liste de mots qu'un déplombeur de mot de passe peut utiliser pour forcer sa pénétration dans un système.
Un logiciel de téléchargement (downloader) est un programme qui télécharge automatiquement et lance et/ou installe d'autres logiciels sans la permission de l’utilisateur et sans l’informer.
Outre le téléchargement et l’installation d’autres logiciels, il peut télécharger ses propres versions à jour.
Un logiciel de téléchargement peut s’installer lui-même d’une manière lui permettant de vérifier constamment les fichiers mis à jour. Par exemple, il peut ajouter une entrée à la clé de registre suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Un logiciel publicitaire affiche de la publicité dans une fenêtre contextuelle ou en bas de l’écran lorsque l’interface principale de l’utilisateur n’est pas visible, et n’apparaît pas comme associé au produit.
Revenir au début
M
Mail BomberLe Mail Bomber (ou bombardier de courriers électroniques) est un logiciel qui inonde la boîte de réception de la victime avec des centaines, voire des milliers de courriers électroniques. Ces courriers électroniques ne révèlent généralement pas correctement leur source.
Enregistrement d'amorçage principal.
Secteur d'amorçage principal : un synonyme d'enregistrement d'amorçage principal.
La mémoire flash a commencé à intéresser les chercheurs antivirus lorsque la charge utile de CIH a été pleinement mesurée. Du fait que le BIOS de la plupart des PC de classe Pentium ou ultérieure est livré dans une puce de mémoire flash et que la conception de la plupart des cartes mères et systèmes permet de basculer aisément cette mémoire en mode écriture, le BIOS d'un PC ne peut plus être considéré comme "gravé dans de la pierre".
Heureusement, certains BIOS sont protégés en écriture et nécessitent de prendre des dispositions spéciales pour activer l'écriture en mémoire flash (par exemple, en ouvrant le boîtier du PC et en positionnant certains cavaliers et commutateurs). Cependant, les tests de beaucoup de systèmes censés posséder un tel mécanisme révèlent que celui-ci fonctionne rarement. A ce jour, tous les virus qui tentent de mettre à jour (re-flash) le BIOS d'une victime et qui 'réussissent' (c.-à.-d. modifient le contenu du BIOS) finissent par "écraser" le BIOS et à rendre l'ordinateur victime inamorçable. Il est inamorçable parce qu'il est impossible de placer une disquette spéciale de récupération dans le lecteur et d'amorcer puis de lancer dans la puce de la mémoire flash un programme de mise à jour (re-flash) du BIOS à partir d'une copie correcte de ce programme. Il est inamorçable parce que les seuls résultats d'un branchement au secteur sont l'alimentation électrique, la rotation des ventilateurs de refroidissement de l'unité centrale et la rotation des disques durs. Le présence d'un spécialiste de l'équipement est requise pour reprogrammer la puce flash une fois qu'elle est retirée de la carte mère, mais, comme la plupart des conceptions de cartes mères placent directement les puces flash sur leur surface et non sur des connecteurs, cette possibilité s'avère non disponible pour un nombre croissant d'ordinateurs.
Bien que beaucoup d'applications offrent à leurs utilisateurs des mécanismes d'extension de leurs fonctionnalités et/ou de leur aspect par défaut, certaines d'entre elles offrent (en partie) ces possibilités au moyen de fichiers modèles. Utilisés à l'origine comme moyen de fournir sous forme standard un document, tableur, moyen de formatage etc, les fichiers modèles de certaines applications (tels que les fichiers documents sur lesquels elles sont basées) ont été étendus pour gérer tous les modes de personnalisation (tels que les raccourcis clavier et les mises en page personnalisées de menus) et les macros (qui ajoutent des fonctionnalités en automatisant les processus routiniers etc.). Certains produits, tels que Word et Excel, sont allés un peu plus loin en fournissant un ou plusieurs fichiers de modèles et/ou répertoires spécialement nommés et destinés à être chargés automatiquement lors du démarrage de l'application, et en permettant aussi de mettre en oeuvre dans les modèles la fonctionnalité "Module d'extension".
Par exemple, Word pour Windows recherche le fichier "Normal.dot" dans certains répertoires (alors que la version Macintosh recherche un fichier de type modèle Word nommé 'Normal' dans les dossiers correspondants) et le charge dans son environnement sans avertissement. Un modèle normal devrait contenir toutes les macros auto susceptibles de fonctionner lorsqu'un tel modèle est chargé. Lorsque ces macros fonctionnent, toutes les personnalisations de menus et de raccourcis qu'elles contiennent sont appliquées et toutes les macros système ou standard de gestion d'événements présentes dans le modèle deviennent actives et sont lancées lorsque la commande ou l'événement correspondants de Word se produisent. Word et Excel prennent en charge tous deux un répertoire de "démarrage" bien que de façons légèrement différentes. Word ouvre et intègre au sein de son environnement d'exécution tous les fichiers de modèles stockés dans son répertoire de démarrage, de même qu'il intégre le contenu du modèle normal. Excel ouvre et intègre au sein de son environnement d'exécution tout type de fichier standard Excel stocké dans son répertoire de démarrage. Les modules d'extension enregistrés sont aussi chargés lors du démarrage de l'application, et, si ce sont des modèles, ceux-ci sont chargés à partir des emplacements où ils sont enregistrés. Donc, pour Word, le modèle normal, tous les modèles présents dans son dossier de démarrage et tous les modules d'extension chargés comme modèles sont des "modèles globaux" qui mettent toutes les personnalisations et macros à la disposition de l'environnement Word.
L'infection de modèles globaux est donc une affaire attirante pour les virus de macros écrits pour ce type d'environnements applicatifs car elle fournit une forme simple de "résidence". Il en découle une plus grande probabilité d'infection de documents et donc, pour le virus, des chances accrues de se répandre.
Le terme 'modèle global' est aussi utilisé souvent, mais incorrectement, pour désigner un modèle normal de Word. Ce sens provient presque certainement des versions plus récentes du langage de macros Word, dans lesquelles on référence le modèle normal plus souvent comme "global" qu'avec un chemin et un nom complets. Même dans beaucoup de ces versions de Word, cette utilisation a au mieux perdu beaucoup de force en raison de la possibilité (si ce n'est la réalité) d'autres modèles "globaux".
Objet d’exclusion mutuelle. Un objet Mutex (MUTual EXclusion) est un programme qui permet à de multiples threads de partager la même ressource. Tout thread ayant besoin de ressource doit obtenir un verrou mutex à l’égard des autres threads pendant qu’il utilise cette ressource. Le verrou mutex est levé lorsqu’il n'est plus nécessaire ou lorsque le thread est terminé. La différence entre mutex et sémaphore est que le propriétaire d’un mutex est le thread qui l’a verrouillé (de ce fait, seul le processus qui a verrouillé le mutex peut le déverrouiller). Tandis qu'un sémaphore peut être modifié par un autre thread ou processus.
Revenir au début
N
Nature Ce terme, qui peut être aussi "dans-la-nature", désigne un virus repéré pour avoir infecté les systèmes de plusieurs organisations dans le monde. Dans l'idéal, ce terme est réservé aux virus qui sont actuellement (ou qui ont été) dans la moitié "haute" de la WildList. Il distingue le virus de ceux qui n'ont été signalés que par des chercheurs en antivirus, et qui sont parfois nommés "virus de zoo" ou "virus de collection". En dépit de ce qui se raconte dans le public, la plupart des virus ne sont pas "dans la nature" et ne sont pas près de l'être (cf. Sur le terrain, Virus Zoo). CA utilise ce virus comme métrique pour mesurer le degré de diffusion d'une menace de malveillance dans le monde réel. Cette métrique est combinée avec la métrique Omniprésence et Pouvoir destructeur pour déterminer le poids le plus lourd lors du calcul d'évaluation des menaces.
Un programme dont le but est d'ennuyer un utilisateur et/ou d’interférer avec sa productivité.
Un numéroteur est un logiciel qui utilise un modem pour composer un numéro de téléphone.
Revenir au début
O
Objet d’aide du navigateurUn objet d’aide du navigateur (BHO, Browser Helper Object) est un composant qu’Internet Explorer chargera au moment du démarrage. Il partage la mémoire de votre navigateur et peut réaliser n’importe quelle action au sein des fenêtres et modules disponibles. Un BHO peut détecter des événements, créer des fenêtres pour afficher des informations complémentaires sur une page, surveiller les messages et les actions. Microsoft considère ce programme comme un espion envoyé pour s’infiltrer dans le navigateur. Les pare-feu ne peuvent pas arrêter les BHO car ils les considèrent en tant que navigateur. Certains exploits de cette technologie recherchent toutes les pages dans votre navigateur et remplacent les bannières publicitaires par d’autres publicités. Certains surveillent et génèrent un rapport sur vos actions. Certains modifient votre page d’accueil.
Un autre terme pour charge utile.
L'omniprésence se réfère à la possibilité de se répandre d’un virus. En conséquence, un ver ayant la possibilité de s'expédier lui-même vers un grand nombre de victimes est doté d'un indice élevé d’omniprésence, alors qu’un virus de secteur d'amorçage qui se répand via "sneakernet" (c.-à.-d. par le partage manuel de disquettes), est doté d'un indice faible d’omniprésence. Des indices d’omniprésence variables sont souvent attibués à des types spécifiques de programmes malveillants. CA utilise cette métrique pour mesurer le potentiel d'un programme malveillant pour se répandre vers les autres ordinateurs. Cette métrique est dotée du second poids le plus élevé, et est combinée à la métrique Dans la nature et Pouvoir destructeur pour calculer une estimation du danger global.
Quatre niveaux d'omniprésence peuvent être attribués à un virus dans l'encyclopédie :
Aucun
Cet indice est attribué aux chevaux de Troie, canulars et, dans certains cas, aux virus qui peuvent ne pas fonctionner comme prévu (et ne parviennent pas à répliquer). Les chevaux de Troie et les canulars peuvent être envoyés aux victimes potentielles de façon malveillante ou d’une autre façon. Ils n'ont pas la possibilité de s'autopropager et apparaissent généralement dans l’encyclopédie avec un indice d’omniprésence "N/A" (c.-à.-d. cette caractéristique n'est pas appliquable). Tel est le cas de Win32.Butano, W97M/MadCow.A:intended et du canular Good Times.
Remarquez que "N/A" peut aussi être utilisé dans les entrées de l'encyclopédie lorsque l'indice d'omniprésence du virus n'est pas disponible.
Faible
Cet indice est souvent donné aux "virus traditionnels". Ce type de virus englobe la majorité des virus de secteur d’amorçage virus de macro et virus de secteur d’amorçage. Ces virus ont la possibilité de se répliquer et ne nécessitent aucune autre intervention humaine pour se répandre de fichier à fichier dans un ordinateur infecté. Cependant, pour se répandre d'ordinateur à ordinateur, ils se cachent dans les secteurs d’amorçage de disquette et dans les fichiers de bureau tels que les documents et les tableurs partageables par les utilisateurs. La limitation consistant à les expédier manuellement ou à les partager pour infecter les autres ordinateurs, signifie qu'ils seront généralement dotés d'un indice d'omniprésence "faible". Tel est le cas de ces exemples de virus : W97M/Bablas.A, WM/Concept.A et Michelangelo.
Moyen
Cet indice est donné aux virus tels que les logiciels de messagerie (ou de diffusion lente) qui utilisent une ou plusieurs des techniques suivantes de distribution :
- Envoi d'un seul message "infecté" à la fois.
- Envoi de temps en temps de petits lots de messages infectés (par exemple, s'expédier soi-même vers les 10 premières adresses du carnet d'adresses Microsoft Outlook).
- Le virus peut avoir la possibilité de se répandre vers beaucoup d'utilisateurs, mais il utilise un canal très spécifique (tel qu'IRC) qui limite son potentiel de distribution.
- Ne lancer qu'une fois ses mécanismes de distribution (et non, par exemple, à chaque démarrage de l'ordinateur).
- Il a la possibilité de se répandre d'un seul coup vers de grands nombres d’utilisateurs, mais le processus d’infection est si évident, même pour les utilisateurs les plus naïfs dans ce domaine, qu’il est rarement lancé sans être interrompu.
Notre encyclopédie mentionne les exemples suivants : Win32.Funso, Win32.SQL et Win32.Annoying.
Elevé
Cet indice est attribué aux virus qui peuvent se distribuer eux-mêmes à grande v