• Se répandre d'un fichier à un autre à votre insu. Cette phase est appelée "auto-duplication et propagation".
• Activer les symptômes ou les dommages prévus par le concepteur du virus : effacement des disques, corruption des programmes ou perturbation de votre ordinateur. Cette phase est appelée "activation".
Un virus bénin est un virus conçu pour ne rien endommager sur votre ordinateur. Il peut par exemple, rester caché jusqu'à une date ou une heure spécifique, puis ne rien faire d'autre qu'afficher un message à l'écran.
Un virus destructif est un virus qui endommage les données stockées sur votre ordinateur, parfois de façon non intentionnelle. Un grand nombre de virus, en effet, causent des dommages en raison des bogues qu'ils contiennent. Un virus destructif peut ainsi modifier vos programmes pour qu'ils ne fonctionnent plus comme ils le devraient. Le programme infecté peut alors s'arrêter de façon anormale ou placer des informations erronées dans vos documents. Certains cas de figure, plus graves, voient le virus modifier les informations système sur vos disques, empêchant la partition d'être reconnue par le système d'exploitation ou gênant le chargement de vos applications. Parfois, celles-ci se chargent mais sont incapables de reconnaître les documents que vous ouvrez.
Certains virus identifiés sont de type bénin ; un grand pourcentage, cependant, sont destructifs et certains vont
jusqu'à initialiser les disques ou effacer des fichiers.

Il n'est pas exagéré de penser que les virus peuvent interrompre le libre échange des informations permis par les ordinateurs personnels depuis une dizaine d'années. En fait, les virus ont généré un besoin pour une informatique sécurisée que seuls les utilisateurs inconscients peuvent ignorer. Si l'on regarde en face les dangers encourus, il semble incompréhensible que certains membres de l'industrie informatique considèrent comme exagérés les impressionnants taux de découverte de nouveaux virus.
A Los Angeles, le NCCCD (National Center for Computer Crime Data) estime que les sociétés américaines
perdent environ 550 millions de dollars par an en raison d'accès non autorisés à leurs ordinateurs. Le temps perdu,
lui, est inestimable. Pour faire face à ce fléau, le gouvernement américain a participé à la création d'une force d'intervention
spécialisée, la CERT (Computer Emergency Response Team). Sa tâche consiste à étudier les risques encourus
par les principaux réseaux informatiques du pays. La SPA (Software Publishers Association) a également adopté
certaines mesures pour traiter ce problème. Depuis l'année dernière, de nombreuses sociétés ont mis en place des procédures strictes pour régenter l'utilisation de leurs ordinateurs et se protéger contre les virus (tests restreints des nouveaux logiciels avant leur déploiement à l'échelle de l'entreprise, restriction des téléchargements, etc.). Statistiquement parlant, toute
personne utilisant un ordinateur peut être victime d'une attaque virale.
Pouvez-vous imaginer les conséquences si une navette spatiale exécutait un ordre émis par un programme infecté
par un virus, ou si un contrôleur aérien recevait des informations erronées, ou si toute la gestion commerciale de
votre société était subrepticement modifiée ou effacée ? Cela n'est pas forcément un mauvais rêve... Les virus informatiques s'attaquent à tous types d'ordinateurs : grands réseaux d'entreprises, ordinateurs personnels de journaux, d'écoles, d'universités, de petites et moyennes entreprises, etc.

Un virus informatique est un programme dont le but est de se dupliquer et de se répandre de façon autonome, de préférence à votre insu. Les virus se répandent en "s'accrochant" à un autre programme (votre tableur ou votre traitement de texte, par exemple) ou au secteur d'amorce d'une disquette. Lorsqu'un programme infecté est exécuté, ou lorsque l'ordinateur démarre à partir d'une disquette infectée, le virus s'exécute. Souvent, il reste caché en mémoire vive, attendant un autre programme ou un autre disque à infecter. De nombreux virus effectuent une action spécifique (affichage d'un message à une date précise ou suppression de fichiers après un certain nombre de lancements d'un programme infecté, etc.). La majorité des virus est cependant non destructrice et se contente d'afficher un message ou une image. D'autres sont gênants, choisissant de ralentir votre ordinateur ou de modifier légèrement son affichage. Une minorité est réellement destructrice et bloque votre système, efface des fichiers ou formate des volumes.
Virus infectant les fichiers
Ces virus s'attachent aux (ou remplacent les) fichiers .COM et .EXE, parfois ceux ayant l'extension .SYS, .DRV, .BIN, .OVL ou .OVY. Avec ce type de virus, les programmes sont généralement infectés lorsqu'ils sont lancés alors que le virus est présent en mémoire vive. Dans d'autres cas, ils le sont lorsque les virus sont ouverts (par la commande DIR du DOS, par exemple). Parfois encore, le virus infecte tous les fichiers situés dans le dossier où se trouve le virus (propagation directe).
Virus infectant le secteur d'amorce
Tout disque logique, disque dur comme disquette, contient un secteur d'amorce. Ceci vaut également pour les disques non système. Le secteur d'amorce contient des informations sur le format du disque et sur les données stockées, et un petit programme appelé "programme d'amorçage" qui charge les fichiers système DOS. C'est le programme d'amorçage qui affiche le message "Disque non système..." si le disque dans le lecteur ne contient pas de fichiers système. C'est ce programme qui est attaqué par les virus. Un virus de secteur d'amorce arrive sur votre ordinateur lorsque vous démarrez depuis une disquette infectée. Lorsque le programme d'amorçage infecté est exécuté, le virus passe en mémoire vive et infecte votre disque dur. Notez bien que, étant donné que TOUS les disques comprennent un secteur d'amorce, et non seulement les disques système, il est possible (et fréquent) d'infecter une machine à partir d'une disquette de données.
Virus infectant le secteur d'amorce principal
Le premier secteur physique d'un disque dur (face Ø, piste Ø, secteur 1) contient l'enregistrement principal d'amorce (ou Master Boot Record) et la table des partitions. L'enregistrement principal d'amorce comporte un petit programme, le programme principal d'amorçage (ou Master Boot Program) qui recherche dans la table des partitions l'emplacement du début de la partition amorçable et demande au système d'exécuter le code qui s'y trouve. Si votre disque est configuré de façon adéquate, le système trouve à cet endroit (face 1, piste Ø, secteur 1) un secteur d'amorce valide. Sur une disquette, ces mêmes virus infectent les secteurs d'amorce. Un virus de secteur d'amorce principal s'attrape de la même façon qu'un virus de secteur d'amorce : en démarrant depuis une disquette infectée. Lorsque le programme du secteur d'amorce est exécuté, le virus passe en mémoire vive et infecte l'enregistrement principal d'amorce de votre disque dur. Notez bien, là
encore, qu'il est possible (et fréquent) d'infecter une machine à partir d'une disquette de données.
Virus composites
Les virus composites sont des virus regroupant toutes les caractéristiques énoncées ci-dessus. Ils infectent à la fois les fichiers, les enregistrement principaux d'amorce et les secteurs d'amorce. Ces types de virus sont encore rares, mais leur nombre croît de façon exponentielle.

Les virus se répandent lorsque vous lancez une application infectée ou démarrez votre ordinateur depuis une disquette comportant des fichiers système infectés. Ainsi, par exemple, si un programme de traitement de texte contient un virus, le virus s'active lorsque vous lancez ce programme. Lorsque le virus est en mémoire vive, il infecte généralement toutes les applications que vous exécutez, y compris les applications réseau (si vous avez accès en écriture à des dossiers ou des volumes en réseau). Tous les virus ne se comportent pas de la même façon. Certains restent activés dans la mémoire jusqu'à ce que vous éteigniez votre ordinateur, d'autres n'y restent que tant que les applications infectées sont actives. Le fait d'éteindre votre ordinateur ou de quitter l'application infectée supprime le virus de la mémoire, mais ne le supprime pas du fichier ou du disque infecté : si le virus réside dans un fichier système, il se réactivera lorsque vous rallumerez votre ordinateur depuis le disque en question. Si le virus s'est greffé sur une application, il se réactivera au prochain lancement de cette application.

Source : Symantec (http://www.symantec.fr)

• Dr Solomon
http://www.drsolomon.com
• Thunderbyte
http://www.thunderbyte.com
• Symantec
http://www.symantec.com/avcenter/index.html
• Datawatch
http://www.datawatch.com
• Datafellows (F-Prot)
http://www.datafellows.com
• McAfee
http://www.mcafee.com

A SUIVRE.....