Barracuda full logo

Malware 101 : les virus et leur méthode de propagation

Thèmes:
29 juin 2023
|
Jonathan Tanner

Alors que les vers utilisent les réseaux pour se propager sur plusieurs appareils, les virus se propagent plutôt vers d'autres zones du même appareil, en copiant simplement le même code pour infecter les fichiers de l'appareil, de la même manière que les virus biologiques se dupliquent dans un corps hôte et s'attachent à ses cellules.

Les virus peuvent toujours se propager à d'autres appareils en infectant des supports amovibles mais, contrairement aux vers, ce processus n'est pas entièrement automatisé, car il dépend de l'utilisateur qui introduit le support dans d'autres appareils. Tout comme les vers, les virus ont d'abord été des expériences plutôt que des logiciels intentionnellement nuisibles.

Brève histoire des virus

Le premier virus était Elk Cloner, un virus de secteur d'amorçage écrit en 1982 et qui se voulait être une farce. Lorsqu'un disque infecté était chargé en mémoire, il se copiait sur tous les autres disques insérés. Le virus visait principalement les jeux Apple II et, au 50ᵉ démarrage du jeu, il affichait simplement un poème au lieu de démarrer le jeu. Il signalait également les disques déjà infectés afin d'empêcher la réécriture du secteur d'amorçage.

Ciblant à nouveau le secteur d'amorçage des disquettes, Brain est un virus écrit en 1986 qui a été le premier à cibler les PC IBM. Brain affichait également un message à l'intention de l'utilisateur, mais plutôt qu'une farce, la motivation derrière Brain était de lutter contre le piratage du logiciel médical développé par les auteurs du virus. Le message contenait même les coordonnées des auteurs et des instructions pour les contacter en vue d'une « vaccination ».

Ce motif a de nouveau été utilisé par Sony BMG lorsque deux virus/rootkits ont été introduits sur 22 millions de CD en 2005 dans le but d'empêcher la copie du CD. Cette affaire a fait scandale, non seulement en raison des pratiques douteuses et de l'introduction de rootkits dans les systèmes des clients, un type de malware notoirement difficile à détecter et à supprimer, mais aussi parce que les deux malwares ont créé des vulnérabilités au sein du système de l'utilisateur, qui ont été exploitées par d'autres malwares. En outre, l'un des malwares renvoyait les habitudes d'écoute privées des utilisateurs, qu'ils aient ou non accepté ce comportement en vertu d'un contrat de licence d'utilisateur final (EULA).

Quand les virus agissent comme des bombes à retardement

Les virus peuvent également maintenir un certain degré de furtivité, peut-être même davantage que les vers. Le virus Michelangelo, créé en 1986, a été le premier à utiliser une stratégie de furtivité commune aux virus, qui consiste à rester en sommeil jusqu'à ce qu'une condition spécifique soit remplie. Dans ce cas, l'anniversaire de l'artiste de la Renaissance dont il porte le nom.

Le 6 mars, si un ordinateur infecté par Michelangelo était en cours d'exécution, il remplaçait les 100 premiers secteurs du disque dur par des zéros, ce qui le rendait illisible sans recours à des techniques de récupération des données. Cependant, contrairement à la plupart des wipers, la majorité des données des utilisateurs étaient préservées et sont simplement restées inaccessibles avec des moyens conventionnels. La technique consistant à n'exécuter une charge utile malveillante que dans des conditions spécifiques est appelée « bombe à retardement ». Michelangelo était également un virus du secteur d'amorçage, car il infectait le secteur d'amorçage des disquettes et le master boot record des disques durs.

Comment les virus échappent-ils la détection

Les virus moins sophistiqués sont loin d'être furtifs et, en réalité, une réduction notable des performances de l'ordinateur est l'un des signes avant-coureurs de la présence d'un virus. Dans la mesure où les virus cherchent à infecter d'autres fichiers, ce processus effectué arbitrairement peut avoir un impact significatif sur les performances de l'ordinateur et révéler quels fichiers ont été infectés lorsqu'un logiciel inattendu s'exécute soudainement au sein du système.

Par conséquent, les virus plus furtifs chercheront à infecter les logiciels qui sont censés fonctionner en permanence, en particulier les processus qui s'exécutent dans le cadre du système d'exploitation, ou les secteurs d'amorçage des disques, comme mentionné dans les exemples précédents. Les secteurs d'amorçage sont moins accessibles aux utilisateurs, et chaque disque en possède un. Ils sont toutefois limités au temps de démarrage nécessaire à l'exécution du virus, ce qui explique pourquoi certains virus ciblent (ou ciblent aussi) des processus système en cours d'exécution depuis longtemps.

Les secteurs d'amorçage constituent le meilleur moyen pour les virus d'infecter d'autres systèmes, ce qui est un avantage certain des vers par rapport aux virus du point de vue des pirates. À l'instar des vers, le terme « virus » décrit simplement une méthode de propagation, une méthode permettant aux malwares de se répliquer automatiquement. Les charges utiles attachées à ces méthodes de propagation peuvent varier et relever d'autres formes de malwares (comme dans l'exemple du rootkit de Sony BMG évoqué plus haut).

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.