Virus polymorphique

Virus polymorphique

Virus polymorphe

Crystal Clear app virus detected.png
Cet article fait partie de la série
Programmes malveillants
Virus
Cabir - MyDoom.A
Tchernobyl - Yamanner
Ver
Bagle - Blaster
Code Red - I love you
Melissa - Morris
NetSky - Nimda
SQL Slammer - Santy
Sasser - Sobig
Cheval de Troie
Back Orifice - SubSeven
ByteVerify - XXXDial
Logiciel espion
CoolWebSearch - Cydoor
Gator - New.net
SaveNow
Composeur d’attaque
ToneLoc
Voir aussi
Logiciel malveillant
Sécurité informatique
Programmation

Un virus polymorphe est un virus informatique qui, lors de sa réplication, modifie sa représentation, ce qui empêche un logiciel antivirus de l'identifier par sa signature. Bien qu'en apparence le virus change (du point de vue d'un programme antivirus qui le lit le programme infecté), le fonctionnement du virus (sa méthode d'infection et sa charge utile) reste le même : les algorithmes ne sont pas modifiés, mais leur traduction en code-machine l'est.

Sommaire

Fonctionnement

La plupart des logiciels antivirus tentent d'identifier les virus en recherchant une séquence binaire spécifique au virus, sa signature. Le polymorphisme de certains virus empêche la définition de telles signatures, car il n'existe plus de séquence invariable suffisamment longue pour être spécifique au virus, c'est-à-dire pour ne pas risquer de se retrouver dans d'autres programmes non malveillants et de causer des fausses alertes.

Il existe différents moyens de modifier le code d'un virus sans modifier sa fonction.

Chiffrement

Le code est tout simplement traité comme une donnée et chiffré différemment à chaque génération du virus; encore faut-il, pour que le virus soit fonctionnel, qu'un code de démarrage soit présent en clair dans un programme infecté par le virus pour exécuter la fonction de déchiffrement, rendre exécutable le code déchiffré (invalider le cache d'instructions, régler les droits d'exécution de la zone mémoire), et enfin appeler du code déchiffré.

Bien évidemment, le code de déchiffrement, qui ne peut pas lui même être chiffré, peut servir à établir une signature, de même que le code de lancement de la partie déchiffrée, ce d'autant plus que l'ensemble constitue un programme auto-modifiant, ce qui est particulièrement rare de nos jours sur les ordinateurs personnels (les seuls qui soient concernés par les virus), et donc a peu de risques d'être présent dans un logiciel normal (non-malveillant).

Métamorphisme

Pour pallier le problème de la fonction de décodage et de démarrage constante, les virus métamorphes utilisent une autre technique pour cacher leur code de chargement : ils réécrivent leur code-machine différemment à chaque génération soit en insérant des instructions inutiles (rembourrage), soit en utilisant différentes instructions ayant le même effet, soit en modifiant plus ou moins profondément leur structure interne par une séquence décompilation/re-compilation.

Historique

Le premier virus polymorphe connu, appelé 1260, a été écrit en 1990 par Mark Washburn.

  • Portail de la sécurité informatique Portail de la sécurité informatique
  • Portail de la cryptologie Portail de la cryptologie
Ce document provient de « Virus polymorphe ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Virus polymorphique de Wikipédia en français (auteurs)

Игры ⚽ Поможем написать курсовую

Regardez d'autres dictionnaires:

  • Virus (informatique) — Virus informatique  Pour l’article homonyme, voir Le Virus informatique.  Cet article fait partie de la série Programmes malveillants …   Wikipédia en Français

  • Virus informatique —  Pour l’article homonyme, voir Le Virus informatique pour le magazine.   Ne doit pas être confondu avec logiciel malveillant ni ver informatique. Un virus informatique est un logiciel malveillant conçu pour se propager à d autres… …   Wikipédia en Français

  • Alerte au virus — Virus informatique  Pour l’article homonyme, voir Le Virus informatique.  Cet article fait partie de la série Programmes malveillants …   Wikipédia en Français

  • Virus d'Epstein-Barr — Pour les articles homonymes, voir Epstein. Virus d Epstein Barr …   Wikipédia en Français

  • Virologie informatique — Virus informatique  Pour l’article homonyme, voir Le Virus informatique.  Cet article fait partie de la série Programmes malveillants …   Wikipédia en Français

  • Frederick Twort — Photographie de Frederick Twort Naissance 1877 Camberley à Surrey (Angleterre) Décès 1950 (Angleterre) Nationalité …   Wikipédia en Français

  • Felix d'Herelle — Félix d Hérelle Félix d’Hérelle (1873 1949) est né à Paris, rue de Berri (8e arrondissement) sous le nom Félix Hubert Haerens . Devenu un spécialiste de microbiologie et des bactériophages, il inventa la phagothérapie. Biographie Il fit ses… …   Wikipédia en Français

  • Félix d'Herelle — Félix d Hérelle Félix d’Hérelle (1873 1949) est né à Paris, rue de Berri (8e arrondissement) sous le nom Félix Hubert Haerens . Devenu un spécialiste de microbiologie et des bactériophages, il inventa la phagothérapie. Biographie Il fit ses… …   Wikipédia en Français

  • Félix d'Hérelle — Félix d’Hérelle (1873 1949) est né le 25 avril 1873 à Paris, 47 rue de Berri (8e arrondissement) sous le nom Félix Hubert Haerens [réf. nécessaire]. Devenu un spécialiste de microbiologie et des bactériophages, il inventa la phagothérapie.… …   Wikipédia en Français

  • Félix d'Hérelle (1873-1949) — Félix d Hérelle Félix d’Hérelle (1873 1949) est né à Paris, rue de Berri (8e arrondissement) sous le nom Félix Hubert Haerens . Devenu un spécialiste de microbiologie et des bactériophages, il inventa la phagothérapie. Biographie Il fit ses… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”