Virus polymorphique
Un article de Wikipédia, l'encyclopédie libre.
 |
| Cet article fait partie de la série Programmes malveillants |
| Virus |
| Cabir - MyDoom.A Tchernobyl - Yamanner |
| Ver |
| Bagle - Blaster Code Red - I love you Melissa - Morris NetSky - Nimda SQL Slammer - Santy Sasser - Sobig |
| Cheval de Troie |
| Back Orifice - SubSeven ByteVerify - XXXDial |
| Logiciel espion |
| CoolWebSearch - Cydoor Gator - New.net SaveNow |
| Composeur d’attaque |
| ToneLoc |
| Voir aussi |
| Logiciel malveillant Sécurité informatique Programmation |
Un virus polymorphique est un virus informatique qui utilise en plus d'une méthode de chiffrement une méthode permettant de changer la forme du module de déchiffrement pour ne pas être détecté.
[modifier] Fonctionnement
La plupart des logiciels antivirus et des systèmes de détection d´intrusion tentent de localiser les virus entrants dans un système en recherchant une chaîne de caractères spécifiques au virus (signature). Les capacités polymorphiques des certains virus rendent ce type de recherche inopérant.
Un virus polymorphique est chiffré avec un bloc de code, un module, chargé de déchiffrer le reste du programme malveillant. La technique consiste à insérer dans le module de déchiffrement des instructions aléatoires qui ne modifient pas le sens des instructions de chiffrement. Ces fausses instructions destinées a piéger les logiciels antivirus sont appelées junk code. Cela peut consister à l'ajout ou la suppression d'instructions ne modifiant pas l'algorithme; en langage assembleur cela se traduirait par l'utilisation de l'instruction nop, ou une modification minime des boucles de calculs.
[modifier] Historique
Le premier virus polymorphique connu, appelé 1260, a été écrit en 1990 par Mark Washburn.
|
|
