Malgré une protection antivirale imposante, on est jamais à l'abri d'un virus récent ou non recensé. Le mieux est de continuer à rester attentif aux symptômes qui suivent. Ces symptômes ne sont pas forcément dus à un virus mais si ils sont fréquents ou que plusieurs d'entre eux se retrouvent un examen approfondi sera nécessaire et je vous conseille de vous reporter au chapitre suivants sur les virus: prévention et détection avec programmes Windows9x
 

1. La protection antivirus du BIOS vous informe d'un accès à la zone d'amorçage du disque dur.
2. Lorsque vous lancez votre ordinateur, un message vous indique qu'il ne peut pas démarrer à partir du disque dur.
3. Windows refuse de charger les pilotes de disque dur 32 bits.
4. Au lancement de Windows, un message vous informe qu'un programme TSR force le démarrage en mode compatible MS-DOS.
5. ScanDisk détecte des fichiers à liaison croisées ou d'autre problèmes.
6. ScanDisk indique des secteurs défectueux sur les disques durs ou les disquettes.
7. La taille des fichiers éxécutables augmente subitement.
8. La date de création ou de modification des fichiers comporte des valeurs erronées.
9. Vous constatez que l'ordinateur se bloque fréquemment alors que vous n'avez ajouté aucun nouveau composant logiciel ou matériel.
10. L'ordinateur se bloque et indique une erreur de parité.
11. L'ordinateur semble être plus lent sans raisons apparentes.
12. Le clavier et la souris  ne fonctionnent plus de manière fiable, même après un nettoyage.
13. Des fichiers ou des dossiers disparaissent de votre ordinateur de façon inexpliquée.
14. Dans vos documents des mots disparaissent ou s'ajoutent subitement.

Les virus de secteur d'amorçage: ces virus s'installent dans la zone de démarrage des disquettes et des disques durs d'amorçage. Il y a quelques années à peine, ils étaient de loin la variété la plus répandue. A l'époque, ils se propageaient rapidement rapidement parce que les utilisateurs échangeaient souvent leurs données via des disquettes. la taille des applications et de leurs fichiers ayant considérablement augmentée, les supports tels que les CD-ROM se sont imposés. Entre-temps, d'autres vecteurs de contamination comme Internet se sont développés. Par la même occasion, les virus de secteur d'amorçage ont cédé du terrain. Cependant, tout danger est loin d'être exclu. Les virus de ce type utilisent quasi exclusivement la disquette comme vecteur de propagation : il suffit d'insérer une disquette amorçable dans le lecteur d'un PC infecté pour la contaminer; elle transmet ensuite le virus à chaque ordinateur l'utilisant pour s'amorcer. Lorsque vous oubliez un tel support dans un lecteur, l'ordinateur s'amorce au démarrage suivant à partir de celui-ci auu lieu de privilégier le disque dur. Le virus se propage alors immédiatement sur le disque. Ils sont incapables de se propager sur des réseaux. Les virus de secteur d'amorçage sont des parasites résidents, c'est à dire qu'ils s'installent en mémoire vive lors du démarrage et guettent une occasion de se propager.

Les virus de secteur de partition: les virus de secteur de partition sont un développement des virus de secteur d'amorçage. Ils contournent un obstacle auquel ces derniers doivent faire face: la structure du secteur d'amorçage dépend du système d'exploitation. Il existe des différences entre les diverses versions de DOS et Windows. Un virus de secteur d'amorçage qui veut se propager largement doit distinguer les structures et s'y adapter. Le code résultant est important alors que la taille du secteur d'amorçage n'offre qu'une place limitée. Les virus de secteur de partition n'ont pas à traiter le problème puisque la structure du secteur dans lequel ils s'installent ne dépend pas du système d'exploitation. L'infection se propage quasi exclusivement via les disquettes. Les remarques faites à ce propos des virus de secteur d'amorçage valent donc ici aussi: une disquette oubliée dans le lecteur est souvent la cause de l'infection. Les virus de secteur de partition comme ceux d'amorçage sont des parasites résidents, c'est à dire qu'ils s'installent en mémoire vive lors du démarrage et guettent une occasion de se propager.

Les virus de fichier: ces virus s'attaquent aux fichiers éxécutables .com et .exe, et parfois, mais rarement, aux fichiers .dll et .ovl. Un virus de programme s'attache à un fichier programme (l'hôte) et emploie différentes techniques pour infecter les autres fichiers programmes. Il existe trois techniques de base pour infecter un fichier exécutable : le remplacement, l'ajout au début et l'ajout.

• Un virus basé sur le remplacement se place au début du programme, directement au début du code du programme original, le programme est donc endommagé. Lorsque vous tentez de le lancer, rien ne se passe, cependant le virus infecte un autre fichier. De tels virus sont facilement repérés par les utilisateurs et par le personnel de support technique ; ils ne se répandent donc que très peu. Il y a très peu de risques pour qu'un virus de ce type se trouve dans votre machine.
• Un virus basé sur l'ajout au début place la totalité de son code au tout début du programme original. Lorsque vous lancez un programme infecté par ce type de virus, ce code se lance en premier et le programme original se lance mais la taille du fichier infecté aura évidemment augmenté.
• Un virus basé sur l'ajout place un " renvoi " au début du code du programme, place le début du code programme à la fin du fichier et se place entre ce qui était la fin du fichier et le début du fichier. Lorsque vous tentez de lancer ce programme, le " renvoi " appelle le virus qui se lance. Il replace le début original du fichier à sa position normale et vous permet de lancer le programme. Une augmentation de la taille du fichier est cependant notable.

Les virus de dossier: les virus de dossier sont heureusement très rares. Heureusement car ils sont difficiles à éliminer. Ils exploitent le mode de gestion des supports. Ils utilisent un dossier qui reçoit l'adresse physique de la première unité d'allocation de la totalité des fichiers du support. Lorsque l'utilisateur accède à un fichier, l'ordinateur cherche l'adresse correspondante dans ce dossier. Les virus de dossier la remplacent par leur propre adresse et tiennentà jour leur répertoire. Lorsqu'un fichier manipulé de la sorte est appelé, le virus commence par s'activer. Il utilise ensuite sa liste pour appeler le fichier sollicité et masquer ainsi sa présence.

Les compagnons: les compagnons constituent une famille de virus informatiques sans grande importance. Ils étaient répandus du temps de MS-DOS. Comme Windows n'est pas un terrain favorables, ils se sont raréfiés. Le fonctionnement des compagnons repose sur une particularité du système d'exploitation DOS: lorsqu'on appelle un fichier éxécutable, il n'est pas nécessaire d'en préciser l'extension (.exe, .com, .bat). Le nom du fichier suffit. DOS cherche d'abord parmi les fichiers .com, puis .exe et enfin .bat. le virus exploite cette caractéristique en créant un fichier .com du nom du fichier .exe, et en y intégrant son code. Les programmeurs de ces virus souhaitent infecter autant de fichiers que possible de façon que leurs compagnons s'activent rapidement.

Action Directe: les virus présentés jusqu'à maintenant ont en commun de fonctionner en tant que résidents: lorsqu'ils sont activés (par un accès à un support ou par l'appel d'un programme infecté), ils s'installent en mémoire vive. Ils sont donc actifs jusqu'à l'arrêt du PC et infectent auntant de programmes et de supports que possible. Heureseument, leur activité se remarque rapidement. Il suffit d'examiner le contenu de la mémoire vive (Cf chapitre suivant) pour noter la présence de logiciels suspects. Les virus de type Action Directe sont d'une autre engeance: ils tentent d'infecter le maximum de fichiers en un laps de temps assez bref de sorte qu'ils passent inaperçus, puis interrompent leur action sans laisser de trace en mémoire vive. Les parasites de types Action Directe sont des virus de fichier, c'est-à-dire qu'ils sont liés à des éxécutables. Les modes d'infection sont les disquettes et les CD-ROMs, le courrier électronique, les transferts de fichiers et les téléchargements à partir d'Internet. La copie du fichier sur votre disque dur n'active évidemment pas le virus. Ils n'entrent en action qu'à l'éxécution du programme.

Les virus Furtifs ou les virus Stealth: le mot anglais "stealth" signifie "furtif". Les virus furtifs ne constituent pas une catégorie précise de parasites. On les dit furtifs car ils sont en mesure de déjouer la surveillance des logiciels antivirus. Tout type de virus peut être furtif. la technique de camouflage est toutefois réservée aux virus résidents et ne concerne donc pas les virus Action Directe, par exemple. Les virus furtifs s'intègrent dans les fonctions du système d'exploitation utilisées pour la surveillance des virus. Ils peuvent ainsi détecter immédiatement l'activité d'un antivirus et réagire en conséquence. Ils lui fournissent, par exemple, de fausses informations ou se retirent à temps de la zone éxaminée pour ne pas être découverts.
Exemple: tandis qu'un virus de secteur d'amorçage surveille les accès systèmes aux fonctions dédiés à la protection, une application tente de faire appel à elles. Il prend alors le relais et fournit une copie de la zone d'amorçage d'origine. Le logiciel de protection lit cette copie, la déclare correcte et sans virus.

Virus multiparties: ces virus infectent les fichiers exécutables et les secteurs d'amorçage. Ils peuvent se propager sur les réseaux.

Les virus polymorphes: le codage est une autre protection adoptée par différents types de virus. Un parasite se caractérise par son code binaire, par une suite d'octets qui lui est propre et qu'aucn autre programme ne possède. Cette suite d'octets appelée signature, permet à un antivirus de débusquer le virus: le détecteur cherche des signatures dans tous les programmes du disque dur; lorsqu'il en trouve une dans un fichier, il en déduit que le virus correspondant a déjà frappé. Les virus polymorphes tentent d'échapper au piège en modifiant leur propre code à chaque nouvelle infection, plus précisément en changeant la suite d'octets, de sorte que le logiciel antivirus ne peut pas les reconnaitre. Les antivirus se sont adaptés: ils sont souvent en mesure de détecter les virus polymorphes. Il est particulièrement important d'employer un programme antivirus récent.

Les virus Tunnel et les rétrovirus: certains virus ne se contentent pas d'adopter une attitude passive face aux antivirus: comme les autres virus, ils mettent en œuvre des techniques de camouflage ou de codage, mais en plus, ils agissent contre les détecteurs ou tentent de détourner leur surveillance.
Certains programmeurs de virus ont examiné avec attention le fonctionnement des logociels antivirus et ont développé en réponse les virus Tunnel. Ces parasites tentent de neutraliser tout particulièrement les détecteurs de virus résidents en détournant leur surveillance. Ils cherchent d'autres fonctions et moyens pour éviter de se mettre en travers de leurs surveillants. Leur temps d'activité est limité car les antivirus s'adaptent en permanence à leurs astuces et présentent de moins en moins de failles.
Les rétrovirus sont un peu plus agressifs. Leurs programmeurs ont également examiné en détail les logiciels antivirus. Les virus qu'ils ont mis au point détruisent ou endommagent les fichiers importants des antivirus. Les programmes de surveillance résidant en mémoire sont "abattus". Des modifications réalisées dans les fichiers de configuration les empêchent de démarrer lors d'un lancement ultérieur. Les rétrovirus sont redoutables d'efficacité. De nombreux antivirus sont insuffisamment protégés.

Les macrovirus: les virus de macro (ou macrovirus) sont un nouveau type de virus apparu il y a environ cinq ans. Contrairement aux autres nuisibles, ils ne sont pas constitués d'un code binaire, mais d'instructions d'un macro-langage tel VBA de Microsoft office ou de scripts Lotus Smart Suite. Ces langages sont destinés à des personnes ayant des connaissances restreintes en informatique, d'où le déluge de macrovirus. Comme le mode d'infection est différent, les utilisateurs n'ont pas pris immédiatement la mesure du danger. Les virus en ont profité pour se développer à une vitesse impressionante. Heureusement, les éditeurs de logiciels antivirus se sont occupés de la question. Toutefois, les macrovirus réprésentent encore un réel danger.
 

• Depuis l'introduction du premier virus de macro, en août 1995, cette catégorie est celle qui s'est le plus développée. Il y a un peu plus d'un an, le nombre de virus de macro connus était égal à 100. En août 1998, on avait identifié environ 3400 virus de ce type, et le nombre augmente de façon vertigineuse. Les sociétés et les particuliers doivent se protéger par de fréquentes mises à jour de leurs outils de contrôle de virus, ce qui implique que l'industrie des programmes anti-virus met à jour ses bases et ses fichiers en permanence. Un fichier de définition contient des signatures de virus (l'empreinte des virus connus) ; il est employé par le moteur de recherche pour détecter et supprimer les virus. Tout scanneur de virus n'est efficace qu'avec des fichiers de signatures de virus récent. De ce fait, la récupération fréquente de ces mises à jour est primordiale pour assurer la sécurité de votre environnement informatique...
• Les différences entre les virus de macros et les virus plus traditionnels reposent dans les hôtes (fichiers de données) et les méthodes de duplication (emploi du langage de programmation des macros propre aux applications). Ces différences sont une nouvelle menace pour la sécurité des données. Ajoutez l'utilisation croissante d'OLE (Object Linking and Embedding) ainsi que l'emploi des réseaux, des messageries et d'Internet comme supports d'échange, et le sinistre tableau est brossé !
• Les virus de fichiers traditionnels n'essaient pas d'infecter les fichiers de données, ces derniers n'étant pas l'idéal pour la propagation. En fait, on ne " lance " pas un fichier de données, mais on le " lit " ou on le " modifie ". Cependant, ces dernières années, les sociétés ont construit des systèmes ouverts dans lesquels les informations sont pluus facilement échangées. La sécurité doit donc être minimum. Les virus de macro s'appuient sur le fait que de nombreuses applications contiennent désormais un langage de programmation de macros. Ces langages permettent aux utilisateurs (et aux auteurs de virus) une plus grande souplesse et une puissance à ce jour inégalée. Souvent, les virus de macros ne sont pas détectés assez tôt parce que les utilisateurs ne sont pas familiarisés avec les macros. Il en résulte un taux d'infection plus élevé qu'avec les virus de fichiers et d'amorçage traditionnels. À ce jour, le langage de programmation le plus populaire est WordBasic, intégré à Microsoft Word.
• Les données étant échangées plus souvent que les programmes eux-mêmes, le problème de sécurité posé par les virus de macros est très réel. Les systèmes ouverts intégrés dans de nombreuses emploient OLE pour combiner différents types de données. Vous pouvez imbriquer un objet tel qu'une image dans un document Word. Cela signifie que chaque modification de l'objet sera reflétée dans toutes ses copies. Vous pouvez aussi lier un objet tel qu'une feuille de calcul Excel dans un document Word. Cette liaison signifie que vous pouvez modifier l'objet soit dans l'application qui a servi à le créer, soit dans l'application à laquelle il est lié, et toutes ses copies seront mises à jour.
• Microsoft Word a la possibilité d'intégrer et de lier des objets. De plus, les documents Word peuvent être intégrés et liés à d'autres applications. Le risque est dans la possibilité de lancer un virus de macro depuis une autre application. Par exemple, les messages Microsoft MSMail peuvent contenir des pièces jointes telles que des documents Word. Si l'association est correcte, l'utilisateur de MSMail n'a qu'a double-cliquer sur le document Word, Word se lance et le document est ouvert. C'est l'un des exemples d'OLE en action. Il existe d'autres types d'utilisation d'OLE en association avec les documents Word, et c'est la fréquence de telles utilisations qui augmente les risques pour la sécurité posés par les virus pour macro de Word. Certains virus de macros contiennent du code destructeur ; ils peuvent même créer et exécuter des virus de fichiers et d'amorçage traditionnels et affecter le fonctionnement d'une machine. Les virus pour macro affectent la qualité et la fiabilité des informations contenues dans les fichiers de données.
• Il n'a fallu que peu de temps après l'apparition du premier virus de macro pour Word pour qu'apparaisse son équivalent pour Excel : XM/Laroux.A. Ce fut un événement attendu, les techniques de création étant les mêmes que pour programmer un virus de macro pour Word.

La différence entre les virus pour Word et Excel réside dans le fait que les virus pour Word sont écrits en WordBasic, alors que ceux pour Excel le sont en VBA3 (Visual Basic for Applications version 3). Le format est différent et les macros ne sont pas stockées à l'intérieur de la feuille de calcul (les virus Word sont stockés dans le document Word), mais dans des canaux séparés. Cette technique complique la détection, l'identification et l'éradication.
Les virus de macros pour Excel posent un problème plus ardu que ceux de Word, du fait des implications pratiques. Imaginez qu'un virus pour Excel multiplie le contenu d'une cellule par 10 et que cette cellule représente votre salaire ! Ce ne serait certainement pas la fin du monde... Mais si le contenu de cette cellule était divisé par 10 ?
Ce sont des inconvénients mineurs comparés aux modifications apportées au résultat d'une cellule dont le but est de calculer la résistance du béton employé pour la construction d'un immeuble. Les feuilles de calcul sont parfois volumineuses et les anomalies sont difficiles à dépister.
• L'introduction d'Office97 a entraîné la modification de presque tous les formats des programmes de la suite. Les changements ont été consistants. Excel et Word utilisent VBA5, basé sur VBA3 avec de nombreuses extensions.

VBA5 n'est pas compatible avec WordBasic, ce qui semblerait indiquer que les virus de macros écrits pour les versions précédentes de Word n'affecteront pas Word 8.0 dans Office97.
Cependant, Microsoft a intégré un WordBasic à VBA5, et une conversion de VBA3 à VBA5 pour mettre à jour les macros existantes dans les nouveaux formats.
En conséquence, les virus de macros écrits pour les versions précédentes de Word et Excel peuvent aussi être " mis à jour ". Les virus ne fonctionneront pas tous après leur conversion, mais nous savons que certains le feront.
• On s'attend à ce que les virus de macros soient toujours une sérieuse menace pour la sécurité des données, même si l'on pense que leur nombre va augmenter moins rapidement. On pense également que les virus tireront parti des langages de programmation de macros les plus communs et qu'ils deviendront indépendants des applications. (N'oubliez pas que Microsoft Word est actuellement l'application la plus touchée par les infections par virus de macro, écrits pour la plupart en WordBasic.) De plus, on pense que les virus deviendront polymorphes et furtifs. Des sociétés développant des antivirus vont continuer à lutter contre les virus de macros, ainsi que contre les virus de fichiers et d'amorçage 'traditionnels' en détectant et éradiquant les virus de macro au niveau de l'application et au niveau binaire.

Les bombes logiques: des programmes n'ayant pas la capacité de se reproduire peuvent réaliser de graves dommages. Ainsi, un logiciel proposé officiellement en tant que jeu peut comporter une fonction destructrice déclenchée à l'occasion d'un évènement précis ou à une date déterminée. Parfois, il s'agit d'innocentes farces. Cependant, certains programmeurs sont de véritables sadiques même si le cas est rare.

Les chevaux de Troie: les chevaux de Troie sont une sous-catégorie de bombes logiques. Ils n'ont pas un but destructif immédiat: leur tâche se limite à l'espionnage. Ils se procurent des informations confidentielles sur l'utilisateur du PC dans lequel ils ont pénétré et les transmettent à leur concepteur. Certains sont chargés d'établir un accès (par exemple au travers d'un réseau) à l'ordinateur infecté. L'internet servant de plus en plus aux transactions commerciales, beaucoup de nouveaux chevaux de Troie ont été mis en circulation.

Ce tableau peut vous paraitre "malformé": les colonnes peuvent sembler trop petites. Elles sont volontairement réglées ainsi pour que les personnes qui impriment ces pages n'aient pas de problèmes.
 

TYPES	MODES D'INFECTION	FONCTIONNEMENT	POTENTIEL DESTRUCTIF	Protections
Les virus de secteur d'amorçage	Lorsque le PC s'amorce à partir d'une disquette infectée, le processus active automatiquement le virus caché dans le secteur d'amorçage. Il cherche un éventuel disque dur. S'il le trouve, il contamine le secteur d'amorçage. Ensuite, pour masquer son activité, le virus déclenche l'éxécution du code d'origine du secteur d'amorçage. Il passe ainsi inaperçu. Le disque dur du PC est maintenant infecté; le virus s'active à chaque démarrage.	Si le secteur d'amorçage du disque dur est infecté, le virus s'active à chaque démarrage. Il s'installe ensuite dans la mémoire vive du PC. Là, il tâche de passer inaperçu et surveille l'activité de la machine. Lorsqu'il détecte un accès au lecteur de disquettes, il installe une copie de son code dans le secteur d'amorçage de la disquette introduite. Ce support est à son tour infecté et peut contaminer d'autres PC.	Outre le code de reproduction, les virus de secteur d'amorçage comportent des instructions pour réaliser des actions nuisibles, de l'affichage d'un message innofensif pendant l'amorçage au formatage du disque dur. Citons: AntiCMOS Anti-Tel Brain Disk Killer Parity Boot	Les anti-virus Le BIOS des PC actuels qui comporte une protection efficace contre l'écriture du secteur d'amorçage: il suffit d'activer cette fonction.
Les virus de secteur de partition	Lorsque le PC s'amorce à partir d'une disquette infectée, le processus active automatiquement le virus caché dans le secteur de partition. Il cherche un éventuel disque dur. S'il le trouve, il infecte le secteur de partition. Le disque dur du PC est maintenant infecté; le virus s'active à chaque démarrage.	Si le secteur de partition du disque dur est infecté, le virus s'active à chaque démarrage. il s'installe ensuite dans la mémoire vive du PC Là, il tâche de passer inaperçu et surveille l'activité de la machine. Lorsqu'il détecte un accès au lecteur de disquettes, il installe une copie de son code dans le secteur de partition de la disquette introduite. Ce support est à son tour infecté et peut contaminer d'autres PC.	Même potentiel que pour les virus de secteur d'amorçage. Citons: AntiEXE Michelangelo (bien connu) Neuroquila Tornado Stoned	Les anti-virus
Les virus de fichier	Lorsque vous lancez le programme la première instruction provoque un branchement en fin de fichier, vers le code du virus. Une fois lancé, le parasite s'installe en mémoire vive et guette l'occasion de contaminer d'autres fichiers. Le code du virus se termine par un retour au programme d'origine. Le logiciel s'éxécute alors normalement sans que l'utilisateur ne se doute de rien.	Le virus étant en mémoire, il surveille l'activité du PC. Lorsque l'utilisateur appelle un programme, le virus s'interpose. Il vérifie si le programme n'est pas déjà infecté. Si c'est le cas, il n'entrepend rien. Si au contraire le programme est encore "sain", il se prépare à attaquer. Il s'incorpore au début ou à la fin du fichier de sorte qu'il augment de taille. Dans les deux cas il modifie le début du fichier pour être activé en premier. Le programme appelé par l'utilisateur est ensuite éxécuté pour ne pas éveiller de soupçons. Le logiciel est infecté et le virus est parvenu à se multiplier.	Outre le code de reproduction, ces virus peuvent comporter des instructions pour réaliser des actions nuisibles. Contrairement aux virus de secteur d'amorçage et de partition, leur taille n'est pas limitée, pas plus que leur potentiel. Les possibilités vont de l'affichage d'un message inoffensif au blocage du système, en passant par le formatage du disque dur. Citons: Fumble Hungarian Itavir Keypress (codes sources diffusés dans HACKER 2020 issue7) Vacsina	Examiner la variation au niveau de la taille des fichiers Les anti-virus
Virus hybrides	Cf Note	Cf Note	Cf Note	Cf Note
Les virus de dossiers	Ils se propagent en empruntant les même voies que celles fréquentées par les virus précédemment évoqués. Ils peuvent se combiner à un mode ou en combiner plusieurs pour assurer leur succès.	Lorsque l'utilisateur appelle un fichier de programme, le parasite s'interpose. Il se procure l'adresse de début de ce fichier en consultant le dossier et la remplace par sa propre adresse. Il enregistre la véritable adresse dans sa liste de façon à éxécuter des logiciels infectés sans éveiller l'attention. Le virus actif peut surveiller d'autres évènements et intervenir. Ainsi, il est en mesure d'infecter une disquette introduite dans le lecteur et contaminer ainsi d'autres machines.	Le potentiel destructif de ces virus découle moins de leurs actions que de leur mode de fonctionnement. Un dossier traité par le virus fonctionne correctement à condition d'être en présence du parasite qui est le seul à connaitre la véritable adresse de départ des programmes. Lorsque vous éliminez le virus de la mémoire, il reste un dossier inexploitable contenant des adresses détournées vers l'adresse du virus. Vous ne pouvez plus lancer de programmes.	Réalisation de sauvegardes de fichiers Antivirus Protection du BIOS
Les compagnons	Les compagnons sont transmis par les fichiers programme, comme les virus de fichier. Ils s'attaquent seulement à certains éxécutables, par exemple les logiciels qui se composent de différents fichiers ou qui sont transmis sous forme d'archives (exemple des .zip). Ils pénètrent dans l'archive en question; au premier lancement du logiciel, ils s'activent et se transmettent à d'autres programmes de l'ordinateur.	Le virus se met en action lors de l'appel d'un programme infecté. Il s'installe en mémoire vive et surveille discrètement l'activité de la machine. Lorsqu'un fichier .exe est lancé, le virus crée dans le répertoire un fichier .com du même nom. Pour passer inaperçu, le fichier créé est affecté de l'attribut "caché". Au prochain lancement du programme, le virus s'active à la place de l'éxécutable. Il appelle ensuite le programme d'origine de sorte que l'utilisateur ne le démasque pas.	Outre le code de reproduction, ces virus peuvent comporter des instructions pour réaliser des actions nuisibles. Contrairement aux virus de secteur d'amorçage et de partition, leur taille n'est pas limitée, pas plus que leur potentiel. Les possibilités vont de l'affichage d'un message inoffensif au blocage du système, en passant par le formatage du disque dur. Citons: Exterminator BeWare June 16th	Windows qui est une protection naturelle efficace Antivirus
Action directe	Lorsque vous lancez le logiciel infecté, la première instruction est un branchement en fin de fichier, vers le code du virus. Une fois lancé, le virus ne s'installe pas en mémoire vive mais tente de faire son travail aussi rapidement que possible. Le code du virus se termine par un retour au programme d'origine. le logiciel s'éxécute alors normalement et l'utilisateur ne se doute de rien.	Lorsque l'utilisateur appelle un programme, le virus s'interpose. Il cherche des éxécutables non infectés, installés sur le disque-dur. Lorsqu'il en trouve un, il augmente la taille du fichier et s'inscrit à la fin ou, au contraire, au début du code. Dans les deux cas, il manipule le début du fichier pour être éxécuté en premier. Le virus s'active rapidement pour ne pas éveiller de soupçons du fait de ralentissements. le nombre de logiciels infectés ou la durée de l'intervention sont donc limités. Lorsque le virus a terminé sa tâche, le programme appelé s'éxécute de sorte que l'utilisateur ne se doute de rien. Le parasite a pu infecter d'autres logiciels et donc se diffuser.	Même potentiel que pour les virus décrits précédemments.	Examiner la variation au niveau de la taille des fichiers Antivirus.
Les virus Stealth	Les virus furtifs s'intègrent dans les fonctions du système d'exploitation utilisées pour la surveillance des virus. Ils peuvent ainsi détecter immédiatement l'activité d'un antivirus et réagir en conséquence. Ils lui fournissent, par exemple, de fausses informations ou se retirent à temps de la zone examinée pour ne pas être découverts.	Le virus furtif s'installe en mémoire vive au lancement du système ou lors de l'éxécution d'un fichier infecté. de là, il surveille les fonctions du système d'exploitation qui sont susceptibles de dénoncer sa présence Lorsqu'une telle fonction est appelée, le virus s'active. Il prend  des mesures pour éviter le danger, manipule la fonction ou supprime ses traces dans la zone explorée, avant que le contrôle ne s'effectue. Il autorise ensuite l'éxécution du contrôle. Une fois le danger passé, il s'installe éventuellement à l'emplacement précédent. L'antivirus n'a rien vu et confirme à l'utilisateur que sa machine est saine.	Les virus furtifs peuvent entreprendre les même actions que les autres types de virus. Leur protection  leur permet toutefois de demuerer cachés plus longtemps et donc de réaliser un travail destructif plus important. Citons: Ripper Monkey	Antivirus puissants et récents

 

Note: Les virus hybrides combinent les caractéristiques de plusieurs familles. Ainsi, il existe des parasites qui infectent le sceteur d'amorçage des supports et les fichiers. Ces virus sont dangereux à plus d'un titre: ils ont la possibilité de survivre et de se reproduire, d'autre part il faut mettre en œuvre une combinaison de protections pour les combattre. La meilleure solution est un anti-virus.

 

Note: Les termes assimilés à des virus tels que "polymorphe", "furtif"(="stealth") et "crypté". Ce ne sont pas des virus en tant que tels, mais plutôt des méthodes employées par des virus pour se travestir et échapper aux anti-virus.

Virus en liberté: bien que les chasseurs de virus en connaissent des milliers, ce chiffre ne doit pas vous inquiéter. Parmi ces milliers, la plupart n'existent que dans des laboratoires de recherche, et les autres se promènent effectivement de par le monde, dans les sociétés ou chez les particuliers.
Il en résulte que les chercheurs ont classé les virus en deux catégories : " en liberté " et " au zoo ", parfois désignées respectivement par " ITW " et " ITZ ".
Les virus " en liberté " ont été rencontrés à l'extérieur des laboratoires. Ils représentent environ 10% des virus connus et ce sont ceux qui vous concernent directement.

Combien existe-t-il de virus?: cette question est posée très souvent aux distributeurs de produits anti-virus. Il est difficile d'y répondre pour les raisons suivantes :

1. Aucune organisation centrale ne compte le nombre de virus.
2. De nouveaux virus apparaissent tous les jours. Certains experts affirment que la croissance des nouveaux virus est exponentielle et les autres disent qu'elle est quadratique. Si nous pouvions tous les compter, alors ce décompte ne serait valable que pendant une courte période : environ une journée...
3. Nous constatons souvent que de nombreuses variantes sont faites à partir d'un virus, et il y a souvent une mésentente au sujet de ce terme au sein de la communauté des chercheurs anti-virus.
4. Il n'existe aucune convention standard d'attribution de nom pour les virus ; on peut donc retrouver le même virus sous des noms différents.

Evolution du problème des virus: Au commencement, il était très difficile de relier les ordinateurs entre eux, et les virus ne se répandaient que très doucement. Les fichiers étaient transmis via les BBS (bulletin board systems) ou sur disquettes. La transmission des fichiers infectés et des secteurs d'amorçage était donc limitée géographiquement.
Mais vint la connectivité et, par sa croissance, elle augmenta le nombre des ordinateurs dans l'espace de travail. Les frontières des virus informatiques étaient repoussées. Il y eu d'abord le réseau local (LAN), le réseau départemental (WAN), puis Internet. L'usage intensif de la messagerie électronique contribua à l'augmentation météorique du nombre d'incidents liés aux virus de macros.
Nous vivons maintenant dans une société dans laquelle la technologie globale a pris le pas, et où le commerce global est régi par les moyens de communication. Les ordinateurs font partie intégrante de cette technologie et les informations qu'ils contiennent (et leurs petits segments de code malicieux) deviennent également globales.
Par conséquent, il est bien plus aisé d'attraper un virus aujourd'hui que deux ans auparavant. De même, les types de virus les plus courants de nos jours sont différents de ceux de cette époque.
Steve White, Jeff Kephart et David Chess, du IBM Thomas J. Watson Research Center suivent l'évolution des virus avec attention et, en autres choses, ils ont conclu que la prédominance de certains types de virus est déterminée par les changements de systèmes d'exploitation.
 

Clad Strife