Virus de fichier, virus parasite

Copier l'URL de l'article actuel Envoyer par courriel

Cet article (PDF) Documentation complète (PDF)

Les virus de fichiers (ou virus parasites) utilisent des fichiers existants arbitraires comme hôtes. Habituellement, le virus ajoute le corps de son code au début du fichier hôte ou ajoute le corps de son code à la fin du fichier hôte, auquel cas le contenu du fichier original reste intact, sauf que l’OEP (point d’entrée d’origine) est modifié, de sorte que le code du virus est exécuté avant le code original et légitime. Cette méthode d’infection garantit que le code du virus sera exécuté chaque fois que le fichier infecté est lancé et fournit également un moyen de propagation.

Dans certains cas, un virus infectant un fichier peut endommager le fichier hôte lorsqu’il l’infecte en effaçant ou en écrasant des parties du fichier hôte. Dans ce cas, le fichier hôte peut ne plus fonctionner correctement, bien qu’il puisse toujours propager le virus.

Les fichiers exécutables se terminent souvent par des extensions comme .com, .dll, .exe et .sys sous Windows. Certains virus de fichiers peuvent être des scripts interprétés par d’autres programmes et se terminer par des extensions comme .bat (un fichier batch) ou .vbs (un programme Visual Basic).

Du point de vue d’un moteur antivirus, les virus doivent être désinfectés pour récupérer le fichier original, contrairement aux chevaux de Troie et aux vers, qui sont nettoyés en les supprimant simplement (et en réparant les dommages résiduels, tels que les paramètres de registre trucés). Si un virus de fichier endommage le fichier hôte en écrasant des parties de celui-ci, la désinfection n’est pas une option.

Bien que les virus de fichiers soient plus courants à l’ère DOS qu’à l’ère Windows, plusieurs exemples modernes existent, tels que les familles Ramnit, Sality et Virut, qui apparaissent régulièrement dans le monde entier.

˄˅