Virus polymorphe
Un virus polymorphe est un virus informatique qui, lors de sa rĂ©plication, modifie sa reprĂ©sentation, ce qui empĂȘche un logiciel antivirus de l'identifier par sa signature. Bien qu'en apparence le virus change (du point de vue d'un programme antivirus qui lit le programme infectĂ©), le fonctionnement du virus (sa mĂ©thode d'infection et sa charge utile) reste le mĂȘme : les algorithmes ne sont pas modifiĂ©s, mais leur traduction en code-machine l'est.
Fonctionnement
La plupart des logiciels antivirus tentent d'identifier les virus en recherchant une sĂ©quence binaire spĂ©cifique au virus, sa signature. Le polymorphisme de certains virus empĂȘche la dĂ©finition de telles signatures, car il n'existe plus de sĂ©quence invariable suffisamment longue pour ĂȘtre spĂ©cifique au virus, c'est-Ă -dire pour ne pas risquer de se retrouver dans d'autres programmes non malveillants et de causer de fausses alertes. En rĂšgle gĂ©nĂ©rale, le code viral dispose d'un moteur de codage et de dĂ©codage en fonction de la technique employĂ©e afin de varier son code. Cependant, ce moteur constitue en lui-mĂȘme une invariance gĂ©nĂ©ralement utilisĂ©e par les Ă©diteurs d'antivirus afin de donner une signature sur les codes viraux, ce problĂšme est alors traitĂ© par une catĂ©gorie spĂ©cifique appelĂ©e virus mĂ©tamorphes.
Il existe différents moyens de modifier le code d'un virus sans modifier son fonctionnement.
Chiffrement
Le code est tout simplement traité comme une donnée et chiffré différemment à chaque génération du virus ; encore faut-il, pour que le virus soit fonctionnel, qu'un code de démarrage soit présent en clair dans un programme infecté par le virus pour exécuter la fonction de déchiffrement, rendre exécutable le code déchiffré (invalider le cache d'instructions, régler les droits d'exécution de la zone mémoire), et enfin appeler du code déchiffré.
Bien Ă©videmment, le code de dĂ©chiffrement, qui ne peut pas lui-mĂȘme ĂȘtre chiffrĂ©, peut servir Ă Ă©tablir une signature, de mĂȘme que le code de lancement de la partie dĂ©chiffrĂ©e, ce d'autant plus que l'ensemble constitue un programme auto-modifiant, ce qui est particuliĂšrement rare de nos jours sur les ordinateurs personnels (les seuls qui soient concernĂ©s par les virus) , et donc a peu de risques d'ĂȘtre prĂ©sent dans un logiciel normal (non-malveillant).
MĂ©tamorphisme
Pour pallier le problĂšme de la fonction de dĂ©codage et de dĂ©marrage constante, les virus mĂ©tamorphes utilisent une autre technique pour cacher leur code de chargement : ils rĂ©Ă©crivent leur code-machine diffĂ©remment Ă chaque gĂ©nĂ©ration soit en insĂ©rant des instructions inutiles (rembourrage), soit en utilisant diffĂ©rentes instructions ayant le mĂȘme effet, soit en modifiant plus ou moins profondĂ©ment leur structure interne par une sĂ©quence dĂ©compilation/re-compilation.
Historique
Le premier virus polymorphe connu, appelé 1260 (en), a été écrit en 1990 par Mark Washburn.