Le principal indicateur de la présence d'un virus est l'altération du code exécutable.

Cette altération touche les fichiers COM, EXE, SYS, OVL ou OVR, ou encore les secteurs d'amorce et de partition des disques.

A moins que vous en connaissiez la raison (reconfiguration d'un logiciel, installation d'une nouvelle version), si un fichier exécutable est modifié, il est fort probable que vous soyez en présence d'un virus.

Le plus souvent, vous ne découvrirez le virus que par accident. Nous en déduisons par conséquent, que de nombreuses personnes ont un virus sans s'en apercevoir. Beaucoup de virus n'étant pas détectés, il est impossible de dire combien d'ordinateurs sont infectés.

Tout cela nous ramène au problème original - comment savoir que vous avez été atteint par un virus ? Un problème commun à plusieurs systèmes est un signal d'alerte classique. Les principaux dysfonctionnements rencontrés sur les ordinateurs sont d'ordre matériels ou logiciels. Une même panne sur plusieurs machines indique une erreur dans un logiciel, un système électrique défectueux ou un virus.

Une fausse alarme survient lorsque vous croyez détecter un virus sur votre système, alors qu'il n'y en a pas. Voici quelques exemples de fausses alarmes :

Certaines versions de CHKDSK provoquent une fausse alarme en révélant un fichier caché de zéro octet qui est en réalité le nom du volume. C'est un bogue mineur de CHKDSK, et la plupart des utilitaires détecteront correctement ce nom de volume.

Une autre cause courante de fausse alarme est la rumeur. Par exemple, un service technique informatique entend dire qu'une disquette de démonstration particulière contient un virus. Il conseille donc à leurs utilisateurs de ne pas exécuter les programmes de cette disquette. Un de ces utilisateurs appelle un collègue dans une autre entreprise et l'informe que son service technique lui a recommandé de ne pas utiliser la disquette de démonstration. Ce dernier avise ensuite un de ses amis que l'on suspecte la présence d'un virus sur la disquette. Et ainsi de suite, jusqu'à ce que la rumeur se répande, affirmant que le disque contient réellement un virus.

Une disquette se détériore progressivement lorsqu'elle utilise un format différent de celui pour lequel elle a été conçue. Elle retourne un message d'erreur en Lecture/Ecriture. Ce type de fausse alarme est moins répandue mais se rencontre de temps en temps.

Si le PC se bloque au démarrage et affiche le message 1701, ne pensez pas au virus 1701 (Cascade). Il s'agit tout simplement d'un message système standard signalant une erreur matérielle du disque dur. Elle peut être provoquée par des connecteurs usés, des câbles manquants ou tout autre défaut et nécessite l'intervention d'un ingénieur de maintenance.

L'erreur de lecture d'un secteur du disque C: est un autre message système parfois utilisé comme preuve de la présence d'un virus. Aucun virus existant ne provoque cette erreur - elle signifie tout simplement que le disque est en train de se détériorer. Ne paniquez pas, sauvegardez immédiatement les données de votre disque et contactez votre ingénieur de maintenance. A terme, le disque devra être remplacé. Un formatage bas-niveau pourrait éventuellement le maintenir en état de marche pendant quelques temps à condition que vous fassiez des sauvegardes quotidiennes.

Beaucoup de secteurs de partition sont marqués par les auteurs - les programmeurs ont l'habitude de signer leur travail. Le programme de secteur de partition est beaucoup plus petit que l'espace qui lui est réservé, il y a ainsi largement la place pour une signature. La plus courante est celle de David Litton (dans PC-DOS). A tort, certaines personnes s'inquiètent lorsqu'elles découvrent ces signatures.

Parfois, lorsqu'un logiciel fonctionne mal, l'écran se remplit de messages incompréhensibles. Ce dysfonctionnement est provoqué par un programme défectueux qui a perdu le contrôle sur la gestion de la mémoire et qui écrit dans le tampon écran. Le problème à certainement besoin d'être résolu, mais n'est absolument pas symptomatique de la présence d'un virus.

Quelques dates suggestives telles que le vendredi 13 et le 1er avril génèrent toujours beaucoup d'agitation dans les médias. Certains virus sont effectivement liés à une ou plusieurs date(s) et sont décrits dans l'Encyclopédie des Virus. Quoi qu'il en soit, la plupart des virus entrent en action à tout moment. Il n'y a donc aucune précaution supplémentaire à prendre à l'approche de ces dates. Continuez à travailler normalement en effectuant vos sauvegardes aussi souvent que le nécessitent vos procédures habituelles.

Parfois, l'un d'entre eux signale un virus alors que les autres ne détectent rien. Peut-être, est-ce une fausse alarme ou peut-être pas. Consultez l'Encyclopédie des Virus pour avoir une description des effets du virus et effectuez des tests complémentaires en vous basant sur les informations obtenues.

Il existe cinq catégories de virus. Chacune utilisant son propre mode de propagation.

Le secteur d'amorce est le premier secteur d'une disquette. Sur un disque dur, c'est le premier secteur de la partition DOS. Il contient des informations sur le disque ou la disquette (telle que le nombre de secteurs de volume logique) et un petit programme. Quand le système est amorcé, l'ordinateur lit le secteur d'amorce du disque dans le premier lecteur spécifié par le BIOS (généralement A:), s'il ne trouve rien, il essaie avec le lecteur suivant (généralement C:). Lorsqu'il trouve un programme, il le charge en mémoire et l'exécute. Un VSA remplace le secteur d'amorce par son propre code et déplace le secteur d'amorce original vers un autre endroit. Le programme de secteur d'amorce est chargé après le virus et la procédure d'amorce originale continue.

Lorsque le VSA est en place, il est exécuté à chaque fois que le disque est utilisé pour amorcer le système. Le VSA se charge lui-même en mémoire et se protège en signalant au DOS que la mémoire qu'il occupe est utilisée. Il intercepte également certaines interruptions matérielles telle que l'interruption 13H (lecture/écriture). Ainsi, le virus intervient avant toutes les opérations de lecture ou d'écriture sur un disque.

Dès que vous accédez à un disque, le virus vérifie qu'il y est déjà installé. Dans la négative, il s'y installe automatiquement. Certains VSA n'infectent que les disquettes, d'autres se propagent également sur les disques durs. Si un VSA a infecté un disque dur ou une disquette amorçable, il y a de fortes chances qu'un grand nombre de disquettes utilisées sur ce système soient aussi infectées.

Le secteur de partition est le tout premier secteur du disque dur. Il contient des informations sur le disque dur (tel que le nombre de secteurs de chaque partition et l'adresse du début de la partition DOS), ainsi qu'un petit programme. Quand le système est amorcé, l'ordinateur lit le secteur de partition, charge le programme en mémoire et l'exécute.

Un VSP est identique à un VSA, mais il est plus difficile à détecter. La plupart des outils de visualisation de disque, comme par exemple DEBUG, ne vous permettent pas de voir le secteur de partition.

Les disquettes n'ont pas de secteur de partition. Sur ces supports, les VSP se comportent exactement comme les VSA.

Un virus de fichier s'ajoute (ou s'insère) dans un fichier exécutable. Ce dernier porte généralement une extension COM ou EXE, mais peut être également un fichier SYS ou un fichier de recouvrement (OVL, OVR ou autres).

La plupart des fichiers COM commencent par trois octets qui permettent de sauter à l'adresse où se trouve le programme. Le virus s'ajoute au fichier, le modifie pour que le saut soit effectué vers le code du virus qui retourne ensuite au programme. Le programme semble alors fonctionner normalement. Alternativement, le virus peut s'ajouter au fichier ou écraser un grand bloc de zéro dans le code.

Il est plus facile d'écrire un virus pour un fichier COM que pour un fichier EXE. Certains virus infectent les deux types de fichier, mais doivent pour cela, savoir les différencier et agir en conséquence.

L'heure des fichiers n'est pas nécessairement modifiée, il est donc inutile de la contrôler. Changer l'attribut du fichier en lecture seule ne vous sera pas non plus, d'une grande utilité, car DOS permet de retirer cet attribut. Il est ensuite possible de modifier le fichier puis de le remettre en lecture seule.

Sur les réseaux, le virus a les mêmes droits que l'utilisateur connecté. Par conséquent, si le fichier est en lecture seule et que l'utilisateur connecté n'a pas les droits requis pour retirer cet attribut, le virus ne pourra pas modifier le fichier.

Un virus de fichier non résident est activé chaque fois qu'un programme infecté est exécuté. Le virus recherche un fichier sain et l'infecte, puis il rend le contrôle au programme original qui s'exécute alors normalement.

Le virus de fichier résident infecte aussi les fichiers COM et EXE. Il s'installe en mémoire, et remplace généralement l'interruption 21H (l'interruption DOS). Il peut également remplacer toute autre interruption régulièrement appelée. La fonction 4BH de l'interruption 21H (Charge et Exécute un programme) est la plus fréquemment affectée car DOS l'utilise pour charger et exécuter les fichiers COM et EXE (qui sont justement ceux que le virus cherche à infecter).

Lorsque le virus est résident en mémoire, il contrôle toutes les actions du DOS. Le virus intervient à sa guise, exécute les commandes DOS telles qu'elles ou les modifie.

Pour infecter un grand nombre de fichiers et perturber le fonctionnement de l'ordinateur, un virus de fichier résident n'a besoin d'être exécuté qu'une seule fois.

Beaucoup de virus essaient de dissimuler leur présence. Pour ce faire, ils suppriment, par exemple, le message d'erreur DOS lorsque vous tentez d'écrire sur une disquette protégée en écriture ou bien ils restaurent l'heure originale après l'infection d'un fichier.

D'autres virus utilisent des techniques plus sophistiquées pour rester cachés et sont appelés furtifs.

Le degré de furtivité est variable d'un virus à un autre. L'un des tous premiers virus, Brain, dissimule assez bien son code, mais gâche ses efforts en écrivant lisiblement le mot B r a i n dans le nom du volume. De façon similaire, V1024 (Diamond) cache l'augmentation de la taille des fichiers pour que sa présence ne soit pas détectée, mais peut difficilement être qualifié de furtif, étant donné qu'il provoque un affichage lumineux spectaculaire toutes les heures.