• Les virus

    Les Virus

     

     

    Description :

     

    Nous entendons par "virus" toutes les formes d'attaques liées à l'arrivée sur une machine de fichiers infectés qui tentent de nuire au fonctionnement de celle-ci, qui essaient de se propager par tous les moyens à partir de cette même machine, voire qui permettent l'accès à la machine depuis l'extérieur pour d'autres attaques plus violentes (=> virus, vers, "chevaux de Troie", ...).

     

    - Quel que soit le type de virus, aucun ne contamine - pour l'instant - les fichiers compressés. Cela ne garantit pas qu'un fichier compressé soit exempt de virus : il peut très bien avoir été infecté avant compression, et se révélera donc dangereux une fois décompressé. 

    - Pour bien comprendre le mode de fonctionnement d'un virus, il faut se souvenir de l'analogie avec le virus biologique. Comme lui, le virus informatique essaie de contaminer tout ce qu'il peut, de se dissimuler aux yeux de l'organisme infecté, et de se répandre le plus largement possible. Les virus infectent un maximum de fichiers puisqu'ils demeurent en mémoire dès le démarrage de l'ordinateur. Ils interceptent les commandes du Bios, et agissent ainsi selon leur humeur...

     

    Les différentes Famille de virus : 

     

    La première catégorie regroupe les virus de secteur d'amorce (= virus de "boot sector", c'est-à-dire affectant la zone du disque qui est lue en premier au démarrage) tels que Form, jack the ripper, french boot, parity boot... Ces virus remplacent le secteur d'amorce du disque infecté par une copie d'eux-mêmes, puis déplacent le secteur original vers une autre portion du disque. Le virus est ainsi chargé en mémoire bien avant que l'utilisateur ou un logiciel ne prenne le contrôle de l'ordinateur.

     

    Les virus d'applications infectent les fichiers exécutables, c'est-à-dire les programmes (.exe, .com ou .sys). Pour simplifier, disons que le virus remplace l'amorce du fichier, de manière à ce qu'il soit exécuté avant le programme infecté, puis il lui rend la main, camouflant ainsi son exécution aux yeux de l’utilisateur.

     

    Les virus macro sont des virus qui infectent uniquement des documents (Word, Excel...), en utilisant le langage Visual Basic pour Application. Ces virus se propagent actuellement dans de fortes proportions et peuvent malheureusement causer de grands dégâts (formatage du disque dur par exemple).

     

    Enfin, il y a les virus de mail, également appelés vers. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à tout ou partie des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrices pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.

    A noter que certains virus sont des virus polymorphes. A chaque fois que l'un d'eux infecte un fichier, il se crypte différemment. Résultat, il faut que l'antivirus analyse la technique d'encryptage de chaque virus pour déceler, dans les fichiers contaminés, une sorte de "manie" caractéristique, une constante.

     

    Règles générales de protection

     

    La prévention paie toujours. Quelques règles simples peuvent être appliquées :

    • ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être proposés sur des sites persos ou des chats eux-mêmes plus ou moins douteux;
    • méfiez-vous des fichiers joints aux messages que vous recevez : analysez avec un antivirus à jour tout fichier avant de l'ouvrir, et préférez détruire un mail douteux plutôt que d'infecter votre machine, même si l'expéditeur est connu;
    • fuyez les disquettes d'origine douteuse (ou ayant transité dans des lieux publics vulnérables comme les salles de cours ou TP des écoles ou universités), et protégez les vôtres en écriture;
    • créez dès maintenant, si ce n'est pas déjà fait, une disquette de boot saine contenant un antivirus (la plupart des antivirus le proposent) pour une désinfection d'urgence;
    • procédez régulièrement à des sauvegardes du contenu important de votre disque dur après avoir vérifié l'absence de virus : cela peut paraître fastidieux, mais en cas d'infection (ou même simplement en cas de crash de disque dur), ça vous sauvera la mise...
    • tenez-vous au courant des apparitions de nouveaux virus. Secuser.com vous offre ce service en émettant des alertes lorsqu'un virus connaît une diffusion importante. Les informations (nom du virus, mode de transmission connu, etc.) sont alors consultables en ligne. Connaître l'existence du virus, c'est déjà le tuer à moitié...

    En complément de ces règles de prévention, la meilleure protection - et le principal remède en cas de contamination - consiste à installer un antivirus (certains sont gratuits, voir les liens utiles en fin d'article). Une solution qui reste toute relative, car aucun produit ne détecte 100% des virus, 100% du temps : d'où l'importance de la prévention.

    Par ailleurs, de nouveaux virus apparaissant chaque jour, il faut veiller à régulièrement actualiser la base de données virales du logiciel : la plupart des éditeurs proposent une mise à jour au minimum mensuelle, mais pas toujours gratuite...

     

     

    Il est donc vivement conseillé à chacun :

    • de se munir d'une protection individuelle tenue à jour fréquemment. Des solutions peu coûteuses existent à titre individuel ou collectif.
    • de mettre à jour régulièrement les logiciels qui révèlent certaines lacunes en terme de sécurité. Le couple Internet Explorer/Outlook Express notamment qui fait très souvent l'objet de patchs de mise à niveau pour palier aux trous de sécurité découverts régulièrement et corrigés par Microsoft; http://www.microsoft.com/downloads/searchdl.asp?LangIDCODE=7%3Bfr&Submit1=GO et http://windowsupdate.microsoft.com/ sont 2 adresses à consulter fréquemment pour les personnes qui utilisent ces outils
    • de se méfier de tout mail non attendu, de nature suspecte, dont l'expéditeur peut apparaître comme connu malgré tout mais qui aurait un contenu louche (texte incomplet, fichier attaché non mentionné dans le mail, adresse de l'émetteur proche d'une adresse valide mais légèrement différente, ...)
    • de se méfier des annonces concernant des virus qui ne précisent pas une adresse de site "de confiance" (éditeur anti-virus, organismes de référence) où vérifier la véracité des propos. Il est très fréquent que des canulards (ou "hoax") ou autres "chaînes de l'amitié" polluent les boites aux lettres électroniques avec des informations alarmistes où il est demandé de supprimer un fichier ou de propager l'information à l'ensemble du carnet d'adresses.
    • de limiter les accès en écriture sans mot de passe pour les partages réseau. En effet, un bon nombre de virus ont la possibilité de se transmettre aux autres machines d'un réseau dans lequel une machine est infectée en pénetrant sur les disques durs dont un accès est autorisé sans authentification. Avec une simple protection par mot de passe (même basique) pour les accès en écriture, on évite assez simplement la propagation de ces virus.


    Comment savoir si mon ordinateur est contaminé ?

    Tout comme les troyens, les virus sont le plus souvent repérés trop tard, par les conséquences potentiellement désastreuses de leur activité : affichage de messages intempestifs, émission de sons ou de musiques inattendus, mais aussi plantage de l'ordinateur, formatage du disque dur, etc.

    Pourtant, de nombreux indices peuvent mettre la puce à l'oreille de l'internaute vigilant : mémoire système disponible inférieure à ce qu'elle devrait être, changement du nom de volume d'un disque, programmes ou fichiers subitement absents, apparition de programmes ou de fichiers inconnus, ou encore comportement anormal de certains programmes ou fichiers.

    Si vous êtes sous Windows 95 ou 98 et que vous avez un doute sur votre micro, vous pouvez vérifier vous-même le niveau de la mémoire système : ouvrez une fenêtre DOS, tapez la commande CHKDSK puis la touche Entrée, et examinez le contenu des informations listées. Un message semblable au texte suivant devrait apparaître, avec cependant les caractéristiques propres à votre machine (nom de volume, espace disque, etc.) :

     

    Le numéro de série du volume est 1827-00E6
    446 190 080 octets d'espace disque total
    862 758 400 octets disponibles sur le disque
    4 096 octets dans chaque unité d'allocation
    841 355 unités d'allocation sur le disque
    454 775 unités d'allocation disponibles sur le disque
    655 360 octets de mémoire totale
    590 528 octets libres

    Au lieu d'utiliser CHKDSK, essayez la commande SCANDISK. SCANDISK peut détecter et corriger un plus grand éventail de problèmes de disque.

    Normalement vous devriez avoir 655 360 octets de mémoire totale. Ce test n’est malheureusement pas sûr à 100 %, mais si le chiffre est différent sur une configuration standard, cela sent le virus de boot...

     

    Que faire en cas de contamination ?

    La solution la plus simple reste de vous procurer un logiciel antivirus. La plupart propose une procédure permettant de désinfecter le contenu du disque avant d'installer le logiciel, mais le mieux est d'installer l'antivirus avant toute contamination afin de bénéficier de l'ensemble de ses fonctionnalités (surveillance des transferts de fichiers ou de l'accès aux fichiers sensibles, inoculation des fichiers pour repérer tout changement de taille suspect, etc.).

    Vous pouvez également utiliser un antivirus gratuit en ligne pour procéder immédiatement à l'analyse ainsi qu'à l'éradication de virus éventuellement présents sur vos disques.

    Pour ceux qui sont très à l'aise au niveau technique

    En cas de contamination par un virus de boot ou un virus de fichier :

    1. Si votre machine n'est pas configurée en multi-boot, allez sous DOS et entrez fdisk/mbr pour supprimer le Master Boot Record (= secteur d'amorce du PC, automatiquement régénéré au prochain démarrage);
    2. Eteignez l'ordinateur (pas reset, ni redémarrage);
    3. Démarrez à partir d'une disquette de boot saine, protégée en écriture, et contenant un antivirus;
    4. Lancez l'antivirus (le reste dépend de l'antivirus).

    Pour les virus macro, je conseille de rechercher le fichier normal.dot et de le supprimer, puis ensuite de détruire tous vos documents.

    Cette méthode supprime les virus macro définitivement, mais aussi malheureusement votre travail. Une solution consiste à utiliser un "bloqueur" lorsque vous chargez un  document inconnu : ce type de programme empêche le transfert de nouveaux virus dans vos autres documents. Essayez donc Stealth Protect : en plus, il est gratuit.

     

    Les sites à visiter

    SECUSER.COM

    Sur ce site vous aurez des fiches detaillées des virus ainsi que les derniers virus en cours.

    Vous pourrez egalement télécharger les antivirus gratuitement.

    Cliquez ici pour découvrir Secuser.com, l'actualité de la sécurité informatique et de la vie privée


  • Commentaires

    Aucun commentaire pour le moment

    Suivre le flux RSS des commentaires


    Ajouter un commentaire

    Nom / Pseudo :

    E-mail (facultatif) :

    Site Web (facultatif) :

    Commentaire :