9-1-Virus et remedes 1

VIRUS et REMEDES 1
1.
2.
3.
4.
5.
6.
7.
8.
9.
Les Agresseurs
Les Virus
Les Vers
Les Chevaux de Troie
Les Bombes logiques
Les Hoax
Autres techniques
Les Antivirus
Les utilitaires de désinfection
LES AGRESSEURS
Communément appelés « PIRATES », situés partout dans le monde, ils attaquent jour et nuit, suivant des
motivations multiples :
• Attirance de l’interdit
• Désir d’argent
• Besoin de renommée
Leur technique principale est de prendre le contrôle d’un ordinateur afin de pouvoir réaliser les actions
qu’ils souhaitent.
• Obtention d’informations pour réaliser les attaques
• Utilisation des failles d’un système pour nuire.
• Usurper les identités pour espionner.
• Utiliser l’ignorance des gens pour les berner.
Leurs supports d’attaque sont :
• Les E-mails et leurs adresses.
• Les adresses IP (analyse des connexions effectives)
• Les pages WEB (petits programmes d’animation Java-script, ActivX, cookies…)
• Les fichiers téléchargés.
• Les Forums de discussion.
• Les failles des systèmes logiciels
On s’en protège :
• En définissant une politique de sécurité interne.
• En utilisant des programmes antivirus à jour.
• En contrôlant les flux d’échange de données et les points d’entrée (ports) du micro.
• En connaissant son système d’exploitation (Version logicielle, Restauration).
LES VIRUS
Un virus est un petit programme situé dans le corps d’un autre en modifiant sa structure. Lorsqu’on
exécute ce programme, le virus se charge en mémoire, s’exécute en premier lieu en réalisant les
instructions programmées par son auteur.
Pour la plupart, ils se multiplient et s’insèrent dans d’autres fichiers (programme hôte).
Ils vont de la simple balle de ping-pong qui traverse l’écran à la destruction des données (forme la plus
virulente). Ils sont classés suivant leur mode de propagation et d’infection et sont détectables par leur
signature virale (ils n’infectent pas plusieurs fois le même fichier et la portion de code créée est détectable
par les anti-virus).
• Les Vers qui sont capables de se propager à travers le réseau.
• Les Troyens (chevaux de Troie) créent des failles dans le système pour en prendre le contrôle.
Cours VLC / Les virus et remèdes /Joseph Nobar
page 1 sur 6
•
•
Les Bombes logiques qui se déclenchent suite à un événement particulier.
Les Hoax (canulars) qui tendent à propager des fausses informations.
Il existe différentes formes de virus :
Les virus mutants : Ces virus se dupliquent en modifiant leur signature créant ainsi des variantes du
virus original.
Les virus polymorphes : La signature du virus est codée et se modifie tel un caméléon. Seul le virus est
capable de reconnaître sa propre signature.
Les rétrovirus : (virus flibustiers ou Bounty hunsters) s’adressent particulièrement aux signatures,
référence des antivirus les rendant ainsi inopérants.
Les virus de boot : Infectent la partie secteur du démarrage du disque au moment ou elle se copie en
mémoire, ils font avorter le démarrage du système d’exploitation.
Les chevaux de Troie : Dissimulés dans les programmes de l’ordinateur ils marquent le système pour
être repérés par leur créateur où ils utilisent les failles du système pour récupérer des informations brisant
ainsi la confidentialité des documents ou l’intégrité de l’opérateur (mot de passe).
Les virus trans-applicatifs : (Ver ou Worm). Microsoft à mis au point un langage de script commun
pouvant être inséré dans tous ses documents, il s’agit de VBScript (Visual Basic Script) .Les virus
programmés dans ces scripts contenus dans un banal document Word, Excel ou Outlook s’exécutent à
l’ouverture de ceux-ci et se propagent dans le système Windows.
LES VERS :
S’auto reproduisent et se déplacent à travers le réseau sans avoir réellement besoin d’un support physique
ou logique type disque dur, programme hôte, fichier…, c’est un virus réseau.
Un ver n’est pas destructeur mais sa principale fonctionnalité est de se reproduire créant des surcharges.
Ils se propagent principalement grâce à la messagerie, en fichiers attachés. Ils récupèrent l’ensemble des
adresses courrier et s’auto diffusent en transmettant des copies à tous vos destinataires en prenant votre
identité.
Ils possèdent l’extension .VBS ou .EXE ou .COM et se déclenchent lorsque l’utilisateur les ouvre ou les
exécute.
S’en rendre compte :
Ouvrez dans votre messagerie une adresse Mail bidon ([email protected])
Dans le cas où le ver se serait emparé de vos adresses pour se dupliquer un message de votre serveur vous
avertira qu’il n’a pas pu distribuer votre mail à l’adresse bidon.
Nota : commencer cette adresse mail par des chiffres pour qu’elle soit classée dans les tous premiers
contacts de votre carnet d’adresses.
Comment se protéger d’une infection par vers :
* Installez un antivirus qui contrôle les E-mails et scannez systématiquement le fichier joint à votre
message avant de l’ouvrir.
1) Isolez le fichier dans un répertoire spécialisé pour cet examen
2) Clic droit sur le nom du fichier
3) Commande Analyser avec ….
* N’ouvrez pas à l’aveugle les fichiers qui vous sont envoyés en fichiers joints ou ceux dont vous ignorez
l’origine.
* Eliminez les fichiers douteux sur le serveur WEB (si c’est possible) avant de les rapatrier sur votre
ordinateur par la commande « Envoyer et Recevoir » de votre logiciel de messagerie.
Cours VLC / Les virus et remèdes /Joseph Nobar
page 2 sur 6
* Faites éliminer automatiquement par le logiciel de messagerie tous les fichiers potentiellement
susceptibles d’être infectés, notamment ceux dont l’extension est interprétée par le système :
exe, com, bat, pif, vsb, doc, xls (en gras les plus vulnérables
Les extensions suivantes sont logiquement sécurisantes :
txt, jpg, gif, bmp, avi, mpg, mp3, wav, mid
LES CHEVAUX DE TROIE : (Trojan Horse ou Troyen)
Ces programmes informatiques effectuent des opérations malicieuses à votre insu. Un cheval de Troie ne
peut pas se reproduire, il est conçu pour une action ciblée. Principalement, ils créent des brèches
volontaires dans la sécurité de votre système pour autoriser une personne tierce à utiliser vos accès
protégés (création de porte dérobée). Ils travaillent de l’intérieur de votre ordinateur vers l’extérieur.
Les pirates doivent connaître votre adresse IP (en mode ADSL l’adresse IP est fixe auquel cas l’adresse
IP est facilement récupérable) et peuvent :
• Voler des mots de passe.
• Copier des données sensibles
• Exécuter des actions nuisibles.
• Contenir des virus qui n’affecte que votre ordinateur.
• Utiliser votre ordinateur comme serveur de données piratées
S’en rendre compte :
Difficile à détecter. L’infection se fait généralement à l’ouverture d’un fichier contaminé et se traduit par
les symptômes de type :
• Activité anormale du Modem
• Activité anormale du disque dur.
• Réactions curieuses de la souris.
• Ouverture de programme non sollicitée.
• Plantage à répétition.
Comment se protéger d’un cheval de Troie :
Il faut installer un pare feu (Firewall), c’est à dire un programme filtrant.
Un firewall est très étroitement liés aux programmes que vous utilisez :
• Test les flux de données entrants et sortants de votre ordinateur
• N’autorise que les protocoles en cour d’utilisation.
• N’ouvre que les portes nécessaires à votre utilisation.
Toutefois vous pouvez être une victime choisie (pirate ou hacker) scannant par hasard une plage
d’adresses IP).
En cas d’infection :
Un programme que vous ne connaissez pas sollicite une demande de connexion ???. Le firewall vous
demandera confirmation pour l’ouverture de celle-ci. REFUSEZ
Par la suite, hors connexion, vérifiez que votre programme n’est pas infecté par un « TROYEN » en
utilisant un programme (bouffe-Troyen) permettant de les détecter et de les éliminer.
The Cleaner téléchargeagble sur www.moosoft.com/download.php????
Cours VLC / Les virus et remèdes /Joseph Nobar
page 3 sur 6
Il existe 65 000 ports possibles avec Windows. Les principaux ports utilisés par l’explorateur Microsoft
Internet sont :
Ports 20 et 21
Port 25
Port 80
Port 110
Port 119
FTP
Téléchargement de fichiers
SMTP Envoi du courrier
HTTP
Navigateur internet
POP3
Réception du courrier
NNTP Forums de discussion
Nota : AOL utilise les ports de 5190 à 5193, on ne peut donc pas utilisé Outlook (SMTP-POP3).
Liste des ports officiels : www.iana.org/assignments/port-numbers/
Vos Mots de passe sont piratés:
Le choix d’un mot de passe n’est jamais anodin, il doit être complexe (lettres+chiffres) mi-long (5-15
caractères) et facilement retrouvables et différents d’un service à un autre..
Conseils : Utilisez un document écrit spécialisé qui reprend les services utilisés et les mots de passe
associés (problème de mémoire)
Symptômes :
• L’utilisation de votre forfait Internet est gonflé ??
• Vous recevez des mails qui ne vous concernent pas (réponses pornos)
• Votre provider vous signale des connexions multiples
•
Vous avez été piraté, quelqu’un utilise votre forfait internet.
Nota1 : il existe des logiciels pour « craquer » les mots de passe. Ils possèdent tous les dictionnaires des
mots, des noms, des prénoms, ils mémorisent les noms, prénoms, adresses, âges, en clair votre profil,
présent en mémoire, et déclarés lors de l’installation d’un logiciel.
LES BOMBES LOGIQUES
Elles sont généralement utilisées pour créer une saturation réseau, d’un site, d’un service en ligne ou
d’une entreprise.
Ce sont des dispositifs programmés qui utilisent la date système :
• Tchernobyl (26 avril), St Valentin, vendredi 13
LES HOAX (canulars)
Ce sont de faux virus. Un courrier électronique propage une fausse information qui pousse le
destinataire à diffuser cette fausse nouvelle à ses proches et à ses collègues pensant leurs rendre service.
Son auteur désire berner un grand nombre de personnes pour :
• Engorger inutilement les réseaux.
• Provoquer une désinformation.
• Encombrer votre boîte à lettres.
• Dégrader l’image d’une entreprise.
Ces faux virus sont vecteurs d’informations attirantes faisant appel à notre incrédulité en faisant croire :
Cours VLC / Les virus et remèdes /Joseph Nobar
page 4 sur 6
•
Qu’il vous faut supprimer un programme vérolé sur votre ordinateur alors que c’est un programme
tout à fait sain qui participe à l’exploitation de la machine (sulfnbk.exe sert à la gestion de
l’affichage des fichiers à noms longs)
• Vous font croire que vous gagnerez quelque chose en transmettrant une information commerciale.
(téléphone portable Ericson).
• Que vous participerez à la rédemption du monde (secte)
Comment lutter
•
•
Vérifier l’information avant de la retransmettre (le message doit pointer vers un site WEB pouvant
vous aider préciser sa véracité). Il s’agit très souvent de canulars.
Aviser l’expéditeur qu’il a été abusé.
www.hoaxbuster.com recense les faux virus et les blagues informatiques.
AUTRES TECHNIQUES
Le Phishing : Technique liée à un E-mail qui consiste à vous inviter à dévoiler des informations
confidentielles en vous leurrant avec une copie conforme d’une page de votre site bancaire ou d’un site
commercial à laquelle voue êtes familier. Cette E-mail vous invite à vous connecter ???? pour mettre à
jour les infos confidentielles afin de renforcer la sécurité des transactions.
Comment lutter
Aucun service digne de son nom ne vous demandera de procéder à de telles mises à jour par mail
(d’ailleurs les mises à jour sont peu utilisées, on efface et l’on recommence par courrier).
Examiner le site sur lequel vous devez vous connecter adresse http://www. Elle ne doit pas vous être
familière.
Spyware : Ce sont des logiciels espions qui ont été introduit dans votre ordinateur par le biais d’un
logiciel ou d’un virus. Ils restent à l’affût pour appréhender vos habitudes de consommation pour vous
envoyer des publicités adaptées à votre profil ou pour subtiliser des données sensibles. (tous ne sont pas
méchants, parfois certains sont indispensables pour pouvoir consulter un site).
Keyloggers: C’est un spyware particulier qui enregistre tout ce qui est tapé sur le clavier. Le pirate n’a
plus qu’à faire sa moisson de mots et de tenter de les utiliser.
Comment lutter
Utiliser un logiciel antispyware que l’on lancera périodiquement lors de la maintenance de votre micro.
(Ad-Aware www.lavasoftusa.com --> gratuit).
LES ANTIVIRUS
Ils ont une action préventive et ne servent que si leur « Base virale » est mise à jour régulièrement pour
détecter les signatures des virus (liveupdate).
Ils sont permanents sur le micro (payant) ou le micro peut être testé par un antivirus distant (gratuit).
Certains serveurs WEB proposent, moyennement un abonnement de protéger vos connexions réseau avec
leurs propres antivirus (protection instantanée).
Certains logiciels antivirus possèdent un « Contrôleur d’intégrité », base de données construite sur les
informations des fichiers de votre machine, taille, date de modification etc. Il vérifie que les fichiers
sensibles n’ont pas été modifiés, soupçonnent alors le virus et en avisent l’utilisateur.
Le but d’un antivirus est de vous avisez et de bloquer l’action d’un virus :
• Il n’a pas réussit à l’intercepter (base non mise à jour)
Cours VLC / Les virus et remèdes /Joseph Nobar
page 5 sur 6
• Il l’intercepte et détruit d’office le fichier infecté.
• Il l’intercepte le virus et met le fichier en « Quarantaine » car l’attaquant est indestructible.
Nota : l’antivirus n’a pas accès aux fichiers restaurés
Dans les trois cas ci-dessus les actions systématiques de Sauvegarde et de Restauration de données
prennent toute leur importance.
UTILITAIRES DE DESINFECTION
C’est un petit exécutable qui nettoie un ordinateur déjà infecté par un virus particulier. Il ne remplace
pas l’antivirus qui a un rôle préventif.
Ces petits utilitaires pèsent entre 20 et 500 Ko et se téléchargent sur les sites spécialisés qui combattent
les virus.
Pour utiliser ces utilitaires il vous faut connaître le nom du virus présent sur votre machine pour
l’éradiquer puis :
1. Récupérer le kit de désinfection adhoc.
2. WinXP : supprimer la restauration automatique des fichiers
3. Redémarrer votre ordinateur en mode sans échec
4. Lancer l’utilitaire de désinfection 2 fois (1 fois pour éradiquer 2 fois pour s’assurer que le virus
n’est plus présent).
Certains vers particulièrement élaborés (diffusent et ses dérivés Msblaster, Lovsan) se propagent par une
faille de sécurité du navigateur internet (Microsoft explorer), vous pouvez donc être contaminé par le
virus, simplement, en naviguant sur un site internet.
Si la faille n’est pas sur le site consulté mais sur votre navigateur Internet probablement de version
ancienne, vous devrez en plus de l’utilitaire de désinfection vous procurer le « Patch » correctif du
logiciel de navigation.
En RESUMER : PAS DE PANIQUE. Suivez ces conseils :
• Connaître la configuration de son système.
• Effectuer des sauvegardes régulièrement.
• Réaliser une maintenance régulière de votre ordinateur.
• Effectuer des mises à jour de vos Antivirus.
• Utiliser un logiciel pare-feu (firewall)
• Tenez un cahier de bord de votre exploitation
• Eliminez les E-mail douteux comportant des pièces jointes.
EXERCICES : consultez le site www.cnil.fr (commission nationale informatique et liberté) Service vos
traces --> Découvrez comment vous êtes pisté sur internet --> votre configuration --> etc. pour vous
rendre compte de votre vulnérabilité.
Cours VLC / Les virus et remèdes /Joseph Nobar
page 6 sur 6