Virus informatiques - fghinformatique.fr

20 décembre 2012
Bulletin Numéro 19
Virus informatiques
Introduction
De. FGH Informatique
Articles de ce
bulletin
d’informations
Introduction
Virus, qui êtesvous ?
Virus, nous
appartenons à
une grande
famille !
Virus, nous
appartenons à
une grande
famille ! (suite)
Comportement
à respecter
La défense en
action !
La stratégie !
Pour conclure
1960/ - 1980. Les
premiers vers
Dans un but ludique,
divers informaticiens développent un nouveau
concept de jeu informatique. Pour chacun d'entre
eux, il s'agit d'écrire un
programme capable de
créer des copies de luimême tout en cherchant à
éliminer les programmes
adverses. Ces programmes n’ont rien de malveillant. Certains experts
redoutent cependant une
mauvaise utilisation ou un
dysfonctionnement.
Les
prédictions se réaliseront.
1980 -1988 - La genèse
des virus
A partir de 1981, quelques
exemples de diffusion de
codes autoreproducteurs
sont signalés sur Apple-II.
En 1986, les premiers cas
d'infections font leur apparition dans le monde
PC. A cette même période, apparaissent les
premiers vers spécifiquement malveillants. Le plus
fameux d’entre eux atteint
Internet le 2 novembre
1988 et porte les initiales
de son créateur : RTM
(Robert Tappan Morris).
1989 -1992
Les choses sérieuses
commencent. Alors qu’apparaissent les premiers
anti-virus, aucune région
du monde n'est épargnée
par le phénomène. La
propagation se fait principalement par l’entremise de disquettes, et
c’est une propagation
lente. Le printemps 1989
est marqué par l'alerte au
virus Datacrime et sa forte
résonance médiatique. En
1991, les grands éditeurs,
Symantec, McAfee, proposent déjà leurs produits.
Le nombre de virus passe
de 250 à 1000.
1992 – 1995
Le premier virus ciblant
Windows est diffusé en
septembre
1992.
On
assiste à la multiplication
des groupes d'auteurs de
virus, des générateurs de
virus et, les virus ne cessent de se complexifier.
1995 – 1999 - Les virus
de macros
L'idée n'est pas nouvelle,
mais cette mise en
circulation contraint les
entreprises à réviser leur
politique de sécurité. En
effet, le virus ne se
propage plus exclusivement via un programme
exécutable mais aussi par
le biais d’un fichier
bureautique que l’on avait
tendance à considérer
comme un simple fichier
de données. En 1996,
Boza est le premier virus
spécifiquement créé pour
Windows 95. On compte
plus de 1000 macro-virus
en juin 1997. En un an, le
nombre total de virus
connus passe de 15000 à
40000.
1999 – 2000
L'utilisation des disquettes
se raréfie. Les échanges
informatiques par e-mail
prennent le relais. Le premier virus mondialement
connu qui exploite la messagerie électronique apparaît en janvier 1999. Il
s'agit de W32/Ska@M. Ils
se répandent par le biais
d’une pièce jointe. Janvier
2000, on recense plus de
56000 virus. Les équipements nomades, tels que
les assistants numériques
(PDA, Personal digital
Assistant) et les téléphones portables, offrent de
nouvelles
plates-formes
de recherche.
2003 – A nos jours
L’échange de fichiers
musicaux et vidéo est une
pratique de plus en plus
courante sur le Net. Le
nombre de virus utilisant
comme moyen de propagation cette technologie
d’échange, dite poste à
poste, augmente très rapidement. On en compte
plus de 300 au début de
2003 et plusieurs milliers
à la fin de cette même
année. Ordinateurs, tablettes, téléphones portables, rien n’est épargné de
nos jours.
Bonne Lecture…
Les mots techniques soulignés en bleu comportent un lien hypertexte. Pour les ouvrir, il vous suffit
de mettre votre souris sur le mot, d’appuyer sur la touche CTRL et de cliquer en même temps.
Virus informatiques
Page 2 sur 8
Virus, qui êtes-vous ?
Avec l'avancée de la technologie actuellement, il est
de plus en plus facile de
créer puis lancer des virus
informatiques. N'importe
qui peut en être victime et,
d'ailleurs, nous pensons
que beaucoup d'entre
vous l'ont été. Mais
voyons ce qu'est un virus
informatique exactement.
Un virus informatique est
un petit programme dit
dangereux avec la capa
cité de pouvoir générer
des copies de lui-même,
et ainsi se répandre dans
le système informatique
mais également dans le
système de vos contacts.
En effet, il suffit d'un envoi
de mail ou d'une conversation sur MSN ou skype
pour le voir se propager
un peu partout dans les
PC de vos connaissances.
Il a notamment été créé
par une personne bien
humaine pour endommager un ordinateur à l'insu
de l'utilisateur lui-même. Il
peut également vous enlever partiellement voire totalement le contrôle de
votre ordinateur. Celui-ci
n'en fera plus "qu'à sa
tête" et devient donc
dangereux pour lui-même,
ce qui se traduit systématiquement par un reformatage de la machine. Il
peut avoir la capacité
d’infecter vos données. Le
véritable nom donné aux
virus est CPA soit Code
Auto-Propageable, mais
par analogie avec le
domaine médical, le nom
de "virus" leur a été
donné.
Les virus résidents (appelés TSR en anglais pour
Terminate and stay resident) se chargent dans la
mémoire vive de votre
ordinateur afin d'infecter
les fichiers exécutables
qui vous avez lancé.
Les virus non résidants
infectent les programmes
présents sur le disque dur
dès leur exécution.
Le champ d'application
des virus va de la simple
balle de ping-pong qui traverse l’écran au virus destructeur de données, ce
dernier étant la forme de
virus la plus dangereuse.
Etant donné qu'il existe
une vaste gamme de virus
ayant des actions aussi
diverses que variées, ils
ne sont pas classés selon
leurs dégâts mais selon
leur mode de propagation
et d'infection.
L’organisation de l’activité
et le bon fonctionnement
des systèmes d’information peuvent également
être perturbés par la diffusion de courriers ou
d’éléments non sollicités
tels que des farces, en
anglais jokes (programmes inoffensifs et dédiés
à de l'amusement). On retrouve dans cette catégorie des courriers non
sollicités, plouriels, en
anglais spam (messages
à caractère commercial
s’appuyant
éventuellement sur une usurpation
d’adresse électronique).
Aussi, on peut trouver des
arnaques financières tel
que le scam (messages
vous proposant un mon-
tage financier attractif derrière lequel se cache une
escroquerie qui s’articule
autour d’une demande
d’avance de fonds de la
part de la victime. Il peut
aussi se caractériser par
rumeurs,
en
anglais
hoaxes (informations malveillantes et non fondées
qui sont diffusées pour
inquiéter les destinataires
ou discréditer une personne ou un organisme. Méfiez-vous également des
lettres chaînes (messages
s’appuyant sur la crédulité
des destinataires faisant
appel à la piété, la générosité ou la superstition et
proposant éventuellement
un enrichissement personnel. Il faut savoir qu’il est
impossible de transmettre
un virus par un courriel qui
ne contient que du texte.
Les virus peuvent seulement se propager par les
pièces jointes mais surtout
par le biais de téléchargement. Vérifiez toujours
les supports (clé – disque
dur externe), même les
nouveaux logiciels scellés,
à la recherche de virus
avant d'installer des programmes ou d'ouvrir des
fichiers. Protégez également contre l'écriture, tous
les supports que vous
prêtez, afin que d'autres
ordinateurs ne les infectent pas.
Ces précautions vous
permettront de réduire le
risque d'infecter votre
ordinateur et vous empêcheront également de
transmettre des virus aux
autres ordinateurs.
Car comme on dit... mieux
vaut prévenir que guérir.
Page 3 sur 8
Virus informatiques
Virus, nous appartenons à une grande
famille !
Bombe logique
C’est un programme contenant une fonction destructrice cachée et généralement associée à un
déclenchement
différé.
Cette fonction a été rajoutée de façon illicite à un
programme présent sur
votre ordinateur qui conservera son apparence
anodine et son fonctionnement correct jusqu’au
moment choisi par le
programmeur malveillant.
Elle peut être conçue pour
frapper au hasard ou de
manière ciblée.
Exemple : un programmeur insère dans un
logiciel public distribué
gratuitement sur Internet
une routine de destruction
qui se déclenche chaque
1er avril.
Chevaux de Troie et
portes dérobées (en
anglais backdoors)
Ces programmes permettent d’obtenir un accès
non autorisé sur les équipements qui les contiennent. On utilise le terme
de cheval de Troie lorsqu’il s’agit d’une fonction
cachée et rajoutée au sein
d’un programme légitime
quelconque. Le terme de
porte dérobée s’applique
à tout programme malveillant spécifiquement dédié
à cet effet. Il s'agit en fait
d’un élément qui permet la
prise de contrôle à distance d’un PC. Deux ordinateurs entrent en jeu. Le
premier contient l'élément
client, il pilotera le processus. Le second (le vôtre)
est la machine cible ; il
contient le cheval de Troie
ou la porte dérobée. Il
devra être actif sur la
machine pour pouvoir
initier la connexion avec
l’élément client. Le pirate
interroge le réseau et dès
que vous êtes reconnus
comme connecté, la prise
en main à distance peut
être initiée par ce même
pirate.
Une telle prise de contrôle
à distance peut être
légitime (opération de
télémaintenance) ou non.
Dans le cas d'un acte
malveillant, le propriétaire
de la machine visitée a
exécuté à son insu
l’élément illicite. Il ignore
que son poste peut être
visité. Avec de tels outils,
un pirate est à même de
prendre le contrôle total
de votre ordinateur. A titre
d'exemple, il peut analyser la configuration de la
machine, modifier la base
de registre, naviguer dans
vos répertoires, exécuter
un programme sur votre
machine, verrouiller votre
ordinateur, visualiser l’affichage et surveiller les
frappes au clavier (Renifleur
de
clavier
ou
Keylogger en anglais).
Keylogger
C’est un programme qui
permet d'enregistrer les
frappes au clavier. Son rôle ne se limite pas à l’enregistrement d’éventuels
mots de passe. Il peut être
sélectif ou enregistrer l’intégralité des informations
qui transitent sur le périphérique de saisie. La plupart de ces dispositifs sont
invisibles. Les frappes clavier sont généralement
écrites dans un fichier
temporaire chiffré et envo-
yé automatiquement, par
courrier électronique, à
l'espion. Le pire, c’est que
certains keyloggers sont
en vente libre (exemple:
Ghost
Keylogger
ou
Keylogger pro).
Publiciel et espiogiciel
Au fil de la navigation sur
le Web, divers programmes sont installés sur
l’ordinateur à votre insu.
Ils sont plus communément connus sous leurs
terminologies
anglaises
d’adware et de spyware.
Un adware (Advertising
Supported Software) est
un logiciel qui permet
d'afficher des bannières
publicitaires. La plupart
des annonceurs sont juridiquement légitimes et
leur société commerciale
reconnue.
Les programmes ne diffusent pas d’information
vers l’extérieur mais permettent la planification ciblée de messages d’accroche. Les
spywares
sont des adwares qui
installent sur le poste de
l'utilisateur un logiciel espion et envoient régulièrement et, sans accord
préalable, des informations statistiques sur les
habitudes de celui-ci. Certains spywares peuvent
aussi modifier les paramètres système à leur
avantage pour imposer, à
l’utilisateur qui en est la
victime, un certain mode
de navigation sur le Web.
Ces logiciels peuvent aussi capturer vos habitudes
en consultation hors ligne.
Ils expédient les résultats
de leur collecte à chaque
ouverture du navigateur.
Page 4 sur 8
Virus informatiques
Virus, nous appartenons à une grande
famille ! (suite)
Relais de spam
Installés sur la machine à
l’insu de son propriétaire,
ces mini-serveurs permettent l’émission du courrier
non-sollicité (spam) vers
les victimes de spammeurs. Cette technique
leur évite de se faire euxmêmes détecter et bloquer directement par leur
fournisseur d’accès. Cette
pratique équivaut à un détournement de ressources.
Programmes autoreproducteurs
La finalité d'un programme auto-reproducteur est
d’exploiter, de perturber
ou de détruire. A sa
première exécution, le
programme cherche à se
reproduire. Il sera donc
généralement résident en
mémoire et, dans un
premier temps, discret. La
fonctionnalité malveillante
s'effectuera dans un délai
plus ou moins court et sur
un critère quelconque
prédéfini. Pour de nombreux virus la perturbation
se limite à la reproduction
et à tous les ennuis qu'elle
engendre. Il n'y a pas à
proprement
parler
de
fonction malveillante (récupération d’informations).
Il existe quatre catégories
principales de virus. Elles
ont chacune une cible
bien précis.
Les virus
« programme »
Ils cherchent à infecter les
fichiers exécutables. Le
principe, le virus est
présent dans un fichier
exécutable et, lorsque
celui-ci est exécuté, le
virus choisit et contamine
un ou plusieurs autres
fichiers. II agit généralement par ajout entraînant
une augmentation de
taille. Il se maintient résident en mémoire et infecte d'autres fichiers à
l'exécution, ou simplement
lors d'une manipulation.
Les virus système
Ils infectent les zones
systèmes des disques
durs ou des disquettes en
s’installant
dans
les
partitions de démarrage
ou secteur d’amorçage de
votre disque dur (MBR ou
Master Boot Record). A
partir de cet instant, le
démarrage de votre disque dur donc de votre
système Windows peut
être compromis.
Les virus interprétés
Les
virus
interprétés
regroupent principalement
les virus de macro et les
virus de script. Du fait de
la sophistication des outils
de bureautique actuels,
tout fichier de données
doit être considéré comme
potentiellement
dangereux. Sans toujours en
imaginer les conséquences, les fichiers de données contenant textes ou
feuilles de calcul se sont
trouvés
enrichis
de
routines automatisables et
programmables avec des
macros où certains pirates
peuvent y introduire des
virus.
Les vers
Dès 1949, Johann Von
Neumann avait publié un
article dans lequel il
affirmait qu'il était possible
d'écrire un programme
informatique capable de
s'auto reproduire. On appelle ver (en anglais logic
worm) un tel programme
qui, en s'auto-dupliquant à
grande vitesse dans un
système et dans un réseau informatiques, peut
parvenir ainsi à saturer
toutes leurs ressources.
Le fonctionnement d'un
ver informatique est le
suivant : Le ver s’introduit
sur une machine. il recherche alors et établit la
liste des machines qui
sont connectées sur le
même réseau si vous
avez plusieurs ordinateurs. Il force les mots de
passe et se fait reconnaître par les autres machines. Ensuite il insère le
programme-ver dans les
machines
découvertes.
Puis, le programme introduit est à son tour actif et
va rechercher d'autres
machines.
Depuis longtemps, écrire
des programmes capables
de s'auto reproduire est
resté un jeu pour les
étudiants doués et les
chercheurs. Un ver arrive
donc directement par le
réseau en profitant d'un
port ouvert, mais la
méthode la plus classique
consiste à s'introduire
sous la forme d'une pièce
jointe attachée à un mail.
Certains s'exécutent alors
directement à la simple
lecture du mail (en
particulier si le système de
l’ordinateur n'a pas été
mis à jour).
Mais la plupart du temps il
faut cliquer sur la pièce
jointe pour que le ver
s'exécute.
Virus informatiques
Page 5 sur 8
Comportements à respecter
Après l’exposé de ces
dangers, ils nous semblent important de vous
communiquer
quelques
règles à respecter qui
malheureusement ne sont
pas toujours faciles à
appliquer. Ces règles sont
pourtant essentielles, car
le meilleur programme
antivirus ne peut pas vous
protéger à 100 % contre
un virus totalement nouveau, tandis que le respect de ces précautions
permet d'éviter la plupart
des problèmes.
Evitez à tout prix les
programmes piratés qui
ont fait l'objet d'un tel
nombre de copies qu'on
ne sait plus quelle en est
l'origine.
Vérifiez systématiquement
les supports que l’on vous
transmet avec un antivirus, en veillant à ce que
ceux-ci servant à l'échange de données ne contiennent aucun programme exécutable (ceci évite
la transmission des virus
de programmes).
Si le message provient
d'une personne de confiance et si le fichier
attaché est clairement
annoncé dans le texte par
l'expéditeur du message,
on peut considérer que sa
consultation est probablement peu risquée. Dans
tous les autres cas il faut
considérer que le fichier
est suspect (même si
vous connaissez l'expéditeur). En particulier les
pièces attachées ayant les
extensions suivantes sont
pratiquement à coup sûr
des fichiers de virus :
COM, EXE, BAT, PIF,
VBS, LNK, SCR ainsi que
les fichiers ayant une
double extension (par
exemple le célèbre LoveLetter-For-You.TXT.VBS).
Recommandations très
importantes
Les versions actuelles de
Windows sont configurées
par défaut pour ne pas
afficher l'extension de la
plupart des fichiers : par
exemple document.doc
sera affiché document. Il
est donc fortement conseillé de rétablir l'option
d'affichage des extensions.
La prévention contre les
virus ou vers de mails
implique quelques précautions de base. La manière
la plus simple de s'en
prémunir est de ne jamais
cliquer sur un document
attaché, même s'il a été
envoyé par une personne
de confiance, car ce type
de virus est joint au message à l'insu de l'expéditeur. Une bonne règle
est de préciser dans le
texte du message le nom
et la nature du fichier joint.
On vous conseille d'éviter
le
téléchargement
de
logiciels sauf si on est en
mesure de contrôler l’intégrité de ceux-ci. En fait
les sites Internet de
téléchargement les plus
connus contrôlent sérieusement l'intégrité des
programmes qu'ils proposent, mais il faudra proscrire les autres sources,
en particulier les sites
spécialisés
dans
la
distribution de logiciels
piratés (dits sites Warez)
et se méfier des échanges
entre particuliers (P2P
comme Ares ou Emule).
Pour les utilisateurs de
Windows, utilisez toujours
les dernières mises à jour
qui peuvent être chargées
et installer automatiquement ou à partir du site de
Microsoft car divers virus
récents exploitent des
trous de sécurité existant
dans Windows ou ces programmes (Internet explorer par exemple). Les
mises à jour incorporent
des protections nouvelles
au fur et à mesure que
des problèmes sont signalés. Divers virus dangereux se sont propagés
grâce à des ordinateurs
non mis à jour, alors que
les correctifs avaient été
diffusés par Microsoft plusieurs mois auparavant.
Faites des sauvegardes
régulières des fichiers
importants sur des supports externes (CD-DVD –
disque externe ou clé
USB). En cas d'attaque
par un virus, on pourra
revenir à une copie
intacte. Il faut toutefois
être sûr que la copie de
sauvegarde soit saine, ce
qui n'est pas toujours
évident.
Pour contrer tout cela, il
existe des solutions spécifiques
de
détection
d’éradication, mais les
versions des logiciels
antivirus prennent
en
compte les spywares.
Après ces recommandations, passons maintenant
à la partie protection de
votre ordinateur et de vos
données.
Page 6 sur 8
Virus informatiques
La défense en action !
L’antivirus et
éradication
Un antivirus est un programme capable de détecter la présence de virus
sur un ordinateur et, dans
la mesure du possible, de
désinfecter ce dernier. On
parle ainsi d'éradication
de virus pour désigner la
procédure de nettoyage
de l'ordinateur.
Il existe plusieurs méthodes d'éradication :
La 1ére est la suppression
du code correspondant au
virus dans le fichier
infecté.
La 2ème consiste à supprimer le fichier infecté.
La 3ème est la mise en
quarantaine du fichier infecté, ce qui consiste à le
déplacer dans un emplacement où il ne pourra
pas être exécuté.
Détection des virus
Les virus se reproduisent
en copiant une portion de
code exécutable au sein
d'un programme existant.
Or, afin de ne pas avoir un
fonctionnement chaotique,
les virus sont programmés
pour ne pas infecter
plusieurs fois un même
fichier. Ils intègrent ainsi
dans l'application infectée
une suite d'octets leur
permettant de vérifier si le
programme a préalablement été infecté : il s'agit
de la signature virale.
Les antivirus s'appuient
ainsi sur cette signature
propre à chaque virus
pour les détecter. Il s'agit
de
la
méthode
de
recherche de signature
(scanning), la plus ancienne méthode utilisée par
les antivirus. Cette méthode n'est fiable que si
l'antivirus possède une
base virale à jour, c'est-àdire comportant les signatures de tous les virus
connus. Toutefois cette
méthode ne permet pas la
détection des virus n'ayant pas encore été répertoriés par les éditeurs
d'antivirus. De plus, les
programmeurs de virus
les ont dotés de capacités
de camouflage, de manière à rendre leur signature difficile à détecter,
voire indétectable : il s'agit
de "virus polymorphes".
Certains antivirus utilisent
un contrôleur d'intégrité
pour vérifier si les fichiers
ont été modifiés. Ainsi le
contrôleur d'intégrité construit une base de données
contenant des informations sur les fichiers
exécutables du système
(date de modification,
taille et éventuellement
une somme de contrôle).
Ainsi, lorsqu'un fichier
exécutable change de
caractéristiques, l'antivirus
prévient l'utilisateur de la
machine.
La méthode heuristique
consiste à analyser le
comportement des applications afin de détecter
une activité proche de
celle d'un virus connu. Ce
type d'antivirus peut ainsi
détecter des virus même
lorsque la base antivirale
n'a pas été mise à jour.
En contrepartie, ils sont
susceptibles de déclencher de fausses alertes.
Une autre méthode consiste à prendre une empreinte de chaque fichier
de programme et à contrôler périodiquement que
ce fichier n'a subi aucune
modification. Cette métho-
de ne permet que la
détermination a posteriori
d'une contamination, mais
elle offre théoriquement
l'avantage de détecter la
présence de virus encore
inconnus. L'empreinte du
fichier comprend généralement son nom, ses date
et heure de création ou
modification, sa longueur
et une somme de contrôle
obtenue en faisant la
somme
(en
utilisant
l'opération modulo) de
tous les octets du code du
logiciel, ou de certaines
zones sensibles de celuici. Le logiciel antivirus
enregistre ces données
lors d'un premier examen
du disque et, lors des
examens ultérieurs, compare ces données initiales
avec celles que lui fournit
l'examen en cours. En
théorie, toute modification,
même minime, d'un fichier
doit pouvoir être détectée
ainsi. En réalité, certains
virus utilisent des méthodes sophistiquées pour
leurrer ces logiciels de
contrôle.
On peut comparer un
antivirus à un gilet pareballes : celui-ci n'empêche
pas la possibilité de
blessures à la tête ou aux
membres, mais il réduit
fortement les risques. Il
existe divers programmes
commerciaux tout à fait
sérieux. Ils permettent de
contrôler et, lorsque c'est
possible, de décontaminer
les fichiers ou disques
infectés.
Des versions sont adaptées à la protection des
réseaux et ils prennent en
charge les risques nouveaux liés à l'utilisation
d'Internet.
Virus informatiques
Page 7 sur 8
La stratégie !
Il y a deux stratégies
fondamentales d'utilisation
de l’antivirus.
La 1ère stratégie est d'utiliser ces outils pour scanner tout nouveau fichier
avant installation ainsi que
les CD/DVD-Rom avant
utilisation. Par précaution,
il est également recommandé de scanner périodiquement son disque dur.
La 2ème technique consiste à installer en mémoire au démarrage de
l'ordinateur un module
antivirus spécial, appelé
généralement
moniteur.
Tous les antivirus actuels
en possèdent un. Celui-ci
peut rechercher automatiquement la signature de
virus connus dans tout
fichier devant être exécuté
ou recopié. Il peut aussi
surveiller en permanence
l'activité de l'ordinateur,
détecter et empêcher tout
comportement suspect :
tentative d'écriture sur le
secteur d'amorçage, effacement inopiné de fichier,
formatage du disque, écriture directe sur le disque,
contournement des fonctions du système d'exploitation ou détournement de
celles-ci de leur rôle normal.
Cette
stratégie
permet, en théorie, d'intercepter à la source les
tentatives de contamination ou d'agression des
virus même inconnus.
Contrairement aux moniteurs fondés essentiellement sur la recherche des
signatures, ceux qui reposent sur la surveillance
d'opérations
suspectes
affichent souvent des
messages
d'avertissement lors du fonctionnement de divers programmes sains. En effet
certains de ces comportements
suspects
sont
également utilisés par des
programmes normaux. Si
ces antivirus sont mal
conçus les messages
seront trop nombreux et
finalement l'utilisateur n'en
tiendra aucun compte ou
abandonnera l'usage de
ce dispositif de protection.
Si les messages ne sont
pas assez nombreux, une
agression assez habile
pourra passer inaperçue.
Cette méthode n'a pas
non plus une efficacité
absolue, car certains virus
sont capables de masquer
leur action. Il faut savoir
que les moniteurs fonctionnant en temps réel
peuvent être moins efficaces que les programmes
d'analyse lancés à la demande. Ils ne dispensent
donc pas de faire une
analyse systématique du
disque de façon périodique.
On distingue les virus
actuellement en circulation (virus in the wild, dans
le jargon des spécialistes)
et les virus (in the zoo),
qui ne se rencontrent que
dans les collections des
spécialistes et des éditeurs d'antivirus. Ce dernier groupe comprend des
virus qui n'ont jamais
vraiment réussi à percer,
des virus expérimentaux
et des virus très anciens
qui ne se rencontrent plus
actuellement. Cette distinction est importante : en
raison de l'inflation du
nombre des virus les
éditeurs ont tendance à
retirer de la base de
signatures les virus les
plus anciens, afin d'éviter
d'avoir une base de taille
excessive qui ralentirait
fortement l'analyse. On
peut donc avoir de mauvaises surprises en réutilisant des fichiers se
trouvant sur de
supports externes.
vieux
Si l'antivirus est paralysé
par un virus ou ver on
peut avoir recours à un
antivirus en ligne. Ils
nécessitent généralement
l'utilisation d’un navigateur
internet fonctionnel et non
vérolé.
Les pare-feu (firewalls
en anglais)
L’ordinateur est connecté
à Internet. il est donc
susceptible de subir des
agressions variées en
provenance du réseau.
Ces tentatives d'intrusion
utilisent des portes d'entrées (ports) par lesquels
les
divers
protocoles
communiquent avec d'autres
ordinateurs
(par
exemple les serveurs Web
communiquent à travers le
port 80).
Il faut savoir que divers
antivirus possèdent une
option pour scanner la
messagerie, mais cette
option est inutile. En effet
les virus ne peuvent pas
s'activer lorsqu'ils sont
archivés. En outre chaque
dossier (exemple Boîte de
réception) correspond à
un fichier unique qui peut
être de taille importante si
on a l'habitude d'archiver
ses mails. Comme souvent la seule solution en
cas d'infection serait de
détruire le fichier (ce qui
est fait parfois automatiquement), on perdrait
alors tous les mails archivés. Le bon réflexe, si on
veut consulter le document attaché à un mail,
consiste à l'enregistrer sur
le disque dur et à le scanner avant son ouverture
car beaucoup d'antivirus
détecteront d'ailleurs un
éventuel virus dès la
phase d'enregistrement).
Page 8 sur 8
Virus informatiques
Pour conclure ce 19ème bulletin.
FGH Informatique
Gilles HUVET
9. Boulevard Paixhans
57000 Metz
TELEPHONE :
09 81 69 27 22
MOBILE :
06 50 57 19 68
ADRESSE ÉLECTRONIQUE :
[email protected]
En conclusion, nous pouvons retenir
que, dans certains cas, le virus est
détecté avant le déclenchement de sa
fonction de dommage. S'il s'agit d'un
virus du système, il suffit de remplacer
le secteur d'amorçage mais c'est délicat. S'il s'agit d'un virus de programme,
la solution la plus simple est de détruire
les programmes infectés et de les remplacer par une copie de réserve saine.
Ceci peut prendre beaucoup de temps,
car il suffit d'oublier un seul programme
contaminé pour que le virus se propage
de nouveau. Divers antivirus proposent
la réparation automatique des programmes (pour certains virus uniquement).
Face à un fichier contenant un virus qui
ne peut être désinfecté, l'antivirus propose généralement l'effacement complet ou la mise en quarantaine. On
rencontre toutefois de plus en plus de
cas où l'élimination d'un ver semble
impossible. Cela peut être dû à deux
problèmes. Le premier est qu'on ne
peut généralement pas effacer le fichier
d'un programme actif. Le deuxième est
que de plus en plus de vers désactivent
les antivirus connus.
Nous sommes sur le
web
Le deuxième type d'intervention correspond aux cas où le virus a déjà causé
des dommages. Dans ce cas, il faudra
détruire toute trace du virus mais également essayer de réparer ce qui peut
l'être, car toutes les situations peuvent
se rencontrer, depuis l'altération d'un
petit nombre de fichiers jusqu'au
formatage du disque dur. Un fichier
entièrement effacé peut souvent être
récupéré grâce à des programmes
spécialisés. De même une atteinte de
la table de partition du disque peut
faire croire que celui-ci est hors
d'usage alors qu'il peut être récupéré
assez facilement.
En règle générale toutefois la plupart
des opérations de réparation portant
sur les fichiers ou le disque dur ne
sont pas à la portée de n'importe qui,
même en ayant des connaissances
de base en informatique. Certaines
tentatives maladroites causent plus de
dommages que le virus lui-même et
contrairement à ce qu'on pense : un
formatage complet du disque (dans
l'espoir d'effacer toute trace de
contamination) est inutile et même ne
détruit pas les virus de système
contenus dans le premier secteur du
disque (table de partition ou MBR).
Il ne s'agit là que de quelques
exemples ; on aurait pu faire d'autres
choix dans une liste malheureusement trop longue.
Plusieurs nouveaux virus ou vers apparaissent chaque semaine. N’hésitez
pas à nous consulter si votre ordinateur présente des signes d’instabilité.
Retrouvez-nous, à l'adresse :
www.fghinformatique.fr
Rendez-vous l’année prochaine pour un nouveau
bulletin d’informations