Virus informatiques - fghinformatique.fr
Transcription
Virus informatiques - fghinformatique.fr
20 décembre 2012 Bulletin Numéro 19 Virus informatiques Introduction De. FGH Informatique Articles de ce bulletin d’informations Introduction Virus, qui êtesvous ? Virus, nous appartenons à une grande famille ! Virus, nous appartenons à une grande famille ! (suite) Comportement à respecter La défense en action ! La stratégie ! Pour conclure 1960/ - 1980. Les premiers vers Dans un but ludique, divers informaticiens développent un nouveau concept de jeu informatique. Pour chacun d'entre eux, il s'agit d'écrire un programme capable de créer des copies de luimême tout en cherchant à éliminer les programmes adverses. Ces programmes n’ont rien de malveillant. Certains experts redoutent cependant une mauvaise utilisation ou un dysfonctionnement. Les prédictions se réaliseront. 1980 -1988 - La genèse des virus A partir de 1981, quelques exemples de diffusion de codes autoreproducteurs sont signalés sur Apple-II. En 1986, les premiers cas d'infections font leur apparition dans le monde PC. A cette même période, apparaissent les premiers vers spécifiquement malveillants. Le plus fameux d’entre eux atteint Internet le 2 novembre 1988 et porte les initiales de son créateur : RTM (Robert Tappan Morris). 1989 -1992 Les choses sérieuses commencent. Alors qu’apparaissent les premiers anti-virus, aucune région du monde n'est épargnée par le phénomène. La propagation se fait principalement par l’entremise de disquettes, et c’est une propagation lente. Le printemps 1989 est marqué par l'alerte au virus Datacrime et sa forte résonance médiatique. En 1991, les grands éditeurs, Symantec, McAfee, proposent déjà leurs produits. Le nombre de virus passe de 250 à 1000. 1992 – 1995 Le premier virus ciblant Windows est diffusé en septembre 1992. On assiste à la multiplication des groupes d'auteurs de virus, des générateurs de virus et, les virus ne cessent de se complexifier. 1995 – 1999 - Les virus de macros L'idée n'est pas nouvelle, mais cette mise en circulation contraint les entreprises à réviser leur politique de sécurité. En effet, le virus ne se propage plus exclusivement via un programme exécutable mais aussi par le biais d’un fichier bureautique que l’on avait tendance à considérer comme un simple fichier de données. En 1996, Boza est le premier virus spécifiquement créé pour Windows 95. On compte plus de 1000 macro-virus en juin 1997. En un an, le nombre total de virus connus passe de 15000 à 40000. 1999 – 2000 L'utilisation des disquettes se raréfie. Les échanges informatiques par e-mail prennent le relais. Le premier virus mondialement connu qui exploite la messagerie électronique apparaît en janvier 1999. Il s'agit de W32/Ska@M. Ils se répandent par le biais d’une pièce jointe. Janvier 2000, on recense plus de 56000 virus. Les équipements nomades, tels que les assistants numériques (PDA, Personal digital Assistant) et les téléphones portables, offrent de nouvelles plates-formes de recherche. 2003 – A nos jours L’échange de fichiers musicaux et vidéo est une pratique de plus en plus courante sur le Net. Le nombre de virus utilisant comme moyen de propagation cette technologie d’échange, dite poste à poste, augmente très rapidement. On en compte plus de 300 au début de 2003 et plusieurs milliers à la fin de cette même année. Ordinateurs, tablettes, téléphones portables, rien n’est épargné de nos jours. Bonne Lecture… Les mots techniques soulignés en bleu comportent un lien hypertexte. Pour les ouvrir, il vous suffit de mettre votre souris sur le mot, d’appuyer sur la touche CTRL et de cliquer en même temps. Virus informatiques Page 2 sur 8 Virus, qui êtes-vous ? Avec l'avancée de la technologie actuellement, il est de plus en plus facile de créer puis lancer des virus informatiques. N'importe qui peut en être victime et, d'ailleurs, nous pensons que beaucoup d'entre vous l'ont été. Mais voyons ce qu'est un virus informatique exactement. Un virus informatique est un petit programme dit dangereux avec la capa cité de pouvoir générer des copies de lui-même, et ainsi se répandre dans le système informatique mais également dans le système de vos contacts. En effet, il suffit d'un envoi de mail ou d'une conversation sur MSN ou skype pour le voir se propager un peu partout dans les PC de vos connaissances. Il a notamment été créé par une personne bien humaine pour endommager un ordinateur à l'insu de l'utilisateur lui-même. Il peut également vous enlever partiellement voire totalement le contrôle de votre ordinateur. Celui-ci n'en fera plus "qu'à sa tête" et devient donc dangereux pour lui-même, ce qui se traduit systématiquement par un reformatage de la machine. Il peut avoir la capacité d’infecter vos données. Le véritable nom donné aux virus est CPA soit Code Auto-Propageable, mais par analogie avec le domaine médical, le nom de "virus" leur a été donné. Les virus résidents (appelés TSR en anglais pour Terminate and stay resident) se chargent dans la mémoire vive de votre ordinateur afin d'infecter les fichiers exécutables qui vous avez lancé. Les virus non résidants infectent les programmes présents sur le disque dur dès leur exécution. Le champ d'application des virus va de la simple balle de ping-pong qui traverse l’écran au virus destructeur de données, ce dernier étant la forme de virus la plus dangereuse. Etant donné qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variées, ils ne sont pas classés selon leurs dégâts mais selon leur mode de propagation et d'infection. L’organisation de l’activité et le bon fonctionnement des systèmes d’information peuvent également être perturbés par la diffusion de courriers ou d’éléments non sollicités tels que des farces, en anglais jokes (programmes inoffensifs et dédiés à de l'amusement). On retrouve dans cette catégorie des courriers non sollicités, plouriels, en anglais spam (messages à caractère commercial s’appuyant éventuellement sur une usurpation d’adresse électronique). Aussi, on peut trouver des arnaques financières tel que le scam (messages vous proposant un mon- tage financier attractif derrière lequel se cache une escroquerie qui s’articule autour d’une demande d’avance de fonds de la part de la victime. Il peut aussi se caractériser par rumeurs, en anglais hoaxes (informations malveillantes et non fondées qui sont diffusées pour inquiéter les destinataires ou discréditer une personne ou un organisme. Méfiez-vous également des lettres chaînes (messages s’appuyant sur la crédulité des destinataires faisant appel à la piété, la générosité ou la superstition et proposant éventuellement un enrichissement personnel. Il faut savoir qu’il est impossible de transmettre un virus par un courriel qui ne contient que du texte. Les virus peuvent seulement se propager par les pièces jointes mais surtout par le biais de téléchargement. Vérifiez toujours les supports (clé – disque dur externe), même les nouveaux logiciels scellés, à la recherche de virus avant d'installer des programmes ou d'ouvrir des fichiers. Protégez également contre l'écriture, tous les supports que vous prêtez, afin que d'autres ordinateurs ne les infectent pas. Ces précautions vous permettront de réduire le risque d'infecter votre ordinateur et vous empêcheront également de transmettre des virus aux autres ordinateurs. Car comme on dit... mieux vaut prévenir que guérir. Page 3 sur 8 Virus informatiques Virus, nous appartenons à une grande famille ! Bombe logique C’est un programme contenant une fonction destructrice cachée et généralement associée à un déclenchement différé. Cette fonction a été rajoutée de façon illicite à un programme présent sur votre ordinateur qui conservera son apparence anodine et son fonctionnement correct jusqu’au moment choisi par le programmeur malveillant. Elle peut être conçue pour frapper au hasard ou de manière ciblée. Exemple : un programmeur insère dans un logiciel public distribué gratuitement sur Internet une routine de destruction qui se déclenche chaque 1er avril. Chevaux de Troie et portes dérobées (en anglais backdoors) Ces programmes permettent d’obtenir un accès non autorisé sur les équipements qui les contiennent. On utilise le terme de cheval de Troie lorsqu’il s’agit d’une fonction cachée et rajoutée au sein d’un programme légitime quelconque. Le terme de porte dérobée s’applique à tout programme malveillant spécifiquement dédié à cet effet. Il s'agit en fait d’un élément qui permet la prise de contrôle à distance d’un PC. Deux ordinateurs entrent en jeu. Le premier contient l'élément client, il pilotera le processus. Le second (le vôtre) est la machine cible ; il contient le cheval de Troie ou la porte dérobée. Il devra être actif sur la machine pour pouvoir initier la connexion avec l’élément client. Le pirate interroge le réseau et dès que vous êtes reconnus comme connecté, la prise en main à distance peut être initiée par ce même pirate. Une telle prise de contrôle à distance peut être légitime (opération de télémaintenance) ou non. Dans le cas d'un acte malveillant, le propriétaire de la machine visitée a exécuté à son insu l’élément illicite. Il ignore que son poste peut être visité. Avec de tels outils, un pirate est à même de prendre le contrôle total de votre ordinateur. A titre d'exemple, il peut analyser la configuration de la machine, modifier la base de registre, naviguer dans vos répertoires, exécuter un programme sur votre machine, verrouiller votre ordinateur, visualiser l’affichage et surveiller les frappes au clavier (Renifleur de clavier ou Keylogger en anglais). Keylogger C’est un programme qui permet d'enregistrer les frappes au clavier. Son rôle ne se limite pas à l’enregistrement d’éventuels mots de passe. Il peut être sélectif ou enregistrer l’intégralité des informations qui transitent sur le périphérique de saisie. La plupart de ces dispositifs sont invisibles. Les frappes clavier sont généralement écrites dans un fichier temporaire chiffré et envo- yé automatiquement, par courrier électronique, à l'espion. Le pire, c’est que certains keyloggers sont en vente libre (exemple: Ghost Keylogger ou Keylogger pro). Publiciel et espiogiciel Au fil de la navigation sur le Web, divers programmes sont installés sur l’ordinateur à votre insu. Ils sont plus communément connus sous leurs terminologies anglaises d’adware et de spyware. Un adware (Advertising Supported Software) est un logiciel qui permet d'afficher des bannières publicitaires. La plupart des annonceurs sont juridiquement légitimes et leur société commerciale reconnue. Les programmes ne diffusent pas d’information vers l’extérieur mais permettent la planification ciblée de messages d’accroche. Les spywares sont des adwares qui installent sur le poste de l'utilisateur un logiciel espion et envoient régulièrement et, sans accord préalable, des informations statistiques sur les habitudes de celui-ci. Certains spywares peuvent aussi modifier les paramètres système à leur avantage pour imposer, à l’utilisateur qui en est la victime, un certain mode de navigation sur le Web. Ces logiciels peuvent aussi capturer vos habitudes en consultation hors ligne. Ils expédient les résultats de leur collecte à chaque ouverture du navigateur. Page 4 sur 8 Virus informatiques Virus, nous appartenons à une grande famille ! (suite) Relais de spam Installés sur la machine à l’insu de son propriétaire, ces mini-serveurs permettent l’émission du courrier non-sollicité (spam) vers les victimes de spammeurs. Cette technique leur évite de se faire euxmêmes détecter et bloquer directement par leur fournisseur d’accès. Cette pratique équivaut à un détournement de ressources. Programmes autoreproducteurs La finalité d'un programme auto-reproducteur est d’exploiter, de perturber ou de détruire. A sa première exécution, le programme cherche à se reproduire. Il sera donc généralement résident en mémoire et, dans un premier temps, discret. La fonctionnalité malveillante s'effectuera dans un délai plus ou moins court et sur un critère quelconque prédéfini. Pour de nombreux virus la perturbation se limite à la reproduction et à tous les ennuis qu'elle engendre. Il n'y a pas à proprement parler de fonction malveillante (récupération d’informations). Il existe quatre catégories principales de virus. Elles ont chacune une cible bien précis. Les virus « programme » Ils cherchent à infecter les fichiers exécutables. Le principe, le virus est présent dans un fichier exécutable et, lorsque celui-ci est exécuté, le virus choisit et contamine un ou plusieurs autres fichiers. II agit généralement par ajout entraînant une augmentation de taille. Il se maintient résident en mémoire et infecte d'autres fichiers à l'exécution, ou simplement lors d'une manipulation. Les virus système Ils infectent les zones systèmes des disques durs ou des disquettes en s’installant dans les partitions de démarrage ou secteur d’amorçage de votre disque dur (MBR ou Master Boot Record). A partir de cet instant, le démarrage de votre disque dur donc de votre système Windows peut être compromis. Les virus interprétés Les virus interprétés regroupent principalement les virus de macro et les virus de script. Du fait de la sophistication des outils de bureautique actuels, tout fichier de données doit être considéré comme potentiellement dangereux. Sans toujours en imaginer les conséquences, les fichiers de données contenant textes ou feuilles de calcul se sont trouvés enrichis de routines automatisables et programmables avec des macros où certains pirates peuvent y introduire des virus. Les vers Dès 1949, Johann Von Neumann avait publié un article dans lequel il affirmait qu'il était possible d'écrire un programme informatique capable de s'auto reproduire. On appelle ver (en anglais logic worm) un tel programme qui, en s'auto-dupliquant à grande vitesse dans un système et dans un réseau informatiques, peut parvenir ainsi à saturer toutes leurs ressources. Le fonctionnement d'un ver informatique est le suivant : Le ver s’introduit sur une machine. il recherche alors et établit la liste des machines qui sont connectées sur le même réseau si vous avez plusieurs ordinateurs. Il force les mots de passe et se fait reconnaître par les autres machines. Ensuite il insère le programme-ver dans les machines découvertes. Puis, le programme introduit est à son tour actif et va rechercher d'autres machines. Depuis longtemps, écrire des programmes capables de s'auto reproduire est resté un jeu pour les étudiants doués et les chercheurs. Un ver arrive donc directement par le réseau en profitant d'un port ouvert, mais la méthode la plus classique consiste à s'introduire sous la forme d'une pièce jointe attachée à un mail. Certains s'exécutent alors directement à la simple lecture du mail (en particulier si le système de l’ordinateur n'a pas été mis à jour). Mais la plupart du temps il faut cliquer sur la pièce jointe pour que le ver s'exécute. Virus informatiques Page 5 sur 8 Comportements à respecter Après l’exposé de ces dangers, ils nous semblent important de vous communiquer quelques règles à respecter qui malheureusement ne sont pas toujours faciles à appliquer. Ces règles sont pourtant essentielles, car le meilleur programme antivirus ne peut pas vous protéger à 100 % contre un virus totalement nouveau, tandis que le respect de ces précautions permet d'éviter la plupart des problèmes. Evitez à tout prix les programmes piratés qui ont fait l'objet d'un tel nombre de copies qu'on ne sait plus quelle en est l'origine. Vérifiez systématiquement les supports que l’on vous transmet avec un antivirus, en veillant à ce que ceux-ci servant à l'échange de données ne contiennent aucun programme exécutable (ceci évite la transmission des virus de programmes). Si le message provient d'une personne de confiance et si le fichier attaché est clairement annoncé dans le texte par l'expéditeur du message, on peut considérer que sa consultation est probablement peu risquée. Dans tous les autres cas il faut considérer que le fichier est suspect (même si vous connaissez l'expéditeur). En particulier les pièces attachées ayant les extensions suivantes sont pratiquement à coup sûr des fichiers de virus : COM, EXE, BAT, PIF, VBS, LNK, SCR ainsi que les fichiers ayant une double extension (par exemple le célèbre LoveLetter-For-You.TXT.VBS). Recommandations très importantes Les versions actuelles de Windows sont configurées par défaut pour ne pas afficher l'extension de la plupart des fichiers : par exemple document.doc sera affiché document. Il est donc fortement conseillé de rétablir l'option d'affichage des extensions. La prévention contre les virus ou vers de mails implique quelques précautions de base. La manière la plus simple de s'en prémunir est de ne jamais cliquer sur un document attaché, même s'il a été envoyé par une personne de confiance, car ce type de virus est joint au message à l'insu de l'expéditeur. Une bonne règle est de préciser dans le texte du message le nom et la nature du fichier joint. On vous conseille d'éviter le téléchargement de logiciels sauf si on est en mesure de contrôler l’intégrité de ceux-ci. En fait les sites Internet de téléchargement les plus connus contrôlent sérieusement l'intégrité des programmes qu'ils proposent, mais il faudra proscrire les autres sources, en particulier les sites spécialisés dans la distribution de logiciels piratés (dits sites Warez) et se méfier des échanges entre particuliers (P2P comme Ares ou Emule). Pour les utilisateurs de Windows, utilisez toujours les dernières mises à jour qui peuvent être chargées et installer automatiquement ou à partir du site de Microsoft car divers virus récents exploitent des trous de sécurité existant dans Windows ou ces programmes (Internet explorer par exemple). Les mises à jour incorporent des protections nouvelles au fur et à mesure que des problèmes sont signalés. Divers virus dangereux se sont propagés grâce à des ordinateurs non mis à jour, alors que les correctifs avaient été diffusés par Microsoft plusieurs mois auparavant. Faites des sauvegardes régulières des fichiers importants sur des supports externes (CD-DVD – disque externe ou clé USB). En cas d'attaque par un virus, on pourra revenir à une copie intacte. Il faut toutefois être sûr que la copie de sauvegarde soit saine, ce qui n'est pas toujours évident. Pour contrer tout cela, il existe des solutions spécifiques de détection d’éradication, mais les versions des logiciels antivirus prennent en compte les spywares. Après ces recommandations, passons maintenant à la partie protection de votre ordinateur et de vos données. Page 6 sur 8 Virus informatiques La défense en action ! L’antivirus et éradication Un antivirus est un programme capable de détecter la présence de virus sur un ordinateur et, dans la mesure du possible, de désinfecter ce dernier. On parle ainsi d'éradication de virus pour désigner la procédure de nettoyage de l'ordinateur. Il existe plusieurs méthodes d'éradication : La 1ére est la suppression du code correspondant au virus dans le fichier infecté. La 2ème consiste à supprimer le fichier infecté. La 3ème est la mise en quarantaine du fichier infecté, ce qui consiste à le déplacer dans un emplacement où il ne pourra pas être exécuté. Détection des virus Les virus se reproduisent en copiant une portion de code exécutable au sein d'un programme existant. Or, afin de ne pas avoir un fonctionnement chaotique, les virus sont programmés pour ne pas infecter plusieurs fois un même fichier. Ils intègrent ainsi dans l'application infectée une suite d'octets leur permettant de vérifier si le programme a préalablement été infecté : il s'agit de la signature virale. Les antivirus s'appuient ainsi sur cette signature propre à chaque virus pour les détecter. Il s'agit de la méthode de recherche de signature (scanning), la plus ancienne méthode utilisée par les antivirus. Cette méthode n'est fiable que si l'antivirus possède une base virale à jour, c'est-àdire comportant les signatures de tous les virus connus. Toutefois cette méthode ne permet pas la détection des virus n'ayant pas encore été répertoriés par les éditeurs d'antivirus. De plus, les programmeurs de virus les ont dotés de capacités de camouflage, de manière à rendre leur signature difficile à détecter, voire indétectable : il s'agit de "virus polymorphes". Certains antivirus utilisent un contrôleur d'intégrité pour vérifier si les fichiers ont été modifiés. Ainsi le contrôleur d'intégrité construit une base de données contenant des informations sur les fichiers exécutables du système (date de modification, taille et éventuellement une somme de contrôle). Ainsi, lorsqu'un fichier exécutable change de caractéristiques, l'antivirus prévient l'utilisateur de la machine. La méthode heuristique consiste à analyser le comportement des applications afin de détecter une activité proche de celle d'un virus connu. Ce type d'antivirus peut ainsi détecter des virus même lorsque la base antivirale n'a pas été mise à jour. En contrepartie, ils sont susceptibles de déclencher de fausses alertes. Une autre méthode consiste à prendre une empreinte de chaque fichier de programme et à contrôler périodiquement que ce fichier n'a subi aucune modification. Cette métho- de ne permet que la détermination a posteriori d'une contamination, mais elle offre théoriquement l'avantage de détecter la présence de virus encore inconnus. L'empreinte du fichier comprend généralement son nom, ses date et heure de création ou modification, sa longueur et une somme de contrôle obtenue en faisant la somme (en utilisant l'opération modulo) de tous les octets du code du logiciel, ou de certaines zones sensibles de celuici. Le logiciel antivirus enregistre ces données lors d'un premier examen du disque et, lors des examens ultérieurs, compare ces données initiales avec celles que lui fournit l'examen en cours. En théorie, toute modification, même minime, d'un fichier doit pouvoir être détectée ainsi. En réalité, certains virus utilisent des méthodes sophistiquées pour leurrer ces logiciels de contrôle. On peut comparer un antivirus à un gilet pareballes : celui-ci n'empêche pas la possibilité de blessures à la tête ou aux membres, mais il réduit fortement les risques. Il existe divers programmes commerciaux tout à fait sérieux. Ils permettent de contrôler et, lorsque c'est possible, de décontaminer les fichiers ou disques infectés. Des versions sont adaptées à la protection des réseaux et ils prennent en charge les risques nouveaux liés à l'utilisation d'Internet. Virus informatiques Page 7 sur 8 La stratégie ! Il y a deux stratégies fondamentales d'utilisation de l’antivirus. La 1ère stratégie est d'utiliser ces outils pour scanner tout nouveau fichier avant installation ainsi que les CD/DVD-Rom avant utilisation. Par précaution, il est également recommandé de scanner périodiquement son disque dur. La 2ème technique consiste à installer en mémoire au démarrage de l'ordinateur un module antivirus spécial, appelé généralement moniteur. Tous les antivirus actuels en possèdent un. Celui-ci peut rechercher automatiquement la signature de virus connus dans tout fichier devant être exécuté ou recopié. Il peut aussi surveiller en permanence l'activité de l'ordinateur, détecter et empêcher tout comportement suspect : tentative d'écriture sur le secteur d'amorçage, effacement inopiné de fichier, formatage du disque, écriture directe sur le disque, contournement des fonctions du système d'exploitation ou détournement de celles-ci de leur rôle normal. Cette stratégie permet, en théorie, d'intercepter à la source les tentatives de contamination ou d'agression des virus même inconnus. Contrairement aux moniteurs fondés essentiellement sur la recherche des signatures, ceux qui reposent sur la surveillance d'opérations suspectes affichent souvent des messages d'avertissement lors du fonctionnement de divers programmes sains. En effet certains de ces comportements suspects sont également utilisés par des programmes normaux. Si ces antivirus sont mal conçus les messages seront trop nombreux et finalement l'utilisateur n'en tiendra aucun compte ou abandonnera l'usage de ce dispositif de protection. Si les messages ne sont pas assez nombreux, une agression assez habile pourra passer inaperçue. Cette méthode n'a pas non plus une efficacité absolue, car certains virus sont capables de masquer leur action. Il faut savoir que les moniteurs fonctionnant en temps réel peuvent être moins efficaces que les programmes d'analyse lancés à la demande. Ils ne dispensent donc pas de faire une analyse systématique du disque de façon périodique. On distingue les virus actuellement en circulation (virus in the wild, dans le jargon des spécialistes) et les virus (in the zoo), qui ne se rencontrent que dans les collections des spécialistes et des éditeurs d'antivirus. Ce dernier groupe comprend des virus qui n'ont jamais vraiment réussi à percer, des virus expérimentaux et des virus très anciens qui ne se rencontrent plus actuellement. Cette distinction est importante : en raison de l'inflation du nombre des virus les éditeurs ont tendance à retirer de la base de signatures les virus les plus anciens, afin d'éviter d'avoir une base de taille excessive qui ralentirait fortement l'analyse. On peut donc avoir de mauvaises surprises en réutilisant des fichiers se trouvant sur de supports externes. vieux Si l'antivirus est paralysé par un virus ou ver on peut avoir recours à un antivirus en ligne. Ils nécessitent généralement l'utilisation d’un navigateur internet fonctionnel et non vérolé. Les pare-feu (firewalls en anglais) L’ordinateur est connecté à Internet. il est donc susceptible de subir des agressions variées en provenance du réseau. Ces tentatives d'intrusion utilisent des portes d'entrées (ports) par lesquels les divers protocoles communiquent avec d'autres ordinateurs (par exemple les serveurs Web communiquent à travers le port 80). Il faut savoir que divers antivirus possèdent une option pour scanner la messagerie, mais cette option est inutile. En effet les virus ne peuvent pas s'activer lorsqu'ils sont archivés. En outre chaque dossier (exemple Boîte de réception) correspond à un fichier unique qui peut être de taille importante si on a l'habitude d'archiver ses mails. Comme souvent la seule solution en cas d'infection serait de détruire le fichier (ce qui est fait parfois automatiquement), on perdrait alors tous les mails archivés. Le bon réflexe, si on veut consulter le document attaché à un mail, consiste à l'enregistrer sur le disque dur et à le scanner avant son ouverture car beaucoup d'antivirus détecteront d'ailleurs un éventuel virus dès la phase d'enregistrement). Page 8 sur 8 Virus informatiques Pour conclure ce 19ème bulletin. FGH Informatique Gilles HUVET 9. Boulevard Paixhans 57000 Metz TELEPHONE : 09 81 69 27 22 MOBILE : 06 50 57 19 68 ADRESSE ÉLECTRONIQUE : [email protected] En conclusion, nous pouvons retenir que, dans certains cas, le virus est détecté avant le déclenchement de sa fonction de dommage. S'il s'agit d'un virus du système, il suffit de remplacer le secteur d'amorçage mais c'est délicat. S'il s'agit d'un virus de programme, la solution la plus simple est de détruire les programmes infectés et de les remplacer par une copie de réserve saine. Ceci peut prendre beaucoup de temps, car il suffit d'oublier un seul programme contaminé pour que le virus se propage de nouveau. Divers antivirus proposent la réparation automatique des programmes (pour certains virus uniquement). Face à un fichier contenant un virus qui ne peut être désinfecté, l'antivirus propose généralement l'effacement complet ou la mise en quarantaine. On rencontre toutefois de plus en plus de cas où l'élimination d'un ver semble impossible. Cela peut être dû à deux problèmes. Le premier est qu'on ne peut généralement pas effacer le fichier d'un programme actif. Le deuxième est que de plus en plus de vers désactivent les antivirus connus. Nous sommes sur le web Le deuxième type d'intervention correspond aux cas où le virus a déjà causé des dommages. Dans ce cas, il faudra détruire toute trace du virus mais également essayer de réparer ce qui peut l'être, car toutes les situations peuvent se rencontrer, depuis l'altération d'un petit nombre de fichiers jusqu'au formatage du disque dur. Un fichier entièrement effacé peut souvent être récupéré grâce à des programmes spécialisés. De même une atteinte de la table de partition du disque peut faire croire que celui-ci est hors d'usage alors qu'il peut être récupéré assez facilement. En règle générale toutefois la plupart des opérations de réparation portant sur les fichiers ou le disque dur ne sont pas à la portée de n'importe qui, même en ayant des connaissances de base en informatique. Certaines tentatives maladroites causent plus de dommages que le virus lui-même et contrairement à ce qu'on pense : un formatage complet du disque (dans l'espoir d'effacer toute trace de contamination) est inutile et même ne détruit pas les virus de système contenus dans le premier secteur du disque (table de partition ou MBR). Il ne s'agit là que de quelques exemples ; on aurait pu faire d'autres choix dans une liste malheureusement trop longue. Plusieurs nouveaux virus ou vers apparaissent chaque semaine. N’hésitez pas à nous consulter si votre ordinateur présente des signes d’instabilité. Retrouvez-nous, à l'adresse : www.fghinformatique.fr Rendez-vous l’année prochaine pour un nouveau bulletin d’informations