Le livre Norman des virus informatiques

Transcription

/HOLYUH1RUPDQ
GHVYLUXVLQIRUPDWLTXHV
$%62)7
Parc Burospace 14, 91572 Bièvres CEDEX, France
Tel. : +33 1 69 33 70 00 Télécopie : +33 01 69 33 70 10 E-mail: [email protected]
ii l Le livre Norman des virus informatiques
/LPLWHVGH*DUDQWLH
Norman ASA n’est pas responsable de toute autre forme de perte ou
dommage consécutive à l’emploi de cette documentation ou des
erreurs éventuelles qu’elle contient, y compris, mais sans limite, les
pertes de profit.
En particulier, Norman Data Defense Systems n’est en aucun cas
responsable des pertes de profit ou autres dommages directes ou
indirectes, commerciaux ou d’autre nature.
Les informations contenues dans ce document ainsi que les
fonctionnalités du logiciel sont sujettes à modification sans préavis. Le
logiciel doit être utilisé en accord avec les termes de la licence.
L’acheteur peut effectuer une copie du logiciel à des fins de
sauvegarde.
Aucune partie de ce document ne peut être reproduite, transmise sous
quelque forme ou quelque moyen que ce soit, électronique ou
mécanique, incluant les systèmes de photocopie, d’enregistrement ou
de stockage d’informations, pour tout utilisation autre que l’usage
personnel de l’acheteur, sans une autorisation écrite de Norman Data
Defense Systems.
Le logo Norman est une marque de Norman Data Defense Systems.
Les noms des produits cités dans ce documents sont la propriété de
leur auteurs respectifs. Ils sont mentionnés à des fins d’identification.
Documentation
Copyright © 1999 Norman ASA.
Tous droits réservés.
Mars 1999
Copyright © 1999 Norman
7DEOHGHVPDWLqUHV
7DEOHGHVPDWLqUHV LLL
,QWURGXFWLRQ 4X¶HVWFHTX¶XQ9LUXV" Virus..................................................................................................... 3
Worm.................................................................................................... 4
Cheval de Troie .................................................................................... 4
Bogue, bombe logique, bombe à retardement...................................... 4
Les différents types de virus .....................................................................5
Virus de fichier .........................................................................................6
Virus d’Amorçage .....................................................................................8
L’amorçage .......................................................................................... 8
Disquette d’amorçage ......................................................................9
L’infection par virus d’amorçage....................................................... 10
Virus de Macro .......................................................................................10
Comment cela fonctionne-t-il ?.......................................................... 11
Pourquoi est-ce un tel risque ? ........................................................... 12
MS Word............................................................................................ 12
MS Excel ............................................................................................ 13
Office 97............................................................................................. 14
Prédictions pour l’avenir .................................................................... 14
Combien existe-t-il de virus... .................................................................15
... Et est-ce important ?....................................................................... 16
Virus en liberté ........................................................................................16
(YROXWLRQGXSUREOqPHGHVYLUXV
/HVYLUXVVXUOHVGLIIpUHQWVV\VWqPHVG¶H[SORLWDWLRQ MS-DOS .................................................................................................20
iv l Le livre Norman des virus informatiques
Windows .................................................................................................20
OS/2 ........................................................................................................21
Windows 95/98 .......................................................................................22
Le virus CIH....................................................................................... 24
Les virus et IRC.................................................................................. 25
Virus et HTML................................................................................... 26
Windows NT ...........................................................................................27
6ROXWLRQVDXSUREOqPHGHVYLUXV Routines établies ................................................................................ 29
Solutions Antivirus............................................................................. 29
3URGXLWV1RUPDQ9LUXV&OHDQHU Gamme de produits Norman .............................................................. 34
NVC pour DOS/Windows .............................................................34
NVC pour Windows 95 .................................................................34
NVC pour Windows NT ................................................................35
NVC pour OS/2 .............................................................................35
Cat’s Claw .....................................................................................35
NVC pour NetWare .......................................................................35
NVC pour Groupware ...................................................................36
,QWURGXFWLRQ
Il est assez difficile d’imaginer que les premiers ordinateurs
personnel IBM (PC) sont apparus en août 1981. À l’origine,
ils étaient employés par un groupe de personnes très réduit.
Aujourd’hui, il serait difficile d’imaginer la vie sans ces
machines, que ce soit au bureau ou à la maison. Regardez
ce qui se passe autour de vous lors d’une coupure de courant, et vous verrez des gens errer en se sentant impuissants
car ils pensent ne rien pouvoir faire sans leur ordinateur.
Nous sommes devenus dépendants de ces machines et des
informations qu’elles contiennent. Comme l’importance de
cette “ boîte ” est croissante, il devient aussi important, si
ce n’est plus, de la protéger et la sécuriser. (Combien de
systèmes d’alarme y a-t-il dans votre voiture ?)
Une grande partie des activités des ordinateurs modernes
est employée à sécuriser les informations que nous créons
et traitons. Il existe de nombreux aspects quant à la sécurité
des informations, partant de l’accès physique jusqu’à la
certitude que les informations n’ont pas été modifiées.
L’une des plus graves atteintes à l’intégrité des informations est constituée par les virus informatiques. Étonnamment, ils couvrent les deux tiers de la vie des IBM PC, car
ils sont apparus en 1986. Le nombre d’ordinateurs étant en
croissance constante, le problème des virus est devenu plus
visible au cours des deux dernières années. En fait, l’industrie des loisirs a aidé cet état de chose en illustrant les effets
des virus dans des films tels que “ Indépendance Day ”,
“ The Net ” et “ Sneakers ”.
Notez que les virus informatiques sont également présents
sur les Macintosh mais que, dans ce livre, nous avons
2 l Le livre Norman des virus informatiques
décidé de nous concentrer sur les virus PC. Les sujets couverts seront :
• qu’est-ce qu’un virus
• évolution du problème des virus
• les virus des divers systèmes d’exploitation
• solutions aux problèmes de virus
• comment les produits Norman Virus Cleaner
peuvent-ils vous aider ?
4X¶HVWFHTX¶XQ9LUXV"
Les termes de “ virus informatique ” et “ virus ” reviennent
quotidiennement dans les conversations et sont synonymes
de “ problème ”. ““
Les virus, worms, chevaux de Troie et bombes logiques
sont des logiciels indésirables, non invités et potentiellement dangereux, mais ils sont très distincts. Les différences
reposent dans le fait qu’une catégorie nécessite ou non un
programme hôte, et si le programme est capable de se
dupliquer. Tous peuvent provoquer des dommages, mais ce
n’est pas leur définition complète. Voici un aperçu de chaque catégorie.
9LUXV
Un virus a besoin d’un hôte, et son but principal est d’infecter les autres fichiers afin de pouvoir “ vivre ” plus longtemps. Certains accomplissent des actions destructrices,
bien que ce ne soit pas nécessairement le cas. De nombreux
virus tentent de se cacher en attendant d’être découverts.
Les virus sont de simples programmes
informatiques.
5HPDUTXH
'XSOLFDWLRQ"
Oui. Tous les virus font une auto copie, infectent les secteurs d’amorçage, le MBS, les programmes, ou les fichiers
de données, lorsque l’opportunité se présente.
:RUP
Un hôte n’est pas nécessaire, car c’est un problème typique
des gros systèmes et il ne cherche pas à se cacher.
'XSOLFDWLRQ"
Oui. Un worm fait une auto copie, lorsque l’opportunité se
présente.
&KHYDOGH7URLH
Ne nécessite pas d’hôte. Bien que le terme "Cheval de
Troie" se réfère parfois au programme contenant un code
destructif, il est souvent employé en référence aux fichiers
.COM ou .EXE.
'XSOLFDWLRQ"
Non. La plupart des Chevaux de Troie s’activent lorsqu’ils
sont lancés et détruisent la structure du disque (FAT, répertoires, etc.).
%RJXHERPEHORJLTXHERPEHjUHWDUGHPHQW
Nécessite un hôte. Les programmeurs ne peuvent pas écrire
une bogue sans écrire du code supplémentaire - bien
entendu, les programmeurs n’écrivent pas de bogues intentionnellement. Les bombes logiques et à retardement sont
insérées intentionnellement dans un code “correct”.
'XSOLFDWLRQ"
Non. Ce code a, en général, mieux à faire que de se dupliquer. Les bombes logiques et à retardement veulent rester
cachées, et seul leur effet doit être visible. Les bogues font
tout, à part se reproduire.
Qu’est-ce qu’un Virus? l 5
/HVGLIIpUHQWVW\SHVGHYLUXV
Lorsque nous parlons des virus, nous parlons de quatre
types différents :
9LUXVGHILFKLHU
Les virus de fichiers infectent les programmes exécutables
(programmes). Ils sont capables d’infecter les réseaux.
9LUXVGHPDFUR
Les virus de macro infectent les fichiers de données. Ils
sont capables d’infecter les réseaux.
9LUXVG¶DPRUoDJH
Ils infectent les secteurs d’amorçage des disques durs et des
disquettes. Ils sont incapables d’infecter les réseaux.
9LUXVPXOWLSDUWLHV
Ces virus infectent les fichiers exécutables et les secteurs
d’amorçage. Ils peuvent se propager sur les réseaux.
Un virus de macro infectant les fichiers, il est techniquement considéré comme un virus de fichier. Cependant, contrairement aux autres virus, il infecte les fichiers de
données. Ces virus deviennent très courant et ils doivent
être traités comme une catégorie à part entière.
Vous avez probablement entendu d’autres termes tels que
“ polymorphe ”, “ furtif ” et “ crypté ”. Ce ne sont pas des
virus en tant que tels, mais plutôt des méthodes employées
par des virus pour se travestir et échapper aux antivirus.
Les sections suivantes décrivent les virus de fichiers, de
macros et d’amorçage. Les virus multiparties ne sont pas
communs et nous ne les décrirons pas dans cet ouvrage.
9LUXVGHILFKLHU
Un virus de programme s’attache à un fichier programme
(l’hôte) et emploie différentes techniques pour infecter les
autres fichiers programmes.
Il existe trois techniques de base pour infecter un fichier
exécutable : le remplacement, l’ajout au début et l’ajout.
Un virus de remplacement se place au début du programme, directement au début du code du programme original, le programme est donc endommagé. Lorsque vous
tentez de le lancer, rien ne se passe, cependant le virus
infecte un autre fichier.
De tels virus sont facilement repérés par les utilisateurs et
par le personnel de support technique ; ils ne se répandent
donc que très peu. Il y a très peu de risques pour qu’un
virus de ce type se trouve dans votre machine.
Ce type de virus place la totalité de son code au tout début
du programme original. Lorsque vous lancez un proCopyright © 1999 Norman
gramme infecté par ce type de virus, ce code se lance en
premier et le programme original se lance.
Un virus basé sur l’ajout place un “ renvoi ” au début du
code du programme, place le début du code programme à la
fin du fichier et se place entre ce qui était la fin du fichier et
le début du fichier. Lorsque vous tentez de lancer ce programme, le “ renvoi ” appelle le virus qui se lance. Il
replace le début original du fichier à sa position normale et
vous permet de lancer le programme.
Ceci était un bref aperçu de la façon dont un virus s’attache
à un fichier programme. Il emploie différentes techniques
d’infection. La plupart des virus sont résidents, ils peuvent
donc contrôler toutes les actions et infecter les autres programmes. D’autres virus de fichier infectent par “ action
directe ”, ce qui signifie qu’ils infectent un programme
lorsqu’ils y accèdent.
Il existe de nombreuses autres méthodes mais, pour la plupart, elles placent les virus en mémoire. Si un virus est résident, il lui est alors extrêmement facile d’infecter d’autres
programmes en attendant leur lancement pour s’y introduire. Ce fichier est alors infecté (il devient “ porteur ”), et
va infecter d’autres programmes.
9LUXVG¶$PRUoDJH
Les virus d’amorçage infectent les secteurs d’amorçage du
système (SBS) et les secteurs d’amorçage principaux
(MBS).
Le MBS est situé sur tout disque dur physique. Il contient,
entre autres données, des informations relatives à la table
de partition (qui indique la division d’un disque physique
en disques logiques), et un court programme qui peut interpréter les informations de partition indiquant l’emplacement du SBS. Le MBS est le système d’exploitation. Le
SBS contient, entre autre, un programme chargé de détecter
et lancer le système d’exploitation.
Du fait que les zones système sont lues pendant le processus d’amorçage sur tous les compatibles IBM, les virus
d’amorçage sont indépendant du système d’exploitation et
sont aptes à se propager bien plus efficacement que les
virus de fichiers.
Référez-vous à la section Les virus sur différents systèmes
d’exploitation pour toute information supplémentaire.
/¶DPRUoDJH
Pour comprendre les virus d’amorçage, il est nécessaire de
comprendre le processus de démarrage.
Le BIOS (Basic Input/Output System), qui contrôle le processus d’amorçage, se met en marche dès que la machine
est allumée.
La procédure suivante accomplit les autotests de mise sous
tension (POST). Elle vérifie que l’ordinateur fonctionne
correctement. L’une des fonctions du POST très connue des
utilisateurs est le calcul du volume de la mémoire RAM
(Random Access Memory) de la machine qui s’affiche à
l’écran.
La dernière action du POST est d’amorcer l’initialisation
du système. La première tâche est de vérifier s’il y a une
disquette dans le lecteur. Si tel est le cas, le SBS de la disquette est lu et la machine tente un amorçage.
Si la disquette ne permet pas l’amorçage (voir ci-dessous),
le message suivant s’affiche :
'LVTXHQRQV\VWqPHRXHUUHXU
5HPSODFH]OHHWDSSX\H]VXUXQHWRXFKH
En principe, cependant, aucune disquette n’est présente
dans le lecteur et c’est le MBS du disque qui est lu. Le système d’exploitation peut alors démarrer.
Ce processus est identique sur les machines fonctionnant
sous DOS, Windows, Windows 95/98, Windows NT et OS/
2. La différence survient au chargement du système
d’exploitation proprement dit.
'LVTXHWWHG¶DPRUoDJH
Lorsqu’une disquette est formatée, un secteur d’amorçage
système est créé. La disquette peut avoir deux fonctions :
contenir des fichiers programmes et de données et/ou être
une disquette d’amorçage.
Une disquette système peut être employée pour outrepasser
le processus de démarrage depuis un disque dur. La
machine démarre alors depuis la disquette.
Pour créer une disquette d’amorçage, vous devez soit formater la disquette avec l’option “ système ” (/S), soit
employer la commande DOS SYS sur la disquette.
Une disquette formatée dispose toujours d’un secteur
d’amorçage système, que ce soit une disquette de démarrage ou non. Ce secteur est l’abri préféré des virus, donc,
toute disquette formatée peut être potentiellement infectée
par un virus d’amorçage.
/¶LQIHFWLRQSDUYLUXVG¶DPRUoDJH
Si une disquette est laissée dans le lecteur A: de la machine
et si la CMOS est réglée pour que le démarrage se fasse sur
le lecteur A: puis sur C:, alors le SBS de la disquette est lu.
S’il recèle un virus d’amorçage, il s’active, s’installe en
mémoire, infecte les zones système du disque dur et tente
d’infecter toutes les disquettes auquel le système accède
éventuellement.
En général, les gens ont tendance à laisser les disquettes
dans le lecteur lorsqu’ils éteignent leur machine puis
l’oublient lorsqu’ils redémarrent leur machine le lendemain.
9LUXVGH0DFUR
Depuis l’introduction du premier virus de macro, en août
1995, cette catégorie est celle qui s’est le plus développée.
Lors de notre première discussion sur ce sujet dans cette
publication, en janvier 1997, le nombre de virus de macro
connus était égal à 100. En mars 1999, Norman avait identifié environ 4000 virus de ce type, et le nombre augmente
de façon vertigineuse. Les sociétés et les particuliers doivent se protéger par de fréquentes mises à jour de leurs
outils de contrôle de virus, ce qui implique que l’industrie
des programmes antivirus met à jour ses bases et ses
fichiers en permanence. Un fichier de définition contient
des signatures de virus (l’empreinte des virus connus) ; il
est employé par le moteur de recherche pour détecter et
supprimer les virus.
Tout scanner de virus n’est efficace qu’avec des fichiers de
signatures de virus récent. De ce fait, la récupération
fréquente de ces mises à jour est primordiale pour assurer la
sécurité de votre environnement informatique.
Les fichiers de définition et de mise à jour sont disponibles
sur le site web de Norman. Nous vous recommandons une
visite à :
KWWSZZZQRUPDQQRXSGDWHKWP
Les différences entre les virus de macros et les virus plus
traditionnels reposent dans les hôtes (fichiers de données)
et les méthodes de duplication (emploi du langage de programmation des macros propre aux applications). &HVGLI
IpUHQFHVVRQWXQHQRXYHOOHPHQDFHSRXUODVpFXULWpGHV
Ajoutez l’utilisation croissante d’OLE (Object
Linking and Embedding) ainsi que l’emploi des réseaux,
des messageries et d’Internet comme supports d’échange,
et le sinistre tableau est brossé !
GRQQpHV
&RPPHQWFHODIRQFWLRQQHWLO"
Les virus de fichiers traditionnels n’essaient pas d’infecter
les fichiers de données, ces derniers n’étant pas l’idéal pour
la propagation. En fait, on ne “ lance ” pas un fichier de
données, mais on le “ lit ” ou on le “ modifie ”. Cependant,
ces dernières années, les sociétés ont construit des systèmes
ouverts dans lesquels les informations sont plus facilement
échangées. La sécurité doit donc être minimum. Les virus
de macro s’appuient sur le fait que de nombreuses applications contiennent désormais un ODQJDJHGHSURJUDPPD
WLRQGHPDFURV. Ces langages permettent aux utilisateurs
(et aux auteurs de virus) une plus grande souplesse et une
puissance à ce jour inégalée. Souvent, les virus de macros
ne sont pas détectés assez tôt parce que les utilisateurs ne
sont pas familiarisés avec les macros. Il en résulte un taux
d’infection plus élevé qu’avec les virus de fichiers et
d’amorçage traditionnels.
À ce jour, le langage de programmation le plus populaire
est WordBasic, intégré à Microsoft Word.
3RXUTXRLHVWFHXQWHOULVTXH "
Les données étant échangées plus souvent que les programmes eux-mêmes, le problème de sécurité posé par les virus
de macros est très réel. Les systèmes ouverts intégrés dans
de nombreuses emploient OLE pour combiner différents
types de données. Vous pouvez LPEULTXHU un objet tel
qu’une image dans un document Word. Cela signifie que
chaque modification de l’objet sera reflétée dans toutes ses
copies. Vous pouvez aussi OLHU un objet tel qu’une feuille de
calcul Excel dans un document Word. Cette liaison signifie
que vous pouvez modifier l’objet soit dans l’application qui
a servi à le créer, soit dans l’application à laquelle il est lié,
et toutes ses copies seront mises à jour.
06:RUG
Microsoft Word a la possibilité d’intégrer et de lier des
objets. De plus, les documents Word peuvent être intégrés
et liés à d’autres applications. Le risque est dans la possibilité de lancer un virus de macro depuis une autre application. Par exemple, les messages Microsoft MSMail peuvent
contenir des pièces jointes telles que des documents Word.
Si l’association est correcte, l’utilisateur de MSMail n’a
qu’a double-cliquer sur le document Word, Word se lance
et le document est ouvert. C’est l’un des exemples d’OLE
en action. Il existe d’autres types d’utilisation d’OLE en
association avec les documents Word, et c’est la fréquence
de telles utilisations qui augmente les risques pour la sécurité posés par les virus pour macro de Word.
Certains virus de macros contiennent du code destructeur ;
ils peuvent même créer et exécuter des virus de fichiers et
d’amorçage traditionnels et affecter le fonctionnement
d’une machine. Les virus pour macro affectent la qualité et
la fiabilité des LQIRUPDWLRQV contenues dans les fichiers de
données.
06([FHO
Il n’a fallu que peu de temps après l’apparition du premier
virus de macro pour Word pour qu’apparaisse son équiva. Ce fut un événement attendu,
lent pour Excel :
les techniques de création étant les mêmes que pour programmer un virus de macro pour Word.
;0/DURX[$
La différence entre les virus pour Word et Excel réside dans
le fait que les virus pour Word sont écrits en WordBasic,
alors que ceux pour Excel le sont en VBA3 (Visual Basic
for Applications version 3). Le format est différent et les
macros ne sont pas stockées à l’intérieur de la feuille de
calcul (les virus Word sont stockés dans le document
Word), mais dans des canaux séparés. Cette technique complique la détection, l’identification et l’éradication.
Les virus de macros pour Excel posent un problème plus
ardu que ceux de Word, du fait des implications pratiques.
Imaginez qu’un virus pour Excel multiplie le contenu d’une
cellule par 10 et que cette cellule représente votre salaire !
Ce ne serait certainement pas la fin du monde... Mais si le
contenu de cette cellule était GLYLVp par 10 ?
Ce sont des inconvénients mineurs comparés aux modifications apportées au résultat d’une cellule dont le but est de
calculer la résistance du béton employé pour la construction
d’un immeuble. Les feuilles de calcul sont parfois volumineuses et les anomalies sont difficiles à dépister.
2IILFH
L’introduction d’Office97 a entraîné la modification de
presque tous les formats des programmes de la suite. Les
changements ont été consistants. Excel et Word utilisent
VBA5, basé sur VBA3 avec de nombreuses extensions.
VBA5 n’est pas compatible avec WordBasic, ce qui semblerait indiquer que les virus de macros écrits pour les versions précédentes de Word n’affecteront pas Word 8.0 dans
Office97.
Cependant, Microsoft a intégré un WordBasic à VBA5, et
une conversion de VBA3 à VBA5 pour mettre à jour les
macros existantes dans les nouveaux formats.
En conséquence, les YLUXV de macros écrits pour les versions précédentes de Word et Excel peuvent aussi être “ mis
à jour ”. Les virus ne fonctionneront pas tous après leur
conversion, mais nous savons que certains le feront.
3UpGLFWLRQVSRXUO¶DYHQLU
Norman s’attend à ce que les virus de macros soient toujours une sérieuse menace pour la sécurité des données,
même si nous pensons que leur nombre va augmenter
moins rapidement. Nous pensons également que les virus
tireront parti des langages de programmation de macros les
plus communs et qu’ils deviendront indépendants des
applications. (N’oubliez pas que Microsoft Word est actuellement l’application la plus touchée par les infections par
virus de macro, écrits pour la plupart en WordBasic.) De
plus, nous pensons que les virus deviendront polymorphes
et furtifs. Norman va continuer à lutter contre les virus de
macros, ainsi que contre les virus de fichiers et d’amorçage
‘traditionnels’ en détectant et éradiquant les virus de macro
au niveau de l’application et au niveau binaire.
&RPELHQH[LVWHWLOGHYLUXV
Cette question est posée très souvent aux distributeurs de
produits antivirus. Il est difficile d’y répondre pour les raisons suivantes :
1. Aucune organisation centrale ne compte le nombre de
virus.
2. De nouveaux virus apparaissent tous les jours. Certains
experts affirment que la croissance des nouveaux virus
est exponentielle et les autres disent qu’elle est
quadratique. Si nous pouvions tous les compter, alors
ce décompte ne serait valable que pendant une courte
période : environ une journée.
3. Nous constatons souvent que de nombreuses variantes
sont faites à partir d’un virus, et il y a souvent une
mésentente au sujet de ce terme au sein de la
communauté des chercheurs antivirus.“
4. Il n’existe aucune convention standard d’attribution de
nom pour les virus ; on peut donc retrouver le même
virus sous des noms différents.
Ceci amène la question de l’attribution de leurs noms
aux virus. Parfois, les auteurs intègrent un texte
indiquant son nom (ex : Voici le virus xxx ; avec les
compliments de yyy). Mais, la plupart du temps, les
noms sont attribués par les personnes qui découvrent
les virus. Différentes méthodes sont employées, telles
que le lieu d’origine présumé, ou l’endroit où il a été
détecté (ex : le virus Lehigh), le nombre d’octets
ajoutés au fichier par le virus, son action, etc.
En gardant ces considérations à l’esprit, sachez que les produits Norman Virus Cleaner détectent plus de 18 000
variantes de virus au moment où nous écrivons ces lignes
(mars 1999).
(WHVWFHLPSRUWDQW"
Pour l’utilisateur lambda, le nombre de virus existant représente quelque chose de totalement immatériel. Ce qui lui
importe est que l’antivirus évite toute infection sur sa
machine. Le nombre de virus connus ne reflète pas vraiment l’activité du monde des chasseurs de virus. Les statistiques sont parfois utiles en tant que manifestation visible
de l’évolution des virus.
Le problème des virus informatiques est mieux évalué par
l’analyse de la nature des virus individuels et par l’observation de leur comportement, plutôt que par leur comptage
systématique. Le message des chasseurs de virus, qui ont
expédié environ 14 000 nouveaux virus aux distributeurs de
produits antivirus à l’automne 1998 va dans ce sens. Tous
ces virus ont été générés automatiquement et, par conséquent, ils n’étaient pas techniquement exceptionnels. En
fait, la plupart de ces virus étaient détectables par les
méthodes heuristiques. Néanmoins, le nombre de signatures de virus a presque doublé du jour au lendemain dans
nos fichiers de définition, alors que le nombre total de virus
traités est demeuré inchangé.
9LUXVHQOLEHUWp
Bien que les chasseurs de virus en connaissent des milliers,
ce chiffre ne doit pas vous inquiéter. Parmi ces milliers, la
plupart n’existent que dans des laboratoires de recherche, et
les autres se promènent effectivement de par le monde,
dans les sociétés ou chez les particuliers. Il en résulte que
les chercheurs ont classé les virus en deux catégories : “ en
liberté ” et “ au zoo ”, parfois désignées respectivement par
“ ITW ” et “ ITZ ”.
Les virus “ en liberté ” ont été rencontrés à l’extérieur des
laboratoires. Ils représentent environ 10% des virus connus
et ce sont ceux qui vous concernent directement. Si vous
souhaitez en savoir plus, contactez votre distributeur Norman.
(YROXWLRQGXSUREOqPHGHV
YLUXV
Au commencement, il était très difficile de relier les ordinateurs entre eux, et les virus ne se répandaient que très doucement. Les fichiers étaient transmis via les BBS (bulletin
board systems) ou sur disquettes. La transmission des
fichiers infectés et des secteurs d’amorçage était donc limitée géographiquement.
Mais vint la connectivité et, par sa croissance, elle augmenta le nombre d’ ordinateurs dans l’espace de travail.
Les frontières des virus informatiques étaient repoussées. Il
y eût d’abord le réseau local (LAN), le réseau départemental (WAN), puis Internet. L’usage intensif de la messagerie
électronique contribua à l’augmentation météorique du
nombre d’incidents liés aux virus de macros.
Nous vivons maintenant dans une société dans laquelle la
technologie globale a pris le pas, et où le commerce global
est régi par les moyens de communication. Les ordinateurs
font partie intégrante de cette technologie et les informations qu’ils contiennent (et leurs petits segments de code
malicieux) deviennent également globales.
Par conséquent, il est bien plus aisé d’attraper un virus
aujourd’hui que deux ans auparavant. De même, les W\SHV
de virus les plus courants de nos jours sont différents de
ceux de cette époque.
Steve White, Jeff Kephart et David Chess, du
suivent l’évolution des virus avec
attention et, en autres choses, ils ont conclu que la prédomi,%07KRPDV-
:DWVRQ5HVHDUFK&HQWHU
nance de certains types de virus est déterminée par les
changements de systèmes d’exploitation.1
En bref, la tendance est la suivante :
Dans les sections suivantes, nous parlerons du fonctionnement des virus dans les différents systèmes d’exploitation.
1.
Steve R White, Jeffrey O Kephart et David M Chess, ‘The Changing Ecology of Computer
Viruses’ 3URFHHGLQJVRIWKH) LIWK,QWHUQDWLRQDO9LUXV%XOOHWLQ&RQIHUHQFH , Brighton, UK, 1996.
/HVYLUXVVXUOHVGLIIpUHQWV
V\VWqPHVG¶H[SORLWDWLRQ
Lorsque les virus ont fait leur apparition, le seul système
d’exploitation notable était MS-DOS. Il a fallu quelques
années pour que Windows se stabilise et devienne populaire, ce qui a favorisé l’éclosion des fichiers sous MSDOS. En fait, la plupart des virus de fichiers (à l’exception
des virus de macro) sont basés sur MS-DOS.
Bien qu’OS/2 soit entré en scène peu de temps après
l’apparition des virus, il n’a jamais été un système d’exploitation très répandu, comme l’était DOS. De ce fait, les programmeurs de virus étaient - et sont toujours - moins à
même d’employer OS/2 et, même si des virus ont été fréquemment écrits pour OS/2, ils ne sont pas aussi répandus
que les virus MS-DOS. Il en résulte que seuls deux virus
OS/2 sont connus à ce jour.
Windows 95/98 et Windows NT deviennent très communs,
et ils sont compatibles vers la bas avec MS-DOS, ce qui
signifie que cette compatibilité est également vraie pour les
virus. Cependant, l’architecture des nouveaux systèmes
d’exploitation est un challenge intéressant pour les virus.
Nous allons maintenant aborder le sujet des virus sous MSDOS, Windows, OS/2, Windows 95/98, et Windows NT.
06'26
Les virus de macro que nous avons vu infectant les fichiers
de données générés et lus par des applications Windows, ils
ne sont pas un problème sur les machines ne fonctionnant
que sous MS-DOS.
Les virus de fichiers et d’amorçage traditionnels prospèrent
dans les machines MS-DOS, car ce système ne dispose
d’aucune fonction de sécurité. Les virus ont donc le champ
libre pour infecter la mémoire et les fichiers de programmes, comme le décrit la section Virus de fichier.
:LQGRZV
Lorsque Windows a été introduit, les utilisateurs ont dû
changer de comportement vis à vis de leur ordinateur. Les
images étaient plus colorées, la navigation dans un programme devint plus intuitive et le fait de passer d’une tâche
à l’autre sans quitter l’application était très appréciable.
DOS continuant à se charger “ sous ” Windows, les virus de
fichiers pouvaient infecter les machines fonctionnant sous
Windows, bien que leur “ espérance de vie ” soit réduite.
En général, les virus de fichiers peuvent infecter les exécutables de Windows, qui se mettent alors à mal fonctionner.
Les utilisateurs impatients les remplacent alors ou, s’ils
sont suffisamment frustrés, ils peuvent même réinstaller
Windows. Cet état de fait a entraîné la fin des virus traditionnels. De plus, la structure des exécutables de Windows
est plus compliquée et la mémoire est mieux protégée. Ces
virus n’ont donc jamais atteint sous Windows la puissance
qu’ils avaient sous MS-DOS.
Cependant, cette fatalité ne s’est pas appliquée aux virus de
macros et d’amorçage. Les virus de macro sont maintenant
écrits pour les applications Windows, la présence de Windows est donc nécessaire. La combinaison du fort développement de Windows et du fait que les virus de macros
infectent désormais les fichiers de données de préférence
Les virus sur les différents systèmes d’exploitation l 21
aux programmes (reportez-vous à Virus de Macro) a fait
qu’un virus de macro, Macro.Word.Concept, est devenu
l’un des dix virus les plus courants.
Le processus de démarrage des machines Windows est très
similaire à celui des PC fonctionnant sous DOS uniquement. Windows n’a donc pas résolu le problème virus
d’amorçage qui continuent à se propager en infectant les
disques durs, s’installant en mémoire et infectant les disquettes.
26
Comme nous l’avons déjà mentionné, OS/2 n’est pas aussi
fortement répandu que Windows ou que les autres systèmes
d’exploitation de Microsoft. Cependant, du fait de sa conception, il est toujours sensible aux virus non spécifiques à
OS/2.
Contrairement à Windows, MS-DOS ne fonctionne pas
“ sous ” OS/2. OS/2 est un système d’exploitation 32-bits
très puissant supportant les applications DOS, Windows et
OS/2 natives. Pour faire fonctionner les applications DOS,
OS/2 propose VDM (machine virtuelle DOS). Comme son
nom le suggère, VDM “ ressemble ” à DOS. Un programme DOS infecté peut donc infecter un autre programme DOS dans cette VDM, mais en aucun cas ceux des
autres VDM. Le programme infecté peut ensuite contaminer les autres fichiers programmes lancés plus tard dans la
VDM. L’infection continue donc.
Si les applications Windows intégrant des langages de programmation de macros sont lancées sur une machine OS/2,
alors cette dernière devient aussi sensible aux virus de
macros qu’une machine Windows.
Là encore, le processus de démarrage étant le même sur les
machines compatibles IBM avant le chargement du système d’exploitation, alors les virus d’amorçage peuvent
toucher les machines OS/2. OS/2 gère les disquettes d’une
façon différente de DOS ou Windows, aussi la probabilité
de propagation d’un virus d’amorçage après qu’il ait infecté
le disque dur est moins élevée sur une machine OS/2 que
sur une machine Windows ou DOS. Le risque tient plutôt
dans l’action du virus d’amorçage sur le disque dur. Si le
virus est conçu pour avoir une certaine puissance, alors il la
délivrera très probablement, sans considération du fait qu’il
peut infecter les disquettes ou non.
OS/2 supporte deux systèmes de fichiers : FAT (table
d’allocation des fichiers) et HPFS (système de fichiers hautes performances), et vous pouvez en utiliser un ou les
deux. HPFS est plus évolué et ils stocke les informations
dans des endroits différents, vous pouvez donc vous attendre à de sérieux effets sur un système HPFS de la part d’un
virus d’amorçage qui n’espère trouver qu’une FAT.
:LQGRZV
Windows 95 a été lancé au moment où Internet est devenu
public. De nos jours, le web est accessible à tous. Bien que
la majorité des utilisateurs de PC ait accueilli favorablement Internet, la messagerie électronique et les programmes de discussion (voir aussi virus et IRC), la face cachée
est un énorme potentiel d’auteurs de virus, parfois répertoriés comme terroristes Internet. L’emploi intensif de ces
possibilités a contribué à la propagation des virus sous
Windows 95/98.
Contrairement à Windows et DOS, Windows 95/98 est supposé intégrer des fonctions de sécurité. Malheureusement,
elles ne sont pas assez puissantes pour protéger ce système
contre les virus. En fait, le premier virus écrit spécialement
pour Windows 95 (le virus Boza) a émergé dès la fin de
1995. Qui plus est, l’environnement réseau pour groupe de
travail de Windows 95 ne possédait pas de protection des
fichiers, ce qui pouvait conduire à l’augmentation de la propagation des virus.
Après le virus Boza assez primitif, les virus Windows 95/98
ont augmenté en nombre et en complexité. Comme dans
l’environnement DOS, les premiers virus étaient très amateurs. Ils sont devenus techniquement plus complexes, les
auteurs gagnant en expérience. Certains virus sous Windows 95/98 se répandent par l’emploi intensif du protocole
réseau. Un “ sommet ” temporaire de complexité et de
capacité destructive a été atteint avec l’arrivée du virus CIH
en 1998.
Windows 95/98 partage de nombreuses caractéristiques
avec OS/2, respectant l’architecture du système et l’interaction avec les virus.
Comme OS/2, Windows 95/98 est un système d’exploitation 32-bits qui supporte les applications DOS, Windows et
les applications natives Windows 95/98.
De même qu’OS/2 a ses VDM, Windows 95/98 possède
des VM (machines virtuelles) - une machine virtuelle système possédant un espace d’adressage séparé pour les
applications Win32 ; un espace d’adressage partagé pour
les applications Win16 ; et des machines virtuelles séparées
pour les applications DOS individuelles.
Les virus de fichiers peuvent se propager facilement sur
une machine Windows 95/98 parce que la seule limitation
des fichiers programmes de DOS sous Windows 95/98 est
qu’ils ne peuvent pas écrire directement sur le disque dur.
Chaque VM DOS s’appuie sur les caractéristiques du système tel qu’il était lors du chargement de la machine virtuelle. Windows 95/98 se chargeant en lançant les mêmes
programmes DOS qu’une machine purement DOS, il est
possible qu’un programme infecté se lance lors du chargement et qu’il pourra infecter les programmes de la VM. De
plus, si le programme infecté a été lancé pendant le démarrage, il peut s’activer dans toutes les VM lancées plus tard.
Bien que les fichiers programmes d’une VM ne puissent
pas infecter les programmes d’une autre, il est possible
pour un programme infecté de se charger dans une machine
VM séparée plus tard, et l’infection peut continuer.
Les virus de macros ont été écrits pour dater les fichiers
cibles générés et lus par des applications Win16 et Win32
qui sont lus sous Windows 95/98. Le résultat est l’abondance des abondances de macro virus sous Windows 95/98.
Le processus de démarrage sous Windows 95/98 est le
même que pour les machines DOS ou Windows (jusqu’à un
certain point), les virus d’amorçage sont capables d’infecter
les disques durs des machines Windows 95/98. Lorsque
Windows 95/98 se charge, cependant, les virus d’amorçage
sont souvent désactivés et ne peuvent pas se propager. Si le
virus d’amorçage a une puissance potentielle, il peut la
libérer sans nécessiter une duplication préalable.
/HYLUXV&,+
Jusqu’au 26 avril 1998, il était vrai que les virus pouvaient
infliger de sérieux dommages aux logiciels mais pas au
matériel. C’est ce jour la que le nouveau virus
Win95.CIH.1003 a frappé pour la première fois. Les victimes ont dû remplacer leur BIOS et parfois (surtout sur les
portables) leur carte mère. Dans le mois qui ont suivi, le
virus CIH a été signalé partout dans le monde. Il existe
maintenant sous quatre formes et se déclenche toujours le
26 du mois.
Le virus CIH infecte les fichiers exécutables sous Windows
95/98 d’une façon très furtive. En principe un changement
inattendu dans la longueur d’un fichier binaire est un signe
certain d’activité virus.
La description technique des actions entreprises par ce
virus lorsqu’il se déclenche sort du propos de cet ouvrage.
Sachez cependant que lorsque le BIOS est programmé par
le virus CIH, le PC est lobotomisé et oublie son langage
interne. Lorsque cela se produit, le seul remède est de remplacer cette pièce. Le virus peut aussi écraser le contenu du
disque dur et le rendre inutilisable.
Le virus CIH nous rappelle que les auteurs de virus ont souvent à leur disposition des informations détaillées sur les
procédures non documentées logées au fin fond des systèmes d’exploitation. Lorsqu’ils emploient leur savoir-faire
pour écrire des virus presque exempts de bogues aussi nuisibles que CIH, une protection antivirus efficace est absolument nécessaire.
En général, de nombreuses victimes de CIH ont été infectées après avoir effectué des téléchargements sur des sites
de jeux Internet. Nous pensons donc qu’il est utile de rappeler à tous les surfers les risques qu’ils encourent au quotidien.
Nous vous recommandons de visiter les pages web de votre
fournisseur d’outils antiviraux pour télécharger des mises à
jour. Les temps où vous pouviez vous contenter d’une mise
à jour trimestrielle de votre antivirus sont définitivement
révolus.
/HVYLUXVHW,5&
Internet Relay Chat (IRC) est un système qui permet aux
utilisateurs d’avoir des conversations en temps réel sur
Internet. Les programmes IRC sont devenus ordinaires et
ils sont assez évolués. Il est possible d’échanger des
fichiers et d’automatiser certaines routines, par exemple.
Certains programmes clients IRC acceptent le transfert de
fichiers permettant aux personnes présentes d’envoyer des
scripts qui deviendront partie intégrante du client IRC proprement dit.
Certains incidents se sont produits dans lesquels il a été
prouvé que ces scripts contenaient des portions de code qui,
dans les faits, ont attaqué la machine de la victime.
Script.ini, parfois appelé le virus Ananas, est le code de ce
type le plus répandu et il accomplit des actions telles
qu’envoyer des copies de lui-même aux autres utilisateurs,
émet des opinions embarrassantes au nom de l’utilisateur,
ou transforme votre machine en serveur de fichiers public.
On peut débattre du fait que des scripts comme script.ini,
DMSetup.exe ou DMSetup2.exe, par exemple, soient considérés comme des worms ou des virus. On ne peut cependant pas nier qu’ils représentent un risque pour la sécurité
et que des virus peuvent être distribués via IRC, tout
comme les autres fichiers.
/DPHLOOHXUHSUpYHQWLRQHVWGHGpVDFWLYHUODIRQFWLRQ
³ G¶DFTXLVLWLRQDXWRPDWLTXH ´HWGHQHMDPDLVDFFHSWHUGH
ILFKLHUVRXGHSURJUDPPHVLQFRQQXV
9LUXVHW+70/
Le langage HTML (HyperText Markup Language), utilisé
pour créer des documents sur le web, ne peut pas contenir
de virus tant qu’il est employé dans le seul but de “ publier
des informations pour une distribution globale ” (spécification HTML 4.0 de WC3).
Cependant, le marque HTML <SCRIPT> active des instructions de scripts et/ou des fichiers scripts à ajouter dans
un fichier HTML. Les pages HTML deviennent donc les
“ hôtes ” potentiels de scripts malveillants pouvant comporter des virus.
Il a été rapporté que certains virus simples utilisent les
pages HTML avec Microsoft VBScript pour se propager, et
Windows Scripting Host (WSH) pour exécuter les fichiers
VBScript. Les ordinateurs fonctionnant sous Windows 98
ou avec la version bêta de Windows NT 5.0 y sont exposés,
WHS étant installé avec le système d’exploitation. Windows 95 et NT 4.0 peuvent être mis à jour pour intégrer
WHS.
Les utilisateurs d’Internet Explorer sont les seuls à être
exposés aux virus VBScript provenant de sites malveillants. Cette menace n’est pas effective tant qu’aucun
changement n’est apporté aux réglages de sécurité par
défaut du navigateur, et tant que l’utilisateur n’accepte pas
de lancer le fichier lorsque le programme le lui demande.
Assurez-vous que les réglages de sécurité d’Internet ExploCopyright © 1999 Norman
rer sont tels qu’une confirmation est demandée avant l’exécution d’un contenu potentiellement dangereux.
Les utilisateurs de Netscape Navigator et Communicator ne
sont pas exposés à cette menace car leur navigateur ne supporte pas VBScript.
Pour l’instant, aucune menace similaire n’a été reportée
avec le langage Java script. La sécurité étant plus stricte
dans cet environnement, il est peu probable que ce type de
problème surviendra un jour.
Pour l’heure, ce type de virus n’a pas été repéré “ en
liberté ”. De plus, ces virus n’ont pas le même potentiel de
propagation que la plupart des autres virus car, en principe,
les utilisateurs n’échangent pas de fichiers de type HTML
ou VBS. La propagation dépend principalement de serveurs
web malveillants.
Norman ne considère donc pas cette menace comme étant
particulièrement dangereuse. Cependant, l’équipe de développeurs de la famille de programmes NVC surveille la
situation de près.
:LQGRZV17
Ainsi que nous l’avons dit dans les sections OS/2 et Windows 95/98, Windows NT supporte les applications DOS
applications, Windows, et les applications Windows NT
natives. Tout comme Windows 95/98, Windows NT est
compatible vers le bas avec DOS et Windows. Malgré que
les fonctions de sécurité de NT soient plus élaborées que
celles de Windows 95/98, les virus de fichiers peuvent toujours se propager dans Windows NT. Les applications DOS
sont lancées dans des machines virtuelles DOS séparées, et
le virus peut fonctionner dans cette fenêtre. Certains virus
de fichiers DOS peuvent ne pas fonctionner correctement
sous NT, mais rien sous NT ne peut empêcher l’infection
des fichiers.
Comme Windows 95/98, Windows NT supporte des applications qui contiennent des langages de programmation des
macros, ce qui rend NT aussi vulnérables aux virus de
macro que les machines Windows proprement dites.
Les machines Windows NT démarrant de la même façon
que les machines DOS (jusqu’au point ou NT prend le
relais), les virus d’amorçage peuvent donc infecter les disques durs NT. Cependant, lorsque ces virus tentent de s’installer en mémoire, ils sont stoppés par NT et deviennent
incapables de s’installer sur une disquette. En effet, cela
stoppe l’infection, mais l’utilisateur doit gérer tous les
effets secondaires du virus d’amorçage sur le système - destructions ou manipulations du secteur d’amorçage, empêchant le démarrage de NT.
Solutions au problème des virus l 29
6ROXWLRQVDXSUREOqPHGHV
YLUXV
5RXWLQHVpWDEOLHV
Tant que les sociétés et les utilisateurs n’emploient pas de
procédures internes de manipulation des données, le risque
de propagation des virus subsiste. Nous avons vu que, lorsque les stratégies et les routines de manipulation des données sont établies, la société est moins exposée au risque de
virus. Et, lorsqu’ils surviennent, il est plus simple de repérer les fichiers infectés avant qu’ils ne se propagent.
6ROXWLRQV$QWLYLUXV
Lorsque les gens pensent à des solutions antivirus, ils pensent, en général, aux scanners. C’est le type de solution
antivirus le plus immédiatement utilisable, mais ce n’est
pas le seul type.
Il est peut-être préférable de penser aux solutions antivirus
en termes de :
• que faut-il pour détecter les virus
- méthodes génériques
- méthodes spécifiques
et
• lorsqu’un Virus est Détecté
- avant la tentative d’infection
- après l’infection
Un virus peut être détecté par des méthodes soit génériques,
soit spécifiques. Les méthodes génériques recherchent un
comportement de type virus. Il en résulte que même les
nouveaux virus peuvent être détectés, et il y a peu de
besoins de mise à jour de l’outil utilisé. Les méthodes génériques recherchant plus un comportement qu’un véritable
virus, le nom du virus n’est pas donné. L’utilisateur est simplement averti qu’un virus semble être présent. Certains se
méfient de cette méthode car elle peut donner de fausses
alertes, soit en détectant un virus qui n’est pas là, soit en ne
détectant pas un virus présent.
Voici quelques exemples de méthodes génériques :
• somme de contrôle et contrôle d’intégrité
• heuristiques
• leurres
• blocage de l’action
Les méthodes spécifiques, quant à elles, reposent sur la
connaissance préalable du virus. Dans ce cas, l’outil est
apte à détecter le virus et à l’identifier. Les fréquentes mises
à jour sont donc nécessaires. La plupart des utilisateurs
aiment savoir à quoi ils sont confrontés en cas de détection
d’un virus, et le meilleur moyen de le savoir reste de déterminer la nature exacte de la bête. Pour cela, de nombreux
utilisateurs préfèrent cette méthode, mais ils n’apprécient
pas vraiment la fréquence de mise à jour de l’outil.
Voici quelques exemples de méthodes de détection spécifiques:
• analyse sur demande et programmée
• analyse en temps réel
Nous avons établi que les virus macro posent le plus gros
problème aux utilisateurs de PC. Norman a conçu le programme Cat’s Claw ?actuellement disponible sous Windows 3.1x et Windows 95/98), qui permet à l’utilisateur de
certifier les macros. En bref, les macros légales et garanties
sans virus seront les seules acceptées. Lors de l’accès à un
fichier Word ou Excel, les macros non certifiées sont supprimées, ou l’accès au fichier est interdit. Si vous employez
Solutions au problème des virus l 31
cette fonction, vous êtes protégé contre les macros inconnues et les infections potentielles.
La détection du virus constitue également une considération importante. Tous les utilisateurs seront d’accord sur le
fait que la situation idéale serait d’empêcher le virus de
continuer l’infection, ensuite, l’idéal est d’identifier les
zones infectées.
Examinons les méthodes mentionnées ci-dessus :
0pWKRGH
0RGHGHGpWHFWLRQ
Somme de
contrôle et
contrôle
d’intégrité
Les deux méthodes stockent des informations concernant les fichiers non infectés
dans un endroit donné. Des comparaisons
entre l’état actuel des fichiers et les informations stockées sont accomplies périodiquement. Si un changement est détecté, une
alarme est déclenchée. Cette méthode propose une détection après coup.
Heuristique Cette méthode permet d’analyser les fichiers
et les secteurs d’amorçage en général afin de
déterminer si le code ressemble à un virus.
Cette détection s’accomplit après coup.
Leurres
Cette méthode consiste en une attente de
virus permettant l’infection de certains
fichiers. Les leurres détectent les virus pendant l’infection et sont très utiles au déclenchement d’une alerte rapide.
Blocage de Cette méthode analyse toutes les actions de
l’action
l’ordinateur afin de déterminer l’éventuelle
action d’un virus. Dans ce cas, elle est stoppée avant que l’infection puisse survenir. Le
blocage de l’action est un mode de détection
avant coup.
0pWKRGH
Analyse sur
demande et
programmée
Analyse en
Temps Réel
0RGHGHGpWHFWLRQ
C’est une méthode de recherche de virus
spécifiques à un moment précis. Dans tous
les cas, c’est une détection après coup.
Cette méthode emploie également l’analyse,
mais le processus de détection se déroule
pendant les autres opérations de l’ordinateur, par exemple, la copie d’un fichier. Les
utilisateurs sont avertis de la présence de
virus avant qu’ils se déclenchent.
Comme vous le voyez, il n’y a pas de solution qui corresponde à vos besoins de détection. Nous vous conseillons de
combiner ces méthodes pour les adapter à vos besoins, et
profiter de leurs routines d’éradication.
Le sujet de l’éradication est relativement complexe. Certaines personnes ont une définition étroite de ce qu’est la suppression des virus : si vous effacez le fichier ou formatez le
disque dur, la virus s’en va. Cependant, des mesures si radicales ne sont pas toujours utiles et il est plus sain de considérer l’éradication comme la suppression du code du virus,
qui laisse les fichiers et/ou la zone d’amorçage utilisable.
Certaines méthodes de détection listées ci-dessus peuvent
également éradiquer le virus (la manière “ sûre ”) :
0pWKRGH
Somme de contrôle
et contrôle d’intégrité
Heuristiques
Leurres
Blocage de l’action
$FWLRQGHVXSSUHVVLRQ
Peut supprimer les virus.
Peut parfois supprimer les virus
d’amorçage et de macros.
Ne peut pas supprimer les virus.
Peut supprimer les virus de la
mémoire et des secteurs d’amorçage des disquettes.
0pWKRGH
Analyse sur
demande et programmée
Analyse en temps
réel
$FWLRQGHVXSSUHVVLRQ
Ne peut pas supprimer les virus.
Peut supprimer les virus.
Veuillez lire ceci pour avoir une idée des performances des
produits Norman Virus Cleaner.
3URGXLWV1RUPDQ9LUXV
&OHDQHU
*DPPHGHSURGXLWV1RUPDQ
Norman réalise qu’aucune méthode de détection antivirus
ne suffit à tous vos besoins, notre produit antivirus fournit
une large gamme de solutions pour DOS, Windows, Windows 95/98, Windows NT, OS/2, NetWare et Groupware.
Nous savons que la combinaison matériel/logiciel dans les
sociétés est assez hétérogène, nous avons donc conçu des
produits antivirus pour qu’ils coexistent sur les plates-formes et pour qu’ils envoient des messages d’alarmes sur le
réseau, à la fois par des pièges SNMP et la messagerie
NetWare.
19&SRXU'26:LQGRZV
•
•
•
•
•
•
•
•
Le Smart Behavior Blocker
Cat’s Claw
Contrôle d’intégrité des zones système
Leurres
Analyse sur demande et programmée
Suppression
Traque des messages SNMP
Messagerie NetWare
19&SRXU:LQGRZV
•
•
Cat’s Claw
Produits Norman Virus Cleaner l 35
•
•
•
•
•
Scanner contextuel
Suppression
Messagerie NetWare
19&SRXU:LQGRZV17
•
•
•
•
•
•
Analyse en temps réel, sur demande et programmée
Service NVC NT
Scanner contextuel
Suppression
Messagerie NetWare
19&SRXU26
•
•
•
•
•
Suppression
Messagerie NetWare
&DW¶V&ODZ
•
•
•
Suppression automatique des virus de macros et de
fichiers, ainsi que des virus d’amorçage
Analyse en temps réel
Certification des macros
19&SRXU1HW:DUH
•
•
•
Analyses sur demande et en Temps Réel sur les
serveurs de fichiers NetWare
Messagerie NetWare
19&SRXU*URXSZDUH
•
•
•
Analyses sur demande et en temps réel sur Lotus
Domino®.
Suppression
Pour tout renseignement complémentaire, veuillez contacter vous revendeur le plus proche ou le représentant de Norman.
,QGH[
²'²
²6\PEROHV²
/S 9
²1XPpULTXH²
32-bit 21, 23
²$²
Ajouter un virus 6, 7
Analyse sur demande 32
Auto-test de mise sous tension 8
²%²
BBS 17
BIOS 8
Blocage de l’action 31
Bogue 4
Bombe
Logique 4
Retardement 4
Bombe à retardement 4
Bombe logique 3, 4
Boza 22
²&²
Cat’s Claw 30, 35
Chess, David 17
Cheval de Troie 3
CMOS 10
COM 4
Combien de virus 15
Commande SYS 9
Contrôle d’intégrité 31
Crypté 5
Détection en temps réel 32
Disque non système ou erreur 9
Disquette d’amorçage 9
DMSetup.exe 26
DMSetup2.exe 26
DOS 9
²(²
E-mail 11
Evolution du problème des virus 17
EXE 4
²)²
FAT 4, 22
Fichiers de définition 10
File virus 6
Furtivité 5
²*²
Gros système 4
²+²
Heuristique 31
HPFS 22
HTML 26
²,²
Imbrication 12
Informations de sécurité 1
Internet 11, 17
Internet Explorer 26
Internet Relay Chat (IRC) 25
Introduction 1
IRC 25
ITW 16
ITZ 16
².²
Kephart, Jeff 17
38 l Index
²/²
LAN 17
Langages de programmation de macros
11
WordBasic 11
Leurres 31
Lien 12
²0²
Machine virtuelle 23
Machine virtuelle DOS 21, 27
Macro.Word.Concept 21
Macros certifiées 30
MBS 3, 8, 9
Mémoire vive 8
MS-DOS 19, 20
²1²
Netscape Navigator 27
NVC pour DOS/Windows 34
NVC pour Groupware 36
NVC pour NetWare 35
NVC pour OS/2 35
NVC pour Windows 95 34
NVC pour Windows NT 35
²2²
Office97 14
OLE 11, 12, 13
Option système 9
OS/2 9, 19, 21
Overwriting virus 6
²3²
Polymorphe 5
Porteur 7
POST 8
Processus d’amorçage 8
Programmes de discussion 22
²5²
RAM 8
Renvoi 7
Réseau départemental 17
Réseau local 17
Résident 7
Résident en mémoire 7, 28
²6²
SBS 3, 8, 9, 10
Script.ini 25
Sécurité
Information 1
Site Internet de Norman 11
Solutions aux problèmes des virus 29
Somme de contrôle 31
System Boot Sector 9
Système de fichiers hautes
performances 22
Systèmes d’exploitation 19
²7²
Table d’allocation des fichiers 22
²9²
Variante 15
VBA3 13
VBA5 14
VBScript 27
VDM 21, 27
Virus 3
Ajout 6, 7
Amorçage 5, 8
Amorçage, mode d’infection 10
Boza 22
CIH 24
Combien 15
Définition 3
En laboratoire 16
En liberté 16
Evolution 17
Fichier 5
Index l 39
file 6
Lehigh 15
Les plus courants 21
macro 5, 10
Multiparties 5
overwriting 6
prepending 6
Remplacement 6
Signature 10
solution 29
Sur les différents systèmes d’exploitation 19
Virus d’amorçage 5, 8
Mode d’infection 10
Virus de fichiers 5
Virus de macros 5, 10
Virus de remplacement 6
Virus Excel 13
Virus informatique 3
Virus multipartie 5
Virus remplaçant 6
VM 23
²:²
WAN 17
White, Steve 17
Windows 9, 19, 20
Windows 95 9, 19, 22
Windows NT 9, 27
WordBasic 11, 13, 14
Worm 3, 4
WSH 26

Le livre Norman des virus informatiques

Transcription

Documents pareils

En savoir plus

Le Nouvel Observateur : Notre époque, Internet : les virus attaquent

SCRIPIK SERVICES Dépannage et Assistance Informatique

Le coryza (maladie du chat) Le coryza, également appelé

herpes virose canine

HERPELYSINE : La L-LYSINE et l`Herpes Virose

Les hépatites

L`herpès virus canin

Herpes félin - Birmania and Co

Hépatite B