Le livre Norman des virus informatiques
Transcription
Le livre Norman des virus informatiques
/HOLYUH1RUPDQ GHVYLUXVLQIRUPDWLTXHV $%62)7 Parc Burospace 14, 91572 Bièvres CEDEX, France Tel. : +33 1 69 33 70 00 Télécopie : +33 01 69 33 70 10 E-mail: [email protected] ii l Le livre Norman des virus informatiques /LPLWHVGH*DUDQWLH Norman ASA n’est pas responsable de toute autre forme de perte ou dommage consécutive à l’emploi de cette documentation ou des erreurs éventuelles qu’elle contient, y compris, mais sans limite, les pertes de profit. En particulier, Norman Data Defense Systems n’est en aucun cas responsable des pertes de profit ou autres dommages directes ou indirectes, commerciaux ou d’autre nature. Les informations contenues dans ce document ainsi que les fonctionnalités du logiciel sont sujettes à modification sans préavis. Le logiciel doit être utilisé en accord avec les termes de la licence. L’acheteur peut effectuer une copie du logiciel à des fins de sauvegarde. Aucune partie de ce document ne peut être reproduite, transmise sous quelque forme ou quelque moyen que ce soit, électronique ou mécanique, incluant les systèmes de photocopie, d’enregistrement ou de stockage d’informations, pour tout utilisation autre que l’usage personnel de l’acheteur, sans une autorisation écrite de Norman Data Defense Systems. Le logo Norman est une marque de Norman Data Defense Systems. Les noms des produits cités dans ce documents sont la propriété de leur auteurs respectifs. Ils sont mentionnés à des fins d’identification. Documentation Copyright © 1999 Norman ASA. Tous droits réservés. Mars 1999 Copyright © 1999 Norman 7DEOHGHVPDWLqUHV 7DEOHGHVPDWLqUHV LLL ,QWURGXFWLRQ 4X¶HVWFHTX¶XQ9LUXV" Virus..................................................................................................... 3 Worm.................................................................................................... 4 Cheval de Troie .................................................................................... 4 Bogue, bombe logique, bombe à retardement...................................... 4 Les différents types de virus .....................................................................5 Virus de fichier .........................................................................................6 Virus d’Amorçage .....................................................................................8 L’amorçage .......................................................................................... 8 Disquette d’amorçage ......................................................................9 L’infection par virus d’amorçage....................................................... 10 Virus de Macro .......................................................................................10 Comment cela fonctionne-t-il ?.......................................................... 11 Pourquoi est-ce un tel risque ? ........................................................... 12 MS Word............................................................................................ 12 MS Excel ............................................................................................ 13 Office 97............................................................................................. 14 Prédictions pour l’avenir .................................................................... 14 Combien existe-t-il de virus... .................................................................15 ... Et est-ce important ?....................................................................... 16 Virus en liberté ........................................................................................16 (YROXWLRQGXSUREOqPHGHVYLUXV /HVYLUXVVXUOHVGLIIpUHQWVV\VWqPHVG¶H[SORLWDWLRQ MS-DOS .................................................................................................20 iv l Le livre Norman des virus informatiques Windows .................................................................................................20 OS/2 ........................................................................................................21 Windows 95/98 .......................................................................................22 Le virus CIH....................................................................................... 24 Les virus et IRC.................................................................................. 25 Virus et HTML................................................................................... 26 Windows NT ...........................................................................................27 6ROXWLRQVDXSUREOqPHGHVYLUXV Routines établies ................................................................................ 29 Solutions Antivirus............................................................................. 29 3URGXLWV1RUPDQ9LUXV&OHDQHU Gamme de produits Norman .............................................................. 34 NVC pour DOS/Windows .............................................................34 NVC pour Windows 95 .................................................................34 NVC pour Windows NT ................................................................35 NVC pour OS/2 .............................................................................35 Cat’s Claw .....................................................................................35 NVC pour NetWare .......................................................................35 NVC pour Groupware ...................................................................36 Copyright © 1999 Norman ,QWURGXFWLRQ Il est assez difficile d’imaginer que les premiers ordinateurs personnel IBM (PC) sont apparus en août 1981. À l’origine, ils étaient employés par un groupe de personnes très réduit. Aujourd’hui, il serait difficile d’imaginer la vie sans ces machines, que ce soit au bureau ou à la maison. Regardez ce qui se passe autour de vous lors d’une coupure de courant, et vous verrez des gens errer en se sentant impuissants car ils pensent ne rien pouvoir faire sans leur ordinateur. Nous sommes devenus dépendants de ces machines et des informations qu’elles contiennent. Comme l’importance de cette “ boîte ” est croissante, il devient aussi important, si ce n’est plus, de la protéger et la sécuriser. (Combien de systèmes d’alarme y a-t-il dans votre voiture ?) Une grande partie des activités des ordinateurs modernes est employée à sécuriser les informations que nous créons et traitons. Il existe de nombreux aspects quant à la sécurité des informations, partant de l’accès physique jusqu’à la certitude que les informations n’ont pas été modifiées. L’une des plus graves atteintes à l’intégrité des informations est constituée par les virus informatiques. Étonnamment, ils couvrent les deux tiers de la vie des IBM PC, car ils sont apparus en 1986. Le nombre d’ordinateurs étant en croissance constante, le problème des virus est devenu plus visible au cours des deux dernières années. En fait, l’industrie des loisirs a aidé cet état de chose en illustrant les effets des virus dans des films tels que “ Indépendance Day ”, “ The Net ” et “ Sneakers ”. Notez que les virus informatiques sont également présents sur les Macintosh mais que, dans ce livre, nous avons 2 l Le livre Norman des virus informatiques décidé de nous concentrer sur les virus PC. Les sujets couverts seront : • qu’est-ce qu’un virus • évolution du problème des virus • les virus des divers systèmes d’exploitation • solutions aux problèmes de virus • comment les produits Norman Virus Cleaner peuvent-ils vous aider ? Copyright © 1999 Norman 4X¶HVWFHTX¶XQ9LUXV" Les termes de “ virus informatique ” et “ virus ” reviennent quotidiennement dans les conversations et sont synonymes de “ problème ”. ““ Les virus, worms, chevaux de Troie et bombes logiques sont des logiciels indésirables, non invités et potentiellement dangereux, mais ils sont très distincts. Les différences reposent dans le fait qu’une catégorie nécessite ou non un programme hôte, et si le programme est capable de se dupliquer. Tous peuvent provoquer des dommages, mais ce n’est pas leur définition complète. Voici un aperçu de chaque catégorie. 9LUXV Un virus a besoin d’un hôte, et son but principal est d’infecter les autres fichiers afin de pouvoir “ vivre ” plus longtemps. Certains accomplissent des actions destructrices, bien que ce ne soit pas nécessairement le cas. De nombreux virus tentent de se cacher en attendant d’être découverts. Les virus sont de simples programmes informatiques. 5HPDUTXH 'XSOLFDWLRQ" Oui. Tous les virus font une auto copie, infectent les secteurs d’amorçage, le MBS, les programmes, ou les fichiers de données, lorsque l’opportunité se présente. 4 l Le livre Norman des virus informatiques :RUP Un hôte n’est pas nécessaire, car c’est un problème typique des gros systèmes et il ne cherche pas à se cacher. 'XSOLFDWLRQ" Oui. Un worm fait une auto copie, lorsque l’opportunité se présente. &KHYDOGH7URLH Ne nécessite pas d’hôte. Bien que le terme "Cheval de Troie" se réfère parfois au programme contenant un code destructif, il est souvent employé en référence aux fichiers .COM ou .EXE. 'XSOLFDWLRQ" Non. La plupart des Chevaux de Troie s’activent lorsqu’ils sont lancés et détruisent la structure du disque (FAT, répertoires, etc.). %RJXHERPEHORJLTXHERPEHjUHWDUGHPHQW Nécessite un hôte. Les programmeurs ne peuvent pas écrire une bogue sans écrire du code supplémentaire - bien entendu, les programmeurs n’écrivent pas de bogues intentionnellement. Les bombes logiques et à retardement sont insérées intentionnellement dans un code “correct”. 'XSOLFDWLRQ" Non. Ce code a, en général, mieux à faire que de se dupliquer. Les bombes logiques et à retardement veulent rester cachées, et seul leur effet doit être visible. Les bogues font tout, à part se reproduire. Copyright © 1999 Norman Qu’est-ce qu’un Virus? l 5 /HVGLIIpUHQWVW\SHVGHYLUXV Lorsque nous parlons des virus, nous parlons de quatre types différents : 9LUXVGHILFKLHU Les virus de fichiers infectent les programmes exécutables (programmes). Ils sont capables d’infecter les réseaux. 9LUXVGHPDFUR Les virus de macro infectent les fichiers de données. Ils sont capables d’infecter les réseaux. 9LUXVG¶DPRUoDJH Ils infectent les secteurs d’amorçage des disques durs et des disquettes. Ils sont incapables d’infecter les réseaux. 9LUXVPXOWLSDUWLHV Ces virus infectent les fichiers exécutables et les secteurs d’amorçage. Ils peuvent se propager sur les réseaux. Un virus de macro infectant les fichiers, il est techniquement considéré comme un virus de fichier. Cependant, contrairement aux autres virus, il infecte les fichiers de données. Ces virus deviennent très courant et ils doivent être traités comme une catégorie à part entière. Vous avez probablement entendu d’autres termes tels que “ polymorphe ”, “ furtif ” et “ crypté ”. Ce ne sont pas des virus en tant que tels, mais plutôt des méthodes employées par des virus pour se travestir et échapper aux antivirus. Les sections suivantes décrivent les virus de fichiers, de macros et d’amorçage. Les virus multiparties ne sont pas communs et nous ne les décrirons pas dans cet ouvrage. Copyright © 1999 Norman 6 l Le livre Norman des virus informatiques 9LUXVGHILFKLHU Un virus de programme s’attache à un fichier programme (l’hôte) et emploie différentes techniques pour infecter les autres fichiers programmes. Il existe trois techniques de base pour infecter un fichier exécutable : le remplacement, l’ajout au début et l’ajout. Un virus de remplacement se place au début du programme, directement au début du code du programme original, le programme est donc endommagé. Lorsque vous tentez de le lancer, rien ne se passe, cependant le virus infecte un autre fichier. De tels virus sont facilement repérés par les utilisateurs et par le personnel de support technique ; ils ne se répandent donc que très peu. Il y a très peu de risques pour qu’un virus de ce type se trouve dans votre machine. Ce type de virus place la totalité de son code au tout début du programme original. Lorsque vous lancez un proCopyright © 1999 Norman Qu’est-ce qu’un Virus? l 7 gramme infecté par ce type de virus, ce code se lance en premier et le programme original se lance. Un virus basé sur l’ajout place un “ renvoi ” au début du code du programme, place le début du code programme à la fin du fichier et se place entre ce qui était la fin du fichier et le début du fichier. Lorsque vous tentez de lancer ce programme, le “ renvoi ” appelle le virus qui se lance. Il replace le début original du fichier à sa position normale et vous permet de lancer le programme. Ceci était un bref aperçu de la façon dont un virus s’attache à un fichier programme. Il emploie différentes techniques d’infection. La plupart des virus sont résidents, ils peuvent donc contrôler toutes les actions et infecter les autres programmes. D’autres virus de fichier infectent par “ action directe ”, ce qui signifie qu’ils infectent un programme lorsqu’ils y accèdent. Il existe de nombreuses autres méthodes mais, pour la plupart, elles placent les virus en mémoire. Si un virus est résident, il lui est alors extrêmement facile d’infecter d’autres programmes en attendant leur lancement pour s’y introduire. Ce fichier est alors infecté (il devient “ porteur ”), et va infecter d’autres programmes. Copyright © 1999 Norman 8 l Le livre Norman des virus informatiques 9LUXVG¶$PRUoDJH Les virus d’amorçage infectent les secteurs d’amorçage du système (SBS) et les secteurs d’amorçage principaux (MBS). Le MBS est situé sur tout disque dur physique. Il contient, entre autres données, des informations relatives à la table de partition (qui indique la division d’un disque physique en disques logiques), et un court programme qui peut interpréter les informations de partition indiquant l’emplacement du SBS. Le MBS est le système d’exploitation. Le SBS contient, entre autre, un programme chargé de détecter et lancer le système d’exploitation. Du fait que les zones système sont lues pendant le processus d’amorçage sur tous les compatibles IBM, les virus d’amorçage sont indépendant du système d’exploitation et sont aptes à se propager bien plus efficacement que les virus de fichiers. Référez-vous à la section Les virus sur différents systèmes d’exploitation pour toute information supplémentaire. /¶DPRUoDJH Pour comprendre les virus d’amorçage, il est nécessaire de comprendre le processus de démarrage. Le BIOS (Basic Input/Output System), qui contrôle le processus d’amorçage, se met en marche dès que la machine est allumée. La procédure suivante accomplit les autotests de mise sous tension (POST). Elle vérifie que l’ordinateur fonctionne correctement. L’une des fonctions du POST très connue des utilisateurs est le calcul du volume de la mémoire RAM (Random Access Memory) de la machine qui s’affiche à l’écran. La dernière action du POST est d’amorcer l’initialisation du système. La première tâche est de vérifier s’il y a une Copyright © 1999 Norman Qu’est-ce qu’un Virus? l 9 disquette dans le lecteur. Si tel est le cas, le SBS de la disquette est lu et la machine tente un amorçage. Si la disquette ne permet pas l’amorçage (voir ci-dessous), le message suivant s’affiche : 'LVTXHQRQV\VWqPHRXHUUHXU 5HPSODFH]OHHWDSSX\H]VXUXQHWRXFKH En principe, cependant, aucune disquette n’est présente dans le lecteur et c’est le MBS du disque qui est lu. Le système d’exploitation peut alors démarrer. Ce processus est identique sur les machines fonctionnant sous DOS, Windows, Windows 95/98, Windows NT et OS/ 2. La différence survient au chargement du système d’exploitation proprement dit. 'LVTXHWWHG¶DPRUoDJH Lorsqu’une disquette est formatée, un secteur d’amorçage système est créé. La disquette peut avoir deux fonctions : contenir des fichiers programmes et de données et/ou être une disquette d’amorçage. Une disquette système peut être employée pour outrepasser le processus de démarrage depuis un disque dur. La machine démarre alors depuis la disquette. Pour créer une disquette d’amorçage, vous devez soit formater la disquette avec l’option “ système ” (/S), soit employer la commande DOS SYS sur la disquette. Une disquette formatée dispose toujours d’un secteur d’amorçage système, que ce soit une disquette de démarrage ou non. Ce secteur est l’abri préféré des virus, donc, toute disquette formatée peut être potentiellement infectée par un virus d’amorçage. Copyright © 1999 Norman 10 l Le livre Norman des virus informatiques /¶LQIHFWLRQSDUYLUXVG¶DPRUoDJH Si une disquette est laissée dans le lecteur A: de la machine et si la CMOS est réglée pour que le démarrage se fasse sur le lecteur A: puis sur C:, alors le SBS de la disquette est lu. S’il recèle un virus d’amorçage, il s’active, s’installe en mémoire, infecte les zones système du disque dur et tente d’infecter toutes les disquettes auquel le système accède éventuellement. En général, les gens ont tendance à laisser les disquettes dans le lecteur lorsqu’ils éteignent leur machine puis l’oublient lorsqu’ils redémarrent leur machine le lendemain. 9LUXVGH0DFUR Depuis l’introduction du premier virus de macro, en août 1995, cette catégorie est celle qui s’est le plus développée. Lors de notre première discussion sur ce sujet dans cette publication, en janvier 1997, le nombre de virus de macro connus était égal à 100. En mars 1999, Norman avait identifié environ 4000 virus de ce type, et le nombre augmente de façon vertigineuse. Les sociétés et les particuliers doivent se protéger par de fréquentes mises à jour de leurs outils de contrôle de virus, ce qui implique que l’industrie des programmes antivirus met à jour ses bases et ses fichiers en permanence. Un fichier de définition contient des signatures de virus (l’empreinte des virus connus) ; il est employé par le moteur de recherche pour détecter et supprimer les virus. Tout scanner de virus n’est efficace qu’avec des fichiers de signatures de virus récent. De ce fait, la récupération fréquente de ces mises à jour est primordiale pour assurer la sécurité de votre environnement informatique. Copyright © 1999 Norman Qu’est-ce qu’un Virus? l 11 Les fichiers de définition et de mise à jour sont disponibles sur le site web de Norman. Nous vous recommandons une visite à : KWWSZZZQRUPDQQRXSGDWHKWP Les différences entre les virus de macros et les virus plus traditionnels reposent dans les hôtes (fichiers de données) et les méthodes de duplication (emploi du langage de programmation des macros propre aux applications). &HVGLI IpUHQFHVVRQWXQHQRXYHOOHPHQDFHSRXUODVpFXULWpGHV Ajoutez l’utilisation croissante d’OLE (Object Linking and Embedding) ainsi que l’emploi des réseaux, des messageries et d’Internet comme supports d’échange, et le sinistre tableau est brossé ! GRQQpHV &RPPHQWFHODIRQFWLRQQHWLO" Les virus de fichiers traditionnels n’essaient pas d’infecter les fichiers de données, ces derniers n’étant pas l’idéal pour la propagation. En fait, on ne “ lance ” pas un fichier de données, mais on le “ lit ” ou on le “ modifie ”. Cependant, ces dernières années, les sociétés ont construit des systèmes ouverts dans lesquels les informations sont plus facilement échangées. La sécurité doit donc être minimum. Les virus de macro s’appuient sur le fait que de nombreuses applications contiennent désormais un ODQJDJHGHSURJUDPPD WLRQGHPDFURV. Ces langages permettent aux utilisateurs (et aux auteurs de virus) une plus grande souplesse et une puissance à ce jour inégalée. Souvent, les virus de macros ne sont pas détectés assez tôt parce que les utilisateurs ne sont pas familiarisés avec les macros. Il en résulte un taux d’infection plus élevé qu’avec les virus de fichiers et d’amorçage traditionnels. À ce jour, le langage de programmation le plus populaire est WordBasic, intégré à Microsoft Word. Copyright © 1999 Norman 12 l Le livre Norman des virus informatiques 3RXUTXRLHVWFHXQWHOULVTXH " Les données étant échangées plus souvent que les programmes eux-mêmes, le problème de sécurité posé par les virus de macros est très réel. Les systèmes ouverts intégrés dans de nombreuses emploient OLE pour combiner différents types de données. Vous pouvez LPEULTXHU un objet tel qu’une image dans un document Word. Cela signifie que chaque modification de l’objet sera reflétée dans toutes ses copies. Vous pouvez aussi OLHU un objet tel qu’une feuille de calcul Excel dans un document Word. Cette liaison signifie que vous pouvez modifier l’objet soit dans l’application qui a servi à le créer, soit dans l’application à laquelle il est lié, et toutes ses copies seront mises à jour. 06:RUG Microsoft Word a la possibilité d’intégrer et de lier des objets. De plus, les documents Word peuvent être intégrés et liés à d’autres applications. Le risque est dans la possibilité de lancer un virus de macro depuis une autre application. Par exemple, les messages Microsoft MSMail peuvent contenir des pièces jointes telles que des documents Word. Si l’association est correcte, l’utilisateur de MSMail n’a Copyright © 1999 Norman Qu’est-ce qu’un Virus? l 13 qu’a double-cliquer sur le document Word, Word se lance et le document est ouvert. C’est l’un des exemples d’OLE en action. Il existe d’autres types d’utilisation d’OLE en association avec les documents Word, et c’est la fréquence de telles utilisations qui augmente les risques pour la sécurité posés par les virus pour macro de Word. Certains virus de macros contiennent du code destructeur ; ils peuvent même créer et exécuter des virus de fichiers et d’amorçage traditionnels et affecter le fonctionnement d’une machine. Les virus pour macro affectent la qualité et la fiabilité des LQIRUPDWLRQV contenues dans les fichiers de données. 06([FHO Il n’a fallu que peu de temps après l’apparition du premier virus de macro pour Word pour qu’apparaisse son équiva. Ce fut un événement attendu, lent pour Excel : les techniques de création étant les mêmes que pour programmer un virus de macro pour Word. ;0/DURX[$ La différence entre les virus pour Word et Excel réside dans le fait que les virus pour Word sont écrits en WordBasic, alors que ceux pour Excel le sont en VBA3 (Visual Basic for Applications version 3). Le format est différent et les macros ne sont pas stockées à l’intérieur de la feuille de calcul (les virus Word sont stockés dans le document Word), mais dans des canaux séparés. Cette technique complique la détection, l’identification et l’éradication. Les virus de macros pour Excel posent un problème plus ardu que ceux de Word, du fait des implications pratiques. Imaginez qu’un virus pour Excel multiplie le contenu d’une cellule par 10 et que cette cellule représente votre salaire ! Ce ne serait certainement pas la fin du monde... Mais si le contenu de cette cellule était GLYLVp par 10 ? Ce sont des inconvénients mineurs comparés aux modifications apportées au résultat d’une cellule dont le but est de calculer la résistance du béton employé pour la construction Copyright © 1999 Norman 14 l Le livre Norman des virus informatiques d’un immeuble. Les feuilles de calcul sont parfois volumineuses et les anomalies sont difficiles à dépister. 2IILFH L’introduction d’Office97 a entraîné la modification de presque tous les formats des programmes de la suite. Les changements ont été consistants. Excel et Word utilisent VBA5, basé sur VBA3 avec de nombreuses extensions. VBA5 n’est pas compatible avec WordBasic, ce qui semblerait indiquer que les virus de macros écrits pour les versions précédentes de Word n’affecteront pas Word 8.0 dans Office97. Cependant, Microsoft a intégré un WordBasic à VBA5, et une conversion de VBA3 à VBA5 pour mettre à jour les macros existantes dans les nouveaux formats. En conséquence, les YLUXV de macros écrits pour les versions précédentes de Word et Excel peuvent aussi être “ mis à jour ”. Les virus ne fonctionneront pas tous après leur conversion, mais nous savons que certains le feront. 3UpGLFWLRQVSRXUO¶DYHQLU Norman s’attend à ce que les virus de macros soient toujours une sérieuse menace pour la sécurité des données, même si nous pensons que leur nombre va augmenter moins rapidement. Nous pensons également que les virus tireront parti des langages de programmation de macros les plus communs et qu’ils deviendront indépendants des applications. (N’oubliez pas que Microsoft Word est actuellement l’application la plus touchée par les infections par virus de macro, écrits pour la plupart en WordBasic.) De plus, nous pensons que les virus deviendront polymorphes et furtifs. Norman va continuer à lutter contre les virus de macros, ainsi que contre les virus de fichiers et d’amorçage ‘traditionnels’ en détectant et éradiquant les virus de macro au niveau de l’application et au niveau binaire. Copyright © 1999 Norman Qu’est-ce qu’un Virus? l 15 &RPELHQH[LVWHWLOGHYLUXV Cette question est posée très souvent aux distributeurs de produits antivirus. Il est difficile d’y répondre pour les raisons suivantes : 1. Aucune organisation centrale ne compte le nombre de virus. 2. De nouveaux virus apparaissent tous les jours. Certains experts affirment que la croissance des nouveaux virus est exponentielle et les autres disent qu’elle est quadratique. Si nous pouvions tous les compter, alors ce décompte ne serait valable que pendant une courte période : environ une journée. 3. Nous constatons souvent que de nombreuses variantes sont faites à partir d’un virus, et il y a souvent une mésentente au sujet de ce terme au sein de la communauté des chercheurs antivirus.“ 4. Il n’existe aucune convention standard d’attribution de nom pour les virus ; on peut donc retrouver le même virus sous des noms différents. Ceci amène la question de l’attribution de leurs noms aux virus. Parfois, les auteurs intègrent un texte indiquant son nom (ex : Voici le virus xxx ; avec les compliments de yyy). Mais, la plupart du temps, les noms sont attribués par les personnes qui découvrent les virus. Différentes méthodes sont employées, telles que le lieu d’origine présumé, ou l’endroit où il a été détecté (ex : le virus Lehigh), le nombre d’octets ajoutés au fichier par le virus, son action, etc. En gardant ces considérations à l’esprit, sachez que les produits Norman Virus Cleaner détectent plus de 18 000 variantes de virus au moment où nous écrivons ces lignes (mars 1999). Copyright © 1999 Norman 16 l Le livre Norman des virus informatiques (WHVWFHLPSRUWDQW" Pour l’utilisateur lambda, le nombre de virus existant représente quelque chose de totalement immatériel. Ce qui lui importe est que l’antivirus évite toute infection sur sa machine. Le nombre de virus connus ne reflète pas vraiment l’activité du monde des chasseurs de virus. Les statistiques sont parfois utiles en tant que manifestation visible de l’évolution des virus. Le problème des virus informatiques est mieux évalué par l’analyse de la nature des virus individuels et par l’observation de leur comportement, plutôt que par leur comptage systématique. Le message des chasseurs de virus, qui ont expédié environ 14 000 nouveaux virus aux distributeurs de produits antivirus à l’automne 1998 va dans ce sens. Tous ces virus ont été générés automatiquement et, par conséquent, ils n’étaient pas techniquement exceptionnels. En fait, la plupart de ces virus étaient détectables par les méthodes heuristiques. Néanmoins, le nombre de signatures de virus a presque doublé du jour au lendemain dans nos fichiers de définition, alors que le nombre total de virus traités est demeuré inchangé. 9LUXVHQOLEHUWp Bien que les chasseurs de virus en connaissent des milliers, ce chiffre ne doit pas vous inquiéter. Parmi ces milliers, la plupart n’existent que dans des laboratoires de recherche, et les autres se promènent effectivement de par le monde, dans les sociétés ou chez les particuliers. Il en résulte que les chercheurs ont classé les virus en deux catégories : “ en liberté ” et “ au zoo ”, parfois désignées respectivement par “ ITW ” et “ ITZ ”. Les virus “ en liberté ” ont été rencontrés à l’extérieur des laboratoires. Ils représentent environ 10% des virus connus et ce sont ceux qui vous concernent directement. Si vous souhaitez en savoir plus, contactez votre distributeur Norman. Copyright © 1999 Norman (YROXWLRQGXSUREOqPHGHV YLUXV Au commencement, il était très difficile de relier les ordinateurs entre eux, et les virus ne se répandaient que très doucement. Les fichiers étaient transmis via les BBS (bulletin board systems) ou sur disquettes. La transmission des fichiers infectés et des secteurs d’amorçage était donc limitée géographiquement. Mais vint la connectivité et, par sa croissance, elle augmenta le nombre d’ ordinateurs dans l’espace de travail. Les frontières des virus informatiques étaient repoussées. Il y eût d’abord le réseau local (LAN), le réseau départemental (WAN), puis Internet. L’usage intensif de la messagerie électronique contribua à l’augmentation météorique du nombre d’incidents liés aux virus de macros. Nous vivons maintenant dans une société dans laquelle la technologie globale a pris le pas, et où le commerce global est régi par les moyens de communication. Les ordinateurs font partie intégrante de cette technologie et les informations qu’ils contiennent (et leurs petits segments de code malicieux) deviennent également globales. Par conséquent, il est bien plus aisé d’attraper un virus aujourd’hui que deux ans auparavant. De même, les W\SHV de virus les plus courants de nos jours sont différents de ceux de cette époque. Steve White, Jeff Kephart et David Chess, du suivent l’évolution des virus avec attention et, en autres choses, ils ont conclu que la prédomi,%07KRPDV- :DWVRQ5HVHDUFK&HQWHU 18 l Le livre Norman des virus informatiques nance de certains types de virus est déterminée par les changements de systèmes d’exploitation.1 En bref, la tendance est la suivante : Dans les sections suivantes, nous parlerons du fonctionnement des virus dans les différents systèmes d’exploitation. 1. Steve R White, Jeffrey O Kephart et David M Chess, ‘The Changing Ecology of Computer Viruses’ 3URFHHGLQJVRIWKH) LIWK,QWHUQDWLRQDO9LUXV%XOOHWLQ&RQIHUHQFH , Brighton, UK, 1996. Copyright © 1999 Norman /HVYLUXVVXUOHVGLIIpUHQWV V\VWqPHVG¶H[SORLWDWLRQ Lorsque les virus ont fait leur apparition, le seul système d’exploitation notable était MS-DOS. Il a fallu quelques années pour que Windows se stabilise et devienne populaire, ce qui a favorisé l’éclosion des fichiers sous MSDOS. En fait, la plupart des virus de fichiers (à l’exception des virus de macro) sont basés sur MS-DOS. Bien qu’OS/2 soit entré en scène peu de temps après l’apparition des virus, il n’a jamais été un système d’exploitation très répandu, comme l’était DOS. De ce fait, les programmeurs de virus étaient - et sont toujours - moins à même d’employer OS/2 et, même si des virus ont été fréquemment écrits pour OS/2, ils ne sont pas aussi répandus que les virus MS-DOS. Il en résulte que seuls deux virus OS/2 sont connus à ce jour. Windows 95/98 et Windows NT deviennent très communs, et ils sont compatibles vers la bas avec MS-DOS, ce qui signifie que cette compatibilité est également vraie pour les virus. Cependant, l’architecture des nouveaux systèmes d’exploitation est un challenge intéressant pour les virus. Nous allons maintenant aborder le sujet des virus sous MSDOS, Windows, OS/2, Windows 95/98, et Windows NT. 20 l Le livre Norman des virus informatiques 06'26 Les virus de macro que nous avons vu infectant les fichiers de données générés et lus par des applications Windows, ils ne sont pas un problème sur les machines ne fonctionnant que sous MS-DOS. Les virus de fichiers et d’amorçage traditionnels prospèrent dans les machines MS-DOS, car ce système ne dispose d’aucune fonction de sécurité. Les virus ont donc le champ libre pour infecter la mémoire et les fichiers de programmes, comme le décrit la section Virus de fichier. :LQGRZV Lorsque Windows a été introduit, les utilisateurs ont dû changer de comportement vis à vis de leur ordinateur. Les images étaient plus colorées, la navigation dans un programme devint plus intuitive et le fait de passer d’une tâche à l’autre sans quitter l’application était très appréciable. DOS continuant à se charger “ sous ” Windows, les virus de fichiers pouvaient infecter les machines fonctionnant sous Windows, bien que leur “ espérance de vie ” soit réduite. En général, les virus de fichiers peuvent infecter les exécutables de Windows, qui se mettent alors à mal fonctionner. Les utilisateurs impatients les remplacent alors ou, s’ils sont suffisamment frustrés, ils peuvent même réinstaller Windows. Cet état de fait a entraîné la fin des virus traditionnels. De plus, la structure des exécutables de Windows est plus compliquée et la mémoire est mieux protégée. Ces virus n’ont donc jamais atteint sous Windows la puissance qu’ils avaient sous MS-DOS. Cependant, cette fatalité ne s’est pas appliquée aux virus de macros et d’amorçage. Les virus de macro sont maintenant écrits pour les applications Windows, la présence de Windows est donc nécessaire. La combinaison du fort développement de Windows et du fait que les virus de macros infectent désormais les fichiers de données de préférence Copyright © 1999 Norman Les virus sur les différents systèmes d’exploitation l 21 aux programmes (reportez-vous à Virus de Macro) a fait qu’un virus de macro, Macro.Word.Concept, est devenu l’un des dix virus les plus courants. Le processus de démarrage des machines Windows est très similaire à celui des PC fonctionnant sous DOS uniquement. Windows n’a donc pas résolu le problème virus d’amorçage qui continuent à se propager en infectant les disques durs, s’installant en mémoire et infectant les disquettes. 26 Comme nous l’avons déjà mentionné, OS/2 n’est pas aussi fortement répandu que Windows ou que les autres systèmes d’exploitation de Microsoft. Cependant, du fait de sa conception, il est toujours sensible aux virus non spécifiques à OS/2. Contrairement à Windows, MS-DOS ne fonctionne pas “ sous ” OS/2. OS/2 est un système d’exploitation 32-bits très puissant supportant les applications DOS, Windows et OS/2 natives. Pour faire fonctionner les applications DOS, OS/2 propose VDM (machine virtuelle DOS). Comme son nom le suggère, VDM “ ressemble ” à DOS. Un programme DOS infecté peut donc infecter un autre programme DOS dans cette VDM, mais en aucun cas ceux des autres VDM. Le programme infecté peut ensuite contaminer les autres fichiers programmes lancés plus tard dans la VDM. L’infection continue donc. Si les applications Windows intégrant des langages de programmation de macros sont lancées sur une machine OS/2, alors cette dernière devient aussi sensible aux virus de macros qu’une machine Windows. Là encore, le processus de démarrage étant le même sur les machines compatibles IBM avant le chargement du système d’exploitation, alors les virus d’amorçage peuvent toucher les machines OS/2. OS/2 gère les disquettes d’une Copyright © 1999 Norman 22 l Le livre Norman des virus informatiques façon différente de DOS ou Windows, aussi la probabilité de propagation d’un virus d’amorçage après qu’il ait infecté le disque dur est moins élevée sur une machine OS/2 que sur une machine Windows ou DOS. Le risque tient plutôt dans l’action du virus d’amorçage sur le disque dur. Si le virus est conçu pour avoir une certaine puissance, alors il la délivrera très probablement, sans considération du fait qu’il peut infecter les disquettes ou non. OS/2 supporte deux systèmes de fichiers : FAT (table d’allocation des fichiers) et HPFS (système de fichiers hautes performances), et vous pouvez en utiliser un ou les deux. HPFS est plus évolué et ils stocke les informations dans des endroits différents, vous pouvez donc vous attendre à de sérieux effets sur un système HPFS de la part d’un virus d’amorçage qui n’espère trouver qu’une FAT. :LQGRZV Windows 95 a été lancé au moment où Internet est devenu public. De nos jours, le web est accessible à tous. Bien que la majorité des utilisateurs de PC ait accueilli favorablement Internet, la messagerie électronique et les programmes de discussion (voir aussi virus et IRC), la face cachée est un énorme potentiel d’auteurs de virus, parfois répertoriés comme terroristes Internet. L’emploi intensif de ces possibilités a contribué à la propagation des virus sous Windows 95/98. Contrairement à Windows et DOS, Windows 95/98 est supposé intégrer des fonctions de sécurité. Malheureusement, elles ne sont pas assez puissantes pour protéger ce système contre les virus. En fait, le premier virus écrit spécialement pour Windows 95 (le virus Boza) a émergé dès la fin de 1995. Qui plus est, l’environnement réseau pour groupe de travail de Windows 95 ne possédait pas de protection des fichiers, ce qui pouvait conduire à l’augmentation de la propagation des virus. Copyright © 1999 Norman Les virus sur les différents systèmes d’exploitation l 23 Après le virus Boza assez primitif, les virus Windows 95/98 ont augmenté en nombre et en complexité. Comme dans l’environnement DOS, les premiers virus étaient très amateurs. Ils sont devenus techniquement plus complexes, les auteurs gagnant en expérience. Certains virus sous Windows 95/98 se répandent par l’emploi intensif du protocole réseau. Un “ sommet ” temporaire de complexité et de capacité destructive a été atteint avec l’arrivée du virus CIH en 1998. Windows 95/98 partage de nombreuses caractéristiques avec OS/2, respectant l’architecture du système et l’interaction avec les virus. Comme OS/2, Windows 95/98 est un système d’exploitation 32-bits qui supporte les applications DOS, Windows et les applications natives Windows 95/98. De même qu’OS/2 a ses VDM, Windows 95/98 possède des VM (machines virtuelles) - une machine virtuelle système possédant un espace d’adressage séparé pour les applications Win32 ; un espace d’adressage partagé pour les applications Win16 ; et des machines virtuelles séparées pour les applications DOS individuelles. Les virus de fichiers peuvent se propager facilement sur une machine Windows 95/98 parce que la seule limitation des fichiers programmes de DOS sous Windows 95/98 est qu’ils ne peuvent pas écrire directement sur le disque dur. Chaque VM DOS s’appuie sur les caractéristiques du système tel qu’il était lors du chargement de la machine virtuelle. Windows 95/98 se chargeant en lançant les mêmes programmes DOS qu’une machine purement DOS, il est possible qu’un programme infecté se lance lors du chargement et qu’il pourra infecter les programmes de la VM. De plus, si le programme infecté a été lancé pendant le démarrage, il peut s’activer dans toutes les VM lancées plus tard. Bien que les fichiers programmes d’une VM ne puissent pas infecter les programmes d’une autre, il est possible Copyright © 1999 Norman 24 l Le livre Norman des virus informatiques pour un programme infecté de se charger dans une machine VM séparée plus tard, et l’infection peut continuer. Les virus de macros ont été écrits pour dater les fichiers cibles générés et lus par des applications Win16 et Win32 qui sont lus sous Windows 95/98. Le résultat est l’abondance des abondances de macro virus sous Windows 95/98. Le processus de démarrage sous Windows 95/98 est le même que pour les machines DOS ou Windows (jusqu’à un certain point), les virus d’amorçage sont capables d’infecter les disques durs des machines Windows 95/98. Lorsque Windows 95/98 se charge, cependant, les virus d’amorçage sont souvent désactivés et ne peuvent pas se propager. Si le virus d’amorçage a une puissance potentielle, il peut la libérer sans nécessiter une duplication préalable. /HYLUXV&,+ Jusqu’au 26 avril 1998, il était vrai que les virus pouvaient infliger de sérieux dommages aux logiciels mais pas au matériel. C’est ce jour la que le nouveau virus Win95.CIH.1003 a frappé pour la première fois. Les victimes ont dû remplacer leur BIOS et parfois (surtout sur les portables) leur carte mère. Dans le mois qui ont suivi, le virus CIH a été signalé partout dans le monde. Il existe maintenant sous quatre formes et se déclenche toujours le 26 du mois. Le virus CIH infecte les fichiers exécutables sous Windows 95/98 d’une façon très furtive. En principe un changement inattendu dans la longueur d’un fichier binaire est un signe certain d’activité virus. La description technique des actions entreprises par ce virus lorsqu’il se déclenche sort du propos de cet ouvrage. Sachez cependant que lorsque le BIOS est programmé par le virus CIH, le PC est lobotomisé et oublie son langage interne. Lorsque cela se produit, le seul remède est de remplacer cette pièce. Le virus peut aussi écraser le contenu du disque dur et le rendre inutilisable. Copyright © 1999 Norman Les virus sur les différents systèmes d’exploitation l 25 Le virus CIH nous rappelle que les auteurs de virus ont souvent à leur disposition des informations détaillées sur les procédures non documentées logées au fin fond des systèmes d’exploitation. Lorsqu’ils emploient leur savoir-faire pour écrire des virus presque exempts de bogues aussi nuisibles que CIH, une protection antivirus efficace est absolument nécessaire. En général, de nombreuses victimes de CIH ont été infectées après avoir effectué des téléchargements sur des sites de jeux Internet. Nous pensons donc qu’il est utile de rappeler à tous les surfers les risques qu’ils encourent au quotidien. Nous vous recommandons de visiter les pages web de votre fournisseur d’outils antiviraux pour télécharger des mises à jour. Les temps où vous pouviez vous contenter d’une mise à jour trimestrielle de votre antivirus sont définitivement révolus. /HVYLUXVHW,5& Internet Relay Chat (IRC) est un système qui permet aux utilisateurs d’avoir des conversations en temps réel sur Internet. Les programmes IRC sont devenus ordinaires et ils sont assez évolués. Il est possible d’échanger des fichiers et d’automatiser certaines routines, par exemple. Certains programmes clients IRC acceptent le transfert de fichiers permettant aux personnes présentes d’envoyer des scripts qui deviendront partie intégrante du client IRC proprement dit. Certains incidents se sont produits dans lesquels il a été prouvé que ces scripts contenaient des portions de code qui, dans les faits, ont attaqué la machine de la victime. Script.ini, parfois appelé le virus Ananas, est le code de ce type le plus répandu et il accomplit des actions telles qu’envoyer des copies de lui-même aux autres utilisateurs, émet des opinions embarrassantes au nom de l’utilisateur, ou transforme votre machine en serveur de fichiers public. Copyright © 1999 Norman 26 l Le livre Norman des virus informatiques On peut débattre du fait que des scripts comme script.ini, DMSetup.exe ou DMSetup2.exe, par exemple, soient considérés comme des worms ou des virus. On ne peut cependant pas nier qu’ils représentent un risque pour la sécurité et que des virus peuvent être distribués via IRC, tout comme les autres fichiers. /DPHLOOHXUHSUpYHQWLRQHVWGHGpVDFWLYHUODIRQFWLRQ ³ G¶DFTXLVLWLRQDXWRPDWLTXH ´HWGHQHMDPDLVDFFHSWHUGH ILFKLHUVRXGHSURJUDPPHVLQFRQQXV 9LUXVHW+70/ Le langage HTML (HyperText Markup Language), utilisé pour créer des documents sur le web, ne peut pas contenir de virus tant qu’il est employé dans le seul but de “ publier des informations pour une distribution globale ” (spécification HTML 4.0 de WC3). Cependant, le marque HTML <SCRIPT> active des instructions de scripts et/ou des fichiers scripts à ajouter dans un fichier HTML. Les pages HTML deviennent donc les “ hôtes ” potentiels de scripts malveillants pouvant comporter des virus. Il a été rapporté que certains virus simples utilisent les pages HTML avec Microsoft VBScript pour se propager, et Windows Scripting Host (WSH) pour exécuter les fichiers VBScript. Les ordinateurs fonctionnant sous Windows 98 ou avec la version bêta de Windows NT 5.0 y sont exposés, WHS étant installé avec le système d’exploitation. Windows 95 et NT 4.0 peuvent être mis à jour pour intégrer WHS. Les utilisateurs d’Internet Explorer sont les seuls à être exposés aux virus VBScript provenant de sites malveillants. Cette menace n’est pas effective tant qu’aucun changement n’est apporté aux réglages de sécurité par défaut du navigateur, et tant que l’utilisateur n’accepte pas de lancer le fichier lorsque le programme le lui demande. Assurez-vous que les réglages de sécurité d’Internet ExploCopyright © 1999 Norman Les virus sur les différents systèmes d’exploitation l 27 rer sont tels qu’une confirmation est demandée avant l’exécution d’un contenu potentiellement dangereux. Les utilisateurs de Netscape Navigator et Communicator ne sont pas exposés à cette menace car leur navigateur ne supporte pas VBScript. Pour l’instant, aucune menace similaire n’a été reportée avec le langage Java script. La sécurité étant plus stricte dans cet environnement, il est peu probable que ce type de problème surviendra un jour. Pour l’heure, ce type de virus n’a pas été repéré “ en liberté ”. De plus, ces virus n’ont pas le même potentiel de propagation que la plupart des autres virus car, en principe, les utilisateurs n’échangent pas de fichiers de type HTML ou VBS. La propagation dépend principalement de serveurs web malveillants. Norman ne considère donc pas cette menace comme étant particulièrement dangereuse. Cependant, l’équipe de développeurs de la famille de programmes NVC surveille la situation de près. :LQGRZV17 Ainsi que nous l’avons dit dans les sections OS/2 et Windows 95/98, Windows NT supporte les applications DOS applications, Windows, et les applications Windows NT natives. Tout comme Windows 95/98, Windows NT est compatible vers le bas avec DOS et Windows. Malgré que les fonctions de sécurité de NT soient plus élaborées que celles de Windows 95/98, les virus de fichiers peuvent toujours se propager dans Windows NT. Les applications DOS sont lancées dans des machines virtuelles DOS séparées, et le virus peut fonctionner dans cette fenêtre. Certains virus de fichiers DOS peuvent ne pas fonctionner correctement sous NT, mais rien sous NT ne peut empêcher l’infection des fichiers. Copyright © 1999 Norman Comme Windows 95/98, Windows NT supporte des applications qui contiennent des langages de programmation des macros, ce qui rend NT aussi vulnérables aux virus de macro que les machines Windows proprement dites. Les machines Windows NT démarrant de la même façon que les machines DOS (jusqu’au point ou NT prend le relais), les virus d’amorçage peuvent donc infecter les disques durs NT. Cependant, lorsque ces virus tentent de s’installer en mémoire, ils sont stoppés par NT et deviennent incapables de s’installer sur une disquette. En effet, cela stoppe l’infection, mais l’utilisateur doit gérer tous les effets secondaires du virus d’amorçage sur le système - destructions ou manipulations du secteur d’amorçage, empêchant le démarrage de NT. Solutions au problème des virus l 29 6ROXWLRQVDXSUREOqPHGHV YLUXV 5RXWLQHVpWDEOLHV Tant que les sociétés et les utilisateurs n’emploient pas de procédures internes de manipulation des données, le risque de propagation des virus subsiste. Nous avons vu que, lorsque les stratégies et les routines de manipulation des données sont établies, la société est moins exposée au risque de virus. Et, lorsqu’ils surviennent, il est plus simple de repérer les fichiers infectés avant qu’ils ne se propagent. 6ROXWLRQV$QWLYLUXV Lorsque les gens pensent à des solutions antivirus, ils pensent, en général, aux scanners. C’est le type de solution antivirus le plus immédiatement utilisable, mais ce n’est pas le seul type. Il est peut-être préférable de penser aux solutions antivirus en termes de : • que faut-il pour détecter les virus - méthodes génériques - méthodes spécifiques et • lorsqu’un Virus est Détecté - avant la tentative d’infection - après l’infection Un virus peut être détecté par des méthodes soit génériques, soit spécifiques. Les méthodes génériques recherchent un comportement de type virus. Il en résulte que même les Copyright © 1999 Norman 30 l Le livre Norman des virus informatiques nouveaux virus peuvent être détectés, et il y a peu de besoins de mise à jour de l’outil utilisé. Les méthodes génériques recherchant plus un comportement qu’un véritable virus, le nom du virus n’est pas donné. L’utilisateur est simplement averti qu’un virus semble être présent. Certains se méfient de cette méthode car elle peut donner de fausses alertes, soit en détectant un virus qui n’est pas là, soit en ne détectant pas un virus présent. Voici quelques exemples de méthodes génériques : • somme de contrôle et contrôle d’intégrité • heuristiques • leurres • blocage de l’action Les méthodes spécifiques, quant à elles, reposent sur la connaissance préalable du virus. Dans ce cas, l’outil est apte à détecter le virus et à l’identifier. Les fréquentes mises à jour sont donc nécessaires. La plupart des utilisateurs aiment savoir à quoi ils sont confrontés en cas de détection d’un virus, et le meilleur moyen de le savoir reste de déterminer la nature exacte de la bête. Pour cela, de nombreux utilisateurs préfèrent cette méthode, mais ils n’apprécient pas vraiment la fréquence de mise à jour de l’outil. Voici quelques exemples de méthodes de détection spécifiques: • analyse sur demande et programmée • analyse en temps réel Nous avons établi que les virus macro posent le plus gros problème aux utilisateurs de PC. Norman a conçu le programme Cat’s Claw ?actuellement disponible sous Windows 3.1x et Windows 95/98), qui permet à l’utilisateur de certifier les macros. En bref, les macros légales et garanties sans virus seront les seules acceptées. Lors de l’accès à un fichier Word ou Excel, les macros non certifiées sont supprimées, ou l’accès au fichier est interdit. Si vous employez Copyright © 1999 Norman Solutions au problème des virus l 31 cette fonction, vous êtes protégé contre les macros inconnues et les infections potentielles. La détection du virus constitue également une considération importante. Tous les utilisateurs seront d’accord sur le fait que la situation idéale serait d’empêcher le virus de continuer l’infection, ensuite, l’idéal est d’identifier les zones infectées. Examinons les méthodes mentionnées ci-dessus : 0pWKRGH 0RGHGHGpWHFWLRQ Somme de contrôle et contrôle d’intégrité Les deux méthodes stockent des informations concernant les fichiers non infectés dans un endroit donné. Des comparaisons entre l’état actuel des fichiers et les informations stockées sont accomplies périodiquement. Si un changement est détecté, une alarme est déclenchée. Cette méthode propose une détection après coup. Heuristique Cette méthode permet d’analyser les fichiers et les secteurs d’amorçage en général afin de déterminer si le code ressemble à un virus. Cette détection s’accomplit après coup. Leurres Cette méthode consiste en une attente de virus permettant l’infection de certains fichiers. Les leurres détectent les virus pendant l’infection et sont très utiles au déclenchement d’une alerte rapide. Blocage de Cette méthode analyse toutes les actions de l’action l’ordinateur afin de déterminer l’éventuelle action d’un virus. Dans ce cas, elle est stoppée avant que l’infection puisse survenir. Le blocage de l’action est un mode de détection avant coup. Copyright © 1999 Norman 32 l Le livre Norman des virus informatiques 0pWKRGH Analyse sur demande et programmée Analyse en Temps Réel 0RGHGHGpWHFWLRQ C’est une méthode de recherche de virus spécifiques à un moment précis. Dans tous les cas, c’est une détection après coup. Cette méthode emploie également l’analyse, mais le processus de détection se déroule pendant les autres opérations de l’ordinateur, par exemple, la copie d’un fichier. Les utilisateurs sont avertis de la présence de virus avant qu’ils se déclenchent. Comme vous le voyez, il n’y a pas de solution qui corresponde à vos besoins de détection. Nous vous conseillons de combiner ces méthodes pour les adapter à vos besoins, et profiter de leurs routines d’éradication. Le sujet de l’éradication est relativement complexe. Certaines personnes ont une définition étroite de ce qu’est la suppression des virus : si vous effacez le fichier ou formatez le disque dur, la virus s’en va. Cependant, des mesures si radicales ne sont pas toujours utiles et il est plus sain de considérer l’éradication comme la suppression du code du virus, qui laisse les fichiers et/ou la zone d’amorçage utilisable. Certaines méthodes de détection listées ci-dessus peuvent également éradiquer le virus (la manière “ sûre ”) : 0pWKRGH Somme de contrôle et contrôle d’intégrité Heuristiques Leurres Blocage de l’action Copyright © 1999 Norman $FWLRQGHVXSSUHVVLRQ Peut supprimer les virus. Peut parfois supprimer les virus d’amorçage et de macros. Ne peut pas supprimer les virus. Peut supprimer les virus de la mémoire et des secteurs d’amorçage des disquettes. 0pWKRGH Analyse sur demande et programmée Analyse en temps réel $FWLRQGHVXSSUHVVLRQ Ne peut pas supprimer les virus. Peut supprimer les virus. Veuillez lire ceci pour avoir une idée des performances des produits Norman Virus Cleaner. 34 l Le livre Norman des virus informatiques 3URGXLWV1RUPDQ9LUXV &OHDQHU *DPPHGHSURGXLWV1RUPDQ Norman réalise qu’aucune méthode de détection antivirus ne suffit à tous vos besoins, notre produit antivirus fournit une large gamme de solutions pour DOS, Windows, Windows 95/98, Windows NT, OS/2, NetWare et Groupware. Nous savons que la combinaison matériel/logiciel dans les sociétés est assez hétérogène, nous avons donc conçu des produits antivirus pour qu’ils coexistent sur les plates-formes et pour qu’ils envoient des messages d’alarmes sur le réseau, à la fois par des pièges SNMP et la messagerie NetWare. 19&SRXU'26:LQGRZV • • • • • • • • Le Smart Behavior Blocker Cat’s Claw Contrôle d’intégrité des zones système Leurres Analyse sur demande et programmée Suppression Traque des messages SNMP Messagerie NetWare 19&SRXU:LQGRZV • • Copyright © 1999 Norman Le Smart Behavior Blocker Cat’s Claw Produits Norman Virus Cleaner l 35 • • • • • Scanner contextuel Analyse sur demande et programmée Suppression Traque des messages SNMP Messagerie NetWare 19&SRXU:LQGRZV17 • • • • • • Analyse en temps réel, sur demande et programmée Service NVC NT Scanner contextuel Suppression Traque des messages SNMP Messagerie NetWare 19&SRXU26 • • • • • Le Smart Behavior Blocker Analyse sur demande et programmée Suppression Traque des messages SNMP Messagerie NetWare &DW¶V&ODZ • • • Suppression automatique des virus de macros et de fichiers, ainsi que des virus d’amorçage Analyse en temps réel Certification des macros 19&SRXU1HW:DUH • • • Analyses sur demande et en Temps Réel sur les serveurs de fichiers NetWare Traque des messages SNMP Messagerie NetWare Copyright © 1999 Norman 36 l Le livre Norman des virus informatiques 19&SRXU*URXSZDUH • • • Analyses sur demande et en temps réel sur Lotus Domino®. Traque des messages SNMP Suppression Pour tout renseignement complémentaire, veuillez contacter vous revendeur le plus proche ou le représentant de Norman. Copyright © 1999 Norman ,QGH[ ²'² ²6\PEROHV² /S 9 ²1XPpULTXH² 32-bit 21, 23 ²$² Ajouter un virus 6, 7 Analyse sur demande 32 Auto-test de mise sous tension 8 ²%² BBS 17 BIOS 8 Blocage de l’action 31 Bogue 4 Bombe Logique 4 Retardement 4 Bombe à retardement 4 Bombe logique 3, 4 Boza 22 ²&² Cat’s Claw 30, 35 Chess, David 17 Cheval de Troie 3 CMOS 10 COM 4 Combien de virus 15 Commande SYS 9 Contrôle d’intégrité 31 Crypté 5 Détection en temps réel 32 Disque non système ou erreur 9 Disquette d’amorçage 9 DMSetup.exe 26 DMSetup2.exe 26 DOS 9 ²(² E-mail 11 Evolution du problème des virus 17 EXE 4 ²)² FAT 4, 22 Fichiers de définition 10 File virus 6 Furtivité 5 ²*² Gros système 4 ²+² Heuristique 31 HPFS 22 HTML 26 ²,² Imbrication 12 Informations de sécurité 1 Internet 11, 17 Internet Explorer 26 Internet Relay Chat (IRC) 25 Introduction 1 IRC 25 ITW 16 ITZ 16 ².² Kephart, Jeff 17 38 l Index ²/² LAN 17 Langages de programmation de macros 11 WordBasic 11 Leurres 31 Lien 12 ²0² Machine virtuelle 23 Machine virtuelle DOS 21, 27 Macro.Word.Concept 21 Macros certifiées 30 MBS 3, 8, 9 Mémoire vive 8 MS-DOS 19, 20 ²1² Netscape Navigator 27 NVC pour DOS/Windows 34 NVC pour Groupware 36 NVC pour NetWare 35 NVC pour OS/2 35 NVC pour Windows 95 34 NVC pour Windows NT 35 ²2² Office97 14 OLE 11, 12, 13 Option système 9 OS/2 9, 19, 21 Overwriting virus 6 ²3² Polymorphe 5 Porteur 7 POST 8 Processus d’amorçage 8 Programmes de discussion 22 Copyright © 1999 Norman ²5² RAM 8 Renvoi 7 Réseau départemental 17 Réseau local 17 Résident 7 Résident en mémoire 7, 28 ²6² SBS 3, 8, 9, 10 Script.ini 25 Sécurité Information 1 Site Internet de Norman 11 Solutions aux problèmes des virus 29 Somme de contrôle 31 System Boot Sector 9 Système de fichiers hautes performances 22 Systèmes d’exploitation 19 ²7² Table d’allocation des fichiers 22 ²9² Variante 15 VBA3 13 VBA5 14 VBScript 27 VDM 21, 27 Virus 3 Ajout 6, 7 Amorçage 5, 8 Amorçage, mode d’infection 10 Boza 22 CIH 24 Combien 15 Définition 3 En laboratoire 16 En liberté 16 Evolution 17 Fichier 5 Index l 39 file 6 Lehigh 15 Les plus courants 21 macro 5, 10 Multiparties 5 overwriting 6 prepending 6 Remplacement 6 Signature 10 solution 29 Sur les différents systèmes d’exploitation 19 Virus d’amorçage 5, 8 Mode d’infection 10 Virus de fichiers 5 Virus de macros 5, 10 Virus de remplacement 6 Virus Excel 13 Virus informatique 3 Virus multipartie 5 Virus remplaçant 6 VM 23 ²:² WAN 17 White, Steve 17 Windows 9, 19, 20 Windows 95 9, 19, 22 Windows NT 9, 27 WordBasic 11, 13, 14 Worm 3, 4 WSH 26 Copyright © 1999 Norman