Autres liens concernant ce sujet:
  • Sécurité: systèmes RAID
  • Ecrans bleus (BSOD)
    • Accueil Forum Imprimer Contact
    Définitions générales

    Les virus informatiques sont nombreux, mais ils sont dotés de certaines caractéristiques communes:
    la capacité de "s'auto-multiplier" (de se copier), et une partie qui, une fois activée, va tenter de modifier ou d'endommager certaines données importantes du système infecté.
    Les virus informatiques peuvent avoir des effets divers, mais ils ont tous en commun la particularité citée précédemment. Certains d'entre eux ont pour effet de détruire des données, alors que d'autre s'appliquent à désordonner les données composants vos documents, d'autre encore "détraquent" l'affichage, etc...
    Bien sur, tout virus que vous pourriez détecter sur votre ordinateur doivent être totalement supprimés le plus rapidement possible. Lorsqu'un ordinateur est affecté par un programme malicieux, les symptômes peuvent être très divers. Les plus courants sont des écrans bleus fréquents (bien que cela ne soit pas forcément dû à la présence d'un virus), des arrêts ou redémarrages brutaux, parfois lors de mises à jour, une communication sur le réseau excessive même lorsque qu'aucun programme applicatif n'est démarré (très fréquent), une utilisation du fichier d'échange intensive (swap), une lenteur anormale, etc. Une analyse approfondie est impérative dans les cas mentionnés.



    Les différents types de virus

    Un virus de secteur d'amorçage infecte le premier secteur d'un disque physique: la zone d'amorce principale. A cause de la structure inhérente sous Dos, le virus se trouve chargé en mémoire avant les fichiers système. Le virus peut donc contrôler l'ensemble des interruptions DOS et se créer des possibilités de reproduction et de destruction. Les virus de secteur d'amorçage modifient soit le contenu du secteur d'amorçage du disque, ou celui du secteur d'amorçage de DOS en modifiant leur contenu par les informations qu'il désire. Le contenu original est déplacé vers une autre partie du disque et le virus s'octroie cet emplacement. Le virus redirige certaines opérations où il a déplacé les données originales. Le virus est par conséquent exécuté en premier, ce qui lui donne la possibilité de se loger en mémoire avant que la séquence d'amorçage ne se poursuive. Les virus de secteur d'amorçage résident généralement en mémoire et y restent jusqu'à ce que l'ordinateur soit mis hors tension.

    Les virus flibustiers (bouty hunters) s'attaquent directement à certains programmes antivirus et les mettent en échec. Ce type de virus est très rare mais peut être très efficace contre certains antivirus.

    Les virus furtifs ou "intercepteurs d'interruptions", prennent le contrôle des interruptions du DOS, afin de tromper les programmes antivirus, pour que ces dernier "croient" que les fichiers sont non-infectés. De manière plus précise, le programme qui essaye de lire les fichiers infectés en verra la version originale et non infectée. Cette prise de contrôle de la table d'interruption s'effectue au début de la zone de mémoire. Habituellement, quand un programme émet une demande d'interruption, celle-ci est habituellement dirigée vers la table d'interruption. Si le virus intercepte ces demandes, il peut les diriger n'importe où, et effectuer toute les opérations. Ce contrôle de la table d'interruption permet au virus furtif de se cacher de manière extrêmement efficace. Sa détection est très difficile.

    Les virus macro ont pour cible le fichier "normal.dot" qui est utilisé pour tout exécution de MS Word ou Excel. Ainsi, toute nouvelle macro créée avec "normal.dot" sera infectée. Les conséquences sont multiples, de la boîte de dialogue à la suppression des fichiers.

    Les virus multiformes possèdent les mêmes caractéristique que les virus de secteur d'amorçage et du virus parasitaire. Il infecte les fichier *.COM et *.EXE ainsi que le secteur d'amorçage. Démarrer un ordinateur à partir d'une disquette infectée par ce virus va avoir comme effet de loger ce virus en mémoire vive et d'affecter le secteur d'amorçage du disque dur.

    Les virus non résidents en mémoire infectent des fichier *.COM, *.EXE, ou *.SYS et sont activé chaque fois que le fichier infecté est utilisé. Dès la première étape du lancement d'un fichier infecté, d'autres programmes se trouvent infectés et servent à leur tour de vecteur d'infection lorsqu'ils sont utilisés. La méthode d'infection de ces virus est hautement imprévisible, et leur taux d'infection est aussi élevé que les virus résidents en mémoire, leur taille étant plus petite. Ces virus ne modifient pas la table d'interruption.

    Les virus polymorphes (mutants): lorsqu'ils se multiplient, les virus polymorphes cryptent ou modifient leur code. Ainsi, aucune copie de ce virus n'est semblable. Les programmes antivirus, se référant à une base de signature connue, sont mis en échec par ce virus. La popularité de ces virus a augmenté, suite à la mise au point d'un moteur de mutation, par un groupe ou une personne (?) se faisant appeler "Dark Avenger" (le vengeur noir). Il a été diffusé sur plusieurs moteur BBS et son code de programmation a été rendu public. Le moteur de mutation permet de transformer n'importe quel virus normal en virus polymorphe.

    Les virus résidents en mémoire infectent la mémoire vive et perturbent divers fonctions de bas niveau (interruptions). Ces virus peuvent causer de nombreux dégâts et peuvent rester à l'abri de certains antivirus. Une fois logé dans la mémoire conventionnelle ou la mémoire haute, ce virus va infecter systématiquement tous les programmes exécutés. La diffusion du virus résident en mémoire est rapide et très efficace. Une fois logé en mémoire, l'unique façon de le déloger est de couper toute source d'alimentation.

    Les virus troyens sont des virus de prise de contrôle d'un ordinateur distant (via la connexion internet). Il existe sous deux formes:
    -Soit celui qui vous veut du mal obtient votre adresse IP et à partir de là peut faire ce qu'il veut sur votre machine
    -Soit vous recevez un programme destiné à prendre le contrôle de votre machine.

    Les vers sont des virus très fréquents aujourd'hui. Sous l'appellation de vers, nous désignons les virus qui utilisent les mécanismes des réseaux pour se propager.

    Les spyware (également appelés simplement spy) sont des programmes espions, qui surveillent vos activités et, dans de nombreux cas, volent vos mots de passe. Ils peuvent surveiller les pages web visionnées, les programmes installés et d'autres éléments de votre ordinateur. Ils envoient ces informations sur Internet. Ils sont détectés et détruits par les antivirus ou les programmes anti-spy.

    Les virus créés sous Visual Basic: Les virus écrits en VB Script ou en Visual Basic utilisent des logiciels fabriqués par Microsoft pour se répandre. Ces virus ont été d'actualités avec les célèbres I Love You et Melissa. I Love You, une fois en contact avec Outlook, lui commande d'envoyer une copie du message auquel il est attaché à chacune des adresses du répertoire. Melissa attaquait avec les fonctions d'automatisation du traitement de texte Microsoft Word.

    Les virus composites sont des virus qui possèdent plusieurs caractéristique décrites ci-dessous. Ils ont pour cible fichier, secteur d'amorce...



    Autres menaces

    Les spams sont des mails indésirés envoyés en masse. Ils sont rapidement devenus très fréquents. Ils sont si souvent envoyés qu'ils représentent aujourd'hui plus de 80% des mails envoyés dans le monde. Leurs thématiques sont souvent les mêmes: publicités pour des casinos en ligne, vente d'objets divers, publicités pour des sites pour adultes, vente de viagra en ligne, etc. L'image ci-dessous montre des spams typiques, tels qu'ils arrivent quotidiennement dans les comptes e-mails.



    Exemples de spams

    Parfois, ils contiennent des liens vers des fichiers malicieux ou en contiennent en pièce jointe. Beaucoup de domaines sont piratés pour envoyer des spams. Ainsi, l'expéditeur du spam appartiendra au domaine piraté et aura cette allure: "@domaine-piraté.com". Envoyer des spams en masse est une activité qui n'est pas particulièrement compliquée. Des robots parcourent le web pour récolter des adresses mails qui seront ensuite spammées.
    Il convient de ne jamais répondre à un spam. Beaucoup d'entre eux ont un lien désigné comme tel: "se désinscire de la liste de diffusion". Si vous cliquez sur ce lien, votre adresse sera vérifiée et le nombre de spam reçus quotidiennement augmentera.
    Faites attention lorsque vous entrez votre adresse mail dans un formulaire. Donnez-la uniquement si vous pouvez accorder une confiance totale au site qui la demande.
    Pour vous protéger efficacement du spam, il est nécessaire d'installer un programme anti-spam, tel que VadeRetro (très efficace, mais payant) ou Spamkiller (gratuit). Un anti-spam peut également être inclu dans votre pack anti-virus. Ces logiciels trient ou suppriment les spams.

    Les HOAX: Hoax signifie "canulars", et il ne s'agit pas réellement d'un spam. Un hoax est un mail contenant une information fausse, généralement pour effrayer ou provoquer la compassion de la personne qui le reçois, dans le but que celle-ci le diffuse à tous ces contacts. Par cette méthode, un hoax se propage d'une adresse mail à une autre, le plus loin possible, ce qui est exactement le but d'un hoax. Nous avons regroupé ici un hoax typique et très courant.

    Message à faire passer !!! La confirmation de cette info a été diffusée sur EUROPE 1
    Dans les prochains jours, vous devrez faire très attention de n'ouvrir aucun message appelé l' invitation ' , ou ' qu'est ce que fais ta photo sur ce site? ' peu importe qui vous l'envoie !!!
    C'est un virus qui ouvre une torche olympique et qui brûle Le disque dur du PC.
    [...]
    C'est Le pire virus annoncé par la CNN et classifié par Microsoft comme Le virus Le plus destructeur qui n'ait jamais existé jusqu'à présent ! Ce virus a été découvert hier après midi par MCAfee et IL n'y a pas encore de solution pour palier à ce virus Il détruit tout simplement la 'zone zéro' du disque dur où sont cachées les informations vitales ! ENVOYEZ CET E-MAIL A TOUS CEUX QUE VOUS CONNAISSEZ !!! A vos amis, vos contacts...Car plus vous préviendrez de personnes, plus Le virus aura de difficultés à se propager.


    Exemple typique de HOAX

    Il convient de ne pas continuer la diffusion de ce genre de mails. Ceux-ci sont presque systématiquement faux et n'ont pas de fondement réel.

    Phishing: les sites pratiquants le phishing (ou hameçonnage) tentent d'obtenir des informations sensibles telles que vos numéros de cartes de crédit. Il peut s'agir d'un mail vous faisant croire que votre banque souhaite connaître vos numéros de comptes ou de cartes de crédit. Il peut également s'agir de sites vous proposants divers services en échange de ceux-ci. Les banques ne communiquent généralement aucune informations par mail. Vous devez également respecter les consignes de sécurité données par votre banque. Il existe également des filtres anti-phishing qui existent dans certains navigateurs, notamment Internet Explorer.



    Antivirus: définitions générales

    L'antivirus est le seul moyen de détecter et de combattre les virus. Les virus étant de plus en plus intelligents, les programmes antivirus ont du s'adapter et devenir de plus en plus performants. L'augmentation constante du nombre de virus oblige les fabricants de programme antivirus à actualiser sans cesse leur bases de données.
    Les antivirus sont aujourd'hui vendus sous forme de pack comprenant différents programmes tel qu'un firewall, anti-spam, etc. L'un de ces packs installé sur un ordinateur suffit à garantir sa sécurité. Une licence doit être achetée périodiquement, afin de continuer à effectuer les mises à jour des programmes et à maintenir l'ordinateur protégé. Si la licence expire sans être renouvelée, la sécurité est alors sérieusement fragilisée. C'est la raison pour laquelle il est nécessaire de rester attentif à son renouvellement. Les antivirus les plus utilisés sont McAffee, Kaspersky, Norton Antivirus, Panda.



    Un exemple d'antivirus: McAffee

    Il existe bien entendu des antivirus gratuits, mais il est nécessaire de les associer à d'autres programmes, car il n'incluent pas tout l'équipement logiciel nécessaire. Ces antivirus, très connus, sont notamment Avira Antivir et AVG. Il est possible de s'équiper de programmes anti-spyware tels que Spybot, Ad-Aware ou Anti-Malware. Il est indispensable de s'équiper d'un firewall. Un firewall est un programme qui contrôle les entrées et les sorties sur le réseau. Il possède un liste de logiciels qui sont autorisés à émettre et recevoir librement des données, comme le navigateur (Firefox ou autre), par exemple. Cette liste de logiciels est définie par l'utilisateur. Un firewall est inclus avec le système d'exploitation. Il faut donc s'assurer qu'il soit bien activé. Il est également possible d'installer un firewall gratuit tel que Sygate Personal Firewall.
    Plusieurs firewalls sur une même machine ne posent pas de problèmes sérieux, bien que cela ne soit pas utile, et même déconseillé. En revanche, deux antivirus sur une même machine peuvent poser de graves problèmes, c'est pourquoi il est nécessaire d'installer un seul antivirus par ordinateur.
    Il est possible de décontaminer un ordinateur manuellement, par exemple en modifiant la base des registres pour détruire l'entrée d'un virus, supprimer les fichiers dangereux et paramétrer le démarrage des processus. Toutefois, une décontamination manuelle est assez contraignante et peut être sujette à des erreurs graves. Il est bien plus simple d'utiliser un antivirus.



    Aspect technique

    Il existe quatre techniques principales pour détecter les virus. Il s'agit du scanning, du moniteur de comportement, du contrôleur d'intégrité et de la recherche heuristique. Le scanneur examine dans tous les fichiers le code spécifique qui indique le présence d'un virus. Le moniteur de comportement surveille les actions habituellement menées par les virus, les contrôleurs d'intégrité signalent les changement intervenus dans les fichier et enfin la recherche heuristique examine les instructions généralement utilisées par les virus.

    Recherche de la signature (scanning): il s'agit de la méthode la plus ancienne et la plus utilisée. Elle permet de détecter les virus avant leur exécution en mémoire. Son principe est de rechercher sur le disque dur toute chaîne de caractère identifiée comme appartenant à un virus. Comme chaque virus a une signature qui lui est propre, il faut que le programme antivirus l'ait intégré à sa base de données. Cette méthode est la plus simple à programmer, mais aussi la plus longue à mettre en oeuvre car elle n'est efficace que si elle recense tout les virus existants. Ceci représente une somme de travail considérable et presque impossible à réaliser. C'est pour cela que les fabricants de programmes antivirus proposent des mises à jour de la base de données tous les jours sur leur sites web.

    Utilisation d'un contrôleur d'intégrité des fichiers: Un contrôleur d'intégrité va construire un fichier contenant le nom de tout les fichiers présents sur le disque dur auxquels sont associés quelques caractéristiques communes, par exemple la taille, la date et l'heure de la dernière modification, ou un checksum (somme de contrôle). Un CRC (code de redondance cyclique) ou un algorithme de checksum avec un système de chiffrement propriétaire pourra détecter toute modification de fichier en recalculant le checksum à chaque démarrage de l'ordinateur, ou dès qu'un fichier exécutable est ouvert par un programme. Si le checksum d'un programme avant et après son exécution est différent, c'est qu'un virus a modifié le fichier, et l'utilisateur en est immédiatement informé.

    Moniteur de comportement: les moniteurs de comportement surveillent toute activité de type virale, et préviennent l'utilisateur si cela se produit. De manière générale, le moniteur de comportement, est un programme résident que l'utilisateur charge à partir du fichier AUTOEXEC.BAT et qui reste actif en arrière plan, et qui surveille tout comportement inhabituel. Les manifestations de virus pouvant être détectés sont:



    Les antivirus détournent les principales interruptions et les remplacent par leur code. Les interruptions détournés sont l'INT 13 H (disque dur), l'INT 21 H (DOS). Ainsi, lorsqu'un virus tente d'écrire sur le secteur boot, c'est l'antivirus qui est d'abord appelé, et peut prévenir l'utilisateur qu'un virus tente de modifier le secteur de boot. L'antivirus peut donc éliminer le virus, enregistrer une partie de code dans la base de données et lancer et scanning pour repérer la/les souche(s) sur le disque dur et les détruire.

    Démarche heuristique: L'analyse heuristique concerne la recherche de code correspondant à des fonctions virales. L'analyse heuristique est comme le scanning, passive. Elle considère le code comme une simple donnée et n'autorise jamais son exécution. L'analyse heuristique va donc rechercher le code dont l'action est inhabituelle. Cette méthode permet de détecter les virus inconnus.

    Analyse spectrale: tout code généré automatiquement est supposé contenir des signes révélateurs du compilateur utilisé. De même, il est impossible de retrouver dans un programme exécutable compilé certaines séquences de code. C'est grâce à ce principe qu'entre en jeu l'analyse spectrale. Cette analyse à pour but de repérer les virus polymorphes, qui sont détectable d'aucune autre façon. Lorsqu'un virus polymorphe crypte son code, la séquence qui en résulte contient certaines association d'instructions que l'on ne trouve pas en temps normal. C'est ce que doit détecter l'analyse spectrale. Si, dans un programme exécutable, l'antivirus trouve une instruction de lecture d'un octet de plus au delà de la taille limite de la mémoire, on est probablement en présence d'un code crypté, donc d'un virus polymorphe.

    Principales techniques de suppression des virus: une fois un virus détecté, l'antivirus doit le supprimer. Cette opération est beaucoup plus compliquée et délicate que l'on croit. Il faut savoir très précisément où se trouve le virus, dans le fichier, qu'il peut être composé de plusieurs parties, enfin il faut le supprimer, et aller chercher la partie du programme où le virus avait pris place et la restaurer. Toute ces opérations nécessitent une connaissance parfaite du virus et de son mode d'action. Toute les caractéristiques des virus doivent être enregistrées dans une base de données.





    Ce manuel est gratuit mais n'est pas libre de droits.
    © J.BAUMANN