Type de virus
Hoax
Propagation
Fabricant
Mise à jour
prévention
liens

Accueil


Alerte Virale de Sophos

MyDOOM


http://www.secuser.com/index.htm

Article sur les Virus

L’origine des Virus.

Les virus trouvent leur origine dans un jeu. Ce jeu naquit en 1970, dans les laboratoires de la société Bell aux États-Unis. Il s'appelle Core War et a été développé par trois jeunes informaticiens de cette société. Le principe est simple: chaque joueur écrit un programme le plus concis possible. Ces programmes sont chargés en mémoire vive. Le système d'exploitation, multitâche, exécute tour à tour une instruction de chacun des programmes. Chaque joueur ignore évidemment la position des autres programmes. Le but est de détruire le programme de l'adversaire et d'assurer sa propre survie. Pour cela, les programmes sont capables de se recopier, de se déplacer, de se réparer eux-mêmes, de bombarder l'adversaire de 0, etc. La partie est terminée lorsque l'un des joueurs a perdu tous ses programmes ou si ceux-ci ont été modifiés au point d'être rendus inactifs ou encore au bout d'un temps défini. Le gagnant est celui qui possède le plus grand nombre de copies de programmes actifs. Ce jeu contient en lui-même tout le principe de la programmation des virus

La reconnaissance

En 1983 le terme «virus informatique» est défini officiellement pour la première fois par le chercheur Fred Cohen qui a écrit le livre de référence sur les virus informatiques en préparant sa thèse de doctorat. Il est aussi l'auteur de plusieurs publications sur le sujet. Sa définition est "un virus informatique est un programme informatique qui peut infecter d'autres programmes en les modifiant de manière à y inclure une copie de lui-même (éventuellement évoluée)". Dans cette définition, on remarquera que le programme n'a pas besoin de causer de dommages (comme effacer ou endommager des fichiers) pour être classifié comme "virus" mais que c'est surtout un programme capable de s'auto reproduire tout en échappant aux détections en étant capable pour les plus évolués de se modifier lui même.

 

Les types de Virus.

Qu’est ce qu’un Cheval de Troie ?

Un Cheval de Troie est un programme simulant de faire quelque chose, mais faisant tout autre chose à la place. Leur nom vient du fameux Cheval de Troie de la Grèce antique, offert en cadeau, mais qui en fait avait pour but de causer la ruine et la destruction de la ville ayant reçu ce cheval en bois.

Un Cheval de Troie sur un ordinateur est un programme exécutable indépendant, qui est présenté comme ayant une action précise. Néanmoins lorsque ce programme est lancé, il va par exemple formater le disque dur, voler les mots de passe ou envoyer des informations confidentielles au créateur via Internet.

Qu’est ce qu’un Ver ?

Un Ver est un programme indépendant, qui se copie d’ordinateur en ordinateur. La différence entre un ver et un virus est que le ver ne peut pas se greffer à un autre programme et donc l’infecter, il va simplement se copier via un réseau ou Internet, d’ordinateur en ordinateur. Ce type de réplication peut donc non seulement affecter un ordinateur, mais aussi dégrader les performances du réseau dans une entreprise. Comme un virus ce ver peut contenir une action nuisible du type destruction de données ou envoi d’informations confidentielles.

Virus de Zone d’amorce

Un virus de zone d’amorce utilise la méthode la plus simple existante pour se propager. Il infecte la zone d’amorce des disques durs et des disquettes, la zone d’amorce est la première partie du disque lue par l’ordinateur lors de son démarrage, elle contient les informations expliquant à l’ordinateur comment démarrer.

Cette zone contient aussi des informations expliquant à l’ordinateur comment le disque est formaté, si il y a des partitions etc.

Pour être infecté, il faut avoir démarré sur une disquette, ou un disque amovible contenant le virus. Une fois la zone d’amorce de l’ordinateur infectée, ce virus se transmettra sur toute disquette ou support amovible inséré dans l’ordinateur. La plupart des virus de zone d’amorce ne fonctionnent plus sous les nouveaux systèmes d’exploitation tels que Windows NT.

Virus DOS

La plupart des virus programmes écrits fonctionnent sous le système d’exploitation DOS. Le DOS est le système d’exploitation le plus simple sur machine PC, néanmoins Windows exécute les programmes DOS sans aucuns problèmes même si beaucoup de virus DOS n’arrivent pas à se reproduire lorsqu’ils sont exécutés par Windows. Il est beaucoup plus simple d’écrire un virus pour DOS, car DOS existe depuis beaucoup plus longtemps que Windows et il y a donc beaucoup plus de gens ayant l’expertise nécessaire à ce genre de pratiques. De plus un virus écrit sous DOS sera beaucoup plus petit en taille que son équivalent écrit sous Windows. Néanmoins ce type de virus est doucement en train de disparaître au fur et à mesure.

Virus Windows

Les virus Windows fonctionnent sous Windows et vont pouvoir infecter les programmes Windows. Le nombre de virus Windows est beaucoup plus réduit que le nombre de virus DOS, néanmoins ils sont considérés comme une plus grande menace que les virus DOS puisque la plupart des ordinateurs fonctionnent maintenant sous Windows.

Virus Windows NT

Windows NT est le système Windows NT souffrant le moins des virus, car c’est le système Windows NT ayant la plus faible compatibilité avec le DOS, donc beaucoup de virus écrits pour le DOS à l’origine ne fonctionnent pas sous Windows NT. L’architecture de sécurité de Windows NT est aussi très complexe. Les créateurs de virus ont réussi à créer des virus qui utilisent des fonctions non documentées de cette architecture.

Virus macintosh

La plupart des virus Macintosh connus à ce jour sont bénins et ne détruisent rien, ils se contentent d’afficher des images ou des messages. Les virus Macintosh sont spécifiques au mac et ne peuvent infecter des programmes Windows. Le nombre de virus Macintosh est assez réduit due à la complexité du système d’exploitation MacOS.

Virus Macro

Les virus Macros sont la plus grande menace à ce jour, ils se propagent lorsqu’un document Microsoft Word, Excel ou Powerpoint contaminé est exécuté. Un virus Macro est une série de commandes permettant d’effectuer un certain nombre de tâches automatiquement au sein des applications ci dessus. Le but non nuisible du langage de macro dans ces applications est à l’origine de pouvoir créer des raccourcis pour effectuer des tâches courantes, par exemple en une touche imprimer un document, le sauvegarder et fermer l’application.

Les Virus Macros non supprimés se répandent très rapidement. L’ouverture d’un document infecté va contaminer le document par défaut de l’application, et ensuite tous les documents qui seront ouverts au sein de l’application. Les documents Word, Excel et Powerpoint étant les documents les plus souvent partagés, envoyés par Internet, ceci explique la diffusion rapide de ces virus. De plus le langage de programmation des Macros est beaucoup plus facile à apprendre et moins compliqué qu’un langage de programmation classique.

Virus Polymorphe

Ceci est une sous catégorie, dans le sens ou n’importe lequel des types de virus ci dessus peut en plus être polymorphe. Les virus polymorphes incluent un code spécial permettant de rendre chaque infection différente de la précédente. Ce changement constant rend la détection de ce type de virus compliquée. Souvent le code change, mais l’action pour lequel il a été créé est toujourss la même. Par exemple, le virus peut intervertir l’ordre des instructions de son action en son sein, ou rajouter de fausses instructions afin de tromper la vigilance de l’antivirus, qui lui, recherche une signature précise.

Beaucoup de virus polymorphes sont aussi encryptés. Le virus encryptera son code et ne le décryptera que lorsqu’il doit infecter un nouveau fichier, le rendant encore plus difficile à détecter.

Virus Furtif

Un virus furtif, comme son nom l’indique, va se cacher lorsque l’ordinateur ou l’utilisateur accède au fichier infecté. Si l’utilisateur ou l’antivirus tente de voir si le fichier est infecté, le virus le saura et va se cacher offrant à l’antivirus et à l’utilisateur une version non infectée du fichier.

Par exemple un virus macro non furtif, serait visible dans le menu Outils, Macros de Word, révélant sa présence d’un simple coup d’oeil, alors qu’un virus macro furtif, ne montrera pas sa présence de la sorte.

Virus Multi cibles

Les virus multi cibles utilisent à la fois les techniques d’infection des virus programmes et ceux de zone d’amorce. Ils infecteront donc à la fois les zones d’amorces et les programmes. Ces virus ont tendance à avoir une taille un peu plus élevée que les autres types puisqu’ils doivent contenir les instructions pour effectuer deux types d’infections. En doublant l’infection, le virus double sa chance d’être transmis à un autre ordinateur et de se répandre. Ceci explique qu’ils sont responsables d’un grand nombre d’infections, sans être très nombreux.

Par exemple si vous lancez un programme infecté par le virus Tequila, ce virus infectera dans un premier temps la zone d’amorce de l’ordinateur. La prochaine fois que vous allumerez votre ordinateur, ce virus Tequila infectera donc tous les programmes que vous utilisez ou qui sont lancés au démarrage de votre machine et ainsi de suite, tout programme exécuté sera donc infecté.

 

Hoax ou "Faux virus"

Ces fausses alertes sont aussi sérieuses que les vrais virus. En effet elles font perdre du temps et peuvent générer une certaine anxiété quant à la vérité ou non du message. Une des raisons pour lesquels ces Hoax sont si répandus, c’est qu’il suffit d’avoir une certaine créativité et un talent rédactionnel, pour envoyer un e mail contenant de fausses informations.

Le premier de ces Hoax connu a été envoyé par deux abonnés à AOL en 1992, il s’appelle Good Times. Depuis les messages du type "si vous recevez un email avec comme sujet bonjour, effacez le, ne l’ouvrez pas, il détruira votre ordinateur", sont presque aussi répandus que les vrais virus. Nous pouvons facilement développer des armes pour lutter contre les vrais virus, il est plus difficile de concevoir quelque chose pour lutter contre la désinformation. Le seul moyen c’est l’éducation des utilisateurs de micro ordinateurs.



Symantec Security Response uncovers hoaxes on a regular basis

 

Comment ils se propagent (dans le temps)

En échangeant des fichiers avec les autres (Disquettes ou Courriel).

En téléchargeant des fichiers infectés

En ouvrant des courriels

L'infection est rendue possible grâce aux composants ActiveX scriptlet.typelib et Eyedog d'Internet Explorer 4 et 5 (sauf sous NT) qui sont considérés comme "sûrs" d'office par Outlook. Le virus, écrit en Visual Basic, en profite alors pour écrire des données sur le disque dur via ces composants. En l’occurrence, un fichier update.hta est créé dans le menu "Démarrage". Au démarrage suivant l'infection, le fichier modifie les paramètres d'Outlook (nom et organisation de l'expéditeur) et se répand à toutes les personnes inscrites dans le carnet d'adresses de sa victime.

En exécutant les documents attachés aux courriels

Si vous ouvrez un document dans Word ou Excel et qu’il vous demande si vous voulez activer les macro ! Posez-vous une question? La source est elle sûre? Vous doutez… ne l’ouvrez pas (annuler) Scanner le document et si votre antivirus(à jour…) ne détecte pas de virus, il est donc sûr d’exécuter la macro.

Nimda

Virus appartenant à la catégorie des vers qui a fait son apparition en Septembre 2001. Il se propage par mail sous la forme d'un fichier attaché portant le nom de readme.exe.
Si par malchance ce fichier est exécuté, le virus récupère toutes les adresses E-mail contenus sur votre disque dur et envoi un message contenant la pièce contaminée. Il met également en accès partagé tous les disques durs de votre ordinateur, autorisant ainsi tout un chacun de lire, écrire voir et même effacer vos données.
Et enfin il infecte les serveurs Web Microsoft en y laissant un cheval de Troie. La seule façon de s'en débarrasser est d'avoir un antivirus mis à jour toutes les semaines.

Il faut désactiver la prévisualisation automatique dans Outlook Express.

Simulation.

Comment s’en débarrasser ?

Les antivirus se classent en deux grandes catégories selon leur méthode de travail:

ceux qui procèdent à une analyse par scanner

ceux qui réalisent une analyse générique

La première méthode dépend directement du sérieux de l'éditeur et de sa capacité à identifier rapidement les nouveaux virus actifs mondialement car ici, seuls les virus dont les signatures sont déjà connues peuvent être détruits lorsque le programme scanne votre machine. Cette méthode implique donc des mises à jour aussi fréquentes que régulières de la base de données virales par Internet.

La seconde méthode ne dépend pas de mises à jour car elle procède par une vérification heuristique des fichiers exécutables. L'analyse heuristique étudie le code du programme suspect avant son exécution (ou en simulant celle-ci), afin d'en identifier les parties virales, comme sa capacité à se greffer sur un autre programme exécutable. Ensuite un moniteur de comportement surveille en temps réel, toutes les actions réalisées par les programmes du système. Dès que l'un d'entre eux présente un comportement suspect, il est intercepté.

Enfin un contrôleur d'intégrité appose une marque sur les programmes du système et alerte l'utilisateur en cas de modification de l'un d'entre eux, ce qui indique généralement un signe d'infection.

L'idéal est bien entendu de conjuguer les deux ... et d'utiliser en plus un firewall si vous êtes connecté en permanence à Internet.

MyDOOM

Information:
Mcafee
Norton
Sophos

Outil de nettoyage

Mcafee
Sophos

 

Les outils de nettoyage autonome:
Norton Recherche chez Yahoo Mcafee

 

Les Fabricants d’antivirus

      AVG de Grisoft (gratuit) notre recommandation

      NAI McAfee ViruScan

      Symantec Norton AntiVirus 2001

      Trend Micro Pc-Cillin

      Panda Antivirus Platinum 7.0

    Les Mises à jours,

      toujourss maintenir à jour les définitions et l’engin de l’antivirus. Elles sont disponibles sur Internet gratuitement

       

      Mcafee (Scan) Grisoft (AVG) Norton

       

 

Les règles de prévention

1°) Installez un antivirus tel que AVG, McAfee, Norton ...

2°) Contrôlez tous les supports venant de l'extérieur avant de les utiliser: disquettes, CD Rom, cassettes Zip.

3°) Méfiez-vous des fichiers attachés à des E-mail.

Seule la lecture d'un message au format texte brut est sans risque. L'ouverture d'un fichier joint exécutable est dangereuse si vous n'êtes pas sûr de l'origine saine du message. Les fichiers joints qui ont des extensions .exe, .com, .doc, .xls, .ini sont suspects par principe, ces virus se cachent parfois dans des fichiers à double extension, comme «TrucMuche.GIF.VBS» ou «ChoseBidule.MPG.EXE». Cela veut passer pour un fichier .GIF ou .MPG sans danger, alors que c'est en fait un .VBS ou un .EXE. Les messages envoyés au format HTML peuvent contenir des contrôles ActivX, réglez le niveau de sécurité de votre logiciel de messagerie HTML pour bloquer tous les ActivX. Pour la sécurité de vos correspondants, préférez le format texte brut classique pour envoyer vos propres messages.

4°) Installez un Firewall si vous êtes connecté en permanence (câble, adsl...) Il y en a des gratuits ! (Voir page Sécurité)

5 °) Faites une sauvegarde régulière de vos données: textes, images, sons, vidéos, tableaux, bases de données, carnet d'adresse, signets, archives de courrier... après avoir éradiqué toute trace de virus. Ne faites pas cette sauvegarde sur le même disque dur mais sur un support externe.

Sécurité et courtoisie

Vous avez détruit un message... Sans ouvrir les fichiers joints... ou même sans le lire car il a été bloqué à cause de son poids énorme en octets. C'était peut-être un message important... comment savoir ???

Envoyez donc à son expéditeur le message suivant:

" Bonjour, votre message n'a pas pu être lu pour des raisons de sécurité. Veuillez l'envoyer à nouveau au format texte brut et sans fichier joint. Merci "

Tout correspondant sérieux renverra son message en le réduisant à l'essentiel.

 

 

Liens :

Français

Le dictionnaire d'informatique

http://www.multimania.com/dliard/Sciences/Informatique/informatique.html

Plus-securite.com

http://www.plus-securite.com/asp/informatique/informaticPressAout2001.asp

Origine des Virus

SE.G.I. Les virus informatiques

http://www.ulg.ac.be/segi/internet/virus/

Branchez-vous

http://www.branchez-vous.com/dossier/actualite/05-173501.html

Symantec

http://www.symantec.com/region/fr/resources/virus_def.html

La sécurité sur le net

http://securinet.free.fr/virus.html

Les Virus et les messages

http://courriels.free.fr/virus.htm

Tout sur les virus et AntiVirus

http://www.math.jussieu.fr/informatique/virus.html

 

Anglais

About

http://antivirus.miningco.com/

THE SANDRIN ANTI VIRUS CONNECTION

http://www.sandrin.com/sandrin/classic.htm

Virus Bulletin

http://www.virusbtn.com/

This page is considered the industry standard information source for new virus hoaxes and false alerts.

http://antivirus.about.com/gi/dynamic/offsite.htm?site=http%3A%2F%2Fwww.f-secure.com%2Fvirus-info%2Fhoax%2F

 

Divers

L'INTERNET CONTESTATAIRE

http://api.guide.free.fr/05scienc/01multi/hacker.htm

ATTENTION !! au partage du disque dur

http://nohack-fr.hypermart.net/

Contre les virus, protège-toi toi-même

http://www.laviedunet.com/WSJ/A_01930D.asp

La sécurité sous

http://introinfo.multimania.com/windows1/securite.htm

 


Accueil