Virus et Compagnie

Il est stupéfiant de voir à quel point, et comment, les Internautes se font piéger ! Alors qu’il est possible de se prémunir contre ces attaques. Le but de cet article est donc de présenter les différents virus et les règles pour les éviter (ce n’est qu’un moyen, pas le moyen).
Soyons clairs ces attaques ne sont possible que « grâce » aux multiples failles de sécurité dont sont porteurs les OS (operating systems = systèmes d’exploitation en français), tels que Windows depuis ses premières versions 95/98 etc. jusqu’à XP et 2000. Sans omettre Outlook et Internet Explorer.
Heureux qui, ceux sur « Mac OS X »…en tout cas pour l’instant !

Selon la définition bien connue de Fred Cohen, un virus informatique est un petit programme capable d’infecter et de modifier d’autres programmes en se dupliquant (le cas échéant de façon évolutive) sur des disques informatiques. Pour mériter le nom de « virus », ce programme ne doit pas nécessairement endommager les fichiers de façon irrémédiable (les supprimer ou les corrompre). Cependant, la définition de Cohen (par exemple, pour les termes « programme » et « modifier ») est légèrement différente de celle des développeurs d’anti-virus ; il place dans cette catégorie des programmes que la plupart d’entre nous ne considèrent pas comme des virus.

Nombreux sont ceux qui utilisent ce terme de façon générale pour désigner tout programme qui tente de dissimuler ses fonctions (pernicieuses) et de se reproduire sur le plus grand nombre d’ordinateurs possible. (Voir la définition de « Cheval de Troie ».) Vous devez savoir que les capacités d’un « programme » de contamination peut dépasser largement les apparences - soyez prudent sur ce que peut faire ou ne pas faire un virus !

Ces « plaisanteries » sont très graves ; elles se propagent plus rapidement qu’elles ne s’arrêtent et le plus inoffensif des virus peut être fatal. Par exemple, un virus qui bloque le fonctionnement de votre ordinateur peut avoir des conséquences fatales en milieu hospitalier. Les développeurs de virus eux-mêmes ne pourraient pas les stopper, même s’ils le voulaient ; il est impératif que les utilisateurs d’ordinateurs soient sensibilisés aux virus et ne restent plus dans l’ignorance et l’ambivalence qui ont favorisé leur expansion.

Un ver informatique est un programme complet (ou un ensemble de programmes) qui est capable de répandre des copies fonctionnelles de lui-même (ou de ses segments) sur d’autres systèmes informatiques (en règle générale via un réseau). Contrairement aux virus, les vers n’ont pas besoin de programme hôte. Il existe deux types de vers : les vers de station de travail et les vers de réseau.
Les vers de station de travail sont entièrement contenus dans le système sur lequel ils tournent et ils utilisent les connexions réseau pour se copier sur d’autres machines. Ceux qui se terminent après s’être copiés sur un autre système (il n’y a donc qu’un seul exemplaire du ver sur le réseau à un moment donné) sont parfois appelés « lapins ».
Les vers de réseau sont constitués de plusieurs parties (ou « segments »), chacune tournant sur des machines différentes (qui exécutent le cas échéant des actions différentes) et utilisant le réseau pour communiquer : par exemple, pour propager un segment d’une machine à l’autre. Les vers de réseau possédant un segment principal qui coordonne les actions des autres segments sont parfois appelés « pieuvres ».

Il s’agit d’un programme qui fait quelque chose de non documenté, mais voulu par le programmeur, dont l’utilisateur ne voudrait pas s’il en était informé. Pour certains, le virus est un cas particulier de cheval de Troie, c’est-à-dire un cheval de Troie capable de se propager à d’autres programmes (et donc de les transformer, à leur tour, en chevaux de Troie). Pour d’autres, un virus qui ne cause aucun dommage délibéré (autre que sa simple reproduction) n’est pas un cheval de Troie. Finalement, malgré les diverses définitions, beaucoup utilisent le terme « cheval de Troie » pour qualifier uniquement les programmes malveillants qui *ne se reproduisent pas*, de sorte que la catégorie des chevaux de Troie et celle des virus sont des catégories distinctes.

En règle générale, on distingue deux catégories de virus. La première catégorie regroupe les virus qui infectent les fichiers et dont l’action consiste à se lier à des programmes normaux. Ces virus infectent généralement les programmes .COM et/ou .EXE de façon arbitraire, mais certains peuvent également infecter des programmes qui requièrent une exécution, tels que les fichiers .SYS, .OVL, .PRG, et .MNU.
Les virus de fichiers peuvent avoir une action directe ou être résidents. Le virus à action directe choisit un ou plusieurs programmes et il les infecte chaque fois que le programme qui le contient est exécuté. Le virus résident se cache quelque part dans la mémoire la première fois qu’un programme infecté est exécuté, puis il infecte d’autres programmes au moment où *ils* sont exécutés (c’est le cas de Jérusalem) ou lorsque certaines conditions sont remplies. « Vienna » est un virus à action directe. La plupart des virus sont résidents.
La deuxième catégorie de virus regroupe les virus qui infectent le système ou l’enregistrement de démarrage : ces virus qui infectent le code exécutable des zones système d’un disque ne sont pas des fichiers ordinaires. Sur les systèmes DOS, il existe les virus ordinaires qui n’infectent que le secteur d’amorçage du DOS et les virus MBR qui infectent l’enregistrement de démarrage principal sur les disques fixes et le secteur d’amorçage du DOS sur les disquettes. « Brain », « Stoned », « Empire », « Azusa » et « Michelangelo » en sont des exemples. Ces virus sont toujours résidents.
Enfin, certains virus sont capables d’infecter à la fois des fichiers et des secteurs système (par exemple, le virus Tequila). Ces virus sont appelés « multiformes » (ce nom fait l’objet de nombreuses critiques) ou « boot-and-file » (secteur d’amorçage et infection de fichiers).
Les virus de système de fichier ou de cluster (exemple, Dir-II) modifient les entrées des tables de répertoires de telle sorte que le virus est chargé et exécuté avant que le programme voulu ne le soit. Le programme n’est pas altéré, mais sa référence dans le répertoire est modifiée. Certains considèrent ces virus comme une troisième catégorie à part entière alors que d’autres considèrent qu’ils sont une sous catégorie de virus.

Un virus furtif est un virus qui dissimule les modifications apportées aux fichiers ou à l’enregistrement de démarrage ; il surveille les appels aux fonctions de lecture des fichiers ou des blocs physiques de supports de stockage et il falsifie les résultats renvoyés par ces fonctions ; les programmes qui tentent alors de lire ces zones voient la forme non infectée de l’original du fichier au lieu de la forme réelle infectée. Cette méthode permet au virus de ne pas être détecté par les programmes anti-virus qui recherchent les modifications éventuelles apportées aux fichiers par les virus. Néanmoins, pour que cela soit possible, le virus doit être résident dans la mémoire lors de l’exécution du programme anti-virus.
Exemple : Le tout premier virus de DOS, « Brain », qui se greffe sur le secteur d’amorçage, surveille les entrées/sorties du disque physique et redirige toute tentative de lecture d’un secteur d’amorçage infecté par « Brain » vers la zone du disque où se trouve le secteur d’amorçage d’origine. Par la suite, les virus « Number of the Beast » et « Frodo » ont également utilisé cette technique.
Contre-mesures : Pour qu’aucun virus ne puisse falsifier les résultats, il est donc nécessaire de disposer d’un système « sain ». Avant toute recherche de virus, il convient d’installer le système à partir d’une copie saine et fiable de l’original ; c’est la règle d’or de la profession. Avec DOS, (1) démarrez le système à partir des disquettes DOS originales (c’est-à-dire les disquettes démarrage/programme provenant d’un fournisseur connu et protégées en écriture depuis leur création), (2) utilisez uniquement les utilitaires des disquettes originales tant que la vérification des virus n’a pas été effectuée.

Un virus polymorphe est un virus qui produit différentes copies de lui-même (mais qui restent opérationnelles) dans l’espoir que les anti-virus ne seront pas capables d’en détecter toutes les instances.
L’auto-cryptage à clé variable est une méthode qui permet d’échapper aux anti-virus qui se réfèrent à une base de signatures de virus connus ; ces virus (Cascade, par exemple) n’entrent pas dans la catégorie des virus polymorphes car leur code de cryptage est toujours le même et ils peuvent donc être utilisés comme signature de virus même par les anti-virus les plus simples (excepté si un autre virus ou programme utilise la même routine de cryptage).
Certains virus polymorphes sont créés à partir d’un schéma de cryptage nécessitant différentes routines : une seule de ces routines est pleinement visible dans chaque instance du virus (c’est le cas du virus « Whale »). Les anti-virus se référant aux signatures doivent exploiter plusieurs signatures (une pour chaque méthode de cryptage) pour identifier un virus de ce type de façon fiable.
Des virus polymorphes plus sophistiqués (V2P6, par exemple) modifient, dans leurs copies, la séquence des instructions : ils les entremêlent d’instructions « parasites » (par exemple, une instruction « No Operation » ou une instruction de chargement d’un registre non utilisé avec une valeur arbitraire), interchangent des instructions indépendantes ou même utilisent des séquences d’instructions variées ayant des effets identiques (par exemple, « Subtract A from A » et « Move 0 to A »). Un anti-virus simple se référant aux signatures n’est pas capable d’identifier ce type de virus de façon fiable ; le développement d’un « moteur d’analyse » sophistiqué serait nécessaire, après des recherches approfondies effectuées sur le virus concerné.
Le virus polymorphe le plus sophistiqué détecté à ce jour est le « moteur de mutation » mis au point par un Bulgare se faisant appeler « Dark Avenger » (le vengeur noir). Il se présente sous la forme d’un module objet. Il est possible de transformer n’importe quel virus en virus polymorphe en ajoutant certains appels au code source assembleur et en les reliant aux modules du moteur de mutation et du générateur de nombres aléatoires.
L’apparition des virus polymorphes a rendu leur détection de plus en plus difficile et coûteuse ; en effet, l’ajout de chaînes de recherche de plus en plus nombreuses à des programmes anti-virus simples ne peut être une méthode adéquate de traitement de ces virus.

Un virus à infection de fichier typique (comme Jérusalem) se duplique dans la mémoire lorsque le programme qu’il a infecté est exécuté, puis il infecte d’autres programmes lorsqu’eux mêmes sont exécutés.
Un virus à infection rapide, lorsqu’il est activé en mémoire, infecte non seulement les programmes qui sont exécutés, mais également ceux qui sont simplement ouverts. Par conséquent, si on lance une analyse anti-virus ou un vérificateur d’intégrité, tous les programmes (ou tout au moins un grand nombre d’entre eux) sont infectés en même temps. Les virus « Dark Avenger » et « Frodo » en sont des exemples.
Les virus à infection lente font référence aux virus qui, s’ils sont activés en mémoire, n’infectent des fichiers que s’ils sont modifiés (ou créés). Le but est de faire croire aux utilisateurs de vérificateurs d’intégrité que les rapports de modification (produits par le vérificateur) sont dus à des motifs légitimes. « Darth Vader » est un exemple de virus lent.

Les virus à infection occasionnelles sont des virus qui infectent de manière sporadique (par exemple, un fichier exécuté sur dix ou seuls les fichiers dont la taille est comprise dans une certaine limite, etc.). En infectant moins souvent, ces virus réduisent la probabilité d’être découverts par l’utilisateur.

Un virus compagnon est un virus qui, au lieu de modifier un fichier existant, crée un nouveau programme qui est exécuté (à l’insu de l’utilisateur) par l’interpréteur de ligne de commande au lieu du programme voulu. Le nouveau programme exécute ensuite le programme original et tout paraît normal. Ceci est généralement accompli en créant un fichier .COM infecté portant le même nom qu’un fichier .EXE existant. Les vérificateurs d’intégrité qui ne cherchent que les *modifications* apportées aux fichiers existants ne détectent pas ce type de virus. (Tous les informaticiens ne considèrent pas ce type de code malveillant comme un virus car il ne modifie pas les fichiers existants.)

Un virus blindé est un virus qui utilise des astuces spéciales pour que son dépistage, son désassemblage et la compréhension de son code soient plus difficiles. « Whale » est un bon exemple de virus blindé.

De nombreuses applications permettent de créer des macros. Une macro correspond à une série de commandes qui servent à exécuter une tâche spécifique dans une application. Ces commandes peuvent être enregistrées sous forme de combinaisons de touches ou dans un langage macro spécial.
Un macro virus est un virus qui se propage uniquement via un type de programme, généralement Microsoft Word ou Microsoft Excel. Ces programmes contiennent en effet des macros qui s’exécutent automatiquement à l’ouverture d’un document ou d’une feuille de calcul. En même temps qu’ils infectent les macros activables automatiquement, les macro virus infectent le modèle de macro global qui s’exécute chaque fois que vous lancez le programme. Donc, une fois que le modèle de macro global est infecté, chaque fichier ouvert par la suite est contaminé et le virus se propage.

Comme si les virus normaux de suffisaient pas, il y a des gens qui ont le temps de créer des faux virus. Ces virus canulars apparaissent généralement sous la forme d’un message électronique décrivant un virus particulier qui n’existe pas. Ces messages annoncent toujours le même scénario et expliquent que si vous téléchargez un message électronique ayant un objet particulier, votre disque dur sera effacé (ce qui est impossible parce que le texte d’un message ne peut pas héberger un virus).
Ces messages ont pour seul objectif de paniquer les utilisateurs. L’auteur envoie le message d’alerte et demande au lecteur de le faire suivre à ses connaissances. Le message agit ensuite comme une chaîne de lettres, il se propage sur Internet lorsque les utilisateurs le reçoivent et innocemment le transfèrent à d’autres personnes. « Good Times » est un pseudo virus type — il a été créé en 1994 et depuis cette date il a fait plusieurs fois le tour de la planète. La meilleure chose à faire lorsque vous recevez ce type de message est de l’ignorer et de le supprimer, puis de vous protéger avec votre logiciel anti-virus et de bonnes pratiques informatiques.

Bien qu’aucune recherche officielle n’ait été réalisée sur ce sujet, on estime que les canulars peuvent vous coûter plus d’argent qu’un incident viral. Après tout, aucun antivirus ne détectera les canulars car ils ne sont pas des virus. Certaines entreprises paniquent lorsqu’elles reçoivent un canular de virus et imaginent le pire, ce qui empire encore la situation.
La quantité de mails qu’un canular typique peut générer est, elle aussi, un coût pour les entreprises. Qu’un petit nombre de personnes au sein de votre entreprise aient reçu une alerte et qu’ils la réexpédient à leurs amis et collègues, et c’est facilement la surcharge de mails

Comment s’y prendre pour empêcher un canular de se propager sur un réseau ou dans une entreprise ?
Votre entreprise peut envisager, pour tenter de diminuer les coûts engendrés, de mettre en place une politique sur les canulars de virus.
En voici un exemple, que vous pourrez utiliser :
« Faites suivre toute alerte de virus à . Que l´alerte provienne d´un éditeur d’antivirus, ou qu´elle ait été confirmée par une grande entreprise informatique ou votre meilleur ami ne change rien. »Toutes« les alertes virales doivent être envoyées à et exclusivement à . Il est de son ressort de réexpédier toute alerte virale. Toutes les alertes qui proviendraient d´une autre source doivent être ignorées. »

Lorsqu’on possède un accès internet, il y a plusieurs choses qu’il est important de respecter, en particulier si l’on fréquente les forums et autres parties du net où l’on peut discuter.

Voici les règles d’or vous permettant de vous protéger au maximum contre les virus (mais aussi un peu les troyens).

SEUL CAS DE FIGURE OÙ ON NE RISQUE RIEN …vous connaissez l’intitulé, l’objet est clair, et sans fichier attaché.

# Ne pas ouvrir les fichiers joints (aux mails) non désirés.
Si vous en recevez un, il y a deux lignes de conduite à suivre. La première est que vous vérifiez auprès de l’expéditeur pour savoir ce que c’est, et qui il est. Si vous le connaissez, la confiance peut être instaurée. Sinon, scannez toujours les fichiers. La deuxième est que vous ne voulez pas d’un fichier que vous n’avez pas demandé, donc vous n’ouvrez pas le fichier.

# Ne pas ouvrir les fichiers joints possédant deux extensions.
Vous connaissez beaucoup de fichier qui en possède vous ? 99% de ces fichiers contiennent soit des virus soit des troyens. Vous ne devez donc pas les ouvrir. Jetez alors les mails à la poubelle.

L’INTITULÉ : « De », est douteux, ou inconnu = sans état d’âme DELETE/SUPPRIMER/POUBELLE !
Incorrigible curieux(se), vous avez quand mĂŞme ouvert ce mail. Il vous reste encore une chance, ne la gaspillez-pas !
Ne cliquez surtout pas sur le fichier attaché et sans état d’âme DELETE/SUPPRIMER/POUBELLE !

Ne cédez JAMAIS A LA CURIOSITÉ : tout Émail qui « parle » une autre langue que la vôtre habituelle (facile pour les francophones, car tout ces mails infectés parlent anglais à 99%), dans :
« L’objet = Re »… sans état d’âme DELETE/SUPPRIMER/POUBELLE !
Incorrigible curieux(se), vous avez quand mĂŞme ouvert ce mail. Il vous reste encore une chance, comme ci-dessus, ne la gaspillez-pas !
Ne cliquez surtout pas sur le fichier attaché et sans état d’âme DELETE/SUPPRIMER/POUBELLE !

# Ne pas ouvrir les fichiers en .scr, .pif, etc…
C’est bien simple. Ce genre de fichiers sont très très souvent utiliser pour infecter les ordinateurs. Temps qu’ils restent dans les mails joints et que vous ne les enregistrez pas, vous ne risquez pas d’être infecté par eux. A partir du moment où vous les enregistrez, vous avec 90% de chance d’être infecté
Les principales extensions à risques : « .pif, (mp3music.pif) - .scr - .zip - .bat - .exe
Et il y en a beaucoup d’autres…

L’INTITULÉ est connu, un ami(e), une relation etc. (qui ne maîtrise pas nécessairement).
Attention ! Il a pu se faire infecter, et votre adresse Émail a pu être »piratée« dans son carnet d’adresses. Deux choses à faire :
1) Vous même maîtrisez et savez reconnaître une extension à risque, dans ce cas :
sans état d’âme DELETE/SUPPRIMER/POUBELLE !
2) Vous avez des doutes ? Alors ne cliquez pas sur son fichier, qui peut être aussi un ».doc - .excel…
avec macros« , et envoyez-lui un mail en lui demandant ce que son fichier contient. Si sa réponse est : »je
ne t’ai rien envoyé« , ou »je ne sais pas« … sans état d’âme DELETE/SUPPRIMER/POUBELLE !

Nota : S’il s’agit du »petit malin« qui vous abreuve de »pps« plus ou moins rigolos… en principe pas de risque pour l’instant. Mais rien ne vous empêche de passer son fichier à l’anti-virus… si vous en avez un et à jour de préférence !
Ce qu’il faut savoir au sujet des anti-virus, c’est qu’il ne faut JAMAIS en avoir 2 d’installés sur sa machine… un seul suffit.
D’autre part un anti-virus informatique fonctionne suivant la même logique qu’un vaccin anti-grippe… c’est à dire qu’il est toujours en retard d’un virus… le jour même de l’attaque.
Il faut attendre quelques heures (jours), que votre éditeur anti-virus ai trouvé la parade, d’où la nécessité d’aller chercher régulièrement les mises à jour (actuellement effectuer ces mises à jour à chaque ouverture de cession sur votre machine, n’est pas du luxe)… élémentaire !

SPAMMING. Pas de remède réellement efficace pour l’instant. Ces courriels sont facilement reconnaissables, au fait qu’ils vous proposent mille choses en utilisant votre adresse Émail. Il est amusant de constater, que vous êtes »ciblé« , comme :
Fumeur : campagne anti-tabac, ou acheter Ă  bon prix des cartouches de cigarettes.
Impuissant : pilules Viagra ou comment : »enlarge your pénis« .
Obsédé sexuel : »elles (ils) vous attendent sur leur webcam ou autres… etc. etc.
Consommateur : prêt à consommer n’importe quoi…
Ceci est sans danger, à la restriction près que si vous cliquez sur un lien contenu dans ces mails, ou sur le lien « pour vous désabonner » (le meilleur moyen pour confirmer votre adresse dans leurs bases de données)… vous risquez le « Spyware »…

# Utilisez régulièrement Windows Update
La plus part des virus créés le sont pour des OS comme Windows ou même Mac (rarement). Ces virus exploitent alors les failles de Windows pour infecter l’ordinateur. Pour les utilisateurs de Windows, il est donc conseillé de régulièrement remettre à jour votre version avec le système Windows Update. Contrairement à ce que l’on croit, ce service ne sert pas à vous espionner mais bien à vous aider.

# Ne pas laisser de disquette dans le lecteur au moment du boot, à moins d’avoir désactivé le boot sur la disquette.
Plus un moyen de ne pas formater pour rien qu’autre chose. Les diquettes sont les système de disque qui prennent le plus facilement les virus. Mais s’il ne faut pas laisser la disquette dans le lecteur au moment d’allumer l’ordinateur, c’est surtout pour éviter de croire qu’il ne marche plus (pour les débutants).

# Utiliser un bon anti-virus.
Il en existe plein, et même si les estimation des magazines et webzines ne sont pas forcément toutes identiques et éxactes, elle ne sont jamais loin de la vérité. Je conseille VirusScan ou Panda ou Kasperi, mais il en existe d’autres. Voici un dossier de Clubic (que nous réécrirons plus tard en abrègant) qui compare les antivirus.

# Scanner régulièrement la machine.
Si vous n’avez pas respecter les règles précédentes, je vous conseil de scanner très régulièrement votre ordinateur afin de vérifier si vous n’y avez pas un virus qui traine. D’ailleur, les scans réguliers sont aussi conseillés pour ceux qui ont respecté ces règles.

# Mettre à jour régulièrement votre anti-virus.
ça me paraît être une évidence personnellement. Les anti-virus n’ont pas les armes infuses contre les virus, et ne reconnaissent pas automatiquement un virus. et s’il ne le reconnaissent pas, ils ne peuvent pas soit l’identifier (et donc le signaler) soit l’érradiquer.

# ArrĂŞter la parano envers Windows Update.
Je ne l’ai pas dit toute à l’heure, mais WU n’est pas fait pour vous envoyer les flics chez vous

# Ne pas utiliser d’antivirus connu tel que Norton. (préférance pour Panda)
Non seulement Norton c’est lourd, mais en plus la plus part des virus sont conçu pour passer au travers de cet AV. Il n’est donc pas conseillé de l’utiliser.

Voilà. Si vous respectez ces règles, vous ne risquez rien du tout et avez 99% de chance de ne jamais être infecté par un virus (je garde le 1%, en risque Web et autres).

Enfin, si votre « sport » préféré ce sont les sites de « hacking », les sites dit « adultes », les divers sites de « chat », les sites de « téléchargement douteux »… etc. Sachez que vous vivez dangereusement, vous risquez à moindre risque les virus… Quoique ! Mais à tous les coups vous serez pollués par les Spyware, et des « p’tites choses » plus ou moins rigolotes qui apparaissent sur votre bureau à chaque ouverture de cession, ou dans la barre d’état du bureau, ou de votre navigateur !
Ben Oui ! C’est le prix à payer.
Sauf si vous savez les Ă©radiquer ! Mais dans ce cas la lecture de cette page Ă©tait inutile pour vous.

------------------------------------------------------------------------------------------------------------------------------------

Virus Informatique Clusif
Dossier Technique du clusif de DĂ©cembre 2005