Virus

Généralités

Tout d'abord il est indispensable de savoir que sans le respect de certaines règles élémentaires aucun anti virus ne peut protéger vos données. De plus certains indices laissent à penser que des failles sont volontairement laissées par les concepteurs de logiciels et de systèmes d'exploitation à des fins commerciales et/ou pour les services de renseignements.

Les antivirus

Les antivirus ne protègent que très partiellement:
  1. Ils ne ferment pas les failles de windows (celà les reandrait inutiles!)
  2. Ils ne signalent que les virus connus donc relativement anciens. La moindre modification du code d'un ancien virus rend l'anti-virus inutile!
  3. La protection temps réel ralentit l'ordinateur, et utilise beaucoup de ressources
  4. ils font planter certains logiciels, et empêchent parfois les installations
  5. Ils examinent tout ce que vous faites et transmettent parfois certaines de ces infos (risque au niveau vie privée si l'éditeur n'est pas clair)
  6. Ils téléchargent continuellement des mises à jour à votre insu (ralentissement de la bande passante)
  7. Ils suppriment parfois vos fichiers infectés au lieu de les réparer
  8. Ils ne réparent pas certaines fonctions que les virus désactivent (affichage des fichiers masqués par exemple)

Failles de windows

Les configurations les plus fragiles aux attaques sont les configurations "standard": Plateforme Microsoft Windows, Internet Explorer, ...
A priori les messages, les images, les pages HTML et fichiers PDF ne devraient pas pouvoir être infectées.
Mais les logiciels ont parfois des failles incroyables...

Attention, les certains pare-feux et anti-virus sont programmés pour laisser passer des informations à votre insu: par exemple, le pare-feu Symantec/Norton autorise (suite à des accords commerciaux?) plusieurs espiongiciels à transmettre des infos vous concernant sans vous avertir (Aureate/Radiate adware/spyware, AllAdvantage,..)

http://grc.com/default.htm mini-logiciels qui permettent de fermer certaines failles laissées par Microsoft (universel plug n play, DCOM, raw sockets,...)

Une faille importante de windows XP est le mode "autorun" des lecteurs amovibles (clés USB, disques durs,...). Le virus se déclenche et infecte votre poste dès que vous y connectez un périphérique infecté. Il serait pourtant très simple d'éviter celà par défaut!

Sécuriser son poste

Vacciner une clé USB ou un lecteur de disque
Créer à la racine un répertoire vide nommé "autorun.inf" activer la propriété "en lecture seule".
Lire une clé USB infectée sans contaminer son poste
Passer par l'explorateur windows (Win-E) (ne pas double-cliquer!)
Repérer les fichiers infectés avec double extension (ILOVEYOU.DOC.VBS) ou faux répertoires qui sont en fait des virus
Afficher les extensions et fichiers cachés (options des dossiers) => un fichier autorun.inf masqué à la racine d'un disque amovible est presque toujours un virus: à supprimer sans risque!
Active X et exécutables
Ne pas télécharger les ActiveX, mettre au maximum la sécurité pour l'affichage des messages emails au format HTML
numéros MIME de pièces jointes identiques
Si l'une des pièces jointes peut être un virus: ne pas ouvrir les autres PJ apparemment inoffensives.
Fermer les failles de Windows
Utiliser les petits utilitaires gratuits de grc.com pour désactiver les fonction dangereuses et inutiles de windows (Raw sockets, UPnP, DCOM, Mice, ...)
Pour tous types de virus
Avoir un plan de sauvegarde
On procèdera toujours de la manière suivante pour accéder au contenu d'un volume (clé USB) potentiellement infecté :

  1. Windows XP: Il faut avoir lancé au préalable le script aurorun_off.reg qui empêche le lancement automatique des virus à la connexion de la clé (il faut aussi redémarrer Windows)
  2. Connexion du lecteur amovible. Si l'AutoPlay est désactivé, rien ne s'affiche.
  3. Exécuter le raccourci-clavier WIN+E
    WIN étant la touche Windows située entre la touche Ctrl et Alt.
    Ce raccourci ouvre Explorer.exe avec les dossiers dans le panel gauche
  4. NE PAS CLIQUER DANS LE PANEL DE DROITE
  5. Dans le panel de gauche on peut cliquer sur la clé sans danger.

Extensions

Un message e-mail en texte seul (ASCII) ne peut donc pas contenir de virus.

Par contre, un programme exécutable sur PC (.exe,.com,.bat,.vbs)
Il s'agit donc de ne pas ouvrir les pièces jointes de ce type que vous recevez par mail sans savoir ce que vous faîtes.

Attention des messages infectés peuvent être envoyés par l'un de vos amis à son insu... (exemple happy99.exe,...). Un virus peut aussi "forger" l'adresse de l'expéditeur!
Rester vigilant et en particulier quand 1 fichier attaché contient 2 extensions successives (par exemple FreeXXX.DOC.PIF) ou quand un fichier .EXE a pour icône un répertoire!

Se protéger contre le formatage sauvage par un virus

Le plus souvent, ce sont les propres commandes de formatage résidant par défaut dans votre machine qui sont utilisées par un pirate... Si vous avez un PC sous Windows, la meilleure façon de vous protéger est d'utiliser l'Explorateur pour vous rendre dans le répertoire C:\Windows\Command (ou C:\WINDOWS\system32) et transférer sur un autre disque les programmes dangereux Format.com, Deltree.exe et Fdisk.exe (ou simplement les renommer en préfixant par _ par exemple). TFTP.EXE peut être aussi intéressant à désactiver. Cela en empêchera toute utilisation malveillante, ou même simplement accidentelle... Et si plus tard vous en avez besoin, il vous suffira de les remettre à leur place à l'aide de votre disque de sauvegarde.

Détection

On peut se rendre compte de la présence d'un virus : Vous pouvez soumettre un fichier à http://www.virustotal.com/ pour vérifier s'il contient un virus.

Réparer

Utiliser le programme ComboFix. Sinon on peut aussi réparer manuellement certaines choses mais c'est compliqué:
Ordre à lancer pour rendre visible tous les dossiers et fichiers masqués par un virus
attrib -S -H -R /S /D
Il faut pour celà lancer au préalable une fenêtre MS-DOS (Démarrer/exécuter: cmd) et se placer à la racine du disque infecté (taper la lettre du lecteur à traiter suivie de :)
remettre en fonction le double clic
Rendez-vous dans votre Menu Démarrer/Exécuter et copiez-collez ou tapez : regsvr32 /i shell32

Désinfection

Symantec offre en ligne des outils de désinfection bien pratiques sur tools.list.html
Recherche dans liste des virus par mot clé vinfodb.html#threat_list

Anti virus Secuser en ligne
voir aussi antivirus gratuits en ligne

Légendes et virus

Les alertes concernant des soi-disant messages e-mail porteurs de virus sont souvent bidons...

Il s'agit en fait pour l'auteur du message de saturer les groupes de news et les messageries Internet en diffusant et en faisant diffuser massivement des faux messages d'alerte tout en provoquant la panique des utilisateurs.

Vous pouvez jeter un coup d'œil sur le site :
http://hoaxbusters.ciac.org/
qui explique remarquablement (mais en anglais... :-( ) ce que sont ces "fausses rumeurs"... et comment elles circulent.

Exemple de fausse information circulant sur l'internet:

> Voici une information reçue ce matin de Microsoft.
> Si vous recevez un mail intitulé "WIN A HOLIDAY" ne l'ouvrez pas car il
> contient un virus dangereux. Avisez vos amis ...
Outils Symantec