Virus

Généralités
Failles de Windows
Sécuriser son poste
Détection
Désinfection
Les légendes urbaines

Généralités

Tout d'abord il est indispensable de savoir que sans le respect de certaines règles élémentaires aucun anti virus ne peut protéger vos données. De plus certains indices laissent à penser que des failles sont volontairement laissées par les concepteurs de logiciels et de systèmes d'exploitation à des fins commerciales et/ou pour les services de renseignements.

Les antivirus

Les antivirus ne protègent que très partiellement:

Ils ne ferment pas les failles de windows (ce serait un suicide pour eux!)
Ils ne signalent que les virus connus donc relativement anciens. La moindre modification du code d'un ancien virus rend l'anti-virus inutile!
La protection temps réel ralentit l'ordinateur, et utilise beaucoup de mémoire
ils font planter certains logiciels, et empêchent parfois les installations
Ils examinent tout ce que vous faites et transmettent parfois certaines de ces infos (risque au niveau vie privée si l'éditeur n'est pas clair)
Ils téléchargent continuellement des mises à jour à votre insu (ralentissement de la bande passante)
Ils suppriment parfois vos fichiers infectés au lieu de les réparer
Ils ne réparent pas certaines fonctions que les virus désactivent (affichage des fichiers masqués par exemple)

Failles de windows

Les configurations les plus fragiles aux attaques sont les configurations "standard": Plateforme Microsoft Windows, Internet Explorer, Outlook Express...
A priori les messages et les pages HTML ne devraient pas pouvoir être infectées...
Mais Microsoft à produit une technologie ActiveX qui permet de faire tout et n'importe quoi...

Autre faille importante (ancienne mais les nouvelles failles que Microsoft introduit sont du même tonneau): le mode prévisualisation des messages d'Outlook Express 5. Si l'entête MIME d'une pièce jointe est inexact (on le fait passer pour un fichier "audio") son contenu peut être exécuté lors de la prévisualisation (sans même ouvrir le message!)

Une autre faille (RPC) est l'ouverture par défaut de ports TCP ou UDP qui peuvent être exploités par un pirate lors d'une connexion internet.

Attention, les certains pare-feux et anti-virus sont programmés pour laisser passer des informations à votre insu: par exemple, le pare-feu Symantec/Norton autorise (suite à des accords commerciaux?) plusieurs espiongiciels à transmettre des infos vous concernant sans vous avertir (Aureate/Radiate adware/spyware, AllAdvantage,..)

http://grc.com/default.htm mini-logiciels qui permettent de fermer les failles laissées par Microsoft (universel plug n play, DCOM, raw sockets,...)

Une faille importante de windows est le mode "autorun" des lecteurs amovibles (clés USB, disques durs,...). Le virus se déclenche et infecte votre poste dès que vous y connectez un périphérique infecté. Il serait pourtant très simple d'éviter celà par défaut!

Extensions

Un message e-mail en texte seul (ASCII) ne peut donc pas contenir de virus.

Par contre, un programme exécutable sur PC (.exe,.com,.bat,.vbs)
Il s'agit donc de ne pas ouvrir les pièces jointes de ce type que vous recevez par mail sans savoir ce que vous faîtes.

Attention des messages infectés peuvent être envoyés par l'un de vos amis à son insu... (exemple happy99.exe,...). Un virus peut aussi "forger" l'adresse de l'expéditeur!
Rester vigilant et en particulier quand 1 fichier attaché contient 2 extensions successives (par exemple FreeXXX.DOC.PIF)

Sécuriser son poste

Vacciner une clé USB ou un lecteur de disque: Créer à la racine un répertoire vide nommé "autorun.inf" activer la propriété "en lecture seule".
Lire une clé USB infectée sans contaminer son poste: Passer par le Poste de Travail dans l'explorateur windows, faire clic droit sur le lecteur puis "Développer" (ne pas double-cliquer!)
Repérer les fichiers infectés avec double extension (ILOVEYOU.DOC.VBS) ou faux répertoires qui sont en fait des virus: Afficher les extensions des fichiers (options des dossiers)
Repérer les virus masqués: Afficher les fichiers cachés (options des dossiers) => un fichier autorun.inf masqué à la racine d'un disque amovible est toujours un virus.
Active X: Ne pas télécharger les ActiveX, mettre au maximum la sécurité pour l'affichage des messages emails au format HTML
numéros MIME de pièces jointes identiques: Si l'une des pièces jointes peut être un virus: ne pas ouvrir les autres PJ apparemment inoffensives.
Ports laissés ouverts par Microsoft (RPC DCOM): Désactiver DCOM (via services de composants ou plus simplement via l'utilitaire de GRC.COM) et utiliser un firewall
Fermer les failles de Windows: Utiliser les petits utilitaires gratuits de grc.com pour désactiver les fonction dangereuses et inutiles de windows (Raw sockets, UPnP, DCOM, Mice, ...)
Pour tous types de virus: Avoir un plan de sauvegarde

Se protéger contre le formatage sauvage par un virus

Le plus souvent, ce sont les propres commandes de formatage résidant par défaut dans votre machine qui sont utilisées par un pirate... Si vous avez un PC sous Windows, la meilleure façon de vous protéger est d'utiliser l'Explorateur pour vous rendre dans le répertoire C:\Windows\Command (ou C:\WINDOWS\system32) et transférer sur disquette les fichiers fichiers Format.com, Deltree.exe et Fdisk.exe (ou simplement les renommer en préfixant par _DAN par exemple). TFTP.EXE peut être aussi intéressant à désactiver. Cela en empêchera toute utilisation malveillante, ou même simplement accidentelle... Et si plus tard vous en avez besoin, il vous suffira de les remettre à leur place à l'aide de votre disquette de sauvegarde.

Détection

On peut se rendre compte de la présence d'un virus :

le gestionnaire des tâches permet de repérer une application qui tourne en tâche de fond sans que l'on l'ait lancée (ad-aware de lavasoft permet aussi de connaître les fichiers exécutables associés),
dans l'onglet "démarrage" de MSCONFIG (lancer par Démarrer/exécuter..),
dans le fichier HOSTS: un virus peut ajouter des lignes pour empêcher que l'on se connecte à certains sites du genre:
```
127.0.0.1 www.avp.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.virustotal.com 
```
(c:\windows\system32\drivers\etc\hosts sous XP)
lorsque une activité (accès disque dur, accès internet) se déclenche inopinément (mais de plus en plus de choses se font en tâche de fond: anti-virus, défragmentation ou indexation du disque,...),
Quand on a un doute, la meilleure solution est de rechercher avec un moteur de recherche le nom du programme suspect.

Vous êtes infecté par un virus si l'un des fichier suivants sont dans votre dossier système:

Badtrans (faille MSOE 5): kdll.dll ou kernel32.exe
Klez: wink
KAK (faille ActiveX): kak.htm ou kak.hta
Blaster (faille RPC): teekids.exe, msblast.exe ou penis32.exe
Cheval de troie: root32.exe, kavo.exe, hosts.exe, acrobatR.exe
My doom: shimgapi.dll
Blaster: msblast.exe

Vous pouvez soumettre un fichier à http://www.virustotal.com/ pour vérifier s'il contient un virus.

Désinfection

Symantec offre en ligne des outils de désinfection bien pratiques sur tools.list.html
Recherche dans liste des virus par mot clé vinfodb.html#threat_list

Anti virus Secuser en ligne
voir aussi antivirus gratuits en ligne

Légendes et virus

Les alertes concernant des soi-disant messages e-mail porteurs de virus sont souvent bidons...

Il s'agit en fait pour l'auteur du message de saturer les groupes de news et les messageries Internet en diffusant et en faisant diffuser massivement des faux messages d'alerte tout en provoquant la panique des utilisateurs.

Vous pouvez jeter un coup d'œil sur le site :
http://hoaxbusters.ciac.org/
qui explique remarquablement (mais en anglais... :-( ) ce que sont ces "fausses rumeurs"... et comment elles circulent.

Exemple de fausse information circulant sur l'internet:

> Voici une information reçue ce matin de Microsoft. > Si vous recevez un mail intitulé "WIN A HOLIDAY" ne l'ouvrez pas car il > contient un virus dangereux. Avisez vos amis ...