Le
Coach du PC - L'ordinateur à la portée de tous -
|
|
|
|
Tout (ou presque) sur les virus
Accès
rapide aux chapitres
Qu'est-ce qu'un virus informatique ? En 1983, le chercheur Fred Cohen définissait un virus informatique ainsi « un programme qui peut contaminer un autre programme en le modifiant pour inclure une copie de lui-même », en d'autres mots, tous les virus se reproduisent d'eux-mêmes. Pour bien jouer le jeu, la plupart des virus tentent d'échapper aux détections, soit en utilisant des méthodes d'encryptage ou en effectuant de légères mutations chaque fois qu'ils se reproduisent. Un virus informatique partage bien des traits communs avec son homologue biologique. Comme lui, il ne peut survivre par lui-même : il doit s'associer intimement avec un objet du système afin d'en faire son vecteur, et le détourner pour assurer sa reproduction et, donc, sa survie. Sur un ordinateur Windows, ces « objets » susceptibles d'être infectés sont divers et ils déterminent la famille à laquelle appartient un virus donné. Le virus que vous devez craindre fait cependant
beaucoup plus que se reproduire. Environ 5 % des virus ont une charge utile,
c'est-à-dire un ensemble d'instructions conçu pour perturber le cours normal du
traitement informatique. La charge utile peut déclencher n'importe quoi, d'un
message clignotant inoffensif jusqu'à la réécriture complète de la table
d'allocation des fichiers, ce qui implique que vous perdez toutes les données de
votre disque dur. Les virus utilisent souvent l'horloge interne de votre
ordinateur pour déclencher la charge utile à une date particulière (Payload),
les vendredis 13 et les anniversaires célèbres sont populaires. Les médias utilisent le mot « virus » pour nommer tous ces programmes parasites, mais en fait, il existe des sous classes. Ces quatre termes sont ceux que vous lisez ou entendez le plus souvent. En voici une brève explication. Virus : C'est un programme informatique qui se réplique par lui-même au sein d'un même ordinateur en infectant d'autres fichiers, c'est-à-dire en se cachant dans leur code. Il s'exécute lorsqu'on va ouvrir ou exécuter le fichier. Il est rarement amical. Ver ou worm : Un ver se propage à l'insu de l'internaute vers d'autres destinations, Internet ou Intranet, en se servant des adresses de courriel contenues dans le carnet d'adresses. Il se répand tel quel, sans infecter d'autres fichiers, contrairement aux virus qui infectent le code d'autres fichiers et qui s'exécuteront à chaque ouverture des dites fichiers. Melissa, LoveLetter et AnnaKournikova en sont des exemples. Cheval de Troie ou Trojan (horse) : Comme son illustre ancêtre, le Trojan s'infiltre sur le disque dur pour y effectuer des actions néfastes une fois à l'intérieur, dès qu'on exécutera son fichier porteur. Parmi toutes ces actions, une catégorie de Cheval de Troie, le Backdoor, peut ouvrir la porte à son concepteur en émettant un message à l'intention de celui-ci, lui permettant de prendre le contrôle à distance de l'ordinateur, ou d'y placer d'autres modules aux tâches les plus diverses. En principe, le Trojan en tant que tel, ne se reproduit pas, sauf à cumuler les caractéristiques d'un Trojan et d'un ver. Microvirus ou macro : Les virus de macro sont courants. Ils infectent les fichiers de logiciels qui possèdent un langage de macro-commandes, comme Word ou Excel, de Microsoft. Quand le logiciel ouvre un fichier infecté, le virus peut exécuter une série de commandes connues du logiciel. Il existe d'autres types de « virus », mais pour garder ce texte court et percutant, je n'en parlerais pas… Voici un lien Internet qui en dit plus long : http://www.symantec.com/region/fr/resources/virus_def.html Note : Un virus est souvent à la fois ver et
Trojan. Si les virus sont parfois destructeurs, ils peuvent aussi servir à espionner de l'intérieur un ordinateur. En gros, ils peuvent tout faire, selon le désir de son créateur, du plus bénin au plus grave :
Chronologie d'un virus inclus dans un fichier exécutable (un exemple parmi tant d'autres)... Les « virus » s'attaquent le plus souvent aux fichiers exécutables. Qu'ils soient au format Dos (.com, .exe 16 bits) ou qu'il s'agisse d'exécutables 32 bits pour Windows, le principe est le même : le virus est introduit dans le système en exécutant un programme infecté. Il se charge alors en mémoire, prend le contrôle des opérations de fichier (lecture et écriture) et entreprend de repérer d'autres exécutables sains afin de les infecter à leur tour. Il dispose pour cela de plusieurs critères, selon le désir de son créateur. Généralement, il cible les programmes qui sont exécutés après lui. Il intercepte alors la demande de lancement, afin d'ouvrir le programme et de se greffer tout à la fin (l'opération est bien plus complexe dans le cas des exécutables 32 bits de Windows). II ajoute ensuite une instruction de saut en début du programme, afin qu'à chaque lancement, l'ordinateur exécute d'abord le virus. Une fois ce dernier en mémoire, il renvoie le PC à sa tâche première, à savoir charger le programme original. Cela ne prend que quelques millièmes de seconde et l'utilisateur ne voit rien, là non plus. Le virus demeure alors actif en mémoire, le plus souvent invisible dans la liste des tâches. Il guette et intercepte toutes les actions de l'utilisateur, cherchant chaque opportunité d'infecter un programme sain. Aujourd'hui, en plus d'habiter à l'intérieur d'un
ordinateur, ils ont aussi la possibilité d'utiliser votre carnet d'adresses de
courriel et se propager à votre insu. C'est pour cette raison que même si vous
recevez un courriel d'un ami, ne jamais ouvrir un fichier joint à moins qu'il
vous avise qu'il vous envoie un ficher... Pourquoi crée-t-on les virus ? La question revient à dire : pourquoi les bombes puantes, les pétards à la farine, etc. Les virus sont souvent écrits par de jeunes adolescents boutonneux en mal d'aventures (appelé Script Kiddy's) ; cela relève du jeu et du défi. D'autres personnes créent des virus dans le but de démontrer leur savoir faire ou pour expérimenter, juste pour savoir si c'est possible d'en créer un (éducatif). Certains en fondent pour mettre en évidence les failles de sécurité de certains logiciels, surtout Windows et Outlook. Il y a aussi des virus plus sérieux, préparés par
des groupes de pirates informatiques (les Crackers et les black hat Hackers - ne
pas confondre avec les white hat Hackers-) : ceux-ci attaquent plutôt les
grandes organisations et compagnies (C.I.A., Microsoft, gouvernement américain,
N.A.S.A., O.T.A.N…) Autrefois, les virus se propageaient souvent par échanges de disquettes. Aujourd'hui, la plupart du temps, c'est par courriel qu'arrivent les virus, mais aussi par téléchargement d'un fichier sur Internet. Il est important de bien comprendre qu'un courriel en soi n'est qu'un fichier texte, inoffensif par nature. Le danger se situe dans le fichier attaché (ou fichier joint), en principe matérialisé par un trombone. Ce fichier peut être un document sans danger ou un fichier exécutable, c'est-à-dire qu'une action sera effectuée si on l'ouvre (en le double-cliquant, par exemple), un virus ne se lance jamais seul, c'est quand on ouvre le fichier le contenant qu'il se déclenche… Cependant, il existe une exception à cette règle, le virus Nimda qui utilise un trou de sécurité de Windows pour s'auto exécuter. Pour colmater ce trou de sécurité, faites une mise à jour de Windows ( http://windowsupdate.microsoft.com ). Ces fichiers exécutables portent des noms de fichier se terminant en principe par .EXE, .COM, .BAT, .VBS, .SCR, .PIF, .OVL et parfois même .DOC ou .XLS (ces documents, supposément passifs peuvent comporter des macros, qui elles sont actives). Pour tromper l'utilisateur, ces virus se cachent parfois dans des fichiers à double extension, comme « TrucMuche.GIF.VBS » ou « ChoseBidule.MPG.EXE ». Cela veut passer pour un fichier .GIF ou .MPG sans danger, alors que c'est en fait un .VBS ou un .EXE. Pour inciter l'internaute à cliquer sur le fichier suspect, celui-ci a souvent un nom ou un objet attractif, comme NakedWife ou Anna Kournikova. De plus, s'étant propagé depuis le carnet d'adresses d'une relation, il semble être envoyé par un ami, incitant à relâcher sa prudence. En fait, le courriel a probablement été expédié à son insu. Même le copain qui fait suivre une bonne plaisanterie par courriel peut ignorer que le fichier (et son ordinateur probablement) est infecté. Eh oui, les virus savent se rendre séduisants : rappelez-vous des Sirènes d'Ulysse (ça tombe bien, non, après le Cheval de Troie ?) qui charmaient les marins de leurs voix mélodieuses pour mieux les attirer sur les récifs. Les utilisateurs utilisant Windows et Outlook
Express sont plus exposés, car il y a, par la loi du nombre, plus de gens
susceptibles de créer ce genre de menaces dans ce monde là d'une part, et plus
d'utilisateurs inexpérimentés. Mais, contrairement à ce que pensent beaucoup de
gens, les mondes Linux ou Mac ne sont pas à 100 % exempts de risques. Quelques réflexes de base à acquérir. Vous avez pris peur à la lecture de ce qui est ci-dessus ? Tant mieux, vous lirez avec plus de concentration ce qui suit ;-) Que faire devant toutes ces menaces ? Idéalement, se munir d'un bon Antivirus et le mettre à jour régulièrement : la majeure partie des éditeurs offre en principe des mises à jour (gratuites) plusieurs fois par semaine ! Il est préférable d'utilisé un Antivirus connu, par exemple, Norton Antivirus, McAfee ou Panda (il en existe d'autres…), car ces compagnies d'Antivirus font un sérieux effort pour mettre à votre disponibilité les dernières définitions de virus. En passant, les « définitions de virus » sont des données sur les caractéristiques ou signatures de tous les virus connus. Donc, avec les mises à jour régulières, vous serez protégé des nouveaux virus. Voir la page de comparaison. Mais avant de parler d'antivirus, il y a des réflexes de bon sens à acquérir, car vous êtes la première ligne de défense :
Autres recommandations importantes.
Les étapes sont : 1 - Cliquer sur Poste de travail (My Computer ou
Démarrer) Comment fonctionne un Antivirus ? Pour rester très schématiques, disons que l'antivirus cherche des signatures dans les fichiers présents sur le disque dur ou qui sont ouverts ou transférés, c'est-à-dire des chaînes de caractères spécifiques à chacun d'eux. C'est pourquoi il importe de mettre à jour les fichiers de définition des virus aussi souvent que possible, de façon à ce que son antivirus reconnaisse les dernières signatures apparues. Il y a deux fonctions essentielles dans un antivirus. Premièrement la fonction de balayage (communément appelé « scan »), qui permet, sur demande à l'utilisateur, de vérifier son disque dur ou fichier à la recherche d'un virus qui pourrait déjà y être présent. Idéalement, ce « scan » doit être effectué une fois par semaine. Et puis une fonction résidente ou permanente, c'est-à-dire qui fonctionne dès le lancement de l'ordinateur (le Boot) jusqu'à son extinction. Cette fonction opère en arrière plan, ou en tâche de fond, c'est-à-dire de façon transparente. Sans rentrer dans les détails, elle surveille toute l'activité du PC: elle analyse de façon dynamique les fichiers entrants et sortants de l'ordinateur, que ce soit par disquette, courriel ou téléchargement. Elle inspecte aussi tous les exécutables (applications) à leur lancement, afin d'être sûre qu'ils ne déclenchent pas un virus dont ils seraient porteurs. Enfin, si un virus est détecté, l'antivirus propose en principe de le « nettoyer » ou de mettre en quarantaine. Mais il se peut que vous ayez besoin d'un outil de suppression (fix) fourni par la compagnie de votre antivirus (lire "Comment se débarrasser d'un virus informatique" ici-bas). Un bon antivirus doit posséder ces deux
fonctionnalités. Canulars (Hoaxes en anglais) – « Faux virus ». Vous venez tout juste de recevoir un message urgent d'un ami : il y a un nouveau virus dans les parages, et il est vraiment vilain. Si vous lisez du courrier électronique ou cliquez sur un lien, le virus effacera automatiquement votre disque dur, videra votre compte en banque, et expédiera des messages obscènes à votre patron. Étant un internaute consciencieux, vous passez le mot à vos amis et au département d'informatique de votre travail. Quelques minutes plus tard, vos amis sont sans pitié : « Je ne peux pas croire que tu es tombé dans le panneau, ce canular existe depuis 1988 ! ». Je vous conseille de vérifier sur les sites des compagnies d'antivirus dans leur section HOAXES (Canulars) pour savoir si le message reçu de votre ami est une vraie information, ou simplement un canular. Le plus souvent, ce sont des canulars, mais vérifiez quand même, car on ne sait jamais…
http://www.hoaxbuster.com/ Norton Antivirus Center (hoaxes) McAfee (hoaxes)
Hoaxkill.com Comment se débarrasser d'un virus informatique ? En « THÉORIE », si vous avec pris toutes les précautions mentionnées ci-haut, vous n'aurez pas besoin de lire cette section… Mais le monde informatique n'est pas aussi aseptique que l'on aimerait qu'il soit. Il y aura toujours un nouveau virus qui réussira à déjouer votre vigilance et qui utilisera un des nombreux trous de sécurité de Windows pour vous infecter. Si vous doutez que vous ayez attrapé un virus informatique, je recommande de vous assurer que votre logiciel d'antivirus est à jour (définitions de virus) pour reconnaître les derniers virus (vers ou cheval de Troie). Et ensuite balayer (scan) tous les disques durs de votre ordinateur... Si l'antivirus ne trouve aucun virus, il se peut que ce soit un bogue ou autre chose comme des Spyware (je ne m'étendrais pas sur les Spyware ou logiciel-espion en français, mais pour votre information, il existe deux logiciels qui balayent pour retracer et éliminer ces petites vermines de Spyware, soit l'excellent logiciel gratuit Windows Defender, de Microsoft ou un autre, Spybot search and distroy et Ad-aware. N'oubliez pas de les mettre à jour comme les logiciels d'antivirus). MAIS, si votre logiciel d'antivirus trouve un virus dans votre ordinateur, prenez en note le nom du virus. Prenez une grande respiration et surtout pas de panique... Il existe une façon d'éliminer ce virus. Le premier reflex de 80 % des gens, est de formater leur disque dur... Mais en fait, la seule chose que cela fait est d'effacer vos données précieuses. Il faut jamais formater votre disque dur, à moins d'avoir TOUT fais pour l'éliminer et que vous avez épuisé tous les ressources. Pour votre information, je n'ai jamais eu à formater un disque dur, et croyez-moi j'en ai vu des virus... Il n'y a pas de formule magique pour se débarrasser
d'un virus informatique. C'est plus sage de dire que chaque virus a leurs remède
ou antidote particuliers, selon les dommages causés par le virus en question.
Selon la croyance populaire, les logiciels d'antivirus détectent et se
débarrassent automatiquement des virus informatiques. Cela est en partie vrai.
Si votre logiciel est mis à jour et balaye vos courriels entrant, et qu'il
perçoit la présence d'un virus, normalement il vous avertit par un message
d'alerte et met le fichier contenant le virus en quarantaine pour le rendre
inactif. Mais si votre ordinateur est déjà infecté, votre logiciel d'antivirus
va percevoir la présence d'un virus et vous avertit par un message d'alerte
(incluant le nom du virus), mais il n'élimine pas automatiquement le virus.
C'est pour cette raison qu'il est important de prendre en note le nom du
virus... Vous aurez besoin du nom du virus pour faire une recherche pour trouver
un outil de suppression (fix en anglais). Les étapes pour se débarrasser d'un virus informatique sont (NORMALEMENT) : 1- Lorsque votre logiciel d'antivirus vous averti avec un message d'alerte, il donne aussi le nom du virus que vous avez attrapé. Prenez en note le nom du virus. 2- Avec le nom du virus en main, vous allez sur le site Web du concepteur de votre antivirus pour faire une recherche sur ce virus. Faites attention, car chaque compagnie d'antivirus utilise des noms différents pour le même virus (comme s'ils voulaient l'exclusivité)... Par exemple, un virus chez Norton antivirus qui s'appelle W32.Blaster.worm, s'appelle W32/lovsan.worm chez McAfee antivirus, Worm/lovsan chez AVG antivirus , Worm_MSBlast.a chez PC-Cillin et W32/Blaster chez Panda antivirus... Donc, apportez une attention particulière au nom du virus et la compagnie de votre antivirus... 3- Sur le site Web de la compagnie de votre antivirus, il y a toute l'information nécessaire pour supprimer le virus. Ils vous proposent souvent de télécharger un outil de suppression (fix en anglais) et comment utiliser cet outil. Je vous recommande d'imprimer cette documentation et de suivre les instructions. Cette documentation vous explique ce que le virus fait et toutes les étapes pour s'assurer de bien éliminer le virus. C'est aussi très éducatif. Si vous n'avez pas accès à l'Internet en raison du virus qui vous en empêche, allez chez un ami. 4- Comme dernière précaution, mettre à jour votre logiciel d'antivirus et balayer une autre fois tous les disques durs de votre ordinateur et repasser l'outil de suppression fourni sur le site Web de votre antivirus... Si le virus n'est plus présent dans votre ordinateur, vous pouvez vous dire « mission accomplie » en attendant le prochain virus !!!! Voilà !!! Erreurs, mauvais fonctionnement bogues et liens. Le seul fait que votre ordinateur se comporte bizarrement ne signifie pas que vous ayez attrapé un virus. Lorsque ça ne tourne pas rond, vous devez diagnostiquer le problème et le réparer ; autrement, la même chose pourrait se reproduire indéfiniment. Bogues L'informatique moderne est très compliquée, et les logiciels n'interagissent pas toujours correctement avec votre système d'exploitation. Cela est encore plus vrai si vous utilisez beaucoup de versions bêta de logiciels. Si votre version bêta de logiciel ne fonctionne pas correctement, les chances sont grandes qu'il ait été mal conçu ou mis sur le marché trop rapidement. Ou peut-être, le logiciel est trop avancé pour votre ordinateur. Mauvais fonctionnement La quincaillerie et les pilotes de dispositifs ne sont pas parfaites. Si votre souris refuse soudainement d'opérer, que votre système plante, ou que des messages d'erreurs étranges apparaissent, sur votre écran, ne signifie pas que vous ayez attrapé un virus. Probablement que votre quincaillerie se fait vieille, que les pilotes de dispositifs ne fonctionnent pas correctement, ou que vous n'ayez pas suffisamment de mémoire pour tout ce que vous voulez faire en même temps. Fausses alarmes Horribles mais vraies : les logiciels antivirus « peuvent » générer de fausses alarmes. Le plus efficace des détecteurs de virus inspecte les fichiers exécutables et les autres fichiers du système pour y détecter des comportements ou motifs anormaux, tels que les changements de taille de fichiers. Certains de ces comportements se produisent pour des raisons valables. Alors si votre logiciel vous indique qu'il n'y a qu'un seul fichier contaminé ou qu'il ne nomme pas le virus, il s'agit « probablement » d'une fausse alarme. Alors que plusieurs milliers de virus existent, seulement 500 d'entre eux se retrouvent dans la nature. Quelques Adresses utiles Norton Antivirus Center (anglais) ou Centre de Recherche Antivirus de Symantec (Français) McAfee Antivirus Panda Antivirus Trend Micro AVG Antivirus Les Virus.com Alerte aux nouveaux virus (de Atout Micro, intéressant pour l'historique des virus) Virus Bulletin Secusys (pour information sur la sécurité en général) Sources: Branchez-vous, Tech-TV, C-Net, Norton
Antivirus Center , et mon expérience. |
|
