Page dédiée aux GendNautes - Quelques notions sur les virus .

info@wpostal.com

Introduction
Les virus générent les rumeurs les plus folles : En règle générale : le danger pour l'utilisateur est directement lié à son ignorance. Il est vrai qu'il peut être difficile de distinguer un canular d'un vrai virus.

Notions générales sur les virus
Un virus est tout simplement un programme, oui tout comme votre traitement de texte.
Dans la majorité des cas ils sont généralement conçus pour dans le but de nuire aux utilisateurs.
Il existe différents types de programmes nuisibles :

les chevaux de troie ( logiciel d'apparence anodine qui accompli a l'insu de l'utilisateur une action programmée. Nota : Les spywares logiciels qui envoient des informations a notre insu sont-ils des chevaux de troie?
La routine destructrice s'active au bon vouloir de l'auteur : La protection est impossible ou presque --> comment envisager les déclenchements.
Une seule règle ne jamais utiliser de fichier d'origine douteuse -
Ils sont aussi appelés Troyen ou trojan -
A ce sujet notez que dans différents cracks proposés sur Internet se cachent des bombes logiques ou chevaux de troie.

les virus : Programme capable de modifier d'autres programmes en y recopiant tout ou partie de son code. La phase de reproduction peut être suivie d'une phase de destruction.
Lorsqu'un programme est manipulé par l'action d'un virus il est infecté.

A noter : Les virus macro ne sont pas réellement des virus (exemple célèbre ILOVEYOU): il s'agit simplement d'une macro qui infectent des documents (Word, Excel...), en utilisant le langage Visual Basic pour Application : Les actions peuvent être nombreuses , envoi de courriers, ou action plus dangereuse. - Ils sont de plus en plus nombreux compte tenu du langage simple : voici un moyen simple pour ne jamais être infecté par un fichier Visual Basic Script

  • Patch contre les VBS
    • Lancez regedit et modifier la ligne ci-dessous comme ceci :
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\vbsfile\shell] @="edit"
    Ou cliquez ici.

    les vers - logiciel d'apparence anodine qui accompli a l'insu de l'utilisateur une action programmée. Ils se propagent à travers le réseau.

    Caractéristiques des virus

    Les virus sont de petites tailles . Ils comprenent généralement 3 routines :

  • Une routine repérant les fichiers infectés.
  • Une routine recopiant le virus dans le programme en y insérant une marque.
  • Une routine exécutant la tâche de destruction.

    • Comment un virus pénétre-t'il dans un ordinateur?

    Seul un programme porteur peut introduire un virus dans un ordinateur : L'éxécution du programme propage le virus.

  • Contamination par volumes infectés.
    • Il s'agit de disquettes contaminées mais aussi de disques durs d'occasion comprenant le système et des applications
  • Contamination par matériels infectés.
    • L'utilisation d'une disquette non protégée en écriture sur un ordinateur ne vous appartenant pas constitue un risque. Le risque est présent lors d'un contrat de maintenance : matériel de prêt - ou réparation de disque dur .
    Seuls les programmes sont infectés et non les fichiers de données (exception faites des macros virus sur les documents word - excell.)
  • Contamination par téléchargement.
    • Le risque de contaminiation est grand.
    Un grand principe : Avant l'installation et l'éxécution d'un fichier téléchargé - vérifiez le avec votre antivirus.
    N'éxagérons toutefois pas le danger : La plupart des responsables de téléchargement sont prudents.
    Par ailleurs vous n'êtes pas le premier a télécharger et d'autres utilisateurs ont pu signaler une anomalie du programme.
  • Contamination d'un système isolé.
    • Si votre système n'est pas relié à l'extérieur : disquette, modem le risque est moins grand.
    Toutefois un utisateur malveillant pourra en ligne de commande introduire un virus (copy con virus) lancer debug ...

    Virus et rumeurs...

    Q : Les virus peuvent écire sur une disquette protégée en écriture par le taquet.
    R : Non - Les virus sont des programmes comme les autres : aucun programme n'est capable d'enlever un taquet de protection. Comment ferait il pour violer des lois physiques!..

    Q : Du moment qu'une disquette est protégée son utilisation est sans danger.
    R : La disquette est protégée oui - mais un programme virus présent sur la disquette peut s'installer dans votre système.

    Q: La simple consultation par dir d'une disquette infectée suffit pour contaminer le disque dur.
    R: Non - Pour pouvoir infecter il faut exécuter un programme porteur. Ici c'est command.com présent sur votre système sain. Par contre si votre command.com est infecté un dir pourrait infecter une disquette.

    Conséquences des virus

  • Une perte de temps :
    • Désinfecter un système prend du temps.
  • Perte d'argent.
  • Vol de temps machine
  • Vol de capacité mémoire
  • La crainte de téléchargement
  • Augmente les sauvegardes

    • Les divers catégories de virus
    Les virus de secteur boot
    Ils sont chargés et éxécutés dès le lancement de la machine. Ils prennent le contrôle jusqu'à la prochaine initialisation.
    Mais ils ne peuvent s'éxécuter que par l'éxécution d'un progamme boot contaminé.
    La protection est donc simple : ne jamais démarrer un ordinateur avec une disquette inconnue.
    En cas d'infection il est très facile de réparer commande Sys c: à partir d'une disquette saine.
    Les virus d'applications
    Ils infectent les fichiers exécutables, c'est-à-dire les programmes (.exe, .com .sys, ovl).
    Les virus mixtes
    Ils s'attaquent tant au secteur de boot, qu'aux applications ou à la table de partition.

    Comprendre les virus...

    Les tâches de manipulation d'un virus sont innombrables, elles ne dépendant que de l'imaginiation de l'auteur.
    L'auteur d'un virus n'est pas forcément une personne douée pour l'informatique : en effet des générateurs de virus foisonnent sur Internet.
    Un programmeur de virus veillera a ne jamais planter le système ; les commandes dos CTTY>Nul seront réservées le jour du Premier avril :-)
    Il peut être aisé d'écrire des programmes qui pertubent la machine .
    debug
    -A 100
    MOV AH,35>
    MOV AL,04
    INT 21
    MOV AX,ES
    MOV DX,BX
    MOV DS,AX
    MOV AH,25
    MOV AL,05 ; remarque printscreen ici - Le 17 pour l'imprimante
    INT 21
    MOV AH,4C
    INT 21
    0116
    -n noprint.com
    -R CX
    CX 0000
    :16
    w
    -q
    Nous venons de créer un programme qui désactive l'impression (sous dos)
    Le détournement de la ligne 8 MOV AL,05 aurait pu porter sur l'imprimante 17 - Du clavier 19 mais aussi plus dangereux des accès disque INT 25 - 26 - 41 pour les paramètres du disque.
    Nous dirons que nous avons affaire à un virus farceur...

    Et les virus desctructeurs?
    Simple également...
    Nous pouvons mettre en pratique une destruction sur une disquette.
    Par debug : Debug
    w 0 0 0 1
    Puis q (pour quitter)
    va écrire sur la piste 0 du disque A qui deviendra inutilisable!.
    Les vendeurs informatiques qui laissent le programme debug sur les ordinateurs ne sont pas conscients du danger. 2 chiffres a modifier et le disque dur peut aller à la poubelle..

    Cette commande rend tout simplement inutilisable votre disquette : le secteur 0 de la disquette est détruit.

    Si vous voulez tester sur une disquette ne contenant aucune donnée sensible...

    Nous verrons néanmoins qu'il est possible de sauvegarder le secteur de boot d'une disquette ou d'un disque dur.

    D'autres méthodes consistent à lire l'heure par exemple et d'écrire par l'interruption 26 sur des secteurs de votre disque dur. Nous voyons ici que vos données ne peuvent être récupérées sans mal, d'autant plus que des variantes de virus par des générateurs sont à la portée de chacun...
    Convaincu qu'il faut se protéger?

    Mieux vaut prévenir que guérir...

    La mise en oeuvre de techniques de prévention prennent toujours moins de temps qu'une désinfection.

  • Toujours disposer d'une version de secours du système d'exploitation et des données
  • Protégez physiquement vos disquettes de travail dès que c'est possible.
  • Démarrez votre système à partir de votre système sain ou de disquette saine, protégée en écriture (Au besoin faites sauter le loquet)
  • Ne jamais introduire vos disquettes contenant des programmes dans un système inconnu
  • Ne laissez pas n'importe qui se servir de votre ordinateur ou hors votre présence
  • Ne pretez pas vos disquettes à n'importe qui. (Pas de danger pour les cédéroms s'ils sont cloturés :-))
  • Scannez régulièrement votre disque dur.
  • Organisez vos disques et disquettes.
  • Evitez les paths trop longs.
  • Surveillez vos programmes COM, EXE
  • Prudence avec les fichiers téléchargés
  • N'utilisez pas de logiciels piratés.
  • En cas de maintenance du Pc, faites une sauvegarde de vos données - Formatez le à réception et restaurez _vos_ données.
  • Scannez à l'antivirus réglièrement chaque nouveau programme.
  • Supprimez les fichiers dangereux de votre système : copiez les sur disquettes.
  • Faites une sauvegarde du secteur boot de votre disque dur

    • -- sauvegarde du secteur boot du disque dur sur disquette -- Lancez debug sous dos
    L 100 2 0 1 (Entrée)
    R CX (Entrée) N a:boot.com(Entrée) w (Entrée)
    Le fichier boot.com sur la disquette comprend le secteur boot du disque dur.

    Connaitre les symptomes alarmants

    Stade la propagation

  • Lenteur inhabituelle de l'éxécution des programmes.
  • Temps de chargement long.
  • Accès aux disques inhabituels
  • La quantité de mémoire diminue
  • La taille des fichiers com et exe augmente.
  • Le disque révèle des fichiers invisibles inhabituels

    • Stade propagation

  • Affichage de messages innatendus. "Vive les 35 heures"
  • Apparition des messages bizarres, insultes en anglais.
  • La machine ne reconnait plus le disque dur.
  • Autres manifestations inhabituelles.

    • Que faire en cas d'infection

    Le disque est reconnu
    Eteindre votre ordinateur et attendre 20 secondes.
    (Pas de Ctrl+Alt+Del) 3 Relancer l'ordinateur a partir d'une disquette systéme ... saine.
    - Faire sys c:

    Recopier command.com
    Ecraser votre système d'exploitation par la sauvegarde.
    - Lancer un antivirus présent sur votre _disquette_
    Le disque n'est pas reconnu
    Eteindre votre ordinateur et attendre 20 secondes.
    (Pas de Ctrl+Alt+Del) 3 Relancer l'ordinateur a partir d'une disquette système ... saine.
    - Faire sys c:

    Recopier command.com
    Ecraser votre système d'exploitation par la sauvegarde.
    Charger Debug - Insérez votre disquette contenant la sauvegarde de votre secteur boot
    N A:boot.com
    L
    (Entrée)
    w 100 2 0 1 (Entrée)

    Si vous n'aviez pas de sauvegarde du secteur boot : se tourner vers le fabricant pour un utilitaire de formatage de piste 0 .
    Le formatage n'intervient toujours qu'en dernière extrémité...



    sans date de référence ;-)

    Mise à jour le :