Research - Scripts - cinema - lyrics - Sport - Poemes

عــلوم ، دين ـ قرآن ، حج ، بحوث ، دراسات أقســام علمية و ترفيهية .


    Les Virus

    شاطر

    GODOF
    Admin
    Admin

    عدد المساهمات : 10329
    نقــــاط التمـــيز : 49091
    تاريخ التسجيل : 08/04/2009
    العمر : 26

    Les Virus

    مُساهمة من طرف GODOF في الإثنين 8 مارس - 11:03

    Préambule
    Les Virus sont devenus une source de problème extrêmement importante ces 5 dernières années. L'université des sciences Sociales s'est donc pourvue d'une passerelle anti-virale email il y a 3 ans afin de limiter leur propagation. On peut voir sur cette URL http://cri.univ-tlse1.fr/statistiques_virales_www.html un état des 7 derniers jours concernant les virus bloqués. Mais mettre une protection ne dispense pas de comprendre le fonctionnement viral, c'est le pourquoi de cette page.
    Cette page n'est pas remise à jour avec la régularité qu'elle devrait, n'hésitez donc pas à me contacter fabrice.prigent@univ-tlse1.fr pour
    Corriger des informations
    Signaler des liens intéressants
    Ajouter des compléments
    Pour simplifier
    La page présente ici comporte des explications un peu théoriques. Pour simplifier nous dirons les choses suivantes :
    Un virus est un programme qui se propage avec l'aide, souvent involontaire, d'une personne. Il s'agit par exemple à l'heure actuelle des virus par mail, qui nécessite que l'utilisateur clique sur la pièce jointe pour être infecté. En biologie, cela correspondrait à avaler un aliment contaminé : on fait un acte volontaire, mais qui s'avère dangereux.
    Un ver est un programme qui se propage sans l'aide d'un utilisateur, il utilise les failles des programmes et des ordinateurs pour se propager. L'utilisateur n'a pas besoin d'intervenir pour être infecté. En biologie, cela correspondrait à se balader avec des blessures sur le corps dans une mare contaminée.
    Contre les virus, il faut des antidotes : on les appelle les anti-virus. Ils empêchent les virus d'infecter l'ordinateur (comme un vaccin) ET ils soignent les ordinateurs infectés (comme un classique antidote).
    Contre les vers, il faut un pare-feu, qui en plus vous protègera des pirates. C'est un peu comme si vous mettiez une combinaison de protection avant de plonger dans la mare contaminée. Peu importe que vous ayez des "blessures", la combinaison vous protège. Mais pour le soin, il faudra généralement recourir là aussi à un antidote.
    Contre les vers, il faut aussi penser à "soigner les blessures" de votre ordinateur. Cela s'appelle "appliquer des patches". Bien sûr vous pouvez être "allergiques" au patches, mais c'est assez rare.
    Vous trouverez plus bas des références à des outils gratuits. Parfois moins efficaces, ils évitent de payer l'achat de l'outil (30 à 60 euros) et les mises à jour (30 euros par an en moyenne).
    Quelques Définitions
    Les définitions de fonctions suivantes doivent souvent être légèrement adaptées aux circonstances. Les frontières de classification sont floues, et l'on peut retrouver dans certains parasites des apparences multiples.
    Les virus sont des programmes, souvent de petite taille qui ont la particularité de se reproduire sur un ordinateur en se copiant dans différents fichiers ou structures de disques durs. IL en existe plusieurs types, qui peuvent parfois se regrouper en un seul virus :
    Les virus exécutables qui se copient sur les programmes eux-mêmes (ex : michelangelo).
    Les virus de boot que l'on peut répartir en deux catégories :
    Les virus de partition qui sont dans les fichiers de partition générés par fdisk, par exemple. Un format de les enlévent pas, et ils sont lancés avant tout autre programme. Très efficaces car ils ne dépendent pas du système d'exploitation installé sur l'ordinateur. Un fdisk /mbr peut les enlever (ex : parity boot)
    Les virus de boot à proprement parler, qui s'éxecutent en même temps que le système d'exploitation : (ex : form)
    Ces virus furent pendant longtemps les plus courants car il n'est pas besoin d'installer un jeu ou quoi que se soit sur l'ordinateur pour l'infecter : un simple oubli de disquette dans le lecteur suffit : dès que le message "disquette non système" apparaît c'est trop tard...
    Les virus compagnons. Drôle de catégorie pour ces virus spécifiquement DOS qui jouent sur le fait que le dos cherche quand on lance un exécutable, d'abord les .COM puis les .EXE et enfin les .BAT. Ces virus se dupliquent en créant un .COM qui reprend le nom d'un .EXE. Il est donc lancé en premier. Ils ont quasiment disparus.
    Les virus de FAT, un exemple : DIR II. Ce virus modifie la table d'allocation des fichiers pour que dès qu'on lance un executable, on le lance DIR II d'abord. Son éradication doit être faite avec un excellent anti-virus car une mauvaise manipulation peut détruire TOUS les fichiers (la FAT est très dangereuse à manipuler)
    Les virus macro. Cette génération de virus est basée sur le fait que les documents sont souvent interprétés par les programmes. Les macros word, excel et autres en sont les exemples les plus frappants. Il peut alors suffire de lire l'attachement d'un mail pour infecter un disque dur. Ils sont en plein explosion car il est beaucoup plus courant de s'échanger des documents que des binaires. De plus, avec l'explosion d'Internet et de la messagerie, le phénomène s'est amplifié.
    Les vers sont des virus modifiés qui nécessitent des connexions réseaux pour se propager. Certains virus génériques sont dotés de fonction de ver, tel QAZ. Les exemples de ver purs se trouvent généralement sur unix :
    Le ver de Morris "l'original"
    Le ver Ramen
    Le ver Lion
    Le ver Adore
    Mais de récents événements ont montré la facilité de propagation de ces vers sur Windows NT :
    Code Rouge (CodeRed) version 1, 2 et 3
    NIMDA
    On pourra aussi noter que certains virus macro ou exécutables sont dotés de fonction d'appel automatique à la messagerie électronique, engendrant des réplication par réseau (ex : Iloveyou, bubbleboy,SIRCAM).
    Les chevaux de troie sont des programmes qui en plus d'une fonction classique ont une fonction cachée nuisible : récupérer vos mots de passe, vos comptes bancaires détruire votre disque dur.
    Backdoor littéralement, porte de derrière. C'est une fonction ou un programme permettant à un pirate de prendre le contrôle d'un ordinateur à distance. Il peut être placé dans un cheval de Troie ou un virus. (ex : SubSeven, BackOrifice)
    Les bombes logiques. Ce sont des parties de programme qui effectuent une action nuisible sous certaines conditions (de date, de longueur de fichier, de disparition d'un nom d'un fichier du personnel). On les trouve dans les virus et dans les programmes que laissent certains programmeurs qui ont peur de se faire renvoyer.
    Résident : programme qui reste actif en mémoire après son lancement.
    Signature : les virus se recopient souvent en fait d'un programme. Aussi, afin d'éviter de recontaminer un programme, il vérifient qu'ils ne l'ont pas déjà infecter en regardant une suite d'octets dans le fichier : c'est la signature du virus.
    Furtivité: Capacité qu'à un parasite à se camoufler des outils chargés de le détecter. Il peut modifier les appels systèmes pour qu'ils effacent les renseignements le concernant tels que la taille, la présence d'un dossier, sa présence en mémoire, etc...
    Cryptage: La définition, dans le cas des parasites, change un peu du standard. Le cryptage pour les virus ou les vers signifient généralement leur aptitude à rendre leur code suffisamment complexe, voir auto-modifiant pour que l'analyse soit extrêmement difficile. Il existe ainsi des virus qui vont prendre des données, les décrypter, les poser dans une zone exécutable, les exécuter. Celles-ci vont à leur tour prendre une partie du code, le changer, etc.. etc...
    Polymorphisme: La signature des virus a rapidement été un de leur problème. Les sociétés d'anti-virus n'avaient qu'à comparer une chaine d'octets pour savoir quel était le virus concerné. D'où l'idée qu'ont eu certains de modifier légèrement la descendance de leur virus pour rendre la signature plus complexe. La modification peut être faite par différents moyens :
    ajout d'instruction inutile (fonction NOP en assembleur, boucle d'attente, calcul sans intérêt)
    changer la manière de coder une intruction (a=b*c est équivalent à a=c*b ou encore à a=c+c*(b-1))
    Virus dropper: ce sont des programmes qui déposent des virus. Ces virus dropper peuvent être eux-mêmes des virus, ainsi certains virus macro déposent des virus de boot, qui peuvent à leur tour lancer l'infection de virus macro...
    Les Hoaxes : ce sont de faux virus. Vous recevez un mail qui vous dit attention n'ouvrez pas votre courrier, etc, etc.. dans cette catégorie : PENPAL GREETINGS, GOOD TIMES, JOIN THE CREW, etc,
    Sachez que le fait de lire un mail ne peut JAMAIS infecter un disque dur, à moins d'avoir une interpretation automatique des messages par un logiciel (si vous utilisez Outlook, vous tombez malheureusement dans cette catégorie)
    Pour savoir si un mail que vous recevez est vraiment un virus :
    http://www.hoaxbuster.com Le site français de référence !
    http://www.Vmyths.com Site indépendant
    http://www.hoaxkill.com Idem
    http://vil.mcafee.com/hoax.asp La liste McAfee
    http://www.sophos.com/virusinfo/hoaxes Celle de Sophos
    Les combinés : ils sont plusieurs choses à la fois par exemple QAZ, qui a fait des ravages chez microsoft, est un ver, un cheval de troie, une backdoor et un virus.
    Les Anti-viraux
    L'important dans un antivirus est (sauf pour V-Guard de Tegram) sa capacité à se mettre à jour facilement :
    Répertoire complet
    Quelques noms
    http://www.avp-france.com AVP. Excellente réputation, mais ralentit beaucoup la machine (Windows, Linux).
    http://www.datafellows.com Site de F-prot. C'est un excellent antivirus mais dont la mise à jour en réseau est problématique. Il ne tourne que sur Windows et DOS. TRES efficace en mode DOS.
    http://www.nai.com Sites des antivirus Mcafee (Windows, DOS), Solomon, Virex(Mac)
    http://www.norton.com Norton : Norton-antivirus est bon, mais sa mise à jour pour un parc est problématique. (Windows, Mac)
    http://www.tegam.fr V-Guard est le seul antivirus ne nécessitant pas de mise à jour. Il ne perce pas : apparemment il génère trop de fausses alertes. (Windows)
    http://www.trendmicro.fr Leur antivirus réseau est excellent, mais les versions "postes" sont moins efficaces. (UNIX, Mac, Windows, DOS)
    Quelques gratuits
    En général, ils ne sont gratuits que pour une utilisation non professionnelle.
    http://clamwin.sourceforge.net Seul antivirus libre pour Windows (mais il est utilisable en environnement professionnelle), il ne permet pour l'instant que de faire
    des vérifications ponctuelles
    de bloquer les virus reçus par Outlook (et pas Outlook Express)
    http://www.asw.cz/ Avast Antivirus.
    http://www.avgfrance.com Attention ! la version 7.0 semble payante.
    http://www.fr.bitdefender.com/bd/site/products.php?p_id=24# Version gratuite de bitdefender.
    Les passerelles anti-virales
    Une très bonne idée est de mettre les logiciels sur la passerelle de messagerie. C'était, dans notre cas, la cause de 95 à 99% des infections jusqu'à une période récente.
    http://www.avp-france.com Semble très efficace en mode réseau (Sendmail, Qmail) (Linux, FreeBSD)
    http://www.trendmicro.fr Excellent (Exchange, LotusNotes+ tout SMTP) (NT, Netware, Linux, HP-UX, Solaris)
    http://www.nai.com McAfee (NT)
    http://www.amavis.org AmAVis est un logiciel GRATUIT permettant d'utiliser les antivirus disponibles sur Linux. Plutot intéressant, mais il ne les nettoie pas. Une page existe : http://www.spi.ens.fr/beig/amavis/ qui explique sa mise en oeuvre avec le logiciel SYMPA
    http://www.clamav.net Antivirus libre qui s'intègre avec, entre autre, amavis.
    Mais la messagerie SMTP/POP n'est pas, loin s'en faut, le seul vecteur de propagation. Nos étudiants sont de grands utilisateurs des webmail tels que caramail ou free. Ceux-ci ne peuvent être pris en charge par des passerelles de messageries, et doivent donc être vérifiés par des proxy web antiviraux :
    http://www.trendmicro.fr Idem que ci-dessus
    http://viralator.loddington.com C'est un outil gratuit qui s'adapte à Squid et à un redirecteur (SquidGuard, Squirm, ou jesred) afin de permettre la désinfection éventuelle des pages consultées. Si vous utilisez SquidGuard, une explication plus complète existe sur une page que nous hébergons ici.
    Les Firewall ou Pare-feu
    Les vers, sont rarement bloqués par les antivirus car ils utilisent des failles de sécurité sur des applications ou des Systèmes d'Exploitation. Le moyen de protection contre les vers est plus général, il n'y a que rarement besoin de mises à jour
    Quelques gratuits
    En général, ils ne sont gratuits que pour une utilisation non professionnelle.
    http://www.zonelabs.com Attention de bien installé la version "Free". Il est efficace et assez simple.
    http://www.kerio.com/us/kpf_home.html Kerio Personal Firewall est le plus efficace des pare-feu gratuits, mais il est plus compliqué.
    Liens
    http://www.firewalls.net Un site de référence sur les firewalls personnels. D'excellentes explications et tests. Un must !
    Les sites intéressants
    Voici une petite liste des sites d'explication générale. N'hésitez pas à me faire part de liens que vous jugeriez intéressants.
    http://www.secuser.com Pour avoir une information en français et claire sur les virus et les firewalls.
    http://www.math.jussieu.fr/informatique/virus.html Site de jussieu sur les virus
    http://ciac.llnl.gov/ciac/CIACVirusDatabase.html La page Virus du CIAC
    http://www.virusbtn.com Le bulletin virus est une mine de renseignements.
    Les conseils
    Eviter de lancer un logiciel sans vérifier son innocuité (anti-virus permanent ou à défaut, vérification manuelle)
    Ne pas cliquer sur une pièce jointe si quelque chose est "étonnant" dans le mail :
    Expéditeur inconnu
    Expéditeur qui vous écrit dans une langue inhabituelle
    Expéditeur qui vous écrit dans un style inhabituel
    Ne prenez JAMAIS pour argent comptant ce que vous dit un mail à propos d'un virus, s'il ne vient pas d'une autorité compétente LOCALE. A l'Université Toulouse 1, les SEULES autorités compétentes sont
    les correspondants sécurité : Fabrice Prigent et Xavier Marty
    la passerelle anti-virale (interscan)

      الوقت/التاريخ الآن هو الثلاثاء 12 ديسمبر - 21:32