Académique Documents
Professionnel Documents
Culture Documents
Les Virus
Les Virus
Les virus
ROYAUME DU MAROC
Titre du document
Sommaire
Les virus...................................................................................................1
1.
Introduction.....................................................................................2
1.1. Virus............................................................................................2
1.2. Antivirus.......................................................................................2
1.3. Dtection des virus........................................................................3
1.4. Types de virus...............................................................................3
1.4.1.
Les virus mutants....................................................................3
1.4.2.
Les virus polymorphes..............................................................4
1.4.3.
Les rtrovirus..........................................................................4
1.4.4.
Les virus de secteur d'amorage................................................4
1.4.5.
Les virus trans-applicatifs (virus macros)....................................4
2.
Virus - Les canulars (hoax).................................................................5
2.1. Qu'est-ce qu'un hoax ?...................................................................5
2.2. Comment lutter contre la dsinformation ?........................................5
2.3. Comment vrifier s'il s'agit d'un canular ?.........................................6
3.
Vers (Worms)...................................................................................6
3.1. Les vers........................................................................................6
3.2. Le fonctionnement d'un ver dans les annes 80.................................6
3.3. Les vers actuels.............................................................................7
3.4. Comment se protger des vers ?......................................................7
4.
Les chevaux de Troie.........................................................................8
4.1. Les symptmes d'une infection........................................................9
4.2. Principe du cheval de Troie..............................................................9
4.3. Se protger contre les troyens.........................................................9
4.4. En cas d'infection.........................................................................10
4.5. Liste des ports utiliss habituellement par les troyens.......................10
5.
Bombe logique................................................................................11
6.
Spyware (Espiogiciel).......................................................................11
6.1. Les espiogiciels............................................................................11
6.2. Les types de spywares..................................................................12
6.3. Se protger.................................................................................12
6.4. Quelques anti-spywares................................................................13
6.5. Plus d'information........................................................................13
7.
Keyloggers.....................................................................................13
7.1. Les keyloggers.............................................................................13
7.2. Keyloggers : logiciel ou matriel.....................................................13
7.3. Se protger des keyloggers...........................................................14
8.
Utilitaires de dsinfection.................................................................14
8.1. Qu'est-ce qu'un kit de dsinfection ?...............................................14
8.2. Comment utiliser les utilitaires de dsinfection ?...............................14
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
1 - 18
Titre du document
1.Introduction
1.1.
Virus
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
2 - 18
Titre du document
1.2.
Antivirus
1.3.
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
3 - 18
Titre du document
La mthode heuristique consiste analyser le comportement des
applications afin de dtecter une activit proche de celle d'un virus connu.
Ce type d'antivirus peut ainsi dtecter des virus mme lorsque la base
antivirale n'a pas t mise jour. En contrepartie, ils sont susceptibles de
dclencher de fausses alertes.
1.4.
Types de virus
1.4.1.
En ralit, la plupart des virus sont des clones, ou plus exactement des
virus mutants, c'est--dire des virus ayant t rcrits par d'autres
utilisateurs afin d'en modifier leur comportement ou leur signature.
Le fait qu'il existe plusieurs versions (on parle de variantes) d'un mme
virus le rend d'autant plus difficile reprer dans la mesure o les diteurs
d'antivirus doivent ajouter ces nouvelles signatures leurs bases de
donnes.
1.4.2.
Dans la mesure o les antivirus dtectent notamment les virus grce leur
signature (la succession de bits qui les identifie), certains crateurs de virus
ont pens leur donner la possibilit de modifier automatiquement leur
apparence, tel un camlon, en dotant les virus de fonction de chiffrement
et de dchiffrement de leur signature, de faon ce que seuls ces virus
soient capables de reconnatre leur propre signature. Ce type de virus est
appel virus polymorphe (mot provenant du grec signifiant qui peut
prendre plusieurs formes).
1.4.3.
Les rtrovirus
1.4.4.
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
4 - 18
Titre du document
1.4.5.
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
5 - 18
Titre du document
La perte de temps, tant pour ceux qui lisent l'information, que pour
ceux qui la relayent ;
La dgradation de l'image d'une personne ou bien d'une entreprise ;
L'incrdulit : force de recevoir de fausses alertes les usagers du
rseau risquent de ne plus croire aux vraies.
Ainsi, il est essentiel de suivre certains principes avant de faire circuler une
information sur Internet.
2.2.
2.3.
Lorsque vous recevez un courriel insistant sur le fait qu'il est essentiel de propager
l'information (et ne contenant pas de lien prouvant son intgrit), vous pouvez
vrifier sur le site hoaxbuster (site en franais) s'il s'agit effectivement d'un hoax
(canular).
Si l'information que vous avez reue ne s'y trouve pas, recherchez l'information sur
les principaux sites d'actualits ou bien par l'intermdiaire d'un moteur de
recherche.
3.Vers (Worms)
3.1.
Les vers
3.2.
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
6 - 18
Titre du document
La plus clbre anecdote propos des vers date de 1988. Un tudiant
(Robert T. Morris, de Cornell University) avait fabriqu un programme
capable de se propager sur un rseau, il le lana et, 8 heures aprs l'avoir
lach, celui-ci avait dj infect plusieurs milliers d'ordinateurs. C'est ainsi
que de nombreux ordinateurs sont tombs en pannes en quelques heures
car le ver (car c'est bien d'un ver dont il s'agissait) se reproduisait trop
vite pour qu'il puisse tre effac sur le rseau. De plus, tous ces vers ont
cr une saturation au niveau de la bande passante, ce qui a oblig la NSA
arrter les connexions pendant une journe.
Voici la manire dont le ver de Morris se propageait sur le rseau :
3.3.
machines
il crait un petit programme sur la machine pour pouvoir se
reproduire
il se dissimulait sur la machine infecte
et ainsi de suite
3.4.
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
7 - 18
Titre du document
extension d'un fichier. Ainsi un fichier dont l'extension est .jpg.vbs apparatra
comme un fichier d'extension .jpg !
Ainsi, les fichiers comportant les extensions suivantes ne sont pas
interprts par le systme et possdent donc un risque d'infection minime :
txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm
Il est courant d'entendre dire que les fichiers GIF ou JPG peuvent contenir
des
virus.
En effet, tous les fichiers peuvent contenir un morceau de code informatique
vhiculant un virus; pour autant le systme devra pralablement avoir t
modifi par un autre virus pour tre capable d'interprter le code contenu
dans ces fichiers !
Pour tous les fichiers dont l'extension peut supposer que le fichier soit
infect (ou pour les extensions que vous ne connaissez pas) n'hsitez pas
installer un antivirus et scanner systmatiquement le fichier attach avant
de l'ouvrir.
Voici une liste plus complte (non exhaustive) des extensions des fichiers
susceptibles d'tre infects par un virus :
386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA, CLASS,
CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB, DWG, EML,
EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT,
MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT,
OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML, SHW,
SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX, VOM, VS?, VWP, VXE,
VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC, XML, XLS, XLT, ZIP
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
8 - 18
Titre du document
A la faon du virus, le cheval de Troie est un code (programme) nuisible
plac dans un programme sain (imaginez une fausse commande de listage
des fichiers, qui dtruit les fichiers au-lieu d'en afficher la liste).
Un cheval de Troie peut par exemple
voler des mots de passe ;
copier des donnes sensibles ;
excuter tout autre action nuisible ;
etc.
Pire, un tel programme peut crer, de l'intrieur de votre rseau, une brche
volontaire dans la scurit pour autoriser des accs des parties protges
du rseau des personnes se connectant de l'extrieur.
Les principaux chevaux de Troie sont des programmes ouvrant des ports de
la machine, c'est--dire permettant son concepteur de s'introduire sur
votre machine par le rseau en ouvrant une porte drobe. C'est la raison
pour laquelle on parle gnralement de backdoor (littralement porte de
derrire) ou de backorifice (terme imag vulgaire signifiant "orifice de
derrire" [...]).
Un cheval de Troie n'est pas ncessairement un virus, dans la mesure o son
but n'est pas de se reproduire pour infecter d'autres machines. Par contre
certains virus peuvent galement tre des chevaux de Troie, c'est--dire se
propager comme un virus et ouvrir un port sur les machines infectes !
Dtecter un tel programme est difficile car il faut arriver dtecter si l'action
du programme (le cheval de Troie) est voulue ou non par l'utilisateur.
4.1.
4.2.
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
9 - 18
Titre du document
Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit
gnralement en connatre l'adresse IP. Ainsi :
soit vous avez une adresse IP fixe (cas d'une entreprise ou bien
parfois de particuliers connect par cble, etc.) auquel cas l'adresse IP
peut tre facilement rcupre
soit votre adresse IP est dynamique (affecte chaque connexion),
c'est le cas pour les connexions par modem ; auquel cas le pirate doit
scanner des adresses IP au hasard afin de dceler les adresses IP
correspondant des machines infectes.
4.3.
Pour se protger de ce genre d'intrusion, il suffit d'installer un firewall, c'est-dire un programme filtrant les communications entrant et sortant de votre
machine. Un firewall (littralement pare-feu) permet ainsi d'une part de voir
les communications sortant de votre machines (donc normalement inities
par des programmes que vous utilisez) ou bien les communications entrant.
Toutefois, il n'est pas exclu que le firewall dtecte des connexions provenant
de l'extrieur sans pour autant que vous ne soyez la victime choisie d'un
hacker. En effet, il peut s'agir de tests effectus par votre fournisseur
d'accs ou bien un hacker scannant au hasard une plage d'adresses IP.
Pour les systmes de type Windows, il existe des firewalls gratuits trs
performant :
ZoneAlarm
4.4.
En cas d'infection
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
10 - 18
Titre du document
Troyen
21
Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx,
WinCrash
23
1170
1234
Ultor trojan
port 1234
Ultors Trojan
port 1243
port 1245
VooDoo Doll
port 1269
Mavericks Matrix
port 2989
(UDP)
RAT
port 3024
WinCrash
port 3128
RingZero
port 3129
Masters Paradise
port 3150
port 3459
Eclipse 2000
port 3700
portal of Doom
port 3791
Eclypse
port 3801
(UDP)
Eclypse
port 4092
WinCrash
5.Bombe logique
Sont appels bombes logiques les dispositifs programms dont le
dclenchement s'effectue un moment dtermin en exploitant la date du
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
11 - 18
Titre du document
systme, le lancement d'une commande, ou n'importe quel appel au
systme.
Ainsi ce type de virus est capable de s'activer un moment prcis sur un
grand nombre de machines (on parle alors de bombe retardement ou de
bombe temporelle), par exemple le jour de la Saint Valentin, ou la date
anniversaire d'un vnement majeur : la bombe logique Tchernobyl s'est
active le 26 avril 1999, jour du 13me anniversaire de la catastrophe
nuclaire ...
Les bombes logiques sont gnralement utilises dans le but de crer un
dni de service en saturant les connexions rseau d'un site, d'un service en
ligne ou d'une entreprise !
6.Spyware (Espiogiciel)
6.1.
Les espiogiciels
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
12 - 18
Titre du document
6.2.
6.3.
Se protger
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
13 - 18
Titre du document
dtecter et de supprimer les fichiers, processus et entres de la base de
registres crs par des spywares.
De plus l'installation d'un pare-feu personnel peut permettre d'une part de
dtecter la prsence d'espiogiciels, d'autre part de les empcher d'accder
Internet (donc de transmettre les informations collectes).
6.4.
Quelques anti-spywares
6.5.
Plus d'information
WinFixer
Analyse Hijackthis
Spy sheriff
Spy Axe
DSO Exploit
7.Keyloggers
7.1.
Les keyloggers
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
14 - 18
Titre du document
7.2.
Les keyloggers peuvent tre soit logiciels soient matriels. Dans le premier
cas il s'agit d'un processus furtif (ou bien portant un nom ressemblant
fortement au nom d'un processus systme), crivant les informations
captes dans un fichier cach ! Les keyloggers peuvent galement tre
matriel : il s'agit alors d'un dispositif (cble ou dongle) intercal entre la
prise clavier de l'ordinateur et le clavier.
7.3.
8.Utilitaires de dsinfection
8.1.
Un kit de dsinfection est un petit excutable dont le but est de nettoyer une
machine infecte par un virus particulier. Chaque kit de dsinfection est donc
uniquement capable d'radiquer un type de virus particulier voire une
version particulire d'un virus.
Les utilitaires de dsinfection prsents ci-dessous ne remplacent en rien
l'action d'un logiciel antivirus. En effet l'antivirus a un rle prventif, afin
d'intercepter le virus avant l'infection de la machine. Toutefois en cas
d'infection, les kits de dsinfection en tlchargement sur ce site vous
permettront de prendre des mesures correctives pour radiquer le virus !
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
15 - 18
Titre du document
8.2.
Pour radiquer un virus prsent sur votre machine, pourvu que vous sachiez
quel virus a infect votre systme, la meilleure mthode consiste tout
d'abord dconnecter la machine infecte du rseau, puis rcuprer le kit
de dsinfection adhoc.
Puis il s'agit de redmarrer l'ordinateur en mode sans chec (hormis pour
WindowsNT) et de lancer l'utilitaire de dsinfection.
D'autre part, certains vers se propagent par l'intermdiaire d'une faille de
scurit de Microsoft Internet Explorer, ce qui signifie que vous pouvez tre
contamin par le virus en naviguant sur un site infect. Pour y remdier il
est ncessaire de tlcharger le patch (correctif logiciel) pour Microsoft
Internet Explorer 5.01 et suprieur. Ainsi, veuillez vrifier la version de votre
navigateur et tlcharger le correctif si ncessaire :
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.as
p
OFPPT @
Document
Millsime
339008790.doc
octobre 07
Page
16 - 18