Vous êtes sur la page 1sur 6

VirusScan Enterprise distribu par l'Universit de Sherbrooke ------------------------------------------------------------REMARQUE: Afin de faciliter la lecture de ce document, activez la fonction "retour automatique

la ligne" (si vous utilisez Bloc-Notes, cette option se trouve dans le menu "Format"). Table des matires -----------------123456789Introduction` Comment obtenir de l'aide? Principales fonctions de VirusScan Enterprise Mise a jour automatique (AutoUpdate) Sites de mise jour des dfinitions de virus Remarques concernant les extensions multiples Remarques concernant les rgles de blocage de ports Remarques concernant les programmes indsirables Remarques concernant les ordinateurs moins rcents

1- Introduction --------------En tant qu'tudiante ou tudiant ou membre du personnel de l'Universit de Sherbrooke, vous avez tlcharg et install VirusScan Enterprise 8.0i. Flicitations! Nous vous rappelons que les modalits du contrat de licence que vous avez accept vo us interdisent de transmettre les fichiers tlchargs depuis le site Web du STI de l' Universit de Sherbrooke d'autres personnes. Nous vous recommandons de rviser les paramtres de VirusScan Enterprise. Pour se fa ire, cliquez avec le bouton de droite sur l'icne du bouclier bleu avec un "V" rou ge droite de la barre de tches et choisissez "VirusScan Console..." dans le menu local qui apparatra. 2- Comment obtenir de l'aide ---------------------------Voici les sources o vous pouvez obtenir de l'aide: - ce fichier-ci - lisez-le au complet! - l'aide en ligne du logiciel ("Help Topics" dans le menu "Help" de la console VirusScan) - la section "Logiciel antivirus" du site Web du STI l'adresse: http://www.usherbrooke.ca/sti/securite/antivirus - la documentation de McAfee qui peut tre tlcharge du site Web du STI, au mme endroit que le fichier d'installation de VirusScan lui-mme. - le site Web de McAfee contient une section FAQ (en anglais). Pour l'atteindre, choisissez "Add/Remove Programs" dans le "Control Panel". choisissez "McAfee VirusScan Enterprise dans la liste de vos logiciels installs, puis cliquez sur "Click here for technical support information". Cliquez ensuite sur le lien vis--vis la mention

"Support information". Notez au passage le commentaire qui indique que le produit est install conformment l'entente entre McAfee et l'Universit de Sherbrooke. L'Universit de Sherbrooke n'est pas l'auteur de ce logiciel, elle ne sert que d'i ntermdiaire pour vous le procurer. L'Universit de Sherbrooke ne saurait tre tenue r esponsable de tout problme caus par l'installation de ce logiciel. De mme, le suppo rt fait par l'Universit de Sherbrooke aux ordinateurs appartenant aux membres de la communaut universitaire se limite au prsent fichier de documentation de mme qu'a ux autres informations sur le site Web de l'Universit (section "Scurit Informatique "). 3- Principales fonctions de VirusScan Enterprise -----------------------------------------------Les principales fonctions de VirusScan Enterprise sont: - l'analyse l'accs (On-Access Scanner) analyse en continu et en temps rel de tous les fichiers lus ou crits. Dans cette nouvelle version 8.0i, l'analyse l'accs contient maintenant une fonction "ScriptScan" qui analyse les scripts JavaScript et VBScript avant leur excution. - l'analyse des courriels (On-Delivery E-mail Scanner) examine les courriels et leurs pices jointes l'arrive. - l'analyse la demande (On-Access Scanner) analyse de la mmoire et des fichiers disques aux moments qui vous conviennent ou intervalles rguliers. - mise jour automatique (AutoUpdate) assure que les dfinitions de virus sont jour; voir section suivante. - protection contre les programmes indsirables (Unwanted Programs, nouveaut de la version 8.0i) cette fonction permet aux diffrents analyseurs (de courriels, l'accs et la demande) de dtecter un certain nombre de programmes indsirables. - protection lors de l'accs (Access Protection, nouveaut de la version 8.0i) permet d'empcher des intrusions en limitant l'accs aux ports, aux fichiers, aux lments partags et aux dossiers. - protection en cas de dbordement de mmoire tampon (Buffer Overflow Protection, nouveaut de la version 8.0i) permet d'viter des intrusions qui utilisent des dbordements de tampon pour se propager.

4- Mise jour automatique (AutoUpdate) --------------------------------------La fonction de mise jour des fichiers de dfinition des virus (aussi appels "fichie rs DAT") est primordiale, de nouveaux virus apparaissant presque tous les jours!

Pour voir la version et la date de publication des fichiers DAT de votre VirusSc an, choisissez "About" dans le menu "Help" de la console de VirusScan. Il est bo n de savoir qu'au moment d'crire ces lignes, un nouveau fichier DAT est publi tou s les jours ouvrables. Si le votre date de plus de quelques jours, c'est que le processus d'AutoUpdate n'est pas au point et que les mises jour ne se font pas. Tel qu'install, trois tches de mise jour sont dfinies (2 sont actives, l'autre est i nactive): - "Mise jour automatique": une fois par jour, midi (plus ou moins une heure) - MAJ des fichiers DAT, du moteur d'analyse et des mises niveau; - "MAJ la connexion": mise jour effectue chaque fois que vous vous branchez sur votre ordinateur (lorsque vous fournissez votre code d'accs et votre mot de passe) - MAJ des fichiers DAT seulement; - "MAJ au dmarrage" (dsactive): mise jour au dmarrage de votre ordinateur - MAJ des fichiers DAT et du moteur d'analyse. Il est important de personnaliser ces paramtres selon votre situation et vos habi tudes de travail, en particulier les aspects suivants: - votre ordinateur est-il toujours allum ou l'teignez-vous aprs chaque session de travail? - utilisez-vous des codes d'accs et mots de passe? - votre connexion Internet en est-elle une de type "haute vitesse" (toujours active) ou par modem conventionnel (active seulement sporadiquement)? Les paramtres qui sont configurs par dfaut conviennent mieux une connexion Internet permanente. Si ce n'est pas votre cas, veuillez adapter ces paramtres. Pour modifier les paramtres d'une tche existante,ouvrez e-cliquez sur son nom (ou cliquez droite sur son nom et , puis cliquez sur le bouton "Schedule...". Dans l'onglet ez la mention "Enable..." (selon le cas). Si la tche est et "Schedule" que l'on peut dcider du moment o la tche la console VirusScan doubl choisissez "Properties") "Task", cochez ou dcoch active, c'est dans l'ongl s'excutera.

Pour ajouter une nouvelle tche de mise jour, slectionnez "New Update Task" dans le menu "Task" de la console. Vous pourrez alors donner un nom significatif cette tche, puis en changer les paramtres comme indiqu plus haut. En rsum, il est crucial de vous assurer que les mises jour se font rgulirement. Nous recommandons de le faire tous les jours si vous utilisez votre ordinateur rgulire ment. 5- Sites de mise jour des dfinitions de virus -----------------------------------------------Pour ce qui est du site de mise jour, si votre ordinateur est install sur l'un de s campus de l'Universit de Sherbrooke (comme c'est le cas pour les rsidents), les mises jour doivent se faire sur le site suivant: www.usherbrooke.ca/vers/antivirus-maj/CommonUpdater/ Si votre ordinateur est situ l'extrieur du campus (branch par exemple via Sympatico , Videotron, Abacom ou autres), le site de mise jour doit plutt tre:

update.nai.com/Products/CommonUpdater Si vous avez choisi le bon fichier d'installation lors du tlchargement (version "S ur un campus" ou version "Hors campus"), les bons paramtres sont dj configurs correc tement. Pour voir la liste des sites de mise jour, slectionnez "Edit AutoUpdate R epository List" dans le menu "Tools" de la console de VirusScan. 6- Remarques concernant les extensions multiples -----------------------------------------------Les virus utilisent souvent des fichiers portant plusieurs extensions pour berne r les gens. Ceci fonctionne d'autant plus que dans bien des cas, la dernire exten sion est cache. Ainsi un fichier nomm image1.jpg.exe peut passer pour une innocent e image en format JPEG alors que c'est dans les faits un excutable. L'option qui permet VirusScan Enterprise de considrer comme dangereux les fichier s portant plus d'une extension a t active. Ceci peut entraner des faux positifs, sav oir des fichiers qui sont dclars dangereux alors qu'ils ne le sont pas vraiment. P ar exemple, un fichier portant le nom "version0.6.doc" sera probablement identif i comme tant dangereux. S'il s'agit d'une pice jointe reue par courrier lectronique a vec Outlook, le message contenant la pice jointe sera dmnag dans le dossier "Quarant ine". Si vous recevez souvent des fichiers qui dclenchent cette rgle alors que le fichie r n'est pas vraiment dangereux, vous pouvez dsactiver cette rgle en allant dans la console de VirusScan et en choisissant "On-Delivery E-mail Scanner". Dans l'ong let "Advanced", dcochez l'option "Find attachments with multiple extensions" dans la section "Heuristics". Il est par ailleurs fortement conseill de ne PAS activer l'option "Cacher les ext ensions dont le type est connu" de Windows de faon toujours voir les noms complet s des fichiers, avec leur(s) extension(s). 7- Remarques concernant les rgles de blocage de ports -----------------------------------------------------Une nouvelle fonction de VirusScan Enterprise 8.0i permet d'empcher l'accs certain s ports rseau sauf pour les programmes qu'on a mis dans une liste d'exceptions (c 'est un peu comme un coupe-feu lmentaire, sans la puissance et la flexibilit d'un v rai coupe-feu comme Zone Alarm). Ceci se trouve sous la mention "Access Protecti on" dans la console VirusScan. Nous avons activ une rgle qui empche tout programme qui n'est pas un programme de c ourrier lectronique connu d'expdier des courriers lectroniques. De tels envois se f aisant par le port TCP/25 (SMTP), la rgle "Empcher les vers diffusion massive d'en voyer des e-mails" empche toute connexion sortante sur le port 25 sauf pour les p rogrammes de courrier lectronique connus comme Outlook, Outlook Express, Eudora, Thunderbird, Mozilla, Netscape, Lotus Notes et quelques autres. Ainsi si un prog ramme malicieux s'infiltre dans votre ordinateur et tente de propager des courri els infects, l'envoi des courriels sera bloqu si le programme malicieux tente de l es envoyer par lui-mme (c'est ce que font la plupart des virus). D'autres rgles sont dfinies mais pas actives parce qu'elles peuvent causer des lmes dans certaines circonstances. C'est le cas des rgles "Empcher les entres t "Empcher les tlchargements Web". Dans le premier cas (ftp), si vous utilisez e client graphique prfr pour faire des transferts FTP et qu'on avait activ la es transferts ne fonctionneraient que si vous ajoutiez le nom de votre client FT prob FTP" e votr rgle, l

P la liste d'exceptions. Dans le second cas (web), c'est encore pire puisque plusieurs programmes d'insta llation que l'on tlcharge du Web ne sont que de tous petits programmes qui vont ch ercher le reste des fichiers ncessaires dynamiquement lors de l'installation. De mme, de multiples programmes (Ad-Aware, Spybot, Acrobat Reader, etc.) vrifient rgul irement la prsence de mises jour par des connexions Web qui se font souvent notre insue. Il faudrait identifier tous ces cas et les ajouter la liste des exception s. C'est pourquoi ces rgles ont t dsactives par dfaut. Si jamais vous activez ces rgles, sachez que lorsqu'une application tentera d'uti liser un port non permis, aucun avertissement ne sera affich, la connexion sera tout simplement refuse. La seule faon de savoir que c'est McAfee qui a bloqu la ten tative de connexion est d'afficher le journal d'activits en cliquant avec le bout on de droite sur "Access Protection" dans la console VirusScan et en choisissant "View log". Les lignes les plus rcentes sont la fin du fichier. C'est l que vous pourrez trouver le nom exact du programme qui a tent la connexion pour l'ajouter dans la liste d'exceptions puisqu'il faut y mettre le nom exact (par exemple, "e udora.exe" et non simplement "Eudora"). 8- Remarques concernant les programmes indsirables --------------------------------------------------La version 8.0i de VirusScan Enterprise contient une fonction de dtection des pro gramme indsirables ("Unwanted Programs"). Dans la console de VirusScan, sous la m ention "Unwanted Programs Policy", on dcide quels programmes on veut dtecter dans 7 catgories: logiciels espions ("Spyware"); logiciels publicitaires ("Adware"); outils d'administration distance ("Remote Administration Tools"); numroteurs ("Dialers"); crackers de mot de passe ("Password Crackers"); canulars ("Jokes"); autres programmes potentiellement indsirables.

Ces choix sont ensuite utiliss lorsqu'on active l'option "Detect unwanted program s" des diffrents analyseurs (analyseur des courriels, analyseur l'accs, analyseur la demande). Cette dtection n'analyse que les fichiers disque et non les cls de registre et les cookies comme les autres programmes ddis l'analyse des logiciels espion ou public itaires. Seuls certains logiciels indsirables peuvent donc tre dtects, mais c'est to ut de mme mieux que rien. Ad-Aware et/ou Spybot-SD sont tout de mme conseills et de vraient faire partie de la trousse d'outils de tout utilisateur de Windows. 9- Remarques concernant les ordinateurs moins rcents ----------------------------------------------------Ceux qui ont un ordinateur rcent (disons un Pentium 3 ou plus) vont peut-tre perce voir un lger ralentissement de leur ordinateur aprs l'installation de VirusScan En terprise; la tranquillit d'esprit apporte par la protection de VirusScan vaut bien a, vous allez vous habituer! Il peut arriver cependant que pour ceux qui ont des ordinateurs un peu moins rcen ts, le ralentissement soit plus grand au point de devenir intolrable. Ne dsesprez p as, vous pouvez modifier quelques paramtres pour regagner un peu de performance.

C'est que les paramtres par dfaut sont assez agressifs; presque toutes les options disponibles ont t actives. On peut en dsactiver quelques-unes, quitte diminuer un p eu la protection et augmenter lgrement le risque qu'une infection passe inaperue. C'est principalement dans les paramtres d'analyse l'accs que l'on peut faire les p lus gros gains de performance. Dans la console VirusScan, choisissez justement " On-Access Scan", puis "All processes". Voici les paramtres que nous vous suggrons d'enlever si vous ressentez de trop grands ralentissements: - Dans l'onglet "Advanced", dcochez les deux options sous "Heuristics" ("Find unknown program viruses" et "Find unknown macro viruses"). - Aussi dans l'onglet "Advanced", dcochez les deux options sous "Compressed Files" ("Scan inside archives (e.g. .ZIP") et "Decode MIME encoded files"). - En dernier recours seulement, dans l'onglet "Detection", choisissez "Default + additional file types" au lieu de "All files" dans la section "What to scan". Exprimentez un peu avec diffrentes combinaisons de paramtres pour voir lesquels con viennent le mieux votre situation. L'quipe de scurit informatique Universit de Sherbrooke Automne 2005