[FAQ] fr.comp.securite.virus

Transcription

FAQ du groupe
fr.comp.securite.virus
La FAQ du forum de discussion Usenet fr.comp.securite.virus est un
document en deux parties regroupées ici en une seule.
Les parties originales se trouvent ici :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv-part1.txt
http://www.lacave.net/~jokeuse/usenet/faq-fcsv-part2.txt
Dernière mise à jour : 03/07/2003
Auteur : Hélène Michaud
Les modifications apportées depuis la version précédente sont en italique.
Important :
Les conseils de désinfection de virus précis, trop longs et difficiles à
maintenir à jour, sont supprimés de la FAQ. Ils restent à disposition ici :
http://www.lacave.net/~jokeuse/usenet/nettoyer.html
Sommaire
1 - Introduction
1.1 - Objet de cette FAQ
1.2 - Réutilisation de cette FAQ
1.3 - Décharge
1.4 - Un dernier conseil avant de commencer la lecture
2 - Quelques définitions
2.1 - Les virus
2.2 - Les vers
2.3 - Les trojans (trojan horses, troyens, chevaux de Troie)
2.4 - Les spywares (espiogiciels, mouchards)
2.5 - Mini-lexique
3 - Les antivirus
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html (1 sur 36) [31/07/2003 20:28:01]
3.1 - Qu'est-ce que c'est ?
3.2 - Pour quoi faire ?
3.3 - Lequel choisir ?
3.4 - Les antivirus ne sont pas infaillibles
3.5 - Le « Safe Hex »
3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ?
4 - Je viens de recevoir une alerte à propos d'un nouveau virus
4.1 - Je dois supprimer le fichier contenant le virus : sulfnbk.exe,
jdbgmgr.exe
4.2 - Comment reconnaître un canular
4.3 - Et s'il y a une pièce jointe...
4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer : un faux
contact « !0000 »
5 - Je reçois des mails étranges
5.1 - Le spam
5.2 - Les usurpations
5.3 - Les vrais messages infectés
5.4 - Comment retrouver l'expéditeur ?
5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ?
5.6 - Comment ne plus recevoir ces messages ?
5.7 - Comment faire surveiller ma messagerie par mon antivirus ?
6 - On me signale que j'envoie des mails infectés par un virus
6.1 - Ce qu'il faut faire
6.2 - Mon antivirus ne le trouve pas ! (Klez, Yaha, Bugbear...)
7 - C'est un virus ?
7.1 - Mes icônes se « sauvent » à l'approche de la souris
7.2 - La page de démarrage d'Internet Explorer a changé
7.3 - Ma touche ^/¨ ne fonctionne plus, j'obtiens ^^e au lieu de ê
7.4 - Mes jpeg et mp3 ont maintenant une seconde extension .vbs
7.5 - Mon ordinateur me demande un fichier Sirc32.exe pour lancer une
application
7.6 - Mon firewall a bloqué...
7.7 - Mon ordinateur agit bizarrement
7.8 - J'ai le nom du fichier infecté, c'est quel virus ?
8 - J'ai un virus/trojan/spyware sur mon disque dur, comment m'en
débarrasser ?
8.1 - Pas de panique !
8.2 - Je dois réinstaller Windows ? Formater ?
8.3 - Je connais une solution infaillible : le fdisk /mbr
8.4 - Le virus est dans ma messagerie
8.5 - Le virus est dans « RESTORE »
8.6 - Il est dans une archive (zip)
8.7 - C'est un « trojan » ou un ver
8.8 - C'est un « spyware »
8.9 - Eicar
8.10 - Bloodhound
9 - Annexes
9.1 - Liste de logiciels antivirus gratuits
9.2 - Scanners en ligne
9.3 - Où envoyer un fichier douteux ?
9.4 - Les sites des éditeurs d'antivirus
9.5 - Sites divers
9.6 - Les listes de canulars
9.7 - Outils de désinfection
9.8 - WindowsUpdate
9.9 - Remerciements
10 - Conclusion
1 - Introduction
1.1 - Objet de cette FAQ
Ce document a pour but de vous apprendre, dans les grandes lignes, ce
qu'est un virus, quelle est la démarche à suivre pour s'en protéger et s'en
débarrasser, et de répondre aux questions les plus fréquentes rencontrées
sur le forum fr.comp.securite.virus.
Pour autant, il ne vous dispense pas de la lecture du manuel de
configuration de votre antivirus ni des FAQs associées, ni d'un minimum de
recherche de votre part sur les divers sites spécialisés si vous souhaitez
en savoir plus.
Pour cela, reportez-vous à la webographie située à la fin de ce document.
Retour au sommaire
1.2 - Réutilisation de cette FAQ
Vous êtes libre d'utiliser de courts extraits de cette FAQ, dans la mesure
où vous incluez un lien permettant d'avoir accès à l'ensemble du
document, dans le but de permettre à vos lecteurs d'obtenir facilement un
complément d'information.
De même, vous êtes libre de copier la FAQ dans son intégralité, à
condition cependant d'en avertir l'auteur, d'effectuer les mises à jour les
plus importantes, et que cette utilisation soit exempte de tout caractère
commercial (bannières publicitaires incluses). Cette restriction étant
principalement due au respect élémentaire de la sécurité du lecteur ainsi
que du temps que j'ai consacré à la rédaction de cette FAQ.
Toute autre utilisation devra faire l'objet d'un accord préalable de l'auteur.
Retour au sommaire
1.3 - Décharge
La sécurité antivirale est un domaine en perpétuelle évolution, ce qui est
vrai un jour peut devenir un mensonge éhonté dès le lendemain (ainsi, le
célèbre « On ne peut pas attraper un virus simplement en lisant un email » n'est plus vrai dans certains cas), et de nouveaux virus apparaissent
sans cesse.
De plus l'auteur reste humain, et malgré le soin apporté à la rédaction de
cette FAQ, rien ne peut garantir qu'une inexactitude ou formulation
maladroite ne s'y est pas glissée, ni que la version que vous avez sous les
yeux est à jour.
Par conséquent, ce document est à prendre comme un recueil de conseils,
et non comme une bible, et ces conseils doivent être considérés d'un œil
critique et mesurés à l'aune du bon sens. Si l'un d'entre eux vous semble
peu clair ou inexact, n'hésitez pas à poser la question à l'auteur ou sur le
forum.
La responsabilité de l'auteur ne pourra donc être retenue en cas de
problèmes causés par la mise en pratique des théories exposées cidessous.
Retour au sommaire
1.4 - Un dernier conseil avant de commencer la lecture
La sécurité antivirale évoluant constamment, cette FAQ va suivre ce
mouvement perpétuel, et être réactualisée le plus souvent possible.
évidemment, cela dépendra aussi du temps libre de la rédactrice, mais les
solutions aux nouvelles menaces seront, dans la mesure du possible,
rajoutées dès qu'elles auront été données sur le forum, et les mises à jour
moins urgentes seront faites de façon régulière.
Par conséquent n'hésitez surtout pas à jeter régulièrement un œil sur ce
document. Même si vous n'y trouvez pas de nouveautés, vous rafraîchirez
un peu votre mémoire, ce qui n'est jamais inutile.
En attendant, bonne lecture !
Retour au sommaire
2 - Quelques définitions
Note : Ces définitions restent très générales, mais tentent de refléter au
mieux la classification employée sur le forum. Vous trouverez sûrement
des définitions ou des dénominations légèrement différentes ailleurs.
Attention également, de plus en plus de menaces rentrent dans plusieurs
catégories à la fois.
2.1 - Les virus
Un virus est un code malicieux (sous forme de programme, script, etc.)
dont le but est de se reproduire. Pour cela, il se dissimule dans votre
ordinateur le temps de proliférer, puis parfois (ce n'est pas obligatoire) se
manifeste par une autre action : petit message narquois, effacement de
fichiers, etc.
●
Les virus de boot :
●
●
Ces virus se logent dans le secteur de démarrage (des disques durs
et disquettes) en remplaçant le code qui s'y trouve par le leur. Ils sont
chargés en mémoire (et donc actifs) dès que le support infecté est
utilisé.
Exemple : Jumper.B.
Les virus d'applications :
Ils infectent des fichiers exécutables et se lancent donc lorsque l'on
exécute l'application infectée.
Il est à noter qu'un seul fichier peut être infecté par plusieurs virus.
Exemple : Win95.CIH (dit « Tchernobyl »)
Les virus macro :
Ils se dissimulent dans les macros de documents, notamment de type
Word ou parfois Excel. Il sont lancés si on ouvre le document infecté
en autorisant l'exécution des macros qu'il contient.
Exemple : Melissa.
Retour au sommaire
2.2 - Les vers
Les vers, comme les virus, ont pour but de se reproduire. Leur particularité
est qu'ils se répandent d'eux-mêmes d'un ordinateur à un autre en utilisant
divers moyens (messagerie, partages réseaux, IRC, etc.), sans recourir à
l'infection de fichiers sains préexistants (ce qui fait que suivant la définition
du terme virus adoptée, on peut considérer ou non que les vers sont une
catégorie de virus). L'important est de savoir que dans le cas d'un ver
« simple » (qui n'est pas en même temps un virus d'application par
exemple), la désinfection d'un ordinateur ne passe pas par la désinfection
de fichiers, mais par leur suppression.
●
Les vers de messagerie :
Ils se répandent via les messageries, en s'attachant à des e-mails
qu'ils envoient ensuite à des adresses trouvées sur le disque dur de
leur victime (carnets d'adresses, boîte de réception, cache internet,
newsgroups, etc.). Certains profitent de failles de sécurité dans les
logiciels de messagerie (notamment du couple Microsoft Outlook
Express / Internet Explorer) pour s'exécuter automatiquement dès la
visualisation du message.
Exemples : Sircam, Klez, Bugbear... Il en apparaît sans cesse.
Retour au sommaire
2.3 - Les trojans (trojan horses, troyens, chevaux de
Troie)
Comme les virus, ils peuvent avoir une infinité d'actions, comme installer
une porte dérobée (« backdoor ») sur l'ordinateur infecté, modifier la page
de démarrage d'Internet Explorer, effacer vos données, voler vos mots de
passe, etc.
Et contrairement aux virus, ils ne se reproduisent pas. Ce ne sont pas des
« parasites » qui infectent des fichiers sains, mais des applications à part
entière qui doivent donc être installées sur l'ordinateur de leur victime. Les
méthodes d'installation sont nombreuses : envoyé (volontairement,
contrairement aux vers) par e-mail, exploitation de failles de sécurité,
installation par un virus, installation directe à l'aide d'une disquette pendant
votre absence ou même sous votre nez sous un prétexte quelconque...
Retour au sommaire
2.4 - Les spywares (espiogiciels, mouchards)
Ce sont des programmes intégrés à un autre logiciel, ou s'installant en
même temps que lui, parfois à l'insu de l'utilisateur, parfois en prévenant
ou même en demandant l'autorisation.
Une fois installés, ils recueillent des informations personnelles, telles que
les logiciels installés sur votre ordinateur ou vos habitudes de navigation,
et utilisent votre connexion Internet pour les envoyer.
Retour au sommaire
2.5 - Mini-lexique
Note : Ces quelques définitions n'ont pour but que de vous donner une
idée de la signification de quelques-uns des termes barbares que vous
pouvez trouver sur le forum ou dans les descriptions de virus, pas de
constituer un lexique détaillé ou exhaustif.
Backdoor :
Programme ouvrant une « porte dérobée » sur votre PC permettant à
des utilisateurs mal intentionnés d'en prendre le contrôle.
BIOS :
Basic Input Output System. Petit programme se trouvant sur la carte
mère de votre PC et servant au PC lors de son démarrage. Il sert
notamment à détecter les périphériques et vérifier que tout fonctionne
correctement sur le PC (mémoire, processeur, carte-vidéo). Il ne peut
pas contenir de virus. Par contre certains virus peuvent dans
certaines circonstances effacer ou corrompre votre BIOS.
Bounce :
« Retour à l'expéditeur » d'un e-mail qui n'a pas pu, pour une raison
ou une autre, parvenir à son destinataire, accompagné d'un message
d'erreur expliquant la cause du rejet.
Le destinataire de ces messages d'erreur est identifié par un des
champs de l'entête de l'e-mail nommé « Return-path ».
Canular :
Fausse alerte virus circulant le plus souvent par e-mail. Pour plus de
renseignements, se reporter au §4 et à la webographie de cette FAQ.
Dropper :
Un dropper est un programme qui installe un virus, ver ou un trojan,
sans être lui-même infecté par ce malware.
Hoax :
Canular.
In The Wild :
« Dans la nature ». Désigne les virus qui ont commencé à se
répandre, par opposition à ceux qui restent confinés sur l'ordinateur
de leur créateur et dans des milieux contrôlés tels que les laboratoires
d'analyse.
ITW :
In The Wild.
Macro :
Code interprétable contenu dans un document (Word, Excel).
Malware :
Nom générique donné à des programmes malveillants (virus, trojans,
spywares...)
MBR :
Master Boot Record, le secteur d'amorce du PC.
Polymorphisme :
Certains virus sont polymorphes, c'est à dire que chaque fois qu'ils
infectent un fichier, ils se chiffrent d'une façon différente, ce qui les
rend plus difficilement détectables.
Scan (par extension scanner) :
Analyse du contenu d'un fichier.
SMTP :
Abréviation de « Simple Mail Transfer Protocol ». Désigne un
protocole permettant la communication avec un serveur mail. Certains
vers et virus contiennent leur propre moteur SMTP (angl. « SMTP
engine ») qui leur permet de se propager en communiquant
directement avec un serveur courrier sans risquer de laisser de traces
en passant par Outlook comme le font beaucoup de virus très simples
(ou au cas où Outlook ne serait pas présent sur l'ordinateur).
Retour au sommaire
3 - Les antivirus
3.1 - Qu'est-ce que c'est ?
Un antivirus est un logiciel qui protège un ordinateur contre les virus, et de
plus en plus contre d'autres malwares : trojans, scripts malicieux dans les
pages web... Il est souvent composé de différents modules.
Des méthodes fréquemment employées par les antivirus sont :
●
●
●
●
moteur d'analyse : il permet de scanner à la demande les fichiers
que vous lui indiquez, par la recherche de signatures spécifiques
permettant d'identifier un virus (scanner « On-Demand »).
moniteur résident en mémoire : capable de détecter les virus en
mémoire ainsi que de vérifier la présence de virus dans les fichiers
que vous utilisez (scanner « On-Access »).
analyse heuristique : qui recherche les instructions utilisées en
général par des virus afin de détecter les virus qui ne sont pas encore
référencés par les éditeurs d'antivirus.
contrôleur d'intégrité : l'antivirus détermine une valeur en fonction
du contenu d'un fichier et la stocke dans un fichier de contrôle ;
ensuite chaque fois que ce fichier est scanné, l'antivirus contrôle si
cette somme est toujours la même ; en cas de changement il vous
prévient et vous permet soit d'accepter le changement si c'est une
action volontaire de votre part, soit de ne pas utiliser le programme
et/ou de l'envoyer à l'éditeur de l'antivirus pour analyse
complémentaire.
Retour au sommaire
3.2 - Pour quoi faire ?
Depuis le succès d'Internet et l'augmentation des échanges de fichiers
entre utilisateurs via notamment l'e-mail, il est devenu nécessaire de se
protéger des virus de manière quasi permanente.
L'antivirus est devenu l'assistant de l'utilisateur dans cette tâche. Car il ne
faut pas oublier que c'est un outil mis à la disposition de l'utilisateur et
donc, la première sécurité de votre ordinateur : c'est vous !
Retour au sommaire
3.3 - Lequel choisir ?
Il existe un grand nombre d'antivirus, certains sont payants, d'autres sont
gratuits. Certains sont meilleurs que d'autres. C'est à vous de tester et de
vous renseigner pour trouver celui qui vous conviendra le mieux, c'est à
dire celui qui vous protégera efficacement, qui fonctionnera sans problème
sur votre ordinateur, et que vous saurez configurer et utiliser
correctement.
Cette page web peut vous aider à faire votre choix en connaissance de
cause :
http://www.claymania.com/anti-virus-fr.html
Et si vous voulez aussi une bonne protection contre les trojans :
http://www.claymania.com/tests-trojan-fr.html
Retour au sommaire
3.4 - Les antivirus ne sont pas infaillibles
Un antivirus ne détectera jamais 100% des virus : le tout dernier sorti, le
très ancien ou le particulièrement difficile à analyser peuvent lui échapper,
par exemple.
De plus, il leur arrive de se tromper, et de déclarer infectés par erreur des
fichiers tout à fait sains.
N'ayez donc pas une confiance aveugle dans ce que vous dit votre
antivirus, et n'hésitez pas en cas de doute à faire analyser votre fichier en
ligne ou par un autre antivirus. Si votre antivirus habituel est le seul à
déclarer le fichier infecté, envoyez le fichier incriminé à son éditeur pour
analyse : il vous dira s'il s'agit d'une fausse alerte, et dans ce cas pourra
corriger l'anomalie dans sa prochaine mise à jour.
Retour au sommaire
3.5 - Le « Safe Hex »
Nous venons de voir qu'un antivirus n'est pas infaillible. Donc, pour rester
le plus protégé possible, votre rôle est crucial.
Si vous appliquez scrupuleusement ces quelques conseils dits de « Safe
Hex », vous limiterez sérieusement votre vulnérabilité aux attaques virales
les plus courantes :
●
●
●
Utilisez un système d'exploitation et des logiciels exempts de
failles de sécurité, en installant les correctifs de sécurité au fur et à
mesure de leur sortie. Sans faire de prosélytisme, ceci est
particulièrement valable si vous utilisez des produits Microsoft pour
surfer sur le web ou lire vos mails : très répandus, mais également
bourrés de failles, ils sont à patcher très souvent, et à configurer
soigneusement si vous voulez éviter qu'un virus ne puisse s'installer
automatiquement sur votre ordinateur.
Ne négligez cependant pas, sous prétexte que ce n'est pas Outlook
Express, de vérifier de temps en temps qu'aucune attaque n'est
apparue pour votre logiciel préféré, et gardez un œil sur les virus
spécifiques à votre système d'exploitation.
Même si on en parle moins, il existe des virus pour Mac et Linux :
http://www.claymania.com/unix-viruses-fr.html
http://www.sherpasoft.org.uk/MacVirus/index.html (en anglais)
Ayez une connaissance minimale de votre système d'exploitation
et de vos logiciels et de leurs fonctionnalités : intéressez-vous aux
commandes, aux menus, parcourez le manuel...
Par exemple savoir qu'un fichier simplement supprimé sous Windows
n'est pas directement effacé du disque mais placé dans la corbeille,
que Windows ME et XP effectuent des sauvegardes automatiques (le
fameux système « RESTORE »), ou ce qu'est la fonction « compacter
les dossiers » de votre logiciel de messagerie (c'est elle qui effacera
physiquement un e-mail de votre disque dur) peut vous épargner
quelques frayeurs du style « le virus est toujours là ! », et vous aidera
pour la configuration.
Configurez vos logiciels, antivirus et système d'exploitation avec
soin, en interdisant autant que possible ce qui pourrait s'avérer
dangereux.
Par exemple, désactivez l'exécution de tout code dans vos messages,
empêchez Eudora d'afficher les messages en HTML à l'aide du
« Microsoft Viewer » (ce qui le rend vulnérable à ses failles),
●
●
●
●
demandez à votre Windows d'afficher toutes les extensions de vos
fichiers, ce qui vous évitera de vous faire piéger par une double
extension (attention cependant aux .pif qui restent invisibles), etc.
Il existe sur le web de nombreuses FAQs, officielles ou non, qui
pourront vous y aider. Vous trouverez quelques exemples dans les
annexes (voir le §9.5).
Maintenez votre antivirus le plus à jour possible. Des nouveaux
virus, ou des nouvelles variantes de virus connus, apparaissent
régulièrement. De plus les éditeurs d'antivirus mettent à jour les
anciennes définitions de virus, surtout les informations permettant de
réparer les fichiers infectés (quand ils ne sont pas irrémédiablement
perdus). Donc, mettre à jour votre antivirus vous assurera de
posséder la protection la plus efficace.
Méfiez-vous de tous les fichiers qui arrivent sur votre
ordinateur : vérifiez leur extension réelle, et scannez ceux qui
peuvent contenir des virus avec un antivirus à jour (idéalement,
attendez les prochaines définitions de virus) avant de les ouvrir.
Les pièces jointes qui arrivent par mail et les fichiers téléchargés sont
une méthode de contamination extrêmement efficace, même, et il est
important d'insister sur ce point, s'ils semblent venir d'une source
connue.
Ne négligez pas pour autant d'examiner vos disquettes, CD-Roms...
Sauvegardez vos données les plus importantes, de façon à
pouvoir les récupérer aisément si un virus parvenait tout de même à
s'y attaquer.
Gardez la tête froide. Les virus sont à prendre au sérieux, mais faire
n'importe quoi sous l'effet de la peur est encore plus dangereux pour
votre ordinateur. De plus, la présence d'un virus sur un ordinateur
n'implique pas systématiquement que l'ordinateur est infecté.
Ces conseils sont développés plus avant sur ce site :
http://www.claymania.com/safe-hex-fr.html
Retour au sommaire
3.6 - Je peux avoir plusieurs antivirus sur mon
ordinateur ?
On peut installer autant d'antivirus qu'on le souhaite sur un même
ordinateur, à condition de n'en faire fonctionner qu'un seul en même
temps : il ne doit y avoir qu'un seul moniteur actif à la fois, et il faut le
désactiver si l'on souhaite lancer un autre antivirus (moniteur ou simple
scan), afin d'éviter tout risque de conflit qui empêcherait les deux antivirus
de faire correctement leur travail.
Attention également aux fausses alertes provoquées par l'utilisation
préalable d'un autre antivirus (à cause de traces laissées en mémoire), ou
parfois par sa seule présence sur le disque dur (identification de virus dans
la base de signatures de l'autre antivirus, virus en quarantaine...).
Ces incompatibilités sont rares, mais existent.
Retour au sommaire
4 - Je viens de recevoir une alerte à propos d'un nouveau
virus
Tout le monde a déjà reçu un e-mail angoissant décrivant les ravages
causés par un tout nouveau virus, indétectable et se répandant à la vitesse
de l'éclair, et conseillant de faire suivre l'avertissement à tous les
correspondants de son carnet d'adresses.
La plupart de ces messages d'alerte sont des canulars (ou « hoax »),
décrivant des virus inexistants. Les quelques messages restants, bien que
parlant de virus réels, souffrent souvent de lacunes leur ôtant toute
efficacité préventive ou réparatrice.
Tous ces messages ne peuvent servir qu'à déclencher la panique chez les
utilisateurs non avertis (et les réactions irréfléchies et parfois dévastatrices
qui la suivent, tels un formatage inutile), tout en détournant l'attention de
menaces plus réelles. Ils encombrent inutilement messageries et disques
durs.
Il est inutile, voire nuisible de les faire suivre sans vérifier sérieusement la
véracité des faits exposés. Vous trouverez à cet effet des sites listant et
expliquant les canulars dans la webographie à la fin de ce document.
Ne faites jamais suivre une alerte « au cas où ». S'il s'agit d'un canular,
vous ferez peur inutilement à vos contacts (vos amis, clients, patron), tout
en leur faisant perdre du temps, et votre crédibilité risque d'en prendre un
coup, ce qui serait dommage si un jour vous avez une véritable alerte à
faire passer.
Si vous recevez un canular, prévenez donc gentiment l'expéditeur de son
erreur, pour aider à enrayer la propagation de ces ennuyeux messages.
Retour au sommaire
4.1 - Je dois supprimer le fichier contenant le virus :
sulfnbk.exe, jdbgmgr.exe
Ces messages conseillent au lecteur de supprimer un fichier trouvé sur
son disque dur, car il s'agit d'un virus, puis de faire suivre l'alerte à un
maximum de personnes. Conseils qu'il ne faut en aucun cas suivre
aveuglément ! En effet, les fichiers visés par ces canulars sont inoffensifs
et leur présence est tout à fait normale sur un ordinateur équipé de
Windows. Des variantes utilisent le nom de virus réels et connus (par
exemple, jdbgmgr.exe et Bugbear) pour profiter d'une peur existante : ne
cédez pas à la psychose !
Par contre, ces fichiers restent des exécutables ordinaires, et peuvent
donc être infectés par un virus. Donc, si vous les recevez par e-mail,
prudence ! C'est peut-être un virus, véritable celui-ci, qui a infecté par
hasard ce ficher avant de vous l'envoyer.
Dans tous les cas, n'effacez jamais un fichier de votre ordinateur sans
avoir préalablement fait confirmer l'infection par un antivirus.
Si le mal est fait, vous pouvez toujours récupérer vos fichiers, soit à l'aide
du CD d'installation de Windows, soit sur un ordinateur sain utilisant la
même version de ces fichiers.
Plus de détails sur ces sites en français :
●
●
sulfnbk.exe
http://www.hoaxbuster.com/hoaxliste/hoax.php?idArticle=2863
http://www.secuser.com/hoax/2001/sulfnbkexe.htm
jdbgmgr.exe
http://www.hoaxbuster.com/hoaxliste/hoax.php?idArticle=2774
http://www.secuser.com/hoax/2002/jdbgmgrexe.htm
Retour au sommaire
4.2 - Comment reconnaître un canular
Ils sont en général simples à repérer, grâce à quelques caractéristiques
courantes, dont la présence doit vous rendre méfiant :
●
●
●
●
●
●
●
On vous demande de faire suivre l'alerte à un maximum de
personnes. Une alerte non ciblée ne peut pas être efficace.
Le virus est indétectable, même avec un antivirus à jour. Or les
éditeurs d'antivirus peuvent étudier un nouveau virus et l'intégrer à
une mise à jour de leur produit très rapidement.
Une société très connue, mais qui n'a absolument rien à voir avec les
virus, a confirmé la menace (souvent Microsoft, AOL, IBM...). On voit
même « Linux » confirmer des menaces !
Mais il n'y a aucun moyen de vérifier immédiatement la véracité de
l'information, par exemple un lien direct vers la description de la
menace sur un site spécialisé.
Il n'y a pas de date précise d'apparition, pour que l'alerte ne se périme
pas et continue à circuler des années.
L'auteur en rajoute, à grand renfort de MAJUSCULES et de points
d'exclamation !!!, sur l'urgence de la situation et les dommages,
toujours cataclysmiques et irréversibles.
Et surtout, le message apparaît sur une ou plusieurs listes de
canulars !
Retour au sommaire
4.3 - Et s'il y a une pièce jointe...
Si un fichier présenté comme un correctif, un antivirus ou même parfois
comme un lien vers un site web (l'extension .com peut être trompeuse) est
joint à l'alerte, méfiance !
Il y a de fortes chances pour que ce fichier contienne un virus ou un trojan,
même s'il semble vous être expédié par un ami ou un éditeur d'antivirus.
N'y touchez pas et effacez le message, il sera toujours temps d'aller
chercher vous-même un correctif plus sûr si le besoin s'en fait sentir.
Retour au sommaire
4.4 - J'ai reçu une astuce qui empêchera le virus de
s'envoyer : un faux contact « !0000 »
Un message circule, qui vous conseille de créer dans votre carnet
d'adresses un contact (nommé « !0000 »), sans lui attribuer d'adresse ehttp://www.lacave.net/~jokeuse/usenet/faq-fcsv.html (15 sur 36) [31/07/2003 20:28:01]
mail valide, afin de protéger vos contacts en cas d'infection par un virus.
Ce dernier ne pourra pas envoyer de mails infectés à vos contacts, et un
message d'erreur vous préviendra de la tentative.
Suivre ce conseil est inutile, voire même dangereux, à cause du faux
sentiment de sécurité qu'il procure, vous incitant à relâcher votre vigilance.
Or l'astuce est inefficace contre l'immense majorité des virus, en particulier
contre les plus récents et les plus virulents :
●
●
●
Que le contact soit affiché au début de la liste lorsque vous la triez par
ordre alphabétique ne signifie en aucun cas qu'il est au début du
fichier contenant votre carnet d'adresses, il a même probablement
simplement été ajouté à la fin. Plusieurs séries de messages infectés
peuvent donc être envoyés avant même que le virus ne tombe sur ce
fameux contact. De plus certains virus piocheront au hasard dans la
liste, ou prendront les adresses dans d'autres fichiers présents sur
votre disque dur (cache Internet, boîte de réception, ...).
Les virus récents s'envoient indépendamment du logiciel de
messagerie, qui n'aura donc aucune raison d'afficher un message. Le
virus, lui, se gardera bien de signaler prématurément sa présence par
un message si explicite !
Un virus bien conçu ne sera même pas gêné par une adresse e-mail
non valide.
Pour être prévenu en cas d'attaque virale, rien ne vaut un antivirus
maintenu à jour. Si vous craignez qu'en cas de défaillance de ce dernier,
un virus n'utilise votre liste de contacts, autant y faire figurer une de vos
propres adresses, qui ne servirait qu'à ça, et que vous n'utiliserez ni ne
communiquerez jamais. Vous aurez alors une chance de faire partie des
destinataires du virus, et d'être sûr de sa provenance. Cette astuce non
plus n'est pas infaillible, cependant.
Retour au sommaire
5 - Je reçois des mails étranges
5.1 - Le spam
Un spam est un message non sollicité envoyé en masse à des adresses
collectées sans le consentement de leur propriétaire, sur les pages web,
annuaires e-mail, groupes de discussions, etc., ou collectées sous un
prétexte innocent et détournées ensuite. Il est souvent à caractère
publicitaire, et en langue étrangère.
Si vous recevez un message que vous ne pouvez pas lire, ou qui ne vous
semble pas destiné mais fait de la pub de façon plus ou moins détournée,
et qu'il ne comporte ni pièce jointe ni code malveillant (comme par exemple
tentant de changer votre page de démarrage Internet Explorer pour celle
du site en question), alors le bon forum pour vous renseigner est
fr.usenet.abus.d, consacré aux abus du réseau, par mail ou sur Usenet.
Vous pourrez vous renseigner sur la mise en place de filtres dans votre
logiciel de messagerie sur fr.comp.mail.
Retour au sommaire
5.2 - Les usurpations
Les spammeurs, les mauvais plaisants et certains virus (Klez et Bugbear
notamment) sont capables de falsifier les entêtes des e-mails qu'ils
envoient, entre autre pour faire croire qu'ils proviennent d'une autre
personne. Si votre adresse est utilisée, c'est donc vous qui recevrez
réponses, alertes au virus et autres messages de rejet automatiques, pour
des mails qui n'émanaient pas de votre ordinateur.Si vous recevez de tels
messages, mais que votre antivirus ne vous signale aucune infection, vous
pouvez les effacer.
Retour au sommaire
5.3 - Les vrais messages infectés
Ce sont des messages contenant du code malveillant, sous forme de
script, de tentative d'exploitation d'une faille de votre logiciel de
messagerie, et/ou d'une pièce jointe pouvant contenir un virus. Un
message en texte brut sans pièce jointe ne peut donc pas être infecté.
Attention, dans certains cas il arrive que le logiciel de messagerie n'affiche
pas toutes les pièces jointes, ou que l'une de leurs extensions (la dernière)
soit masquée par Windows, faisant passer un dangereux script
readme.txt.vbs pour un inoffensif fichier texte.
Mais si vous appliquez les conseils de « Safe Hex » (voir le §3.5), n'ouvrez
jamais une pièce jointe dont la présence n'a pas été clairement
mentionnée dans le message, et dans le style habituel de l'expéditeur
apparent (et à fortiori, si lorsque vous vérifiez auprès de l'expéditeur, il dit
ne rien vous avoir envoyé !), et effacez totalement de votre messagerie
(suppression dans la corbeille, puis compression des dossiers) tous les
messages douteux, vous ne risquez pas grand-chose.
Retour au sommaire
5.4 - Comment retrouver l'expéditeur ?
Il n'est pas toujours possible de se fier au nom et à l'adresse e-mail de
l'expéditeur, qui peuvent être falsifiés. Pour savoir quels champs sont faux,
le mieux est d'aller lire une description du virus précisant quelles astuces il
utilise (ou n'utilise pas) pour se dissimuler.
Il faut ensuite étudier les entêtes du message pour trouver soit la véritable
adresse de la personne infectée, ou parfois uniquement l'adresse IP qu'elle
utilisait au moment où le virus a été envoyé.
Pour cela, la lecture des documents postés régulièrement sur le forum
fr.usenet.abus.d et l'aide de ses contributeurs vous seront d'un grand
secours. Sachez seulement qu'il n'est pas toujours possible d'identifier la
victime.
Retour au sommaire
5.5 - Comment rédiger le message destiné à prévenir
l'expéditeur ?
Vous avez l'adresse e-mail de la personne infectée, et vous voulez la
prévenir. C'est une intention louable, mais attention, pour lui apporter une
aide vraiment efficace il faut prendre quelques précautions lorsque vous
rédigez le message.
La principale étant bien sûr de vous assurer que vous n'allez pas faire peur
à un innocent à cause d'une adresse d'expéditeur falsifiée !
Pensez ensuite que cette personne n'est probablement pas encore au
courant de son infection, et ne vous a pas envoyé de message vérolé
intentionnellement. La courtoisie est donc de rigueur. Incluez toujours le
nom complet du virus que vous avez reçu, sans oublier la variante.
Quelques liens vers la description du virus et des instructions ou un outil
de désinfection seront sûrement appréciés. Mettez-les même si vous
copiez-collez des instructions demandant de supprimer un fichier, pour
permettre leur vérification et ne pas risquer de faire croire à un canular.
Évitez les correctifs en pièce jointe. Si la personne se méfie, elle l'effacera
sans l'exécuter et ira le chercher sur un site sûr. Si elle ne se méfie pas,
elle gardera le mauvais réflexe d'exécuter de tels correctifs, même lorsqu'il
s'agira en fait de malwares, comme par exemple Klez, capable de se
propager sous le titre « removal tool » et proposant de supprimer le
dangereux virus Klez...
Retour au sommaire
5.6 - Comment ne plus recevoir ces messages ?
Ne pas recevoir de virus par mail est impossible à partir du moment où
votre adresse est connue : vos parents, amis, contacts, plus les inconnus
qui liront votre page web et vos messages sur Usenet (si vous y placez
votre adresse réelle), peuvent un jour ou l'autre vous envoyer des
messages vérolés suite à une infection.
L'utilisation d'une adresse antispam, sans adresse de réponse valide, peut
aider à limiter le nombre de virus reçus de la part d'inconnus, mais
empêche également que l'on puisse vous contacter par mail sans devoir
effectuer de manipulations souvent dissuasives.
C'est un choix à faire.
La « [Mini-Faq] Les adresses antispam » de Stéphane Marchau, publiée
sur fr.usenet.reponses peut vous aider à mettre correctement en place ce
genre de protection.
Vous pouvez également utiliser des règles de filtrage, dans votre logiciel
de messagerie ou, si votre fournisseur d'accès le permet, directement sur
votre serveur de messagerie pour filtrer les messages contenant des
entêtes caractéristiques, ou utiliser un logiciel comme Mailwasher
(http://www.mailwasher.net/) pour trier les messages reçus sur le serveur
avant de les télécharger.
Certains fournisseurs d'adresses e-mail proposent également des services
antivirus : renseignez-vous auprès du vôtre.
Retour au sommaire
5.7 - Comment faire surveiller ma messagerie par mon
antivirus ?
En fait, ce n'est pas forcément une bonne idée. Outre que cela consomme
des ressources, cette protection peut causer plus d'ennuis qu'elle n'en
résout.
Pourquoi ?
Pour plusieurs raisons, la principale étant qu'avec une bonne pratique des
conseils de « Safe Hex » (voir le §3.5), cette protection n'est pas vraiment
utile, alors qu'utilisée seule, l'utilisateur prenant l'habitude de se reposer
entièrement sur son antivirus, elle peut être catastrophique. Les vers de
messagerie se répandent à une telle vitesse que même en maintenant son
antivirus à jour, on ne peut pas être sûr qu'il connaisse déjà le tout dernier
ver sorti au moment où il arrive dans votre messagerie. Si vous lui faites
trop confiance, et avez négligé les règles de « Safe Hex » telle que
l'utilisation d'une messagerie sûre, vous vous retrouverez alors infecté.
Et dans le cas où le virus est déjà connu, le moniteur vous empêchera
quand même de l'exécuter si vous cliquez par mégarde sur la pièce jointe,
même si vous ne faites pas surveiller votre messagerie. Cette surveillance
ferait donc double emploi, sans forcément mieux protéger (exception :
virus inconnu, mais tentant d'exploiter une faille du logiciel, tentative dont
certains antivirus peuvent vous prévenir... s'ils la connaissent.).
Une autre raison est que cela peut générer des problèmes
supplémentaires avec certaines versions et/ou configuration de certains
antivirus, et/ou suite à une manœuvre maladroite de l'utilisateur :
●
●
●
virus intercepté et supprimé, automatiquement ou à la demande, mais
malheureusement en même temps que tous les messages du dossier
des éléments reçus.
antivirus empêchant l'utilisateur de cliquer sur le mail infecté pour le
supprimer, ou bloquant le téléchargement des messages suivants, ce
qui oblige à le désactiver, et donc peut entraîner une infection si le
virus exploite une faille de sécurité non corrigée.
les antivirus ne peuvent parfois pas scanner tous les formats de
messageries.
Donc, si vous tenez tout de même à utiliser cette fonctionnalité de votre
antivirus, faites-le en connaissance de cause et avec une configuration
adéquate : lisez soigneusement la documentation associée dans le
manuel, l'aide en ligne et surtout sur le site de l'éditeur qui y a peut-être
ajouté des conseils de configuration limitant les risques de destruction de
données, ne négligez pas les conseils élémentaires de prudence au cas où
votre antivirus aurait une défaillance, et n'agissez pas sans réfléchir en cas
d'alerte.
Bref, respectez là encore les règles de « Safe Hex » !
Retour au sommaire
6 - On me signale que j'envoie des mails infectés par un
virus
6.1 - Ce qu'il faut faire
La seule chose à faire dans un tel cas est de s'assurer qu'un antivirus à
jour est présent sur votre ordinateur, et lui faire scanner votre disque dur,
afin de vérifier que l'alerte est fondée, d'une part, et d'identifier l'intrus avec
certitude, nom et variante, d'autre part.
Une fois le virus identifié, vous pourrez vous reporter au §8.
Les instructions de désinfection simplement copiées/collées, sans lien vers
un site web source sérieux, ou les « utilitaires » de désinfection en pièce
jointe sont à considérer avec méfiance. Il vaut mieux risquer de vexer
légèrement un ami de bonne foi, mais qui a rédigé un message d'alerte
maladroit, que d'être victime d'un virus, d'un canular ou d'un mauvais
plaisant.
Retour au sommaire
6.2 - Mon antivirus ne le trouve pas ! (Klez, Yaha,
Bugbear...)
Votre antivirus est bien à jour, fonctionne normalement mais ne trouve pas
ce fameux virus que votre correspondant signale avoir reçu de votre part ?
Il est possible que vous ne soyez effectivement pas infecté. En effet,
certains virus falsifient l'expéditeur des mails qu'ils envoient (« spoofing »),
afin d'empêcher justement que l'on puisse retrouver facilement leur victime
pour la prévenir. Sauf exception, ce n'est donc pas l'ordinateur de la
personne qui semble avoir envoyé le mail (dont l'adresse e-mail se trouve
dans le champ « from » ou dans le « Return-path ») qui est infecté, mais
bien un autre.
Allez jeter un œil à la description du virus sur quelques sites spécialisés,
peut-être cette particularité y est-elle mentionnée. Si elle l'est, tout va bien.
Exemples courants : Klez et ses variantes, Yaha/Lentin, Bugbear.
Retour au sommaire
7 - C'est un virus ?
Certains virus provoquent sur les machines infectées des effets visibles et
caractéristiques. Face à un ordinateur présentant ces symptômes, vous
êtes donc en droit d'accuser un virus, et même de l'identifier, même s'il est
prudent de confirmer ce diagnostic à l'aide d'un antivirus pour savoir quelle
est la variante qui vous a infecté, toutes ne se supprimant pas forcément
de la même manière.
Reportez-vous ensuite au §8, vous y trouverez des conseils pour
l'éradiquer.
Retour au sommaire
7.1 - Mes icônes se « sauvent » à l'approche de la souris
Il existe effectivement un virus, extrêmement destructeur, qui a cet effet :
Magistr.B. Certains programmes de « blagues » aussi, mais ils sont
inoffensifs.
Vérifiez sans attendre à l'aide d'un antivirus.
Retour au sommaire
7.2 - La page de démarrage d'Internet Explorer a changé
Il ne s'agit pas vraiment d'un virus, mais d'une faille de sécurité qui n'a pas
été corrigée dans votre Internet Explorer, et qui a été exploitée par un
message que vous avez reçu ou un site web que vous avez visité.
Mettez votre logiciel à jour en installant les mises à jour critiques de
sécurité (voir le §9.8 - WindowsUpdate ) et corrigez les modifications
apportées à votre base de registre dans la clé :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main à la
ligne « start page = ». Si vous n'êtes pas sûr de savoir le faire, n'hésitez
pas à demander.
Retour au sommaire
7.3 - Ma touche ^/¨ ne fonctionne plus, j'obtiens ^^e au
lieu de ê
Bugbear a cet effet. Le plus ancien Badtrans.B aussi.
Bugbear ayant la particularité de désactiver les antivirus les plus courants,
vous ne pourrez peut-être pas utiliser votre antivirus habituel pour vérifier.
Essayez suivant les cas un antivirus DOS ou un scanner en ligne (voir le
§9.2).
Retour au sommaire
7.4 - Mes jpeg et mp3 ont maintenant une seconde
extension .vbs
Il s'agit probablement du virus Loveletter (« ILoveYou »).
Retour au sommaire
7.5 - Mon ordinateur me demande un fichier Sirc32.exe
pour lancer une application
Ce message d'erreur est caractéristique du virus Sircam.
Retour au sommaire
7.6 - Mon firewall a bloqué...
Votre firewall vient de vous signaler avoir bloqué une tentative de
connexion. Parfait, c'est son travail. Mais cela ne veut pas forcément dire
que vous êtes infecté.
●
Votre firewall a empêché à tort la connexion du programme que vous
vouliez utiliser.
Il ne s'agit pas d'un virus, mais d'un problème dans sa configuration,
ce qui sort du cadre de cette FAQ et du forum fr.comp.securite.virus.
Jetez un œil à son manuel et reposez votre question sur le forum
approprié : fr.comp.securite.
●
●
Votre firewall a bloqué une tentative de connexion venant de
l'extérieur.
Cela ne signifie pas que vous êtes infecté, juste qu'un ordinateur mal
configuré ou infecté, ou peut-être un pirate en herbe, a tenté
d'engager un dialogue avec votre ordinateur pour une raison ou une
autre, et se l'est vu refuser. Tout va bien, il est inutile de crier au loup !
Votre firewall a empêché un programme qui vous est inconnu, ou qui
vous est connu mais qui n'avait à ce moment-là aucune raison de le
faire, d'accéder à Internet.
Il est temps de faire appel à un antivirus, un antitroyen et/ou un
antispyware, pour en avoir le cœur net. Si l'un de ces programmes
identifie le programme comme étant un malware, reportez-vous au §8
pour voir comment vous en débarrasser.
Le mieux est encore d'apprendre à mieux connaître votre firewall, sa
configuration et la signification des messages qu'il affiche, en lisant la
documentation qui lui est associée, et en consultant le forum
fr.comp.securite sur lequel les discussions concernant les firewalls sont en
thème, et plus particulièrement le message « [FAQ] fr.comp.securite : Les
Firewalls » de Stéphane Catteau qui y est posté régulièrement.
Retour au sommaire
7.7 - Mon ordinateur agit bizarrement
Aucun des symptômes précédents ne correspond à votre problème, mais
vous pensez à un virus.
Si vous pouvez accéder sans problème à Windows ou démarrer en mode
DOS, utilisez un antivirus (au besoin un antivirus DOS tel F-Prot ou un
scanner en ligne) muni des dernières définitions de virus pour scanner
votre disque dur, c'est plus efficace et plus rapide que les devinettes.
Si votre ordinateur ne démarre pas, fonctionne mal, ou émet des sons
incongrus (Lettre à Elise...), vérifiez qu'il ne s'agit pas d'un problème
matériel : carte mère qui surchauffe et déclenche une alerte sonore, choc
ayant fait bouger un composant, barrette mémoire ou processeur ayant
rendu l'âme, parfois même souris encrassée ou hors d'usage...
Il est également possible qu'il s'agisse d'un problème logiciel : programme,
OS ou driver endommagé, fausse manip lors de la configuration...
Si vous entendez des sons étranges et que vous êtes sûr de votre
matériel, vérifiez donc quels sont les programmes lancés, et si ils associent
des sons à des actions (une petite musique pour vous signaler l'arrivée
d'un message, par exemple). Certaines des publicités affichées par les
sites web comportent maintenant un accompagnement sonore.
Retour au sommaire
7.8 - J'ai le nom du fichier infecté, c'est quel virus ?
Seul un antivirus à jour peut identifier un virus avec certitude.
En effet, de nombreux virus génèrent aléatoirement des noms de fichier,
ou utilisent des fichiers existants sur la machine infectée. Certains noms de
fichiers peuvent être caractéristiques, mais il peut exister des fichiers
inoffensifs avec le même nom, ou le fichier peut être la cible d'un second
virus...
Retour au sommaire
8 - J'ai un virus/trojan/spyware sur mon disque dur,
comment m'en débarrasser ?
Ca y est, c'est sûr : votre antivirus (antitrojan, antispyware) vous signale la
présence d'un intrus sur votre ordinateur. Que faire ?
Retour au sommaire
8.1 - Pas de panique !
La première chose à faire, et la plus importante :
GARDER SON CALME !
Si vous paniquez, si vous essayez de réparer en modifiant ou effaçant des
choses sur votre ordinateur sans être sûr de ce que vous faites, vous
risquez de causer plus de dégâts que le virus lui-même, ou de ne plus
pouvoir récupérer vos données s'il était encore possible de le faire.
Commencez par vous renseigner sur le virus détecté, sur le site de votre
éditeur d'antivirus ou sur le forum, ou envoyez le fichier incriminé à un
éditeur d'antivirus (voir le §9.3), afin d'éliminer tout risque de fausse alerte,
surtout si vous venez juste de mettre votre antivirus à jour.
N'oubliez pas qu'avoir un virus sur son disque dur et être infecté sont deux
choses différentes, posez-vous quelques questions comme : Où est situé
ce fameux virus? A t'il déjà été exécuté?
Si il n'y a pas infection (vous n'avez pas ouvert le fichier infecté et il ne
s'est pas lancé automatiquement en profitant d'une faille), effacer le fichier
suspect suffit (n'oubliez pas de le supprimer de la corbeille ou
d'éventuelles sauvegardes).
Sinon, il existe sûrement une façon très simple de vous débarrasser de
l'intrus. Si elle n'est pas donnée ici ni sur la page :
http://www.lacave.net/~jokeuse/usenet/nettoyer.html, consultez les sites
des éditeurs d'anti-virus, ou posez la question sur le forum : nous sommes
là pour vous aider. Décrivez précisément le problème, en mentionnant
votre système d'exploitation, le nom de votre antivirus, la date de dernière
mise à jour des signatures, et bien sûr le nom complet du virus et l'endroit
(ou les endroits) où il est détecté.
Retour au sommaire
8.2 - Je dois réinstaller Windows ? Formater ?
Non, ce n'est que très rarement nécessaire, la plupart des virus peuvent
être supprimés de votre système très simplement et efficacement.
Si vous formatez votre disque dur, vous perdrez toutes vos données non
sauvegardées, et devrez réinstaller système d'exploitation et logiciels, ce
qui prend du temps.
Et parfois, le virus sera toujours là !
Retour au sommaire
8.3 - Je connais une solution infaillible : le fdisk /mbr
Utiliser cette « astuce » est une mauvaise idée si on ne sait pas
exactement ce qu'on fait, ni quel virus se trouve dans le « MBR », car elle
peut mener à la perte de vos données.
Le « MBR » est un petit secteur situé sur votre disque dur, qui contient un
petit programme, et des informations sur vos partitions. La commande
fdisk /mbr remplace le code du MBR et supprime donc effectivement un
virus qui pourrait s'y trouver. Mais si le virus a auparavant crypté la table
des partitions ou l'a déplacée vers un autre secteur, le code pour la
décrypter ou la retrouver, qui fait partie du virus, disparaît avec lui. Donc le
code « standard » créé par fdisk ne saura pas déchiffrer la table des
partitions, et vous n'y aurez plus accès.
Retour au sommaire
8.4 - Le virus est dans ma messagerie
Si votre antivirus signale qu'un virus se trouve dans le fichier contenant vos
messages, commencez par vous assurer que votre logiciel de messagerie
est exempt de failles en regardant sur le site de l'éditeur si des correctifs
de sécurité sont disponibles.
Vous pouvez ensuite sans crainte sélectionner le message incriminé dans
votre liste de messages, et le supprimer. Supprimez-le ensuite de la
corbeille, puis compactez ou purgez les dossiers de votre logiciel de
messagerie pour l'effacer totalement.
Si votre antivirus vous empêche de toucher au message, même pour le
supprimer, désactivez-le le temps d'effectuer l'opération. Si ni vous ni votre
logiciel de messagerie n'exécutez le virus, il n'y a aucun risque.
Jetez donc également un œil au §5.7 pour apprendre à vous passer de la
surveillance de votre messagerie et éviter ce problème à l'avenir, ou peutêtre d'autres plus graves.
Retour au sommaire
8.5 - Le virus est dans « RESTORE »
Les systèmes d'exploitation Windows ME et XP effectuent des
sauvegardes des fichiers système et de l'architecture des applications
installées sur le disque, y compris les virus, dans ce fameux dossier
RESTORE, qui est inaccessible. Les antivirus peuvent y détecter des virus,
mais pas les désinfecter.
Commencez par désactiver la fonction de restauration, puis supprimez le
répertoire. Si vous le souhaitez, vous pourrez la réactiver de la même
façon une fois l'ordinateur désinfecté.
Attention, cette manipulation supprimera tous les points de sauvegarde !
Pour n'en supprimer que certains, reportez-vous à la documentation
correspondante pour obtenir la marche à suivre.
Pour Windows ME : allez dans le panneau de configuration, option
« Système », puis « Performances », « Système de fichier »,
« Dépannage », et cliquez sur « Désactiver la restauration du système » ;
ensuite, redémarrez en mode sans échec et supprimez le répertoire.
Pour XP : Assurez-vous d'être connecté en tant qu'administrateur. Cliquez
sur « Démarrer », puis effectuez un clic droit sur « Poste de travail », et
choisissez « Propriétés ». Sur l'onglet « Restauration du système »,
cochez la case « Désactiver la Restauration du système ». Validez, et
confirmez la désactivation.
Retour au sommaire
8.6 - Il est dans une archive (zip)
Un virus ne s'activant que lorsqu'il est exécuté, vous ne risquez rien, tant
qu'il reste dans son archive.
Vous pouvez tout simplement effacer le fichier.
Retour au sommaire
8.7 - C'est un « trojan » ou un ver
Si l'intrus est un ver « simple » ou un trojan, il n'existe aucune version
« saine » du fichier le contenant, il suffit donc de l'effacer.
Si vous ne pouvez pas l'effacer parce que le fichier est utilisé par Windows,
recherchez les modifications qui ont pu être apportées à votre système
pour rendre son exécution automatique au démarrage de Windows, et
supprimez-les, puis redémarrez votre ordinateur en mode ms-dos ou sans
échec, et effacez le fichier.
Les modifications apportées peuvent être de plusieurs sortes, autoexec.bat
ou base de registre par exemple.
Vous trouverez une liste de modifications possibles ici :
http://www.lacave.net/~jokeuse/usenet/demarrage.html
Attention, n'effectuez aucune modification si vous n'êtes pas sûr de ce que
vous faites !
Dans le cas d'un ver, il existe sûrement déjà des utilitaires de désinfection
tout faits ou des instructions manuelles détaillées : allez donc jeter un œil
sur la description du virus sur un site spécialisé.
Retour au sommaire
8.8 - C'est un « spyware »
Utilisez un antispyware pour vous en débarrasser. Par exemple :
●
●
Ad-aware :
http://www.lavasoftusa.com/
Spybot :
http://spybot.eon.net.au/
Attention, certains logiciels ne fonctionneront plus sans leur espion !
Retour au sommaire
8.9 - Eicar
Eicar n'est pas un virus, mais un fichier-test utilisé pour vérifier que votre
antivirus fonctionne. Il n'est pas dangereux, et le fait qu'il soit détecté est
même plutôt bon signe !
Vous pouvez vous en débarrasser si vous le souhaitez en effaçant
simplement le fichier.
Plus de détails sur ce fichier test :
En français :
http://securite-informatique.info/virus/eicar/
En anglais :
http://www.eicar.org/anti_virus_test_file.htm
Retour au sommaire
8.10 - Bloodhound
Bloodhound est le nom du moteur heuristique de Norton Anti Virus.
Lorsqu'il vous signale un virus « Bloodhound », cela veut dire qu'il pense
avoir détecté un virus qui lui est inconnu. Il peut donc s'agir d'une fausse
alerte comme d'un virus.
Vérifiez que NAV est bien à jour. Si ça n'est pas le cas, procédez à la mise
à jour et relancez le test, le nouveau fichier de signatures élimine peut-être
la fausse alerte, ou identifie le virus si c'en est un.
Si rien ne change, vous pouvez demander un second avis en utilisant un
autre antivirus pour scanner le fichier suspect (n'oubliez pas de désactiver
le moniteur de NAV le temps de l'analyse, ni de le réactiver après. Vous
trouverez une liste d'éditeurs d'antivirus ou de scanners en ligne dans les
annexes de ce document).
Vous pouvez aussi envoyer le fichier à des éditeurs d'antivirus, pour
analyse.
Retour au sommaire
9 - Annexes
9.1 - Liste de logiciels antivirus gratuits
●
●
●
●
F-Prot (sous DOS) :
http://www.f-prot.com/f-prot/download/
Page de mode d'emploi en français :
http://claymania.com/f-prot-fr.html
Et si vous êtes sous XP ou en NTFS, utilisez-le avec :
http://www.sysinternals.com/ntw2k/freeware/ntfsdospro.shtml
AntiVir (sous Windows) :
http://www.free-av.com
Inconvénient: la MAJ remet à jour les définitions de virus ET le moteur
d'inférence (dans 80% des cas), ce qui est assez long (compter un
téléchargement de 3Mo).
Les signatures uniquement (cela ne fonctionnera pas toujours) :
http://www.avup.de/updates/personal/vdf/antivir.vdf
AVG 6 :
http://www.grisoft.com/html/us_trial.php?
Avast 32 :
http://www.avast.com/avast32.htm
Retour au sommaire
9.2 - Scanners en ligne
http://www.pandasoftware.com/activescan/activescan.asp?
http://www.secuser.com/antivirus/
http://housecall.antivirus.com/
http://fr.bitdefender.com/scan/licence.php
Vérifier un seul fichier :
http://www.kaspersky.com/remoteviruschk.html
http://www.dials.ru/english/
http://antivirus.mafia.ru
http://www.dialognauka.ru/english/www_av/home.htm
http://www.webimmune.net
Retour au sommaire
9.3 - Où envoyer un fichier douteux ?
Si vous avez un fichier qui vous semble douteux, mais que vous hésitez à
croire le résultat obtenu en l'étudiant avec votre antivirus (fichier infecté
non détecté, fausse alerte sur un fichier sain), vous pouvez le faire parvenir
à un ou plusieurs éditeurs d'antivirus, qui l'analyseront pour vous.
Envoyez votre fichier au moins à l'éditeur de l'antivirus que vous avez
utilisé sur le fichier, et demandez au moins un second avis, par prudence :
CAI (IPE), Vet :
[email protected]
Eset (NOD32) :
[email protected]
Frisk (F-Prot) :
[email protected]
F-Secure :
[email protected]
Grisoft (AVG) :
[email protected]
H+BEDV (AntiVir) : [email protected]
Kaspersky (AVP) : [email protected]
NAI (McAfee) :
[email protected]
Norman :
[email protected]
Sophos :
[email protected]
Symantec (Norton) : [email protected]
[email protected]
Trend :
Retour au sommaire
9.4 - Les sites des éditeurs d'antivirus
AVG :
http://www.grisoft.com
Command :
http://www.commandcom.com
Computer Associates : http://www.ca.com/
http://www.drsolomon.com
Dr. Solomon :
Dr. Web :
http://www.dials.ru/english/home.htm
F-Secure :
http://www.f-secure.com
KAV :
http://www.kaspersky.com
McAfee VirusScan :
http://www.mcafee.com
NAV :
http://www.symantec.com
NOD32 :
http://www.nod32.com
Panda :
http://www.pandasoftware.com
Norman :
http://www.norman.com
Sophos :
http://www.sophos.fr
Trend Micro :
http://www.trendmicro.com
Retour au sommaire
9.5 - Sites divers
Les indispensables :
Aspirine :http://aspirine.org/
Claymania : http://www.claymania.com/nav-map-fr.html
Secuser :http://www.secuser.com
Alertes, listes de virus :
Le CERT :http://www.cert.org/
VirusList : http://www.viruslist.com/
WildList :http://www.wildlist.org
La page des ressources de fr.comp.securite.virus :
http://www.lacave.net/~jokeuse/usenet/fcsv.html
La FAQ de Brina « Les virus et les messages », également postée
régulièrement sur fr.comp.securite.virus :
http://www.usenet-fr.net/fur/comp/virus.html
FAQ virus :
http://www.chez.com/faqvirus/
Web-sécu :
http://websec.arcady.fr/
La revue de la sécurité des systèmes d'information au CNRS :
http://www.cnrs.fr/Infosecu/Revue.html
Notamment les numéros 38 et 41 (fichiers .pdf à télécharger) :
http://www.cnrs.fr/Infosecu/num38.pdf
http://www.cnrs.fr/Infosecu/num41.pdf
Listes de failles de sécurité dans divers produits :
Internet Explorer :
http://www.pivx.com/larholm/unpatched/
Mozilla :
http://www.mozilla.org/projects/security/known-vulnerabilities.html
La liste de vulnérabilités du CERT (en anglais)
http://www.kb.cert.org/vuls/
Réglages importants de Windows et Outlook Express :
Configsecu :
http://mezouprod.ouvaton.org/ConfigSecu/ConfigSecu.htm
Les explications d'Aspirine sur l'importance de ces réglages :
http://www.aspirine.org/ConfigSecu/confwin.html
Comment faire ces réglages vous-même :
http://www.aspirine.org/ConfigSecu/diy.html
Testez la sécurité de votre système :
http://www.csnc.ch/onlinetests/index_e.html
http://www.gfi.com/emailsecuritytest/
https://grc.com/x/ne.dll?bh0bkyd2
http://www.pcflank.com/
Retour au sommaire
9.6 - Les listes de canulars
Attention, comme toutes les listes, celles proposées sur ces sites ne seront
pas forcément à jour au moment où vous les consulterez.
Si l'alerte que vous avez reçue n'y figure pas, ça ne veut pas forcément
dire qu'elle est vraie, elle est peut-être trop récente pour que l'entrée la
concernant ait déjà été rajoutée.
N'hésitez donc pas à repasser dans quelques jours ni à poser la question
sur le forum pour être sûr.
En français :
http://www.hoaxbuster.com/
http://www.secuser.com/hoax/index.htm
En anglais :
http://vmyths.com/
Retour au sommaire
9.7 - Outils de désinfection
Utilitaires génériques
En cas d'urgence, ces utilitaires gratuits recherchent et éliminent bon
nombre de virus. Assurez-vous de télécharger la dernière version, et lisez
soigneusement le mode d'emploi fourni pour une utilisation optimale.
●
●
●
Clrav (Kaspersky) :
Liste de virus détectés :
http://www.avp.ch/ (section «Downloads» sous le titre «Klez-Removal
Tool»)
Téléchargement direct :
ftp://ftp1.avp.ch/utils/clrav.com
Stinger (McAfee) :
Page sur le site de l'éditeur, mode d'emploi et liste de virus détectés
(en anglais) :
http://vil.nai.com/vil/stinger/
http://download.nai.com/products/mcafee-avert/stinger.exe
System cleaner (Trend Micro) :
Page sur le site de l'éditeur (en anglais) :
http://www.trendmicro.com/download/tsc.asp
Mode d'emploi (en anglais) :
http://www.trendmicro.com/ftp/products/tsc/readme.txt
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
Dernier fichier de définitions :
http://www.trendmicro.com/download/pattern.asp
Listes d'utilitaires de désinfection
●
●
●
Secuser :
http://www.secuser.com/telechargement/index.htm
La compil' de Djehuti :
http://djehutiii.free.fr/index.php?rub=9&choix=1
Les liens de la « FAQ Virus » :
http://www.chez.com/faqvirus/div_fix.html
9.8 - WindowsUpdate
Vous trouverez sur le site WindowsUpdate les mises à jour critiques de
sécurité qui rendront vos logiciels Microsoft moins périlleux.
Faites-y donc un tour régulièrement pour ne pas risquer de manquer un
correctif.
http://windowsupdate.microsoft.com/
Retour au sommaire
9.9 - Remerciements
Roland Garcia, Guillermito, Frédéric Bonroy, Djehuti, Stéphane Catteau,
Melmoth, Patator, Samuel, Maltek, Christophe, RV, ceux que j'oublie (et
les autres) pour leurs bons conseils, tous les auteurs des sites cités dans
ce document pour leur excellent travail, Noshi et Fred pour le coup de
main, etc.
Retour au sommaire
10 - Conclusion
Un maximum a été fait pour limiter les fautes d'orthographe et tendre vers
l'exhaustivité.Pour autant, l'auteur et les relecteurs ne sont pas infaillibles.
Toute correction, qu'elle porte sur la forme ou le fond, sera donc la
bienvenue, ainsi que toutes les suggestions que vous pourriez avoir. Pour
les soumettre, merci d'utiliser l'adresse de réponse à ce message.
Retour au sommaire
La page des ressources

[FAQ] fr.comp.securite.virus

Transcription

Documents pareils

Le Nouvel Observateur : Notre époque, Internet : les virus attaquent

Le coryza (maladie du chat) Le coryza, également appelé

herpes virose canine

9-1-Virus et remedes 1

HERPELYSINE : La L-LYSINE et l`Herpes Virose

Les hépatites

SCRIPIK SERVICES Dépannage et Assistance Informatique

L`herpès virus canin

Herpes félin - Birmania and Co

SmitFraudFix : Traitement des effets d`attaques de type Desktop