Les virus sous Windows

Les virus sous Windows
mars 2008
ANDRIAMIHARINSTOA Tolotra Nirina
EDOUARD Jessee Michaël Christian
www.aurora-x.site.tc
Les virus sous Windows
Méthode des virus informatiques sous Windows
Une fois le programme malicieux exécuté, il s’autocopie sur le disque local la plupart du
temps sous un nom identique à celui d’un fichier important du système (svchost.exe,
lsass.exe, smss.exe, etc.) afin de tromper l’utilisateur, généralement dans l’un et/ou l’autre des
répertoires suivants :
%userprofile%\Application Data
%userprofile%\Local Settings\Application Data
%windir%\inf
Ensuite le programme va configurer Windows pour pouvoir s’exécuter à chaque démarrage
du système. Il y a plusieurs moyens d’y arriver :
-
En créant des entrées dans l’une et/ou l’autre des clés suivantes :
HKCU, Software\Microsoft\Windows\CurrentVersion\Run
HKLM, Software\Microsoft\Windows\CurrentVersion\Run
-
En s’inscrivant dans le dossier :
Démarrer > Tous les programmes > Démarrage
Des noms de fichiers typiques sont Dos Optimizer.pif, Empty.pif, …
-
En modifiant les entrées system, shell et/ou userinit de la clé :
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Les 3 trois en même temps …
Puis activer certaines restrictions logicielles à l’utilisateur courant, toujours via le registre, en
créant des entrées prévues à cet effet dans l’une et/ou l’autre des clés :
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System
Comment supprimer le virus
Vous l’aurez deviné, on ne pourra jamais supprimer un virus tant qu’il est en cours
d’exécution. Il faut donc tout d’abord l’arrêter, avec le Gestionnaire de tâches par exemples.
Mais justement, un virus assez malin ne vous laissera certainement pas exécuter ce
Gestionnaire de tâches, encore faut-il donc trouver un moyen de travailler sous Windows sans
qu’aucun virus ne soit exécuté. Et justement nous y voilà : Le moyen le plus sûr pour enlever
un virus d’un ordinateur infecté est de procéder en mode sans échec pour s’assurer que seuls
les fichiers vraiment indispensables à Windows seront chargés au démarrage du système
(c’est ce que nous dit Microsoft, mais bien sûr rien n’est infaillible !). Pour démarrer
Windows en mode sans échec, appuyez sur F8 avant que l’écran d’accueil n’apparaisse puis
dans le menu qui apparaît, choisissez ‘Mode sans échec’ (la procédure peut être légèrement
différente selon votre version de Windows …).
1
La suppression du virus de l’ordinateur se fait en 2 étapes :
-
Suppression ou modification des entrées créées (ou modifiées) par le virus
Suppression du virus proprement dit du disque local, y compris d’éventuels fichiers
créés ou modifiés par le virus.
Or la première pose déjà un problème puisque, la plupart du temps, il n’est plus possible
d’accéder au registre à causes des restrictions logicielles mises en place par le virus. Il faut
donc tout d’abord supprimer l’entrée DisableRegistryTools dans :
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System
sans passer par l’Editeur de Registre. Un moyen très simple et efficace d’y arriver est de créer
un fichier d’informations de configuration (.inf). Ouvrez donc le Bloc-notes (ou votre
éditeur de texte favori) et tapez les lignes suivantes :
[Version]
Signature="$Chicago$"
[DefaultInstall]
DelReg=Effacer
[Effacer]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
Enregistrez le tout sous un nom qui vous plaît, par exemple Fix.inf (placez-le tout simplement
sur le bureau, ne vous compliquez pas la vie).
Tant le Registre de Windows que les fichiers INF sont insensibles à la casse (c’est-à-dire que
vous n’avez pas à vous en faire des majuscules et minuscules) et en particulier, pour les
fichiers INF, vous pouvez mettre autant de blancs que vous voulez (ou pas du tout) après
chaque séparateur (notamment la virgule). Cependant, ne serait-ce que pour des raisons de
lisibilité (et pour la cohérence), il est fortement recommandé de ne pas négliger la
présentation à savoir de :
-
Faire bon usage des majuscules (CurrentVersion au lieu de currentversion,
DisableRegistryTools au lieu disableregistrytools, etc.)
Ne mettre aucun espace avant ou après le signe =
Ne mettre aucun espace avant une virgule
Mettre un espace après une virgule
Séparer les différentes sections par une ligne vierge
Eventuellement, placer des commentaires (dans un fichier INF, les commentaires sont
précédés d’un point-virgule).
Maintenant revenons à notre fichier pour expliquer le rôle de chaque ligne, que vous avez déjà
certainement deviné :
La section Version, tout comme la signature $Chicago$, est obligatoire dans tout fichier INF
standard. En fait, la signature peut être $Chicago$, $Windows NT$ ou autre selon la version
2
de Windows pour laquelle le fichier est destiné. $Chicago$, du nom de code de Windows 95 :
Chicago, permet de rendre le fichier valide pour toutes les versions de Windows supérieures à
95 (y compris les systèmes NT).
Ensuite la section DefaultInstall liste tout ce que le fichier est censé faire. DelReg signifie
que l’on veut supprimer une ou plusieurs entrées dans le registre puis on indique que la liste
effective des entrées à supprimer est disponible dans la section Effacer.
Maintenant, il ne reste plus qu’à exécuter les instructions que l’on s’est donné la peine de
taper. Pour cela, dans le menu contextuel (clic droit) du fichier, cliquez sur Installer et, ceci
étant fait, on peut désormais être sûr que l’entrée DisableRegistryTools de la clé HKCU, …
\Policies\System a bel et bien été effacée, et que l’on peut donc maintenant exécuter regedit
sans problème et supprimer à la main les autres entrées que le virus a créées. Mais puisque
nous y sommes, créons donc un fichier semblable au précédent mais plus abouti :
[Version]
Signature="$Chicago$"
[DefaultInstall]
DelReg=Effacer
[Effacer]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, DisallowRun
Certes il est à parier que ce fichier n’enlève pas toutes les restrictions mises en place par le
virus, néanmoins il a déjà l’avantage d’être plus fourni que le précédent. Et enfin, comme
nous le savons, les modifications du registre peuvent des fois ne pas être immédiatement
prises en compte par Windows, il faut donc tout d’abord dans ce cas rafraîchir le système.
On peut y arriver simplement soit :
-
En terminant le processus explorer.exe puis en l’exécutant de nouveau
Soit en fermant la session (Démarrer\Fermer la session\Fermer la session) puis rouvrir
de nouveau.
Editez donc à présent le registre et quand vous aurez terminé, il ne reste plus qu’à supprimer
le virus de votre disque (Si le virus s’est fait plusieurs copies de lui-même comme dans le cas
des virus Kuco ou Brontok, faites simplement une recherche de tous les exe puis supprimez
tous ce que vous reconnaissez en tant que tel). Seulement, c’est que ces fichiers sont
généralement des fichiers cachés dans dossiers cachés donc avant d’aller le chercher il faut
tout d’abord activer l’option Afficher les fichiers et dossiers cachés et désactiver l’option
Masquer les fichiers protégés du système d’exploitation dans le menu Option des dossiers
du menu Outils de l’Explorateur Windows, onglet Affichage.
Comment le virus s’est-il introduit dans mon ordinateur ?
Comme nous le savons très bien, les virus se propagent le plus souvent soit par mail soit par
support amovible (Flash disk, etc.). Dans le second cas, le programme malveillant se présente
3
dans bien des cas sous l’apparence d’un dossier ou une autre forme à laquelle un utilisateur
non averti s’attendrait peu. L’exécution du virus se fait alors grâce à l’intervention de
l’utilisateur lui-même, ce dernier l’ayant pris pour un dossier ...
Cependant la méthode la plus redoutable qui permet à un programme malveillant de
s’exécuter, et ce à l’insu de l’utilisateur, se fait grâce à un fichier INF spécial, le fichier
autorun.inf, présent également dans les CDs auto exécutables. En effet le but de fichier est de
permettre de créer un menu personnalisé pour un CD ou disque amovible et donc de pouvoir
faire entre autres exécuter un programme chaque fois que l’utilisateur ouvre (double clique) le
disque. Voici à quoi peut ressembler un fichier autorun.
[Autorun]
ShellExecute=malveillant.exe
Icon=icone001.ico
Label=Ce Flash Disk contient un programme malveillant
Et bien sûr, aucune des clés ShellExecute, Icon ou Label n’est indispensable. Et voilà, ces
fichiers ne sont donc plus un mystère pour vous. Reste quand même une dernière chose :
comment créer un menu contextuel personnalisé avec autorun.inf. Et bien, vous l’avez encore
certainement deviné : la structure est rigoureusement la même que celle qui est utilisée dans le
Registre. Rien de meilleur qu’un bon exemple pour y voir plus clair, ajoutons deux nouveaux
menus dans notre menu contextuel :
[Autorun]
shell\perso1=Mon menu perso 1
shell\perso1\command=truc.exe
shell\perso2=Mon menu perso 2
shell\perso2\command=machin.exe
Et oui vous l’avez encore deviné, vous pouvez omettre les lignes shell\perso1=Mon menu
perso 1 et shell\perso2=Mon menu perso 2 si vous voulez tout simplement afficher ‘perso1’
et ‘perso2’ au lieu de ‘Mon menu perso 1’ et ‘Mon menu perso 2’. Vous pouvez aussi ajouter
une ligne
shell=perso2
par exemple pour spécifier que le menu par défaut est perso2 (et non plus ouvrir …).
Et bien sûr vous pouvez, tout comme avec le registre, modifier les menus canoniques de
Windows open (ouvrir) ou explore (explorer) par exemple comme bon vous souhaitez.
4