Contacter l'auteur / Contact the author

Recherche dans ce site / Search in this site

 

La cybercriminalité

Document anonyme adapté par T.Lombry.

Comment fonctionne un virus ? (II)

On parle de "contamination" ou "d'infection" car par analogie avec un organisme vivant, le virus informatique "infecte" votre ordinateur et se dissémine dans les fichiers, faisant de multiples copies de lui-même. Le fichier infecté ou le code exécutable qui ne fait pas partie d'un fichier de données est appelé le programme "host".

Au lancement d'un exécutable infecté ou selon une certaine procédure (après une série de commandes ou à une date convenue, par exemple un vendredi 13), sans vous prévenir le virus va s'activer et utiliser soit une commande système soit l'un des protocoles installés sur votre ordinateur (IP, FTP, SMTP, HTTP, etc) pour réaliser sa sale besogne. 

Sa première tâche va consister à se multipler en passant par vos différents disques durs, votre messagerie, le réseau ou Internet afin d'infecter d'autres disques puis d'autres ordinateurs et proliférer.

 Ensuite, localement, selon ses caractéristiques et sa virulence, il vous empêchera plus ou moins de travailler, mais il peut tout aussi bien rester inactif s'il ne trouve pas l'exécutable à contaminer pour lequel il a été programmé.

Prenons par exemple le cas du célèbre virus "Harry Potter". Le 28 juin 2007, Sophos, qui développe des solutions anti-virus, a annoncé la diffusion sur Internet du ver dénommé "W32/Hairy-A". Il se propage par e-mail et contamine les disques amovibles, dont les clés USB, grâce à la commande "autorun". Il copie sur votre disque un fichier dénommé "HarryPotter-TheDeathlyHallows.doc". 

Si vous l'ouvrez, il affiche la phrase "Harry Potter is dead". Une fois qu'il a infecté votre ordinateur, il essaye de créer d'autres utilisateurs basés sur le roman de Rowling : Harry Potter, Hermione Granger et Ron Weasley. Ensuite, chaque fois que l'utilisateur se connecte à Internet via "Internet Explorer", sa page de démarrage est redirigée vers une page du site d'Amazon.com afin de lui vendre un livre parodique intitulé "Harry Putter and the Chamber of Cheesecakes" de Timothy O'Donnell (cette page existe réellement et n'est pas infectée).

Un bon anti-virus à jour suffit à éradiquer ce virus. Pour l'avenir, je vous conseille également de désactiver la commande "autorun" sur tous les disques, et si possible de ne pas utiliser un compte administrateur qui offre aux virus tous les privilèges d'accès à votre ordinateur. A défaut, un bon anti-virus devrait vous mettre à l'abri de ce genre d'intrus. On y reviendra.

Selon une enquête menée sur 1000 PC, en 2000, la plupart des virus proliféraient sous la forme de JavaScript (0.5%), VBScript (2%), mais surtout par le courrier électronique (6%) et les macros (9%).

Selon Symantec, les Troyens sont constitués à 45% des 50 virus maliciens les plus communs ce qui représente une augmentation de 23% par rapport au premier semestre 2006. Ils estiment que les attaques à venir seront de plus en plus l'oeuvre de Troyens au détriment des vers-email.

Un virus peut également être caché derrière un lien pointant vers un soi-disant patch mais infecté comme en fit l'expérience l'encyclopédie Wikipedia en version allemande. Ce patch peut également contenir un virus botnet.

Quels sont les dangers ?

Bien sûr un virus informatique n'est pas intelligent au sens strict mais son programme se met en alerte dès qu'il a diagnostiqué la présence d'un système d'exploitation ou d'un process (service activé). Sans protection, à votre insu votre ordinateur va participer à la propagation de cette épidémie à travers le monde et subir ses désagréments.

En moyenne, un ordinateur inactif mais relié à Internet sera attaqué par une forme de virus en l'espace de quelques minutes... Certains d'entre eux sont virulents et peuvent endommager vos fichiers ou bloquer votre système d'exploitation. Une attaque virale peut s'accompagner de faux messages d'erreurs système mais tout aussi bloquant tels que "Access Denied", "Deny of Service", "File not found", "Drive not ready", "Program name is not a Win32 application", etc, ou lancer carrément des routines comme l'arrêt forcé de votre ordinateur, la suppression de vos fichiers ou un formatage de votre disque dur ! Ce sont donc des problèmes sérieux qui peuvent lourdement vous pénaliser. Heureusement, les attaques aussi violentes sont rares.

Si cela devait vous arriver, que vous n'avez pas enclenché par erreur cette procédure et s'il ne s'agit pas d'un problème mémoire ni d'alimentation, votre ordinateur est vraisemblablement infecté par un virus ! Mais pas de panique. Gardez votre sang froid car il y a une solution à tout. Vous devez néanmoins réagir rapidement car un virus virulent peut détruire beaucoup de fichiers. Heureusement ils sont assez rares. Si vous n'avez pas le temps de vous en occuper immédiatement, déconnectez votre ordinateur du réseau et si nécessaire éteignez-le jusqu'à ce que vous ayez le temps de le "nettoyer" de tout virus.

A lire : Computer Virus Resources (CERT)

Les  virus informatiques : une véritable infection !

Le macro-virus "Melissa" se propagea tellement vite le 26 mars 1999 qu'il força Microsoft et d'autres grandes sociétés à couper leurs systèmes de messagerie jusqu'à ce que la situation soit à nouveau sous contrôle.

David Lee Smith, créateur du virus "Melissa" (1999).

Son auteur, David Lee Smith du New Jersey (USA) dont on voit le portrait à droite, fut arrêté seulement 4 jours après la détection du virus. Il comparut en mai 2002 et fut condamné à 10 ans de prison et une amende de 2500$ mais il ne purga que 20 mois de prison. Smith fut appréhendé car il utilisa un macro-virus Word qu'il déposa dans un fichier sur le forum alt.sex.newsroom. Or Smith avait oublié que Word sauvegardait également des informations sur l'utilisateur. Toutes les copies contenaient donc ses données et le FBI eut vite fait de l'appréhender...

En mai 2000, le ver "LoveLetter" (qui est également un virus VBScript) signait le sujet de ses e-mails par "ILOVEYOU". Il opéra de la même manière que "Melissa" et provoqua 80% de tous les incidents répertoriés cette année là, faisant de ce virus le plus virulent de tous les temps. Il provoqua des milliards de dollars de dommages informatiques. Ce virus fut créé par Onel de Guzman, un Phillipin de 23 ans. Mais la loi anti-cybercriminalité ayant été votée après son acte, et faute de preuves, de Guzman fut libéré.

Après une attaque SQL en 2000, en janvier 2003, le ver Slammer infecta un réseau de 78000 ordinateurs en 30 minutes ! Depuis cette époque il est resté très actif.

En janvier 2004, le ver "Mydoom" infecta par e-mail 250000 ordinateurs en une seule journée !

Comment éradiquer un virus d'un ordinateur ?

Pendant une attaque, ne soyez pas étonné de recevoir par e-mail des retours automatiques de courrier vous signalant par exemple : "Notre système a détecté un virus dans votre courrier. Veuillez scanner vos fichiers". Ces messages proviennent généralement des contacts professionnels que vous avez conservé dans l'annuaire de votre messagerie (votre Address Book). Si vous n'avez sans doute rien envoyé à ces destinataires, c'est évidemment l'oeuvre malveillante d'un virus e-mail. 

Le virus ou le Troyen peut aussi vous empêcher d'accéder à Internet en bloquant l'accès à Internet Explorer ou au contraire ouvrir une multitude de sessions sur Internet. Il peut également vous empêcher de travailler en affichant régulièrement des avertissements ou des messages d'erreurs bidons. Il est tant d'agir !

Premier réflexe, commencez par vous déconnecter temporairement du réseau pour empêcher tout transfert d'information. 

Ensuite, relancer votre PC en "safe mode" (mode sans échec) en appuyant sur F8 au démarrage ou lancez l'utilitaire "msconfig.exe" et activez l'option "/saveboot" avant de rebooter le PC. Choisissez éventuellement le système d'exploitation avec les flèches et valider. Voici la procédure pour Windows XP, Windows 2000, Windows Vista et Windows 7.

Cette procédure d'urgence va vous permettre de lancer les fonctions minimales de Windows avec les pilotes de base (souris, écran, clavier, disque dur, carte vidéo en résolution VGA), le minimum de services système et sans connexion réseau. L'image ne sera pas très belle, mais au moins vous allez pouvoir travailler sans être ennuyé par le virus ou les Troyens. 

En effet, ne trouvant pas les process dont il a besoin, le virus ou le programme malicieux en général ne s'activera pas. En principe, cette solution de dépannage fonctionne dans tous les cas.

Vérifiez ensuite si vous pouvez lancer votre anti-virus et effectuer un scanning complet de tous vos disques durs (y compris externes). Si cela ne fonctionne pas (mais c'est très rare), repasser en mode normal avec la connexion Internet.

Scanner votre ordinateur à la recherche de virus avec ce virusscanner gratuit mis en ligne par Kaspersky (ne l'utilisez pas si vous utilisez déjà une solution anti-virus ou désactivez cette dernière, car elle pourrait entrer en conflit avec ce logiciel et considérer les signatures d'anti-virus comme de véritables virus...).

Si vous disposez d'un anti-virus, veillez à ce qu'il soit à jour puis lancez un scanning complet sur tous les disques de votre ordinateur. Votre programme devrait détecter tous les virus et autres Troyens et les mettre en quarantaine avant de les supprimer.

Notons qu'une mise en quarantaine qui n'est pas contrôlée par un anti-virus (par exemple après déinstallation du logiciel qui a maintenu intact le répertoire de quarantaine et ses fichiers) revient à réactiver les virus et autres Troyens. Il est donc prudent de demander la suppression des virus dès qu'ils sont mis en quarantaine.

Si ce travail d'éradication vous rebute, vous stresse ou si vous n'y parvenez pas, vous avez toujours la possibilité de déposer votre ordinateur chez un bon revendeur d'informatique ou un ami compétent. Il se fera un plaisir de supprimer tous les virus et en profitera pour installer un anti-virus efficace.

Parfois, ce travail exigera la réinstallation du système d'exploitation. Il est donc prudent de sauvegarder tous vos fichiers dans une autre partition que celle de démarrage ou de les recopier sur une clé USB ou un autre type de carte mémoire flash (microSD, etc). Déposez également ce support chez le revendeur afin qu'il soit éradiqué de tout virus éventuel. Vous devez également mettre à sa disposition vos programmes d'installation.

En effet, dans l'éventualité où le virus a contaminé les exécutables, il n'est pas toujours possible de supprimer le virus des fichiers. Dans ce cas l'exécutable infecté est supprimé par sécurité. Ce travail de remise en état peut durer une demi-journée sinon plus.

La remise en état d'un système informatique constitue une perte sèche pour l'entreprise car la procédure de récupération des données (depuis un backup généralement) peut durer plusieurs heures et représenter beaucoup d’argent.

A titre professionnel comme à titre privé vous pouvez éviter ces désagréments en installant certaines solutions dont notamment un firewall (pare-feu) ou plus simplement un logiciel anti-virus sur votre ordinateur et en n'ignorant pas les messages d'alerte qu'il affichera !

Le remède : le logiciel anti-virus

Si vous êtes agacé par les virus et autres Troyens qui attaquent votre ordinateur par Internet ou via votre messagerie ainsi que par la réception d'e-mails non sollicités (phishing et spam), il est grand temps d'installer une protection anti-virus et éventuellement anti-spam et anti-spyware efficace sur votre ordinateur.

Certains fournisseurs d'accès ou hébergeur (P&T, etc) vous proposent déjà de telles solutions pour 1 € par mois par exemple. Seul inconvénient (relatif), leur solution ne s'applique qu'en amont, sur leurs propres serveurs (messagerie, router, firewall, etc) et ne vérifie jamais l'état de votre ordinateur, jugeant que les virus ont été interceptés avant de l'atteindre. Or vous pouvez très bien recevoir une disquette ou un CD-ROM contenant un fichier infecté et le recopier sur votre disque dur ou entrer en communication avec un internaute via Web Messenger, Hotmail et autre Skype ou encore aller sur un forum et télécharger par erreur un virus. Vous êtes donc responsable de la "bonne santé" de votre ordinateur et de l'éradication des virus qu'il contiendrait. Et généralement, quand il y a un virus, il y en a d'autres...

Si vous cherchez une solution anti-virus complète et très performante (sur les fichiers, la messagerie, Internet, une défense proactive, des mises à jour), capable de scanner votre ordinateur, disposant d'une encyclopédie des virus et troyens, d'alertes, d'un forum des utilisateurs et d'un support technique rapide, Kaspersky compte parmi les meilleurs produits, le plus complet (adapté au Cloud par exemple), reconnaissant le plus de signatures virales, le plus rapidement (et pouvant évidemment les supprimer), devançant F-Secure, McAfee et Norton. Parmi les solutions gratuites citons Antivir et AVG.

Pour plus d'informations, consultez également les tests d'anti-virus effectués par Clubic en 2013 ainsi que le forum anglo-saxon alt.comp.anti-virus.

Ainsi que nous l'avons évoqué, la cybercriminalité ne concerne pas uniquement les virus ou les mouchards. Les informaticiens malveillants sont très malins voire pervers et ont mis au point des techniques parfois subtiles pour vous piéger ou vous empêcher de travailler. C'est notamment le cas des techniques de "phishing" et du "spam" sans parler du piratage face auxquels tout utilisateur d'Internet a été ou sera un jour confronté, jusqu'au jour où il décidera d'installer une protection efficace. Ce sera l'objet du prochain chapitre.

Prochain chapitre

Le phishing

Page 1 - 2 - 3 - 4 - 5 -


Back to:

HOME

Copyright & FAQ