Virus
généralités et protection
Fléau majeur de l'informatique, les virus sont
aussi présents sur internet. Qu'ils s'attaquent au secteur d'amorce de vos disques, aux
fichiers exécutables ou aux documents incluant des macros, leur but est toujours le même
:
proliférer en cachette, se faire subitement remarquer, puis souvent détruire vos
données. La meilleure protection reste la prévention : méfiez-vous des disquettes
introduites dans des ordinateurs peu sûrs, et des fichiers douteux téléchargeables sur
internet ou reçus en pièce jointe d'un courrier. Et même s'il existe quelques astuces
pour s'en sortir tout seul, un bon antivirus est plus que recommandé...
Les virus sont un fléau majeur de l'informatique, et pas seulement sur internet : un
simple échange de disquettes entre copains peut contaminer votre disque dur, sans même
éveiller vos soupçons. Car la bestiole est souvent rusée. Autopsie.
/images/space.gif){kind=small}
Qu'est-ce qu'un virus?
Un virus est un petit programme conçu pour se cacher dans votre ordinateur, puis se
multiplier, se répandre de par le monde et enfin déclencher une action (message,
destruction, petite musique, etc.). On dénombre plusieurs catégories de virus, en
fonction de la cible visée dans l'ordinateur.
Les différentes familles de virus
La première catégorie regroupe les virus de secteur d'amorce (= virus de
"boot sector", c'est-à-dire affectant la zone du disque qui est lue en premier
au démarrage) tels que Form, jack the ripper, french boot, parity boot... Ces virus
remplacent le secteur d'amorce du disque infecté par une copie d'eux-mêmes, puis
déplacent le secteur original vers une autre portion du disque. Le virus est ainsi
chargé en mémoire bien avant que l'utilisateur ou un logiciel ne prenne le contrôle de
l'ordinateur.
Les virus d'applications infectent les fichiers exécutables, c'est-à-dire les
programmes (.exe, .com ou .sys). Pour simplifier, disons que le virus remplace l'amorce du
fichier, de manière à ce qu'il soit exécuté avant le programme infecté, puis il lui
rend la main, camouflant ainsi son exécution aux yeux de l'utilisateur.
Les virus macro sont des virus qui infectent uniquement des documents (Word,
Excel...), en utilisant le langage Visual Basic pour Application. Ces virus se propagent
actuellement dans de fortes proportions et peuvent malheureusement causer de grands
dégâts (formatage du disque dur par exemple).
Enfin, il y a les virus de mail, également appelés vers.
Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se
répandre à grande vitesse, en s'auto-envoyant à tout ou partie des personnes
présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de
messagerie, mais ils peuvent également avoir des actions destructrives pour les
ordinateurs contaminés.
A noter que certains virus sont des virus polymorphes. A chaque fois que l'un d'eux
infecte un fichier, il se crypte différemment. Résultat, il faut que l'antivirus analyse
la technique d'encryptage de chaque virus pour déceler, dans les fichiers contaminés,
une sorte de "manie" caractéristique, une constante.
Il ne faut pas confondre les virus avec les troyens ou les emails bombs.
Contrairement à son cousin le virus, qui profite de toute occasion pour se multiplier, le
troyen véritable ne se reproduit pas (pour plus d'informations, consultez le dossier Secuser News sur les troyens). Par
ailleurs, contrairement aux rumeurs qui courent régulièrement notamment sur les forums
de discussion, il n'existe pas de virus transmissible par email capable d'infecter votre
ordinateur à la simple lecture du message : vous ne prenez un risque que lorsque vous
ouvrez une pièce jointe, car effectivement elle peut contenir un virus. Pour plus de
renseignements, un prochain dossier de Secuser News sera consacré au mailbombing.
Fonctionnement d'un virus
Quel que soit le type de virus, aucun ne contamine - pour l'instant - les fichiers
compressés. Cela ne garantit pas qu'un fichier compressé soit exempt de virus : il peut
très bien avoir été infecté avant compression, et se révélera donc dangereux une
fois décompressé.
Pour bien comprendre le mode de fonctionnement d'un virus, il faut se souvenir de
l'analogie avec le virus biologique. Comme lui, le virus informatique essaie de contaminer
tout ce qu'il peut, de se dissimuler aux yeux de l'organisme infecté, et de se répandre
le plus largement possible. Les virus infectent un maximum de fichiers puisqu'ils
demeurent en mémoire dès le démarrage de l'ordinateur. Ils interceptent les commandes
du Bios, et agissent ainsi selon leur humeur...
Règles générales de protection
La prévention paie toujours. Quelques règles simples peuvent être appliquées :
- ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être proposés sur des sites FTP ou des chats eux-mêmes plus ou moins douteux;
- méfiez-vous de certains fichiers joints aux messages que vous recevez : préférez détruire un mail douteux (expéditeur inconnu, etc.), plutôt que d'infecter votre machine;
- fuyez les disquettes d'origine douteuse (ou ayant transité dans des lieux publics vulnérables comme les salles de cours ou TP des écoles ou universités), et protégez les vôtres en écriture;
- créez dès maintenant, si ce n'est pas déjà fait, une disquette de boot saine contenant un antivirus (la plupart des antivirus le proposent);
- procédez régulièrement à des sauvegardes du contenu important de votre disque dur après avoir vérifié l'absence de virus : cela peut paraître fastidieux, mais en cas d'infection (ou même simplement en cas de crash de disque dur), ça vous sauvera la mise...
- tenez-vous au courant des apparitions de nouveaux virus. Secuser News vous offre ce service en émettant des "alertes contamination" lorsqu'un virus connaît une diffusion importante. Les informations (nom du virus, mode de transmission connu, etc.) sont alors consultables en ligne dans l'édition du jour, ou par abonnement gratuit à la lettre de Secuser News. Connaître l'existence du virus, c'est déjà le tuer à moitié...
En complément de ces règles de prévention,
la meilleure protection - et le principal remède
en cas de contamination - consiste à installer un
antivirus (certains, comme InoculateIT
Personal Edition, sont gratuits). Une solution
qui reste toute relative, car aucun produit ne détecte
100% des virus, 100% du temps : d'où l'importance
de la prévention. Par ailleurs, de nouveaux virus
apparaissant chaque jour, il faut veiller à régulièrement
actualiser la base de données virales du logiciel
: la plupart des éditeurs proposent une mise à jour
au minimum mensuelle, mais pas toujours gratuite...
Comment savoir si mon ordinateur est contaminé
?
Tout comme les troyens, les virus sont le plus souvent
repérés trop tard, par les conséquences potentiellement
désastreuses de leur activité : affichage de messages
intempestifs, émission de sons ou de musiques inattendus,
mais aussi plantage de l'ordinateur, formatage du
disque dur, etc.
Pourtant, de nombreux indices peuvent mettre la
puce à l'oreille de l'internaute vigilant : mémoire
système disponible inférieure à ce qu'elle devrait
être, changement du nom de volume d'un disque, programmes
ou fichiers subitement absents, apparition de programmes
ou de fichiers inconnus, ou encore comportement
anormal de certains programmes ou fichiers.
Si vous êtes sous Windows 95 ou 98 et que vous avez
un doute sur votre micro, vous pouvez vérifier vous-même
le niveau de la mémoire système : ouvrez une fenêtre
DOS, tapez la commande CHKDSK puis la touche Entrée,
et examinez le contenu des informations listées.
Un message semblable au texte suivant devrait apparaître,
avec cependant les caractéristiques propres à votre
machine (nom de volume, espace disque, etc.) :
Le numéro de série du volume est 1827-00E6
446 190 080 octets d'espace disque total
862 758 400 octets disponibles sur le disque
4 096 octets dans chaque unité d'allocation
841 355 unités d'allocation sur le disque
454 775 unités d'allocation disponibles sur le disque
655 360 octets de mémoire totale
590 528 octets libres
Au lieu d'utiliser CHKDSK, essayez la commande SCANDISK.
SCANDISK peut détecter et corriger un plus grand
éventail de problèmes de disque.
Normalement vous devriez avoir 655 360 octets de
mémoire totale. Ce test n'est malheureusement
pas sûr à 100 %, mais si le chiffre est différent
sur une configuration standard, cela sent le virus
de boot...
Que faire en cas de contamination ?
La solution la plus simple reste de vous procurer
un logiciel antivirus. La plupart propose une procédure
permettant de désinfecter le contenu du disque avant
d'installer le logiciel, mais le mieux est d'installer
l'antivirus avant toute contamination afin de bénéficier
de l'ensemble de ses fonctionnalités (surveillance
des transferts de fichiers ou de l'accès aux fichiers
sensibles, inoculation des fichiers pour repérer
tout changement de taille suspect, etc.).
Vous pouvez également utiliser le service gratuit
HouseCall
de l'éditeur Trend pour procéder immédiatement à
l'analyse ainsi qu'à l'éradication de virus éventuellement
présents sur vos disques.
Pour ceux qui sont très à l'aise au niveau
technique
En cas de contamination par un virus de boot ou
un virus de fichier :
1-Si votre machine n'est pas configurée en multi-boot,
allez sous DOS et entrez fdisk/mbr pour supprimer
le Master Boot Record (= secteur d'amorce du PC,
automatiquement régénéré au prochain démarrage);
2-Eteignez l'ordinateur (pas reset ni redémarrage);
3-Démarrez à partir d'une disquette de boot saine,
protégée en écriture, et contenant un antivirus;
4-Lancez l'antivirus (le reste dépend de l'antivirus).
Pour les virus macro, je conseille de rechercher
le fichier normal.dot et de le supprimer, puis ensuite
de détruire tous vos documents. Cette méthode supprime
les virus macro définitivement, mais aussi malheureusement
votre travail. Une solution consiste à utiliser
un "bloqueur" lorsque vous chargez un
document inconnu : ce type de programme empêche
le transfert de nouveaux virus dans vos autres documents.
Essayez donc Stealth Protect : en plus, il est gratuit
(youpi).
Déjà vu
Certains virus ne font qu'effacer la partition,
ce qui fait que l'utilisateur débutant (ou le technicien
incompétent ou malhonnête) n'arrive plus à reformater
son disque dur et par conséquent le change, alors
qu'il suffit d'exécuter la commande fdisk (avec
une disquette de boot saine) et de recréer une partition.
Attention cependant : si vous êtes un complet débutant,
faites-vous aider par un ami ou un collègue plus
expérimenté, sans quoi vous risqueriez de faire
pire que le virus...
