Chez Kakie - Sécurité

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

Vous trouverez ici tout ce qui concerne la sécurité de votre PC : les dangers qui le guettent, la façon de le protéger et aussi comment éradiquer trojans, virus et espions.

J'ai mis en vrac un certain nombre de posts qu'il me reste à mettre en forme, ce que je ferai prochainement. Pour l'instant, cette page n'en est qu'au stade de la conception, mais vous pouvez en lire quelques extraits. C'est un domain complexe et ardu mais ne paniquez pas : vous assimilez le vocabulaire progressivement. 

Pour l'instant retenez qu'il existe 3 grands types de menaces :

• le trojan
• le virus et le ver de messagerie
• l'espiogiciel (programme espion)

Et que bien protéger son PC c'est installer :

• un pare-feu pour fermer les "portes" de son PC aux pirates.
• un antivirus que l'on mettra à jour régulièrement.
• des outils tels que Ad-aware, Spybot, a² etc... pour détecter et éradiquer les malwares.
• les patchs de sécurité diffusés par Microsoft pour colmater les failles de sécurité et mettre à jour son système.

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

Vous trouverez ci-après quelques généralités, un bref historique, des définitions et aussi quelques questions/réponses. Le sujet est tellement vaste qu'il est impossible de traiter le sujet de façon exhaustive. De nombreux sites sont entièrement consacrés à la sécurité et je vous invite à les consulter.

Se connecter sur le réseau mondial présente certains dangers (c'est un vrai bouillon de culture !!!!!) et en voici une liste (non exhaustive) :

- Virus (provocant la plupart du temps un simple agacement mais parfois aussi des dommages pouvant aller jusqu’à la destruction totale de vos fichiers)
- Tentative d’intrusion par un hacker (cheval de Troie)
- Vol et utilisation de vos données personnelles (mots de passe, coordonnées bancaires, etc…)
- Espionnage de votre navigation sur le net (sites visités, saisie faite au clavier, etc…) et phishing
- Pollution de votre boîte de messagerie (spam).

La sécurité informatique a coûté plus de 10 milliards de dollars en 2003 rien qu’aux USA..

Les outils

A conserver sur une disquette : stinger

Les outils anti bestioles indispensables à installer sur son PC et à utiliser régulièrement :

- A² 
- Ad-aware
- Spybot search&destroy
- Microsoft Antispyware

Et bien entendu, il convient d'installer un antivirus ainsi qu'un pare-feu (=firewall)

 Attachons-nous aux virus pour l’instant, les intrusions, quant à elles, feront l’objet d’un autre post quand je vous parlerai du firewall (pare-feu).

Les symptômes de la maladie (dommages et perturbations occasionnés par les virus)

Cela peut aller du simple message (ou image) qui va apparaître à l’écran jusqu’à la suppression de vos fichiers et, plus rare il est vrai, à la destruction totale de votre disque dur. Tout dépend du virus.

Quelques exemples de dégâts par ordre croissant :
- affichage de messages intempestifs, d’avertissements, de messages d’erreur inattendus, petite mélodie irritante, lettres du texte que vous êtes en train de saisir qui tombent en bas de votre écran, ambulance qui traverse l’écran, etc.
- ralentissement général de votre PC
- plantage de la machine
- saturation des boîtes de messagerie (ver qui se copie et se diffuse ensuite à tout le carnet d’adresses)
- cryptage de vos documents ou mots de passe empêchant l’accès à vos données
- connexions payantes à votre insu sur des sites payants (la note sera pour vous !)
- collecte de vos données confidentielles
- modifications de vos fichiers
- suppression partielle ou totale des données du disque dur (suppression des fichiers ou reformatage)
- dégradation « physique » de votre PC par écrasement des données du BIOS

Je ne vais pas refaire tout l’historique des virus depuis leur apparition mais, néanmoins, et pour l’anecdote, vous donner quelques exemples des effets des virus qui ont fait parler d’eux récemment (et par la même occasion de leurs auteurs qui doivent se frotter les mains de faire la une des magazines, des journaux internationaux et du journal télévisé).

2003 : Sobig a fait des ravages dans le monde entier faisant perdre des milliards de dollars
Pour connaître la petite histoire de Blaster et de Sobig, ces virus qui ont fait l’actualité du mois d’août 2003, cliquez ici :
http://www.linternaute.com/0redac_actu/030.../25_virii.shtml

Mimail.I :
il s’activait en ouvrant une pièce jointe et récupérait vos informations bancaires pour les envoyer à tous les correspondants de votre carnet d’adresses.

Bugbear.B :
il s’activait en ouvrant une pièce jointe à un e-mail, désactivait antivirus et firewall, enregistrait les frappes au clavier, infectait les programmes installés sur le PC contaminé et s’envoyait à toutes les adresses e-mail trouvées sur le PC infecté, contaminant ainsi d’autres PC.

Mydoom est un cas à part puisqu’il s’agissait d’utiliser les PC du monde entier pour faire « tomber » les serveurs de Bill Gates. Après avoir collecté des adresses e-mails, MyDoom installait, via une porte dérobée, le ver Zindos. Ce ver était chargé de lancer des requêtes à répétition sur les serveurs de MicroSoft et provoquer la saturation du site de MicroSoft.
Il se présentait sous la forme d’un e-mail en anglais dont le sujet et le corps du message étaient variables. La pièce jointe à l’e-mail était en général un fichier .zip, qui contenait un fichier à extension .bat, .exe, .pif, .scr, ou .cmd. (double extension)
La 2ème forme du virus était un fichier au nom accrocheur qui se mettait dans les partages de fichiers P2P (Emule, Kazaa etc…). Il installait une porte dérobée (backdoor) pour lancer une attaque par déni de service (DDoS) à partir du 1er février 2004

Sasser.Worm, un des tous derniers virus, se propage via le réseau. Si un PC connecté à Internet n’est pas à jour dans ses correctifs ni protégé par un firewall bien configuré, Sasser l’infecte via le port 445 en utilisant la faille LSASS de Windows
Ce virus provoque le téléchargement du fichier AVSERVE.EXE dans le répertoire Windows via le port 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois le PC infecté, le virus se copie dans le répertoire Système sous des noms variables : [nombre aléatoire]_up.exe. Il modifie la base de registres pour s'exécuter à chaque démarrage, puis balaye le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE, et un redémarrage automatique du système.

NetSky est un virus qui se propage par e-mail et via les répertoires partagés. Il se présente sous la forme d'un message dont le titre et le corps sont aléatoires, avec un fichier joint (entre 24 et 28 Ko) dont l'extension est .COM, .EXE, .PIF, .SCR ou .ZIP. Si ce fichier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses ainsi que divers autres fichiers du disque dur. Il tente le cas échéant de se propager via Kazaa et les répertoires mis en partage en s'y copiant sous divers noms aguicheurs.
Il peut aussi se mettre à jouer quelques bips avec le haut parleur de la machine qui a été infectée.

Un des derniers à faire parler de lui s’appelle Kogo.worm.
Sa cible est les PC vulnérables à la faille LSASS. Si le PC n’est pas à jour dans ses correctifs, Korgo l’infecte via le port 445 sans aucune intervention de son utilisateur. Il scanne ensuite le réseau à la recherche de nouveaux PC vulnérables et ouvre une porte dérobée au niveaux des ports 113, 2041 et 3067 permettant à une personne malveillante de prendre le contrôle à distance du PC contaminé.

Le sujet vous intéresse ? Encore un peu de lecture ?
Alors faites un clic ici :
http://www.vnunet.fr/actu/article.htm?nume...date=2004-08-02
http://www.vnunet.fr/actu/article.htm?nume...date=2004-03-04


Qui peut être victime d’une infection virale ?

Tout le monde malheureusement mais plus particulièrement :
- les internautes connectés en ADSL illimité
- les curieux qui téléchargent et installent tout et n’importe quoi sur leur PC, notamment des programmes d'origine douteuse trouvés sur des site "tout gratuit", des copies piratées, des cracks, etc.
- les naïfs qui pensent avoir gagné un million d’€ ou qui sont alléchés par un message publicitaire et qui ouvrent des messages dont ils ne connaissent ni l’expéditeur ni l’origine
- les intrépides qui ouvrent les pièces jointes sans les scanner au préalable
- les internautes qui surfent sur des sites douteux : porno, underground, sites des crackers, etc… parfois sans même le savoir (à ce propos, j'ai constaté que ce genre de site utilisait toujours des fonds noirs, des polices d'écriture en rouge donc… s'il y a du noir et du rouge soyez prudents)
- les insouciants qui n’ont pas d’antivirus, pas de firewall, ne font pas les mises à jour de leur OS
- les aventureux qui téléchargent des fichiers sur des réseaux de partage (P2P : Kazaa et consorts)
- ceux qui installent des programmes provenant de CD-Rom dont l'origine n'est pas connue
- ceux qui ouvrent des documents Office et activent les macros

… et la liste est loin d’être complète !

Mais tout dépend aussi de l’OS et des logiciels utilisés et les OS de Bilou sont particulièrement vulnérables comparés aux systèmes tournant sur Mac ou avec Linux.

Tout dépend aussi du navigateur et là encore IE remporte la palme des attaques en tous genres à l’inverse d’autres navigateurs comme Opera, Mozilla, Netscape, etc.

Au niveau de mon entreprise et, malgré un extrême vigilance et la mise en place de moyens énormes en personnel, matériels et logiciels, ce sont plus de 400 000 vers qui ont été interceptés pendant le premier semestre 2004 et nous jouons à cache-cache avec Sasser sans parvenir à le supprimer totalement. C’est dire si la tâche est ardue !


Quelques précisions complémentaires

Les virus d’e-mail :
il n’est pas forcément nécessaire de cliquer sur la pièce jointe pour être infecté. Le message lui même peut contenir un code « malicieux ». Les messages vous parviennent en format HTML avec parfois des couleurs, des gifs, des liens, etc… Or il est facile d’insérer quelques lignes de code ou un programme dans ce fichier HTML. La simple ouverture du message déclenchera son activation.

Vos surfs :
les sites que vous visitez peuvent contenir des programmes ActiveX ou Javascript qui, à votre insu, peuvent copier des programmes dangereux pour votre PC.

Il en est de même du téléchargement et de l’installation de certains programmes.


Qui sont les auteurs des virus et pourquoi s’amusent-ils à développer ce genre de programmes ?

Bonne question !

On se demande ce que cela peut bien rapporter à leurs auteurs qui restent la plupart du temps anonymes, si ce n’est la reconnaissance, la popularité, la publicité donnée à leur "exploit", c'est à dire faire indirectement parler d'eux au journal télévisé, à la radio, dans la presse. Je les considère un peu comme des terroristes (je rappelle que tout ce que j'écris n'engage que moi !) et je trouve regrettable qu'au lieu de mettre leur talent au service de la communauté virtuelle, ils s’emploient à empoisonner la vie des pauvres internautes que nous sommes. Je n'ai aucune compétence en psychologie mais je suppose que, outre la reconnaissance médiatique, ces "héros" d'un genre douteux agissent par jeu, par défi, par provocation, par goût du risque et leurs auteurs (ils ont tous entre 15 et 35 ans) trouvent sans doute du plaisir à laisser leurs traces, un peu comme les tagueurs qui salissent les murs de nos villes.


Comment se protéger ?

Tout d’abord par la prévention : se protéger est la première chose à faire et le mieux est d’installer un antivirus car dès que le virus a réussi à pénétrer sur votre PC, il est souvent déjà trop tard ! ! ! ! !
Soyez vigilants en permanence, car l’installation d’un antivirus ne suffit pas à vous mettre à l’abri d’une éventuelle infection.
Faites des sauvegardes régulières de vos fichiers importants.
Créez des points de restauration régulièrement (vous pouvez les appeler « système sans virus » par exemple)
Soyez excessivement prudents avec les pièces jointes reçues : les passer systématiquement à l’antivirus avant de les ouvrir et surtout vérifiez leur extension : la plupart des virus se cachent dans des fichiers portant une double extension.
Ne surfez pas sur des sites « douteux » ni sur ceux pour lesquels il faut télécharger des plug-in.

Faites attention à ce que vous téléchargez : n’allez que sur des sites réputés pour leur sérieux (pour info : je vais uniquement sur telecharger.com, touslesdrivers.com ou sur le site des éditeurs et n’ai jamais eu de problème).
Désactivez les macros de Word, Excel, Publisher.
Mettez à jour votre système régulièrement car de nombreux virus exploitent les failles de sécurité de Windows, IE, OE, Office, Windows Media Player, etc. (en fait, c’est toujours les programmes de Bilou ! ! !) Ces failles ont été découvertes, grâce aux hackers et des patchs sont mis à disposition de internautes, mais peu les installent !!!!
Documentez-vous, tenez-vous au courant, abonnez-vous à la lettre de secuser (service gratuit) et consultez les sites qui parlent de sécurité.


Se protéger :

- des virus : installez un antivirus et mettez le à jour régulièrement. N'ouvrez pas les pièces jointes suspectes ou dont vous ne connaissez pas l'expéditeur. Vérifiez leur extension et faites-les analyser par votre antivirus avant de les ouvrir.
- des vers : un anti-virus même à jour ne suffira pas à supprimer un ver. L’installation d’un pare-feu est nécessaire pour surveiller les données entrantes et sortantes de votre PC.
- des troyens : ne téléchargez jamais de programmes sur des sites personnels (allez chez les éditeurs). Installez un antivirus ainsi qu’un firewall pour empêcher les intrusions.


Qu’est-ce qu’un antivirus ?

Il s’agit d’un logiciel (= programme) qui permet de protéger votre PC contre les virus, mais également et de plus en plus contre d’autres malwares.
Ce programme se compose principalement
- d’un moteur d’analyse
- d’une base de signatures

L’analyse heuristique : méthode de recherche permettant de détecter des virus alors qu’ils ne sont pas encore référencés par les éditeurs d'antivirus.


Comment fonctionne un antivirus ?

Il s’appuie sur une base de signature pour détecter la présence d’un virus dans un fichier. A cela s’ajoute souvent une analyse heuristique comportementale qui permet de détecter les actions dangereuses telle que l’effacement du disque dur, la modification du secteur de boot, le partitionnement du disque, etc.

Chaque virus laisse une trace caractéristique, une marque. C’est cette trace ce que l’on appelle signature. Dès que cette signature est repérée par l’antivirus, celui-ci envoie une signalisation. La collecte de toutes les signatures constitue ce que l’on appelle les définitions de virus (c’est un catalogue en quelque sorte)
Ces définitions de virus sont utilisées par tous les antivirus vendus dans le commerce excepté Viguard qui se base uniquement sur une analyse comportementale (http://www.viguard.com/fr/intro_fr.php)

Il faut cependant savoir que ce n’est qu’après la découverte d’un virus que l’on peut le disséquer, l’examiner et déterminer sa signature et donc ensuite l’inclure dans les définitions de virus des logiciels existants (d’où les mises à jour des signatures qu’il convient de faire impérativement et régulièrement)


(Petit rappel)
Signature : c’est une suite d’octets (= chaîne de caractères, pour faire simple) caractéristique d’un virus et de lui seul. Chaque virus a sa propre signature. Cette séquence d’octets doit être précise pour qu’il n’y ait pas de confusion avec une signature déjà existante et surtout que ce ne soit pas une séquence que l’on trouve dans un autre programme. Elle doit également ne pas être trop longue sinon le moteur d’analyse prendra trop de temps à scanner votre disque dur.
La base de signature est un catalogue de toutes les signatures


Mais comment ça se passe exactement ?

Le moteur d’analyse va comparer chaque portion du premier fichier de votre disque dur avec la première signature de sa base de signature. S’il trouve une équivalence, c’est que le fichier est infecté.
Il faut savoir que pour ce même fichier, la procédure est répétée autant de fois qu’il y a de signatures (environ 70 000 fois pour la dernière version de Norton) et que tous les fichiers de votre disque dur subiront le même sort, à savoir le passage de TOUS vos fichiers 70 000 fois.
Même avec un processeur rapide, vous comprenez maintenant pourquoi un scan complet du disque dur peut durer un certain temps.


C’est quoi l’analyse heuristique ?

C’est la notion la plus compliquée à expliquer c’est pourquoi je vais me servir d’un exemple.
Supposons qu’un hacker diffuse un nouveau virus ce soir (le virus zigzag) et que votre PC soit contaminé. Votre antivirus va être, en théorie, incapable de le détecter puisque qu’il s’agit d’un virus encore inconnu et que sa base de signatures ne comprend pas encore la signature de zigzag. (Il faut donner le temps aux éditeurs d’antivirus d’examiner ce nouveau spécimen, de lui trouver une signature unique et caractéristique et surtout de l’intégrer dans la base de définitions virales existante et donc mise à jour, celle que vous téléchargerez via l’update).
En fait, cela se passe un peu différemment, et il est fort probable que zigzag soit quand même détecté grâce à ce que l’on nomme « l’analyse heuristique »
Cette méthode permet de détecter les virus inconnus en analysant le code du fichier douteux (document ou programme) fraîchement arrivé sur votre PC et dans notre exemple, déterminer si zigzag peut avoir des actions « suspectes ». Pour cela, le code de zigzag va être comparé à l’ensemble des codes des signatures existantes pour tenter d’y détecter une similitude (c’est une recherche « intelligente »).

Que faire dans un tel cas ? Soyez prudents. Il peut s’agir d’une fausse alerte mais il se peut aussi que zigzag soit effectivement un virus. Mettez le fichier potentiellement infecté en quarantaine et attendez quelques jours pour connaître la véritable « identité » de zigzag. Renseignez-vous, et dans le cas d’un virus, attendez que sa signature soit disponible, mettez à jour votre antivirus et relancez l’analyse. S'il s'agissait bien d'un nouveau virus, il sera alors être détecté sous son nom.

Je suppose que l’analyse heuristique s’est développée en raison de l’apparition des virus polymorphes, ces virus qui changent de signature à chaque réplication.
Si le sujet vous passionne vous pourrez approfondir le sujet ici : http://www.viguard.com/fr/maj_fr_2.php


Faut-il installer un antivirus ?

Nous avons déjà abordé cette question dans un autre post. De la même façon que certains coupent le gaz et l’eau avant de partir en vacances et d’autres jamais, que certains vérifient régulièrement le niveau d’huile de leur véhicule et que d’autres ne savent même pas où se trouve la jauge, je ne peux donc pas vous imposer une conduite à observer. Certaines personnes aiment vivre dangereusement et c’est vrai que cela met du piment dans la vie. Donc, tout dépend de vous et de l’utilisation que vous faites d’Internet, mais je trouve un peu stupide de ne pas prendre de précautions alors qu’il existe des antivirus gratuits même s’ils sont imparfaits.


Que faut-il choisir comme antivirus ?

Là encore, je ne peux faire un recensement exhaustif de tous les éditeurs et des performances de leurs produits. Vous trouverez des tests comparatifs dans bon nombre de revues. Il existe une féroce concurrence entre les éditeurs et je ne peux pas donner d’appréciation sur des logiciels que je n’ai pas testés ou utilisés.

Personnellement, j’utilise Norton, MCAfee et AVG indifféremment. Pourquoi AVG alors qu’il est en anglais plutôt qu’un autre ? Tout simplement parce que c’est celui que l’on m’a recommandé lors des formations que j’ai suivies, comme étant le meilleur selon mes profs et qu’ils l’utilisaient personnellement.

Je ferai prochainement un récapitulatif des antivirus les plus « cotés » mais afin de vous aider dès à présent dans votre choix, voici quelques petits conseils si vous comptez acquérir un logiciel payant :
- Choisissez un antivirus qui dispose d’un support technique en France et en français.
- Il doit se lancer dès le démarrage du PC et fonctionner en arrière plan en permanence, prêt à détecter et supprimer un virus.
- Vous devez pouvoir analyser un fichier en particulier ou la totalité du disque dur « à la demande »
- Il doit offrir des mises à jour fréquentes des définitions de virus.
- Son éditeur doit avoir un site qui vous permettra de disposer des informations sur les toutes dernières menaces, être assez clair et avoir un service support (assistance)
- Il doit posséder ce que l’on appelle la recherche heuristique, c’est à dire repérer tout fichier dont le comportement est suspect et cela même si la signature n’existe pas encore dans sa base de signatures.

Pour cela, rien de mieux que d’aller faire quelques clics sur le site des différents éditeurs et consulter l’aide en ligne qui y est proposée. Vous y trouverez toute l’information nécessaire.
Pensez également à vous renseignez auprès de vos connaissances et amis et à leur demander conseil.

Pensez également à utiliser le logiciel qui est parfois proposé en ligne. C’est une excellente façon de tester l’antivirus.
Et sachez que la plupart des éditeurs proposent le téléchargement de leur produit en essai gratuit pour une durée de 30 jours.

Détection et éradication des virus.
Je vais supposer pour les questions/réponses qui suivent que vous avez installé un antivirus sur votre PC, que ce soit un logiciel du commerce (Norton, McAffee, BitDefender, etc.) ou un freeware téléchargé sur Internet ou alors que vous venez de scanner votre disque dur avec un antivirus en ligne.

En principe, si vous n'avez pas modifié le paramétrage par défaut de votre anti-virus, et si votre antivirus résident tourne en permanence en tâche de fond, vous devriez être avertis lors d'une attaque virale.
Mais ce n'est pas forcément le cas si le virus somnole dans l'attente de la date fatidique (Jérusalem par exemple se réveillait tous les vendredis 13), s'il est présent mais n'a pas encore contaminé de fichiers, s'il s'agit d'un virus dont la signature n'est pas encore dans les définitions de virus de votre logiciel, s'il s'agit d'un ver, bref…. tout peut arriver etnotamment que le virus tout récemment intercepté ait désactivé votre antivirus à votre insu (et cela arrive de plus en plus fréquemment)

Il est donc nécessaire, que dis-je ! IMPERATIF de faire un scan complet et régulier de votre disque dur en le lançant manuellement (démarrer, (tous les) programmes, nom de l'éditeur, nom de l'antivirus,…. )


Que se passe t’il quand un virus est détecté ?

Vous venez de scanner votre disque dur. Si votre antivirus y détecte un parasite se trouvant dans sa base de signature, vous allez obtenir un message d’avertissement vous signalant :
"le virus Untel a été détecté dans le fichier çavaplus.doc"

Il faut, bien entendu, que votre antivirus soit à jour et que la signature du virus Untel figure dans la base des signatures, mais je ne m'étends pas car toutes ces explications ont été données précédemment.

Rappel : scanner = analyser un fichier (ou un lecteur = disque dur, disquette, clé usb, etc.) avec un anti-virus


Comment réagir en cas d’infection virale ?

Tout d’abord, gardez votre calme, allez faire une mini balade ou la sieste, boire un café, passer un coup de téléphone, etc… en tout cas, relax !!!!! Je sais ! C'est plus facile à dire qu'à faire, mais votre vie n'est pas en danger et votre PC ne va pas se désagréger sous vos yeux dans les prochaines minutes. Donc, vous n'êtes pas à la seconde près.

Ne cédez pas à la panique, ça ne sert à rien. En vous affolant, ou en agissant sous le coup de l'émotion, vous risquez de faire plus de dégâts encore que le virus lui-même. N'essayez pas de réparer, de modifier quoi que se soit ou d'effacer certains fichiers sur votre PC, ou encore d'aller modifier la base de registre, vous risquez de perdre des données alors qu'il était sans doute possible de les récupérer.

Il arrive que l'antivirus se trompe. Il faut savoir que les antivirus ne sont pas infaillibles.
Il peut aussi s'agir d'une fausse alerte bien que ce ne soit pas très fréquent. Par acquis de conscience, vous pouvez vous donc refaire le scan avec un autre antivirus (désactiver votre antivirus et connectez-vous sur un antivirus en ligne pour avoir confirmation de l'infection)

Je vous ai expliqué la différence entre le virus, le ver et le cheval de Troie et vous savez maintenant que leur mode de diffusion n'est pas identique. Il en est de même pour leur éradication.
Le virus est attaché à un fichier donc il va falloir s'occuper dudit fichier alors que le ver est entré par une faille de sécurité (il faudra donc commencer par supprimer le ver pour ensuite colmater la faille)

Il se peut aussi que votre antivirus ait détecté le virus Untel mais que celui-ci n'ait pas encore causé de dommages sur votre disque dur. Il faut savoir qu'avoir un virus sur son disque dur et avoir des fichiers infectés par ce virus sont deux choses différentes. Il se peut que le virus ne se soit pas encore exécuté ni reproduit et qu'il suffise de l'éliminer tout simplement. Tout cela c'est en vous informant que vous le saurez.

Donc, la toute première chose à faire, dans tous les cas, et avant toute autre démarche, dès que vous connaîtrez le nom du "responsable", c'est de VOUS RENSEIGNER.


Où trouver l'information concernant le virus qui vient d'infecter votre PC ?

Il existe des milliers de sites susceptibles de vous délivrer ce type d'informations. Je n'en citerai que deux qui d'après moi sont "les références"

http://www.secuser.com/alertes/index.htm : il suffit de cliquer sur le nom du virus pour obtenir son "identité" complète (mode de diffusion, dégâts causés, prévention, et surtout !!!! vous pourrez télécharger l'outil de désinfection)

http://www.symantec.com/region/fr/search/ : dans la zone en face de rechercher, saisissez le nom du virus et lancer la recherche. (Faites-le tout en me lisant, en saisissant mydoom par exemple, ou netsky ça vous fera un excellent TP) Dans la liste des articles qui va apparaître, cliquez sur le premier par exemple, et vous obtiendrez toutes les informations indispensables ainsi que l'utilitaire de désinfection le cas échéant.

C'est sûr ! Comme lecture ce n'est pas ce qui existe de plus passionnant et si vous tombez de sommeil cela risque de vous précipiter encore plus rapidement dans les bras de Morphée, mais c'est un mal nécessaire avant toute intervention.

Vous pouvez bien entendu aller consulter le site de l'éditeur de votre antivirus, lui envoyer le fichier incriminé, poser la question sur ce forum ou un autre, ou encore saisir le nom du virus dans un moteur de recherche comme http://www.google.fr/

Une petite remarque si vous posez la question sur un forum : après avoir décrit votre problème, n'oubliez pas de mentionner votre OS, le nom du virus, le nom de votre antivirus et la date de dernière mise à jour des signatures et si possible l'endroit où il a été détecté et les fichiers qu'il a éventuellement contaminés. Cela évitera d'innombrables échanges "questions/réponses", donc fera gagner beaucoup de temps.


Comment se débarrasser d'un virus ?

Il est probable, et je l'ai constaté avec Norton, que votre antivirus se charge de tout et vous informe du résultat par un avertissement du style "le virus Untel a infecté le fichier çavaplus.doc. Ce fichier a été désinfecté" (ou mis en quarantaine ou supprimé).

Ne vous inquiétez pas trop car généralement votre anti-virus va prendre la décision pour vous.
Ainsi, dans un premier temps, il va tenter de "nettoyer" le fichier contaminé
Si ce n'est pas possible, il va le mettre en quarantaine ou le supprimer.

Il se peut aussi que l'antivirus vous demande qu'elle est l'action qu'il doit exécuter et ce sera alors à vous de faire un choix.

Vous pourrez alors soit :
- demander la réparation du fichier infecté (le virus est éliminé et le fichier sera nettoyé)
- demander sa mise en quarantaine c’est à dire qu’il ne pourra plus être utilisé et ira dans un répertoire spécial du disque dur après désactivation
- demander la suppression du fichier (quand il n’est ni réparable ni ne peut être mis en quarantaine) c’est souvent le cas pour le cheval de Troie

Mais avant de faire quoi que ce soit, je vous le redis : renseignez-vous sur la nature du virus et ses conséquences : C'est IMPERATIF.

-------------

Avant de passer aux différentes méthodes d'éradication, voici quelques explications concernant plus particulièrement les personnes qui utilisent NAV (Norton AntiVirus) ou NIS (Norton Internet Security)

La mise en quarantaine c'est quoi ?

Norton AntiVirus détecte parfois un virus inconnu ou une autre menace qui ne peut être éliminé avec les définitions de virus en vigueur.

Il arrive aussi qu'un fichier que vous pensez être infecté ne soit pas détecté. Norton AntiVirus vous invite à placer le fichier en quarantaine ou le place en quarantaine automatiquement.

Les fichiers placés en quarantaine sont isolés du reste de l'ordinateur de sorte qu'ils ne peuvent ni se propager ni provoquer de nouvelles infections.

A partir de la zone de quarantaine Norton AntiVirus, vous pouvez transmettre directement par Internet un fichier à Symantec Security Response pour analyse.
Symantec Security Response vérifie si votre fichier est infecté.

Si ce n'est pas le cas, Symantec Security Response vous l'indique. Si un nouveau virus est découvert dans le fichier, Symantec Security Response créera et vous enverra des définitions de virus spéciales pour détecter et éliminer ce nouveau virus sur l'ordinateur.


Comment trouver le nom des fichiers en quarantaine ?

- démarrer
- programmes
- norton anti-virus
- clic sur "rapports"
- clic sur le bouton "afficher rapport" qui se trouve à droite de "éléments en quarantaine" (sauf pour la version 2001 où il suffit de faire un double clic sur "afficher et gérer éléments en quarantaine" puis clic sur "ouvrir")
dans la fenêtre qui va s'ouvrir, vous verrez le nom des fichiers mis en quarantaine ainsi que le nom du virus détecté dans ces fichiers

suivant la version de NAV il suffit de le lancer par démarrer>programmes>norton antivirus>quatantaine
une nouvelle fenêtre s'ouvre avec les éléments mis en quarantaine


Que peut on faire des fichiers mis en quarantaine ?

- suppression pure et dure des vers et des trojans
- pour les espiogiciels il faut savoir que vous ne pourrez peut-être plus aller sur le site qui vous l'a envoyé, à vous de voir, mais suppression conseillée car on épie vos surfs par ce moyen
- restaurer le fichier si vous pensez qu'il est utile et qu'il fait partie d'un programme que vous utilisez (dans le doute, vous pouvez contacter Symantec par mail, ils vous répondront)
- laisser le fichier en quarantaine indéfiniment

La réponse en images est ici : Service Symantec

comment supprimer un fichier en quarantaine ?

- démarrer
- (tous les) programmes
- Norton anti virus
- Clic sur rapports
- Clic sur bouton afficher rapport qui se trouve à droite de "éléments en quarantaine" (sauf pour la version 2001 où il suffit de faire un double clic sur "afficher et gérer éléments en quarantaine" puis clic sur "ouvrir")
Sélectionner le fichier à supprimer dans la fenêtre de droite
- Clic sur "supprimer l'élément"
- Confirmez la suppression en cliquant sur "oui"
- Quittez



Vous voilà avec assez de lecture pour ce soir...