Informatique
Vous êtes ici : Page d'accueil > Informatique > Virus

Virus (et autres vermines)

Définition - Explications - Astuce
Que faire en cas d'infection - Récentes alertes - Autres alertes


  • Définition

Virus :
(Par analogie à la définition médicale) - Programme ou instrustion cachés (volontairement ou non) dans un système informatique, pouvant entraîner des troubles de fonctionnement, voire des pannes majeures, et contaminer d'autres systèmes informatiques.
Source : Le Nouveau Petit Robert, édition 1995.

Les virus informatiques existent depuis bien longtemps, en fait depuis que l'informatique à commencé à se développer dans le milieu des années 1980. Leur origine est plus ou moins connue, alors que leur intention est clairement de nuire. L'une des origines que j'avais lu était un problème qui avait eu lieu entre la firme IBM (International Business Machines) et l'un de ses employés. Ce que j'ai retenu, c'est que l'employé en question était en phase de licenciement, et qu'il a utilisé la menace d'introduction d'un virus dans les systèmes informatiques de la firme comme moyen de pression pour garder son poste. Plutot dissuasif ! Je ne sais pas en revanche quelle a été la fin et la fin de cette histoire, ou légende.




  • Explications

Il existe en réalité plusieurs types de virus. Tout le monde a au moins une fois entendu de certains virus, comme le Ping Pong, petite balle qui rebondit sur votre écran, et qui à chaque rebond faire disparaître une partie de vos données... Ou encore MichelAngelo qui vous met en toile de fond une peinture du célèbre artiste... ou encore plus récemment le CodeRed... Bref, les virus ont aujourd'hui leur place dans les informations mondiales, certes une place minime, mais une place qui a nettement grandie depuis les dernières années.

Les virus sont conçus pour détériorer, paralyser, saturer les systèmes qu'ils infectent. Quelle est leur utilité ? Pour les utilisateurs Lambda, aucune. Pour les concepteurs, prouver leur force et surtout prouver les faiblesses des systèmes d'exploitation qu'ils infectent. En effet, la quasi totalité des virus exploitent les failles de sécurité de Windows... Pourquoi ? car c'est la plate forme la plus répendue aujourd'hui, et donc le nombre de victimes potentielles le plus élevé. Autre raison, Windows est une vrai passoire en terme de sécurité, ce qui facilite donc la tâche des créateurs de virus. Ils sont pour la plupart résidents en mémoire, ce qui facilite leur exécution.

Je distinguerai 3 types de virus :

Les virus destructeurs, qui vous vous perdre des données ou engendrent des dégâts irréversibles. Je pourrais citer W32.Kriz qui va chercher à corrompre le BIOS de la machine victime. Mais il y a également d'autres possibilités de dégâts sur une machine, comme donner à un disque dur une instruction lui demandant d'aller chercher une adresse physique qu delà de la plage de fonctionnement du disque, l'emmenant "en butée", et détériorant la mécanique. Les moniteurs peuvent également être endommagés, si un signal vidéo est envoyé à une fréquence non supportée... Bref, la palette des dégâts est assez large. Heureusement, ce type de virus est assez rare.

Ver, ou worm

Les vers ou worms. Très répandus, ils infectent les machines des victimes par le biais du courrier électronique. Ils sont composés d'un code malin, qui execute une série d'instructions sur la machine victime, afin de se reproduire. La plupart du temps, le ver n'a qu'un but : se reproduire le plus de fois possible, afin d'engendrer une surcharge des serveurs de messagerie, menant à leur saturation et au ralentissement global du réseau. A part exploiter les ressources de votre carnet d'adresses et envoyer des messages infectés à vos contacts, leur dangerosité est relativement moyenne. Certains peuvent cependant être plus dangereux, et infecter d'autres élements de Windows, comme IIS (Internet Information Service).


Voici comment se manifeste un ver dans sa période de pointe...
Tous les messages provenant de cette mystérieuse Cathy étaient porteurs du code du ver.

Les Chevaux de Troie, ou BackDoor. Ce type de virus peut s'avérer très dangereux. Ils exploitent les failles de sécurité de Windows (car le plus répendu), tout spécialement IIS, qui présente une multitude de failles dans sa version non patchée (le SP3 remédie à la plupart des problèmes potentiels). Leur rôle est différent des vers.

Le cheval de Troie Blazer 5, exploitant le port 5000
Le cheval de Troie Blazer 5, exploitant le port 5000


Le Cheval de Troie a un but : ouvrir un accès à votre machine, sans que cela se voie, de préférence. Il utilise donc différentes méthodes pour introduire un code malin sur votre machine, par l'intermédiaire des logiciels P2P, d'un patch, crack ou KeyGen piégé, d'un script IRC, d'un serveur FTP, bref tous les moyens possibles. Le code, une fois sur votre machine, va s'exécuter et activer une porte d'entrée, un accès informatique sur votre machine, et en avertir celui qui veut en bénéficier (le créateur du virus). Ce dernier va alors profiter de cette porten en général un port spécifique (voir sécurité) pour s'introduire sur votre machine. Selon la puissance de son cheval, il pourra éliminer des fichiers, récupérer des codes d'accès ou visualiser certaines de vos informations. J'ai eu cette mauvaise expérience une fois, et ce n'a pas été de la tarte pour récupérer mes données... (Voir Recovery)


Bref, il existe aujourd'hui des dizaines de milliers de virus identifiés différents, il est donc fortement recommandé de se protéger, à l'aide d'un anti-virus comme Symantec Norton Anti-Virus, Mc Afee, Panda Antivirus, F-Prot, souvent peut coûteux (selon les marques) et très efficace.





  • Petite astuce...

Comment savoir si un email est accompagné d'un script malin ?
Normallement sous Outlook, vous avez un petit symbole (voir à gauche) qui va vous prévenir de la présence d'un script encapsulé avec un email. Ce symbole va apparaître en haut à droite de la fenêtre de pré-visualisation de vos messages. Ceci doit vous mettre la puce à l'oreille... Si vous ne savez pas d'où cela vient, il est peut être préférable de supprimer le message concerné. Attention cependant, ce symbole n'apparait pas toujours, le code du virus étant souvent dans le corps du message de façon invisible.





  • Que faire en cas d'infection

Que faire en cas d'infection virale identifiée ? Votre système a soudainement ralentit ? Des pop-ups s'affichent sur votre bureau sans votre consentement ?

Les choses à essayer :
- installer un anti-virus, le mettre à jour juste après et effectuer un scan du disque dur (logiciel payant)
- installer un anti-spyware... voir ma rubrique sur les Spyware

- effectuer un scan "remote" en utilisant un site proposant ce type de service en ligne :
housecall.trendmicro.com
www.pandasoftware.com
support.f-secure.com
www.ravantivirus.com

- effectuer un rollback (restauration du système) à un point de restauration antérieur au problème.

Si ça ne fonctionne toujours pas, vous devrez probablement considérer une réinstallation de votre système. N'oubliez pas de sauvegarder vos informations avant toute chose.





Voici ci-dessous les virus qui ont atteint mon système, ainsi que quelques informations les concernant.






  • Récentes Alertes

W32.Sobig.F@mm


Fiche d'identité W32.Sobig.F@mm
Nom : W32.Sobig.F@mm
Fiche Symantec : Consulter la fiche...
Forme d'infection :
Ver (worm)
Mode d'infection : Courrier éléctronique, pièce jointe au message. Se propage en utilisant le carnet d'adresse. Choisi un sujet de façon aléatoire dans une liste de mots courants.
Période d'infection : Août-Septembre 2003
Dangerosité : Moyenne
Conséquences : Saturation des serveurs de messagerie. Messages infectés reçus régulièrement. Se propage par le carnet d'adresses des victimes.
Action à mener : Supprimer le message sans l'ouvrir, NE PAS OUVRIR la pièce jointe. Laisser votre antivirus gérer le problème si il le détecte, il le supprimera automatiquement. Sinon, consultez la fiche Symantec pour les méthodes de réparation.
Pièce jointe : movie0045.pif wicked_scr.scr document_9446.pif
your_document.pif
application.pif
document_all.pif
details.pif
your_details.pif
thank_you.pif
Expéditeurs identifiés : Variés
Note: je ne publie plus d'adresses de courrier électronique des expéditeurs parce que la plupart de ces messages infectés me viennent d'utilisateurs qui en sont eux-même victimes. De plus, certains virus utilisent le "spoofing", ce qui signifie que certaines adresses d'expéditeurs sont créées, inventées ou employées par le virus pour sa propre contamination. Je souhaite aussi conserver l'anonymat des expéditeurs ou victimes concernées.
Sujets des messages : Re: Approved
Trans.: attention
Re: That movie
Re: Your application
Re: Wicked screensaver
Re: Re: My details




W32.Sobig.B@mm ou W32.HLLW.Mankx@mm


Fiche d'identité W32.Sobig.B@mm ou W32.HLLW.Mankx@mm
Nom : W32.Sobig.B@mm ou W32.HLLW.Mankx@mm
Fiche Symantec : Consulter la fiche...
Forme d'infection :
Ver (worm)
Mode d'infection : Courrier éléctronique, script dans le corps du message. Se propage en utilisant le carnet d'adresse. Choisi un sujet de façon aléatoire dans une liste de mots courants.
Période d'infection : 2è semaine de Mai 2003
Dangerosité : Moyenne
Conséquences : Saturation des serveurs de messagerie. Messages infectés reçus régulièrement.
Action à mener : Supprimer le message sans l'ouvrir, éviter même l'aperçu. Laisser votre antivirus gérer le problème si il le détecte, il le supprimera automatiquement. Sinon, consultez la fiche Symantec pour les méthodes de réparation.
Pièce jointe : application.pif
screen_doc.pif
screen_temp.pif
doc_details.pif
password.pif
your_details.pif
Expéditeurs identifiés : support@microsoft.com
Sujets des messages : Approved (Ref: 38446+263)
Your details
Cool screensaver




W32.Klez.E@mm


Fiche d'identité W32.Klez.E@mm
Nom : W32.Klez.E@mm
Fiche Symantec : Consulter la fiche...
Forme d'infection :
Ver (worm)
Mode d'infection : Courrier éléctronique, script dans le corps du message. Se propage en utilisant le carnet d'adresse. Choisi un sujet de façon aléatoire dans une liste de mots courants.
Période d'infection : 7 Avril (1ère alerte) à mi-mai 2003 environ
Dangerosité : Moyenne
Conséquences : Saturation des serveurs de messagerie. Messages infectés reçus régulièrement.
Action à mener : Supprimer le message sans l'ouvrir, éviter même l'aperçu. Laisser votre antivirus gérer le problème si il le détecte, il le supprimera automatiquement. Sinon, consultez la fiche Symantec pour les méthodes de réparation.
Pièce jointe : border.scr
sn=wanadoo&pn=chat
index
name.scr
demo.exe
track3
Ukhh.pif
play.exe
DataChunksGZ
HEIGHT.bat
finances-impots2003_305x170
InstanceEnd
setup.pif
Expéditeurs identifiés : dromaboss <dromaboss@dromaland.com>
administrateur <administrateur@france-emule.com>
sacouraa <sacouraa@club-internet.fr>
support <support@divx.com>
mignotchris <mignotchris@wanadoo.fr>
hq_nic_family <hq_nic_family@3mail.3com.com>
espace.contacts <espace.contacts@francetelecom.com> scv_ekiniks@hotmail.com
psswitch <psswitch@online.de>
LaForceObskur <LaForceObskur@aol.com>
john-unknown1 <john-unknown1@users.sourceforge.net>
support <support@instant-access.com>
eludivine59116 <eludivine59116@wanadoo.fr>
_Demo_ <_Demo_@epsxe.com>
horizonlointain2003@yahoo.fr <horizonlointain2003@yahoo.fr>
contact <contact@m6.quedesjeux.com>
Sujets des messages : HEIGHT
Height
Re:how are you
Classid
Sos!
Xw.pif
A very new game
adid.exe
Hello,please try again
HEIGHT
Ndur.scr
fondde.scr
Border




> W32.Yaha.F@mm

Fiche d'identité W32.Yaha.F@mm
Nom : W32.Yaha.F@mm
Fiche Symantec : Consulter la fiche...
Forme d'infection :
Ver (worm)
Mode d'infection : Courrier éléctronique. Se propage en utilisant le carnet d'adresse. Choisi un sujet de façon aléatoire dans une liste de mots courants.
Période d'infection : Fin janvier, début février 2003
Dangerosité : Moyenne
Conséquences : Saturation des serveurs de messagerie. Messages infectés reçus régulièrement.
Action à mener : Supprimer le message sans l'ouvrir. Laisser votre antivirus gérer le problème si il le détecte, il le supprimera automatiquement.
Pièce jointe : Aucune, script dans le corps du message
Expéditeurs identifiés : Utilisateur1 <dinh-thaivu@wanadoo.fr>
Sujets des messages : GrandII
Shake it baby !!
Find a good friend !
True Love !
How sweet this Screen saver !
Best Friends
New stuff to enjoy
Fw: Wowwwwwwwwwww check it
Joke Love to ur friends :-)
New stuff to see
Interesting Love to ur friends !!
Enjoy Romantic life :-)
charming Love to ur lovers !!
Funny Friendship to ur friends :-)
searching for true Love !!
!!
New Friendship to ur lovers !
Nothink to worryy !!
The world of lovers !
The world of Friendship :-)
Ur My Best Friend :-)
Joke Love to ur lovers
powful Screensaver to ur friends :-)
war Againest Loneliness !!
Idiot Screensaver to enjoy :-)
Nice Screensaver to ur lovers !!
Great stuff to ur friends !!
Funny Friendship to ur friends :-)
Fw: Idiot stuff to share :-)
Fw: Great stuff to enjoy !
Fw: yoda
Fw: Great Love to ur friends :-)
Fw: Who is ur Best Friend :-)
Fw: Wonderfool Love to see :-)




  • Autres Alertes

La série des Nimda

w32.nimda.e@mm

Consultez ici la fiche Symantec... Le virus Nimda exploite une faille de IIS. Il m'a infecté alors que je n'avais pas encore installé le SP3. Ce virus peut s'avérer assez ennuyeux, et pas facile à éliminer.








La série des Trojan (chevaux de Troie)

Virus.Dropper

Consultez ici la fiche Symantec... Ce Cheval de Troie, une fois sur votre machine, va pouvoir y exécuter un virus. C'est donc l'exemple typique du Cheval de Troie, qui une fois dans l'enceinte, libère son attaque. Fort heureusement, celui ci a été détecté par Norton, le 21 janvier dernier. Je pense que ce virus provenait d'un fichier téléchargé infecté.


Virus Dropper



Trojan VirtualRoot

Consultez ici la fiche Symantec... Ce Cheval de Troie offre la possibilité à un Hacker de prendre le contrôle à distance d'une machine, infectée par le virus Code Red II. VirtualRoot est en fait une partie de Code Red II, qui est libérée lors de l'infection. J'ai été infecté par ce virus assez récemment, sur mon serveur Http, tournant sous Windows 2000 Pro, et fraîchement réinstallé (donc non patché). Les systèmes les plus vlnérables sont ceux qui abritent des services de type HTTP (serveur web), FTP ou DNS, de par leur expostion sur le réseau.

Trojan.VirtualRoot



IRC Trojan

Consultez ici la fiche Symantec... Ce type d'alerte dénote une tentative d'incursion sur votre machine par l'intermédiaire de l'IRC (Internet Relay Chat). En ce qui me concerne, je sais que cette tentative d'attaque s'est produite par les fonctions IRC intégrées de EDonkey. Une fois l'interface lancée et la communications IRC établie avec l'ordinateur cible, le Hacker peut alors envoyer un certain nombre de commandes sur votre machine, ce qui peut engendrer des pertes ou fuites de données sensibles. La meilleure solution est de désactiver ce type d'option quand c'est possible.

IRC Trojan



JS Exception Exploit

Consultez ici la fiche Symantec... Pas réellement un Cheval de Troie, ce virus exploite le moteur Java Script de Internet Explorer pour exécuter des commandes sur la machine visée. Il peut ainsi effectuer des modifications, souvent mineure, comme changer la page d'accueil de IE par exemple. Ce problème de concerne que les versions non-patchées de IE, prenez donc vos précautions et mettez à jour vos applications intégrées Microsoft.

JS Exception Exploit




Dernière modification :

Haut de page
Home Page