VIRUS

1
VIRUS ANTIVIRUS

• FORMATION DURI
• MAI 2003

2
Attention Danger !!!!

• En Mai 2002 , Norton recense 61126 virus connus !
• Chaque jour des millions dentreprises sont
  infectées à travers le monde.
• Les virus se propagent de plus en plus
  efficacement.
• Il est quasiment impossible dy échapper.

3
Définitions

• Virus Programme Informatique qui se réplique
  par lui-même au sein dun même ordinateur en
  infectant dautres fichiers. Il sexécute lorsque
  lutilisateur ouvre ou exécute le fichier. Il est
  rarement amical.

4
Définitions

• Bombe Logique
• Programme simple sinstallant dans le
  système, qui attend un évènement (date, action,
  ) pour exécuter sa fonction offensive. Cest en
  général la charge finale dun Virus.

5
Définitions

• Cheval de Troie ou Trojan (Horse)
• Comme son illustre ancêtre, le Trojan sinfiltre
  sur le disque dur pour y effectuer des actions
  néfastes une fois à lintérieur, dès que lon
  exécutera son fichier porteur.En principe, le
  Trojan ne se reproduit pas, sauf sil cumule les
  caractéristiques dun ver.

6
Définitions

• Backdoor
• Variante du Trojan qui ouvre la porte à son
  concepteur en émettant un message à lintention
  de celui-ci, lui permettant de prendre le
  contrôle à distance de lordinateur, ou dy
  placer dautres modules aux tâches les plus
  diverses.

7
Définitions

• Ver ou Worm Un ver se propage à linsu des
  internautes vers dautres destinations, Internet
  ou Intranet, en se servant des adresses emails
  contenues dans les carnets dadresses. Il se
  répand ainsi de machines en machines, portant
  parfois avec lui des virus plus destructeurs.

8
Définitions

• Macro Virus Virus dont le code est écrit en
  langage macro et affecte directement les
  applications comme Word ou Excel par exemple.

9
Définitions

• Mécanismes Furtifs Utilisés par la plupart des
  virus qui désirent rester cachés le plus
  longtemps possible en essayant de se reproduire
  sans éclater au grand jour.

10
Définitions

• Polymorphisme Un virus polymorphe tente de
  rendre sa détection plus difficile en changeant
  sa signature le plus souvent possible.

11
Définitions

• Hoax ou CanularDe plus en plus répandu sur le
  Web, ce type de message, a priori inoffensif,
  incite souvent les utilisateurs a commettre
  lirréparable en leur conseillant de supprimer
  certains fichiers soi-disant infectés par un
  virus. Le seul moyen dendiguer leur propagation
  est de former les utilisateurs.

12
Définitions

• AntivirusLogiciel permettant la détection et
  léradication des codes malicieux que sont les
  virus. Ils nont dintérêts que si ils sont
  régulièrement mis à jour et accompagnés de
  procédures de sécurité et de bon sens.

13
Définitions

• Signature Chaîne de caractères spécifiques
  contenu dans le code du virus. Cest en
  recherchant ces signatures dans les fichiers que
  les antivirus détectent la présence des virus.

14
Définitions

• Analyse Heuristique Méthode utilisée par
  certains antivirus pour essayer de détecter des
  virus dont on ne connaît pas explicitement la
  signature. Ces analyses sont basées sur la
  surveillance des comportements du code exécuté.

15
Définitions

• Quarantaine Cest un espace dédié dans lequel
  lantivirus stocke les fichiers infectés quil
  na pu nettoyer. Cest espace est analysé
  régulièrement après chaque mise à jour de
  lantivirus, une solution ayant pu être trouvée
  pour éradiquer le virus infectant les fichiers.

16
Les risques

• Les virus peuvent tout faire, du plus bénin au
  plus grave
• Afficher un message narquois.
• Surcharger le disque dur.
• Affecter la mémoire et ralentir lordinateur.
• Supprimer des fichiers, altérer les données.
• Formater le disque dur.
• ?

17
Les risques

• Les Trojans peuvent en plus donner le contrôle de
  lordinateur à un utilisateur distant.
• Les vers et peuvent en se répandant emporter avec
  eux une copie de vos données confidentielles.

18
Propagation

• Autrefois les virus se propageait par échange de
  disquette, naffectant que quelques machines.
• Puis ils ont profiter des infrastructures réseaux
  des entreprises et des dossiers partagés, se
  répandant ainsi dans toute lentreprise.
• ?

19
Propagation

• Aujourdhui ils utilisent Internet et plus
  fréquemment les messageries.
• Ils envahissent des millions dordinateurs
  chaque jour !!!

20
Propagation

• Le virus se dissimule souvent dans un fichier
  joint, mais peut aussi se trouver dans du code
  HTML.
• Il sinstallera sur la machine dés que le fichier
  infecté sera ouvert.
• Il peut aussi exploiter des failles de sécurité
  du navigateur ou du logiciel de messagerie.

21
Que faire ?

• Idéalement, ce munir dun bon antivirus et le
  mettre à jour régulièrement,
• mais avant tout, il y a des réflexes de bon
  sens à acquérir !

22
Que faire ?

• Ne jamais ouvrir un message avec une pièce jointe
  si lexpéditeur ou lobjet vous sont inconnus.
• Ne jamais ouvrir un fichier joint dont le nom se
  termine par .EXE, .COM, .BAT, .VBS ou .SCR sauf
  si vous attendiez explicitement ce fichier de
  votre correspondant. Rester prudent avec les
  .DOC, .XLS

23
Que faire ?

• Ne pas installer aveuglement de programmes
  téléchargés ou importés dune autre machine sans
  être sur de la source.
• Sauvegarder régulièrement vos données.
• Mettez régulièrement à jour vos logiciels de
  navigation et de messagerie en téléchargeant les
  patches de sécurité.

24
Que faire ?

• Installer et maintenir son antivirus à jour.
• Faire des analyses périodiques des disques.
• Se tenir informer des alertes.
• Informer ses correspondants en cas de détection
  dun virus. Cela évitera que celui-ci se propage
  à linsu de lexpéditeur.

25
Fonctionnement de lantivirus

• Le Scan permet sur demande ou de manière
  programmée danalyser les fichiers afin de
  rechercher déventuels virus.
• La protection temps réel qui fonctionne dès le
  lancement de lordinateur. Elle opère en tâche de
  fond. Elle surveille toute lactivité de
  lordinateur et analyse tous les fichiers entrant
  et sortant, ou ouvert pour exécution.

26
Fonctionnement de lantivirus

• En cas de détection de virus, lantivirus essaye
  dabord de nettoyer le fichier infecté. Sil ny
  parvient pas, il peut suivant le choix de
  lutilisateur Le supprimer définitivement.
• Le mettre en quarantaine pour une analyse
  ultérieure.

27
Choix de lantivirus

• Le nombre de virus détecté est loin dêtre le
  meilleur critère choix dun antivirus

28
Choix de lantivirus.

• La périodicité des mises à jours, le temps de
  réaction de léditeur en cas dalerte.
• Les fonctions danalyse.
• La détection des virus inconnus.
• Les méthodes de déploiement et de mise à jour sur
  un réseau local.
• Ladministration du programme.
• La remontée des alertes. Les journaux.

29
Travaux Pratiques - Evaluation

• Collecter un maximum dinformations sur les
  antivirus suivants (Versions Entreprise ),
  Imaginer un test dévaluation.
• Norton, McAfee, Panda, Trend Micro,
  InoculateIT, F-Secure, Sophos, BitDefender,
  Karspersky, Viguard

30
Exemple de Virus Klez

• Klez.E est un virus qui se présente sous la forme
  d'un message dont le titre, le corps et le nom du
  fichier attaché sont aléatoires. Parfois
  accompagné d'une image, ce fichier possède une
  extension en .EXE, .PIF, .COM, .BAT, .SCR ou
  .RAR, mais l'extension visible peut également
  être .WAV ou .MID car le virus peut falsifier le
  content-type dans l'entête du message

31
Exemple de Virus Klez

• Le virus peut également se propager sous la forme
  d'un faux message d'erreur intitulé Undeliverable
  mail--"titre" ou "Returned mail--"titre".
  Dans ce cas, le corps du message se présente sous
  la forme suivante, le fichier attaché étant une
  copie du virus "The following mail can't be
  sent to adresse emailFrom votre adresse
  emailTo adresse emailSubject titre The
  attachment is the original mail"    adresse
  généralement prise dans le carnet d'adresses de
  la personne infectée

32
Exemple de Virus Klez

• Le virus s'exécute automatiquement à l'ouverture
  du mail ou lors de son affichage dans la fenêtre
  de prévisualisation d'Outlook, si l'application
  n'a pas été patchée contre une vulnérabilité MIME
  connue.

33
Exemple de Virus Klez

• Klez.E extrait ensuite les adresses emails
  contenues dans les carnets d'adresses Windows et
  ICQ pour s'envoyer automatiquement avec son
  propre serveur SMTP, en utilisant généralement
  comme adresse d'expéditeur l'adresse de l'un des
  correspondants présents dans le carnet d'adresse
  voire une fausse adresse

34
Exemple de Virus Klez

• Klez.E se propage le cas échéant via les dossiers
  partagés, puis désactive et tente d'éliminer
  certains antivirus et firewalls, en supprimant
  les clés de base de registres et répertoires
  correspondants

35
Exemple de Virus Klez

• Enfin, le 6 de chaque mois impair (Janvier, Mars,
  Mai, Juillet, Septembre, Novembre) le virus
  Klez.E écrase les principaux fichiers de données
  du disque dur (TXT, HTM, HTML, WAB, DOC, XLS,
  CPP, C, PAS, MPEG, MPG, BAK, MP3, et JPG) de
  manière à ce que leur contenu ne soit plus
  récupérable.

36
Exemple de Virus Klez

• La dernière variante Klez.H envoie aussi de faux
  messages dalertes avec un correctif pour Klez.E.
• Il se propage aussi en saccompagnant de fichiers
  présents sur le disque.

37
Travaux Pratiques - Identification

• Chercher un maximum de renseignements sur les
  virus suivants
• Nimda, Sircam, Magistr,Goner, CodeRed,Badtrans,
  Melissa, I Love You, Back Orifice,Sulfnbk,
  Benjamin, Dider, per-process, ..

38
Conclusion

• Un seul Antivirus est-il suffisant ?
• Sensibiliser les utilisateurs .
• Si Windows est particulièrement, les autres
  systèmes ne sont pas à labri.
• Lévolution des virus ?