Les infections: virus, vers/worms, chevaux de Troie, spyware, etc.

Les infections informatiques ne visent pas nécessairement la destruction d'infomations ou de programmes. Néanmoins elles consomment des ressources "système" sur l'ordinateur infecté et causent ainsi des désagréments parfois critiques

Les virus et vers (worms) informatiques

Dans le monde de l'informatique, de nombreux mythes circulent au sujet des virus, c'est-à-dire des programmes qui rentrent dans un ordinateur et peuvent endommager les données qui s'y trouvent. Dans cette catégorie d'infections, il convient de distinguer deux classes:

• virus: il cherche à infecter, à la manière d'un parasite, les fichiers et il sera propagé par l'échange de ces derniers,
• worm (ver): il utilise la station informatique infectée pour tenter de pénétrer dans d'autres stations informatiques. Il se suffit à lui-même et n'a donc pas besoin d’un programme hôte pour se reproduire.

Au début, les virus, traditionnellement contractés par échange de disquettes, visaient essentiellement à détruire des fichiers, voire à rendre un ordinateur inutilisable, obligeant son propriétaire à tout réinstaller.

Aujourd'hui, la menace virale est toute autre: la plupart des virus et worms actuels utilisent Internet et le courrier électronique pour se propager sous la forme de pièces jointes et infecter ainsi un grand nombre d'ordinateurs. Pour cela, ils utilisent souvent le ou les répertoire(s) d'adresses électroniques (e-mails) disponibles sur l'ordinateur infecté. Dans d'autres cas, ils utilisent les pages en mémoire dans le browser et y cherchent des adresses e-mails. Certains joignent même à leur missive fatale un document pris au hasard sur un ordinateur.

Pour se protéger contre les virus, la méthode la plus simple (mais peut-être aussi la plus naïve) consiste à s'équiper d'un logiciel antivirus. C'est le remède le plus courant. Dans ce domaine, nombreux sont les produits disponibles sur le marché. Le seul conseil intelligent en la matière est de sélectionner un produit connu, car il sera mis à jour fréquemment et automatiquement via Internet. Une autre piste, complémentaire, consiste à choisir judicieucement son logiciel de messagerie électronique. En effet, si des virus pénètrent dans votre ordinateur, ils le font surtout grâce à des failles dans les logiciels de courrier électronique. Cela veut dire aussi qu'il faudra surveiller les éventuelles mises à jour de sécurité diffusées par l'éditeur de ce logiciel et les installer.

Les intrusions

D'autres programmes menacent également les ordinateurs et les données personnelles qu'ils contiennent:

• les chevaux de Troie (Troyan),
• les logiciels espions: spyware et adware (Advertising Supported software).

Leur objectif est de créer des portes dérobées sur l'ordinateur hôte permettant de faire exécuter des commandes à l'insu du propriétaire ou de collecter un maximum d'informations personnelles, à commencer par les carnets d'adresses, les sites Internet consultés, le type de produits ou services achetés, etc. L'utilisation de ces informations peut prendre différentes formes:

• ciblage publicitaire,
• prise de contrôle de l'ordinateur,
• vol des mots de passe,
• accès à distance aux ressources de la machine,
• destruction de données,
• etc.

Ces logiciels n'ont normalement pas de facultés auto-reproductrices.

Certains de ces intrus intégrent dans leur code informatique leur propre système de messagerie (serveur SMTP) afin de passer totalement inaperçus vis-à-vis du logiciel de messagerie utilisé par le propriétaire, et ainsi transmettre les informations collectées à des tiers malveillants.

Pour se protéger de tels programmes, il existe des logiciels, assez similaires aux antivirus. Ils recherchent sur l'ordinateur les programmes intrus installés et propose de les supprimer. La plupart du temps, l'opération ne présente aucun risque. Certain logiciels de protection vont même jusqu'à surveiller en permanence l’activité réseau de l'ordinateur afin de prévenir l’infection. Ceci permet par exemple de naviguer sur Internet sans craindre que la page consultée soit en fait un"cheval de Troie" pour l'usage d'un éventuel "espion".

Il est important de souligner que des travaux éthiques sont en cours afin de définir un cadre légal à ces pratiques.

Comment ces infections sont-elles transmises?

Le courrier électronique a incontestablement révolutionné la manière dont nous nous échangeons des informations. Cette facilité de transmission a néanmoins aussi rendu les échanges d’infections plus aisés et beaucoup plus rapides.

Lors de l’utilisation du courrier électronique, une infection peut être véhiculée de deux manières:

• dans les fichiers attachés. Le virus peut se cacher dans les fichiers attachés, les programmes ou des documents informatiques (comme un fichier Word par exemple). La transmission des virus par pièce attachée est encore aujourd'hui la principale voie d'infection;
• à l'intérieur même du courrier. Depuis le développement du courrier électronique multimédia (avec mise en page, images, sons, animations, etc.), le virus peut aussi se cacher à l'intérieur même du message. Ici, ce n'est plus du texte brut qui constitue le message, mais du code HTML, accompagné d'images mais aussi parfois de petits programmes conçus pour le Web. C'est le cas notamment des contrôles ActiveX, qui peuvent exploiter des failles de sécurité dans le système d'exploitation Windows.

De plus d'autres types de propagation sont de plus en plus fréquents

• les messageries instantanées, dont le succès va grandissant, offrent également des opportunités pour la transmission d'une infection au travers de l'échange des messages;
• les logiciels peer to peer, très à la mode notamment avec la vague d'échange de fichiers musicaux, sont aussi un moyen de transport idéal pour tous les types d'infection.

Comment savoir si mon ordinateur est infecté par un virus ?

Voila une petite astuce parmi tant d'autres pour vérifier si votre PC infecté par un virus ou pas.

Le procédure est simple et rapide. Il faut regarder dans le system.ini

Pour Windows xp:

1/Ouvrez une invité de commande ou cliquez Démarrer puis Exécuter.

2/ tapez system.ini

Pour Windows 7 et Windows Vista:

1/ cliquez Démarrer et tapez directement system.ini

Vous allez avoir la fenêtre bloc-note qui apparait :

1/ si il est écrit comme ça:
;

for 16-bit app support
[386Enh]
woafont=dosapp.fon
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON

CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]

VOTRE PC N'EST PAS INFECTE

2/ et s'il est écrit comme suit avec des étoiles ou autre que celui du dessus

for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv*** *** ***
[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON

VOTRE PC EST INFECTE

Exemple d'infection par un virus

Virus comment réparer çà

Télécharger OTL sur votre Bureau.

• Prenez le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
• Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
• L'écran principal de OTL s'affiche:

(1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

(2) Cochez (en haut) la case située devant Tous les utilisateurs

(3) Cochez également les cases à côté de Recherche Lop et Recherche purity.

(4) Sélectionne très précisément tout ce qui est en gras avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL


netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\System32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.dll /lockedfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
wuauclt.exe
/md5stop


(5) Puis cliquer sur le bouton Analyse

- Laisser l'outil travailler sans l'interrompre.

Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Dysfonctionnement causé par un virus ou un malware

La panne peut être uniquement un "désagrément" (fenêtres publicitairesintempestives dans le navigateur internet, message d'erreur au démarrage, lenteur de l'ordinateur)

En ce cas, il faut procéder à un contrôle du système :
- avec l'antivirus,
- avec un programme anti-spyware : utiliser en premier Malewares Bytes ou HiJackThis

- en cas de BSOD reformater le PC

Options des dossiers disparu

Symptôme : On ne trouve pas "Options des dossiers" dans le menu des fenêtres (menu Outils, Options des dossiers)

Cela peut avoir plusieurs causes :

Virus ou Cheval de Troie

C'est le problème à considérer en premier :
- contrôler l'ordinateur avec un antivirus.

Cheval de troie : Backdoor.Glupzy :
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-backdoor.glupzy.html

Ver W32.Pahatia.A :
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.pahatia.a.html

W32.Serflog.C :
http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.serflog.c.html

Et il en existe d'autres...

Disparition de Rechercher dans le menu Démarrer

Symptôme :

Disparition de la fonction "Rechercher" du menu "démarrer" et bouton "Rechercher" de l'Explorer inactif.

La fenêtre recherche s'ouvre au lieu du dossier :
Lorsqu'on double-clique sur un dossier ou un fichier, ce n'est pas le dossier ou le fichier qui s'ouvre mais la fenêtre Rechercher de Windows :

Cela peut être dû à l'action d'un virus :

Voir également si une clé NoFind n'a pas été ajouté dans :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Problème de message d'erreur

'il s'agit d'un message qui apparaît au démarrage de l'ordinateur :

Exemple :
fichier ... introuvable ou manquant...
ou :
le fichier ... n'a pu être chargé
etc.

Il s'agit souvent d'un fichier spyware (espion) ou virus, qui a été supprimé, mais qui est réclamé par l'ordinateur.

Gestionnaire des tâches désactivé

Symptôme : Lorsqu'on veut ouvrir le Gestionnaire des tâches (ex : avec Ctrl+Alt+Suppr), un message s'affiche :
"Le gestionnaire des tâches a été désactivé par votre administrateur"

Causes : Une "stratégie de sécurité" a été appliquée :
- soit par l'action d'un virus : examiner le système, avec un antivirus.
- soit volontairement

Ad-aware et SpyBot

Il y a quelque temps, je conseillais deux programmes principaux pour lutter contre les fichiers espions et malfaisants sur Internet : SpyBot et Ad-Aware.
Malheureusement, au fil du temps, leur efficacité et leur utilité décroit :

- Ad-Aware :
Il dérive excessivement vers le commercial et ne détecte plus rien.
NE PAS L'INSTALLER car il est difficile à désinstaller complètement.

- Spybot :
Il reste intéressant pour sa fonction de protection par la vaccination du système qui empêche l'installation de certains spywares.
Mais il n'est plus autant apprécié.
Il supprime inutilement certains cookies qui servent à financer les sites web.

Avril 2011 : Je conseille actuellement :

Malwarebytes

Pour une vérification et une suppression de spyware (en cas de dysfonctionnement ou de doutes)
Utilisation simple, sans connaissances particulières nécessaires.

- HiJackThis
Pour un examen des processus et programmes qui se lancent au démarrage de l'ordinateur (y compris virus) et qui peuvent ralentir le fonctionnement.
Utilisation plus avancée, destiné aux utilisateurs plus aguerris.

D'autres logiciels sont efficaces pour éradiquer d'autres malwares plus tenaces. Mais leur utilisation peut-être compliquée.

L'utilisation d'un antyspyware

Deux types :
- Usage préventif : on protège le système de l'installation de spyware
- Usage curatif : on élimine spyware et malware du système.

Dans les deux cas, il faut que le logiciel soit mis à jour.
Les choses évoluent vite dans ce domaine. De nouveaux spywares et malwares apparaissent tous les jours.

Le mode sans échec

En cas d'infection grave, il est préférable de procéder à une désinfection en démarrant Windows en mode sans échec.

Mais il est plus efficace de reformater le PC.

HijackThis et Malwarebytes' Anti-Malware

Pour éliminer les spywares : deux programmes : HijackThis et Malwarebytes' Anti-Malware

HijackThis liste les processus en activité sur l'ordinateur, donne des infos sur leur éventuelle dangerosité.
Le rapport qu'il fournit est très instructif, mais il nécessite certaines connaissances pour être utilisé sans risque.
Il ne peut pas éradiquer entièrement certains malwares.

Malwarebytes' Anti-Malware est particulièrement efficace.
Il scan le disque dur, repère les malwares et les élimine, au besoin après redémarrage de l'ordinateur.

CWShredder servira contre les spywares modifiant la page de démarrage.

Conseils

Se méfier de fenêtres popup qui peuvent s'afficher à l'ouverture de certains sites :
Elles proposent d'éliminer les spywares, mais le remède est pire que le mal.
Pour fermer ces fenêtres popup :
- appuyer sur Ctrl+F4 (ne pas utiliser la souris)

Si on est infecté (fenêtres publicitaires qui s'affichent intempestivement) 

Se méfier des contrôles ActiveX :

- les contrôles ActiveX malsains sont éradiqués avec SpywareBlaster.
- Se méfier des programmes "ressemblant" qui "proposent" de s'installer lorsqu'on consulte un site.
En règle générale :
- Se fier uniquement à des sites de confiance pour télécharger et installer un programme.
Télécharger, de préférence, sur le site de l'Editeur du programme. C'est le seul (le premier) qui dispose de la dernière version du logiciel.

Attention à l'utilisation de Google

Des résultats de recherche dans Google peuvent diriger vers des sites de malware :
Des pages qui proposent de supprimer des malware sont en fait des pages malsaines.

NE FAIRE CONFIANCE

- qu'aux logiciels que je propose dans mes pages (ex : Spybot à titre préventif, MalwareBytes, HiackThis), ou qui sont proposés sur des sites de confiance.
- qu'a l'antispyware intégré à l'antivirus ou proposé par un éditeur connu et réputé (ex : TrendMicro)
- qu'aux sites "de confiance" que je préconise explicitement.

Les moyens de protection

La protection antivirus et anti-worm se réalisent avec des bons produits antivirus et anti-spyware:

• McAfee 
  Société spécialisée dans la sécurité informatique (anti-virus, firewall, etc.)
  http://us.mcafee.com
• Sophos  
  Sophos est l'un des leaders de la protection antivirale et anti-spam d'entreprise
  http://www.sophos.fr
• Trend Micro - Antivirus Solutions 
  Fournisseur de solutions et de services de sécurité. Ces solutions protègent le flux des informations qui transitent via les PCs, les serveurs de fichiers, les serveurs de messagerie et les passerelles Internet
  http://be.trendmicro-europe.com
• Panda Software Antivirus 
  Société spécialisée dans la recherche et le développement de logiciels antivirus
  http://www.pandasoftware.com
• Kaspersky Lab 
  Produits anti-virus pour particuliers et professionnels
  http://www.kaspersky-fr.com
• AVG Anti-Virus 
  Depuis sa création, Grisoft est focalisée sur le développement de moyens innovants permettant la détection et l?éradication des virus afin de protéger efficacement les ordinateurs
  http://www.avgfrance.com
• BitDefender AntiVirus 
  Protection antivirus pour tous les points importants vulnérables d'un réseau, sécurisant portails, serveurs Internet, serveurs de messagerie, serveurs de fichiers et postes de travail
  http://www.bitdefender.fr
• ClamAV 
  Clam AntiVirus est un package anti-virus libre pour Unix et Linux
  http://www.clamav.net
• Spybot Search&Destroy 
  Logiciel de protection de la vie privée (détection et suppression de spyware)
  http://www.safer-networking.org
• Spyware-Removal.com 
  Editeur du logiciel Spy sweeper (anti-spyware et adware)
  http://www.spyware-removal.com
• Lavasoft 
  Entreprise spécialisée dans les solutions anti-trackware: outils nécessaires pour protéger ordinateurs ou réseaux contre toute atteinte à la vie privée
  http://www.adaware.de
• Giant Company Software 
  Fournisseur de produits pour la sécurité sur Internet, à destination des particuliers et des entreprises
  http://www.giantcompany.com
• Staganos 
  Editeur de logiciels de cryptage et de sécurité polyvalents pour ordinateurs sous Windows
  http://www.steganos.com