DOSSIER Février 2002 : LES VIRUS.

 

LIENS RAPIDES : 

Fonction des virus, Virus programme, Exemple de codes, Reproduction, Virus Java, Macro, Mail, Faux virus, Fausse Info, Se protéger, L’astuce du chef, Piège Chirac, Désinfection, Pare feu Firewall.

 

 

         Un virus est un petit programme informatique. Ce n’est pas une maladie, et hors de votre PC, ce n’est pas contagieux. N’emballez pas vos disquettes dans des préservatifs, comme dit Anne Roumanoff. C’est donc un programme pareil à votre calculatrice, ou Paint pour les images, Word ou autres programmes.

 

         A l’origine le premier virus était suite à un concours, concevoir un programme qui se développerai tout seul grâce à ses codes.

 

         On distingue sous l’appellation virus, plusieurs programmes nocifs pour nos machines.

        * Virus programme.

*   Applet Java.

*   Troyens.

*   Virus macro commande.                                                                          

*   Faux virus destructeur

 

A quoi sert un virus ? Bonne question, tout simplement à faire ce pour quoi il a été conçu, tout simplement. Supposons qu’il soit programmé pour jouer de la musique, à chaque fois que vous fermerez tel ou tel programme. Dés que vous quittez le programme en question, hop, « lettre à Elise ». Là j’ai prix exprès un du genre énervant mais pas trop méchant, quoique…  Oui pas trop méchant, sauf que pour se cacher dans la machine, il a abîmé certains fichiers, on va y revenir. D’autres virus peuvent être programmés pour effacer vos précieuses données, formater le disque dur, détruire Windows, bref que des réjouissances…

 

Le virus programme , il se décline en plusieurs familles  euh  vous suivez toujours ? ou Hesse déjà trop horrible ??? Virus polymorphe, résident en mémoire, crypté, furtif, fugitif et autres.

 

Comment attrape-t-on ce Sida de l’informatique ? Par contact avec l’extérieur. Pour ne pas vous lassez, un peu de questions réponses

Peut on attraper des virus seulement en surfant sur Internet sans jamais rien télécharger, uniquement en consultant des pages ?

Oui désolé, vous sortez de chez vous, et le loup vous attends au coin du bois, le seul fait de se connecter par votre Fournisseur d’Accès Internet peut entraîner une attaque instantanée, même AOL, maintenant n’est plus aussi sur qu’avant. Je rappelle que ce FAI  à un contenu propre, et que tant que vous êtes sur ce contenu, vous n’êtes pas sur Internet. Maintenant avec la version d’instant messanger, les pirates peuvent entrer.

 

Le virus peut venir par une disquette infestée d’un ami, ou du bureau, un CD piraté avec des jeux ou autres, le copain grave le virus avec… Et bien sur par le courrier électronique, le mèl pour faire plaisir à M Toubon.

 

Ce virus programme à plusieurs étapes principales à réaliser :

 

                                     I.      Se cacher dans votre machine

                                   II.      Faire des petits, pour infester les copains.

                                 III.      Agir

 

        

Se cacher, là il va obligatoirement se mettre dans vos programmes, afin d’éviter d’être débusqué il va effacer de ce programme, la même taille de caractères que son propre poids.

Exemple voici le code d’un virus :

"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR
>    -%q%H-$
>    -FILE!$H+H*"

J’ai volontairement remplacé une portion de code pour éviter aux petits malins de s’en servir, je ne vous donnerez aucune astuce pour détruire quoi que ce soit. Euh les clients qui ont des factures en retard…

Ce virus s’appelle Eicar, vous l’avez deviné sans doutes… Je ne vous donnerez pas sa fonction non plus, ce n’est pas le sujet.

Ce virus pèse 68 Kilo octets, alors pour se dissimuler dans votre PC, il va effacer pour 68 Ko de codes dans un de vos programmes, Word, Internet ou autres. C’est la phase I.

S’il connaît en plus les antivirus, et que le votre ne le connaît pas encore, il va de suite le paralyser, en coupant des morceaux de programme pour le rendre stérile.

 

Phase II la reproduction, nous allons supposer que c’est Paint qui est infecté. La première fois que vous lancerez Paint, il se logera en mémoire, s’occupera de la zone amorce du disque dur, infectera de suite trois fichiers système de commande, puis il s’installe dans un autre programme, pareil en coupant un morceau… Là le PC commence à « boiter » Windows plante apparemment sans raison, et c’est normal, il lui manque des morceaux de programmes, bon si c’est dans Word, et qu’il vous manque le correcteur orthographique, vous le voyez vite, mais s’il manque le complément pour le dictionnaire Allemand postérieur à la réforme de la grammaire Allemande, vous pouvez mettre du temps avant de vous en rendre compte…

 

Dés qu’il a pris le contrôle de fichier système, là pour lui c’est un régal, toute disquette, toute gravure, tout Zip sera infesté, et dans la zone amorce s’il vous plait, comme ça, à peine une disquette introduite, et sans copier quoi que ce soit, la disquette sera infestée.

 

Phase III Agir :  Là cela dépend bien sur de sa fonction programmée, par exemple avec une date, supposons qu’il soit programmé pour que le 4 juillet il formate le disque dur, à chaque allumage de la machine il vérifie la date système, si 4/07 = action, Si non rien.

 

A l’automne je vous avez averti d’un virus qui devait attaquer à jour fixe, donc en laissant la machine à l’arrêt ou en modifiant quelques jours avant la date pour sauter ce moment, on s’en tire, en attendant la désinfection.

 

 

 

VIRUS APPLET JAVA :

 

On l’attrape sur le Net, c’est une fonction de code du langage des navigateurs, aussi nocif que les autres, lui par contre agit très vite, il est intégré aux codes que votre machine lit et traduit en direct sur le Net.

 

VIRUS MACRO :

 

Un peu de vocabulaire, macro est un diminutif de macro commande, donc une série de commandes enregistrées dans les programmes. Ces macros sont devenues indispensables pour faire un travail répétitif sur la machine, les macros sont très puissantes puisque elles permettent de modifier la structure du disque. Donc les concepteurs de virus ont trouvé là un moyen facile de pénétrer votre système.

 

Un exemple de l’utilisation d’une macro : Vous voulez convertir sous Excel des données Francs en Euros, il est fastidieux de faire ce travail manuellement. Il faudrait dans une case à côté (appelée cellule ) faire un calcul du genre valeur de la cellule de gauche divisée par 6.55957, mettre la cellule avec le code E de l’euro, arrondir aux normes gouvernementale, et recommencer si vous en avez de partout. Une macro de ce type est représentée ci dessous : En vert les commentaires, toujours documenter les codes, c’est un principe un peu trop souvent ignoré… En orange le code.

 

Sub FrancsEnEuro()

'

' Transforme les Francs en euros avec passage au symbole €.

' Macro enregistrée le 29/12/2000 par Gérard

' Cette macro permet de passer à l'euro tout un ensemble

' de cellules, contiguës ou non, sélectionnées avec Control enfoncé

'D'abords vérifier si la cellule n’est pas déjà en euro

      If Selection.NumberFormat = "#,##0.00 [$€-1]" Then GoTo Line1:  

'Boucle pour éviter l'arrêt de la procédure si la cellule est un texte ou un calcul

      On Error Resume Next

 'La conversion pour chaque cellule avec arrondi aux normes

        For Each cell In Selection

    cell.Value = Round(cell.Formula / 6.55957, 2)

     ' La mise au format Euro qui évitera le risque d'une  2° conversion accidentelle.

    Selection.NumberFormat = "#,##0.00 [$€-1]"

     'Boucle pour les suivantes

    Next   

'Point d'arrêt si la feuille est déjà en Euro.

Line1:         End

 ‘Fin des commandes

End Sub

 

Donc une macro commence par Sub nom de la macro et se termine par End nom de la macro.

Bon on peut très bien ajouter des lignes du genre : entre deux conversions en euros va sur le disque dur, répertoire de Windows et efface les fichiers systèmes, tout simplement. Après l’arrêt laborieux du PC, il ne repartira plus.

 

Pour l’exemple c’était une macro pour Excel, mais Word fait pareil dans son langage, le Word Basic, et donc quand sur le Web vous chargez et ouvrez un fichier Word ( .doc ) qui vous dit qu’il n’y a pas à l’intérieur une macro de type Auto ouvrir ( donc auto exécutable ) qui va faire des dégâts…

 

VIRUS MAIL :

 

Ceux là, sont virulents, ils vous infecte, prennent vos adresses, et envoient via votre messagerie, des messages infectés à tous vos contacts.

Certains ont fait des ravages en novembre décembre, l’astuce qui tourne sur Internet via les courriers qui consiste à créer une fausse adresse 000@quelquechose ne fonctionne pas. Prenez l’habitude de toujours mettre un sujet, ne vous contentez pas du célèbre Re, il faut dans l’absolu que l’interlocuteur vous reconnaisse déjà dans le sujet.

 

 


FAUX VIRUS :

 

1° Cas : une fausse info destructrice.

Le message vous alerte de la propagation fulgurante d'un virus via le courrier électronique. De grandes sociétés sont en général à l'origine du message d'alerte (IBM, AOL, Microsoft, Disney,...). Le message vous encourage à prévenir le maximum de personnes. VERIFIER AVANT DE BLOQUER INTERNET !!!

Testez le nom qui doit obligatoirement être sur la liste, dans 99,99 % des cas c’est des faux pour bloquer des serveurs. Monsieur X reçoit un message de 3 Ko, il le renvoie à 10 personnes ( 30 Ko ) qui elles renvoient à 10 personnes ( 300 Ko ) et ainsi de suite, et les serveurs lâchent…

 

2° Cas : une autre fausse info destructrice.

Un cas méchant, et sui tourne toujours sur le Net par l’effet boule de neige, vous recevez ce message :

Attention un nouveau virus très dangereux ce répand sur la toile, Microsoft et IBM sont sur les dents, il détruit la zone amorce du disque dur, vérifiez vite votre machine, si vous trouvez le fichier mprexe.exe dans votre disque dur, prévenez vite vos contacts, vos amis, et détruisez ce fichier…. Il y a aussi ceux qui traquent les icônes étranges comme l'ourson de jdbgmgr.exe ou l'espèce de grosse bête icône de sulfnbk.exe.

 

Là sans aucun virus l’auteur a fait des dégâts…

 

Ajout : Une info de février 02 sur le même sujet, vient de m’arriver en question, d’un client responsable et méticuleux qui avant d’effacer me contacte par une question : Etes-vous au courant, et il me « Forwarde » ce qu’il a reçu :

Subject: VIRUS

 

Subject: IMPORTANT DANGER !!!!!!!!!!!!!!


>
> BONSOIR A TOUS 
> Vérifez vos ordinateurs !!!
>
>
> Ce mail m'a été envoyé par quelqu'un qui m'a dans son carnet
d'adresses. Un virus appelé sulfnbk.exe se transmet
automatiquement par le carnet d'adresses. Comme vous y êtes il
est probable qu'il ait infecté votre ordinateur. Il n'est pas
détectable par Norton ni McAfee et reste en attente 14 jours
avant de se manifester. Il endommage alors tout le système.
Comme je l'ai trouvé dans mon disque dur, il est possible que
vous l'ayez aussi. Il faut donc l'effacer avant qu'il ne se
manifeste. Pour cela faites les manouvres suivantes :
>
> 1. Aller à Démarrage, cliquez "rechercher"
> 2. Dans "Recherche" "Fichiers ou dossiers", écrivez
sulfnbk.exe
> 3. Assurez-vous que vous cherchez dans le disque "C"
> 4. Cliquez dans "cherchez maintenant"
> 5. Si le virus apparaît (c'est un icône noir moche qui a le
nom de
> sulfnbk.exe) NE L' OUVRE PAS!!!
> 6.Cliquez le bouton droit de la soutis et éliminer (il ira à
la poubelle)
> 7. Ouvrir la poubelle et l'éliminer définitivement ou vider
la poubelle.
>
> SI TU TROUVES CE VIRUS DANS TON ORDINATEUR,
> ENVOIE CE MESSAGE AUX PERSONNES QUI APPARAISSENT DANS TON
CARNET D'ADRESSES
> AVANT QU'IL NE PUISSE SE MANIFESTER
>
> Personnellement, il était sur mon disque dur alors faites
gaffe !!!

 

OK pas de signature de l’auteur, donc déjà louche, je fais de suite des recherches sur ma bécane, moi aussi j’ai ce fichier, il est signé Microsoft Windows 98. C’est un fichier système qu’on veut me faire détruire… C’est bien ce que je disais, bravo Vincent pour votre réaction, avant de lire mes propos !!!!

 

 

 

SE PROTEGER :

 

 

ASTUCE UNIVERSELLE :

 

Cadeau cette astuce que vous ne lirez à l’instant nulle part ailleurs, la vrai astuce Gérard Hesse, mais pour bien la comprendre et ne jamais l’oublier, il vous faut un petit cours sur le DOS ( on ne râle pas dans le fond s’il vous plait…)

 

Le Dos est toujours présent dans vos PC, depuis 1981, compris pécaïre, ceux qui souffrent sous Windows XP.

Un nom de fichier DOS se compose obligatoirement de 8 chiffres ou lettres, un point et 3 lettres pour l’extension, soit par exemple : AUTOEXEC.BAT

Autoexec étant le nom, Bat l’extension.

 

Windows vous autorise à employer des noms de fichiers plus long, avec même des espaces, comme :

MES DOCUMENTS.ZIP

Le DOS, ( Disk operating system  ) Système d’exploitation orienté disque, est derrière Windows, et c’est lui qui va enregistrer ce nom dans la table des fichiers, il va le tronquer, le couper, pour la compatibilité du système et donc dans cet exemple va nommer ce fichier : MESDOC~1.ZIP

 

Donc, voilà l’astuce, il ne peut y avoir qu’un seul point dans le nom du fichier.

 

Si vous trouvez dans les messages reçus deux points, pour sur c’est une attaque.

Exemple j’ai trouvé dans une boite à lettre d’un client un fichier joint « A lire.zip.doc »

 

Vous pouvez croire à un fichier Word ( pour .doc ) erreur c’est surtout un fichier ZIP, donc un fichier compacté, qui contient d’autres fichiers, avec virus pour sur…

 


EXEMPLE VISUEL :

 

 

Je précise que le correcteur orthographique, n’a relevé aucune erreur de Français sur ce message…

 

Message à vérifier, trombone en vue…

De plus je ne connais pas l’expéditeur «  Jacques Chirac » donc je me méfie, le trombone m’indique qu’il y a des pièces jointes. Double méfiance, je vais donc cliquer sur le trombone de la fenêtre DU BAS !!!

Pour avoir des précisions

 

 

Et je constate que le fichier joint s’appelle Amour POINT EXE POINT SCR (amour.exe.scr) donc cela n’existe pas sur les PC, Virus à tous les coups…

Si j’ai un doute, et que je veux quand même voir ( têtu le mec…), je choisis dans cette option à l’écran : Enregistrer les pièces jointes, je note l’emplacement, pour ne pas le perdre…, puis j’y vais par le poste de travail, disque dur… puis CLICK DROIT sur le fichier, Analyser avec l’antivirus.

 

Les utilisateurs d’Outlook en profiteront pour constater sur la fenêtre de droite de mon système, que l’on peut créer des dossiers pour ranger le courrier, j’ai donc un répertoire pour les commandes Internet, un pour les demandes de formation, et ainsi de suite, c’est possible, mais ce n’est pas le sujet.

 

POUR FINIR LA DESINFECTION.

 

Tenez votre antivirus à jour, un pare-feu est indispensable pour les abonnés au câble et l’ADSL, comme celui gratuit zonealarm.

 

http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/10024.html

 

Après l’infection, évitez de faire tourner la machine, vous aggravez souvent votre cas, mais pas toujours, cela dépend des virus. Cherchez sur le Net les outils de réparation, attention à vos amis qui s’y connaissent, avec une souris ils sont parfois redoutables. Visitez les sites de Macaffe, Symantec, Panda et autres Pc cilling, il y a souvent des utilitaires pour nettoyer votre pc de ce virus particulier, sinon, comme vous faites régulièrement des sauvegardes, il ne vous reste qu’a reformater ou amener votre machine chez l’Intégrateur du coin qui se fera un plaisir de sauver vos données, et de réparer la machine.

 

@+