Les effets des virus

Les effets des virus

Les hackers font face à un dilemme. Ils ne peuvent pas résister "à faire étalage" de leur productivité mais en même temps, ils doivent retarder la découverte du virus pour qu'il puisse se reproduire. Ils déclenchent leur produit à une date et un jour prédéterminés, vendredi 13 par exemple est très populaire. Ils peuvent aussi lier l'activation à des conditions spécifiques aléatoires. Par exemple, un virus choisit une position aléatoire à l'écran et s'il trouve un caractère là, il le remplacera par un autre.

Les virus apparaissent souvent comme certaines manipulations à l'écran - des caractères tombent en fond d'écran, une ambulance le traverse ou un message est affiché. Ces messages seraient une lecture intéressante pour un psychiatre, ou pour notre ami Philippe spécialiste en la matière ;-)), ce sont souvent des commentaires sur de nouvelles politiques, des groupes de publicité, la menace de destruction des données ou la présentation elle-même.

En dehors des effets visibles, il y a des effets acoustiques. Par exemple, un virus d'origine bulgare joue un air simple chaque matin et le 1er Mai joue l'Internationale.

Effets désagréables

Certains effets sont très gênants. Un virus prend le contrôle du clavier et substitue de temps à autre une touche à une autre, ex : "Tnis vifus actuzlly improvss mu typinb". Un autre virus "de touche" fait que quelle que soit la touche utilisée, rien n'apparaît à l'écran.

Il y a aussi les système affectant le temps. Ils font retarder les systèmes et c'est particulièrement agaçant pour les ouvriers qui doivent attendre pour rentrer chez eux. Plus sérieusement, ce type de virus peut causer le chaos dans les programmes qui dépendent du système temps ou date.

On a un peu plus résolu le problème du virus qui contrôle la commande COPY du DOS et parfois le changement de ses paramètres. Pour peu que COPY NEW.TXT ou OLD.TXT soit exécutée comme COPY OLD.TXT NEW.TXT et votre nouveau fichier est remplacé par l'ancien.

Certains virus peuvent vous coûter cher en disposant de votre modem. Nous ne connaissons pas celui qui compose des numéros de téléphone, mais aucun doute nous le verrons bientôt. Un virus particulièrement malveillant compose le 911 (le numéro de secours aux ETATS-UNIS) et active ainsi les services de secours.

Dommages

En général, les virus tentent de détruire des données sur le disque dur. Il faut signaler que la qualité du programme viral n'est pas nécessairement à hauteur des dégâts engendrés.

Des virus primaires recopient simplement le contenu des fichiers sans avertissement. Dans ce cas, le fichier ne peut être récupéré qu'en restaurant la sauvegarde. Cela peut prendre du temps, mais si une sauvegarde existe, ce n'est pas la fin du monde.

Il y a des formes plus insidieuses de destruction lentes, des changements à peine visibles des données. Si un virus qui contrôle le disque a été activé pendant un certain temps, il peut endommager certaines (et parfois toutes) les copies de secours. Trier les sauvegardes qui ont été affectées parmi les autres, peut être laborieux ou impossible.

Les macrovirus jouent avec des fichiers de données de l'utilisateur. Par exemple WM/Wazzu met le mot "wazzu" à des emplacements aléatoires choisis dans le document. Si vous faites une recherche sur Internet sur le mot "wazzu", vous serez étonnés du nombre de pages qui ont été infectées par WM/WAZZU.

Et imaginez ce qui arriverait si un macrovirus pour Excel a légèrement changé les valeurs de certaines cellules dans votre fichier XLS.

Techniques antivirus

Pour utiliser au mieux votre logiciel antivirus, vous devez comprendre un peu comment travaillent les antivirus. AVG emploie trois techniques pour détecter des virus. Si vous êtes intéressés par ces techniques, voir ces liens :

Recherche des virus connus

Essayer de trouver des virus inconnus

Observation des changements

Les techniques ci-dessus sont employées non seulement par AVG lui-même, mais aussi dans la protection résidente et le courrier électronique.

Traitement de fichier

en 1er, AVG contrôle les informations sur les fichiers stockés dans sa base de données. Puis il recherche dans les fichiers pour les virus connus et si aucun virus n'a été trouvé, lance l'analyse heuristique.

Si un fichier montre des composants qui peuvent être infectés (par exemple les fichiers EXE de Windows, des objets dans Power Point ou des fichiers archives), il fait un deuxième passage.

Recherche des virus connus

Les premiers programmes antivirus cherchaient seulement un nombre limité de virus spécifiques en se basant sur tous les signes qui accompagnent une infection, par exemple : si le premier octet est 0E9h et les deux suivants, après ajout de 907, donne la taille du fichier et les 20 derniers octets du fichier sont E8 00 00....

Si cette techique (appelée technique de recherche) était bien écrite, ce serait très fiable, mais très lent s'il faut chercher beaucoup de virus.

L'étape suivante a été la création d'un scanner - un programme qui cherche dans des fichiers une série d'instructions typiques d'un virus particulier. Pour chaque virus, un ordre approprié d'octets (une série de scan) est choisi, par exemple. B4 3ème CD 21 B8 00 00. Chaque fichier est alors vérifié pour voir s'il contient cet ordre. Si une anomalie est trouvée, le fichier est déclaré "infecté". La sélection de l'ordre n'est pas facile - elle ne doit pas entrer dans d'autres programmes pour empêcher des fausses alarmes. Le grand avantage des scanners est qu'ils peuvent être facilement élargis aux nouvelles normes des nouveaux virus. Comme 2000 nouveaux virus apparaissent chaque année, cet avantage est inestimable.

Evidemment, les pirates essayent de rendre la détection de leurs créations aussi difficile que possible. Un nouveau terme a été inventé - le virus polymorphe. Ces virus changent leur code autant que possible par incrémentation pour qu'une série de scan appropriée soit difficile ou même impossible à établir. Heureusement, ce type de chiffrage était assez long pour permettre de choisir une série de scan appropriée. Plus tard, cependant, ces types ont été améliorés et les fabricants d'antivirus ont dû réagir en créant de nouvelles fonctions.

AVG contient les émulateurs de code machine qui imitent l'exécution du type de décryptage. En pratique, cela signifie qu'AVG est capable de démêler un virus chiffré pour l'examiner dans sa forme décryptée par les mêmes méthodes qui ont été employées pour les virus simples.

Mais l'utilisation seule de séries de scan peut gêner l'éradication du virus (en particulier quand arrive une nouvelle version d'un virus, détecté avec les mêmes séries de scan, mais exige une autre technique d'éradication).

Analyse Heuristique

L'analyse heuristique n'est ni une expression à la mode, ni une sorte de magie noire. C'est une approche sérieuse, scientifique d'analyse du code exécutable qui cherche certaines activités qui sont associées aux virus informatiques.

Comment fonctionnent les analyses heuristiques :

Commençons par regarder dans deux segments de code très courts pris dans des virus de boot différents. Dans la colonne gauche, la représentation binaire de certaines instructions d'UC. La colonne droite contient leur équivalent symbolique.

A3 13 04 MOV [0413h],AX

B1 06 MOV CL,6

D3 E0 SHL AX,CL

2D C0 07 SUB AX,07C0

8E C0 MOV ES,AX

8E 00 7C MOV SI,7C00h

8B FE MOV DI,SI

B9 00 01 MOV CX,100h

F3 A5 REP MOVSW

26 A1 13 04 MOV AX,ES:[0413h]

B1 06 MOV CL,6

D3 E0 SHL AX,CL

BE C0 MOV ES,AX

33 FF XOR DI,DI

B9 FF 00 MOV CX,00FF

FC CLD

F3 A5 REP MOVSW

La fonctionnalité de ces deux segments de code est la même. Même sans connaissance de programmation de base, on voit que ces segments sont semblables.

En comparant les instructions machine, nous trouvons des octets de mêmes valeurs dans les deux segments de code :

13 04 B1 06 D3 E0 (0-3) 8E C0 (6-8) F3 A5

( Remarque : les nombres entre parenthèses indiquent la gamme d'octets qui peuvent être des valeurs constantes).

Si nous faisons ce "type de recherche" plus complexe :

13 04 (0-18) B1 06 D3 (0-40) F3

en cherchons dans l'énorme base de données de virus de boot, nous sommes surpris : nous pouvons détecter environ 30 % de virus de boot connus et environ 50 % de tous les virus de boot.

Techniquement, cette méthode est appelée heuristique (c'est en fait la méthode employée quand l'analyse heuristique a été inventée).

Comment fonctionnent nos analyses heuristiques

Les capacités heuristiques d'AVG sont construites par notre émulateur de code. C'est "un ordinateur virtuel" dans lequel nous pouvons imiter un programme ou une fonction système comme le boot ou le rapport de boot en maître.

Que fait le code l'émulation ? L'émulateur de code charge le programme (ou le secteur de données) qui doit être imité en mémoire virtuelle. Imité (et probablement dangereux) le code n'est pas exécuté directement par le processeur. L'émulateur de code prend chaque instruction et simule son action d'une façon sûre. Tous les accès mémoire sont isolés de la mémoire réelle employée par d'autres programmes. Il faut éviter d'activer un virus. Le code imité ne peut pas affecter l'ordinateur.

Grâce à cette émulation précise, peu importe si le code a été altéré ou chiffré. Même les virus polymorphes sont décryptés avant que leur corps ne soit analysé.

Dans cette étape d'émulation, l'analyseur heuristique AVG essaie de reconnaître la signification logique des instructions (celles du programme) et de distinguer un programme innocent et un segment de code viral. On y arrive en appliquant beaucoup de règles qui changent de façon dynamique pendant l'émulation.

Voici l'approche statique comparée pour coder l'émulation avec un exemple court :

Ce fragment de code écrit 3 octets au fichier

B4 40 MOV OH, 40ème ; ID pour opération

B9 03 00 MOV CX, 3 ; nombre d'octets

CD 21 INT 21ème ; appel du système d'exploitation

Nous pouvons écrire le code avec exactement la même signification de plusieurs façons :

B4 45 MOV OH, 45ème 29 C9 SUB CX, CX

80 CE 05 SUB OH, 5ème 83 C1 03 AJOUTE CX, 3

B9 03 00 MOV CX, 3 B4 45 MOV OH, 45ème

CD 21 INT 21ème CD 21 INT 21ème

Il est évident que choisir un modèle de recherche même pour une petite quantité (insignifiante) les variantes sont impossibles. Les pas d'émulation du code simulent chaque instruction et quand le système d'exploitation est lancé, il reconnaît toutes les valeurs dans tous les CPU.

Avantages et inconvénients des analyses heuristiques

Le principal avantage est de pouvoir attraper des nouveaux virus. Autre méthode possible : la vérification d'intégrité. Cette méthode est basée sur l'observation des changements de ressources système protégées (comme les programmes). Mais cette méthode ne détecte le virus qu'après avoir eu certains effets sur le système (comme le transfert entre programmes). Seule l'analyse heuristique peut trouver les nouveaux virus avant qu'ils n'aient pu faire du mal.

Les limites de l'analyse heuristique

En comprenant les analyse heuristiques, nous comprenons aussi certaines de ses limites. En premier, l'analyse heuristique peut détecter des virus écrits par l'assembleur, mais pas à tous les niveaux de programmation des langages comme C, Pascal, ou Basic, parce que le code de démarrage pour des langages complexes est vaste. Cependant, la plupart des virus sont écrits par l'assembleur. Les programmes écrits en langage de programmation de haut niveau sont plus gros et emploient des grandes bibliothèques. Comme l'analyse heuristique n'a pas des ressources illimitées (la quantité de mémoire n'est pas infinie et l'analyse doit être faite dans un délai acceptable), elle ne peut pas détecter le comportement viral de programmes créés avec des langages de programmation de haut niveau.

La deuxième limite est la cible de l'analyse heuristique. Elle est basée sur une connaissance détaillée des objets examinés. Pour les programmes, qui peuvent faire comme n'importe quel CPU (même les instructions qui ne sont pas indiquées par le fabricant), exemple, comment est lancé le programme et chargé en mémoire, les fonctions du système d'exploitation (y compris bien sûr, des fonctions cachées) et les emplacements exacts de mémoire spéciaux employés par le BIOS ou le DOS.

Les résultats d'analyse heuristique

Il est très important de comprendre que l'analyse heuristique n'est pas une méthode qui peut trouver 100 % de tous les virus connus et inconnus. C'est une méthode complémentaire, qui augmente les chances de trouver des virus avant qu'ils ne fassent des dégâts. Si cette méthode est combinée avec la vérification d'intégrité et le scan pour virus connus (exactement comme dans AVG), le résultat est très proche d'une protection 100 %.

Test d'intégrité

Un essai d'intégrité se fait en comparant l'état des secteurs système et fichiers avec leur image précédemment stockée dans une base de données.

Votre Ordinateur est votre château fort

Sauf absolue nécessité, ne laissez personne utiliser votre ordinateur sans votre autorisation. Si vous maintenez votre PC propre, ne laissez personne insérer des disquettes ou un CD d'origine douteuse.

N'ayez confiance en personne

Analysez chaque disquette qui doit être insérée dans votre lecteur. Vous paraîtrez peut-être paranoïaque, mais vous serez récompensé en trouvant un virus sur une disquette fournie par un ami qui vous a assuré qu'elle était propre. Il n'y a aucune exception à cette règle. Même les disquettes distribuées par de grands fabricants et des vendeurs de logiciel ont été trouvées infectées.

Ne vous faites pas confiance

Analysez les disquettes qui ne vous appartiennent pas même si vous n'avez pas besoin de sauvegarder des données. Ainsi, vous ne pourrez pas être accusé d'infecter les disquettes d'autres personnes si votre ordinateur a été infecté et vous empêcherez une nouvelle contamination par le virus.

De temps en temps, bootez avec une disquette propre et lancez AVG

Comme nous avons mentionné ci-dessus, les risques d'infection virale sont minimes, mais existent toujours . Un virus bien écrit peut être conçu pour empêcher sa détection par votre logiciel antivirus, même si vos logiciels sont très bons. Si un virus trompe votre logiciel antivirus, la seule façon d'avoir un environnement propre est de démarrer avec une disquette propre. Vous éviterez de charger le virus en mémoire.

Sauvegardez vos données

Les copies de secours sont importantes, pas seulement à cause des virus, mais parce que les disques durs peuvent tomber en panne, les ordinateurs peuvent être volés etc. Dans ce cas, un jeu de sauvegardes est inestimable. Nous recommandons d'utiliser des sauvegardes pour retrouver les données originales avant que le système ne soit infecté. Par exemple, le virus Ser_No change de temps en temps des octets de façon aléatoire dans vos données. Si vous n'avez pas de sauvegarde avant l'infection, la restitution de vos données peut être très laborieuse.

Prévention constante

Tous les systèmes antivirus (y compris AVG) vieillissent. Donc il est très important de les mettre à jour régulièrement. Rappelez-vous mettre à jour votre logiciel se fait à deux niveaux. Le premier doit continuer à ajouter séries de scan à votre base de données. A faire mensuellement ou au moins tous les deux mois. Se fait très facilement via Internet et AVG est capable de mettre à jour les fichiers en ligne automatiquement. Le deuxième niveau est une MISE À NIVEAU VERSION et incorpore les principaux changements au programme antivirus - la détection de nouvelles sortes de virus peut nécessiter de nouvelles techniques.

Soyez observateur

Soyez vigilant avec le comportement de votre ordinateur et noter toutes sortes d'irrégularités pouvant être causées par un virus.

N'ayez pas peur de demander

Si vous estimez que votre ordinateur fait quelque chose qu'il ne doit pas faire - adressez vous directement sur la Mailiste SoSWindows nos spécialistes vous répondront et rechercheront avec vous une solution.

Finalement

Si vous ne lisez pas la documentation fournie avec votre traitement de texte, vous trouverez difficile ou n'arriverez pas à utiliser beaucoup de ses particularités. Mais ne pas lire votre manuel antivirus ou ce tutorial pourrait être plus coûteux. Mais, bien sûr, vous l'avez lu !

Les composants d'AVG

Le pack AVG contient ces programmes :

AVG pour Windows

AVG pour Windows est conçu pour vérifier les disques durs, les répertoires et les fichiers sur votre ordinateur. Il doit être lancé manuellement ou automatiquement. Le programme communique par ses interfaces avec les utilisateurs et leur permet de choisir des fonctions et voir des résultats à l'écran.

AVG Protection résidente

est installée dans votre système d'exploitation Windows. Il contrôlera et vérifiera tous les fichiers et disquettes en arrière-plan, avant de vous permettre de travailler avec eux.

AVG Scanner d'email

supporte Microsoft Outlook. Le programme vérifie les messages entrants et sortants et leurs pièces jointes.

AVG Centre de Contrôle

commande les autres composants. Cette application est lancée avec Windows. Il lance les tests prévus, permet l'installation de la Protection résidente et le scan du courrier électronique, gère les mises à jour programmées et manuelles.

AVG Shell Extension

est un utilitaire simple. Il permet un contrôle rapide antivirus de n'importe quelle application e, employant un menu "contextuel", activé par un clic droit de souris.

AVG Virus Vault (quarantaine)

stocke les fichiers infectés supprimés par l'utilisateur. Il permet la restauration de fichiers si nécessaire.

AVG SOS program

est conçu pour vous fournir "les premiers secours" dans le cas où vous ne pouvez pas employer votre AVG pour la protection de Windows. Quand les parties les plus critiques de votre ordinateur sont infectées, il est nécessaire de démarrer le système d'exploitation à partir d'une disquette système propre.

Pour créer une disquette système, vous aurez besoin d'une disquette haute densité vierge. Ensuite, cliquer sur Démarrer, Options, Panneau de configuration. Un double-clic sur Ajout/suppression de Programmes. Choisissez l'onglet Disque de démarrage et cliquer sur le bouton Créer une disquette de boot. Votre disquette sera formatée et les fichiers système seront copiés.

AVG pour Windows

AVG pour Windows est un des composants d'AVG Système.

Son but est de lancer les tests de détection de virus informatique. Ces tests vérifieront la présence de virus dans les lecteurs et les répertoires, l'éradication de virus détectés ou leur mise en quarantaire.

L'apparence et l'évolution des fonctions diffèrent en fonction de l'interface employée - de BASE ou AVANCÉE.

AVG pour Windows avec Interface de BASE

Le programme est conçu pour fournir une protection complète et fiable contre les virus informatiques avec intervention minimale de l'utilisateur. Fonctions principales :

Complete Test - vérifiera tous les disques durs et les fichiers stockés sur votre ordinateur.

Removable Media Test - vérifiera n'importe quel lecteur amovible à la demande de l'utilisateur.

Test Results - affiche les résultats enregistrés par AVG et peuvent être imprimés.

Scheduler - le Planificateur lance automatiquement le test complet.

Create Rescue Disc - vous permet de faire une copie de secours des secteurs système les plus importants et d'utiliser AVG SOS.

AVG pour Windows avec Interface AVANCÉE

offre toutes les fonctions du programme et ses options. Bien que cette version ne contienne pas le mode AVANCÉ, une version professionnelle est disponible avec les fonctions suivantes :

Main Test - permet de tester n'importe quel lecteur ou répertoire sur votre ordinateur ou réseau.

Quick Test - vérifiera seulement les fichiers de système les plus importants et les secteurs système.

Complete Test - vérifiera les fichiers sur tous les disques durs.

Test Manager - Configure le gestionnaire pour permettre la création de nouveaux tests et les paramètres dont ils ont besoin.

Test Results- permettent de voir et imprimer les résultats enregistrés.

Create Rescue Disc - vous permet de faire une copie de secours des secteurs système les plus importants et d'utiliser AVG SOS.

AVG Centre de Contrôle

est installé pendant l'installation d'AVG sur votre ordinateur. Il exécute ces fonctions :

Réglage des paramètres de la protection résidente

Réglage des paramètres du scanner d'email

Planification des tests

Comment activer le Centre de Contrôle d'AVG

fonctionne automatiquement au démarrage de Windows. Vous pouvez vérifier sa présence en plaçant votre souris sur l'icône placée dans votre plateau système en bas à droite de votre écran. Activez le Centre de Contrôle AVG en faisant un clic gauche sur cette icône.

La fenêtre du Centre de Contrôle s'affichera sur votre écran.

Que faire si le Centre de Contrôle AVG n'est pas actif ?

Si l'icône n'est pas sur votre plateau système, cela signifie que le programme n'est pas actif. Dans ce cas, vous ne pouvez pas faire de tests, ni employer l'option de mise à jour automatique pour garder votre base de données virale à jour. Activez AVG comme ci-dessus dans la section, Comment activer AVG.

Lancez le programme. Dés le début, vous verrez l'état dans le panneau de statut. Un message d'avertissement vous informera qu'AVG n'est pas actif.

Appuyez sur le bouton de ce message d'avertissement. Une autre fenêtre avec plus d'information apparaîtra. Cliquer sur le bouton Activate, et le Centre de Contrôle sera activé.

AVG Centre de Contrôle - Réglage de la protection résidente

Vous pouvez personnellement configurer la protection résidente pour protéger votre ordinateur ou vous pouvez garder les réglages par défaut. Les paramètres peuvent être changés dans le Centre de Contrôle.

La fenêtre du Centre de Contrôle s'affichera sur votre écran.

Que faire si le Centre de Contrôle AVG n'est pas actif ?

Lancez le programme. Dés le début, vous verrez l'état dans le panneau de statut. Un message d'avertissement vous informera qu'AVG n'est pas actif.

Appuyez sur le bouton de ce message d'avertissement. Une autre fenêtre avec plus d'information apparaîtra. Cliquer sur le bouton Activate, et le Centre de Contrôle sera activé.

AVG Centre de Contrôle - Réglage de la protection résidente

Gamme de Détection: >>>SUITE>>>

<<<<<<RETOUR