Site Internet de Medasys

Rate this post

vaguemedasys_01-6621890 vaguemedasys_02-6862799
vaguemedasys_03-3317136 vaguemedasys_04-8817272 vaguemedasys_05-5122852 vaguemedasys_06-7722880 vaguemedasys_07-2160263 vaguemedasys_08-9016489 vaguemedasys_09-7965383 vaguemedasys_10-4269564
vaguemedasys_11-3006424

forme_haut-1683090
mis-9642441

esecurite-8770367
avissecurite-1172975
nosoutils-6816603
notreservice-7199378
lestechno-6346523
firewalls-9148947
vpn-8309882
detectintrusion-1986036
controlecontenu-2268062
authentification-7870302
lesvirus-3258950
lesproduits-1952083
voscontacts-7937933

detailentreprise-5835096

forme_bas-8364718

victor-6631403

medasysinfra-4351569
esecurite2-3104207

people5-2899128

Technologies : Les Virus

les mises à jours les différents types le fonctionnement se défendre

Se défendre

Quelques précautions

Certaines précautions, certains paramétrages peuvent éviter bon nombre d’infections ou réduire leur importance. On veillera à ne pas charger de programme suspect (comme un programme reçu sur IRC, par messagerie, téléchargé, prêté par un ami…) sans s’assurer de sa provenance. On peut aussi éviter de laisser des fichiers comme DEBUG.COM, SYS.COM, FDISK.COM sous leur nom d’origine.

Les macro-virus peuvent être rendus inoffensifs par certaines précautions  

  • Dans la mesure du possible, ne pas charger les Macro quand le logiciel le demande à l’ouverture du document.

  • Si la protection n’est pas activée : dans le menu Outil/Macro/Visual Basic Editor, choisir NORMAL et Outil/Propriété Normal/Protection, choisir un mot de passe et quitter tout en enregistrant.

  • Protéger en écriture le fichier NORMAL.DOT : Outil/Option/Général et cocher « Protection contre les virus contenus dans les macros ».

  • Vérifier ses changements (on peut automatiser cette vérification en sauvegardant unbon fichier NORMAL.DOT et en le comparant au démarrage par : diff normal.ok normal.dot.

  • Utiliser un format de fichier du type .RTF (pour les textes) qui ne contient pas de macros. De surcroît, tout le monde pourra charger sans problème le document, même avec une version antérieure du logiciel.

De même, Back Orifice peut se détecter facilement

  • L’installation se fait à l’aide du cheval de Troie BOSERVE.EXE (mais certainement sous un autre nom) et installe un exécutable dans c:\WINDOWS\SYSTEM nommé .EXE blank point EXE.

  • L’installation modifie ensuite la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices pour lui ajouter la valeur .EXE pour que Back Orifice soit lancé avant la session utilisateur.

  • La suppression du programme et de la clé rend le système dans son état normal après un redémarrage. Certains utilitaires font la désinfection automatiquement.

Les logiciels Anti-virus

Ces logiciels ont pour rôle de détecter et d’éradiquer les virus sur les disques, le réseau, en mémoire. Ils doivent être capables de détecter tous les virus connus avec des mises à jour régulières (automatiques ?) et certains virus inconnus. De même, les virus peuvent être cachés sous une autre extension qu’un exécutable, compressé (et récursivement plusieurs fois).

Ils doivent être installés sur tous les points d’entrée avec le système informatique : terminaux et noeuds du réseau.

Tous les produits cités sont capables de détecter les virus connus, les macro-virus, de scanner les fichiers compressés, les applets Java et ActiveX et ceux attachés à des courriers.

Tegam Vi-Guard : pour DOS, windows 3.1, 9X. 6Mo sur le disque dur et 8Mo de RAM.
Moteur : contrôleur d’intégrité. Aucune mise à jour. Réseau : un déploiement automatique est effectué sur tous les postes ainsi que des alertes centralisées. Un paramétrage utilisateur est possible. Ce logiciel présente l’avantage de détecter la majorité des virus connus ou inconnus sans mise à jour et sans surcoût. Mais il ralentira le réseau par sa base de données de sommes de contrôle. A noter que pour les virus macro, le logiciel détecte celles créées par l’utilisateur et permet d’octroyer un « passeport » à une macro qui est saine et à qui on a donné le droit d’être utilisée sur le réseau.

McAfee Viruscan 4 : pour Windows 9X, 10Mo de disque dur. Moteur : recherche de signature, mise à jour automatique possible, et manuelle tous les mois, gratuitement mais il faut toujours acheter la dernière version en date. Pas de gestion réseau, contrôle uniquement les disques locaux d’un poste et les téléchargements du poste. Ce logiciel est parmis les plus célèbres mais nécessite des mises à jour régulières. La notion de réseau est inexistante.

F-Secure : pour DOS, WIN 9X, NT, OS/2 Moteur : recherche de signature, méthode heuristique. Mise à jour automatique sous NT. Administration centrale totale. Retour des rapports et des copies des fichiers infectés. F-Secure est composé de l’antivirus de fichier F-prot et du module réseau AVP. Tout l’environnement est paramétrable.
Panda Antivirus Platinium : pour Win 9X Moteurs : recherche de signature et heuristique. Mise à jour automatique possible toutes les 24heures. Existence d’une hotline virus. Administration centralisée. Monitorisation possible avec Panda Anti-Virus Administrator. 350 FF HT + mises à jour gratuites ? Ce logiciel permet une installation à distance (réseau local), est paramétrable avec de nombreuses options et ne coûte pas cher.
Symantec Norton Anti-Virus 5 : Windows, Mac et FireWall, 24 Mo sur HD et 16 Mo de RAM (version Win9X). Moteurs : recherche de signature et heuristique. Mise à jour automatique possible. Prix $45 + $4 par an pour la mise à jour une fois par semaine. Surveillance réseau avec NAV FireWall. Pas d’administration centralisée A noter la mise en quarantaine des fichiers infectés non récupérables pour attendre une récupération.

TrendMicro Interscan VirusWall : Windows NT, Solaris, HP/UX, linux, 100 à 500 Mo sur le disque dur (s’explique par la présence de fichiers swap) et 64 Mo de RAM. Moteurs : Moteur propriétaire TrendMicro Mise à jour bimensuelle (automatique possible) et le plus rapidement possible en cas d’urgence (nouveau virus dangereux). Le programme se gère sur un poste ou à distance avec un browser. Le logiciel très gourmand en ressources et en OS (par ex NT Service Pack 3 minimum) surveille le traffic SMTP, HTTP et FTP. Il propose un contrôle du contenu personnalisable, des statistiques de traffic e-mail et un filtre de spam mail entièrement paramétrable.

Les méthodes de détection de virus :

  • Scanning ou Pattern Matching (Recherche de signature)
    Chaque virus a sa propre signature, c’est à dire une suite d’octets qui est caractéristique à son code. Les virus polymorphes ont été inventés pour pallier à cet inconvénient car les virus sont très vite repérés et indexés par les éditeurs.

  • Contrôleur d’intégrité
    Il s’agit ici de gérer une base de données de sommes de contrôle (comme CRC : Cyclic Redondancy Code) et d’informations comme la date de dernière modification, la taille. Ainsi toute variation de ces données donnera lieu à des alertes. Cette méthode présente l’avantage de ne pas laisser passer de modification de fichiers mais en contrepartie avec beaucoup de fausses alertes comme par exemple lorsqu’on crée de nouveaux programmes.

  • Moniteur de comportement Cette méthode surveille l’activité du processeur pour repérer des instructions fréquemment utilisées par les virus. Par exemple, les tentatives d’ouverture en lecture/écriture des fichiers éxécutables, des secteurs de partitions et de démarrage ou les tentatives pour devenir résident. Cette méthode permet souvent de détecter les virus polymorphes en détectant des activités de chiffrement sur du code.

  • Analyse heuristique
    L’analyse heuristique est à rapprocher du moniteur de comportement mais elle agit sur du code sur le disque ou en mémoire, pas en cours d’exécution. Elle est surtout efficace pour détecter des routines de chiffrement (virus polymorphes) ou des suites d’instructions « louches » comme des suites de lecture suivies de suite d’écriture sur le disque. Un bon algorithme d’analyse heuristique peut détecter jusqu’à 75% des nouveaux virus. Une analyse par un autre moyen doit donc être systématiquement utilisée.

  • Analyse « spectrale » L’analyse spectrale recherche les virus polymorphes. Leur code est crypté sur le disque et donc apparaît comme une suite d’instructions incohérentes. L’analyseur calcule un taux de cohérence du code sur une suite d’un nombre défini d’octets et donne l’alerte pour une valeur trop faible.

  • Intervient ensuite l’éradication du virus, qui nécessite selon les cas une destruction des données, ou une méthode propre à chaque variante de virus (par exemple, lorsque le code est fractionné dans le fichier infecté). On peut ici souligner l’importance de la notion de sauvegarde pour des données critiques comme le secteur boot, le master boot sector, les fichiers de données importants, les fichiers (comme des .DLL systèmes) vitaux pour le système d’exploitation ou l’interface IHM. Il est important de réaliser la « disquette d’urgence » proposée à l’installation de l’anti-virus.

Et le réseau Le réseau Internet est aujourd’hui le principal vecteur de propagation, au moyen des messages SMTP et des flux http et ftp. Une protection au niveau réseau est donc nécessaire. Il sera en outre très difficile de contrôler le trafic réalisé par modem.

On peut, sur le réseau local, découper la sécurité par composante :

  • le firewall : élément nécessaire mais pas suffisant car le contenu n’est pas contrôlé.

  • une solution anti-virus, au niveau applicatif (proxy) est indispensable. Celle-ci est généralement proposée avec un système de contrôle de contenu (pages autorisées, interdiction de sortie de données confidentielles, etc.)
    Cette solution a deux modes de fonctionnements distincts :

    • En mode CVP (Content Vectoring Protocol)
      Le filtre viral dialogue avec le firewall qui l’interroge à chaque passage d’information à travers celui-ci. Le travail est réalisé de façon transparente pour les utilisateurs.

    • En mode proxy Si on prend l’exemple d’un relais SMTP : le serveur relais anti-virus SMTP est vu comme le serveur de messagerie publique. Il purge le message au cours du passage.

      La même chose est possible pour un courrier sortant du réseau local mais la contamination virale peut se faire après.

Lire aussi...  3.11 Job Control