![]() |
Lutte AntiMalware / AntiMalware Fight
-prévention / -Prevention |
Cette page provient d'articles de Mike Healan, de Pierre Pinard, de TomCoyotte, d'Eric L. Howes (U. Illinois), de TonyKlein, de SecUser.com et de diverses lectures dont L'OI n°160 - Avril 2004. |
Given malwares spread making light of the distinction between categories of tools (virus, worm, Trojan, spyware, spam, etc.), this page tries to be general! |
- La sécurisation semble ne pas être le souci premier de l'éditeur - Ces logiciels sont tout particulièrement dans la ligne de mire des pirates vu leur énorme diffusion ! Certains préconisent un navigateur (Mozilla, Firefox -Firefox -tutoriel- ou Opera) et un client de messagerie (Kaufman Mail Warrior, Mozilla Thunderbird) exotiques, au moins pour les opérations à risque. | ![]() |
- Security doesn't seem to be the aim #1 of the editor - These softwares are particularly in the line of sight of crackers given their huge diffusion! Some people advise an exotic browser (Mozilla, Firefox -Firefox -tutorial- or Opera) and a mail client (Kaufman Mail Warrior, Mozilla Thunderbird) , at least for risky operations. |
Si, pour une raison quelconque, vous devez utiliser les logiciels de Microsoft, il y a moyen de les améliorer raisonnablement. | ![]() | If, for some reason, you should use Microsoft softwares, there's a mean to improve them reasonably. |
![]() - Sur Internet, Windows Update et ses applicatifs (Office-update, etc.) - ou Démarrer/Windows Update - ou dans IE, Outils/Windows Update. Si apparaît une fenêtre "Avertissement de sécurité", cliquer sur "Oui" Rechercher/Examiner les mises à jour et les installer/Installer maintenant/suivre l'assistant/si un message le demande, redémarrer le PC. Renouveler l'opération jusqu'à ce qu'il n'y ait plus de mises à jour disponibles dans la catégorie "Critique". Attention toutefois à garder un oeil sur l'opération car les mises à jour nécessitant un redémarrage de l'ordinateur ne seront pas réalisées automatiquement. | ![]() |
![]() - On the Internet, Windows Update and its applicatives (Office-update, etc.) - or Start/Windows Update - or in IE, Tools/Windows Update. If a "Security Warning" window appeared, click on "Yes" Scan for updates/Review and install updates/Install now button/follow assistant/if a message asks it, restart comp. Renew operation till there's no available updates left in the "Critical" category. However, take care to keep an eye on the operation because updates that need a computer reboot won't be performed automatically. |
| ![]() |
|
Remplacer Microsoft Java VM par Sun Java. Il y a plusieurs hijackers qui exploitent les failles de Microsoft Java VM. Le Java de Sun est plus sécurisé et plus au goût du jour. S'assurer, dans les options, que Sun Java JRE est paramétré pour fonctionner avec Internet Explorer. | ![]() | Replace Microsoft Java VM with Sun Java. There are several hijackers that exploit flaws in Microsoft Java VM. Sun's Java is more secure and more up to date. Make certain, in Java's options, that Sun
Java JRE is set to work with Internet Explorer. |
Cliquer à nouveau sur Personnaliser le niveau/choisir les options décrites ci-dessous : - Composants dépendant du .NET Framework - ---Exécuter des composants non signés avec Authenticode (Désactiver) ---Exécuter des composants signés avec Authenticode (Demander) - Contrôles ActiveX et plug-ins - ---Contrôles ActiveX reconnus sûrs pour l'écriture de scripts (Demander) ---Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés (Désactiver) ---Exécuter les contrôles ActiveX et les plugins (Activer) (Ceci est en fait relatif à Java et Flash, non à ActiveX) ---Télécharger les contrôles ActiveX non signés (Désactiver) ---Télécharger les contrôles ActiveX signés (Demander) - Divers - ---Accès aux sources de données sur plusieurs domaines (Désactiver) ---Autorisations pour les chaînes du logiciel (Haute sécurité) ---Glisser-déplacer ou copier-coller des fichiers (Demander) ---Installation des éléments du bureau (Demander) ---Lancement des programmes et des fichiers dans un IFRAME (Demander) ---Navigation de sous-cadres sur différents domaines (Demander) ---Permanence des données Utilisateur (Désactiver) - Microsoft VM - ---autorisations Java (Haute sécurité) - Script - ---Permettre les opérations de collage via le script (Demander) ---Script des applets Java (Demander). Bloquer les cookies indiscrets (IE6) - Outils/Options Internet/onglet Confidentialité/déplacer le curseur sur "Moyenne"/OK. Pour autoriser les cookies sur certains sites, double cliquer sur le petit panneau de sens interdit (barre d'état)/clic droit sur le cookie bloqué et choisir "Toujours accepter les cookies de ce site"/Fermer. Un fichier d'Eric L. Howes très utile est Enough is Enough. | ![]() |
Click "Custom Level" again/set your options just as listed below: - .NET Framework-reliant components - ---Run components not signed with Authenticode (Disable) ---Run components signed with Authenticode (Prompt) - ActiveX controls and plug-ins - ---Download signed ActiveX controls (Prompt) ---Download unsigned ActiveX controls (Disable) ---Initialize and script ActiveX controls not marked as safe (Disable) ---Run ActiveX controls and plug-ins (Enabled) (This actually refers to Java and Flash, not ActiveX) ---Script ActiveX controls marked safe for scripting (Prompt) - Microsoft VM - ---Java permissions (High Safety) - Miscellaneous - ---Access data sources across domains (Disable) ---Drag and drop or copy and paste files (Prompt) ---Installation of desktop items (Prompt) ---Launching programs and files in an IFRAME (Prompt) ---Navigate sub-frames across different domains (Prompt) ---Software channel permissions (High safety) ---Userdata persistance (Disable) - Scripting - ---Allow paste operations via script (Prompt) ---Scripting of Java applets (Prompt). Block inquisitive cookies (IE6) - Tools/Internet Options/Privacy tab/move cursor to "Medium"/OK. To allow cookies on some sites, double click on the small sign (status bar)/right click on the blocked cookie and choose "Always accept cookies from this site"/Close. Another very handy file by Eric L. Howes is Enough is Enough. |
![]() ![]() ![]() Activer les protections résidentes ! Vu la variété des spywares, aucun utilitaire ne détectant de manière exhaustive, il faudra utiliser plusieurs non résidents. antitrojan (pas de résident gratuit). antispam - Spamihilator (Michel Krämer), OutClock (Alain Tauber), Spampal (James Farmer), Spam Eater (High Mountain Software). logiciel de contrôle parental - Guide L'Internaute ... gratuits : SurfPass (Fabrice Pringent), Don't See-Arobas ou Don't See-cestfacile (Rémy Delefosse), LogProtect (Michael Ballester, Luc Bellego, Philippe Jarlov), FreeParentalControl (Proxymis), Internet Controller (Andrea Nono), KiddyWeb (Wzeos Software), ICRA Plus (ICRA), LCPA Lite (ADH-IT & Innocence en danger). ... commerciaux : Cybersitter (Solid Oak Software), Cyber Patrol (Surfcontrol), Netnanny (Bionet Systems). Ces logiciels sont loin d'être au point ! ils ralentissent le système et ne filtrent pas efficacement. Ces logiciels ne peuvent être que résidents, évidemment ! En conséquence, compenser par éducation !... Un très bon post de Clément sur PCA... un autre excellent site : Action Innocence Group... encore une discussion : ngchrist sur Zeb' ! | ![]() |
![]() ![]() ![]() Activate resident protections! Given the variety of spywares, no utility being able to detect exhaustively, several non residents will have to be used. antitrojan (no free resident one). antispam - Spamihilator (Michel Krämer), OutClock (Alain Tauber), Spampal (James Farmer), Spam Eater (High Mountain Software). parental control software - Guide L'Internaute ... free: SurfPass (Fabrice Pringent), Don't See-Arobas or Don't See-cestfacile (Rémy Delefosse), LogProtect (Michael Ballester, Luc Bellego, Philippe Jarlov), FreeParentalControl (Proxymis), Internet Controller (Andrea Nono), KiddyWeb (Wzeos Software), ICRA Plus (ICRA), LCPA Lite (ADH-IT & Innocence en danger). ... commercial: Cybersitter (Solid Oak Software), Cyber Patrol (Surfcontrol), Netnanny (Bionet Systems). These softwares are far from efficiency! they slow down system and don't filter correctly. These softwares can only be resident, of course! Consequently, make up by training! |
Lancer un .REG nommé IE-SPYAD.
Ce script installera un très grand nombre de sites Web connus comme abusifs dans la zone de restriction d'Internet Explorer. Un site de cette liste sera incapable d'exécuter des javascripts, des applets java, écrire ou lire des cookies ou utiliser des scripts ActiveX. Vous pourrez toujours visiter ces sites mais ils auront des droits très limités (SPY-AD -tutoriel). Un autre fichier connu est nasties.reg de Chris Barker. Ces fichiers ajoutent des clés à la base de registre selon le modèle : [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adforce.com] "*"=dword:00000004 | ![]() | Run a registry script called IE-SPYAD.
This script will place an enormous number of web sites known to be abusive into
Internet Explorer's "Restricted Zone". Any site in that list will be unable to
run javascripts, java applets, set or read cookies or use ActiveX scripting. You
still will be able to visit those sites but they will be very limited in what
they can do (SPY-AD -Tutorial). Another well known file is nasties.reg by Chris Barker. These files add keys to the Registry under the model: [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adforce.com] "*"=dword:00000004 |
Le fichier Hosts est une sorte de DNS local, c'est à dire une table de correspondance entre une URL et une adresse IP. Un humain utilise une adresse de type http://www.google.com/, un ordinateur lui préfère http://216.239.51.100 ! La traduction est fournie par un serveur DNS. Le fichier Hosts est situé sur le disque dur (C:\Windows pour 9x-ME, C:\WinNT\System32\Drivers\etc pour NT/2000, C:\Windows\System32\Drivers\etc pour XP) et contient des lignes du type 216.239.51.100 www.google.com #serveur Google. 2 utilisations, accès ou blocage : - type 216.239.51.100 www.google.com donnant directement l'adresse IP utilisée pour accéder au site sans besoin de consultation d'un serveur DNS - type 127.0.0.1 ad.click ; 127.0.0.1 est en fait l'adresse IP de la machine locale et la conséquence est que le site en question sera recherché sur le disque, c'est à dire que le système n'y accèdera jamais ! Idéal pour bloquer l'accès à un site non désiré, n'est-ce pas ? ;-) Un fichier Hosts merveilleux est fourni par l'antispyware SpyBot Search and Destroy (Patrick Kolla), Hosts file (124.593 sites - Assiste.com) ! | ![]() | The Hosts file is a kind of local DNS, ie a translation table between a URL and an IP address. A human being uses an address like http://www.google.com/, a computer prefers http://216.239.51.100! The translation is given by a DNS server. The Hosts file is located on the hard disk (C:\Windows for 9x-ME, C:\WinNT\System32\Drivers\etc for NT/2000, C:\Windows\System32\Drivers\etc for XP) and contains lines like 216.239.51.100 www.google.com #serveur Google. 2 utilisations, access or blocking: - type 216.239.51.100 www.google.com giving direct IP address used to access the site without search for a DNS server - type 127.0.0.1 ad.click; 127.0.0.1 is in fact, the IP address of the local machine and the consequence is that the site will be searched for on the disk, ie that the system will never access! Ideal to block access to an undesired site, isn't it? ;-) A perfect Hosts file is provided by the antispyware SpyBot Search and Destroy (Patrick Kolla), Hosts file (124,593 sites - Assiste.com)! |
- antivirus - (résident ou en ligne). - ![]() - antitrojan - A², Anti-Trojan.org. | ![]() |
- antivirus - (resident or online). - ![]() - antitrojan - A², Anti-Trojan.org. |
Placer sa propre adresse de messagerie dans son carnet d'adresse permet, en cas d'utilisation par un virus, de recevoir une alerte nous informant immédiatement de l'infection et de prendre ainsi les devants ; cette solution est préférable à celle consistant à créer une adresse invalide, le message arrivant plus rapidement que l'anomalie de non distribution ; une bonne méthode consiste aussi à placer un organisme spécialisé (Secuser) dans le carnet d'adresse. Néanmoins, prendre garde que bloquer les popups peut masquer la présence d'un malware dans le système. | ![]() |
Put your own email address in your address book allows, in case of use by a virus, to receive an alert informing you immediately of the infection and take the initiative; this solution is better than the one consisting in creating an invalid address, the message arriving quicklier than the non distribution anomaly; a good method also consists in putting a specialized organization (Secuser) in the address book. However, take care that blocking popups can mask the presence of a malware in the system. |
| ![]() |
|