gM
Retour / Back
Lutte AntiMalware / AntiMalware Fight
-prévention / -Prevention
Cette page provient d'articles de Mike Healan, de Pierre Pinard, de TomCoyotte, d'Eric L. Howes (U. Illinois), de TonyKlein, de SecUser.com et de diverses lectures dont L'OI n°160 - Avril 2004.
Lutte AntiMalware -prévention / AntiMalware Fight -Prevention
    -1- Jeter Internet Explorer
-2- Mettre à jour le navigateur et le système
-3- Régler le système d'exploitation
-4- Remplacer Microsoft Java VM par Sun Java
-5- Régler Internet Explorer et Outlook
-6- Installer des utilitaires résidents
-7- IE-SPYAD
-8- Fichier Hosts
-9- Lancer des utilitaires non résidents
-10- Adopter une attitude prudente
-11- Tenir prêts, URLs et outils de réparation
-12- Liens
-13- Détails par menace
-1- Dump Internet Explorer
-2- Update your Browser and Operating System
-3- Setup Operating System
-4- Replace Microsoft Java VM with Sun Java
-5- Setup Internet Explorer and Outlook
-6- Install Resident Utilities
-7- IE-SPYAD
-8- Hosts File
-9- Run Non Resident Utilities
-10- Adopt a Prudent Behavior
-11- Keep by, Repair URLs and Utilities
-12- Links
-13- Details by Threat

Lutte AntiMalware -nettoyage / AntiMalware Fight -Cleaning
Lutte AntiHijacking -nettoyage / AntiHijacking Fight -Cleaning
Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning
Etant donné que les malwares se développent en se jouant de la distinction entre les catégories d'outils (virus, ver, cheval de Troie, spyware, spam, etc.), cette page tente d'être générale !
/
This page comes from articles by Mike Healan, by Pierre Pinard, by TomCoyotte, by Eric L. Howes (U. Illinois), by TonyKlein, from SecUser.com and from various readings like L'OI #160 - April 2004.
Given malwares spread making light of the distinction between categories of tools (virus, worm, Trojan, spyware, spam, etc.), this page tries to be general!



 
Jeter Internet Explorer / Dump Internet Explorer
 
  • Certains préconisent d'éviter les programmes de Microsoft (IE et OE) pour 2 raisons :
    - La sécurisation semble ne pas être le souci premier de l'éditeur
    - Ces logiciels sont tout particulièrement dans la ligne de mire des pirates vu leur énorme diffusion !
    Certains préconisent un navigateur (Mozilla, Firefox -Firefox -tutoriel- ou Opera) et un client de messagerie (Kaufman Mail Warrior, Mozilla Thunderbird) exotiques, au moins pour les opérations à risque.
  • Ces lignes feront bien rire ceux qui me connaissent car je suis un fidèle d'Internet Explorer ayant fait le gros effort d'adopter MyIE2 !
  •  
  • Some people advise to avoid Microsoft's programs (IE and OE) for 2 reasons:
    - Security doesn't seem to be the aim #1 of the editor
    - These softwares are particularly in the line of sight of crackers given their huge diffusion!
    Some people advise an exotic browser (Mozilla, Firefox -Firefox -tutorial- or Opera) and a mail client (Kaufman Mail Warrior, Mozilla Thunderbird) , at least for risky operations.
  • These lines will make laugh those who know me as I am a faithful friend of Internet Explorer having made the big effort to adopt MyIE2 !
  •  



      Si, pour une raison quelconque, vous devez utiliser les logiciels de Microsoft, il y a moyen de les améliorer raisonnablement.
      If, for some reason, you should use Microsoft softwares, there's a mean to improve them reasonably.
     



     
    Mettre à jour le navigateur et le système / Update your Browser and Operating System
     
  • Combler les failles de sécurité critiques de Windows qui constituent la principale porte d'entrée des vers les plus méchants du moment (Blaster, Welchi, Sasser, etc.).
    - Sur Internet, Windows Update et ses applicatifs (Office-update, etc.)
    - ou Démarrer/Windows Update
    - ou dans IE, Outils/Windows Update.
    Si apparaît une fenêtre "Avertissement de sécurité", cliquer sur "Oui"
    Rechercher/Examiner les mises à jour et les installer/Installer maintenant/suivre l'assistant/si un message le demande, redémarrer le PC.
    Renouveler l'opération jusqu'à ce qu'il n'y ait plus de mises à jour disponibles dans la catégorie "Critique".
  • Installer les mises à jour automatiques (2000SP3 & XP et plus récent) - Démarrer/Paramètres/Panneau de configuration/Mises à jour automatiques/bouton radio Télécharger automatiquement les mises à jour et les installer... régler une heure propice.
    Attention toutefois à garder un oeil sur l'opération car les mises à jour nécessitant un redémarrage de l'ordinateur ne seront pas réalisées automatiquement.
  •  
  • Block Windows critical security holes which are the main entry for the nastiest worms of the moment (Blaster, Welchi, Sasser, etc.).
    - On the Internet, Windows Update and its applicatives (Office-update, etc.)
    - or Start/Windows Update
    - or in IE, Tools/Windows Update.
    If a "Security Warning" window appeared, click on "Yes"
    Scan for updates/Review and install updates/Install now button/follow assistant/if a message asks it, restart comp.
    Renew operation till there's no available updates left in the "Critical" category.
  • Install automatic updates (2000SP3 & XP and more recent) - Start/Settings/Control Panel/Automatic Updates/radio-button Automatically Download the Updates, and install them... setup a convenient time.
    However, take care to keep an eye on the operation because updates that need a computer reboot won't be performed automatically.
  •  
     
    Régler le système d'exploitation / Setup Operating System
     
  • Afficher les extensions de fichiers - Dans l'Explorateur Windows, Outils/Options des dossiers/onglet Affichage/décocher "Cacher les extensions des fichiers dont le type est connu".
  • Afficher tous les fichiers - Dans l'Explorateur Windows, Outils/Options des dossiers/onglet Affichage/bouton radio "Afficher les fichiers et dossiers cachés" ; décocher "Masquer les fichiers protégés du système d'exploitation".
  • Supprimer les processus inutiles.
  • Désactiver les services inutiles.
  • Bloquer les popups du système (W2K et XP) - Démarrer/Exécuter/taper services.msc et cliquer sur OK/double cliquer sur la ligne Affichage des messages/sélectionner Désactivé dans le champ Type de démarrage/bouton Arrêter/OK.
  • Désélectionner "Partage de fichiers et d'imprimantes pour les réseaux Microsoft".
  • Sous W9x, décocher NetBEUI dans la section Protocoles réseau autorisés.
  • N'ouvrir que les ports nécessaires (fermer tous les ports puis ouvrir les seuls ports nécessaires).
  • Maintenir le disque, le système et la base de registre - Supprimer les fichiers inutiles et, en particulier, vider les caches, réservoirs de malwares sans oublier le système de restauration de Windows ME et XP.
  • Sous XP, si aucun autre parefeu n'est installé, activer celui du système.
  • Sous Win9x, lancer Super OS 1.95 (Arnaud Ferlet).
  • Sous W2K/XP, lancer ZebProtect 1.6.87 (Zebulon.fr) ; ZebProtect 1.6.87 -tutoriel.
  •  
  • Display file extensions - In Windows Explorer, Tools/Folder Options/View tab/uncheck "Hide file extensions for known file types".
  • Display all files - In Windows Explorer, Tools/Folder Options/View tab/"Show hidden files and folders" radio button; uncheck "Hide protected operating system files".
  • Delete useless processes.
  • Deactivate useless services.
  • Block System popups (W2K and XP) - Start/Run/type services.msc and click on OK/double click on the line Messenger/select Disabled in the field Startup type/Stop button/OK.
  • Uncheck "File and Printer Sharing for Microsoft Networks".
  • Under Win9x, uncheck NetBEUI in the Authorized Network Protocol section.
  • Open only necessary ports (close all of the ports then open the only necessary ports).
  • Maintain disk, system and Registry - Delete useless files and, especially, empty caches, malwares tanks without forgetting the Restore System of Windows ME and XP.
  • Under XP, if no other firewall is installed, activate the system one
  • Under Win9x, run Super OS 1.95 (Arnaud Ferlet)
  • Under W2K/XP, run ZebProtect 1.6.87 (Zebulon.fr); ZebProtect 1.6.87 -tutorial.
  •  
     
    Remplacer Microsoft Java VM par Sun Java / Replace Microsoft Java VM with Sun Java
    Uninstalling the MS Java VM
      Remplacer Microsoft Java VM par Sun Java. Il y a plusieurs hijackers qui exploitent les failles de Microsoft Java VM. Le Java de Sun est plus sécurisé et plus au goût du jour. S'assurer, dans les options, que Sun Java JRE est paramétré pour fonctionner avec Internet Explorer.
      Replace Microsoft Java VM with Sun Java. There are several hijackers that exploit flaws in Microsoft Java VM. Sun's Java is more secure and more up to date. Make certain, in Java's options, that Sun Java JRE is set to work with Internet Explorer.
     
     
    Régler Internet Explorer et Outlook / Setup Internet Explorer and Outlook
    Internet Explorer Security Zones by Scott Schnoll
    Making Internet Explorer Safer by Bobbi Flekman
    Working with Internet Explorer 6 Security Settings by Microsoft
    Internet Explorer/Outlook Express by Eric L. Howes (U. Illinois)
     
  • Dans IE, Outils/Options Internet/onglet Sécurité/sélectionner l'icône Internet/cliquer sur Personnaliser le niveau/choisir "Moyen" dans la liste déroulante puis cliquer sur le bouton "Rétablir"/OK.
    Cliquer à nouveau sur Personnaliser le niveau/choisir les options décrites ci-dessous :
    - Composants dépendant du .NET Framework -
    ---Exécuter des composants non signés avec Authenticode (Désactiver)
    ---Exécuter des composants signés avec Authenticode (Demander)
    - Contrôles ActiveX et plug-ins -
    ---Contrôles ActiveX reconnus sûrs pour l'écriture de scripts (Demander)
    ---Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés (Désactiver)
    ---Exécuter les contrôles ActiveX et les plugins (Activer) (Ceci est en fait relatif à Java et Flash, non à ActiveX)
    ---Télécharger les contrôles ActiveX non signés (Désactiver)
    ---Télécharger les contrôles ActiveX signés (Demander)
    - Divers -
    ---Accès aux sources de données sur plusieurs domaines (Désactiver)
    ---Autorisations pour les chaînes du logiciel (Haute sécurité)
    ---Glisser-déplacer ou copier-coller des fichiers (Demander)
    ---Installation des éléments du bureau (Demander)
    ---Lancement des programmes et des fichiers dans un IFRAME (Demander)
    ---Navigation de sous-cadres sur différents domaines (Demander)
    ---Permanence des données Utilisateur (Désactiver)
    - Microsoft VM -
    ---autorisations Java (Haute sécurité)
    - Script -
    ---Permettre les opérations de collage via le script (Demander)
    ---Script des applets Java (Demander).
  • Dans IE, Outils/Options Internet/onglet Sécurité/bouton Niveau par défaut/déplacer le curseur de la rubrique Niveau de sécurité pour cette zone sur "Moyen"/valider par OK.
  • Dans IE, Outils/Options Internet/onglet Contenu/bouton Activer Gestionnaire d'accès.
  • Outils/Options Internet/onglet Confidentialité/bouton Advancée/dans la boîte, cocher "Ignorer la gestion automatque des cookies" et "Toujours autoriser les cookies de la session"/mettre "Cookies internes" à "Accepter" et "Cookies tierce partie" à "Refuser".
    Bloquer les cookies indiscrets (IE6) - Outils/Options Internet/onglet Confidentialité/déplacer le curseur sur "Moyenne"/OK.
    Pour autoriser les cookies sur certains sites, double cliquer sur le petit panneau de sens interdit (barre d'état)/clic droit sur le cookie bloqué et choisir "Toujours accepter les cookies de ce site"/Fermer.
  • Dans Options Internet/onglet Avancé/section Navigation/décocher les 2 cases "Activer installation à la demande".
  • Régler les sécurités de MS-Outlook et Outlook Express.
  • Dans MS-Outlook et OE, supprimer le volet de prévisualisation - (OE) Affichage/Disposition/décocher "Afficher le volet de visualisation"... voir le site de TomCoyote pour quelques explications.
    Un fichier d'Eric L. Howes très utile est Enough is Enough.
  •  
  • In IE, Tools/Internet Options/"Security" tab/highlight "Internet" icon/"Custom Level"/choose "Medium" from the drop-down box at bottom/"Reset" button/OK.
    Click "Custom Level" again/set your options just as listed below:
    - .NET Framework-reliant components -
    ---Run components not signed with Authenticode (Disable)
    ---Run components signed with Authenticode (Prompt)
    - ActiveX controls and plug-ins -
    ---Download signed ActiveX controls (Prompt)
    ---Download unsigned ActiveX controls (Disable)
    ---Initialize and script ActiveX controls not marked as safe (Disable)
    ---Run ActiveX controls and plug-ins (Enabled) (This actually refers to Java and Flash, not ActiveX)
    ---Script ActiveX controls marked safe for scripting (Prompt)
    - Microsoft VM -
    ---Java permissions (High Safety)
    - Miscellaneous -
    ---Access data sources across domains (Disable)
    ---Drag and drop or copy and paste files (Prompt)
    ---Installation of desktop items (Prompt)
    ---Launching programs and files in an IFRAME (Prompt)
    ---Navigate sub-frames across different domains (Prompt)
    ---Software channel permissions (High safety)
    ---Userdata persistance (Disable)
    - Scripting -
    ---Allow paste operations via script (Prompt)
    ---Scripting of Java applets (Prompt).
  • In IE, Tools/Internet Options/Security tab/Default Level button/move cursor of Security Level to "Medium"/OK.
  • In IE, Tools/Internet Options/Content tab/Enable button in Content Advisor.
  • Tools/Internet Options/Privacy tab/Advanced button/in the box, check both "Override automatic cookie handling" and "Always allow session cookie"/set "First party cookies" to "Allow" and "Third party cookies" to "Block".
    Block inquisitive cookies (IE6) - Tools/Internet Options/Privacy tab/move cursor to "Medium"/OK.
    To allow cookies on some sites, double click on the small sign (status bar)/right click on the blocked cookie and choose "Always accept cookies from this site"/Close.
  • In Internet Options/Advanced tab/Navigation section/uncheck both Install on demand items.
  • Setup MS-Outlook and Outlook Express securities.
  • In MS-Outlook and OE, delete preview pane - (OE) View/Layout/uncheck "Show preview pane"... Visit TomCoyote 's site for instructions on doing that.
    Another very handy file by Eric L. Howes is Enough is Enough.
  •  
     
    Installer des utilitaires résidents / Install Resident Utilities
     
  • Nettoyer le système de ses malwares avant installation - outils gratuits BitDefender (AV), SpyBot Search and Destroy (antiSpyware - Patrick Kolla).
  • Installer des utilitaires de protection résidents :
    pare-feu - ZoneAlarm (Zone Labs), Personal Firewal (Kerio), Sygate Personal Firewall (Sygate).
    antivirus - AntiVir Personal Edition (H+BEDV), Avast! Home Edition (Alwil Software), AVG (Grisoft), Nod32.
    antispyware - 6 catégories : HiJackers, dialers, spywares, adwares, Browser Helper Objects (BHO) & Spywares cookies - SpyBot Search and Destroy, SpyBot Search and Destroy DSO Exploit Fix 1.3.1 TX & SpyBot -tutoriel Am / SpyBot -tutoriel Fr (Spybot, Patrick Kolla), SpyWareBlaster (JavaCool), Browser Hijack Blaster (JavaCool), SpyWareGuard (Javacool).
    Activer les protections résidentes ! Vu la variété des spywares, aucun utilitaire ne détectant de manière exhaustive, il faudra utiliser plusieurs non résidents.
    antitrojan (pas de résident gratuit).
    antispam - Spamihilator (Michel Krämer), OutClock (Alain Tauber), Spampal (James Farmer), Spam Eater (High Mountain Software).
    logiciel de contrôle parental - Guide L'Internaute
    ... gratuits : SurfPass (Fabrice Pringent), Don't See-Arobas ou Don't See-cestfacile (Rémy Delefosse), LogProtect (Michael Ballester, Luc Bellego, Philippe Jarlov), FreeParentalControl (Proxymis), Internet Controller (Andrea Nono), KiddyWeb (Wzeos Software), ICRA Plus (ICRA), LCPA Lite (ADH-IT & Innocence en danger).
    ... commerciaux : Cybersitter (Solid Oak Software), Cyber Patrol (Surfcontrol), Netnanny (Bionet Systems).
    Ces logiciels sont loin d'être au point ! ils ralentissent le système et ne filtrent pas efficacement. Ces logiciels ne peuvent être que résidents, évidemment ! En conséquence, compenser par éducation !... Un très bon post de Clément sur PCA... un autre excellent site : Action Innocence Group... encore une discussion : ngchrist sur Zeb' !
  • Tenir ces utilitaires parfaitement à jour (définitions et autres) ; mettre en place les automatismes.
  • Paramétrer soigneusement ces utilitaires - scan AV de tous les types de fichiers ; scan AV des e-mails entrants ; sécurité du FW au maximum : message lorsqu'un logiciel tentera de rejoindre Internet ; refus permanent ou exceptionnel, acceptation exceptionnelle ou permanente.
  • Activer, si possible, ces utilitaires également sur le serveur du fournisseur d'accès (AV, antispam, etc.).
  • Effectuer un scan régulier du système (AV, antiSpy, antitrojan), en plus de la protection résidente.
  • Vérifier la protection par un scan externe sur un site spécialisé (FW, AV) - Symantec, PC Flank, Jason's Toolbox (Jason Levine) ; installer un virus de test comme EICAR ou EICAR.
  • Garder en mémoire le fait que certains malwares peuvent désactiver la protection (AV FW) !
  • En cas de doute, vérifier avec un scan AV en ligne comme HouseCall (Trend Micro).
  • N'installer qu'un seul outil résident par catégorie : un seul antivirus, un seul firewall (penser au FW d'XP par défaut) ; autres antispywares non résidents.
  • Opérer sans risque - attention aux freewares qui ne fonctionnent plus après éradication du spyware associé.
  •  
  • Get rid of malwares before installation - free tools BitDefender (AV), SpyBot Search and Destroy (antiSpyware - Patrick Kolla).
  • Install resident protection utilities:
    firewall - ZoneAlarm (Zone Labs), Personal Firewal (Kerio), Sygate Personal Firewall (Sygate).
    antivirus - AntiVir Personal Edition (H+BEDV), Avast! Home Edition (Alwil Software), AVG (Grisoft), Nod32.
    antispyware - 6 categories: HiJackers, dialers, spywares, adwares, Browser Helper Objects (BHO) & Spywares cookies - SpyBot Search and Destroy, SpyBot Search and Destroy DSO Exploit Fix 1.3.1 TX & SpyBot -Am tutorial / SpyBot -Fr tutorial (Spybot, Patrick Kolla), SpyWareBlaster (JavaCool), Browser Hijack Blaster (Javacool), SpyWareGuard (JavaCool).
    Activate resident protections! Given the variety of spywares, no utility being able to detect exhaustively, several non residents will have to be used.
    antitrojan (no free resident one).
    antispam - Spamihilator (Michel Krämer), OutClock (Alain Tauber), Spampal (James Farmer), Spam Eater (High Mountain Software).
    parental control software - Guide L'Internaute
    ... free: SurfPass (Fabrice Pringent), Don't See-Arobas or Don't See-cestfacile (Rémy Delefosse), LogProtect (Michael Ballester, Luc Bellego, Philippe Jarlov), FreeParentalControl (Proxymis), Internet Controller (Andrea Nono), KiddyWeb (Wzeos Software), ICRA Plus (ICRA), LCPA Lite (ADH-IT & Innocence en danger).
    ... commercial: Cybersitter (Solid Oak Software), Cyber Patrol (Surfcontrol), Netnanny (Bionet Systems).
    These softwares are far from efficiency! they slow down system and don't filter correctly. These softwares can only be resident, of course! Consequently, make up by training!
  • Keep these utilities perfectly uptodate (definitions and others); setup automatisms.
  • Carefully setup these utilities - scan AV all types of files; scan AV of incoming emails; Maximum FW security: message when a software tries to reach the Internet; permanent or exceptional refusals, exceptional or permanent acceptances.
  • If possible, activate these utilities on the provider's server also (AV, antispam, etc.).
  • Perform a regular scan of the system (AV, antiSpy, antitrojan), in addition to resident protection.
  • Verify protection by an external scan on a specialized site (FW, AV) - Symantec, PC Flank, Jason's Toolbox (Jason Levine); install a test virus such as EICAR or EICAR.
  • Keep in mind some malwares can deactivate protection (AV FW)!
  • In case of doubt, check with an online AV scan such as HouseCall (Trend Micro)
  • Install only one resident tool for each category: only one antivirus, one firewall (think of the default XP FW); other non resident antispywares.
  • Operate without risks - take care to freewares which will perhaps not work after eradication of the associated spyware.
  •  
     
    IE-SPYAD / IE-SPYAD
    Block Lists, Config Tips, & Utilities by Eric L. Howes (U. Illinois)
      Lancer un .REG nommé IE-SPYAD. Ce script installera un très grand nombre de sites Web connus comme abusifs dans la zone de restriction d'Internet Explorer. Un site de cette liste sera incapable d'exécuter des javascripts, des applets java, écrire ou lire des cookies ou utiliser des scripts ActiveX. Vous pourrez toujours visiter ces sites mais ils auront des droits très limités (SPY-AD -tutoriel).
    Un autre fichier connu est nasties.reg de Chris Barker.
    Ces fichiers ajoutent des clés à la base de registre selon le modèle :
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adforce.com]
    "*"=dword:00000004
      Run a registry script called IE-SPYAD. This script will place an enormous number of web sites known to be abusive into Internet Explorer's "Restricted Zone". Any site in that list will be unable to run javascripts, java applets, set or read cookies or use ActiveX scripting. You still will be able to visit those sites but they will be very limited in what they can do (SPY-AD -Tutorial).
    Another well known file is nasties.reg by Chris Barker.
    These files add keys to the Registry under the model:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\adforce.com]
    "*"=dword:00000004
     
     
    Fichier Hosts / Hosts File
    HOSTS Files & Utilities by Eric L. Howes (U. Illinois)
      Le fichier Hosts est une sorte de DNS local, c'est à dire une table de correspondance entre une URL et une adresse IP. Un humain utilise une adresse de type http://www.google.com/, un ordinateur lui préfère http://216.239.51.100 ! La traduction est fournie par un serveur DNS.
    Le fichier Hosts est situé sur le disque dur (C:\Windows pour 9x-ME, C:\WinNT\System32\Drivers\etc pour NT/2000, C:\Windows\System32\Drivers\etc pour XP) et contient des lignes du type
    216.239.51.100 www.google.com #serveur Google.
    2 utilisations, accès ou blocage :
    - type 216.239.51.100 www.google.com donnant directement l'adresse IP utilisée pour accéder au site sans besoin de consultation d'un serveur DNS
    - type 127.0.0.1 ad.click ; 127.0.0.1 est en fait l'adresse IP de la machine locale et la conséquence est que le site en question sera recherché sur le disque, c'est à dire que le système n'y accèdera jamais ! Idéal pour bloquer l'accès à un site non désiré, n'est-ce pas ? ;-)
    Un fichier Hosts merveilleux est fourni par l'antispyware SpyBot Search and Destroy (Patrick Kolla), Hosts file (124.593 sites - Assiste.com) !
      The Hosts file is a kind of local DNS, ie a translation table between a URL and an IP address. A human being uses an address like http://www.google.com/, a computer prefers http://216.239.51.100! The translation is given by a DNS server.
    The Hosts file is located on the hard disk (C:\Windows for 9x-ME, C:\WinNT\System32\Drivers\etc for NT/2000, C:\Windows\System32\Drivers\etc for XP) and contains lines like
    216.239.51.100 www.google.com #serveur Google.
    2 utilisations, access or blocking:
    - type 216.239.51.100 www.google.com giving direct IP address used to access the site without search for a DNS server
    - type 127.0.0.1 ad.click; 127.0.0.1 is in fact, the IP address of the local machine and the consequence is that the site will be searched for on the disk, ie that the system will never access! Ideal to block access to an undesired site, isn't it? ;-)
    A perfect Hosts file is provided by the antispyware SpyBot Search and Destroy (Patrick Kolla), Hosts file (124,593 sites - Assiste.com)!
     
     
    Lancer périodiquement des utilitaires non résidents / Run Non Resident Utilities periodically
     
  • Installer/lancer des utilitaires de protection non résidents :
    - antivirus - (résident ou en ligne).
    - antispyware - 6 catégories : HiJackers, dialers, spywares, adwares, Browser Helper Objects (BHO) & Spywares cookies - 4 antispywares pour un premier nettoyage (spywares classiques) : SpyBot Search and Destroy, SpyBot Search and Destroy DSO Exploit Fix 1.3.1 TX & SpyBot -tutoriel Am / SpyBot -tutoriel Fr (Spybot, Patrick Kolla), AD-Aware Personal & AD-Aware Personal -tutoriel Fr (Lavasoft) & AD-Aware Personal -francisation & AD-Aware Personal -francisation, Aluria Spyware Eliminator (SWI), SpySweeper (SpySweeper) ; antispyware additionnel : PestPatrol (PestPatrol).
    - antitrojan - , Anti-Trojan.org.
  • Mettre à jour ces utilitaires avant toute utilisation.
  • Paramétrer soigneusement ces utilitaires.
  • Effectuer un scan régulier du système (AV, antiSpy, antitrojan), en plus de la protection résidente.
  •  
  • Install/Run non resident protection utilities periodically:
    - antivirus - (resident or online).
    - antispyware - 6 categories: HiJackers, dialers, spywares, adwares, Browser Helper Objects (BHO) & Spywares cookies - 4 antispywares for a primary cleanup (classical spywares): SpyBot Search and Destroy, SpyBot Search and Destroy DSO Exploit Fix 1.3.1 TX & SpyBot -Am tutorial / SpyBot -Fr tutorial (Spybot, Patrick Kolla), AD-Aware Personal & AD-Aware Personal -Tutorial (Lavasoft), Aluria Spyware Eliminator (SWI), SpySweeper (SpySweeper); additional antispyware: PestPatrol (PestPatrol).
    - antitrojan - , Anti-Trojan.org.
  • Update theses utilities before running them.
  • Carefully setup these utilities.
  • Run a regular scan of the system (AV, antiSpy, antitrojan), in addition to resident protection.
  •  
     
    Adopter une attitude prudente / Adopt a Prudent Behavior
     
  • Recommandations de Symantec :
    Symantec Security Response encourage tous les utilisateurs et administrateurs à adhérer aux "bonnes pratiques" suivantes à la base de la sécurité :
    Désactiver et supprimer les services non utiles. Par défaut, beaucoup de systèmes d'exploitation installent des services annexes qui ne sont pas critiques, comme un serveur FTP, Telnet et un serveur Web. Ces services sont des avenues pour les attaques. S'ils sont supprimés, les diverses menaces ont moins de possibilités d'attaques et il y a moins de services à maintenir et à tenir à jour.
    Si une menace exploite un ou plusieurs services réseau, désactiver ou bloquer l'accès à ces services jusqu'à ce qu'un patch soit appliqué.
    Conserver toujours les mises à jour à niveau, spécialement sur les ordinateurs qui hébergent des services publics et qui sont accessibles à travers le pare-feu comme les services HTTP, FTP, mail et DNS.
    Faire respecter une politique de mots de passe. Des mots de passe complexes rendent difficile le craquage les fichiers protégés sur les ordinateurs infectés. Ceci aide à empêcher ou limiter les dégats quand un ordinateur est atteint.
    Configurer son serveur de messagerie pour bloquer ou écarter les messages qui contiennent des pièces jointes couramment utilisées pour répandre les viruses comme les fichiers .vbs, .bat, .exe, .pif et .scr.
    Isoler rapidement les ordinateurs infectés pour empêcher les infections additionnelles de l'organisation. Effectuer une analyse soigneuse et restaurer les ordinateurs en utilisant des médias de confiance.
    Former le personnel à ne pas ouvrir les pièces jointes sauf s'ils les attendent. De même, ne pas exécuter un programme téléchargé de l'Internet sans l'avoir examiné contre les virus. Simplement visiter un site Web infecté peut causer une infection si certaines vulnérabilités du navigateur ne sont pas corrigées.

  • Installer un scan antivirus sur le serveur de mail y compris outgoing ; l'obtenir de son fournisseur ou changer de fournisseur, en particulier pour le Webmail.
  • Se méfier des pièces jointes - ne pas ouvrir de fichier joint non clairement annoncé par l'expéditeur et en particulier, pas de fichier exécutable (.exe ou document relatif à un logiciel capable d'exécuter un macro-langage).
  • Afficher les extensions de fichiers.
  • Eviter certains sites.
  • Activer les sécurités de MS-Outlook et Outlook Express - désactiver le panneau de prévisualisation des messages.
  • Ne pas faire suivre les hoaxs.
  • Ne pas favoriser le spam.
  • Jouer avec les règles pour envoyer les messages douteux vers un dossier spécial.
  • Eviter les carnets d'adresses traditionnels - ne créer qu'une adresse : la votre !
    Placer sa propre adresse de messagerie dans son carnet d'adresse permet, en cas d'utilisation par un virus, de recevoir une alerte nous informant immédiatement de l'infection et de prendre ainsi les devants ; cette solution est préférable à celle consistant à créer une adresse invalide, le message arrivant plus rapidement que l'anomalie de non distribution ; une bonne méthode consiste aussi à placer un organisme spécialisé (Secuser) dans le carnet d'adresse.
  • Utiliser CCC pour une envoi à plusieurs amis de manière à éviter la diffusion inutile d'adresses e-mail.
  • Ne pas dévoiler son adresse e-mail inutilement (forums).
  • Utiliser une adresse e-mail jetable - Jetable.org.
  • Ne pas se désinscrire des spams.
  • Trier les courriels automatiquement.
  • Attention aux freewares - Attention lors de l'installation de ces programmes. La source classique d'infection malware vient des packages. Grokster, par exemple, installe une douzaine de programmes non désirés.
  • Acheter en ligne avec une carte bancaire virtuelle.
  • Naviguer sans popup - GoogleBar, Pop-Up Stopper (PanicWare), autre navigateur : MyIE2 (Ldfa), FireFox (Mozilla), etc.
    Néanmoins, prendre garde que bloquer les popups peut masquer la présence d'un malware dans le système.
  • Surfer anonymement - CNIL -traces pour constater combien on peut être bavard sur l'Internet ; Anonymizer free Privacy ToolBar.
  •  
  • Symantec Recommendations:
    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices": Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates. If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied. Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services. Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised. Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files. Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media. Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.

  • Install an antivirus scan on the mail server including outgoing; get that from the provider or change your provider, especially for Webmail.
  • Be careful with attachments - don't open attached files non clearly announced by the sender and particularly, no executable file (.exe or document relating to a program capable of running a macro-language).
  • Display file extensions.
  • Avoid certain sites.
  • Activate MS-Outlook and Outlook Express securities - deactivate preview pane.
  • Don't forward hoaxes.
  • Don't encourage spam.
  • Play with rules to send dubious messages to a special folder.
  • Avoid traditional address books - create only one address: yours!
    Put your own email address in your address book allows, in case of use by a virus, to receive an alert informing you immediately of the infection and take the initiative; this solution is better than the one consisting in creating an invalid address, the message arriving quicklier than the non distribution anomaly; a good method also consists in putting a specialized organization (Secuser) in the address book.
  • Use BCC when sending to several friends in order to avoid useless diffusion of email addresses.
  • Don't unveil email adress unnecessarily (forums).
  • Use a disposable email address - Jetable.org.
  • Don't unsubscribe from spams.
  • Automatically sort mail.
  • Beware freewares - Be careful while installing such programs. The classical source of malware infection comes from packages. Grokster, for example, installs a dozen of unwanted programs.
  • Buy online with a virtual credit card.
  • Naviguate without popup - GoogleBar, Pop-Up Stopper (PanicWare), other navigator: MyIE2 (Ldfa), FireFox (Mozilla), etc.
    However, take care that blocking popups can mask the presence of a malware in the system.
  • Surf anonymously - CNIL -traces to realize how talkative we can be on the Internet; Anonymizer free Privacy ToolBar.
  •  
     
    Tenir prêts, URLs et outils de réparation / Keep by, Repair URLs and Utilities
     
  • Tenir prêts des adresses de sites Web et des outils de réparation :
  •  
  • Keep by, repair URLs and tools:
  •  
    - Centre de contrôle - HijackThis / HijackThis (Merijn Bellekom), a-squared HiJackFree, X-RayPc.
    - antivirus - HouseCall online AV, RavAV online AV, EZ antivirus en ligne, Panda ActiveScan en ligne,
    System Cleaner + (System Cleaner -patterns ou System Cleaner -patterns).
    - antispyware - CWShredder -InterMute, Find-All.exe (FreeAtLast),
    Bazooka, SWI ActiveX online Scan, X-Cleaner online, CheckSpy.
    - antitrojan - Assiste.com online (Assiste.com), PestScan online (PestPatrol), TrojanScan online (WindowSecurity),
    A² antitrojan, TrojanHunter.exe.
    - antiparasite - ewido, TDS-3 -éval., Free Online Antiparasite Scan, PC Pitstop.
    - outils d'identification de fichiers - Assiste.com -forum
    SummerProperties (MD5 a soumettre à PestPatrol) (Checksum Tools on gpick).
    .
     
    Liens / Links
    La Manip (Pierre Pinard)
    L'indispensable pour Internet (Seb Sauvage)
    Prevent Browser Hijacking (Mike Healan)
    TomCoyotte (TomCoyotte)
    Eric L. Howes (U. Illinois) (Eric L. Howes)
    So How Did I Get Infected in the First Place (TonyKlein)
    SecUser -Protection General Rules (Emmanuel Jud)

    Help removing and preventing spyware (Pieter Arntz aka Metallica MS-MVP Security-Windows)
    Security -BBR / Spyware and Adware F.A.Q. -BBR
    Security -BBR / Security General Questions -BBR
    Spyware (Marc)

    Assiste.com (Pierre Pinard)
    SpeedWeb (tesgaz)
    Sites d'aide / Help Sites (Gérard Mélone)
    Des sites de sécurité qui valent le coup / Some Security Sites worth Reading (Gérard Mélone)
    Outils / Tools (Gérard Mélone)
    Guides gratuits (SecUser)
    Firewall personnel : mettez un videur à l'entrée de votre ordinateur (SecUser)
    Virus : généralités et protection (SecUser)
    Spywares : ces logiciels à votre écoute (SecUser)
    Spamming et mailbombing... (SecUser)
    Le Viroax : véritable virus du pauvre (SecUser)
    Security News and Information (CA)
     
    Détails par menace / Details by Threat

    Retour / Back   Top of page