gM
Retour / Back
Lutte Anti Virus / Anti Virus Fight



This page is written in French; if you're interested in it and wish my translating into English, do ask me!

-0- Histoire des virus
-1- Nimda
-2- Le futur et ses dangers
-3- Protection - Organiser la protection
-4- Protection - Utiliser/Entretenir la protection
-5- Protection - Comment éviter les virus ?
-6- Eradication - Alerte 1 document attaqué en live
-7- Eradication - Alerte lors d'une analyse complète
-8- Eradication - Dysfonctionnements sans alertes
-9- Eléments à filtrer (selon le livre blanc de Panda Software)
  

 


 
Protection -Organiser la protection :
  • Passer les points d'entrée en revue : Internet et ses milliers de ports, messageries, chats, téléchargements, modem, disquette, etc.
  • Proxies et Firewalls sont aussi des protections nécessaires ; bien avoir en tête que les virus ne sont qu'un aspect des nombreux dangers autour du système d'information (intrusions confidentialité, altération, destructions, etc.)
  • Effectuer la détection le plus en amont possible compte tenu des points d'entrée (réseau Internet, réseau local, partages, modem, CD, disquette)
  • Assurer une protection redondante (détection multiniveau avec antivirus différents au moins sur la passerelle de courrier et les postes de travail)
  • La sauvegarde des informations permet de retrouver les fichiers éventuellement perdus et est un dossier à part entière.

    N'oublions pas que les virus ne constituent qu'un des aspects des attaques menées par les pirates informatiques.
     
      Les risques
  • Déni de service
  • IP spoofing (usurpation d'une adresse IP)
  • Reniflage endémique
  • Cheval de Troie
  • Faille logicielle
  • Virus (infection, destruction de fichiers)
  • Spam
  • Spyware
  • Cracker (recherche du mot de passe)
    		•    Les remèdes
  • Coupe-feu
  • NAT (Network Address Translation)
  • Mot de passe non rejouable
  • Anti-Trojans
  • Patches et nouvelle version
  • AntiVirus
  • Anti-spam
  • Anti-spyware
  • Filtre de mot de passe
    		•
    		 
    La lutte antivirale doit être menée dans un environnement de protection homogène.

  • Choisir un bon Anti-Virus   Virus Bulletin (conseils Anti-Virus indépendants), MessageLabs, Compar.AV (11 chapitres), Real Time Virus Reporting Center (idn), Real Time Virus Reporting Center (bitdefender), Software reviews (hackfix.org)
    . . éditeur renommé
    . . réactivité en matière de développement contre les nouveaux virus
    . . capacité à proposer des mises à jour fréquentes des définitions de virus (au moins bimensuelle)
    . . rapidité à préparer un antidote
    . . Parades aboutissant à une éradication et non à une alerte suivie de simple mise en quarantaine.
    En cas de difficultés à respecter les points ci-dessus, bien réaliser qu'il est possible de scinder les fonctionnalités : ce qu'on demande à un antivirus est d'être bon en détection-alerte-protection du système ; en cas d'alerte ou infection, il faut privilégier éradication-réparation... les 2 catégories peuvent être indépendantes (Norton Antivirus est très bon dans la première catégorie mais sait trop bien placer les fichiers touchés en quarantaine, ce qui est déjà bien ; l'éradication devant être assurée par un antidote).
     
    . Programmes commerciaux
    . . Norton Anti-Virus de Symantec sur sarc.com ou symantec.fr (évaluation 30 jours)
    . . VirusScan de Network Associates-Mc Afee sur nai.com ou mcafee.com
    . . Sophos Anti Virus sur sophos.com
    . . AVP-AntiViral toolkit Pro sur avp-france.com (essai 30 jours) ou kav.ch ou kaspersky-labs.com
    . . F Secure sur fsecure.com
    . . Panda de Panda Software sur pandasoftware.com
    . . Trend de Trend Micro sur trend.com ou trendmicro.fr ou trendmicro.com ou antivirus.fr ou antivirus.com
    . . PC-Cillin de Trend Micro sur trendmicro.com/pc-cillin
    . . Norman Virus Control sur Opistat (essai 30 jours)
    . Programmes gratuits
    . . AntiVir® Personal Edition ou AntiVir® Personal Edition ou AntiVir® Personal Edition De de H+BEDV
    . . Avast! Home ou Avast! Home ou Avast! Home d'Alwil Software (prends la version home, tu t'enregistres là et ils te font parvenir la clé)
    . . AVG ou AVG ou AVG ou Review de Grisoft
    . .F-Prot Antivirus - F-Prot, complex.is, claymania ou SebSauvage de Frisk Software International (version Dos gratuite ; autres versions en démo)
    . . eSafe desktop V3 ou eSafe desktop V3
    . . InoculateIT
    . Scans online gratuits
    . Antidotes
    . Forums de discussion

    Installer un bon antivirus est un excellent début ! mais cela ne sert à rien si cet utilitaire n'est pas paramétré et maintenu correctement.

  • Mener la lutte antivirale dans un environnement de protection homogène ; je veux dire que les autres risques -tels que listés dans la section précédente- doivent être parés par les remèdes adéquats. Nous n'aborderons ci-dessous que les risques et protections relatifs aux serveurs et stations du réseau local, assumant que les serveurs du WAN sont protégés efficacement par ailleurs (coupe-feu, NAT, Mot de passe non rejouable, Nettoyeur de chevaux de Troie, Patch et nouvelles versions, filtre de mots de passe, etc.).
  • Interdire tout contenu exécutable sur la passerelle de courrier et filtrer automatiquement le code Html des e-mails. Des logiciels tels que Content Technology MimeSweeper ou Sybari Antigen sont dédiés au contrôle de contenu
  • Régler le système d'exploitation (système d'exploitation, explorateur Windows, navigateur Internet, logiciel de messagerie, etc.) sur serveurs et stations (la société Microsoft propose son service Windows Update ou microsoft.com/technet et, sur son site microsoft.com/security, un outil qui scanne les systèmes et vérifie si tout est à jour) :
        .installer les versions adéquates du système d'exploitation (ne signifie pas la version la plus récente, mais une version testée, connue et validée !)
        .appliquer les patches afin d'en corriger les failles détectées, ceci sur les serveurs comme sur les stations de travail (attention aux stations de travail réinstallées en toute hâte !)
        .mettre en oeuvre les paramétrages permettant une protection efficace :
         -redoubler de prudence vis à vis des logiciels de la société Microsoft, non pas tant pour leurs failles en plus grand nombre (comme certains se plaisent à le dire) mais du fait qu'étant largement dominants sur le marché, leurs failles ont été plus étudiées, mises au grand jour et exploitées... certaines sociétés préconisent de préférer des navigateurs et des clients de messagerie ne reconnaissant pas ActiveX, technologie propriétaire de Microsoft ; ne pas oublier non plus les applets Java ; certains utilisateurs préférent employer Opera -à côté d'IE- pour leurs accès Internet "à risque". Il convient de remarquer qu'à la suite de la croissance (la vogue), des failles de sécurité ont été mises au jour dans Linux, Unix, MacOS, Opera, etc. !
         -afficher les extensions de fichiers afin de voir le vrai nom technique complet des fichiers et ainsi, pouvoir détecter, par exemple, les fichiers.jpg.vbs
         -sauf nécessité, désactiver les partages de fichiers et d'imprimantes
         -interdire les applets Java et les ActiveX et régler les options de sécurité maximale sur le Web
         -désactiver l'exécution de scripts sur le poste de travail, en supprimant notamment le moteur wsh de Windows
  • Régler les logiciels applicatifs (Traitement de textes, tableur, etc.) ; version, patches, paramétrages :
         -(redoubler de prudence à l'égard des logiciels Microsoft -cf ci-dessus-)
         -activer l'alerte de lancement de macros au démarrage du logiciel Excel et ne les autoriser qu'en toute connaissance de cause
  • Mettre en place une politique de sécurité au niveau du département informatique et une politique d'éducation des utilisateurs pour leur faire acquérir les réflexes nécessaires - Blinder les points d'entrée et établir les consignes : Internet, Web, téléchargements, chats, messageries, modem, disquette, CD, etc. faut-il restreindre le droit des utilisateurs ?
        .Internet : attention aux téléchargements, aux jeux, aux chats, aux sites hors-normes
        .Messageries : charte d'utilisation
         -filtrer les e-mails entrants dans une DMZ afin de bloquer les virus, VBScripts, les e-mails suspects à caractère illégal ou non conformes à la politique de sécurité (MailSweeper)
         -limiter la taille des boîtes de messagerie
         -informer les utilisateurs quant aux dangers spécifiques aux messageries : virus, spam, saturation bande passante, saturation des serveurs, etc.
         --détacher un fichier attaché, sur disque dur, pour analyse préalable à toute exploitation
         --ne pas ouvrir de fichier attaché envoyé par un inconnu
         --ne pas ouvrir de fichier non attendu même envoyé par quelqu'un de connu
         --ne pas toucher à un fichier accompagnant un texte incompréhensible surtout envoyé par quelqu'un de connu (généré par un ordinateur et envoyé à ses contacts)
         --ne pas ouvrir un fichier .EXE
         --ne jamais toucher à un fichier .VBS sauf pour le supprimer
         -certaines sociétés ont choisi de bannir tout envoi de fichier
         -se souvenir que, maintenant, un virus peut ne pas avoir été envoyé par l'expéditeur apparent, ni même par sa machine... donc, ne jamais s'en prendre vertement à "l'expéditeur".
        .Modem : attention aux accès hors réseau, hors firewall
        .Lecteur de disquette : enlever la priorité au démarrage voire désactiver lecteur, pas de disquette montée au démarrage, analyser toute disquette nouvelle
        .CD : les CDs peuvent aussi contenir des virus !
        .informer les utilisateurs sur les extensions de fichiers à risque (les exécutables et les fichiers associés à un logiciel capable de macro-langage).
  • Installer le programme antivirus sur le serveur et sur les stations : 2 antivirus différents mais n'installer qu'un seul antivirus par ordinateur.
        .Activer l'analyse :
         -des zones d'amorce et de la mémoire dès le démarrage (Dos)
         -automatique permanente dès le démarrage de Windows pour une surveillance live de l'ajout, du chargement, de l'exécution de tout document
         -de la messagerie et de ses fichiers joints
         -des fichiers compressés
        .Prendre l'option "Tous les fichiers" ; même si les macrovirus sont apparus en 1995, il a fallu attendre la version 2000 pour que Norton active cette disposition en standard
  • Passer en revue les points de la section "Utiliser/Entretenir" :
        .programmer une mise à jour des définitions de virus de manière journalière pour le poste du responsable et de manière hebdomadaire ou bi-mensuelle pour les stations normales
        .Lancer une analyse de l'ensemble du disque et programmer une analyse journalière des disques des serveurs et hebdomadaire des disques des stations
  • Mettre en place une politique de veille active de manière à anticiper les événements et non les subir :
        .visiter régulièrement les zines spécialisés et le site d'éditeurs d'antivirus pour suivre l'actualité (les virus nouveaux, les failles utilisées, les moyens appliqués, etc.)
        .souscrire à la réception d'informations sur les correctifs de sécurité à appliquer par inscription dans des listes de diffusion sérieuses
         - microsoft.com/security
        .souscrire à la réception d'alertes (alerte au virus envoyée par des sites spécialisés) par inscription dans des listes de diffusion sérieuses.
         - SecUser Alert
         - Silicon.fr
         - Security Response Symantec
    Top of page  
     
    Protection - Utiliser/Entretenir la protection :
  • Réviser rapidement toute la politique de protection mise en place et en particulier l'analyse de tout nouveau document entrant dans le système (disquette, fichier reçu par messagerie électronique, fichier téléchargé, etc.)
  • Réviser rapidement tout le paramétrage et en particulier "Tous les fichiers"
  • Mettre à jour le système d'exploitation et les applicatifs pour en corriger les dernières failles détectées (la société Microsoft propose son service Windows Update et, sur son site microsoft.com/security, un outil qui scanne les systèmes et vérifie si tout est à jour)
  • Vérifier la date de dernière maj des tables de définition des virus et la programmation des maj
  • Vérifier la date de dernière analyse de l'ensemble du disque et la programmation des analyses
  • Bien vérifier que ni Word ni Excel n'ont de module de démarrage (une famille de virus classiques installe une macro VBA en démarage) ; il n'y a aucun module en standard !
  • Réviser la procédure d'alerte amont (réception de mails d'alerte préventives dès annonce quelque part dans le monde, du déclenchement d'une attaque) et anticiper par information sur les spécificités du nouveau danger et l'adéquation des protections
  • Tester le bon réglage des protections
  • Se repencher sur la diffusion des procédures auprès des utilisateurs, ranimer la vigilance et vérifier la bonne remontée de tout comportement anormal, inhabituel d'un ordinateur (activation intempestive du disque, du modem, etc.)
  • Ne pas favoriser la propagation des hoax.
    Top of page  
     
    Protection - Comment éviter les virus ?
    Top of page  

     
    Eradication - Alerte 1 document attaqué en live :
    Si l'antivirus a signalé une attaque virale lors de l'introduction d'un document, il convient tout d'abord de se réjouir de ces bons réglages de notre installation
  • Opter pour une éradication du virus et une réparation du document infecté
  • Si l'antivirus ne parvient pas à réparer, mettre le fichier en quarantaine jusqu'à traitement ultérieur lorsque l'antivirus sera mieux armé.
    Il n'y a pas eu infection !
    Top of page  
     
    Eradication - Alerte lors d'une analyse complète / Dysfonctionnements sans alertes
    L'antivirus n'a rien détecté lors de l'introduction du document infecté ! Il convient de rechercher la raison du dysfonctionnement de notre installation et, éventuellement, de remettre en cause le choix de l'utilitaire et la politique de protection
  • Vérifier le paramétrage, essayer une désinfection avec l'antivirus, sinon mise en quarantaine
  • Isoler la machine attaquée du réseau
  • Sur machine saine,
        -mettre à jour le moteur d'antivirus auprès de son éditeur d'AntiVirus
        -mettre à jour les tables de définition des virus auprès de son éditeur d'AntiVirus
        -rechercher des infos sur Internet auprès des éditeurs, des organismes spécialisés indépendants, des magazines en ligne & des forums, par exemple MessageLabs, VirusLibrary, Virus Encyclopedia par Eugène Kaspersky, Virus Encyclopedia par Eugène Kaspersky, Trend Virus Encyclopedia, Canada's IT Security Professionals, Security Response de Symantec, Security Response de Symantec, Security Response de Symantec, Spyware Information Center, Sophos Virus Analyses, Virus Information Library de Network Associates ; Secuser ou Aspirine.
        -rechercher un antidote auprès de tout éditeur
        -préparer la disquette antidote & CD antivirus à jour (moteur, tables déf.)
  • Sur machine infectée,
        -Supprimer les fichiers inutiles (fichiers temporaires Windows, fichiers temporaires Internet, corbeille)
        -effectuer un scan online (voir ci-dessous) de manière à obtenir le nom du virus :
          ---moteur à jour
          ---définitions de virus à jour
          ---paramétrage convenable
          ---le programme désinfectera ou proposera de supprimer / mettre en quarantaine
        -Traiter par l'antidote si possible en Dos (les virus W32 sont inoffensifs en Dos)
        -réinstaller l'Antivirus
        -Essayer une désinfection de la zone de quarantaine par le meilleur antivirus
        -Examiner complètement le disque dur
        -Mettre à jour le système d'exploitation (failles de sécurité)
  • Avertir l'émetteur du fichier contenant le virus (attention ! de nos jours, les "expéditeurs" affichés ne sont pas les vrais expéditeurs et leur machine n'est pas infectée).
  • Effectuer un debriefing, un réexamen de la politique de protection.
    Il y a eu infection de l'espace de travail (station ? serveur ?) ! attention, il se peut qu'il reste des séquelles ; il se peut que le virus ait ouvert des ports pour une attaque ultérieure, surtout sur un serveur ! convient-il se reformater le disque ?
     
    Scans online gratuits
    . . bitdefender
    . . bitdefender Fr
    . . VirusScan ASAP
    		 . . SARC Internet Security for the Home
    . . Symantec Security Check
    . . Secuser (Trend)
    		 . . Zataz (Panda)
    . . Coledata
    . . CyberTechHelp
    . . HouseCall de Trend Micro ou HouseCall de Trend Micro ou HouseCall de Trend Micro ou HouseCall de Trend Micro
    . . Panda de Panda Software (sur la droite de la page d'accueil) ou Panda de Panda Software ou Panda de Panda Software
     
    Antidotes
    . .
    		 . . Secuser
    		 . . Aspirine
     
    Forums de discussion
    . . CCM
    		 . . Computing.Net
    		 . . Secuforum.com

    Programmes AntiVirus commerciaux
    Programmes AntiVirus gratuits
    Retour / Back   Top of page