---Where do you want to go?--- Home Page Previous Page Send a Mail to the Webmaster ---Families Surnames List ---Languages ---Information Technologies General Computer Internet Internet -Development ---Sciences ---Bookmarks --- --- --- --- Lutte Anti Virus / Anti Virus Fight

This page is written in French; if you're interested in it and wish my translating into English, do ask me!

-0- Histoire des virus -1- Nimda -2- Le futur et ses dangers -3- Protection - Organiser la protection -4- Protection - Utiliser/Entretenir la protection -5- Protection - Comment éviter les virus ? -6- Eradication - Alerte 1 document attaqué en live -7- Eradication - Alerte lors d'une analyse complète -8- Eradication - Dysfonctionnements sans alertes -9- Eléments à filtrer (selon le livre blanc de Panda Software)

 
Eléments à filtrer : (selon le livre blanc de Panda Software)
Ci-après est exposée une série d'éléments qui doivent être filtrés dans les serveurs pour éviter le danger le plus immédiat.
Malgré ces recommandations, nous ne devons pas cesser de souligner l'impossibilité d'être sûr qu'un élément non inclus à cette liste puisse devenir dangereux. Prenons le cas d'un fichier BMP. En principe, ce format de fichier ne peut en aucun cas inclure un code exécutable, et c'est pourquoi nous pouvons affirmer qu'il ne va présenter aucun danger.
Cependant, le fait que le fichier ne constitue pas un danger ne veut pas dire que l'application n'en constitue pas un. Si, pour visualiser ce type de fichier, vous utilisez un programme donné qui n'a pas été bien construit, vous pourrez vous retrouver avec un fichier BMP où pourra se produire l'échec du programme et où un code pourra être lancé à partir d'un premier fichier BMP innocent en profitant, par exemple, d'un "buffer overflow", ou de toute autre situation due, comme nous l'avons précisé, à la mauvaise structure du fichier, ou à des erreurs dans la programmation du lecteur d'un format donné.
Ainsi, le danger ne peut être évité que jusqu'à un certain niveau. Parvenir à un niveau plus élevé ne sera possible qu'en étudiant les dernières vulnérabilités publiées.

Les extensions devant être filtrées sont, au minimum :

*.{*. Codes CLSID. Ces codes sont les "Identificateurs de classe", Class ID. A partir de ces codes, qui sont emmagasinés dans le registre de Windows, il est possible d'enregistrer de nouveaux composants dans le système, des contrôles ActiveX, etc. Le danger qu'ils présentent est évident, puisqu'enregistrer un élément donné sans l'avoir testé auparavant peut causer de graves problèmes de sécurité. Ainsi, par exemple, un attaquant peut offrir dans une page Web, ou dans un message e-mail html le fichier testhta.txt.@305OF4D8-98B5-1 1 CF-BB82 OOAAOOBDCEOB} mais Windows Explorer et Internet Explorer n'afficheront pas le CLSI D {305OF4D8-98B5-1 1 CF-BB82-OOAAOOBDCEOB) avec lequel l'utilisateur visualisera seulement l'extension txt (apparemment innocente), quand il s'agit réellement d'un fichier .hta avec possibilité d'exécution et possibilité de contenir un code malicieux.
ASD. Fichier descripteur de "Advanced Streaming FDescriptor' pour Windows Media. Contient les descriptions des décodeurs d'Audio qui peuvent être utilisés dans Windows Media.
ASF. Active Streaming File. Dû à une erreur qui affecte les versions 6.4, 7, 7.1 et XP du Windows Media Player qui est lié au format ASF (Advanced Streaming Format). Si un fichier.ASF est créé, spécialement préparé, il est possible d'exploiter une vulnérabilité dans le Media Player, à cause d'un buffer non vérifié dans le processeur de ce type de fichiers.
Bien qu'il n'y ait pas la possibilité d'exploiter cette vulnérabilité à travers une page Web ou un courrier électronique en format HTML, il s'agit là d'un problème grave, étant donné que cela donne la possibilité d'exécuter un code arbitraire dans un ordinateur vulnérable si ce dernier exécute un fichier ASF malicieux.
ASX. Fichier redirecteur de Windows Media. Il existe des vulnérabilités pour les versions 6.4 et 7.0 de Windows Media Player. Le patch libéré pour d'autres erreurs corrige un buffer non vérifié qui peut causer l'exécution d'un code arbitraire dans l'ordinateur touché. Ce problème est traité dans le bulletin MS01-029.
BAS. Module Visual Basic@. Il s'agit ni plus ni moins d'un code exécutable, avec lequel il est possible d'introduire presque tout code malicieux dans le système.
BAT. Fichier de traitement par lots de MS-DOS. Au sein de ce système de programmation, bien qu'il soit très limité, il existe des virus qui peuvent arriver à détruire tout le contenu du disque dur.
CHM. Fichier HTML compilé (Compiled HTML). Il s'agit du format dans lequel est distribuée l'aide de Windows. Si un utilisateur reçoit un message infecté, et que ce dernier est ouvert, le code HTML est exécuté. Il contient un script qui est automatiquement activé par Windows.
Le problème réside dans la vulnérabilité du IE 5.0 et 5.01 et de l'Outlook 5.0 et 5.01 connue sous le nom de "Microsoft Iframe vulnerability", celle qui permet l'exécution d'un code malicieux à la simple ouverture d'un message de courrier (Windows 95, 98 et NT). Le problème se pose pour la création de fichier dans le répertoire TEMP de Windows, avec un nom connu et un contenu arbitraire, ce qui permet le chargement d'un fichier CHM dans ce répertoire, qui ensuite pourra être exécuté. Cette vulnérabilité fut corrigée dans l'Internet Explorer 5.5 et Outlook 5.5.
CMD. Fichier de commandes de Windows NT et OS/2 (Abréviation de Command). Similaires aux fichiers BAT de MS-DOS, ils peuvent abriter un code malicieux.
COM. Application MS-DOS exécutable (Command). C'est le premier format de fichiers exécutables de MS-DOS, qui fut suivi du format EXE. Il s'agit de fichiers qui ne peuvent pas occuper plus de 64 Kb...
CPL. Extensions du panneau de Configuration (Control Panel Library). Même s'il s'agit de fichiers avec extension CPL, ce sont en réalité des DLL avec des fonctions dans le panneau de Configuration, dans le format PE de Windows. Constituant un code exécutable, ils peuvent contenir un code dangereux. De fait, de nombreux virus essaient d'infecter des fichiers CPL en plus des exécutables classiques.
CRT. Certificat de sécurité (CeRTificate). Bien qu'ils furent mis au point pour établir des certificats de sécurité, ils peuvent certifier comme valides des éléments ou sites qui ne sont pas sûrs.
DLL. Bibliothèque de lien dynamique (Dynamic Link Library). Ce sont des portions de code exécutable à partir de tout programme. Une DLL infectée entrera en action chaque fois qu'elle sera sollicitée depuis un autre programme.
DOC, DOT, MCW. Fichiers de document ou de gabarit (DOcument Template) de MS Word et documents de Word pour Macintosh (MaCintosh Word). Ils peuvent contenir des macros virales.
EXE. Application (EXEcutable). Extension sous laquelle est généralement emmagasiné le code directement exécutable par l'utilisateur. C'est là que les virus trouvent le meilleur terreau pour s'y développer.
HLP. Fichier d'aide de Windows. Dans ce type de fichiers peuvent aussi se trouver des codes pour infecter le système.
HTA. Application HTML (HTml Application). Les fichiers HTA (Content-Type: application/hta), sont exécutés par le Microsoft HTML Application host (MSHTA.EXE). En plus de nombreux cas de virus qui se servent de cette extension (du légendaire BubbleBoy à d'autres, véritablement dangereux), cela continue de rendre le IE 6 vulnérable, y compris le patch publié par Microsoft.
HTO. Objets hiérarchiques étiquetés (Hierarchical Tagged Objects). Système d'écriture de code à être exécuté sur de multiples plates-formes.
INF. Fichier d'information de configuration (INFormation)
INS. Configuration d'Internet (INternet Settings). Elle établit les paramètres pour configurer la connexion à Internet. De nombreux fichiers INS modifient la connexion à Intemet pour la rediriger sur des numéros d'entrée spéciale (906, 903, etc).
ISP. Configuration du fournisseur d'Internet (Internet Service Provider).
JS. Fichier de code Script de Java (Java Scdpt). Dans le code Java de nombreuses possibilités d'exécuter un code malicieux ont été démontrées, y compris en faisant cesser la sécurité du Poste Virtual Java (Voir le Guide n' 8 de Panda Software, "Protection antivirus sur Internet, Partie 11").
JSE. Fichier de Java chiffré (Java Script Encoded). Voir JS.
LNK. Accès direct de Windows (LiNK). Ils servent à exécuter un programme déterminé à partir d'un emplacement différent de celui où est réellement le code exécutable. Si l'appel est dirigé vers des éléments qui peuvent endommager le système (comme un formatage), cela peut induire un danger important pour le système.
MDB. Fichier de base de données d'Access (Microsoft Data Base). Dans les fichiers Access sont emmagasinées beaucoup de données, parmi celles qui peuvent être des macros déterminées pouvant emmagasiner des virus.
MDE. Base de données de Microsoft avec protection (Microsoft Database Encoded).
MSC. Document de Console (MicroSoft Console). Utilisé pour gérer des objets COM+. Il y a deux façons de mettre en place et d'administrer les applications COM+. Vous pouvez utiliser l'outil administratif Services de composants (un complément de Microsoft Management Console) ou vous pouvez écrire des séquences de commandes pour mettre en place et administrer les applications COM+ de façon automatique par code qui utilise des objets d'administration fournis par la DLL de bibliothèque COMAdmin.
MSI. Paquet d'installation de Microsoft. (Microsoft Installer). Le code à installer peut contenir des éléments dangereux.
MSP. Patch pour fichiers d'installation de Windows. (MicroSoft Patch). Il s'agit de patchs qui viennent s'ajouter à un fichier d'installation déjà existant et qui permettent de maintenir un programme à jour sans devoir refaire toute la procédure d'installation.
MST. Visual Test Source File
OCX. Extension de Contrôles OLE. (Ole Control eXtension). Les contrôles OLE dans Windows peuvent exécuter un code dans le système et solliciter des fonctions internes sans que l'utilisateur ne puisse être assuré de ce qui est fait, et de comment cela est fait.
PCD. Fichier de Visual Basic. Puisqu'il peut contenir un code exécutable, il existe de la part des utilisateurs un risque élevé que ces derniers l'exécutent, et que cela occasionne des dégâts.
PIF. Fichier d'accès à des programmes dans Windows (Program Information File). Il est utilisé pour passer des paramètres et établir des conditions d'exécution dans des programmes DOS sous Windows, et peut aussi être utilisé pour appeler des programmes installés dans le système avec des paramètres déterminés.
REG. Fichier de texte avec entrée de registre. En faisant simplement un double clic sur un fichier de ce type, les entrées de registre que vous y avez emmagasinées peuvent être modifiées, ce qui change le comportement du système.
SCT. Fichier de Script de Windows (SCripT). Utilisé pour automatiser des tâches au sein de Windows, il peut exécuter et lancer des programmes de tout type, ainsi que réaliser d'autres tâches dangereuses.
SCR. Protecteur d'écran de Windows. Il s'y trouve un code exécutable qui peut s'avérer dangereux.
SH. Script (SHell script). Il contient des inscriptions exécutables par windows qui peuvent être dangereuses.
SHB. Accès direct dans un document. (SHortcut embebed). Voir .LNK
SHS. Fichier de presse-papiers (SHell Scrap). Information qui a été coupée dans une application, et qui a été collée dans une autre comme un fichier indépendant. Il peut s'agir d'un code exécutable, de scripts, etc.
URL. Lien vers une adresse Internet (Uniform Resourde Locator). Il peut renvoyer à une adresse dans laquelle se trouve un virus ou un code dangereux pour le système.
VB. Script de Visual Basic. Code exécutable, qui peut contenir des virus.
VBE. Code Visual Basic chiffré (Visual Basic Encoded). Voir VB
VBS. Script de Visual Basic. (Visual Basic Script). Voir VB.
VCS. Fichier vCalendar (Netscape, Works, Outlook). Fichier d'échange de donnée d'agenda en format HTML qui peut camoufler un code malicieux.
WMS. Fichier de courrier (Windows Messaging System). Il peut comprendre des fichiers joints ou d'autres éléments dangereux.
WMD. Fichier de téléchargement de Windows Media Player. (Windows Media Download). Par un fichier en javascript intégré dans un fichier de téléchargement de Windows Media (.wmd) il est possible d'exploiter certaines vulnérabilités de Windows Media Player.
WMZ. Fichier d'habillage de Windows Media Player. Il est possible d'ajouter un code JAVA aux habillages et d'exécuter tout programme local, de façon arbitraire, à l'insu de l'utilisateur.
WSC. Fichier de Script. (Windows Script Component). Il peut comprendre des codes, allant du Visual Basic à java, qui peuvent être malicieux.
WSF. Windows Script File. Voir VB
WSH. Windows Script Host, c'est la réponse de Microsoft à la nécessité d'un langage de programmation du système, de façon identique aux fichiers BAT de DOS.
XLS, XLT, XLA. Fichier de feuille de calcul, de gabarit ou complément d'Excel. De même que les documents d'Office, il peut contenir des Macros ou des codes dangereux.

4 800 Extensions de fichiers