[Infos sécurité] * Table des matières * [Infos sécurité]

Forum informatique > Aide Virus, Spywares et autres logiciels malveillants > [Infos sécurité] * Table des matières * [Infos sécurité]

<<<1>>>

[Page 1 sur 1 - 12 messages]
Informations Messages

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 12h53

 

Publicité

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 12h55

Posté par Kheops

Salut à tous ...

Toujours aussi sensible aux problèmes de sécurité informatique, je me permets ici de faire un petit récapitulatif commenté de ce qu'on appelle les malwares, au sens large ...

Ce topic n'est pas exhaustif mais il est destiné à vous permettre d'y voir un peu plus clair dans cet imbroglio de termes, parfois utilisés à tort, et éventuellement, de vous donner quelques recommandations de base pour réduire le risque d'infection ...

A - Les malwares, qu'est-ce que c'est ?

Le terme anglais "malware" (contraction de "malicious software" ou "logiciel malveillant" en français) regroupe toutes sortes de logiciels destinés à nuire à un système informatique. C'est donc un terme très vaste, d'où le but de ce topic ...

Parce que les virus ont été historiquement les premiers à apparaître, le terme "virus" est souvent employé abusivement, pour désigner beaucoup de logiciels malveillants. Les antivirus modernes renforcent cette dénomination abusive puisque que leur focus n'a jamais été limité aux virus.

On peut cependant classer les malwares selon plusieurs critères. Cette classification n'est pas parfaite, la différence entre les classes n'étant pas toujours évidente. Cependant, c'est aujourd'hui la classification standard la plus couramment adoptée ...

a. le mécanisme de propagation
b. le mécanisme de déclenchement
c. la charge utile (le code destiné à nuire, proprement dit)

B - Types

1- Virus

Un virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme Internet, mais aussi les disquettes, les CD-DVD, les clefs USB, etc ...

Sa grande caractéristique est qu'il est prévu pour se reproduire de lui-même en fonction des autres hôtes du réseau (dont il a besoin contrairement aux vers, nous le verrons plus loin) ...

1-1 Types de virus

- Le virus classique est un morceau de programme qui s'intègre dans un programme normal (ou dans le Master Boot Record dans le cas d'un virus de boot).

Chaque fois que l'utilisateur exécute ce programme "infecté", il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables.

De plus, lorsqu'il contient une charge virale, il peut, après un certain temps (qui peut être très long) ou un évènement particulier, exécuter une action prédéterminée. Cette action peut aller d'un simple message anodin à la corruption de certaines fonctions du système d'exploitation, la corruption de certains fichiers ou même la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique et de charge utile.

- Les macro-virus s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc ...) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle "normal.dot" de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme. Word étant le programme le plus utilisé au monde, imaginez la suite ...

- Les virus de boot sont, historiquement les premiers virus. Ils fonctionnent selon un schéma simpliste : ils utilisent les zones d'exécution automatiques des disque durs et disquettes (secteur de démarrage ou MBR) pour se propager. Ils se copient eux-mêmes sur le secteur de boot ou sur la table de partition, et déplacent ailleurs le secteur original sur le disque ou sur la disquette.

Ces virus infectent votre disque dur lorsque vous redémarrez l'ordinateur sur une disquette qui comporte un secteur de boot infecté. Par la suite, et pour assurer sa diffusion, toutes les disquettes qui seront introduites dans le système infecté verront leur secteur de boot remplacé par celui du virus.

- Les virus-vers, apparus aux environs de l'année 2003 et ayant connu un développement fulgurant dans les années qui suivirent, sont des virus classiques car ils ont un programme hôte. Mais s'apparentent aux vers (en anglais "worm") car leur mode de propagation est lié au réseau, en général via l'exploitation de failles de sécurité, leur action se veut discrète, et non-destructrice pour les utilisateurs de la machine infectée et, comme les vers, ils poursuivent des buts à visée large, tels que l'attaque par saturation d'un serveur web par des milliers de machines infectées se connectant simultanément.

Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, ce qui en fait une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées et parfois obsolètes, la possibilité d'exécuter automatiquement des scripts dans les courriels sans contrôle sont autant de sources d'infection.

La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions).

De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.

2- Spywares

On appelle spyware (logiciel espion en français) tout code introduit sur un dispositif pour y collecter des informations à l'insu ou sans la permission explicite et éclairée de l'utilisateur et qui emploie tous les moyens pour délivrer ces informations.
Même préalablement informé d'un éventuel tracking, l'utilisateur n'en reste pas moins soumis à une surveillance dont la nature peut s'avérer illégale du point de vue de la législation de son pays.

Une autre définition du spyware pourrait être un logiciel commercial (c'est-à-dire légalement disponible dans le commerce, payant ou gratuit) dont le mode de financement ou de fonctionnement amène à recueillir puis transmettre à un tiers des données personnelles concernant ses utilisateurs, sans avoir obtenu au préalable une autorisation explicite et éclairée de ces derniers.

Les spywares sont donc différents des chevaux de Troie et autres enregistreurs de frappes au clavier (keyloggers), contrairement à une déformation récente de leur définition, même si ces derniers peuvent également être utilisés pour collecter et envoyer des données sensibles, dans un but cette fois clairement malveillant.

Les spywares sont aussi souvent confondus avec les adwares (advertising supported software ou pubgiciels en français), ces logiciels dont l'auteur se rémunère par l'affichage de bannières publicitaires, sans pour autant recueillir ni transmettre de données personnelles et donc sans forcément porter atteinte à la vie privée de leurs utilisateurs. Ils sont également confondus à tort avec les cookies et les web-bugs, qui ne sont pas des programmes espions mais plutôt des procédés techniques dont la mise en oeuvre peut être détournée pour porter atteinte à la vie privée.

2-1 Types de spywares

Une première classification des spywares peut être établie en tenant compte de leur fonction, à savoir le commerce ou le renseignement :

- les spywares commerciaux collectent des données sur leurs utilisateurs et interagissent de manière visible avec eux, en gérant l'affichage de bannières publicitaires ciblées, en déclenchant l'apparition de fenêtres pop-up, voire en modifiant le contenu des sites web visités afin, par exemple, d'y ajouter des liens commerciaux. Ce sont les spywares les plus courants. Leur existence est généralement mentionnée dans la licence d'utilisation du logiciel concerné, mais souvent dans des termes ambigus et/ou dans une langue étrangère, ce qui fait que l'utilisateur n'est pas correctement informé. Ils se présentent généralement sous la forme de logiciels gratuits, pour les éditeurs desquels ils constituent une source de revenu.

- les mouchards collectent également des données sur leurs utilisateurs mais le font dans la plus totale discrétion. La surveillance et la réutilisation éventuelle des données collectées se font à l'insu des utilisateurs, généralement dans un but statistique ou marketing, de débogage ou de maintenance
technique, voire de cybersurveillance. L'existence de ces mouchards est délibérément cachée aux utilisateurs. Ils peuvent concerner n'importe quel logiciel, qu'il soit gratuit ou payant, mais de par leur nature ils sont peu fréquents, le risque en terme d'image en cas de découverte et médiatisation de l'existence du mouchard par un utilisateur étant à lui seul dissuasif pour la plupart des éditeurs.

Une seconde classification peut être opérée en fonction de la nature des spywares, à savoir leur constitution logicielle :

- le spyware intégré (ou interne) est une simple routine incluse dans le code d'un programme ayant une fonction propre pour lui donner en plus la possibilité de collecter et de transmettre via internet des informations sur ses utilisateurs. Les logiciels concernés sont par exemple Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que la totalité des mouchards. Le spyware et le programme associé ne font qu'un et s'installent donc simultanément sur l'ordinateur de l'utilisateur.

- le spyware externalisé est une application autonome dialoguant avec le logiciel qui lui est associé, et pour le compte duquel elle se charge de collecter et de transmettre les informations sur ses utilisateurs. Ces spywares sont conçus par des régies publicitaires ou des sociétés spécialisées comme Radiate, Cydoor, Conducent, Onflow ... avec lesquelles les éditeurs de logiciels passent des accords. Le spyware de Cydoor est par exemple associé au logiciel P2P KaZaA, et s'installe séparément mais en même temps que lui.

2-2 Fonctionnement d'un spyware

Dans le cas des spywares commerciaux, avant de pouvoir procéder à l'installation du logiciel gratuit convoité l'utilisateur est généralement invité à fournir certaines informations personnelles voire nominatives (email, nom, âge, sexe, pays, profession, etc.). Un identifiant unique est alors attribué à l'ordinateur de l'internaute, qui permettra de relier les données collectées et centralisées dans une gigantesque base de données aux informations personnelles fournies par l'utilisateur, voire éventuellement à d'autres informations recueillies sans préavis (configuration, logiciels installés, etc.).

L'analyse de ces données permet de déterminer les habitudes d'utilisation, les centres d'intérêts voire les comportements d'achat de l'utilisateur et de lui proposer ainsi des bannières publicitaires, des courriers électroniques promotionnels ou des informations commerciales contextuelles toujours plus ciblés, en rémunérant au passage les éditeurs de logiciels partenaires. Dans le cas du spyware commercial Cydoor, l'installation du programme copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache/), puis modifie la base de registre.

La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows et même dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration.

Dans le cas des spywares commerciaux, il est normalement fait état de leur existence dans la licence du logiciel mais ça n'est pas toujours le cas et c'est souvent en des termes trompeurs, décrivant rarement le détail des informations collectées et l'utilisation qui en sera faite. Quel que soit le type de spywares, les données collectées et transmises sont définies dans le code source du spyware, et le cryptage des transmissions fait qu'il est difficile de s'assurer de leur nature exacte.

Le spyware s'exécute souvent automatiquement au démarrage de Windows et mobilise donc en permanence une partie des ressources du système. Pour collecter certaines données, les spywares peuvent également être amenés à modifier des fichiers vitaux gérant par exemple les accès à internet, ce qui peut conduire à des dysfonctionnements importants en cas d'échec de l'installation ou de la désinstallation du spyware. Certaines fonctionnalités annexes comme la mise à jour automatique peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.

Lors de l'installation d'un logiciel, il faut :

- se déconnecter du web
- détailler les fenêtres successives avant de cliquer sur "suivant"
- refuser les annexes
- refuser l'ouverture directe en fin d'installation
- refuser le démarrage automatique avec Windows
- refuser les mises à jour immédiates
- faire attention aux cases déjà cochées

2-3 Que faire ?

S'il ne peut y avoir aucune hésitation à condamner les mouchards et plus globalement le principe visant à espionner les utilisateurs à leur insu, contrairement à la publicité en ligne telle que pratiquée par la régie DoubleClick, le tracking opéré par les spywares commerciaux a le mérite de ne concerner que les utilisateurs qui décident d'installer un de ces logiciels, laissant donc la liberté aux autres internautes de ne pas en installer ou d'opter pour une version payante dépourvue de spyware.

Malheureusement, au lieu d'opter pour la transparence et d'en expliquer clairement les enjeux, beaucoup d'éditeurs de logiciels ont été tentés de profiter de la discrétion des spywares pour en dissimuler l'existence ou pour les laisser implantés même après la désinstallation du logiciel associé. Les spywares commerciaux sont ainsi devenus aux freewares et aux sharewares ce que le spam est à l'e-mail. Ils ont d'ailleurs également créé un marché spécifique, puisqu'aux spywares qui exploitent la confiance ou l'ignorance des internautes viennent désormais s'ajouter un nombre croissant d'utilitaires antispywares payants ou gratuits (dont beaucoup sont faux) qui exploitent les peurs et parfois l'ignorance de ces mêmes internautes.

Sauf à renoncer à installer de nouveaux programmes sur son ordinateur, il faut chercher à s'informer et surtout faire preuve d'un minimum de vigilance si l'on souhaite que sa vie reste privée sur internet.

3- Les vers

Les virus de type "worm" (vers) sont des virus (des programmes) n'ayant généralement pas besoin d'un véhicule (un hôte, un vecteur) pour se dupliquer. Ils se propagent d'une manière rampante en utilisant les systèmes de transport tels les messageries, les messageries instantanées, les canaux IRC, les réseaux (locaux ou Internet) et le P2P. En ce sens, ce ne sont qu'une forme particulière de virus liée à leur mode de déplacement d'une machine à une autre.

Les virus infestent un véhicule et c'est la réplication du véhicule qui réplique le virus. Le virus est passif en terme de propagation (par contre il est souvent très actif en terme d'infestation d'une machine une fois celle-ci pénétrée). Si l'utilisateur ne duplique pas des disquettes ou des CD-Rom infestés ou s'il ne met pas des fichiers infestés en partage sur des réseaux P2P, le virus ne se propage pas.

Les vers ne se différencient des virus que par leur mode de propagation. Leur dispositif de réplication vise tous les systèmes de transports connus afin de se propager de leur propre initiative par cette voie au lieu de viser les objets exécutables et d'attendre que ceux-ci soient répliqués par la volonté de l'utilisateur. Pour le reste, il s'agit de virus "normaux". Les vers sont donc leur propre véhicule et sont essentiellement constitués de deux programmes : l'un est un réplicateur actif et l'autre est la charge active (le virus en lui-même). Le réplicateur va diffuser la paire réplicateur + charge active, via le système de transport.

Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.

3-1 Remarque importante

Ceci m'amène à parler des doubles extensions ... Hein ? C'est quoi ça ?

Je ne vous apprends pas que les noms de fichiers sont constitués de 2 parties séparées par un point : un nom et un suffixe (une extension du nom). Cette extension permet de savoir quelle est la nature du fichier.

Où est le problème ? Et bien, par défaut, Windows ne les affiche pas, pour des raisons que j'ignore. Et donc, de temps en temps, on voit apparaître un fichier bidule.txt et on n'y prête pas attention. On a le reflexe de penser que c'est un fichier texte et on double clique dessus pour voir ce qu'il y a dedans. Et là c'est le drame ... c'était un fichier bidule.txt.exe en réalité, donc un programme exécutable qui, manque de bol, implante un virus. Trop tard...

Il faut IMPERATIVEMENT afficher les extensions de fichiers.

Pour ce faire : dans l'explorateur Windows > Outils > Options des dossiers > Affichage > Décocher la case "Masquer les extensions des fichiers dont le type est connu" ...

4- Trojans

Un trojan, ou cheval de Troie, est un programme utilisé comme véhicule pour introduire dans un dispositif un ou plusieurs autres programmes, généralement des parasites, cachés à l'intérieur du premier.

Cette séparation entre le support et l'infection caractérise les chevaux de Troie.

Un troisième laron est utilisé pour lier le véhicule et sa charge utile en un tout installable et monofichier : un binder. Le binder permet de lier les deux premiers et permet également de les délier (de lâcher la charge utile) lors de l'installation du véhicule.

4-1 Description

C'est un programme ayant deux caractéristiques :

- Un comportement apparent utile (mais souvent futile, comme les économiseurs d'écrans, qui sont presque tous des trojans) à l'utilisateur de l'ordinateur (c'est le véhicule, la méthode d'infestation, la partie visible du trojan).

- Un comportement caché, malveillant, dû à l'implant véhiculé à l'intérieur du trojan (charge utile), conduisant à la destruction ou la divulgation des données, à l'ouverture d'une porte dans le système de communication, à l'espionnage, à la publicité, etc ...

4-2 types de trojans

On peut en distinguer trois :

- les trojans conservant leur charge utile sur eux, en plus de leur activité apparente. Le nom de "trojan" est attribué, par abus de langage, à l'ensemble des deux ce qui conduit à une grande confusion. Ce type de cheval de Troie ne devrait être classifié qu'à la classe de malveillances qu'il embarque, par exemple à Keylogger ou à Backdoors...

- les trojans lâchant leur charge utile. Les deux poursuivent leurs activités séparément. Si le trojan est désinstallé, la charge utile (le parasite) poursuit son travail. Ce type de trojans est à juste titre classé à "trojan" et la charge utile lâchée est classée au nom de sa classe de parasites.

- les trojans qui n'ont pas d'autre activité (pas d'activité apparente) que de lâcher et installer un parasite. Ce type de trojans est classé à "dropper" et la charge utile lâchée est classée au nom de sa classe d'implants malveillants, généralement des virus.

5- ActiveX

ActiveX est une technologie propriétaire à Microsoft servant à introduire de l'intelligence dans Internet, à la manière de Java de Sun et, plus généralement, à empaqueter du code exécutable et à le distribuer (dont sur et par le Net). De tels programmes sont appelés "Contrôles ActiveX" et peuvent tout faire sur un ordinateur dès qu'ils sont autorisés à s'exécuter, sans aucune restriction.

Cette technologie pose deux problèmes :

- elle est complètement hors des standards du Net (c'est une technologie propriétaire).

- elle est complètement hors de contrôle et permet à n'importe qui de piéger des pages Web pour faire absolument n'importe quoi sur un PC. Cette technologie sert, notamment, à conduire des adwares, des spywares, des BHOs, des pop-ups, des mises à jour automatiques, des RATs, des scanners, des hijackers, des dialers etc. ... C'est la plaie universelle ...

Il est recommandé de ne jamais accepter d'exécution de contrôles ActiveX ce qui est très simple : utilisez le meilleur navigateur qui soit, le plus rapide, le plus riche et le plus convivial : Firefox :mrgreen: !

Si vous êtes obligés d'utiliser Internet Explorer, interdire l'exécution des contrôles ActiveX ou ne permettre leur exécution qu'avec extrême prudence et sous votre contrôle en obligeant (paramétrant) Internet Explorer à vous demander l'autorisation d'installer quelque contrôle ActiveX que ce soit.

Réglages ActiveX dans Internet Explorer

Sauf cas très particuliers de sites qui s'arqueboutent sur ActiveX (comme Microsoft avec son site "Windows Update"), il est parfaitement loisible de naviguer normalement sans ActiveX du tout. Le navigateur Firefox, le plus respectueux des recommandations du W3C et qui remplace petit à petit Internet Explorer chez les internautes, ignore complètement cette technologie inutile et dangereuse. Si vous souhaitez, lors d'une exception, utiliser Internet Explorer pour visiter un site utilisant, malgré tout, ActiveX et vous obligeant à l'accepter, réglez Internet Explorer comme suit :

Internet Explorer > Outils > Options Internet > Onglet "Sécurité" > Zone "Internet" > Personnaliser le niveau > Réglez la gestion des Contrôles ActiveX comme sur l'image > Ok > Oui > Appliquer > Ok



6- Backdoor

Outil de pirate créant une faille de sécurité en maintenant ouvert un port de communication.

Un backdoor (porte dérobée) est une petite tâche chargée de maintenir un port ouvert afin de permettre, dans un second temps, quelquefois plusieurs mois plus tard (ou jamais), d'attaquer une machine. Le backdoor est diffusé par les mêmes voies que les virus afin d'infester un maximum de machines. Il va ensuite s'arranger pour être lancé automatiquement à chaque démarrage de la machine infestée puis va maintenir un port ouvert dès qu'il y a connexion. Certains s'attaquent à des canaux de communications particuliers comme IRC... Il va en rester là car son action se limite à cela. Il a préparé une attaque future.

L'attaque, elle, se fera en 2 temps : l'attaquant utilisera d'abord un scanner d'adresses IP et de ports pour chercher, sur Internet, une machine (une adresse IP parmi un intervalle d'adresses IP) dont un port est maintenu ouvert par son backdoor, puis il effectuera une tentative d'exploit (exploitation d'une faille de sécurité) ou autre forme d'attaque préparée par le backdoor.

Le backdoor n'est donc pas réellement une malveillance. Il la précède.

Il se pose donc 2 problèmes, tous les deux de nature "faille de sécurité" :

- le maintien ouvert d'un port qui est, en lui-même, une faille de sécurité.
- la faille de sécurité préalable qui à permis l'implantation de ce backdoor.

On peut voir ici toute l'importance de maintenir son système à jour !

L'usage du cheval de Troie pour installer un backdoor est la méthode la plus répandue et c'est vous-même qui allez chercher le vecteur (probablement un programme "gratuit" ou "freeware" ou "shareware") de l'infection et procédez à son rapatriement (téléchargé ou copié depuis un CD-ROM etc. ...) et à son installation.

Il est utile aussi de se munir d'un pare-feu pour surveiller et fermer les ports critiques de sa machine ...

7- Cookies

Les cookies sont de petits fichiers, sur votre disque dur, qu'un site manipule grâce à votre navigateur. Plusieurs de ces cookies servent aux spywares. Les cookies ne sont pas et ne peuvent pas être, directement, des spywares, mais ils contiennent des informations qui sont relevées par les spywares - on parle de "cookies à spywares".

Un cookie est un "post-it" pour le serveur d'un site visité, déposé chez le client (vous, dans votre ordinateur) et destiné à rendre la navigation plus confortable et plus rapide. C'était sa finalité lors de son invention par la société Netscape et c'est son usage quotidien dans beaucoup de cas. Il y a des centaines de millions de sites et des centaines de millions de Cookies tout à fait légitimes.

Par contre, il y a un usage déviant dans la cadre d'outils d'espionnage ou de marketing et d'établissement du profil (profiling) de la cible : vous. Si l'on fait un décompte des « Cookies à spywares » recensés par PestPatrol ou SpywareBlaster, ce ne sont que quelques centaines de cas. Mais c'est à cause d'eux que nous sommes obligés d'en parler et de traiter le problème car ces petits fichiers sont massivement utilisés dans la gestion des publicités durant notre navigation et dans les logiciels espions (les spywares).

Le cookie est-il ou peut-il être une malveillance active ?

Les cookies ne peuvent pas être des malveillances actives (virus etc. ...) car ils ne peuvent être exécutés. Ils sont purement passifs. Toutefois rien n'empêche d'imaginer qu'un site piégé utilise une vingtaine de cookies, soit une possibilité de 4.096 * 20 = 81.920 caractères pour introduire une malveillance quelconque. C'est largement suffisant. Les "gros" virus pèsent, par exemple, environ 50.000 caractères. La malveillance est alors découpée en tronçons stockés dans les instructions de création de cookies d'une page Web piégée. Un contrôle ActiveX agissant en Binder est aussi introduit avec la page Web. Au chargement de la page, le Binder ré-assemble et installe la malveillance qui agira selon ses caractéristiques (à une date ultérieure de préférence de manière à donner le temps au site piégé d'infester un grand nombre de machines).Seul le contrôle ActiveX pourrait être vu si les réglages du navigateur ne sont pas trop laxistes et, peut-être, l'installation de la consigne de lancement automatique de la malveillance si un utilitaire de surveillance de la liste de démarrage est mise en place.

8- Downloader

Normalement, c'est un utilitaire dont le travail consiste à télécharger et, éventuellement, installer et enregistrer dans la base de registre, quelque chose.

Implanté à votre insu, c'est un parasite qui va télécharger et installer d'autres parasites sur votre ordinateur, dans un système pyramidal.

En tant que parasite et comme son nom l'indique, ce n'est pas un trojan mais une classe de parasites. Comme il s'agit de programmes à part entière, ils peuvent avoir, simultanément, d'autres activités affichées et apparentes ou masquées et inconnues.

Il existe plusieurs sortes de downloader. Contrairement aux trojans, au lieu d'embarquer la charge active avec eux, ils n'embarquent que les liens, généralement cryptés, stockés dans leur corps, des charges actives qu'ils ont le devoir de télécharger (downloader) et installer.

- ceci leur permet d'être plus petits et donc de "passer" plus facilement.
- ceci permet aussi de les modifier très facilement, tant au niveau des liens embarqués qu'au niveau de leurs propres signatures ce qui les rend plus furtifs.
- ceci permet enfin un mise à niveau aisée des parasites qu'ils ont la charges d'installer - ils peuvent, par exemple, être programmés pour aller régulièrement, à intervalles, chercher s'il existe une mise à jour du ou des parasites dont il a la charge.

Certains téléchargements, en apparences légitimes, se font par l'usage d'un downloader. Typiquement, une demande de téléchargement de KaZaA commence par le téléchargement d'un petit downloader qui prend en charge le téléchargement en lui-même.

Il n'y a aucune raison valable à une telle pratique si ce n'est :

- espionner le contenu de nos ordinateurs et le matériel installé
- installer d'autres choses en plus du produit convoité
- inhiber, durant le téléchargement et l'installation, nos outils de surveillance
- assurer une installation "profonde" et / ou furtive que les installeurs classiques ne peuvent accomplir
- installer un programme capable d'aller sur le Net pour télécharger du code inconnu sans nous en informer, sans que nous puissions nous y opposer et sans en connaître l'activité.

Le problème est quadruple :

- le fait que le downloader soit présent sur une machine signifie qu'elle a été pénétrée. Il y a donc une faille de sécurité à chercher.
- le downloader en lui-même qui est un parasite à éradiquer
- le ou les parasites qu'il a pu télécharger et installer. Il convient de scanner intégralement la machine ou le réseau.
- il faudra s'assurer que les données ne sont pas compromises et changer tous les mots de passe.

9- Hijack - Hijacker - Hijacking

Modification non sollicitée du comportement et/ou des réglages du navigateur de l'internaute.

Une tentation forte des webmasters (et, surtout, des e-commerçants gangsters) est de modifier les réglages de votre navigateur à votre insu. Ceci se fait par l'intermédiaire de fonctionnalités standards mises à disposition des webmasters, tels que les contrôles ActiveX ou les JavaScript et autres langages de script. Ces modifications peuvent êtres anodines (mais agaçantes) comme, par exemple :

- afficher un site en plein écran en masquant la quasi totalité des barres de boutons etc.
- modifier votre sélection de page de démarrage.
- modifier votre page de recherche.
- ajouter de nouvelles entrées dans votre liste de favoris, entrées que vous n'avez jamais, vous mêmes, introduites.
- ...

L'un des buts recherchés est de vous obliger à passer par leur site et gonfler ainsi les statistiques de visites de leur site ce qui n'est pas un simple problème d'ego mais une ambition cachée de valoriser le site dans le but de le revendre ou de mieux négocier les ventes d'espaces publicitaires.

L'autre but recherché est de vous diriger vers des sites choisis qui sont généralement des sites bourrés de publicités sur lesquelles le moindre clic ou le moindre achat en ligne va rapporter de l'argent au webmaster.

Fonctionnalités standards ou pas, les sites qui pratiquent cela sont des sites piégés, inamicaux et il convient de les introduire immédiatement dans la liste hosts.

Ce genre de pratiques est réversible, généralement en allant dans les options de votre navigateur pour restaurer vos propres réglages et en supprimant les entrées non sollicitées dans les favoris.

Ces modifications peuvent être plus agressives, telles que modifier la base de registre de Windows. Il faut alors éditer la base de registre et là, même un informaticien chevronné y va avec des pincettes.Restaurer la base de registre n'est pas toujours suffisant car des tâches fantômes peuvent ré-implanter les modifications que vous avez éradiquées, chaque fois que vous redémarrez votre ordinateur. Il faut alors regarder du côté de la liste de démarrage.

Dans certains cas, les accès aux outils d'IE pour restaurer vos valeurs sont retirés (autre hijack d'IE masquant des boutons, des commandes dans les menus...) pour vous empêcher de revenir à vos propres réglages !. Les commandes sont alors "grisés" (inaccessibles). Ceci se fait le plus souvent avec des contrôles ActiveX qui s'installent en tant que BHO's et deviennent ainsi part d'IE et sont lancés et exécutés à chaque lancement d'IE.

Une autre méthode utilisée par certains sites consiste à introduire le nom de leur site dans la zone Options Internet > Sécurité > Sites de confiance d'Internet Explorer. Ceci donne à ces sites le contournement de la quasi-totalité des contrôles de sécurité que vous tentez d'exercer.

C'est ici qu'intervient le magnifique Hijackthis, dont les logs inondent les forums d'entraide ...

Mais, et c'est là une astuce, cette zone peut aussi, bien employée, nous permettre de les bloquer. En effet, il existe le pendant restrictif des "sites de confiance" qui est la zone "sites sensibles". Il suffit d'entrer des noms de sites dans cette zone et ils ne pourront plus s'auto afficher dans la zone "sites de confiance". On trouve ici une liste de sites à ajouter automatiquement à la zone "sites sensibles" de Internet Explorer (IE-Spyad)et qui permet de bloquer certains comportement de hijacking. Cette liste est basée sur une liste hosts. Notons que IE-Spyad ne fonctionne qu'avec Internet Explorer, tandis que la liste hosts fonctionne avec tous les navigateurs et tous les systèmes d'exploitation ...

10- Keyloggers

Les Keyloggers sont des programmes d'espionnage, commerciaux ou non. Ils peuvent être installés silencieusement et être actifs de manière totalement furtive sur votre poste de travail. Ils effectuent une surveillance invisible et totale, en arrière-plan, en notant dans des fichiers cachés et compressés le moindre détail de votre activité sur un ordinateur dont toutes les touches frappées au clavier, d'où leur nom de "key-logger". Ils sont aussi capables de faire un film de tout ce qui se passe à l'écran, en continu ou par capture d'écran à intervalles réguliers... Ils notent quels programmes sont utilisés et pendant combien de temps, les URL visitées, les e-mails lus ou envoyés, les conversations de toutes natures... dès la mise sous tension de la machine. Ils permettent, par la même occasion, de lire les champs habituellement cachés comme les mots de passe, les codes secrets etc. ... Enfin ils rendent compte, en temps réel ou en temps différé, sur place ou à distance.

Il s'agit donc d'une agression particulièrement grave qui pose plusieurs problèmes :

- la faille de sécurité qui à permis à quelqu'un de faire pénétrer cette malveillance.
- le keylogger en lui-même qu'il convient d'éradiquer.
- les mots de passe probablement révélés et autres données.
- à qui profite le crime ?

11- RATs - Remote Administration Tools

Un RAT est un programme permettant la prise de contrôle totale, à distance, d'un ordinateur depuis un autre ordinateur.

11-1 Description

Une personne distante se retrouve dans une situation totalement identique à ce qu'elle serait si elle était devant la machine contrôlée. Son clavier devient le clavier de la machine distante, son écran devient l'écran de la machine distante, sa souris devient la souris de la machine distante etc. ... sans aucune limitation ni contrainte, même si elle est à des centaines ou des milliers de kilomètres de la machine contrôlée. On conçoit donc que les RAT puissent constituer des agressions de la plus extrême gravité.

Un RAT est constitué de 2 parties, un "client" et un "serveur". Le client est installé sur la machine de celui qui prend le contrôle, le serveur sur la machine contrôlée.

Un RAT peut être :

légitime lorsqu'une personne ou une société a donné son accord à une autre personne ou une autre société pour prendre le contrôle à distance de son ordinateur. Le cas le plus habituel est celui de la télémaintenance et du télé diagnostique qu'une entreprise délègue à son fournisseur de produits et services informatiques. Ce dernier peut intervenir bien plus rapidement et efficacement en prenant le contrôle de l'ordinateur de son client sans quitter ses bureaux et sans perdre de temps en déplacement, surtout si le client est à plusieurs centaines ou milliers de kilomètres de là. Le serveur doit être lancé au dernier moment, lorsque le fournisseur et prêt à prendre le contrôle. Le serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être activable que sur présentation d'un solide mot de passe renouvelé après chaque intervention.

illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un Trojan qui a probablement servi à l'implanter ou une personne qui a accès physiquement à l'ordinateur. Dans les 2 cas il y a, outre la malveillance introduite, une faille de sécurité quelque part qui a permis son installation.

un produit commercial, comme le célèbre PC-AnyWhere

un produit de pirates. Certains sont excellents et sont d'ailleurs devenus des produits commerciaux.

Comme souvent, l'usage du trojan pour implanter le parasite est le plus répandu ...

12- Rootkits

11-1 Définition

Les auteurs de virus ont toujours fait face à un sempiternel problème : comment conserver la présence des codes malicieux le plus longtemps possible à l'insu des utilisateurs et des solutions antivirus? Cette question est d'autant plus actuelle que ces derniers temps, l'écriture de programmes malfaisants n'est plus tellement une affaire de développement personnel mais de business. Effacer ces traces est donc le thème en vogue pour les pirates hommes d'affaires. Par quels moyens peut-on cacher un programme voleur de données bancaires ou encore un serveur proxy illégal destiné à la diffusion de spams depuis l'ordinateur d'une victime?

Les cyber escrocs d'aujourd'hui règlent ce problème de la même façon que les réglaient les cyber hooligans il y a 10-15 ans. Un des premiers virus connus pour PC, Virus.Boot.Brain.a (un virus du secteur de boot qui s'octroyait les fonctions d'accès au disque et lors de la lecture du secteur de démarrage, par exemple du programme antivirus), substituait les données originales par des données infectées. Avec le temps, ces mêmes mécanismes furtifs (l'interception des fonctions système et substitution des données) ont continué d'être utilisés dans les virus Windows.

Ces derniers temps, l'utilisation des technologies de rootkit pour masquer la présence de logiciels malfaisants est de plus en plus populaire. Cette croissance est, entre autres, favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaille avec les droits Administrateur, ce qui facilite grandement l'installation de rootkits dans ces ordinateurs.

Un rootkit (mot emprunté au monde Unix/Linux) est un parasite permettant de s'octroyer des droits "Root", c'est-à-dire les niveaux de droits les plus élevés de l'administrateur d'une machine pour en prendre le contrôle tout en restant furtif.

Sous Windows, la violation du système est beaucoup plus aisée que sous Linux et un rootkit (au sens originel du mot) n'est pas nécessaire pour en prendre le contrôle, d'autant que la très grande majorité des utilisateurs Windows, malgré les avertissements des sites de sécurité, travaille encore et toujours directement en mode administrateur.

Les rootkits visant Windows ont donc évolué pour devenir une sorte de boîte à outils, permettant aux pirates d'implanter des parasites (qui vont leur faciliter la prise de contrôle et la zombification de l'ordinateur infecté) et surtout, de les rendre totalement invisibles grâce à des hookers.

Les rootkits nécessitent une très haute technicité en informatique et ne sont donc à la portée que d'utilisateurs extrêmement avancés. Hormis dans les laboratoires, de tels techniciens ne se retrouvent que dans les mafias. Les mafias russes sont de grands utilisateurs de rootkits.

La force des rootkits, hormis leur furtivité, est que, si le ou les parasites implantés par eux sont détectés et éradiqués, le rootkit lui-même ne l'est pas ! Il va permettre de compromettre à nouveau la machine, encore et encore.

11-2 Qu'est-ce qu'un hooker ?

Il s'agit d'un élément de la boîte à outils que constitue le rootkit actuel et qui permet d'intercepter, de bloquer, voire de modifier au passage, une instruction ou un morceau de code.

Un parasite peut donc s'autoprotéger en bloquant une demande d'éradication (antivirus, gestionnaire de tâches, ...), en modifiant la réponse à cette demande pour faire croire qu'elle a abouti, en arrêtant le processus qui a fait cette demande, en se rendant invisible, ...

11-3 Qu'est-ce qu'un ordinateur zombie ?

C'est un ordinateur connecté à Internet, compromis par un pirate l'ayant infecté, et qui accomplit des tâches malveillantes à l'insu de son propriétaire.

Est-il besoin de préciser que la quasi totalité des PC zombies tournent sous Windows ? Des groupes crapuleux se sont même spécialisés dans la zombification de PC et leur mise en réseau (Botnets) qu'ils louent ainsi à d'autres gangsters.

Certains estime que 30% des PC dans le monde seraient sous contrôle mafieux ! De même, 30% à 50% du spam mondial utiliserait ces réseaux zombifiés pour se diffuser !

Effrayant !

11-4 Fonctionnement

Le fonctionnement d'un rootkit est un peu complexe pour l'utilisateur débutant, mais, pour être complet, je me dois de le détailler ici.

Windows travaille selon deux modes : le mode utilisateur (User mode) et le mode noyau (Kernel mode). La plupart des applications travaillent en mode utilisateur : Word, gestionnaire des tâches, Outlook ...

Le mode noyau est réservé pour les accès aux périphériques, à la mémoire RAM et, d'une manière générale, au matériel. Une autre partie du noyau est destinée à répondre aux appels des différents programmes du mode utilisateur.

Windows propose un éventail de fonction permettant aux applications de fonctionner. Cet éventail est nommé API.

Un programme en mode utilisateur qui souhaite ouvrir un fichier va utiliser une fonction (API) nommée OpenFile(). Cette fontion fera appel à la fonction plus primitive NtOpenFile() contenue dans ntdll.dll qui elle-même fera appel à une fonction en mode noyau nommée ZwOpenFile() qui sera exécuté par ntoskrnl.exe.

Il existe différents types de rootkits qui vont agir en mode utilisateur au niveau de NtOpenFile() et d'autres en mode kernel au niveau de ZwOpenFile(). Ces rootkits peuvent être persistants en s'installant définitivement sur le système ou simplement résidents, ce qui complique leur détection.

Techniquement, ils placent des crochets d'interceptions (hooks), soit sur les fonctions de ntdll.dll grâce à une dll, soit sur les fonctions du noyau, grâce à un driver, en modifiant une table en mémoire nommée SSDT (System Service Descriptor Table). Cette table contient les emplacements mémoires des fonctions du noyau Windows.

Ces techniques permettent de rediriger les adresses des fonctions vers l'espace mémoire des rootkits afin de modifier la réponse qui sera renvoyé au programme appellant.

Un rootkit est donc généralement composé :

- d'un driver : xxx.sys (Kernel mode)
- d'une .dll : xxx.dll (User mode)
- d'un programme : xxx.exe
- d'un fichier de configuration : xxx.ini


Il est également possible, pour certains rootkits, de réaliser un détournement des fonctions du noyau sans modifier cette fameuse SSDT. Ainsi aucune anomalie n'est visible dans cette table. Cette méthode consiste à modifier directement la fonction en mémoire en y ajoutant quelques segments de codes pour réaliser une redirection. On pourrait résumer cette manipulation par de l'injection de code en mémoire centrale.

L'article complet dont je me suis inspiré pour introduire ce sujet, et qui donne quelques exemples en images, est disponible ici.


[u]11-5 Comment les détecter ?
[/u]


Quelques solutions existent et font leurs preuves.

Des outils comme Seem ou Gmer permettent de contrôler la validité de la SSDT (System Service Descriptor Table), d'afficher les processus cachés ou encore de lister les fichiers cachés. En théorie le composant qui doit pointer dans la SSDT se nomme ntoskrnl.exe.

Donc si d'autres programmes ou drivers gèrent cette fonction, cela peut indiquer un détournement hostile. Il faut cependant noter que certains programmes modifient cette SSDT afin de fonctionner correctement. Les anti-virus, certains pare-feu ainsi que d'autres programmes comme DeamonTools, agissent de la sorte.

Il faut donc faire la différence entre les drivers fournis par des logiciels sains et les drivers issus de rootkits. Une simple recherche par le nom du driver sur Google donne souvent des pistes de recherche en cas de doute.
Comment se protéger ?

Il n'existe pas de solution miracle. Néanmoins l'utilisation conjointe d'un antivirus et d'un pare-feu reste fortement conseillée.

Malgré tous les types de protection possibles, il existe des rootkits qui patchent la SSDT, neutralisant ainsi le bon fonctionnement des logiciels de protection pour s'installer en toute impunité.

Dans tous les cas, l'installation d'un rootkit fait suite à une action humaine. Que ce soit l'exécution d'une pièce jointe, d'un email ou une réponse affirmative à l'exécution d'un script d'une page internet, une simple action anodine peut engendrer de gros dégâts.

Leur installation peut également se réaliser grâce à une faille de sécurité, il est donc indispensable que le système soit à jour.

Il existe aussi des logiciels permettant de contrôler les modifications de la table SSDT, de contrôler l'exécution des programmes, ... Seem et Gmer, déjà cités, mais aussi :

- F-Secure Blacklight
- RkU
- Sophos Anti Rootkit
- Panda Anti-rootkit
- McAfee Avert Labs Rootkit Detective Beta
- Rootkit Revealer


Les rapports générés par ces outils sont à analyser avec prudence car les faux-positifs sont beaucoup plus nombreux qu'avec les scanners antivirus ou antimalwares. Si vous êtes néophyte, demandez l'avis d'une personne qualifiée.

Le cas du rootkit pe386 et sa méthode d'éradication sont discutés ici.


Voilà, c'est enfin terminé, j'éditerai en fonction de vos commentaires (ajout, remarques, news, ...)

Merci de m'avoir lu.

Posté par Kheops

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 12h57

Posté par Kevin76

Un PC Infecté peut se révéler être un PC "zombie" en plus des désagréments habituels.

Flèche Qu'est-ce qu'un PC "zombie" ?
Un PC "zombie" est un PC infecté par un virus ou cheval de Troie, qui transforme votre système en une sorte de robot obéissant et malfaisant.
A première vue, rien d'anormal sur le PC. Le virus utilise très peu de ressource système et une faible partie de la bande passante. Il attend sagement les ordres du pirate qui l'a créé.

Flèche Quels sont les méfaits d'un PC "zombie" ?
Un PC "zombie" peut agir de différentes manières pour accomplir ses méfaits.
Premièrement, l'attaquant peut utiliser les PCs "zombies" comme serveurs de mails afin d'envoyer massivement des spams en toute transparence pour l'utilisateur.
Deuxièmement, lorsque le pirate dispose d'assez de PCs "zombies" (réseaux zombie ou bot net), il peut mener des actions redoutable. Le "réseau zombie", une fois constitué, lance des attaques ciblées contre des entreprises ou institutions pour saturer leurs serveurs et les rendre inaccessibles (attaque DDoS)!

Flèche Conclusion
Même si cela peut vous paraitre insignifiant, si votre PC est infecté, vous participez activement à la pollution de l'internet ! Il est donc nécessaire d'avoir un système "propre" afin de pouvoir garder notre internet sain.
Lorsque que vous êtes connecté à internet avec une machines infecté, vous vous rendez complice, à votre insu, de la pollution du web ! Donc sécurisez vos PCs !

Pour en savoir plus : http://assiste.com.free.fr/p/abc/a/zomb ... tnets.html

Posté par Kevin76

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 12h58

Posté par kevin76

De faux anty-Spyware, appelé plus communément Rogues, sont présent sur le net.
Ces rogues se manifestent par des pop-ups ou des alertes vous prévenant que plusieurs fichiers sur votre PC sont infectés. Le seul moyen de ce débarrassé de ces fichiers infectés est d'acheter leurs logiciels.

ATTENTION, il ne faut pas se faire piéger ! Ces rogues ne sont là que pour faire de l'argent, les fichiers qu'ils vous indiquent sont soit légitime ou inexistant.

Si vous recevez ce genre d'alerte, vous êtes probablement infectés. Rendez-vous sur le forum Aide Virus, Spywares et autres logiciels malveillants Malware afin de désinfecté votre PC.

Une liste des rogues est disponible sur Spyware Warrior. Reportez vous à cette liste avant d'installer un logiciel Anti-Spyware et méfier vous des sites sur lesquels vous naviguez (pas de sites XXX, crack, warez ...).

Bon surf.

Posté par kevin76

Ajout de la crapthèque d'Assiste.com (très complète) :
http://assiste.com.free.fr/p/craptheque/craptheque.html

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 12h59

Article repris sur Zebulon, rédigé par Gof

Pourquoi ce sujet ?

    Suite à de nombreuses conversations dans mon entourage, à la lecture de divers topics sur le sujet, je voulais refaire un point sur le p2p dans sa globalité, au vu des démonstrations qui ont été faites ici et ailleurs, des désinfections sur les forums de sécurité, et des nouvelles législations (décrets, jurisprudence, etc.).

    Trop de monde ignore encore quels sont les dangers, les risques et les peines encourues à utiliser à des fins légales ou illégales les logiciels de peer-to-peer. Je suis las également d'entendre je risque rien, tout le monde le fait ou encore ben je ne savais pas. Il va m'être difficile d'être exhaustif sur le sujet, tant il aborde de nombreux points et déborde largement sur un phénomène de société dont les enjeux paraissent insondables aujourd'hui.

    Pour rappel : sur Zebulon, vous avez nécessairement, en vous inscrivant, accepté la charte du site et du forum. Que cette charte vous semble légitime ou arbitraire, peu importe, vous l'avez acceptée. Je vous remets le point 6:

    [list:2mhpozlb]6 - Les messages portant sur des sujets illégaux (cracks, warez, piratages, P2P interdits, ...) seront systématiquement fermés ou supprimés sans préavis. Ne sont tolérées que les discussions sur les seuls problèmes de sécurité engendrés par les logiciels d'échange libre de fichiers (P2P, uploads / downloads massifs, ...).

[/list:u:2mhpozlb]

    Si ce sujet a été autorisé, en apparente contradiction avec la charte, c'est parce qu'il a été soumis au préalable à une prévisualisation des modérateurs et à l'acceptation par l'administrateur de sa publication. Il s'agit ici d'information sur ce sujet plus que polémique.





Qu'est-ce que le peer-to-peer ?

    Je ne vais pas m'étendre sur l'explication technique, de nombreux articles disponibles sur le net y font mention avec beaucoup de pertinence et d'exhausivité. Je me permettrais juste de porter à votre attention ces deux-ci :





Ce procédé est-il légal ?

    Il y a un peu plus d'un an, j'aurais pu écrire ceci :

    [list:2mhpozlb]Oui. Le système en soi est tout à fait légal. Des distributions Linux ou d'autres projets libres peuvent être distribués de cette manière-là, des démonstrations de jeux, des artises souhaitant acquérir à moindre frais une audience et une notoriété peuvent mettre à libre disposition leurs oeuvres, des webmasters souhaitant économiser leur bande passante peuvent proposer des téléchargements via ce biais, des chercheurs peuvent user de ce procédé pour accéder aux possibilités de calculs des ordinateurs ainsi disponibles, etc. C'est l'usage qui peut en être fait qui est illégal. Il ne faut pas se cacher la vérité, cette propension au téléchargement illégal - car en rapport avec des oeuvres non libres de droits - concerne la majorité des transferts de fichiers. Selon une étude publiée le 8 février 2007 par l'Institut De l'Audiovisuel et des Télécommunications en Europe (IDATE) en liaison avec Médiamétrie/Netratings, les fichiers téléchargés légalement représentent environ 15% en France de l'ensemble des fichiers téléchargés.


[/list:u:2mhpozlb]

    La réponse est ambigüe aujourd'hui suite à l'adoption par l'Assemblée Nationale et le Sénat de la loi n° 2006-961 du 1er août 2006 relative au droit d'auteur et aux droits voisins dans la société de l'information parue au Journal Officiel ; autrement dit ce qu'on appelle communément aujourd'hui la loi DADVSI, décret et décision du Conseil constitutionnel.

    Cette loi a été longuement, et est encore débattue dans tous les milieux. Je ne chercherai pas à débattre ou polémiquer, l'enjeu n'est pas là, concentrons nous sur les faits et les textes tels qu'ils ont été adoptés et votés et tels qu'on peut les interpréter malgré le fait de n'absolument pas être juriste. Ce qui est important aujourd'hui, malgré l'actualité encore présente des débats opposant politiques, professionnels, associations et simples utilisateurs, c'est de savoir si l'on est, lorsque l'on est utilisateur de cette technologie, en cet instant T hors-la-loi ou non. Vous pouvez consulter l'historique de cette loi, les différents points de vue exprimés, les débats relatifs à celle-ci dans l'article synthétique wikipédia.



*******************

    Faisons un petit aparté succinct sur le parcours d'une loi.

    [list:2mhpozlb] Le vote de la loi en France repose sur le principe de l'accord sur un même texte entre l'Assemblée nationale et le Sénat. Cet accord s'établit par la procédure dite de la navette parlementaire, décrite par l'article 45 de la Constitution : « Tout projet ou proposition de loi est examiné successivement dans les deux assemblées du Parlement en vue de l'adoption d'un texte identique. » Le texte effectue ainsi des « navettes » entre les deux assemblées jusqu'à l'adoption d'un texte identique. Chacun des examens successifs s'appelle une lecture. Le Gouvernement peut demander la réunion d'une commission mixte paritaire, composée de sept sénateurs et sept députés, et chargée de parvenir à une rédaction commune sur les dispositions d'un texte restant en discussion entre l'Assemblée et le Sénat au cours de la navette. (...) Lorsque le texte est définitivement adopté, le président de la République dispose de quinze jours pour promulguer la loi. (...) La promulgation de la loi l'authentifie et lui donne force exécutoire. Elle est ensuite publiée au Journal officiel de la République française, dans l'édition « Lois et décrets ». Wikipédia - processus législatif en France.


[/list:u:2mhpozlb]

    Quel était le but de cet aparté ? Vous rendre compte par vous-même que la loi DADVSI a été promulguée, sans ambigüité, et qu'elle est effective, tout simplement. Que vous soyez d'accord ou non. La difficulté pour tous est de l'assimiler et d'en saisir les grandes lignes, pas facile quand on n'est pas juriste. :-P


*******************

    Je me suis donc aidé de diverses lectures, du texte officiel bien entendu, et d'essais de vulgarisation qui foisonnent sur le net. Je porterai à votre attention celui-ci qui me semble d'un grand intérêt : Blog - Journal d'un Avocat - loi DADVSI commentée. La loi évoquant de nombreux points et cas de figure, je ne me cantonnerai qu'à ce qui nous intéresse ici, l'usage des logiciels de peer-to-peer. Cette loi apporte des modifications au code la propriété intellectuelle. Pour plus de lisibilité, c'est directement du code qu'il faut prendre connaissance des dispositions ajoutées par la loi DADVSI.

    Article L336-1 (inséré par Loi nº 2006-961 du 1 août 2006 art. 27 Journal Officiel du 3 août 2006). Lorsqu'un logiciel est principalement utilisé pour la mise à disposition illicite d'oeuvres ou d'objets protégés par un droit de propriété littéraire et artistique, le président du tribunal de grande instance, statuant en référé, peut ordonner sous astreinte toutes mesures nécessaires à la protection de ce droit et conformes à l'état de l'art. Les mesures ainsi ordonnées ne peuvent avoir pour effet de dénaturer les caractéristiques essentielles ou la destination initiale du logiciel. L'article L. 332-4 est applicable aux logiciels mentionnés au présent article.

    Article L335-2-1 (inséré par Loi nº 2006-961 du 1 août 2006 art. 21 Journal Officiel du 3 août 2006). Est puni de trois ans d'emprisonnement et de 300 000 euros d'amende le fait :[list:2mhpozlb]1º D'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés ;
    2º D'inciter sciemment, y compris à travers une annonce publicitaire, à l'usage d'un logiciel mentionné au 1º. "Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel nº 2006-540 DC du 27 juillet 2006."


[/list:u:2mhpozlb]

    En plus du code de la propriété intellectuelle, il faut également prendre connaissance de la circulaire du 3 janvier 2007 de présentation et de commentaire des dispositions pénales portant sur la loi n°2006-961 relative au droit d'auteur et les droits voisins dans la société de l'information et d'action publique dans le domaine de la lutte contre les atteintes à la propriété intellectuelle au moyen des nouvelles technologies informatiques. Que dit-elle ?

    L'article 21 de la loi introduit dans le CPI un nouvel article L.335-2-1 (...). Cette disposition résulte d'amendements parlementaires, qui visaient spécifiquement à responsabiliser les éditeurs de logiciels de pair à pair afin que les internautes ne soient pas exclusivement visés par la répression de la contrefaçon (NTDLR : la contrefaçon est un délit.). Ces incriminations sont entrées en vigueur en même temps que la loi, de sorte qu'elles sont immédiatement applicables aux logiciels déjà disponibles qui seraient maintenus à la disposition du public, de même que pour la publicité qui en serait faite, postérieurement au 4 août 2006. (...)
    Il va de soi que l'éditeur ou le distributeur d'un logiciel d'échanges de données ou de fichiers qui n'est pas conçu ou spécialement configuré pour permettre l'échange de fichiers contenant des oeuvres contrefaites ne saurait tomber sous le coup de l'incrimination de l'article L.335-2-1 du CPI. (...)
    A l'inverse, ceux qui éditent ou distribuent des logiciels manifestements destinés à porter atteinte aux droits d'auteur ou droits voisins ou en font la publicité doivent faire l'objet de poursuites déterminées afin de tarir à la source les réseaux d'échanges illégaux. L'initiative des titulaires de droits tendant à lutter contre ces logiciels sera relayée par le ministère public chaque fois que l'infraction paraît caractérisée. (...)
    Enfin, il est utile de rappeler que lorsque qu'un logiciel n'est pas manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés, mais est neanmoins "principalement utilisé pour la mise à disposition illicite d'oeuvres ou d'objets protégés (...)", le président du tribunal de grande instance statuant en référé peut ordonner sous astreinte toutes mesures nécessaires à la protection du droit menacé (article L.336-1 nouveau du CPI.).
    Ouf, merci pour le pâté.





C'est bien beau tout ça, légal ou pas légal alors le peer-to-peer ?

    Ce qui est clair, c'est que la publicité, la mise à disposition, l'utilisation ou l'aide apportée dans la configuration des logiciels de peer-to-peer pourrait tomber sous le coup de la loi. Si vous êtes utilisateur de peer-to-peer, même à des fins légales, vous êtes potentiellement hors-la-loi, car le logiciel est potentiellement hors-la-loi. Vous aider à configurer vos ports est potentiellement hors-la-loi, parler librement de peer-to-peer sur le forum avec les dérives que cela peut comporter peut induire une publicité elle-même potentiellement hors-la-loi. Je vais trop loin ? Peut-être, mais je n'ai pas les épaules assez larges en terme de portefeuilles et de connaissances juridiques pour ne pas inciter à la plus grande des prudences dans le domaine. Vous non plus ? Je m'en doutais. Content Certains juristes suggèrent de se fier au bon sens des magistrats et sont optimistes quand à la juste application de la loi, d'autres sont nettement plus pessimistes. Attention terrain glissant ! Etes-vous de taille pour jouer ? Seules les jurisprudences à venir clarifieront le sujet.

    Jusqu'ici nous n'avons abordé que l'utilisation de ces logiciels, sans même évoquer le contenu des téléchargements. Ainsi, lorsque ceux-ci sont illégaux, plus de question à se poser !





Qu'est-ce que je risque à télécharger des films, musiques et autres oeuvres ?

    Encore une fois, jetons un coup d'oeil à la directive qui souhaite distinguer le "download" de l'"upload".

    "Download". Les personnes qui profitent des oeuvres ou objets protégés mis illégalement à leur disposition sur les réseaux d'échange méritent en effet de relever de sanctions pénales. Le téléchargement constitue une reproduction de l'oeuvre au sens de l'article L.122-3 du code de la propriété intellectuelle. A défaut d'être autorisé, il constitue donc une contrefaçon passible des mêmes peines que celles rappelées s'agissant de la mise à disposition du public.

    "Upload". La mise à disposition de fichiers via internet constitue une forme de représentation ou de communication au public (article L.122-5 du CPI). Or, ces actes accomplis par un procédé quelconque sans le consentement de l'auteur sont illicites (article L.122-4 du CPI). L'article L.335-3 du code de propriété intellectuelle est en conséquence applicable (...).

    Retour au CPI. Article L335-3 - (Loi nº 94-361 du 10 mai 1994 art. 8 Journal Officiel du 11 mai 1994) - (Loi nº 98-536 du 1 juillet 1998 art. 4 Journal Officiel du 2 juillet 1998). Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une oeuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont définis et réglementés par la loi. Est également un délit de contrefaçon la violation de l'un des droits de l'auteur d'un logiciel définis à l'article L. 122-6.

    Par la directive, le ministère de la culture a voulu corriger la décision du Conseil constitutionnel déclarant contraire à la constitution l'allègement de la sanction, à savoir la contravention à la place du délit normal de contrefaçon. Le Conseil constitutionnel a ainsi décidé qu'au regard de l'atteinte portée au droit d'auteur ou aux droits voisins, les personnes qui se livrent, à des fins personnelles, à la reproduction non autorisée ou à la communication au public d'objets protégés sont placées dans la même situation qu'elles utilisent un logiciel d'échange de peer to peer ou d'autres services ; ainsi, les particularités du peer-to-peer ne permettent pas de justifier la différence de traitement. En clair, peer-to-peer ou pas, une contrefaçon est une contrefaçon, pas d'amendes forfaitaires ! Les jurisprudences à venir, encore une fois, détermineront quelle orientation sera prise.

    Article L335-4 - (Loi nº 94-102 du 5 février 1994 art. 2 Journal Officiel du 8 février 1994) - (Loi nº 98-536 du 1 juillet 1998 art. 4 Journal Officiel du 2 juillet 1998) - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) - (Loi nº 2003-517 du 18 juin 2003 art. 1 Journal Officiel du 19 juin 2003 en vigueur le 1er août 2003) - (Loi nº 2004-204 du 9 mars 2004 art. 34 II Journal Officiel du 10 mars 2004). Est punie de trois ans d'emprisonnement et de 300 000 euros d'amende toute fixation, reproduction, communication ou mise à disposition du public, à titre onéreux ou gratuit, ou toute télédiffusion d'une prestation, d'un phonogramme, d'un vidéogramme ou d'un programme, réalisée sans l'autorisation, lorsqu'elle est exigée, de l'artiste-interprète, du producteur de phonogrammes ou de vidéogrammes ou de l'entreprise de communication audiovisuelle.
    Est punie des mêmes peines toute importation ou exportation de phonogrammes ou de vidéogrammes réalisée sans l'autorisation du producteur ou de l'artiste-interprète, lorsqu'elle est exigée.
    Est puni de la peine d'amende prévue au premier alinéa le défaut de versement de la rémunération due à l'auteur, à l'artiste-interprète ou au producteur de phonogrammes ou de vidéogrammes au titre de la copie privée ou de la communication publique ainsi que de la télédiffusion des phonogrammes.
    Est puni de la peine d'amende prévue au premier alinéa le défaut de versement du prélèvement mentionné au troisième alinéa de l'article L. 133-3.
    Lorsque les délits prévus au présent article ont été commis en bande organisée, les peines sont portées à cinq ans d'emprisonnement et à 500 000 euros d'amende.

    Ca a le mérite d'être clair. Encourent les mêmes peines ceux qui diffusent des logiciels manifestement conçus pour du téléchargement illicite et/ou qui en font la promotion. Cf article L.335-2-1 du CPI. Vous ne pourrez plus dire que vous ne saviez pas !





Et c'est suivi d'effets réellement tout ça ?

    Je vous laisse consulter ce lien regroupant des jurisprudences relatives aux droits d'auteur ! Et j'en profite pour vous rappeler un nouvel évènement en la matière qui a défrayé la chronique il y a peu de temps.

    La dernière démonstration de force de l'éditeur de jeux vidéos Techland via son mandataire, un cabinet d'avocats spécialisés, devrait inciter à une grande réflexion. Sans se prononcer sur la méthode, recevoir une lettre de mise en demeure de paiement pour téléchargement illégal n'est pas des plus joyeux. Et si pas de paiement ? Le courrier reçu indiquera quelles sont les conséquences d'une assignation sur plainte pour contrefaçon.

    Citation

    Propos liminaire : La semaine dernière, Ratiatum révélait un courrier envoyé à un internaute par un avocat au Barreau de Paris. Très menaçant, le courrier encourage très fortement l'internaute à remplir le formulaire joint et à payer 400 euros (RIB fourni en annexe) pour éviter tout procès.

    -> Scoop : les méthodes de la RIAA déjà exploitées en France ! -> Affaire Techland (Call of Juarez) : la FAQ de Ratiatum [MAJ 4]
    Enfin, la jurisprudence Techland / Fournisseurs d'accès.





Eh ben, est-il possible d'avoir davantage d'ennuis ?

    Oui, ça l'est, nous n'avons pas abordé l'aspect sécuritaire de l'installation de ces logiciels, et de leur usage à des fins illégales. Je ne peux ici que vous renvoyer sur les excellentes démonstrations par l'exemple déja rédigées et publiées.

    Les logiciels de P2P (parfois) mais surtout l'utilisation que l'on en a (majorité des cas) sont les principaux vecteurs d'infection ! Quelques topics pour s'en convaincre :

    Les infections véhiculées par le p2p sont bien réelles. A titre d'exemple, le ver Worm.Win32_Sumom-A est un ver de messagerie instantanée et de réseaux peer-to-peer qui se place notamment dans le dossier incoming afin d'être expédié à un maximum de personnes.





Bof, des infections c'est pas bien grave... "Format c:" et basta !

    Après tout, pourquoi sécuriser son ordinateur ? pourrait-on se demander, pourquoi ne pas le formater ou restaurer de temps en temps, comme ça je l'utilise comme je l'entends ? Je vous invite à consulter ce lien :

    Citation

    Ne pas sécuriser votre ordinateur, c'est permettre à un inconnu d'en prendre le contrôle total, à votre insu , et d'en faire ce qu'il veut (...) Dans la majorité des cas, les pirates se s'intéressent pas à ce qu'il y a sur votre disque dur. Ce qui les intéressent, c'est votre connexion internet.(...) C'est une réalité: vous êtes légalement responsable de ce qui est fait à travers votre connexion internet.

    Pourquoi sécuriser son ordinateur par Sebsauvage

    Nous n'y sommes pas encore en France, mais la législation avance à petits pas. Regardez en Suisse :

    Citation

    Tout individu qui n'aurait pas protégé son ordinateur d'un usage illicite par des spammeurs verra son accès Internet coupé par mesure de protection.

    Des peines de prison pour les spammeurs suisses Il ne s'agit là "que" de Spam, imaginez pour l'hébergement d'images pédophiles à votre insu... La cause est entendue !

    Enfin, sachez que propager volontairement une ou des infections est sanctionnable suivant certaines dispositions !

    Article 323-2 - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) - (Loi nº 2004-575 du 21 juin 2004 art. 45 II Journal Officiel du 22 juin 2004). Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

    Article 323-3 - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) - (Loi nº 2004-575 du 21 juin 2004 art. 45 III Journal Officiel du 22 juin 2004). Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.



    Pour finir, l'arsenal de sanctions s'étoffe modestement également du côté de vos fournisseurs d'accès internet (FAI) !

    L'AFA, association des fournisseurs d'accès, développe une stratégie afin de responsabiliser l'internaute face aux services qui lui sont offerts. A cette fin, des principes déontologiques ont été définis, fixant les devoirs et les droits des parties en présence : pratiques et usages des membres de l'AFA.

    Pour la simple raison que les FAI ont défini un certain nombre de règles, définies dans leurs CGU (Conditions générales d'utilisation) , et que vous les avez acceptées à la souscription de votre contrat, il se réserve le droit de couper votre connexion en cas de danger supposé ou réel de l'ensemble de son réseau :

    Citation

    3. Les fournisseurs de messagerie peuvent être amenés à détecter les comportements anormaux (transmission de virus, mail bombing, envoi massif de spam, etc) et dans ce cas peuvent bloquer le(s) compte(s) des utilisateurs dont le poste de connexion a un tel comportement.
    Cette recommandation a pour objet de protéger les utilisateurs, notamment en détectant les "PC zombies", afin de rendre le contrôle de leur machine à des utilisateurs légitimes. La corruption d'un poste de travail met en danger les données, notamment à caractère personnel, présentes sur le disque dur de ce poste de connexion. Elle permet encore de transformer ce poste de travail en espace de stockage de site de phishing ou en serveur émetteur de spam, ces deux situations mettant en danger les informations personnelles des autres utilisateurs du réseau (...) .

    Cf lutte contre le spam

    Payer un abonnement pour une connexion qui n'existe pas, et ce sans recours juridique n'est pas des plus enthousiasmant !

    Là encore, les choses évoluent, bientôt les FAI s'attaqueront au peer-to-peer spécifiquement, comme le laisse entendre ce Rapport d'étude, portant sur les solutions de filtrage des échanges de musique sur internet dans le domaine du peer-to-peer, suite à la signature par l'AFA de la charte pour le développement de l'offre légale de musique en ligne, le respect de la propriété intellectuelle et la lutte contre la piraterie numérique.

    Beaucoup de mouvements en perspective !



Le mot de la fin de l'admin

    Pouzy : Le peer to peer est quelque chose qui est maintenant devenu presque habituel chez la majorité des internautes. Pourtant, cela reste une forme de vol "sans conscience de responsabilité". Ainsi, lorsque vous téléchargez un logiciel, un film ou un morceau, cela revient à vous pointer à la FNAC, prendre un DVD, et en ressortir sans rien payer.
    Vous pensez qu'à la FNAC, ils vous laisseront sortir sans rien dire ? Sur internet non plus. C'est d'ailleurs pour ça que les FAI font de plus en plus attention, et on entend de plus en plus parler d'actions en justice pour des téléchargements frauduleux.
    Dans l'optique de rester au sein de la loi, nous interdissons donc toute discussion concernant le Peer to peer sur Aidoforum, même si ce n'est qu'une aide pour configurer des ports d'Emule. Nous ne pouvons plus "fermer les yeux', en vous demandant de ne pas dévoiler les fichiers que vous téléchargez. C'est maintenant bien connu, Emule n'est plus le meilleur moyen pour partager ses photos avec sa famille, et son utilisation n'est plus un mystère.

    Voilà, vous avez pu prendre conscience de tous les risques liés au P2P par vous même en lisant ce qui précède, donc je pense que vous comprendrez cette décision.Sourire



Posté par Gof

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 13h14

Posté par Malekal_morte

Bonjour,

J'effectue des désinfections quotidiennes sur certains forums.. Ceci est le fruit de constations sur le terrain.

Avast! est l'antivirus le plus répandu en France, surement dû au fait qu'il est gratuit et en français.
Dans certains comparatifs (dont je ne partage pas la conclusion), il est considéré comme un bon antivirus. Ceci est très relayé sur le WEB par les néophytes, "prends Avast! c'est le meilleur" / "prends Avast!, je n'ai aucun problème".

S'il y a quelques années, Avast! pouvait offre une protection acceptable, le monde des malwares évolue vite... Il s'avère que sur le terrain, nous constatons de plus en plus qu'Avast! est très loin d'offrir une protection optimale par rapport à d'autres antivirus, voire même ses performances deviennent de plus en plus est discutables.

Pourquoi ? car Avast! semble très lent pour intégrer les nouvelles infections, de ce fait pour deux types d'infections (mais pas qu'elles) plus que répandues maintenant, Avast! s'avère casi inefficace.

Les deux principales infections sont :
- Les infections de type MPack, des milliers de sites WEB hackées contiennent des iframes qui pointent vers des serveurs WEB contenant les exploits & trojan-downloader. Ces infections sont mises à jour très régulièrement (plusieurs fois par semaine) afin d'échapper à la détection des antivirus. Un vecteur de propagation de malwares, plus en plus utilisé : http://www.sophos.fr/pressoffice/news/a ... tyrep.html
- Les infections MSN.. je pense que vous avez dû entendre parler de la dernière infection MSN qui fait pas mal de ravagage.
Ces infections ont une propagation très rapides. Pour être protégé, l'internaute doit posséder un antivirus qui intègre très rapidemment les nouvelles infections puisqu'elles très souvent mises à jour.

Il semblerait qu'Avast! mette entre 6 et 15 jours pour intégrer de nouvelles infections. L'internaute peut donc ne PAS être protégé pendant une période plutôt longue. Ce qui dans le cas des infections MPACK et MSN peut s'avérer catastrophique.

Les possibles lacunes d'Avast!
J'ai fait une page qui démontre les possibles lacunes d'Avast!
Je vous invite très vivement à lire ces posts qui montre les lacunes d'Avast! :
- Les infections Mpack
- Les infections MSN
- Avast! est incapable de détecter les rootkits
- Avast! et l'adware lop.com

voir ce sujetAvast! VS Antivir

Avast! et les infections MSN. :
Ces liens vous donneront les scans quotidiens des infections MSN afin d'avoir un aperçu de l'évolution des détections des antivirus et le temps mis pour intégrer ces infections.
On constate qu'Avast! semble mettre entre 6 et 15 jours pour intégrer une nouvelle infection, ce qui dans le cas des infections MSN est plus que catastrophique.
- Backdoor.Win32.IRCBot.aaq(01 juin 2007) /Backdoor.Win32.IRCBot.acu (29 Juillet) - Vous avez dû en entendre parler... : http://forum.zebulon.fr/index.php?showtopic=123168
- IRC-Worm.Win32.Agent.a (22 juillet 2007) : http://forum.zebulon.fr/index.php?showtopic=126400
- Backdoor.VanBot.dk : http://www.clubic.com/forum/logiciel-gener...8382-page1.html (voir confirmation avec : http://www.malekal.com/webcam_00002.com_IM...n32.Sohanad.php )

Le scan du 3 août pour Backdoor.VanBot.dk :

Citation

File livecam1.com received on 08.03.2007 20:00:34 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 19/31 (61.3%)

Antivirus Version Last Update Result
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 Worm/VanBot.DK.1
Authentium 4.93.8 2007.08.02 -
Avast 4.7.1029.0 2007.08.02 -
AVG 7.5.0.476 2007.08.02 PSW.Ldpinch.LZV
BitDefender 7.2 2007.08.03 Backdoor.SDBot.DEUW
CAT-QuickHeal 9.00 2007.08.03 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.03 -
DrWeb 4.33 2007.08.03 BackDoor.IRC.Sdbot.928
eSafe 7.0.15.0 2007.07.31 Win32.VanBot.dk
eTrust-Vet 31.1.5029 2007.08.03 -
Ewido 4.0 2007.08.03 -
FileAdvisor 1 2007.08.03 -
Fortinet 2.91.0.0 2007.08.03 -
F-Prot 4.3.2.48 2007.08.02 -
F-Secure 6.70.13030.0 2007.08.03 Backdoor.Win32.VanBot.dk
Ikarus T3.1.1.8 2007.08.03 Backdoor.Win32.VanBot.dk
Kaspersky 4.0.2.24 2007.08.03 Backdoor.Win32.VanBot.dk
McAfee 5090 2007.08.03 W32/Checkout
Microsoft 1.2704 2007.08.03 Backdoor:Win32/Vanbot
NOD32v2 2436 2007.08.03 Win32/IRCBot.UG
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.03 W32/IrcBot.BAW.worm
Rising 19.34.40.00 2007.08.03 Backdoor.Win32.VanBot.dp
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.03 VIPRE.Suspicious
Symantec 10 2007.08.03 W32.IRCBot
TheHacker 6.1.7.161 2007.08.03 Backdoor/VanBot.dk
VBA32 3.12.2.2 2007.08.01 Trojan.Win32.IRCBot.UG
VirusBuster 4.3.26:9 2007.08.03 -
Webwasher-Gateway 6.0.1 2007.08.03 Worm.VanBot.DK.1
Additional information
File size: 487424 bytes
MD5: 40187d717fa1948237f6bb5649b8e72a
SHA1: 43bb6de9d54714af3ce7e2a86cedbe1e36d50ee5



FAQ

Une petite FAQ des réponses données dans le choix d'Avast!...

Pour ceux qui prendissent les résultats de certains comparatifs antivirus, je répondrai ceci :

Les comparatifs d'Antivirus, notamment sur les sites français, en général :
- testent l'ergonomie des interfaces de l'antivirus
- énumèrent les fonctionnalités proposées par l'antivirus
- testent la détection des antivirus en scannant un grand nombre de malwares.

Tester des antivirus avec un très grand nombre de malwares souvent vieux et les infections +1 mois, 1 an ? masquent les résultats des tests des infections (et surtout les droppers) que l'on trouve à l'instant présents sur les sites WEB pourris.

Je veux dire par là, il y a quand même de grande chance que la majorité des antivirus détectent des infections vieilles d'un mois mais quand est-il des malwars de deux jours?
Les comparatifs ne parlent jamais du temps mis par un antivirus pour intégrer une nouvelle infection.
Or c'est la clef de la protection, plus le temps entre la sortie d'un nouveau malware et l'intégration dans la définition virale d'un antivirus est petit, moins vous avez de chances d'être infecté.



Conclusion

Le choix d'un antivirus peut s'avérer crucial surtout pour les néophytes qui n'ont aucune expérience du WEB et sont donc faciles à abuser.

Dans le cas d'Avast! et si l'on prend comme exemple les infections MSN, si la majorité des français n'utilisaient pas Avast! mais Antivir, au bout de deux jours la majorité des utilisateurs aurait été protégés et l'infection aurait été en perte de vacances.. or 5 jours après elle continue à se propager.

Chacun tirera les conclusions, personnellement, je vous conseille plutôt Antivir ou AVG Antivirus.
Antivir semble beaucoup plus efficace sur le terrain en antivirus gratuit.

En antivirus payant, Kaspersky est bien au dessus de tous les autres, intégration des nouvelles infections très rapides (dans les 2h) et la défense proactive pour les malwares inconnus.

Posté par Malekal_morte

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 13h15

Posté par Gronf

Premier dossier du forum Anti-Virus :

! ATTENTION ! Je n'ai pas la prétention, dans ce post, de donner une solution, facile et définitive au problème Popcorn.net mais nous allons ensemble essayer de trouver une manière d'éradiquer ce spyware.

Pour commencer, quelques explications :
Tout d'abord, ce PopCorn.net vient bien quelque part ! Il est (souvent) installé via un "Downloadware" (de la société Fordale), un petit logiciel qui est compris dans le package d'installation des logiciels soi-disant "gratuits" (ehh oui, il faut bien vivre...).
Apparement ce type de logiciel se retrouverait souvent dans quelques logiciels d'aide au téléchargement... mais pas seulement, la liste peut-être longue !

C'est insidieux car si le developpeur du logiciel est correct il va vous demander si vous voulez installer un logiciel en plus du sien (bien souvent la case est cochée par défaut et comme personne ne lit les CGV et autres joyeusetés du package d'installation (je ne vise personne ! ) l'installation du dis logiciel passe inaperçus... ou alors l'installation est comprise et invisible et là, nous avons affaire à un développeur ... vous voyez ce que je veux dire...)

Dans certains cas, l'installation se fait pas via Internet Explorer (à éviter comme la peste de nos jours !) en by-passant l'ActiveX (c'est ça la peste !). Est utilisé un contrôle ActiveX appelé ActiveInstall qui décode et lance l'installation de l'executable en cause.
Pour résumer, Internet explorer offre au sites la possibilité d'installer à votre insu des logiciels alors que Firefox (par exemple) vous demandera toujours ce que nous voulez faire avec ce logiciel qui arrive de nul part, il suffit juste de refuser et vous êtes tranquille

Donc, ce downloadware, une fois installé se lance au démarrage de Windows, il se connecte à des serveurs de données (en l'occurence les serveurs des sociétés qui ont payées le développeur la présence de leur petit rejeton dans le logiciel "gratuit") et va pouvoir installer des petites "choses" interessantes du type :

- Dialer de Movie Network
- PopCorn.net ( )
- MVPNetwork (Real teen)
- Medialords
- Clipgenie
- Network Essential, j'en passe et des meilleurs

Et cela sans acception de votre part vous allez me demander ?
Mais si, souvenez vous, lors de l'installation du logiciel "gratuit", l'acceptation s'est trouvé implicitement liée au fait de n'avoir pas refusé l'installation du logiciel "hôte" (ehh oui, les CGV c'est long et fastidieux à lire... on fait "ok" "ok" "ok" et le tour est joué ...)

Une fois la connection effectuée, il ne reste plus à votre nouvel hôte qu'a faire son travail : deverser des publicités, espionner votre surf pour cibler les publicités et ainsi de suite ...

Et si je désinstalle le logiciel "gratuit" tout va partir ?
Eh non ! le logiciel "gratuit" seul partira, malheuresement, le spyware va rester même si une entrée de desinstallation est prévue dans ajout/suppression de programmes, elle servira juste à lancer votre explorateur Internet pour vous amener sur la page Web de la société... sympathique n'est ce pas ?

Dans le cas de Popcorn.net, le spyware est lié (dans la plupart des cas) à la plateforme Java ce qui rends délicates les tentatives de desinstallation et l'impossibilité de toucher au répertoire contenant le logiciel.

Nous allons donc tenter une petite manipulation, simple pour commencer, pour essayer d'éradiquer ce petit méchant de PopCorn...

Tout d'abord il nous faut HiJackThis (un logiciel d'éradication de spyware) disponible ici :
http://www.infos-du-net.com/telecharger/HijackThis.html
Une fois cela fait, il suffit de l'installer, nous y reviendront plus tard...

-Allez dans ajout/suppression de programmes et désinstaller les lignes corespondantes à Java (nous le téléchargerons plus tard, pas de panique !) et redemarrez votre PC

-Lancer HiJackThis et faire un "system scan only"
Dans la plupart des cas vous devriez avoir les lignes suivante dans la liste, il suffit des les décocher pour les supprimer :

- F2 - REG:system.ini: UserInit=userinit.exe
- O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
- O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
- O4 - HKCU\..\Run: [License Manager] "C:\Program Files\License_Manager\license_manager.exe " /silent
- O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
- O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

-Cliquez sur "fix" pour supprimer et quittez Hijackthis

-Redémarrez votre PC

-allez dans l'explorateur de fichiers et trouvez le répertoire "License_manager" se trouvant dans "c:\program files" et supprimez le.

- Redemarrez votre PC. Les choses devraient être rentrées dans l'ordre (logiquement !)

Rien ne vous empêche d'installer d'autre utilitaires de nettoyage :
- Spybot
- Ad-aware
- Spybot
- Spysweeper
nettoyage de la base de registre
- Regcleaner
- Easycleaner
la liste est non exhaustive ...

Il vous suffit d'aller sur le site de Sun ( http://java.com ) pour récupérer et installer la dernière version de Java.

Posté par Gronf

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 13h17

Posté par Mystic

Citation

Fléau majeur de l'informatique, les virus sont aussi présents sur internet. Qu'ils s'attaquent au secteur d'amorce de vos disques, aux fichiers exécutables ou aux documents incluant des macros, leur but est toujours le même : proliférer en cachette, se faire subitement remarquer, puis souvent détruire vos données. La meilleure protection reste la prévention : méfiez-vous des disquettes introduites dans des ordinateurs peu sûrs, et des fichiers douteux téléchargeables sur internet ou reçus en pièce jointe d'un courrier.



Quite a combattre les virus, autant savoir ce que c'est, que combat-on réellement ?

Explications


Qu'est-ce qu'un virus ?

Un virus est un petit programme conçu pour se cacher dans votre ordinateur, puis se multiplier, se répandre de par le monde et enfin déclencher une action (message, destruction, petite musique, etc.). On dénombre plusieurs catégories de virus, en fonction de la cible visée dans l'ordinateur.


Les différentes familles de virus

-La première catégorie regroupe les virus de secteur d'amorce (= virus de "boot sector", c'est-à-dire affectant la zone du disque qui est lue en premier au démarrage) tels que Form, Jack the ripper, French boot, Parity boot... Ces virus remplacent le secteur d'amorce du disque infecté par une copie d'eux-mêmes, puis déplacent le secteur original vers une autre portion du disque. Le virus est ainsi chargé en mémoire bien avant que l'utilisateur ou un logiciel ne prenne le contrôle de l'ordinateur.

-Les virus d'applications infectent les fichiers exécutables, c'est-à-dire les programmes (.exe, .com ou .sys). Pour simplifier, disons que le virus remplace l'amorce du fichier, de manière à ce qu'il soit exécuté avant le programme infecté, puis il lui rend la main, camouflant ainsi son exécution aux yeux de l&#8217;utilisateur.

-Les virus macro sont des virus qui infectent uniquement des documents (Word, Excel...), en utilisant le langage Visual Basic pour Application. Ces virus se propagent actuellement dans de fortes proportions et peuvent malheureusement causer de grands dégâts (formatage du disque dur par exemple).

-Enfin, il y a les virus de mail, également appelés vers. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à tout ou partie des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrives pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.

A noter que certains virus sont des virus polymorphes. A chaque fois que l'un d'eux infecte un fichier, il se crypte différemment. Résultat, il faut que l'antivirus analyse la technique d'encryptage de chaque virus pour déceler, dans les fichiers contaminés, une sorte de "manie" caractéristique, une constante.


/!\ATTENTION/!\

Il ne faut pas confondre les virus avec les troyens ou les emails bombs. Contrairement à son cousin le virus, qui profite de toute occasion pour se multiplier, le troyen véritable ne se reproduit pas. Par ailleurs, plusieurs vulnérabilités dans les logiciels Internet Explorer / Outlook font que certains virus peuvent infecter votre ordinateur à la simple ouverture du message ou lors de sa lecture dans la fenêtre de visualisation voire en consultant une page web si Internet Explorer n'a pas été patché contre cette vulnérabilité. :idea:


Fonctionnement d'un virus

Quel que soit le type de virus, aucun ne contamine - pour l'instant - les fichiers compressés. Cela ne garantit pas qu'un fichier compressé soit exempt de virus : il peut très bien avoir été infecté avant compression, et se révélera donc dangereux une fois décompressé.

Pour bien comprendre le mode de fonctionnement d'un virus, il faut se souvenir de l'analogie avec le virus biologique. Comme lui, le virus informatique essaie de contaminer tout ce qu'il peut, de se dissimuler aux yeux de l'organisme infecté, et de se répandre le plus largement possible. Les virus infectent un maximum de fichiers puisqu'ils demeurent en mémoire dès le démarrage de l'ordinateur. Ils interceptent les commandes du BIOS, et agissent ainsi selon leur humeur.


Comment savoir si mon ordinateur est contaminé ?

Tout comme les troyens, les virus sont le plus souvent repérés trop tard, par les conséquences potentiellement désastreuses de leur activité : affichage de messages intempestifs, émission de sons ou de musiques inattendus, mais aussi plantage de l'ordinateur, formatage du disque dur, etc.

Pourtant, de nombreux indices peuvent mettre la puce à l'oreille de l'internaute vigilant : mémoire système disponible inférieure à ce qu'elle devrait être, changement du nom de volume d'un disque, programmes ou fichiers subitement absents, apparition de programmes ou de fichiers inconnus, ou encore comportement anormal de certains programmes ou fichiers.

Si vous êtes sous Windows 95 ou 98 et que vous avez un doute sur votre micro, vous pouvez vérifier vous-même le niveau de la mémoire système : ouvrez une fenêtre DOS, tapez la commande CHKDSK puis la touche Entrée, et examinez le contenu des informations listées. Un message semblable au texte suivant devrait apparaître, avec cependant les caractéristiques propres à votre machine (nom de volume, espace disque, etc.) :

Le numéro de série du volume est 1827-00E6
446 190 080 octets d'espace disque total
862 758 400 octets disponibles sur le disque
4 096 octets dans chaque unité d'allocation
841 355 unités d'allocation sur le disque
454 775 unités d'allocation disponibles sur le disque
655 360 octets de mémoire totale
590 528 octets libres

Au lieu d'utiliser CHKDSK, essayez la commande SCANDISK. SCANDISK peut détecter et corriger un plus grand éventail de problèmes de disque.

Normalement vous devriez avoir 655 360 octets de mémoire totale. Ce test n&#8217;est malheureusement pas sûr à 100 %, mais si le chiffre est différent sur une configuration standard, cela sent le virus de boot...

Que faire en cas de contamination ?

La solution la plus simple reste de vous procurer un logiciel antivirus. La plupart propose une procédure permettant de désinfecter le contenu du disque avant d'installer le logiciel, mais le mieux est d'installer l'antivirus avant toute contamination afin de bénéficier de l'ensemble de ses fonctionnalités (surveillance des transferts de fichiers ou de l'accès aux fichiers sensibles, inoculation des fichiers pour repérer tout changement de taille suspect, etc.).

Vous pouvez également utiliser un antivirus gratuit en ligne pour procéder immédiatement à l'analyse ainsi qu'à l'éradication de virus éventuellement présents sur vos disques.

Règles générales de protection

La prévention paie toujours. Quelques règles simples peuvent être appliquées :

- Ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être proposés sur des sites persos ou des chats eux-mêmes plus ou moins douteux;

- Méfiez-vous des fichiers joints aux messages que vous recevez : analysez avec un antivirus à jour tout fichier avant de l'ouvrir, et préférez détruire un mail douteux plutôt que d'infecter votre machine, même si l'expéditeur est connu;

- Fuyez les disquettes d'origine douteuse (ou ayant transité dans des lieux publics vulnérables comme les salles de cours ou TP des écoles ou universités), et protégez les vôtres en écriture;
créez dès maintenant, si ce n'est pas déjà fait, une disquette de boot saine contenant un antivirus (la plupart des antivirus le proposent) pour une désinfection d'urgence;

- Procédez régulièrement à des sauvegardes du contenu important de votre disque dur après avoir vérifié l'absence de virus : cela peut paraître fastidieux, mais en cas d'infection (ou même simplement en cas de crash de disque dur), ça vous sauvera la mise...

- Tenez-vous au courant des apparitions de nouveaux virus. Secuser.com vous offre ce service en émettant des alertes lorsqu'un virus connaît une diffusion importante. Les informations (nom du virus, mode de transmission connu, etc.). Connaître l'existence du virus, c'est déjà le tuer à moitié...

- En complément de ces règles de prévention, la meilleure protection - et le principal remède en cas de contamination - consiste à installer un antivirus (certains sont gratuits). Une solution qui reste toute relative, car aucun produit ne détecte 100% des virus, 100% du temps : d'où l'importance de la prévention. Par ailleurs, de nouveaux virus apparaissant chaque jour, il faut veiller à régulièrement actualiser la base de données virales du logiciel : la plupart des éditeurs proposent une mise à jour au minimum mensuelle, mais pas toujours gratuite ...

Posté par Mystic

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 29 Août 2007 à 13h31

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 24 Septembre 2007 à 15h29

Posté par Gof

Un petit topo sur les infections par MSN ou Windows live messenger.


Concrêtement, qu'est ce qui se passe ?


Les symptômes révélant qu'un de vos contacts est infecté

    Un contact familier vous envoie un message instantané vous invitant à télécharger un fichier censé contenir des photos avec une phrase anodine et suggestive, alors que vous n'avez pas échangé de messages précédemment, et que vous n'avez pas non plus sollicité ce fichier.

    Que faut-il faire ?

      Refuser ce fichier bien entendu et joindre ce contact par un autre moyen afin de le prévenir de l'infection. L'aiguiller sur une procédure adaptée afin de se désinfecter. Ce dernier pourra alors, de la même manière, prévenir tous ses correspondants de ne pas accepter de fichiers venant de sa part.

      Si vous n'avez pas accepté ce fichier, vous n'êtes pas infecté.

      Si vous l'acceptez : vous téléchargez alors ce fichier (le plus souvent un fichier compressé au format ZIP) et vous essayez de lire ce fichier. Une fenêtre d'erreur vous signale alors que le fichier n'est pas lisible pour diverses raisons. Vous voila contaminés à votre tour. A présent, l'infection va s'inviter à tous les contacts que vous possédez, à votre insu : de manière aléatoire, pas systématique et pas à tous les contacts en même temps. Si l'un des vôtres accepte à son tour, il sera également infecté, et la chaîne continue.

    Les symptômes révélant que vous êtes infecté

      L'un de vos correspondants vous annonce qu'il a bien reçu votre fichier alors que vous ne le lui avez rien envoyé. Ou encore, au bout de quelques minutes de connexion sous votre compte MSN ou windows live messenger, vous êtes déconnectés sans raisons particulières, et vous avez des difficultés à vous reconnecter. Il est possible qu'un message vous indiquant que vous vous êtes connectés d'un autre pc apparaisse alors, et clôt ainsi votre session ouverte. Ou encore, vous vous apercevez d'envois de fichiers multiples de votre part, sans que vous n'ayiez la possibilité de les refuser.

      Indépendamment de MSN ou WLM, vous pouvez constater des ralentissements importants du système, du réseau. Des alertes de vos outils de sécurité peuvent aussi vous alerter, sans toutefois réussir à définitivement neutraliser l'infection.

    Comment savoir si l'invitation à télécharger le fichier est vraie ou est dûe à une infection ?

      Il n'est pas vraiment possible de se fier à la phrase de suggestion de téléchargement.

      Les premières infections de ce type étaient grossières, le plus souvent la phrase suggestive n'était pas rédigée en français, peu de personnes tombaient dans le panneau. A présent, le texte affiché est dans la langue du système. Rien n'empêche à terme non plus que l'infection puisse identifier les noms et les pseudos alloués aux différents contacts, afin de personnaliser chacun des messages. Le moyen le plus fiable de s'assurer qu'il ne s'agisse pas d'une infection est de joindre le correspondant par un autre moyen. Il est possible toutefois de nuancer : si vous venez de converser longuement avec votre correspondant et qu'il s'agit d'un fichier sollicité, vous ne devriez pas rencontrer de soucis. Cela ne vous empêche pas d'appliquer les règles élémentaires de prudence.

      De nouvelles variantes apparaissant régulièrement, les phrases changent à la même fréquence. Vous pouvez consulter une liste non exhaustive à titre indicatif sur le forum de Malekal Morte sur ce lien (cliquez sur la roue dentée) :

      [list:3pyt2ai3]Infections par Messagerie Instantanée (MSN etc...)


    [/list:u:3pyt2ai3]


    Les règles de bon sens.


    Comment s'assurer que le fichier téléchargé est sain ?

      Vous avez téléchargé un fichier que vous avez sollicité.

      Ne l'ouvrez pas via l'interface de MSN ou WLM, mais ouvrez votre répertoire de destination des fichiers reçus et procédez à une analyse du fichier suspect avec votre antivirus.

      Vous pouvez également le soumettre à une analyse en ligne afin d'obtenir l'avis de plusieurs éditeurs de solutions antivirales en procédant comme ceci :

      Citation

      Rendez vous sur ce lien : Virus Total[list:3pyt2ai3]
      [*:3pyt2ai3]Cliquez sur Parcourir
      [*:3pyt2ai3]Rendez vous jusque le fichier suspect[/*:m:3pyt2ai3]
      [*:3pyt2ai3]Cliquez sur Envoyer le fichier et laissez travailler tant que "Situation actuelle : en cours d'analyse" est affiché.[/*:m:3pyt2ai3]
      [*:3pyt2ai3]Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Il est possible que les outils de sécurité réagissent à l'envoi du fichier, en ce cas il faudra ignorer les alertes. [/*:m:3pyt2ai3]
      [*:3pyt2ai3]Lorsque l'analyse est terminée ("Situation actuelle: terminé"), consultez les résultats. Si l'un des antivirus détecte quelque chose de suspect, la méfiance doit être de rigueur. Un faible nombre de détections n'est pas une garantie de la non-nocivité du fichier. En cas de doutes, vous pouvez soumettre ce fichier à l'avis des helpers de votre forum favori en joignant le rapport de l'analyse. [/*:m:3pyt2ai3]
      [*:3pyt2ai3]Pour joindre le rapport, cliquez sur Formaté[/*:m:3pyt2ai3]
      [*:3pyt2ai3]Une nouvelle fenêtre du navigateur va apparaître[/*:m:3pyt2ai3]
      [*:3pyt2ai3]Cliquez alors sur cette image : [/*:m:3pyt2ai3]
      [*:3pyt2ai3]Faites un clic droit sur la page, et choisissez Sélectionner tout, puis copier[/*:m:3pyt2ai3]
      [*:3pyt2ai3]Enfin joignez le résultat dans dans un sujet que vous aurez créé à cet effet.[/*:m:3pyt2ai3]

La manipulation précédente vaut pour tous les fichiers joints, que cela soit en messagerie instantanée (ici dans ce sujet MSN ou WLM), mais également pour tous types de pièces jointes, que cela soit via mail ou un autre moyen d'échange.[/*:m:3pyt2ai3][/list:u:3pyt2ai3] Comment se prémunir facilement de ce type d'infection

    Faites preuve de bon sens en adoptant l'attitude prudente indiquée précédemment.

    Configurer correctement votre MSN ou WLM de sorte de ne pas accepter les fichiers téléchargés par erreur.

    Rendez vous dans MSN>Outils>Options...>Sécurité et décochez les 2 caches indiquées ci-dessous :


    Si vous possédez MSN+ ou WLM+, il vous faudra également vous rendre dans les options de configuration de ce dernier : Plus!>Préférences...>Principal>Conversations et s'assurer que la case suivante est bien décochée


    Rejeter par défaut les fichiers dangereux

    Rendez vous dans votre MSN ou WLM, puis, Outils>Options...>Transfert de fichiers, et assurez vous que la case suivante est bien cochée :

    Cette option sélectionnée, cela permettra de refuser par défaut tous les fichiers proposés possédant les extensions suivantes :

    Dans le cas où vous désirez obtenir un fichier possédant cette extension, vous pourrez contourner cette interdiction en demandant simplement à votre correspondant de renommer le fichier, et de changer l'extension bloquée en une extension .txt par exemple, ce qui permettra le transfert. Il vous suffira de remettre l'extension ensuite d'origine pour retrouver le fichier original. Cela vous permet à moindre frais de bénéficier du rejet automatique des fichiers dangereux sans être toutefois trop ennuyé.

    Activer les outils de sécurité pour les transferts

    Microsoft propose le scanneur de sécurité Windows Live Analyse Sécurité gratuitement, qui a le même moteur que Windows live OneCare, pour analyser les fichiers transférés, en affichant ce résultat directement dans la fenêtre de messagerie. Si vous possédez déja un antivirus, il n'y aura pas d'effets doublons, le scanneur de sécurité se cantonnant uniquement aux fichiers transférés via MSN ou WLM.

    L'efficacité est toute limitée sur les variantes récentes, mais les anciennes variantes elles, sont correctement prises en compte. L'outil étant gratuit et n'empiétant pas sur les autres outils de sécurité, il serait dommage de s'en priver. Vous pouvez juger par vous même des résultats de détection en consultant les analyses VirusTotal des fichiers infectieux sur ce lien, le moteur du scanneur de sécurité correspondant à la ligne Microsoft du rapport Virustotal.

    Vous pouvez également définir votre propre antivirus si vous souhaitez que l'analyse soit effectuée par ce dernier. Notez que si le résident de ce dernier est correctement configuré pour analyser en écriture et lecture tous les fichiers, il n'est pas nécessaire d'indiquer via les options de configuration où votre antivirus se trouve. Si pour des raisons multiples le résident de votre antivirus n'analyse pas systématiquement tous les fichiers créés, alors vous pourrez lui indiquer le chemin de ce dernier en vous rendant dans Outils>Options...>Transfert de fichiers comme indiqué sur la capture suivante :




Je suis infecté. Et maintenant, que dois-je faire ?


Prévenez vos contacts.

    Si vous pouvez encore vous connecter via votre MSN ou WLM, prévenez tous vos contacts de messagerie instantanée. S'ils ne sont pas en ligne, ou que vous n'avez plus d'autorité sur votre WLM ou MSN et que ce dernier se déconnecte, rendez vous sur votre boîte de messagerie Hotmail directement avec votre navigateur. Cela vous permettra d'envoyer un mail à tous vos correspondants. Pensez à être explicite dans votre explication, n'hésitez pas à donner le lien du ce sujet si vous le désirez.

Vous désinfecter seul.

    De quantités de variantes de ce type d'infection existent, et elles ne se traitent ainsi pas de la même façon. Ce qu'il faut retenir de ces infections, c'est qu'elles ont en commun le vecteur de propagation : MSN ou WLM.

    Malekal morte a centralisé des procédures à réaliser, de manière autonome, en fonction de l'infection constatée. Vous pouvez les consulter sur ce lien (cliquez sur la roue dentée) :

    [list:3pyt2ai3] Vers MSN

[/list:u:3pyt2ai3]

    Ce type de désinfection, en autonomie complète est à conseiller aux utilisateurs avertis, ayant identifié l'infection à laquelle ils avaient à faire et connaissant un minimum leur système et l'utilisation des outils standards de sécurité et d'analyse.

Vous faire aider.

    Avant de poster une demande d'aide sur votre forum favori, téléchargez l'outil réalisé par !aur3n7 et quotidiennement mis à jour en fonction des variantes dénichées. Pour XP.

    Citation

    Téléchargez MSNFix.zip sur votre bureau.[list:3pyt2ai3][*:3pyt2ai3]Décompressez-le (clic droit >> Extraire ici) et double-cliquez sur le fichier MSNFix.bat.
    [*:3pyt2ai3]Exécutez l'option R.[/*:m:3pyt2ai3]
    [*:3pyt2ai3]Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
    Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal[/*:m:3pyt2ai3]
    [*:3pyt2ai3]Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt[/*:m:3pyt2ai3]

Vous trouverez une aide visuelle à son utilisation ici, réalisée par Malekal morte.[/*:m:3pyt2ai3][/list:u:3pyt2ai3]

    Il vous sera nécessaire, en créant votre sujet de demande d'aide de désinfection, de joindre ce rapport en précisant les symptômes antérieurs et postérieurs à l'utilisation de l'outil, le fichier infecté que vous avez téléchargé à l'origine (si vous connaissez son nom), le message d'invitation à télécharger ce fichier si vous vous en souvenez, si vous avez correctement "uploadé le fichier créé suite à la détection des suspects, etc.

    J'attire votre attention sur un point particulier de l'outil !

    Les fichiers suspectés d'être infectieux ne seront pas traités par l'outil et seront toujours présents sur votre pc. Cependant, l'outil aura réalisé une copie de ces fichiers suspects qu'il vous faudra expédier à l'auteur afin qu'il les analyse. Ainsi, si les fichiers suspects se révèlent infectieux, ils seront rapidement incorporés à l'outil. Vous contribuerez de cette façon à sa mise à jour qui profitera à tous.

    Citation

    [list:3pyt2ai3][*:3pyt2ai3]Pour cela, vous trouverez sur votre suite au passage de l'outil un fichier nommé Upload_Me.zip (le ".ZIP" peut ne pas apparaître en fonction de vos options d'affichage). Ce fichier n'existe que si des fichiers suspects ont été détectés.
    [*:3pyt2ai3]Il vous faudra le faire parvenir à l'auteur en l' "uploadant" sur le lien suivant : upload.changelog.fr
    Vous trouverez une aide visuelle ici, réalisée par AngelDark.

    [/*:m:3pyt2ai3]

[/*:m:3pyt2ai3][/list:u:3pyt2ai3]

    Veuillez prendre conscience que suivant l'infection présente, l'outil ne traitera peut-être pas tout, voire rien du tout. Si suite à son passage vous ne constatez plus de symptômes, je vous suggère vivement de procéder tout de même à un contrôle via le forum afin de vérifier que le système soit propre et désinfecté.



Bonne chanceClin d'oeil

Posté par Gof

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 16 Octobre 2007 à 16h26

Posté par Gof

[size=150:21c78cps]Les infections se propageant par les supports amovibles : USB, Flash, etc.
[/size:21c78cps]

De quoi s'agit-il ?

La nature même de ces infections est classique

    AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, etc.

    Tous ces noms vous évoquent quelque chose ? Indépendamment de leur vecteur de propagation faisant l'objet de ce sujet, ces infections sont classiques dans leur finalité avouée. Malekal morte a synthétisé les infections de ce type que l'on croise régulièrement sur les forums (cliquez sur la roue dentée) :


[/list:u:21c78cps]

    Il est proposé des méthodes de désinfection en autonomie complète. A réserver aux utilisateurs avertis connaissant un minimum leur système et l'emploi des outils traditionnels de sécurité et d'éradication des infections. Ces infections, une fois présentes sur votre pc, agissent comme tout bon trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Voici un exemple avec AdobeR.exe et la page sophos associée. Ce qui va nous intéresser très précisément dans ce sujet est leur propagation via les supports amovibles et les moyens de s'en prémunir. Là aussi, Malekal morte a rédigé un beau sujet sur la chose, et il ne s'agit pas ici de réinventer le beurre ou son fil à couper:-P, mais de reformuler autrement ce qui a déja été dit afin mieux saisir pour ceux qui n'auraient pas compris, et donner quelques astuces personnelles (cliquez sur la roue dentée) :


[/list:u:21c78cps]Schéma de propagation

    Un schéma vous permettra d'y voir plus clair. Nous allons aborder chaque étape de la propagation. Voici la légende utilisée.


    De fait, ce type d'infection par propagation sur supports amovibles a de beaux jours devant elles dans tous les endroits où des ordinateurs sont susceptibles d'être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc). Tous les endroits où sont concentrés des pc sur lesquels s'échangent et se branchent fréquemment des supports amovibles. Cette infection bien que très présente n'est pas une fatalité, et un minimum de rigueur et de bon sens suffirait à l'éradiquer facilement.


    Explications. En 1, vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows.


    Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura presque systématiquement un fichier Autorun.inf qui est ce qui lui permettra de se propager et qui fera l'objet de toute notre attention. Car c'est lui qui va permettre d'enchaîner sur la suite de la propagation. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. La boucle est bouclée. Ainsi, l'utilisateur, quel qu'il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et/ou la propagera sur d'autres PC.

Quels sont les symtpômes apparents ?

    Si vous ne constatez pas de ralentissements de vos surfs, que vous ne surveillez pas votre gestionnaire des tâches et les processus actifs, que vous n'avez pas l'affichage des fichiers et dossiers cachés d'activé (et donc la modification d'affichage par l'infection devrait vous alerter), vous ne constaterez rien, sinon que le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.

    Cela dit, ces infections sont connues des antivirus, et ces derniers devraient normalement réagir à l'introduction du support amovible infecté. Le souci est que l'antivirus va traiter directement le fichier infectieux, et pas les fichiers responsables de la propagation. Subsiste alors sur la clé les fichiers annexes tels que des dll, des autorun.inf ou autres. Cela aura pour conséquence de neutraliser le double-clic lorsque vous cliquez sur la lettre du volume, puisque l'autorun.inf cherchera un fichier inexistant.

La clé : le fichier Autorun.inf

    Penchons nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. Ce lien windows vous expliquera succintivement comment rédiger un autorun.inf, et ce lien de developpez.com entrera d'avantage dans les détails de sa rédaction.

    Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous l'exécutez, et ainsi les commandes qu'il contient. Ainsi, dans le cas des infections qui nous intéressent, ce fichier contiendra généralement les entrées suivantes :


    Comme vous le constatez, ainsi au double-clic sur la lettre du volume à ouvrir, windows va chercher la présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système. Dans le cas où le fichier infectieux AdobeR.exe a été traité par l'antivirus présent sur le pc, l'autorun.inf va pointer un fichier qui n'existe plus. C'est à ce moment là que vous constaterez aussi que lorsque vous cliquerez sur la lettre du volume, le double-clic ne l'ouvrira pas. La suppression du fichier Autorun.inf rétablira par contre le double-clic pour ouvrir le volume.

    Par extension de ce qui a été expliqué à l'instant, si vous ne double-cliquez pas sur la lettre du volume à ouvrir, mais que vous faites un clic-droit dessus afin de sélectionner Explorer (ou Ouvrir), vous ouvrez l'explorateur windows sur votre volume sans passer par les fonctions définies dans le fichier Autorun.inf. C'est là une observation très importante pour la suite des évènements et pour la désinfection.




Je suis infecté, que faire ?

Il n'y a pas de méthodes miracles, sinon y aller avec méthodologie

    Si vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés.


[/list:u:21c78cps]

    Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet :

    Citation

    Pour afficher les fichiers et dossiers cachés du systéme :[list:21c78cps]
    [*:21c78cps]Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
    [*:21c78cps]Cocher la case : Afficher les fichiers et dossiers cachés[/*:m:21c78cps]
    [*:21c78cps]Décocher la case : Masquer les extensions des fichiers dont le type est connu[/*:m:21c78cps]
    [*:21c78cps]Décocher la case : Masquer les fichiers protégés du système d'exploitation
    ---> Répondre OUI à la demande de confirmation[/*:m:21c78cps]
    [*:21c78cps]Cliquer Appliquer puis OK[/*:m:21c78cps]


J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Explorer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc.[/*:m:21c78cps][/list:u:21c78cps]

    Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur.

    Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum.




Comment se préserver de ce type d'infections ?

N'ouvrez pas vos volumes en double-cliquant

    En effet, reprenons notre schéma type de propagation de l'infection. Lorsque nous branchons notre clé saine sur un pc infecté (1), nous ne pouvons éviter l'infection en l'état (nous y reviendrons plus basClin d'oeil ) de la clé (étape 2). Par contre, lorsque nous ouvrons la clé infectée sur un pc sain, au lieu de double-cliquer sur le nom de volume de la clé pour l'ouvrir, si nous faisons un clic-droit et Explorer, nous évitons l'étape 3 et le pc n'est pas infecté. Voici pour synthétiser un nouveau schéma :


    L'action de l'autorun.inf est évité en sélectionnant Explorer (1). Le pc n'est pas infecté (2). Je suis en mesure de nettoyer la clé efficacement.


Désactiver l'autorun par défaut dans Windows

    Autre manipulation, nous permettant d'éviter d'avoir à sélectionner Explorer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent.

    Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc.

[/list:u:21c78cps]

    La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment.

[/list:u:21c78cps]
Conserver sa clé saine, la "vacciner"

    La manipulation précédente nous permet d'ouvrir un support amovible sans s'infecter. Mais cela n'est valable que sur son propre pc. Dans le cas de pc publiques, infectés, comment protéger son support lorsque l'on a pas la main sur les pc sur lesquels on doit le brancher ? La méthode suivante n'est pas très élégante, mais elle permet de "vacciner" sa clé contre ce type d'infections et ainsi pouvoir la brancher n'importe où sans d'avantage se soucier de la propagation d'infections.

    Créez des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports, et attribuez leur en attribut Lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager. L'outil Flash Disinfector de sUBs crée déja ce répertoire Autorun.inf en lecture seule, avec un fichier texte nommé "Who creates this folder.txt" afin d'expliquer d'où il vient. Cette méthode, simple, permet facilement de protéger sa clé (ou support amovible) d'un Autorun.inf infectieux. Elle n'empêchera pas cependant le copier-coller d'autres fichiers infectieux. Mais au moins, lorsque vous double-cliquerez sur le nom de votre volume pour l'ouvrir, vous ne déclencherez pas l'infection. Vous vous trouverez dans ce cas de figure :


    C'est à dire dans le même cas de figure que précédemment (vous constatez que le schéma est le même) lorsque vous évitez l'action de l'autorun.inf par Explorer ou en le désactivant via la base de registre.

    Elle n'est cependant pas suffisante, car la plupart des infections créent cet Autorun en copiant également divers fichiers infectieux. Mais pour aller plus loin, si vous étendez la méthode aux autres noms de fichiers, votre clé pourra être considérée comme "vaccinée".

    Par exemple, faites un clic-droit à la racine de votre clé et créez un nouveau répertoire que vous nommerez AdobeR.exe. Puis, à nouveau, faites un clic-droit et sélectionnez Propriétés, et sélectionnez l'attribut "lecture seule".


    Voilà, si vous insérez votre clé dans un pc infecté par cette variante de l'infection, le véritable AdobeR.exe infectieux ne pourra se copier-coller sur votre clé. Il suffit d'étendre la méthode à la variante rencontrée sur les postes sur lesquels vous branchez régulièrement vos supports.

    Vous trouverez ci-dessous un petit exécutable (cliquez sur la roue dentée) permettant d'automatiser la création de quelques répertoires en lecture seule, les plus rencontrés, au noms de fichiers infectieux se propageant par ce moyen.


[/list:u:21c78cps]

    Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées. Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté :





Démonstration par l'image d'une infection et désinfection

J'ai inséré ma clé dans un pc contaminé

    J'ai donc inséré ma clé dans un pc contaminé. Cette dernière n'était pas vaccinée, la voici infectée. Comme l'infection a modifié les options d'affichage des fichiers et dossiers cachés, de sorte qu'ils n'apparaissent pas, les fichiers responsables de l'infection ne sont pas visibles. Tiens, quel est donc ce répertoire winfile que je ne connais pas sur ma clé ? Prudence.

    Pourtant, les fichiers infectieux sont bien là. Modifions les options d'affichage afin de les révéler. On voit ainsi tous les fichiers infectieux qui se sont greffés sur ma clé. On aperçoit à présent une extension au répertoire Winfile : il ne s'agit donc pas d'un répertoire mais d'un processus. En double-cliquant dessus, je l'aurais exécuté. Souvenez-vous, je vous avais parlé de cette astuce des infectionsClin d'oeil

    En insérant la clé dans mon pc sain, sans antivirus, et en double-cliquant sur la lettre du volume pour l'ouvrir, j'active l'infection en ouvrant ma clé. Les processus sont maintenant actifs sur mon système, et en plus de travailler à ceux pourquoi ils ont été conçus, ils infecteront chacun des supports amovibles connectés dès que je double-cliquerais dessus. Sur l'image suivante, on les distingue bien.

    On voit nettement les processus AdobeR.exe et Temp1.exe.



Procédons à la désinfection

    Commençons par télécharger Flash Disinfector de sUBs, et exécutons le. Observons les processus et fichiers qui ont disparu.

    Les processus ont disparu, ils ne sont plus en cours d'utilisation. C'est une bonne chose. Maintenant, allons faire un tour sur la clé voir ce qui subsiste.

    Le double-clic fonctionne à nouveau, car le Fix a traité l'Autorun.inf infectieux, et placé son répertoire homonyme en lecture seule. Cependant, il reste encore des processus infectieux sur la clé. Passons au vaccin, téléchargeons le et exécutons le.

    C'est nettement mieux, plus que le autorun.rar inoffensif à supprimer afin d'avoir une clé propre. Les autres fichiers infectieux qui subsistaient ont été écrasé par les répertoires-vaccins. Je peux m'assurer qu'il s'agit bien ici des répertoires vaccins, car en passant ma souris sur chacun d'entre eux, windows me révèle la présence d'un Gof.txt dans chacun d'eux.

    Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aiderClin d'oeil



Posté par Gof

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 07 Avril 2008 à 18h47

Posté jerome0707

Bonjour a tous pour vous aidez dans votre lute contre les
logiciel Spyware :-Pfff: et autres,je vais vous fair une liste
des diferent logiciels antivirus libre,payant.




Sociétés éditant des logiciels antivirus:





http://www.aladdin.com/
Aladdin Knowledge Systems


http://www.avast.com/index_fre.html
Alwil Software


http://www.avira.com/en/pages/index.php
Avira


http://www.drweb.com/
Doctor Web, Ltd


http://www.eset.com/
Eset


http://www.f-prot.com/
Frisk Software International


http://www.f-secure.fr/
F-Secure Corporation


http://www.gdata.de/portal/FR/
G Data


http://www.gecadnet.ro/securitate/
GeCAD


http://www.grisoft.com/
Grisoft


http://www.globalhauri.com/
Hauri Inc.


http://www.norman.com/
Norman


http://www.pandasecurity.com/france/
Panda Software


http://www.softwin.ro/
Softwin


http://www.steganos.com/fr/
Steganos


http://www.stiller.com/
Stiller Research



Logiciels antivirus libres:



http://www.clamav.net/lang-pref/fr/
ClamAV


http://fr.clamwin.com/
ClamWin


http://winpooch.free.fr/page/home.php?lang=fr&page=home
Winpooch


http://www.chkrootkit.org/
Chkrootkit



Logiciels antivirus propriétaires



http://www.avira.com/en/pages/index.php
AntiVir


http://www.avast.com/index_fre.html
Avast!


http://www.grisoft.com/ww.homepage
AVG


http://www.bitdefender.fr/site/Main/view/antivirus-comparison.html
BitDefender


http://www.bullguard.com/
Bullguard


http://www.fortinet.com/products/forticlient.html
Fortinet FortiClient




Voila une belle liste d'antivirus

Si un modo pouvais le mettre en post-it Clin d'oeil

Posté jerome0707

 

<<<1>>>

[Page 1 sur 1 - 12 messages]

Forum informatique > Aide Virus, Spywares et autres logiciels malveillants > [Infos sécurité] * Table des matières * [Infos sécurité]