Les vagues de virus
Jacques DASSIÉ
Le début Octobre 2002 a vu la prolifération explosive de virus parfois connus, comme "Klez", ou plus récents comme "BugBear". C'est par dizaines qu'on les retrouve dans les messages de nos boîtes aux lettres.
Personnellement, sur une trentaine de messages journaliers, j'en conserve à peine deux ou trois : les autres sont des "Spams" (publicité répétitive indésirable) ou des virus. Il faut donc détecter et éliminer les autres !
Sont-ils dangereux ? Oh, que oui... A titre d'exemples bien caractéristiques, je reproduis ci-dessous les extrait de quelques messages qui appelaient au secours.
J'ai un problème avec le clavier pour les accents circonflexes et trémas sous Windows XP. Lorsque j'appuie sur la touche en question voilà ce que j'obtiens : ^^.
Il y a quelque temps, j'ai récolté un très méchant virus qui détruit l'antivirus -même Norton, Kaspersky et d'autres- Il s'appelle : win32.Klez.E@mm ou variantes. Il se diffuse en PJ d'un courriel au nom aléatoire, avec pour expéditeur quelqu'un qu'il va pêcher -aléatoirement- dans le carnet de la victime précédente, si bien que l'expéditeur supposé n'est pas lui même atteint !! Le 6 du mois il s'active (il m'a détruit 22 > exécutables !) et si c'est janvier ou juillet, il écrase TOUS les fichiers avec des zéros.
Voici quelques éléments de réponse :
Ces virus sont un fléau relativement récent, qui se renouvelle et s'actualise sans arrêt. Un nouveau vient de se manifester début Octobre : "BugBear". Cet "ours à puces" présente des caractéristiques encore plus virulentes (sic). Tout le monde est touché et voici les moyens mis en œuvre pour vivre heureux et tranquille malgré cette nouvelle vague !
Tout d'abord, une visite sur un site hautement spécialisé dans la détection et l'éradication virale s'impose, on y apprend énormément de choses. Allez visiter :
http://www.secuser.com/
Mode de contamination
1° Ces parasites parviennent par les messages. En particulier par ceux reçus par Outlook Express qui présente des failles invraisemblables, c'est le seul à se faire pirater son carnet d'adresses ! Visiter les forums spécialisés, si vous doutez. Il convient donc de vérifier les messages avant de les introduire dans son ordinateur... Est-ce possible ? Tout à fait.
L'une des meilleure réponse du moment est constituée par un tout petit programme, gratuit dans sa forme la plus simple (mais suffisante) : MailWasher. On peut le télécharger là :
http://www.mailwasher.net
ou en téléchargement direct :
http://home.xtra.co.nz/host/nickbolton/download/mailwasher1329.exe
Il
affiche les messages présents dans vos boites, en précisant s'il
s'agit d'un message normal, d'un spam ou d'un virus. On peut prévisualiser
une ou deux lignes du contenu, directement sur le serveur, donc sans risques.
Cette fonction est particulièrement précieuse pour lever le doute
quand à l'origine et à la nocivité d'un message.
Même un message émanant d'un proche,
d'un nom très familier, doit être suspecté ! Ce n'est pas
de la paranoïa, mais la malheureuse réalité de notre époque.
Ce matin, je viens de recevoir un message d'un auteur de logiciel de messagerie,
acheté depuis longtemps. Il y avait une PJ de 50Ko dont le nom de fichier
comportait une double extension, du genre .scr.sca... Destruction immédiate
de ce message sur le serveur ! Et message d'alerte vers l'auteur...
Mailwasher permet d'un seul clic tous les traitements souhaités : conservation, destruction sur le serveur, bounce, c'est à dire renvoi d'un message d'erreur comme si l'adresse était erronée, incitant ainsi les spammeurs à les supprimer de leurs répertoires... A la fin du traitement, il vous branche directement sur votre lecteur de mails favori qui n'a plus qu'a relever des boites propres et éradiquées !
2° En cas d'infection avérée, je préfère traiter au niveau le plus bas, c'est à dire sous DOS. Un antivirus spécialisé et très simple d'emploi existe : il s'agit de F-PROT, gratuit pour une utilisation privée. On peut le trouver, en français, avec ses plus récentes mises à jour sur
http://www.f-prot.com/download/
Choisir la version DOS gratuite et la mise à jour. (Ils proposent des versions beaucoup plus sophistiquées, payantes et plus lourdes). Il permet de créer deux disquettes, éventuellement faciles à transporter, et d'une redoutable efficacité puisqu'en ce cas il ne peut être reconnu et détruit par le virus...
Ce modèle ne fonctionne qu'à la demande et c'est ce qui me l'a fait préférer. Tous les autres, intellectuellement plus satisfaisants par leur fonction de veille, ralentissant plus ou moins sévèrement les machines, en fonction directe de leur efficacité... C'est un choix personnel entre l'efficacité de la fonction de veille de l'antivirus et le ralentissement de l'ordinateur...
3° Autre solution : les programmes ou patches dédiés. Ils sont tout petits et ne savent faire qu'une chose : éradiquer un virus défini. Mais cela, ils le font parfaitement et rapidement. Inconvénient : il faut connaître l'identité de l'envahisseur. Vous en trouverez toute une collection chez secuser.com, sous la rubrique "Utilitaires de désinfection" :
http://www.secuser.com/telechargement/index.htm
A la mi-2003, de vieilles familles se réveillent, en particulier, la famille des W95/Spaces32 etc. C'est un virus affectant uniquement les fichiers .exe, sous W98 ou 98, à l'exclusion de XP. Comment se manifeste-t-il ?
Un jour, un programme refuse de se lancer et annonce "Fichier Tartempion introuvable'. D'autres programmes semblent plus longs à se lancer... Ils deviennent même franchement très long ! Un doute s'installe et un beau matin, à la fraîche, on décide de prendre le taureau par les cornes et de lancer une analyse virale sérieuse de toutes les partitions, de tous les disques de la machine. Par prudence, elle aura été déconnectée d'un réseau éventuel.
Et là, avec les disquettes de F-PROT qui vont bien (on peut également lancer un F-PROT Windows qui fonctionne admirablement. Et le premier verdict tombe :
C:, 63000 fichiers examinés, 4000 infectés, 3984 désinfectés, 16 impossibles à désinfecter...
Et pour D:, c'est pareil. Lest autres partitions et disques durs consacrés aux productions : textes, dessins, photographies, vidéo etc ne sont pratiquement pas touchés par ce virus. L'organisation de notre machine principale est simple : C; est consacré au système et D: aux programmes. Si bien qu'il suffira de restaurer des fichiers-images antérieurs à l'infestation pour que tout rentre dans l'ordre, sans drames. Nous avons été prudents et prévoyants et nous en sommes récompensés.
En effet lorsqu'un programme anti-virus vous dit qu'il a "déviralisé" un fichier ou un programme, ce qu'il oublie de vous dire, c'est que le programme en question est bien débarrassé du virus, oui, mais que bien souvent il ne fonctionne plus et plante sans raisons, son code ayant été altéré par les manipulations successives !
Voilà, c'était un peu long, mais si cela peut rendre service...
Jacques
DASSIÉ
Edition : Août
2003