1. كل المواضيع تعبّر عن رأي صاحبها فقط و ادارة المنتدى غير مسؤولة عن محتوياتها
    إستبعاد الملاحظة

Un virus peut-il detruire le materiel

الموضوع في 'English & French Archive' بواسطة imles, بتاريخ ‏30 مارس 2007.

حالة الموضوع:
مغلق
  1. imles

    imles صديق المنتدى

    إنضم إلينا في:
    ‏28 أكتوبر 2006
    المشاركات:
    6.537
    الإعجابات المتلقاة:
    4.603
      30-03-2007 20:08
    Ce sujet m'est venu a l'esprit suite a la participation de Dj tiesto (que je salue ici)concernant le fameux virus qui pourrait se manifester le vendredi 13 Avril
    C'est un essai de ma part pour vulgariser sette question et lever le voile sur certaines meconnaissances et certaines droles de mystifications susceptibles de semer la psychose chez ceux qui ne comprennent pas ce que c'est que vraiment un virus


    Les virus informatiques sont assez méconnus du grand public et il existe un grand nombre de mythes et légendes à leur sujets. En voici quelques-uns avec les explications correspondantes qui vous mèneront vers la lumière et le bonheur éternel

    Resume

    sachez que​
    • Un virus a pour but principal de se reproduire et rien d'autre.
    • Les backdoors ne sont qu'une variété de chevaux de Troie parmi d'autres.
    • Un virus ne pourrait pas détruire du matériel moderne sans mener une attaque ciblée et tenace.
    • Il y a des virus sous Linux même si leur nombre et leur dangerosité sont limités.
    • Aucun virus n'est techniquement indétectable.
    • L'infection du BIOS présente beaucoup trop de difficultés pour être considérée comme réalisable.
    • Un virus n'infecte pas les fichiers de données comme les JPG et les MP3.
    • Le formatage et fdisk /mbr peuvent détruire tout sauf le virus.
    Details sur la question

    Un virus a pour but de détruire des données

    Contrairement à ce que l'on entend souvent, le but d'un virus n'est pas de détruire des données ou de causer des dysfonctionnements. En réalité, le but principal et souvent unique d'un virus est sa reproduction.
    D'ailleurs, bien que la définition du terme "virus" soit controversée, tous les experts sans exception sont d'accord sur l'aspect de la reproduction, ce qui en dit long sur son importance.
    Cheval de Troie = backdoor

    Un cheval de Troie est un programme à apparence légitime qui agit de manière malveillante sans l'autorisation ou la connaissance de l'utilisateur.* Les backdoors, qui servent surtout à l'espionnage et à la prise de contrôle à distance, ne sont qu'une variété de chevaux de Troie parmi d'autres ; ainsi, un programme qui se fait passer pour un écran de veille et qui en fait efface des fichiers importants est un cheval de Troie mais pas une backdoor.
    Par conséquent, il est absolument faux de dire qu'un pare-feu protège de tous les chevaux de Troie. Il faut cependant admettre que les backdoors sont probablement les chevaux de Troie les plus répandus aujourd'hui, d'où le rapprochement.
    * On notera à ce sujet que le contexte est important. Ce qui est considéré comme un cheval de Troie dans une certaine situation peut être employé de manière tout à fait légitime dans un autre contexte.
    Il existe des virus indétectables

    Les antivirus ne peuvent détecter que les virus qu'ils connaissent (laissons de côté l'analyse heuristique). Les auteurs de virus auront donc toujours de l'avance et à tout moment il y aura des virus qui ne seront détectés par aucun antivirus. Cependant, dès qu'ils auront été analysés par les éditeurs, ils seront détectés.
    Il n'existe pas de virus dont la détection serait techniquement irréalisable.
    Un virus peut détruire le matériel

    Un virus (ou tout autre programme) ne peut pas détruire de matériel sans mener une attaque ciblée et tenace, et encore, même sous ces conditions il n'y a aucune garantie de succès. On n'est pas près de voir de telles routines destructrices dans les virus "grand public" pour plusieurs raisons :
    • Il faut savoir programmer à très bas niveau, ce qui n'est pas le cas de la grande majorité des auteurs de virus.
    • Il faut bien connaître le matériel et tenir compte des incompatibilités. On peut faire surchauffer certains processeurs en augmentant le FSB par exemple, mais le procédé n'est pas le même pour toutes les cartes-mères (de plus, les processeurs modernes disposent de moyens de protection contre la surchauffe.)
    • Il faut mener une attaque longue, or un utilisateur risque de s'apercevoir suffisamment tôt que quelque chose ne va pas.
    Bref, si la destruction du matériel était si facile que ça, les auteurs de virus n'auraient pas hésité à inclure de telles routines dans leurs virus. Le fait que ce ne soit pas le cas est très révélateur.
    Ajoutons que le fameux virus CIH (aussi connu sous le nom de "Tchernobyl") ne détruit pas les cartes-mères. Il les rend simplement inutilisables en écrasant une partie du BIOS. Cela ne constitue cependant pas une destruction physique (ni une infection du BIOS d'ailleurs, voir ci-dessous).
    Un virus peut infecter le BIOS

    Il ne faut jamais rien exclure techniquement, mais l'infection du BIOS présente énormément de difficultés. La place dans son lieu de stockage est limitée, le BIOS doit préserver son intégrité, et se pose également le problème de la reproduction. Quelle sera la victime d'un virus chargé lors du démarrage de l'ordinateur ? Comme pour la destruction du matériel, l'infection du BIOS relève de la fiction, et ce sans doute pour longtemps encore.
    Il n'y a pas de virus sous Linux

    Perdu ! Il y en a plusieurs et tous les éditeurs de logiciels antivirus doivent proposer des informations à leur sujet. S'ils ne sont pas aussi nombreux que sous Windows, leur existence est tout de même avérée. Plus Linux devient populaire, plus le nombre de virus va augmenter. Il ne faut pas croire que la sécurité à 100% existe, c'est aussi vrai pour Linux.
    Un virus peut infecter des fichiers JPG, MP3

    Le formatage et fdisk /mbr sont infaillibles
     
  2. ميريام

    ميريام عضو نشيط

    إنضم إلينا في:
    ‏26 مارس 2007
    المشاركات:
    161
    الإعجابات المتلقاة:
    37
      30-03-2007 20:16
    en arab stp et merci
     
  3. imles

    imles صديق المنتدى

    إنضم إلينا في:
    ‏28 أكتوبر 2006
    المشاركات:
    6.537
    الإعجابات المتلقاة:
    4.603
      30-03-2007 20:21
    Les virus et les formats de fichiers

    Si vous faites partie des personnes qui pensent que les virus infectent des fichiers de données comme les JPG ou les MP3, alors ceci est fait pour vous

    sachez que
    • Les virus peuvent ajouter leur code aux fichiers de données, mais ils ne le font pas car leur but est la reproduction. La reproduction nécessite l'exécution du virus, et les fichiers de données ne sont jamais exécutés.
    • Les macros sont des programmes qui peuvent être stockés dans certains formats de fichiers de données, mais elles dépendent du bon vouloir du programme qui ouvre ce type de fichier.
    • Le virus Perrun dépend du concours d'un programme auxiliaire ; sans lui il est prisonnier des fichiers JPG et ne peut rien faire.
    • Les débordements de mémoire sont des phénomènes spéciaux, mais pas des infections virales.
    • L'extension d'un fichier ne correspond pas forcément à son format et vice-versa ; il ne faut pas se fier à l'un ou à l'autre. Une extension peut aussi être (visuellement) absente
    C'est quoi, un virus ?

    Tout le monde ne sait pas ce qu'est réellement un virus informatique. Ce n'est pas, comme on peut souvent l'entendre, ...
    ... ben, un truc, heuh... un machin heuh... qui détruit des données, enfin voilà, quoi...
    C'est sans doute cette ignorance des notions de base qui est à l'origine du fait que beaucoup de gens pensent que l'infection de fichiers de données est un phénomène courant. Les experts en la matière ne sont pas non plus d'accord sur une définition officielle du terme "virus", mais voici une définition qui, dans le cadre de cet article, devrait satisfaire tout le monde :
    Un virus est un programme qui a pour but principal de se reproduire et qui pour ce faire ajoute son propre code à d'autres programmes.
    La première partie de cette définition n'est pas négociable, car tout le monde s'accorde à dire que la reproduction est le but principal d'un virus. Quant à la deuxième partie, c'est elle qui est controversée, mais dans le cadre de cet article elle est essentielle.
    Un virus étant un programme, il doit être exécuté afin de pouvoir faire quoi que ce soit.
    Les fichiers de données

    Mais qu'est-ce qui empêche donc concrètement un virus d'infecter un fichier de données ? A priori rien, un virus peut ajouter son propre code à n'importe quel autre fichier. Seulement voilà, il ne le fait pas et il y a deux raisons à cela :
    • Un virus ne peut pas à proprement parler infecter un fichier de données. En effet, une infection ne consiste pas simplement à ajouter le code viral à un hôte. Il faut aussi établir un lien entre l'hôte et le code viral, ce qui est impossible car les données et le code sont deux concepts différents, difficilement conciliables.
    • Un virus a pour but de se reproduire, et pour se reproduire il doit être exécuté. Or un fichier de données n'est jamais exécuté. Il faut rappeler ici qu' "exécuter" signifie que le processeur va lire les octets contenus dans un fichier et exécuter les instructions qui leur correspondent. Quand vous visualisez un fichier JPG par exemple, il n'est absolument pas exécuté (le processeur ne saurait pas quoi faire de ces octets car ils représentent des données graphiques, pas des instructions), il est tout simplement lu par votre logiciel de traitement d'images, qui l'affiche sur l'écran.
      Un fichier de données représente donc un ***-de-sac pour un virus. Une fois dedans, il n'en ressortira plus. Il n'y a donc aucun intérêt à l'infecter.
    Le virus Perrun

    Mais il y a là ce virus nommé Perrun qui infecte les fichiers JPG...!
    Oui et non. Encore une fois, Perrun n'infecte pas les fichiers JPG. Il leur ajoute simplement son propre code. Les fichiers JPG n'étant jamais exécutés, Perrun ne le sera pas non plus. En fait, le format JPEG et la méthode d'"infection" font que le virus n'apparaît même pas à l'écran quand vous visualisez l'image. Perrun est donc véritablement prisonnier du fichier JPG dans lequel il se trouve.
    Alors comment fait-il pour en sortir ? La réponse est simple : lui ne fait rien. Il faut un autre programme auxiliaire qui, lorsque vous tentez de visualiser un fichier JPG, intercepte le chargement de ce fichier et vérifie si Perrun s'y trouve afin de le libérer le cas échéant.
    Pourquoi avoir choisi justement les fichiers JPG ? L'auteur de Perrun aurait pu choisir n'importe quel type de fichier. Encore une fois, un virus peut ajouter son code à n'importe quel type de fichier. Seulement certains formats sont moins tolérants que d'autres. Le format JPEG n'est pas affecté par quelques données supplémentaires pouvant se trouver à la fin des informations constitutant l'image. Et, bien sûr, c'est un format extrêmement répandu.
    Des informations complémentaires sur Perrun sont disponibles à l'adresse suivante : http://www.sophos.fr/virusinfo/articles/perrun.html.
    Les macros

    Les macros ne sont pas des poissons. Beaucoup de logiciels, notamment les traitements de texte, proposent leur propre petit langage de programmation afin de permettre à l'utilisateur d'automatiser certaines tâches récurrentes. Les petits programmes qui en résultent sont appelés macros et sont stockés dans le même fichier que les données principales (le texte). Ce langage est souvent suffisamment puissant pour développer des virus. Les virus macro sont donc des macros qui se reproduisent, rien de plus.
    Alors donc, l'infection de fichiers de données est possible ? Non, toujours pas. Ici aussi il faut un programme auxiliaire (le traitement de texte par exemple) qui puisse exécuter ces petits programmes - il pourrait aussi très bien les ignorer. Il n'y a donc ici non plus pas de réelle infection.
    Si vous n'utilisez pas de macros, la plupart des logiciels proposent la possibilité de les désactiver.
    Les débordements de mémoire

    Les fichiers de données peuvent sous certaines conditions s'avérer dangereux. Il faut pour cela qu'un programme qui lit un type de fichier de données (tel un traitement d'images) contienne une faille et que le fichier soit volontairement malformé.
    Normalement, le code d'un programme et les données qu'il manipule sont séparés en mémoire. Quand un programme lit des données d'un fichier, il leur réserve un emplacement en mémoire. Si la quantité de données lues dépasse la taille de cet emplacement, la mémoire "déborde" et une partie des données peut soit se retrouver dans la partie code du programme et remplacer le code qui s'y trouvait, soit servir à détourner le flux d'exécution du programme et le rediriger vers ces données (qui peuvent en fait représenter du code malveillant).
    Cela s'est produit en automne 2004 avec la découverte d'une faille dans la bibliothèque GDI+ de Microsoft. Lors de la lecture d'un fichier JPEG pouvait se produire un débordement de tampon, ce qui pouvait engendrer l'exécution de code malveillant contenu dans le fichier.
    Plus d'informations sur ce problème chez Microsoft: http://www.microsoft.com/france/technet/securite/ms04-028.mspx
    La relation extension-format

    Ne croyez pas que seule l'extension décide du type de fichier - ce n'est pas le cas. Quel est le rapport avec les virus ? Certains formats de données, RTF par exemple pour le traitement de texte, ne supportent pas les macros et se prêtent donc à merveille à l'échange de données sans risques. Or voilà, rien ne vous empêche de donner l'extension .rtf, qui habituellement dénote un fichier RTF, à un fichier au format doc qui lui peut contenir des macros virales. En effet, Word ne se préoccupe pas de l'extension et tient compte du format uniquement, ce qui fait que le fichier sera bel et bien au format doc avec tous les dangers que cela représente.
    Un phénomène similaire existe du côté des fichiers exécutables bien que ce soit moins dangereux car il faut toujours s'en méfier quelle que soit leur extension.
    Donnez par exemple l'extension .com à un fichier .exe, et il sera toujours exécuté sans problèmes. Dès lors que vous lancez un fichier avec une extension exécutable (et .com en est une), Windows analyse le format interne et ne se préoccupe plus de l'extension. Un fichier .exe avec l'extension .com sera donc toujours exécuté car Windows reconnaîtra la structure .exe.
    Jusqu'ici vous suivez ? Continuons : si l'on renomme un fichier .com en .exe, le même phénomène se produira - mais sous DOS uniquement. Sous Windows, vous aurez un message d'erreur. Et saviez-vous, pour compliquer encore un peu les choses, que les écrans de veille ne sont rien d'autre que des fichiers .exe habituels avec une extension .scr ? Et nous n'avons pas encore parlé de la différence entre les .exe pour DOS et les .exe pour Windows !
    La confusion qui règne autour des extensions et des formats de fichier fait qu'il est impossible d'établir une liste fiable d'extensions "dangereuses" comme la réclament beaucoup d'utilisateurs d'antivirus. Demandez donc à votre antivirus d'analyser le format interne du fichier et de ne pas se fier à l'extension, c'est la meilleure solution.
    Ne vous fiez pas non plus à l'icône d'un fichier. En effet, elle est facilement manipulable.
    Les extensions multiples et cachées

    Non seulement les extensions ne sont pas toujours fiables, mais en plus de cela elles ne sont même pas toujours affichées. En effet, Windows cache les extensions des types de fichiers connus. Un fichier nommé test.exe apparaîtra donc sous le nom de test tout court dans l'explorateur, car .exe est considéré comme une extension connue.
    Sachez que lorsqu'un fichier possède plusieurs extensions, Windows ne tient compte que de la dernière. Un fichier nommé test.jpg.exe est donc un fichier .exe et absolument pas un fichier JPG. Or comme l'extension .exe ne sera pas affichée, le fichier apparaîtra sous le nom de test.jpg dans l'explorateur. Sachant maintenant que les fichiers JPG ne contiennent pas de virus, vous serez incités à cliquer dessus, or s'agissant réellement d'un fichier .exe, il sera exécuté et avec lui le virus s'il y en a un.
    Afin de remédier à ce problème, demandez à Windows d'afficher toutes les extensions. La case à cocher se trouve dans les options de l'explorateur Windows.
    Fini ? Terminé ? Non. Même après cette manipulation, certaines extensions seront encore cachées. Et comme vous pouvez vous en douter, certaines d'entre elles sont potentiellement dangereuses, comme .pif et .shs. Afin de les faire afficher elles aussi, il vous faudra manipuler la base de registre en désactivant des valeurs nommées NeverShowExt à l'aide du programme Regedit. Effacez ces valeurs ou renommez les comme décrit ci-dessous

    Procédure à suivre pour faire afficher les extensions cachées "spéciales"
    1. Cliquez sur "Démarrer", "Exécuter", tapez "regedit" et confirmez. Se lancera alors l'éditeur de la base de registre.
    2. Pressez la touche F3, qui fait apparaître une boîte de dialogue. Saisissez nevershowext dans le champ prévu et cliquez sur le bouton "Rechercher".
    3. Lorsque vous tombez sur une occurrence de NeverShowExt vous pouvez soit l'effacer soit la renommer (moins risqué) en vous servant de son menu contextuel accessible grâce à la touche droite de la souris. Pour faire simple, renommez NeverShowExt en lui ajoutant _faux, afin d'obtenir NeverShowExt_faux.
    4. Pressez à nouveau F3 et faites de même pour chaque NeverShowExt que vous rencontrez.
    Sachez que vous verrez ensuite sur le bureau les extensions .lnk et .pif. Ce n'est pas esthétique, mais certainement plus sûr.
    Si vous n'osez pas manipuler la base de registre, regardez de plus près le logiciel disponible à l'adresse suivante: http://mezouprod.ouvaton.org/ConfigSecu/ConfigSecu.htm. Notez que ce logiciel vous permet aussi d'effectuer d'autres réglagles pour sécuriser votre ordinateur

    Pour terminer (enfin !) un petit avertissement : il est très bien possible de nommer un fichier www.quelquechose.com. Il ne s'agit là pas d'une adresse Internet mais d'un fichier exécutable (et par conséquent dangereux) à l'extension .com qui peut héberger un programme au format .exe comme évoqué ci-dessus
     
    أعجب بهذه المشاركة confience
  4. ™M® Badr

    ™M® Badr صديق المنتدى

    إنضم إلينا في:
    ‏20 جانفي 2007
    المشاركات:
    6.031
    الإعجابات المتلقاة:
    2.716
      30-03-2007 20:28
    Merci Mon Ami Pour L'avertissement

    :hi: :hi: :hi:
     
  5. imles

    imles صديق المنتدى

    إنضم إلينا في:
    ‏28 أكتوبر 2006
    المشاركات:
    6.537
    الإعجابات المتلقاة:
    4.603
      30-03-2007 20:29
    Fdisk, Format et les virus

    Ceci a pour objectif de décrire le fonctionnement des virus de secteur d'amorce (virus "boot") ainsi que le formatage et la fameuse commande fdisk /mbr qui sont bien souvent conseillés par des personnes qui ne sont pas conscientes de leurs possibles conséquences
    Notez qu'aujourd'hui fdisk /mbr n'est plus aussi décrié que par le passé - cela ne change cependant rien au fait qu'il est important de connaître ses effets et les risques potentiels avant d'en recommander l'usage
    Le but ici n'est pas de vous aider à vous débarrasser d'un virus de secteur d'amorce. Etant donné la complexité du sujet, vous ne trouverez que quelques précautions générales à prendre lorsque vous avez affaire à un tel virus

    Format et Fdisk jouissent d'une réputation de remèdes miracles contre tous les virus. Malheureusement ce n'est pas le cas. Ils peuvent effectivement servir à supprimer certains virus, mais dans le pire des cas leur usage peut entraîner des conséquences catastrophiques
    Le MBR
    Le MBR (Master Boot Record) est une structure au tout début du disque dur qui contient des informations sur les partitions, ainsi qu'un programme qui lance le secteur d'amorce de la partition active (partition contenant le système d'exploitation), qui à son tour lance le système d'exploitation
    Le formatage
    Le formatage efface toutes les données du disque dur (ou d'une partition au cas où il y en aurait plus d'une). On pourrait croire qu'un virus présent sur le disque dur sera supprimé par la même occasion. Or le formatage ne touche pas au MBR (et par conséquent au virus qui pourrait s'y trouver) et détruit également toutes les données légitimes. Après un formatage vous vous retrouvez donc obligatoirement à la case départ: le virus ne sera pas forcément parti, et même s'il l'est, vous aurez à tout réinstaller. Cela est d'autant plus insensé que la plupart des virus peuvent être supprimés assez facilement
    Fdisk /mbr
    /mbr est un paramètre non documenté du programme Fdisk. Il ordonne à Fdisk de réécrire le code du MBR. Si le MBR contient un virus, celui-ci sera donc supprimé. Malheureusement ce n'est pas aussi simple que ça: le MBR contient également la table des partitions, et il est possible que le virus l'ait modifiée d'une certaine manière. Le code "standard" par lequel Fdisk remplace le virus ne saura pas forcément trouver/interpréter la table des partitions. Le résultat net de l'opération sera que vous n'aurez plus accès aux partitions, et cela n'est qu'un scénario possible parmi d'autres.
    En résumé
    Ne formatez qu'en dernier recours (sachant que cela entraînera la perte de toutes vos données) et n'utilisez Fdisk /mbr que si vous savez exactement ce que vous faites
     
  6. imles

    imles صديق المنتدى

    إنضم إلينا في:
    ‏28 أكتوبر 2006
    المشاركات:
    6.537
    الإعجابات المتلقاة:
    4.603
      30-03-2007 20:37
    Le formatage

    Le formatage est un procédé qui consiste à établir la structure de base d'une partition. Le formatage remet à zéro le secteur d'amorce de la partition ainsi que la FAT (file allocation table, le tableau dans lequel sont stockées les informations sur l'emplacement des fichiers et répertoires sur la partition). Cela a pour effet de faire disparaître toutes les données de la partition (en fonction du mode de formatage, elles ne sont pas forcément réellement effacées mais deviennent inaccessibles car introuvables via la FAT)
    On est tenté de croire qu'il s'agit là d'un moyen infaillible pour se débarrasser d'un virus ou d'un autre programme malveillant. Malheureusement le formatage n'est pas une bonne idée, et ce pour plusieurs raisons
    • Il efface non seulement le programme malveillant, mais aussi toutes les données légitimes qu'il faudra restaurer ensuite, tâche qui peut s'avérer difficile si l'on ne possède pas de sauvegardes
    • Il ne touche pas au MBR (master boot record, voir plus bas) car le formatage concerne uniquement une partition et pas le disque dur entier. Un virus ayant infecté le MBR ne se laissera donc pas impressionner par le formatage
    • C'est une perte de temps considérable car la plupart des programmes malveillants peuvent être supprimés aisément sans avoir à recourir à de tels moyens drastiques. Sachez néanmoins que certains virus peuvent manipuler vos données de telle manière qu'un formatage peut s'avérer être la solution préférable et plus rapide qu'une désinfection "normale
    Note concernant le formatage bas-niveau: Ne le faites pas, et surtout pas avec n'importe quel logiciel. Formater à bas niveau pour se débarrasser d'un virus serait absolument ridicule. Si pour une raison quelconque vous tenez absolument à le faire, ce qui ne devrait jamais se produire, assurez-vous de vous informer au préalable des conséquences de cette procédure et des étapes à suivre auprès du fabricant de votre disque dur
    Le formatage ne supprimant pas les virus infectant le MBR, il a fallu trouver un autre remède maison pour se débarrasser des virus du MBR: fdisk /mbr. Cette méthode a bien des défauts comme l'illustrent les paragraphes suivants
    Le MBR et la séquence de démarrage

    Le rôle du BIOS

    Lors du démarrage, le BIOS est le premier programme à prendre le contrôle de l'ordinateur. Après avoir accompli diverses tâches (vérification de la mémoire, détection des disques et lecteurs), le BIOS charge en mémoire le MBR du disque dur et passe le contrôle au petit programme qui s'y trouve. Le BIOS reste cependant à disposition de tout programme lancé ultérieurement, sous forme de routines résidentes en mémoire, par exemple la fameuse interruption 13h pour l'accès aux disques ou l'interruption 10h pour les fonctions vidéo
    Le MBR

    Le MBR est un secteur (l'unité de stockage de base de 512 octets) qui se trouve obligatoirement au tout début du disque dur

    C'est finalement le secteur d'amorce de la partition active qui sera chargé et exécuté par le code du MBR; son but est de lancer le système d'exploitation.
    Notez qu'en cas de démarrage de disquette, le MBR du disque dur n'est (logiquement) pas concerné et je ne joue aucun rôle. Les disquettes ne possèdent pas de MBR. En cas de démarrage de disquette, le BIOS charge donc directement, et sans détour par le disque dur, le secteur d'amorce de la disquette qui s'occupe du lancement du système d'exploitation.
    Les virus boot (fonctionnement et infection)

    Les virus boot peuvent infecter soit le MBR soit le secteur d'amorce d'une partition, de préférence bien sûr celui de la partition active (un virus n'a pas intérêt à infecter du code qui n'est jamais exécuté). Nous couvrirons uniquement l'infection du MBR.
    Un virus est un programme dont le but principal (et souvent unique) est la reproduction. Pour ce faire, il ajoute son propre code à du code sain ou remplace le code sain par soi-même. Comme le code d'origine du MBR est extrêmement important, le virus ne le supprime pas froidement mais le modifie tout en préservant sa fonctionnalité ou le copie vers un autre endroit pour le retrouver plus tard.
    Lors du démarrage de l'ordinateur, le virus sera lancé en premier et pourra agir librement:
    • il pourra se reproduire en infectant une éventuelle disquette dans le lecteur
    • il pourra effectuer des préparatifs pour assurer le bon déroulement du reste de la séquence démarrage
    • il pourra s'installer de façon durable en mémoire
    Il se chargera ensuite de faire reprendre son cours normal à la séquence de démarrage en exécutant le "vieil" MBR ou en simulant son comportement.
    La furtivité

    Le but primordial d'un virus est la reproduction. Une fois découvert, le virus ne pourra plus se reproduire car des mesures seront prises par l'utilisateur pour l'éradiquer. Le virus a donc intérêt à rester caché le plus longtemps possible. Un tel virus qui cherche à activement cacher sa présence est appelé "furtif" ("stealth" en anglais).
    La furtivité consiste donc à présenter à l'utilisateur l'environnement habituel et de berner les antivirus. Une fois actif, un virus demeurera ainsi en mémoire et interceptera toute tentative de lecture du MBR par l'intermédiaire du BIOS et renverra une copie propre du MBR. Tout programme usant du BIOS (plus précisément de l'interruption 13h) pour accéder au MBR, ce qui est pratiquement toujours le cas, recevra donc de la part du virus un MBR semblant légitime. Cela est très important non seulement parce que les antivirus examinant le MBR ne constateront rien d'anormal, mais aussi car le virus pourra modifier ou déplacer le vrai MBR à sa guise sans que cela ne trouble le bon fonctionnement du système.
    En fait, le virus peut manipuler n'importe quel secteur de quelle manière que ce soit à condition que ces modifications restent totalement transparentes aux yeux de l'utilisateur et des antivirus

    Fdisk /mbr: différents scénarios

    Fdisk /mbr remplace le code du MBR par du code générique mais ne touche pas à la table des partitions qui se trouve également dans le MBR!
    Admettons que vous soyez infecté par un virus boot qui a modifié ou déplacé le MBR d'origine ou un autre secteur. Afin de comprendre les conséquences de l'utilisation de fdisk /mbr, il faut maintenant distinguer entre deux situations:
    1. Vous avez démarré l'ordinateur normalement depuis le disque dur infecté.
    2. Vous avez démarré l'ordinateur à l'aide d'une disquette de démarrage propre.
    Démarrage depuis le disque dur infecté.

    Le virus se trouve en mémoire et il corrige de manière dynamique tous les changements apportés au secteur auquel vous tentez d'accéder. Les secteurs eux-mêmes ne sont pas corrigés; le virus lit le secteur, le corrige en mémoire et passe ensuite ces données corrigées au programme qui les a demandées. Vous ne constaterez rien d'anormal.
    Si vous lancez maintenant fdisk avec le paramètre /mbr, il y a deux possibilités: soit le virus intercepte cette fonction et il ne se passe rien du tout, soit le virus n'intercepte pas cette fonction. Si le virus n'intercepte pas cette fonction il sera supprimé du disque dur, et là encore il existe deux possibilités: soit après un certain temps il se rend compte que le MBR est redevenu propre et l'infecte à nouveau (et vous n'aurez strictement rien gagné du tout), soit il ne se rend compte de rien. S'il ne se rend compte du rien, lors du prochain démarrage vous vous retrouverez dans la même situation que si vous aviez exécuté fdisk /mbr après un démarrage de disquette.
    Démarrage à l'aide d'une disquette de démarrage propre.

    Le virus ne se trouve pas en mémoire. Par conséquent il ne sera pas capable d'intercepter fdisk /mbr.
    Si vous lancez maintenant fdisk /mbr, le virus dans le MBR sera remplacé par du code générique comme évoqué ci-dessus. Lors du prochain démarrage vous serez confronté à de graves dégâts qui varieront selon le virus que vous avez supprimé.
    Table des partitions chiffrée

    Certains virus chiffrent la table des partitions. Le code générique inscrit dans le MBR par fdisk /mbr s'attend cependant à une table des partitions en clair et ne saura pas la déchiffrer. Fdisk affichera donc des informations totalement abracadabrantes et vous n'aurez plus accès aux partitions.
    Si le virus utilise une clé de chiffrage constante et connue, le décryptage de la table ne devrait pas poser de problèmes. Si la clé est variable, il s'agira d'essayer toutes les clés possibles, ce qui n'est pas toujours une option réaliste, ou bien de tenter de trouver la clé par calcul à partir d'un élément connu de la table des partitions saine. Si vous savez par exemple que l'octet à la position x détenait la valeur y et qu'il détient maintenant la valeur z, vous pourrez essayer de déterminer comment calculer z à partir d'y et d'appliquer cette formule à tous les autres octets. Sachez qu'une clé peut être bien plus longue qu'un seul octet, donc cette méthode ne fonctionnera pas forcément toujours. On aurait tort de se faire des illusions.
    Table des partitions déplacée

    Si le virus a déplacé la table des partitions vers un autre secteur, vous n'aurez également plus accès à vos données. Il s'agira de déterminer l'endroit où le virus a stocké la table pour la retransférer vers le "vrai" MBR, car le code générique inscrit par fdisk /mbr s'attend à ce que la table des partitions se trouve à un endroit bien précis.
    Secteurs chiffrés

    Certains virus dont le célèbre One_Half chiffrent certains secteurs du disque dur. Si vous supprimez un tel virus, ces données resteront chiffrées et il vous faudra trouver la clé et l'algorithme pour les déchiffrer. Dans les cas où l'algorithme employé par le virus peut varier, cela ne sera pas évident à réaliser.
    Ces données étant parfaitement accessibles pendant que le virus est actif en mémoire, il convient de faire une sauvegarde avec le virus en mémoire avant de tenter une désinfection, aussi absurde que cela puisse paraître. On évitera cependant de sauvegarder des fichiers exécutables, car certains virus ne se limitent pas à l'infection des secteurs de démarrage et peuvent très bien s'attaquer aux fichiers exécutables.
    Les gestionnaires

    Si vous aviez un gestionnaire de démarrage dans le MBR (par exemple afin de pouvoir lancer plusieurs systèmes d'exploitations) ou un gestionnaire de disque dur (par exemple parce que le BIOS ne sait pas manipuler correctement votre disque dur), il ne sera pas restauré par fdisk /mbr. Une solution plus sophistiquée que fdisk /mbr (antivirus, antidote dédié ou manipulation manuelle) peut éventuellement restaurer le MBR d'origine y compris le gestionnaire.
    Précautions à prendre

    Voici les précautions à prendre pour pouvoir faire face aux virus boot:
    • Si vous soupçonnez un virus boot, démarrez impérativement l'ordinateur depuis un support propre (disquette, CD-ROM) puis lancez un antivirus à jour pour identifier le virus. Pour réduire le risque de fausse alerte, utilisez un second antivirus à jour pour confirmer l'infection. S'il n'y a pas d'alerte de la part du second antivirus, il est probable qu'il n'y ait pas de virus (sur la base du fait que les antivirus modernes semblent avoir une tendance à voir des virus boot là où il n'y en a pas).
      Prenez au sérieux une alerte de la part de Windows.
    • Procurez-vous la description du virus sur Internet avant d'entamer une quelconque tentative de désinfection, y compris par antivirus.
    • Sauvegardez les données les plus importantes, dans certains cas avec le virus en mémoire (selon les caractéristiques du virus, voir la description).
    • N'utilisez Fdisk /mbr que si toutes les conditions suivantes sont remplies:
      • Vous avez démarré depuis une disquette propre.
      • Toutes les partitions sont accessibles.
      • Toutes les données sur toutes les partitions sont accessibles et en bon état.
      • Vous savez exactement de quel virus il s'agit et vous connaissez ses caractéristiques.
      • Vous possédez des sauvegardes récentes de vos données.
      • Vous ne connaissez pas d'autre antidote.
      • C'est votre dernier recours.
    • Sachez que certains antivirus ne savent pas désinfecter correctement certains virus!
    Souvenez-vous finalement qu'il n'existe pas de solution "standard" qui fonctionne toujours et dans toutes les conditions. Dans le cas d'une infection par un virus boot la configuration du système joue un rôle essentiel, et il faut en tenir compte.
    La protection antivirale du BIOS

    Pour terminer, quelques mots sur la protection antivirale du BIOS. La plupart des BIOS offrent une fonction de protection antivirale. Trop beau pour être vrai? Oui, car:
    • Cette fonction concerne uniquement les virus de secteur amorce et n'offre strictement aucune protection contre les autres types de virus.
    • Cette fonction intercepte les tentatives d'écriture du secteur d'amorce via l'interruption 13h du BIOS mais sans se soucier de la légitimité de ces tentatives. Les routines d'installation de divers systèmes d'exploitation modifient le secteur d'amorce de manière tout à fait légitime; le BIOS ne faisant pas la différence il donnera l'alerte.
    • Cette fonction peut être contournée. La preuve: les versions modernes de Windows ne passent plus par le BIOS pour accéder au disques. Un virus peut faire de même.
    Cette fonction n'a donc pas beaucoup d'intérêt et vous pouvez la désactiver. Voici quelques conseils pour éviter les virus boot:
    • Configurez le BIOS de manière à ce qu'il démarre toujours depuis le disque dur, et pas depuis une disquette. Ainsi, si vous placez et oubliez par mégarde une disquette infectée dans le lecteur de disquettes, le virus ne sera pas lancé lors du prochain démarrage. Le nom de cette option et des réglagles possibles peuvent varier en fonction du BIOS que vous utilisez (exemples de réglages: "C only", "C,x", "HDD", "HDD-0").
    • Hélas, les disquettes ne sont pas les seuls vecteurs de virus. Il est tout à fait possible qu'un programme malveillant installe un virus de secteur d'amorce sur votre ordinateur (ces programmes sont appelés "dropper" en anglais). Il n'y a pas de solution miracle. Utilisez un antivirus à jour et faites bien attention aux programmes que vous téléchargez et lancez sur votre ordinateur
     
  7. imles

    imles صديق المنتدى

    إنضم إلينا في:
    ‏28 أكتوبر 2006
    المشاركات:
    6.537
    الإعجابات المتلقاة:
    4.603
      30-03-2007 20:40
  8. ihebfseg

    ihebfseg عضو مميز

    إنضم إلينا في:
    ‏17 نوفمبر 2006
    المشاركات:
    1.336
    الإعجابات المتلقاة:
    83
      30-03-2007 21:00
    merciiiiiiiiiiiiiiiiiiii
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...