Attention aux virus par mail!
Mise à jour du 09/10/2004
[Intro] [Pièces
jointes] [Scripts cachés] [Canulars]
Virus et mail
Les virus utilisant le mail pour se propager sont maintenant très
nombreux.On les appelle "worms": des vers. Les concepteurs de virus ont
toujours utilisé les failles en sécurité des produits
Microsoft pour frapper, c'est bien grâce à Windows et à
sa messagerie Outlook Express que ces "vers" se propagent rapidement et
parviennent à saboter nos machines.
Deux types de virus ont sévi en cette fin de siècle:
Pièces jointes et les scripts cachés.
La prévention passe par l'éducation des utilisateurs du
courrier électronique:
Vigilance sur les fichiers joints reçus et du texte brut pour
le mail sont deux règles de base très efficaces.
Remarque: Le mail n'est pas le seul vecteur de virus sur l'Internet.
Par sa nature même de réseau sous protocole TCP/IP. Une simple
connexion à l'internet, sans avoir même installé le
courrier électronique peut ouvrir la porte de votre machine à
un virus de réseau friand d'adresses IP, de répertoires partagés
aux noms trop standardisés. Pour éviter ces vers là:
en réseau, ne pas partager de répertoire sans mot de passe,
et surtout ne pas partager c:\ tout entier.
"MES DOCUMENTS, WINDOWS" et bien d'autres, sont des noms de répertoire
connus des virus, il est donc sage de placer ses données dans un
dossier autre que le classique "Mes documents". C'est là que Magister
et Sircam trouvent des documents personnels à contaminer et envoyer
en pièces jointes à vos correspondants. C'est par un c: partagé
en écriture que Bymer se clone à travers le réseau
TCP/IP en un faux winini.exe du dossier c:\windows\system des ses victimes.
L'installation de Windows dans un répertoire autre que Windows
sécurise aussi pas mal les choses et peut empêcher l'incrustation
d'un ver de réseau dans le système d'exploitation.
Outlook Express et même Windows sont à éviter pour
l'usage du courrier électronique.
L'utilsation d' un Web Mail permet de visualiser les entêtes
des mails et d'éliminer les courriers douteux sans avoir à
les télécharger intégralement comme le fait Outlook..
Mozilla Thunderbird est une excellente alternative à Outlook
Express, multiplate-formes, très sécurisée et
gratuite.
Le Système Linux reste à ce jour insensible aux virus
en circulation. C'est une excellente alternative gratuite et sécurisée
à Windows, Linux a atteint actuellement une ergonnomie très
satisfaisante il est fourni avec de monbreux logiciels: Suite bureautique
OpenOffice, Lecteurs et codecs Multimédia, outils divers qui en
font un système très complet , parfaitement sécurisé.
Malgré le coût et les risques encourus, plus de 90% des
utilisateurs continuent à payer et à utiliser les produits
mal sécurisés et instables de la société Microsoft.
Ceci explique la prolifération des virus et l'avalanche quotidienne
de mails vérolés dans nos boîtes à lettres electroniques.
La durée de vie d'un machine sous Windows XP sur l'internet
est d'environ 30 secondes si elle n'est pas protégée par
un antivirus et un pare-feu.
Actuellement, plus en plus de pays (Chine, Japon, Corée), Villes,
Administrations, Entreprises et Etablissements optent pour des solutions
Linux et Logiciels Libres.
[Intro] [Pièces
jointes] [Scripts cachés] [Canulars]
Virus en pièces jointes
Le virus arrive le plus souvent en tant que un fichier joint à un
mail. Son extension montre que c'est un programme exécutable(.exe
.vbs .com .pif .bat .scr ...). Elle est souvent doublée: .doc.exe
car dans la configuration d'origine de windows, ces extensions sont malheureusement
cachées donc invisibles et la victime ne voit que .doc, il faut
réactiver
tous les affichages pour pouvoir vérifier les suffixes des noms
de fichiers des pièces jointes.
Le virus arrive en pièce jointe avec un mail souvent vide ou
contenant des messages robotisés ne ressemblant pas du tout aux
habitudes de correspondance l'expéditeur qui est en général
connu. La plupart des virus masquent l'adresse de la machine émettrice
et la ramplacent par une adresse bidon, ce qui empêche d'alerter
l'expéditeur du virus sur l'état de sa machine.
Les messages du mail invitent parfois à double-cliquer sur la
pièce jointe. Les habitudes des utilisateurs de windows aussi. C'est
exactement qu'il ne faut pas faire.
Il faut détruire ce genre de courrier. Si l'on est curieux,
on peut par exemple changer le .vbs du fameux I LOVE YOU en .txt et ouvrir
la bête avec le bloc note pour voir ses entrailles:
On peut sans l'ouvrir, "enregister sous" la pièce jointe pour
un examen utltérieur par un antivirus ou une personne compétante,
pour désamorcer la bombe: changer toute extension du nom de fichier
en .txt
Prévention: Vigilance et protection
Ce genre de virus est facilement détectable par l'utilisateur, cela
sent le colis piégé.
Les concepteurs savent toutefois jouer sur les faiblesses de la nature
humaine et les messages qui invitent à cliquer ont convaincu beaucoup
de personnes dans le cas de I LOVE YOU.
La vigilance de l'utilisateur averti suffit en général
à prévenir ce genre d'attaque grossière. Son jugement
face à un tel mail est plus pertinent que le diagnostic d'un antivirus
pourtant souvent payé assez cher.
En septembre 2001 de nouvelles stratégies, visant à endormir
la victime sont utilisées:
L'expéditeur du mail est connu et la pièce jointe est
mêlée et cachée dans des documents extraits du répertoire
"Mes documents" de la machine émettrice, on peut avoir l'impression
d'un courrier tout à fait normal voire habituel.
Antivirus client:
AntVir PE est un
antivirus gratuit et efficace. Cependant, lors de la réception d'une
pièce jointe vérolée la majorité des logiciels
antivirus ne réagit même pas. Il est donc nécessaire
d'enregistrer "sous" la pièce jointe sans l'ouvrir, pour pouvoir
ensuite la scanner avec un antivirus.
La mise à jour hebdomadaire des antivirus est indispensable
pour une réelle protection.
Antivirus serveur:
Certains fournisseurs d'accès et certains seveurs de webmail sont
sécurisés par un antivirus installé et mis à
jour régulièrement sur leur serveur. C'est le cas de Club-internet
et des web mails de certaines Académies. Quand on reçoit
30 fois les 150 Ko de Sircam tous les jours, on apprécie ce service
qui réduit le fichier vérolé à 0 Ko et qui
vous renseigne sur le virus rencontré.
Contamination:
Si, par un geste malheureux de l'utilisateur recevant le mail, le fichier
joint est exécuté (le double click est fatal), le ver modifie
des fichiers du système Windows de façon à démarrer
à chaque session (infection), il utilise le mail et votre carnet
d'adresse pour s'auto envoyer à vos contacts électroniques
(reproduction et propagation). Il peut produire des animations, des messages
parasites (symptômes visuels) des erreurs diverses du système
, la destruction de données et parfois même de la carte mére
(sabotage).
Très souvent vos mots de passe et données personnelles
sont expédiés sur le net (espionnage) plus rarement recueillis
et réutilisés (piratage). Une fois activés certains
de ces virus sont capables de se propager sur un réseau.
Que faire en cas de contamination ?
La simple réception n'est pas contaminante, supprimez ce mail.
Si le ver a été exécuté il est activé:
Repérer le nom du ver par son nom de pièce jointe (mais
un farceur peut le changer, il peut varier...).
A partir du nom, on trouve de l'info et des antidotes sur Internet
en passant par des moteurs de recherche ou des sites antiviraux. Si l'on
a été l'un des premiers à double cliquer sur un ver
tout neuf, il faudra attendre quelques jours pour que des antidotes manuels
et logiciels soient produits et mis en ligne.
Ne pas hésiter à utiliser plusieurs antidotes.
On trouve des antidotes ici, avec de l'info virale actualisée:
secuser.com
Service d'information sur les virus, antidotes et canulars, scanner antiviral
gratuit, en ligne
Au pire des cas, on peut être amené à supprimer
les partitions atteintes pour éviter toute rechute.
Penser à avertir les personnes présentes dans votre carnet
d'adresse (sans les contaminer bien sûr, avec une machine saine...)
[Intro] [Pièces
jointes] [Scripts cachés] [Canulars]
Scripts cachés
Le virus caché: le mail existe au format texte brut et au format
html, plus riche mais peu sécurisé.
Certains vers sont des scripts (programme activeX pour Kak, VisualBasic
ou JavaScript pour d'autres) cachés dans le code source d'un mail
au format .html. On peut considérer ces virus comme étant
des macro virus spécialistes du mail avec Outlook.
Leur détection par l'utilisateur moyen est difficile et le script
n'a pas besoin de double click pour s'exécuter, il suffit d'une
simple prévisualisation dans la boîte de réception
de Outllok Express. Ces vers là sont redoutables car très
bien dissimulés lors de la transmission et très vite activés
lors de la réception.
Ces scripts utilisent les failles en sécurité de Outlook
Express et de Windows:
le ver modifie des fichiers du système Windows de façon
à démarrer à chaque session (infection), il utilise
le mail pour se cacher dans le source de tous vos courriers au format .html
(reproduction et propagation).
Il produit des animations, des messages parasites (symptômes
visuels) des erreurs diverses du système et la destruction de données
(sabotage).
Très souvent vos mots de passe et données personnelles
sont expédiés sur le net (espionnage) plus rarement recueillis
et réutilisés (piratage) au détriment de toute confidentialité.
Prévention des scripts cachés : bannir .html pour le mail
-
Ne pas utiliser le format .html pour le mail à l'envoi :o(Outlook
est sur html par défaut)o:
-
Utiliser des logiciels de messagerie en texte brut à la réception
:o(Outlook laisse par défaut entrer le format html
-
Certains fournisseurs d'accès et certains seveurs de webmail sont
sécurisés par un antivirus installé et mis à
jour sur leur serveur. C'est le cas de Club-internet et des web mails de
certaines Académies. Les courriers arrivent nettoyés et un
information vous est adressée en cas de courrier vérolé.
-
Se protéger avec un antivirus.
-
Les mises à jour en sécurité disponibles sur le site
de Microsoft Windows Update sont à télécharger impérativement
si vous utilisez Windows et Outlook Express 5.
En cas de réception d'un fichier .html, il est toujours possible
en prenant répondre, d'en afficher le fichier source pour vérifier
de visu la présence éventuelle d'un script pernicieux. Mais
avec ce genre de ver, c'est souvent déjà trop tard, il s'agit
alors d'une auscultation manuelle des mails à fin de traitement.
Symptômes d'infection:
-
Tentatives de connexion du modem (avec un routeur, il ne demande même
pas l'autorisation)
-
Débit important des octets envoyés lors d'une connexion.
-
Raccourcis douteux dans la menu démarrage, inscriptions dans la
base de registre et dans divers fichiers de configuration de Windows, fichiers
système modifiés, substitués.
-
Scripts viraux rajoutés dans le source des mails envoyés
au format html.
-
Messages et animations explicites.
-
Bugs (plus que d'habitude) et perte de données...
Que faire en cas de contamination ?
Repérer le script dans le code source d'un mail pour l'identifier.
Des liens trahissant la présence et le nom du ver sont parfois
ajoutés dans le menu démarrer.
Une fois le script du ver identifié par son nom (Kak par exemple),
on trouve de l'info et des antidotes sur Internet en passant par des moteurs
de recherche ou des sites antiviraux. Si l'on a été aux premières
lignes d'une contamination par un ver nouveau, il faudra attendre quelques
jours pour que des antidotes manuels et logiciels soient produits et mis
en ligne.
Penser à vider la messagerie de tous les mails contaminés
archivés en les auscultant manuellement. Ne pas hésiter à
utiliser plusieurs antidotes.
On trouve des antidotes ici, avec de l'info virale actualisée:
secuser.com Service
d'information sur les virus, antidotes et canulars, scanner antiviral gratuit,
en ligne:
Penser à avertir les personnes présentes dans votre carnet
d'adresse, sans les contaminer bien sûr ,avec du texte brut...
[Intro] [Pièces
jointes] [Scripts cachés] [Canulars]
Les canulars
Les canulars sont des rumeurs (Hoaxes en anglais) qui circulent par mail
et qui sont des fausses alertes au virus ou des histoires à dormir
debout. Ces mails prétendent annoncer la découverte d'un
virus nouveau très très dangereux et vous demandent d'alerter
à votre tour le maximum de personnes par mail en transmettant le
texte de la rumeur , ils affirment en général que l'alerte
émane ou est confirmée par IBM AOL Microsoft etc...
Ces rumeurs engorgent le mail et perturbent la vigilance antivirale
des utilisateurs, elles permettent en plus à certains d'étudier
leur propagation à des fins de prospection diverses.
La rumeur qui tue:
Un bel exemple de rumeur tuante: en septembre 2001 une personne m'ayant
contacté par mail tout à fait normalement m'envoie quelques
jours plus tard un mail pour m'avertir qu'elle m'avait peut être
contaminé d'un virus et qu'il fallait que je vérifie si SULFNBK.EXE
ne se cachait pas dans windows/command, auquel cas, il suffisait de le
supprimer. En cherchant de l'info sur le net, j'ai vite découvert
que ce fichier est indispensable au bon fonctionnement de windows et qu'une
rumeur circulait, incitant à le supprimer...
Mon correspondant avait été vecteur et victime d'un canulard
grossier de très mauvais goût, capable de se diffuser par
une "mail rumeur" et ayant des conséquences destructrices.
Ensuite à ce canular, mon correspondant a reçu et transmis
en s'excusant un soit disant fichier de ramplacement qui n'était
autre que le virus Blaster renommé SULFNBK.EXE...
Les rumeurs sont dénoncées sur les sites Antiviraux (mot
clé: Hoaxes) elles sont repérées par des noms comme
les virus, il est conseillé de consulter l'info sur le net avant
d'alerter toute la planète ou avant de flinguer soi-même son
système d'exploitation.
[Intro] [Pièces
jointes] [Scripts cachés] [Canulars]
[Retour]
au sommaire