************************************************

* Info-Virus – Pour bien vivre sur GenIdF      *

************************************************

 

1/ Définition :

Les virus tels que vous les redoutez aujourd’hui sont dans presque tous les cas des vers (en anlais Worm), c’est à dire des pièces jointes attachées à un message.

 

Il en existe d’autres sortes, tels que ceux que l’on trouve dans les macros de word ou excel, ou ceux qui s’attaquent aux secteurs d’amorce de votre disque dur. Je n’en parlerai pas plus sur cette page, ils sont de moins en moins fréquents, c’était la génération d’hier.

 

2/ Propagation :

Tout d'abord, il faut bien comprendre, contrairement à ce qui est souvent dit, que les courriers auquels sont attachés des pièces jointes infectées ne sont pas transportés par la liste GenIdF.

 

En effet, celle ci, comme beaucoup d’autres listes Yahoogroupes n’autorisent pas les pièces jointes qu’elle supprime, ôtant donc toute possibilité d'infection directe PAR le groupe.


Ce qui se passe en fait, c'est que les virus utilisent carnet d'adresse et messages stockés dans le logiciel de messagerie. Ils répondent donc à la place de la personne infectée à des messages venant du groupe. Avant de dire c'est un message du groupe, il faut en vérifier la provenance ;


3/Défense

Pour se tenir au courant, il y a des forums de discussion spécialisés, tels que :

news:alt.comp.anti-virus
news:alt.comp.virus
news:alt.comp.virus.binaries
news:alt.comp.virus.source.code
news:fr.comp.securite.virus
news:symantec.support.win95.nortonantivirus.general
news:worldnet.virus.commentaires
etc...

Plus les sites des éditeurs de logiciels en anglais :

www.symantec.com
www.macafee.com

Mais n’oubliez pas que le meilleur des anti-virus ne pourra rien pour vous si vos définitions de virus ne sont pas régulièrement remises à jour par téléchargement. Elles sont publiées tous les 7 à 15 jours.

 

Plus la page info-virus de Rolland Telle construite pour GenNPdC :

http://rtelle.free.fr/virus

 

Ou encore le site d’information en français :

http://www.secuser.com


Et pour les faux virus et vrai intox :

www.hoaxbuster.com

Et ne pas oublier :

www.microsoft.com
ou le grand Bill reconnait qu'il y a des failles de sécurité dans
Internet Explorer ou Outlook Express....


Si vous êtes sur un mac ou sous linux? La problématique est encore différente et je n'ai pas de réponses...

Vous pouvez toujours chercher la solution vous-même avec un moteur de recherches comme http://www.google.com

 


4.1/ L’attaque de Badtrans en décembre 2001 :

Pour ce qui est du cas de Badtrans, cela fait longtemps qu'il existe.
La forme actuelle est hyper-active car il suffit d'avoir un simple
appercu du message infecté pour être à son tour contaminé. Je m'y suis
laissé prendre.


-Une parade: Au lieu de se servir de Outlook express qui est en grande partie le fautif, il faut aller lire en ligne les messages, et supprimer tout ce qui comporte des pièces jointes non conforme. On apprend vite à les reconnaitre: La pièce jointe de Badtrans fait 39 ou 40 Ko.


-Une autre parade : Téléchargez Internet explorer 6, qui n’est pas sensible à Badtrans.

http://www.microsoft.com/windows/ie/downloads/ie6/default.asp

De plus, il faut faire un tour sur les pages de Microsoft, car il y a un
patch (correctif d’une erreur dans IE6) du 13 novembre pour protéger les cookies de votre machine d'une intrusion:

http://www.microsoft.com/windows/ie/downloads/critical/default.asp

 

Personnellement, je préfère la première méthode, elle est universelle, quoique couteuse en connexions, alors que dans le second cas, il faut se dire que les créateurs de virus sont déjà en train de chercher une nouvelle faille de sécurité dans internet explorer 6, et qu’ils l’ont peut être déjà trouvé.

 

4.2/ Pour détecter Badtrans :

Avec l'explorateur: se positionner sur Windows, frapper kernel32.exe, ne  pas oublier de cocher la case parcourir les sous répertoires, cliquer sur rechercher. Si vous trouvez ce fichier, vous êtes infecté ! Attention, il ne faut pas confondre avec kernel32.dll qui lui est un vrai fichier de Windows.


4.3/ Pour l’éradiquer :

Redémarrer l'ordi sous DOS
frapper: cd Windows
frapper: cd system
frapper: del kernel32.exe
frapper: del kdll.dll
frapper: CP_25389.NLS
Puis, redémarrer l'ordi, Ca devrait suffire

 

 

 

 

Amicalement,

 

Yves Vergez – Nogent sur Marne F94 – le 10/12/2001