s1
we
 

* Les Antivirus
* Les Anti-Spywares
* Les Parefeux
* Les Spywares
* Les Virus

------------------------------------------------

* Photo Album

Antivirus

C'est quoi un Antivirus ? Comment ca fonctionne ?

Definition d'un antivirus:

Utilitaire capable de rechercher et d'eliminer les virus informatiques et autres malwares. La detection se fait selon deux principes : une analyse par signatures qui permet de detecter avec d'excellents resultats les virus connus pour peu que les definitions de virus soient regulierement mises a jour, ou une analyse heuristique qui permet de detecter avec des resultats variables les virus inconnus a partir de leur logique de programmation et le cas echeant de leur comportement a l'execution. Les antivirus fonctionnent eux-memes selon deux principes : un scanner qui permet a l'utilisateur de lancer une analyse d'un disque ou d'un fichier lorsqu'il le souhaite ("on demand"), ou un moniteur qui surveille le systeme en temps reel ("on access") et empeche l'utilisateur d'ouvrir un fichier infecte. La plupart des antivirus comporte un scanner et un moniteur, mais il existe des produits analysant seulement "a la demande" (ex. : antivirus en ligne) voire ne disposant que d'un moniteur (ex. : antivirus generiques).

Analisez votre ordinateur en ligne gratuitement:

> Kaspersky

> Trend Micro scan en ligne d'antivirus

> Bitdefender

> Windows Live OneCare

> Pour le bon fonctionnement, il vous faut installer l'activeX propose:

Pour un comparatif antivirus voyez le site av-comparatives (en anglais).

La menace etant croissante, les solutions antispywares sont de plus en plus nombreuses. Nous avons choisi dans cet article de nous attarder sur les logiciels qui proposent une fonction d'analyse (scanneur). Les trois gratuits Ad-Aware, Spybot Search&Destroy et Microsoft Antispyware font partie de la liste a laquelle nous avons ajoute quatre payants que l'on peut acheter sans difficulte en France : SpySweeper, Pest Patrol, McAfee Antispyware et Effaceur 8.

Afin de verifier la pertinence de chacune de ces solutions, nous avons utilise plusieurs logiciels qui contiennent des variantes differentes de spyware : le fameux Kazaa, mais aussi des logiciels completement infestes de spywares dont on taira le nom par prudence. L'utilisation croisee de chacun des antispywares permet d'identifier quels sont ceux qui se comportent le mieux. Il est par contre completement impossible de comparer les antispywares en se basant sur le nombre de spywares detectes tant leur maniere d'effectuer un decompte est differente. Pest Patrol identifie par exemple comme spyware tout fichier stocke dans le repertoire d'installation d'un logiciel contenant un spyware. Tous les fichiers provenant de l'installation de Kazaa (y compris les images .bmp ou les fichiers textes) sont comptabilises comme spyware et chaque element est affiche comme ayant la meme importance dans l'interface. Les antispywares nomment aussi parfois les spywares differemment ce qui complique la comparaison.

Ordinateur clavier chaines lockedEn connaissant mieux le fonctionnement et les objectifs des spywares, il est plus simple de les eviter et de s'en debarrasser. Autant nous aurions tendance a conseiller une reinstallation complete dans le cas d'une infection virale (nous avons tous tente de supprimer un virus pendant une demi-journee pour nous rendre compte qu'il etait plus rapide de reinstaller sa machine), autant la suppression des spywares est chose faisable avec les bons outils, un peu de rigueur et de la patience.

On peut deja conclure qu'il n'existe aucun antispyware « ultime ». Notre preference va a Spysweeper qui possede la meilleure base de definitions, une interface claire et detaillee et des outils de nettoyage interessants, mais il n'est helas pas suffisant seul pour eliminer completement la menace. Spybot et Microsoft Antispyware, nos deux gratuits preferes nous semblent indispensables et tout a fait complementaires a Spysweeper. Ad-Aware, pourtant precurseur est lui en retrait face aux deux autres gratuits. McAfee Antispyware et Effaceur 8, pourtant payant, sont insuffisants pour lutter efficacement contre les spywares. Pour terminer, Pest Patrol n'est clairement pas utilisable.

On ne comprend vraiment pas pourquoi aucun des logiciels ne propose la creation d'un CD autobootable de nettoyage qui eviterait le probleme des spywares residents. Pas un des logiciels de ce guide n'a en effet ete capable de se debarrasser des spywares les plus acharnes (type « elitebar »). Un dernier conseil pour terminer. Pour eviter les spywares, preferez les logiciels commerciaux ou Open Source qui en sont exempts et lorsque vous installez un logiciel gratuit (freeware), preferez les editeurs qui mentionnent explicitement que leur logiciel ne contient pas de spyware, le mensonge est assez rare sur la question. priere de supprimer les spywares avant meme leur installation sur le disque dur. On se rapproche a ce niveau du fonctionnement d'un classique antivirus.

Pourquoi un Antivirus ?

Pour Securiser les ordinateurs et preserver l'integrite des donnees d'un ordinateur, qui peuvent etre d'une importance enorme (par exemple, la base de donnees d'une banque ne doit sous aucun pretexte etre modifiee par un virus...)

Aspects techniques des Antivirus:

Les Antivirus rivalisent souvent d'ingeniosite pour combattre les virus. Cependant ces derniers trouvent souvent la parade. Nous allons parler ici des differentes techniques utilisees par les Antivirus pour combattre leur raison de vivre.

Principales techniques de recherche virus:

Nous presenterons quatre techniques majoritairement utilisees par les Antivirus pour localiser les virus. Il s'agit du scanning, du moniteur de comportement, du controleur d'integrite et de la recherche heuristique. Brievement presente, le scanneur recherche dans tous les fichiers ou en RAM un code specifique qui est cense indiquer la presence d'un virus. Le moniteur de comportement surveille les actions habituellement menees par les virus, les controleurs d'integrite signalent les changements intervenus dans les fichiers et enfin la recherche heuristique recherche des instructions generalement utilisees par les virus.

Recherche de la signature:

On nomme ca aussi scanning. C'est la methode la plus ancienne et la plus utilisee. Son avantage est qu'elle permet de detecter les virus avant leur execution en memoire. Son principe est de rechercher sur le disque dur toute chaine de caracteres identifiee comme appartenant a un virus. Cependant comme chaque virus a sa propre signature, il faut, pour le detecter avec un scanneur que le concepteur de Antivirus ait deja ete confronte au virus en question et l'ait integre a une base de donnees. Un scanneur n'est donc pas en mesure de detecter les nouveaux virus ou les virus polymorphes (car ceci changent de signature a chaque replication.) Cette methode est a la fois la plus simple a programmer mais aussi la plus longue a mettre en ?uvre car elle n'est utile que si elle recense tous les virus existant. Cela represente une somme de travail considerable et est quasiment impossible a realiser. C'est pour ca que les concepteurs Antivirus proposent des mises a jour de la base de donnee tous les mois sur leur site WEB, c'est le seul moyen pour le scanneur de detecter les nouveaux virus.

Utilisation d'un controleur d'integrite:

Schematiquement, un controleur d'integrite va construire un fichier contenant les noms de tous les fichiers presents sur le disque dur auxquels sont associes quelques caracteristiques. Ces dernieres peuvent prendre en compte la taille, la date et l'heure de la derniere modification ou encore un checksum (somme de controle)Un CRC (code de redondance cyclique), ou un algorithme de checksum avec un systeme de chiffrement proprietaire pourra detecter toute modification ou alteration des fichiers en recalculant le checksum a chaque demarrage de l'ordinateur(si Antivirus n'est pas resident), ou des qu'un fichier executable est ouvert par un programme (si Antivirus est resident); en effet si le checksum d'un programme avant et apres son execution est different, c'est qu'un virus a modifie le fichier en question, l'utilisateur en est donc informe. D'autre part Antivirus peut aussi stocker la date et la taille de chaque fichier executable dans une base de donnees, et tester les modifications eventuelles au cours du temps. Il est en effet rare de modifier la taille ou la date d'un fichier executable. La parade pour les virus est de sauvegarder la date du fichier avant la modification et de la retablir apres.

Moniteur de comportement:

Les moniteurs de comportement ont pour role d'observer l'ordinateur a la recherche de toute activite de type virale, et dans ce cas de prevenir l’utilisateur.Typiquement, un moniteur de comportement est un programme resident que l'utilisateur charge a partir du fichier AUTOEXEC.BAT. et qui reste actif en arriere plan, surveillant tout comportement inhabituel. Que va faire le zouave ? Description d’attaque virale. Les tentatives d'ouverture en lecture/ecriture des fichiers executables. Les tentatives d'ecriture sur les secteurs de partitions et de demarrage. Les tentatives pour devenir resident.

Demarche heuristique:

Fondamentalement, l'analyse heuristique concerne la recherche de code correspondant a des fonctions virales. Elle est differente dans son principe, d’un moniteur de comportement qui surveille des programmes ayant une action de type virale. L’analyse heuristique est comme le scanning, passive. Elle considere le code comme une simple donnee, et n'autorise jamais son jamais son execution.
Un analyseur heuristique va donc rechercher du code dont l'action est suspecte s'il vient a etre execute.L'analyse heuristique permet par exemple, pour les virus polymorphes de chercher une routine de dechiffrement. en effet une routine de dechiffrement consiste a parcourir le code pour ensuite la modifier. Ainsi lors de l'analyse heuristique, Antivirus essaie de rechercher non pas des sequences fixes d'instructions specifiques au virus mais un type d'instruction present sous quelque forme que ce soit. Pour en revenir a notre exemple de virus polymorphes, Antivirus cherche une suite d'instructions de lecture suivie d'une suite d'instruction d'ecriture. Cette methode est donc un peu plus intelligente que les autres : car elle vise a analyser les fonctions et instructions les plus souvent presentes et que l'on retrouve dans la majorite des virus. Cette methode permet ainsi, contrairement au scanning, de detecter des nouveaux virus dont la signature n'a pas ete ajoutee a la base de donnees.

Analyse spectrale:

Tout code genere automatiquement est suppose contenir des signes revelateurs du compilateur utilise. De meme, au contraire, il est impossible de retrouver dans un vrai programme executable compile certaines sequences de code. C’est grace a ce principe qu'entre en jeu l'analyse spectrale. Cette analyse vise a reperer les virus polymorphes qui sont indetectables autrement (leur signature changeant a chaque replication). En effet, lorsqu’un virus polymorphe crypte son code, la sequence en resultant contient certaines associations d'instructions que l'on ne trouve pas en temps normal ; c'est ce que va detecter l'analyse spectrale. Par exemple, si dans un programme executable, Antivirus trouve une instruction de lecture d'un octet au-dela de la taille limite de la memoire, on sera probablement en presence de code crypte, donc d'un virus polymorphe.

Techniques d'eradication de virus:

Une fois un virus detecte, que ce soit en memoire ou sur le disque dur, il reste a le supprimer. Une fonction primordiale des Antivirus est donc la suppression des virus. Leur but est de debarrasser l'utilisateur de ce programme malveillant. Mais il n'est pas si simple que l'on croit de les eradiquer et de recuperer le programme original. En effet cela est impossible dans le cas de virus avec recouvrement : ils detruisent une partie du programme sain lors de sa duplication. La seule solution est la destruction des fichiers infectes ou carrement le formatage du disque dur. Pour les autres, meme si ce n'est pas irrealisable, la tache est cependant tres ardue : il faut savoir tres precisement ou est localise, dans le fichier, le virus en question sachant qu'il peut etre compose de plusieurs parties, ensuite il faut le supprimer, et enfin aller chercher la partie du programme dont le virus avait pris la place et la restaurer. Toutes ces manipulations necessitent une connaissance parfaite du virus et de son mode d'action. Cette eradication se faisant par une recherche (du virus, de la partie deplacee), toutes les caracteristiques des differents virus doivent etre repertoriees dans une base de donnee mise a jour pratiquement quotidiennement

Source: Dataz magazine