|
F5PBG > PROTEC 21.07.04 17:22l 501 Lines 18781 Bytes #999 (0) @ FRANCA
BID : 30612-F5PBG
Read: GUEST
Subj: [FAQ] Les Virus et les Messages
Path: ON0AR<ON0AR<7M3TJZ<F6CDD<F5PBG
Sent: 040721/1453Z 30612@F5PBG.#31.FMLR.FRA.EU [96149] FBB7.01.35 alpha
From: F5PBG@F5PBG.#31.FMLR.FRA.EU
To : PROTEC@FRANCA
Message 133/2004 :
<<
WWW-Archive-Name: <http://www.usenet-fr.net/fur/comp/virus.html>
<<
SOMMAIRE
Pr‚face
1.Les alertes aux virus : les Hoax !
2.Les virus dans un message en HTML
3.Les virus dans les entˆtes
4.Les Virus dans les piŠces jointes
a- Afficher les extensions
b- Modifier les actions par d‚faut
c- Et aprŠs ?
Annexes : happy99 et kak
URL sur les macro sur MacOS
Un message (que ce soit d'ailleurs dans le courrier ou dans les
forums) peut v‚hiculer des virus.
Il est pourtant facile de ne pas ˆtre infect‚ mˆme avec les plus
m‚chants en faisant simplement attention … ce que l'on fait.
Un virus est avant tout un ensemble de commandes agissant sur votre
systŠme d'exploitation et/ou sur certains de vos programmes. Il faut
pour qu'il agisse que ces commandes, d'une maniŠre ou d'une autre
arrivent sur votre ordinateur et s'ex‚cutent.
Ces commandes arrivent de quatre maniŠres :
- Sous forme d'un alerte … diffuser !
- Dans un message en HTML sous forme d'un script int‚gr‚.
- Dans les entˆtes d'un message, le champ Date, plus exactement.
- Dans un fichier joint au message.
Reste l'ex‚cution pour que le virus fasse son ouvrage .....
1. Les alertes aux virus : les Hoax !
Bien souvent le virus en question est l'alarme elle-mˆme. En effet,
certain de bien faire, vous allez diffuser cette information… tout
votre carnet d'adresse et dans tous les forums que vous lisez, mˆme
ceux que vous ne lisez pas tant qu'… faire.
Et tout le monde fait la mˆme chose !
L… est une source r‚elle de pollution des boŒtes aux lettres et des
forums.
Alors raisonnez-vous, r‚fl‚chissez et ne jouez pas le jeu des
nuisibles qui lancent ces rumeurs appel‚es aussi ® Hoax ¯.
· ce propos, on peut lire les sites et taper dans leur moteur de
recherche le nom du virus ou un extrait caract‚ristique du message
d'alerte :
<URL:http://www.hoaxbuster.com/>
<URL:http://www.symantec.com/avcenter/hoax.html>
2. Les virus dans un message en HTML
Ce n'est pas le HTML en lui-mˆme qui est dangereux : il n'y aucune
balise HTML qui soit nocive. Par contre, un fichier HTML peut contenir
des bouts de code Java, JavaScript ou Visual Basic Script.
Quand ils sont interpr‚t‚s par un logiciel permettant de visualiser le
HTML, ils peuvent s'ex‚cuter et l… tout peut arriver.
Vous ne courrez aucun danger si votre logiciel de courrier
‚lectronique (et donc par analogie les logiciels de lecture des
forums) ne permet pas de visualiser le HTML.
Pour ceux qui peuvent le faire, il faut s'assurer qu'ils ne peuvent
interpr‚ter ce qui est dangereux.
Un logiciel bien con‡u doit :
soit ne pas pouvoir interpr‚ter les scripts dans un message en
HTML soit avoir une configuration d'origine ne le permettant pas
(laissant ainsi l'utilisateur averti modifier la configuration).
H‚las, ce n'est pas le cas pour tous et il y a donc deux cat‚gories de
logiciels : les bons et les ® programm‚s et configur‚s avec les pieds ¯.
Vous devez maintenant v‚rifier si vous ˆtes prot‚g‚ contre ce type de
virus.
1er Cas : Vous utilisez un logiciel ne permettant pas du tout visualiser
un message en HTML. Vous ne voyez soit que le code source en
mode texte soit rien du tout !
Vous ne risquez rien … ouvrir message en HTML !
C'est le cas par exemple de Kaufman Warrior.
2Šme Cas : Votre logiciel permet de voir la partie texte du message avec
une piŠce jointe en HTML (ce qui vous permet de l'ouvrir avec
votre navigateur Web).
Exemple : Becky! si vous n'avez pas MSIE.
3Šme Cas : Ceux pouvant visualiser le HTML mais qui ne peuvent
interpr‚ter les scripts.
Notons que pour les deux derniers, le logiciel peut modifier … la
r‚ception la partie HTML (que ce soit en piŠce jointe ou en le
visualisant directement) afin de rendre le script inex‚cutable. Cela
‚vite en cas de transfert du courrier … une autre personne d'envoyer
un message avec un virus (cas de Becky!) !
4Šme Cas : Les logiciels visualisant le HTML et interpr‚tant les scripts
(ce sont en g‚n‚ral ceux permettant d'‚crire des messages en
HTML, c'est-…-dire ayant un ‚diteur HTML).
Ce sont des logiciels dangereux car il n'y a aucune raison de
recevoir des scripts dans un courrier. Ils sont d'autant plus mal
faits et dangereux s'ils ne permettent pas de d‚sactiver
l'interpr‚tation des scripts et si la configuration d'origine
l'active.
Les *pires* dans ce domaine sont Outlook Express et Netscape
Communicator : ils peuvent interpr‚ter les scripts et cette
possibilit‚ est activ‚e d'origine !
Pour Netscape Communicator
- Aller dans le menu "dition" puis "Pr‚f‚rences" et/ou (selon
les versions) "Avanc‚es".
- D‚cochez : "Activer java" et "Activer javascript pour les
courriers et le forum".
Attention ce n'est pas possible pour certaines anciennes
versions. Dans ce cas, faŒtes une mise … jour ou changez de
logiciel !
Pour Outlook Express, c'est plus compliqu‚ :
Il faut changer la zone de s‚curit‚ c'est-…-dire en choisir une
('zone des sites sensibles' par exemple) dans Outlook Express puis
la configurer dans Internet Explorer en d‚sactivant *tout*. (Pour
la proc‚dure d‚taill‚e, voir la ® [FAQ] Outlook Express et les News ¯
publi‚e en version texte est sur <news:fr.usenet.logiciels> et
<news:fr.usenet.reponses>.
(La version HTML de ce document est disponible … l'adresse :
<http://UsenetFR.free.fr/faqoe.htm#VirusHTML>.)
3. Les virus dans les entˆtes
Les entˆtes d'un message contiennent des lignes comme :
From: "Toto" <toto@titi.cmo
To: <tata@titi.cmo>
Date: Tue, 25 Jul 2000 18:00:26 +0200
Subject: Les virus et les messages
Message-ID: <002301b$86f8cf20$32a053d4@titi.cmo>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Quand votre logiciel va chercher un message sur un serveur, il "lit"
certaines lignes d'entˆtes (c'est comme cela qu'on peut filtrer au
chargement) ce qui revient … ex‚cuter la commande correspondant …
l'entˆte lue.
En r‚alit‚, il met le contenu d'une ligne en m‚moire (dans un
"buffer") puis ex‚cute ce qui correspond … ce qu'il lit dans ce
buffer. Ensuite, il continue en traitant ce qui se trouve aprŠs de ce
qu'il vient de mettre dans le buffer.
Exemple :
Il "lit" la premiŠre ligne et le buffer contient :
® From: "Toto" <toto@titi.cmo> ¯.
Ensuite, il va mettre dans le buffer ce qui suit cette chaŒne
de caractŠres c'est … dire :
® To: <tata@titi.cmo> ¯.
Et ainsi de suite.
Si la taille du buffer est trop limit‚e et la longueur de la ligne
trop grande, il ne pourra contenir toute la ligne et … la lecture
suivant, il contiendra le reste de la ligne. Et ce reste sera alors
interpr‚t‚ par le logiciel comme une commande … ex‚cuter. Et si ce
reste est une commande nocive (donc un virus), vous voil… infect‚ !
Logiquement ce type de d‚bordement du buffer (on dit ® buffer-overflow
¯) ne doit pas arriver : c'est un bug du logiciel.
Exemple :
From: "Toto" <toto@titi.cmo>
To: <tata@titi.cmo>
Date: Tue, 25 Jul 2000 18:00:26 +0200 blablabla ... on_fait_remplissage
<commandes_pour_charger_un_fichier_depuis_le_web_et_lexecuter>
Subject: Les virus et les messages
Message-ID: <002301b$86f8cf20$32a053d4@titi.cmo>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Le logiciel bugg‚ va lire une partie du champ Date puis ensuite, il va
lire la suite de cette ligne et; hop, il tombe sur une commande nocive
qu'il va ex‚cuter.
Ce bug arrive. Actuellement seules certaines versions d'Outlook
Express semble avoir ce bug sur le champ Date.
Il n'existe … ce jour, aucun AntiVirus capable de d‚tecter dans
un message lors du t‚l‚chargement, un virus "BufferOverflow" dans
les entˆtes. Un patch existe
(http://www.microsoft.com/windows/ie/download/critical/patch9.htm)
mais il ne fonctionne pas pour toutes les versions, ni pour tous
les systŠmes d'exploitation.
Outlook Express ne peut pas non plus filtrer sur la longueur du
champ Date, seul le serveur peut le faire.
En r‚sum‚ :
Le virus arrive avec un message.
Il s'ex‚cute automatiquement lors du t‚l‚chargement.
L'utilisateur de Outlook Express n'a aucun moyen sur d'‚viter ce
virus.
La seule protection est de ne plus utiliser Outlook Express en
dessous de la version 5.5 !
· ce propos, on peut lire les sites :
<http://www.microsoft.com/technet/security/bulletin/fq00-043.asp>
<http://www.securityfocus.com/templates/article.html?id=61>
4. Les Virus dans les piŠces jointes
Ce virus va s'activer dŠs que l'on va l'ex‚cuter. Il ne faut donc
*JAMAIS* ex‚cuter un piŠce jointe sans savoir avec certitude son
contenu. Quelque soit le systŠme d'exploitation, on fait des actions
sur un fichier en fonction de son extension. Ainsi un fichier avec
l'extension :
- .txt sera ouvert par un ‚diteur de texte
- .zip par un d‚compresseur
- .exe sera ex‚cut‚ etc.
a- Afficher les extensions
L'extension est donc importante. Elle est toujours visible sauf
sous Windows !
Il est configur‚ d'origine pour masquer les extensions des fichiers
connus. Ainsi quand un fichier s'appelle ® titi.txt.vbs ¯, seule la
derniŠre extension sera prise pour une extension et masqu‚e …
l'affichage faisant croire … un fichier texte. Si un logiciel de
courrier prend cette information dans la base des registres, cela
peut ˆtre ..... ® gˆnant ¯.
Il faut donc absolument modifier la configuration de Windows :
- Cliquez sur ®D‚marrer¯, aller … "ParamŠtres"
ou
- Lancer l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...".
Dans la fenˆtre qui s'affiche,
- aller … l'onglet "Affichage"
- d‚cocher "Masquer l'extension des fichiers dont le type est
connu".
Quels sont les types de fichiers dangereux ?
Ce sont ceux que vous *ne connaissez pas* et certains connus
pour pouvoir contenir des virus tels que :
- .exe, .com, .bat
- .js (javascript), .vbs (Visual Basic Script), .ps (postscript)
- .reg, .doc, .dot, xls, ppt
b- Modifier les actions par d‚faut
ConnaŒtre l'extension est une bonne chose, encore faut-il ne pas
faire la mauvaise action sur un fichier par distraction ! Si vous
‚ditez un ex‚cutable, il ne vous arrivera rien mais voil… Windows
permet d'associer une extension … des actions pr‚d‚finies (on les a
en cliquant … droite sur le fichier) dont une par d‚faut (en gras
dans le menu contextuel).
Le plus souvent c'est : "Ouvrir" c'est … dire ® ex‚cuter un
logiciel d‚termin‚ avec le fichier en argument ¯.
Pour un fichier *.txt, cela voudra dire le lire avec le
bloc-note. Pour un fichier en *.doc, cela sera avec Wordpad ou
Word. les gif seront vus dans Internet Explorer etc..
Pour des scripts .VBS ou .JS (qui peuvent contenir des commandes
trŠs dangereuses), l'action par d‚faut est "Ouvrir" qui, ex‚cute
le script si le logiciel WScript (ou un autre) est install‚
(d'office sur Win98) :
Autrement dit, en cliquant sur un fichier ayant son extension
masqu‚e et dont le nom qui s'affiche est titi.txt (mais ayant
comme nom complet titi.txt.vbs), le script s'ex‚cute et on
comprend comment les gens se font avoir !
Pour ‚viter cela, ils vous faut contr“ler ces associations.
- Cliquez sur ®D‚marrer¯, aller … "ParamŠtres"
ou
- Lancez l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...".
Dans la fenˆtre qui s'affiche,
- Allez … l'onglet "Types des fichiers"
- S‚lectionnez le type de fichier que vous voulez modifier.
- Cliquez sur ®Modifier...¯. Dans la fenˆtre qui s'ouvre :
+ Cochez : "Permettre l'aper‡u rapide"
"Toujours afficher l'extension"
"Confirmer l'ouverture" (*)
+ Modifiez les "Actions" par d‚faut des fichiers pouvant
contenir des virus (Ainsi en cliquant sur ces fichiers,
vous n'obtiendrez que l'ouverture d'un ‚diteur de texte !
® .vbs ¯ et ® .js ¯ :
L'action par d‚faut est l'ex‚cution par WHScript.
S‚lectionner "Modifier" et cliquer sur ®Par d‚faut¯
® .reg ¯,
L'action par d‚faut est "Fusionner"
(inscription dans la base des registres !)
S‚lectionner "dition" et cliquer sur ®Par d‚faut¯
(*) sert … avoir une boŒte de dialogue dans des logiciels de
courrier reprenant les informations contenus dans la base des
registres. Outlook Express s'en sert et avertit d'un possible
danger et donnant le choix entre enregistrer la PJ ou faire
l'action par d‚faut. Elle est d'origine coch‚e mais si on
d‚coche une seule fois ® montrer cette avertissement … chaque
fois ¯, l'option se retrouve d‚coch‚e dans la bdr aussi !
® Ouvrir ¯ est un faux-ami, surtout quand on croit avoir … faire
… un fichier texte ! Il est donc vivement conseill‚ de changer
l'intitul‚. Ainsi pour les ® .js ¯ et ® .vbs ¯, renommer "Ouvrir"
par "Ex‚cuter le script" peut ‚viter bien des confusions.
Pour modifier le nom d'une commande dans le menu contextuel,
reprenez la proc‚dure d‚crite ci-dessus et :
S‚lectionner le nom de la commande … renommer dans
la fenˆtre "Actions" et cliquez sur ®Modifier...¯
Dans la fenˆtre "Modification de l'action pour le type : ..." :
Faire un ® copier ¯ de la commande "Application utilis‚e"
puis cliquer sur ®Annuler¯.
Cliquez sur ®Nouveau...¯. La fenˆtre "Nouvelle action" s'ouvre.
Dans "Action" mettre :
® &NomQueVousVoulezAvoir ¯ (par exemple
® &Ex‚cution d'un script VBS ¯).
Dans "Application utilis‚e pour faire l'action" faire un
® coller ¯ de la commande pr‚c‚demment copi‚e.
Cliquez sur ®OK¯.
Assurez-vous que votre nouvelle action est bien pr‚sente avec les
autres, s‚lectionnez de nouveau l'action "Ouvrir" et supprimez-la.
La nouvelle action est d‚sormais pr‚sente au menu contextuel de ce
type de fichier avec un raccourci (lettre soulign‚e dans le mot,
celle qui suivait le ® & ¯ dans le nom de l'action).
Attention il est INDISPENSABLE d'afficher les extensions pour ˆtre
sur de ne pas se faire avoir car il est impossible de modifier les
actions d'un ® .exe ¯ ou ® .com ¯ qui peuvent eux aussi s'appeler
titi.txt.exe !
(accessoirement, la proc‚dure ci-dessus vous permet de cr‚er toutes
les actions que vous voulez ou d'associer des types de fichiers aux
logiciels que vous voulez)
c- Et AprŠs ?
Certaines associations sont d‚termin‚es d'origine mais elles peuvent
changer … chaque installation d'un nouveau logiciel !
En effet beaucoup de logiciels ® veulent tirer la couverture ¯ … eux
en s'attribuant d'office une ou plusieurs extensions sans demander
l'avis de l'utilisateur et ne se gŠnent pas pour faire des
inscriptions dans la base des registres pour modifier les
associations!
On peut alors se retrouver dans des situations embˆtantes quand
deux logiciels diff‚rents d‚finissent la mˆme extension
(Exemple : les scripts de Hamster sont en *.hsc et sont des
fichiers textes. En installant HelpSCribble, les *.hsc sont
automatiquement attribu‚s … ce logiciel).
Voire mˆme dans des situations dangereuses : si un logiciel
possŠde un interpr‚teur d'un quelconque langage de script,
vous pouvez vous retrouver (alors que vous pensez ˆtre …
l'abri) avec un interpr‚teur par d‚faut qui se lancera
dŠs que vous cliquerez sur un type de fichier.
Il vous faut donc aller jeter un coup d'oeil … vos associations de
fichiers … *chaque* installation de nouveaux logiciels pour ‚vitez
les mauvaises surprises.
Enfin, si vous voulez tester votre systŠme, vous pouvez le faire
avec les exemples de scripts ‚crits en Visual Basic et Javascript
dans ® c:\windows\samples\wsh ¯ ou faire un ® copi‚/coll‚ ¯ des
deux scripts (ne faisant que rajouter sur le bureau un raccourci
vers le bloc-note) ci-dessous dans un ‚diteur de texte en les
enregistrant respectivement avec un ® nom.js ¯ et un ® nom.vbs ¯.
Puis vous vous envoyez en piŠce jointe ces fichiers par exemple.
Recopiez ce qu'il y a ci-desous dans un fichier avec une
extension ® js ¯.
var WSHShell = WScript.CreateObject("WScript.Shell");
var DesktopPath = WSHShell.SpecialFolders("Desktop");
var MyShortcut = WSHShell.CreateShortcut(DesktopPath +
"\\Raccourci vers le Bloc-notes ajout‚ par un script JS.lnk");
MyShortcut.TargetPath =
WSHShell.ExpandEnvironmentStrings("%windir%\\notepad.exe");
MyShortcut.WorkingDirectory =
WSHShell.ExpandEnvironmentStrings("%windir%");
MyShortcut.WindowStyle = 4;
MyShortcut.IconLocation =
WSHShell.ExpandEnvironmentStrings("%windir%\\notepad.exe, 0");
MyShortcut.Save();
WScript.Echo("Un script en JS vient d'ˆtre ex‚cut‚ et vous avez
maintenant un raccourci vers le Bloc-notes pr‚sent sur votre Bureau.");
Recopiez ce qu'il y a ci-desous dans un fichier avec une
extension ® vbs ¯.
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim MyShortcut, MyDesktop, DesktopPath
DesktopPath = WSHShell.SpecialFolders("Desktop")
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath &
"\Raccourci vers le Bloc-notes ajout‚ par un script VBS.lnk")
MyShortcut.TargetPath =
WSHShell.ExpandEnvironmentStrings("%windir%\notepad.exe")
MyShortcut.WorkingDirectory =
WSHShell.ExpandEnvironmentStrings("%windir%")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation =
WSHShell.ExpandEnvironmentStrings("%windir%\notepad.exe, 0")
MyShortcut.Save
WScript.Echo "Un script en VBS vient d'ˆtre ex‚cut‚ et vous avez
maintenant un raccourci vers le Bloc-notes pr‚sent sur votre Bureau."
>>
Interessant, non ..? Mais a lire calmement... ;)
73's de Ludovic - F5PBG
Read previous mail | Read next mail
| |