Article traduit par Guillaume Bernadat

TITRE "Virus" informatiques (2 de 2)

Article nº Créé le : Modifié le :

02822 02/05/88 13/08/98

SUJET

Cet article (secondes et dernière partie) continue de traiter des virus, des moyens de les détecter et de les éradiquer.

NdT : La liste de virus donnée ici ne se veut pas exhaustive, elle est cependant relativement à jour, puisqu'elle mentionne AutoStart, récemment découvert.

COMMENTAIRES

Suite de "Virus" informatiques (1 de 2)

Les Virus Connus

Virus Hong Kong (également connu sous le nom de Virus AutoStart, ou ver AutoStart)

Ce virus peut affecter un ordinateur avec des symptômes qui font penser à une panne de disque dur ou de carte mère. Testez l'ordinateur après avoir démarré depuis un CD-ROM (un CD-ROM ne peut pas être corrompu par un virus)(NdGG : en fait, si, si le CD-ROM a été gravé à l'origine avec le virus…). Si l'ordinateur fonctionne normalement, exécutez une application antivirus récente capable de détecter et de détruire ce virus. De nombreux utilitaires du domaine public sont disponibles pour mener à bien cette tâche.

NdT : L'auteur de l'article n'a pas cru bon de les mentionner ici. Citons cependant à tout hasard, et entre autres, WormScanner et Agax qui savent repérer et éradiquer ce virus. miniRival le détectera, et la version complète l'éradiquera. Disinfectant n'est pas à jour pour ce virus, et ne le sera sans doute jamais, étant donné qu'il n'est plus supporté.

Lorsque je lis des pistes audio sur des CD-ROM au format enhanced CD (CD Plus, ou CD+), la musique s'arrête lorsque j'accède à d'autres applications depuis le Finder, ou est impossible à lire. Le problème ne se pose pas avec les CD audio exclusifs.

Ces symptômes se manifestent également lors de la lecture de CD-ROM audio qui ne sont pas au format multissesion Enhanced CD si le virus Hong Kong, encore appelé ver Autostart, a infecté les volumes de l'ordinateur.

Parmi les symptômes :

• Plantages intermittents,
• Corruption répétée de données sur les disques,
• Corruption de gros fichiers,
• Redémarrage du système à l'insertion d'une disquette,
• La lecture des pistes audio sur les CD-ROM au format enhanced CD (CD Plus ou CD+) s'interrompt lorsque j'accède à d'autres applications depuis le Finder, ou sont impossibles à lire. Le problème ne se pose pas avec les CD audio exclusifs.

Une manière rapide de détecter le virus, si vous disposez du système 7.5 ou ultérieur, consiste à choisir Rechercher depuis le menu Fichier du Finder, et de suivre ces étapes :

1. Pressez et maintenez la touche Option,
2. Cliquez sur "nom", et choisissez "Visibilité" dans le menu local,
3. Cliquez sur "Plus de critères",
4. Cliquez sur "contient", et choisissez "ne contient pas" dans le menu local,
5. Tapez "icon" dans le champ correspondant,
6. Cliquez sur "Plus de critères",
7. Cliquez sur "la taille" et choisissez "le type de fichier" dans le menu local,
8. Dans le champ associé, entrez les types de fichier listés ci-dessous (par exemple APPL ou appe),
9. Cliquez sur Rechercher.

Cherchez des fichiers invisibles portant ces noms :

• DB (fichier de type APPL) [à ne pas confondre abec Desktop DB]
• Desktop Print Spooler (fichier de type appe) [à ne pas confondre avec Desktop Printer Spooler]
• BD (fichier de type APPL) [présent dans une forme mutée du virus]

Attention, ne perdez pas de vue que le virus peut "muter" lors de sa réplication, et changer le nom des fichiers cachés.

Le virus contamine tous les disques accessibles en écriture insérés dans un ordinateur infecté, et est activé par la fonctionnalité AutoPlay de QuickTime. Décocher la case "Lecture automatique des CD-ROM" dans le tableau de bord Réglages QuickTime devrait empêcher le virus de se répandre à d'autres disques accessibles en écriture, à dafaut d'éradiquer le virus. Lorsqu'il es activé, il crée une extension invisible permettant au virus de contaminer d'autres disques. Le virus s'attelle lentement à corrompre les données des fichiers de votre disque dur, en détruisant éventuellement les fichiers. Les ordinateurs à base de 680x0 ne sont pas infectés, puisque le code du virus est pour PowerPC.

Pour plus d'informations, consultez cet URL : "http://www.macintouch.com/hkvirus.php" (en Américain).

Le virus Scores

Vous pouvez être à peu près sûr(e) que votre système a été infecté par le virus Scores si les icônes de vos Fichier Calepin et Fichier Album ressemblent à des icônes génériques de documents au lieu des icônes système habituelles. Lancez ResEdit, et regardez dans votre Dossier Système. Si vous voyez des fichiers appelés "Desktop" ou "Scores", vous pouvez être sûr(e) à 99% que votre système est infecté par le virus Scores.

Mode de contamination et symptômes de Scores

Le virus Scores est relativement peu virulent. L'infection initiale est dûe à une application dont la ressource CODE d'ID 0 a été modifiée, et une ressource CODE supplémentaire (d'ID 1+le premier ID libre). Lorsque l'application "porteuse" est lancée, la ressource CODE d'ID 0 appelle le code d'installation du virus. Ce code cherche une éventuelle souche existante du virus Scores. Si le virus n'est pas déjà présent, ses fichiers sont installés. Le virus se constitue de trois ressources INIT, une ressource atpl, et une DATA répertoriés dans la liste ci-dessous :

Fichier	Type	Créateur	Ressources	Taille
Desktop (invisible)	INIT	FNDR	atpl: ID = 128 DATA: ID = -4001 INIT: ID = 10	2410 octets 7026 octets 1020 octets
Fichier Calepin	INIT	ZSYS	INIT: ID = 6	772 octets
Scores (invisible)	RDEV	ZSYS	atpl: ID = 128 DATA: ID = -4001 INIT: ID = 10	2410 octets 7026 octets 1020 octets
Fichier Album	RDEV	ZSYS	INIT: ID = 6 INIT: ID = 17	772 octets 480 octets
Fichier System	ZSYS	MACS	atpl: ID = 128 DATA: ID = -4001 INIT: ID = 6 INIT: ID = 10 INIT: ID = 17	2410 octets 7026 octets 772 octets 1020 octets 480 octets

Si les Fichier Calepin et Fichier Album n'existent pas, ils sont crées. S'ils existent, leurs type et créateur sont remplacés par ceux indiqués ci-dessus, et les ressources correspondantes sont ajoutées au fichiers. Les fichiers continuent de fonctionner normalement avec les accessoires de bureau Calepin et Album, mais leur icônes deviennent des icônes génériques de document. Les fichiers Desktop et Scores sont invisibles et sont créés durant la phase d'infection.

La fois suivante que le système infecté est redémarré, les INITs sont chargés en mémoire, et se tiennent prêts à infecter d'autres applications. Ces INITs lancent une tâche VBL qui modifie et installe des ressources dans une application. Une fois qu'une application a été lancée, une minuterie interne est déclenchée, et entre deux et trois minutes plus tard, l'application ouverte est infectée et devient un porteur. Une nouvelle ressource CODE est ajoutée à l'application infectée, et la ressource CODE d'ID 0 est modifiée de façon à lancer cette nouvelle ressource CODE en priorité, avant de lancer l'application.

Afin de déterminer si une application est infectée, examinez la ressource CODE d'ID 0. Si le onzième mot de la ressource (troisième mot de la troisième ligne dans le listing présenté par ResEdit) n'est pas "°0001", l'application est suspecte. Le cas échéant, convertissez cette valeur autre que "0001" en base décimale (le chiffre est en effet affiché en base hexadécimale). Déterminez alors le numéro de la ressource CODE au sommet de la liste de ressources présentée par ResEdit. Si ces nombres sont les mêmes, alors l'application est probablement infectée, et devrait être remplacée. Certaines applications semblent être infectées même si elles ne le sont en réalité pas. Si le onzième mot de la ressource CODE d'ID 0 n'est pas 1, vérifiez le dixième mot. Si c'est '4EED', l'application n'est alors vraisemblablement pas infectée.

Comment se débarrasser du virus Scores

Il n'est pas très difficile de se débarrasser du virus sur un système, mais cela risque de prendre un certain temps. Effectuez les opérations ci-dessous :

1. Utilisez Font/DA Mover pour copier toutes les polices et les accessoires de bureau dans des valises de polices et des valises d'accessoires de bureau (le virus ne sait pas contaminer des accessoires de bureau).
2. Lancez le système depuis une disquette saine protégée en écriture.
3. Jetez le Dossier Système du disque infecté.
4. Utilisez RedEdit pour identifier toutes les applications suspectes sur le disque infecté.
5. Jetez toutes les applications suspectes à la corbeille, et videz-là.
6. Réinstallez le logiciel système depuis un disque d'installation réputé sain.
7. En utilisant des disques originaux verrouillés en écriture, recopiez toutes les applications qui ont été supprimées du disque infecté (il est important de vérifier que ces disques originaux n'ont pas été contaminés).
8. C'est terminé.

NdT : La transposition de cette procédure à des systèmes récents donnerait quelque chose comme :

1. Effectuez une sauvegarde comme si vous vous apprêtiez à effectuer une "clean-install" du logiciel système (consultez à cet effet l'article ¥¥¥ dans TIL FR).
2. Lancez le système depuis une disquette/un CD-ROM sain(e) protégé(e) en écriture.
3. Jetez le Dossier système du disque infecté.
4. Utilisez ResEdit pour identifier toutes les applications suspectes sur le disque infecté.
5. Jetez toutes les applications suspectes à la corbeille, et videz-là.
6. Réinstallez le logiciel système depuis un disque d'installation réputé sain.
7. En utilisant des disques originaux verrouillés en écriture, recopiez toutes les applications qui ont été supprimées du disque infecté (il est important de vérifier que ces disques originaux n'ont pas été contaminés).
8. C'est terminé.

Le virus nVIR

Mode de contamination et symptômes de nVIR

Le virus nVIR est similaire au virus Scores par de nombreux aspects. Il ne semble pas être armé de mauvaises intentions, et est relativement peu virulent. L'infection initiale d'un système est aussi dûe à une application dont la ressource CODE d'ID 0 a été modifiée. Quand une application porteuse de nVIR est lancée, le segment de code du virus est exécuté en premier. Ce code vérifie la présence de ses INITs dans le fichier System, et s'il ne les trouve pas, les y copie. Avec les ressources INIT, huit ressources 'nVIR' (0-7) sont ajoutées au fichier System.

La fois suivante que le système est redémarré, l'INIT d'ID 32 est chargée en mémoire, et tente d'infecter toutes les applications qui sont lancéess. Le virus nVir ajoute une ressource CODE d'ID 256, et modifie la ressource CODE d'ID 0 de façons que le code de nVIR soit exécuté en priorité.

Une fois encore, l'état d'une application (infectée ou saine) peut être déterminé en examinant la ressource CODE d'ID 0. Si le onzième mot de la ressource (troisième mot de la troisième ligne dans le listing présenté par ResEdit) n'est pas "°0001", l'application est suspecte. Le cas échéant, convertissez cette valeur autre que "0001" en base décimale (le chiffre est en effet affiché en base hexadécimale). Déterminez alors le numéro de la ressource CODE au sommet de la liste de ressources présentée par ResEdit. Si ces nombres sont les mêmes, alors l'application est probablement infectée, et devrait être remplacée. Certaines applications semblent être infectées même si elles ne le sont en réalité pas. Si le onzième mot de la ressource CODE d'ID 0 n'est pas 1, vérifiez le dixième mot. Si c'est '4EED', l'application n'est alors vraisemblablement pas infectée. Sinon, le dixième mot contiendrait normalement '3F3C'.

Lorsque vous lancez une application infectée, vous avez une chance sur 16 d'entendre un court bip système. On nous a raconté que si MacinTalk était installé, on entendait les mots "don't panic".

Comment se débarrasser du virus nVIR ?

Eradiquez le virus nVIR de la même manière que pour le virus Scores, hormis le fait qu'il est inutile de jeter le Dossier Système tout entier. Il vous suffit de jeter le fichier System.

Le Virus MacMag

Nous n'avons que peu d'informations au sujet du virus MacMag. Il semble avoir été diffusé sur CompuServe, dans une pile HyperCard, sous la forme d'une XCMD, et installe un INIT d'ID 6 nommé 'RR'. Son seul objectif est d'afficher un "message universel de paix" sur votre ordinateur le 2 mars 1988. Le virus s'autodétruit une fois qu'il a affiché ce essage, et ne devrait plus tellement poser de problèmes de nos jours.

Sauvegarder Vos Systèmes

Ce qui rend notre système vulnérable aux virus

Les différents mécanismes décrits dans la partie 2 de cet article facilitent l'infiltration de notre système par un virus. Souvenez-vous que ce sont ces mêmes mécanismes qui confèrent de la flexibilité et un "look and feel" unique au Macintosh. Par exemple, le mécanisme des INIT est utilisé par des systèmes de messagerie pour charger leur code. AppleShare tire aussi partie de ce mécanisme pour monter des volumes réseau pendant le démarrage.

Pourquoi Vaccine fonctionne dans ces cas-là, mais reste facile à contourner

Vaccine, un INIT du domaine public écrit pour arrêter les virus, effectue correctement son travail d'alerte lorsqu'un des trois virus connus essaie d'infecter votre système. (NdT : ce nombre peut être porté à une vingtaine actuellement, sans compter les MacroVirus qui infectent les documents Microsoft Word, par exemple.) Le problème avec Vaccine est qu'une fois qu'un traitement est trouvé pour un virus donné, une nouvelle souche résistante peut apparaître.

Quelques suggestions

• Verrouillez toujours vos disques d'installations originaux. Ceci évite qu'un virus ne contamine ces disques. Notre mécanisme de protection des disques est matériel, et impossible à contourner pour un virus.
• Protégez vos réseaux : les administrateurs réseau ne devraient pas permettre à n'importe qui de mettre des logiciels sur un serveur. Ces applications ne devraient provenir que d'un disque original réputé sain.
• Prenez garde aux logiciels du domaine public. Ces logiciels devraient toujours être contrôlés attentivement depuis un système sur disquettes avant d'être copiés sur un disque dur. Ceci vous protégera également de tous les "Chevaux de Troie" genre "Sexy Ladies".
• Mettez en quarantaine les systèmes infectés. Si vous arrivez à la conclusion qu'un système est infecté, isolez le immédiatement des autres systèmes. Ceci signifie le déconnecter de tous les réseaux, et ne permettre à personne d'échanger des fichiers avec ce système. Une fois que le système a été désinfecté, vous pouvez alors autoriser à nouveau la copie de fichiers depuis ce système.
• Utilisez ResEdit. ResEdit est un excellent outil pour chasser le virus sur vos disques. Il y a peu de choses qu'on peut cacher à ResEdit, et vous pourrez l'utiliser pour vous débarrasser des fichiers et ressources problématiques.

Astuce de Guillaume Bernadat

Le Macintosh est loin d'être la plateforme sur laquelle les virus posent le plus de problèmes. Cependant, voici quelques outils qui vous permettront d'en finir avec ce genre de bêbêtes plutôt encombrantes : miniRival (gratuit mais qui se contente de signaler les problèmes) et Rival (commercial, mais qui possède en plus des fonctions d'éradication), disponibles chez Intego Disinfectant (gratuit), de John Norstad, capable de détecter et d'éradiquer tous les "anciens" virus, mais inefficace sur les documents Word et sur les virus récents. Peut être trouvé sur Info-Mac. Agax (anciennement Anti-Gax), à l'origine conçu pour éradiquer le virus Graphics Accelerator (Gax), il est devenu extensible par l'ajout de modules, et sait désormais détecter d'autrs virus. Gratuit. WormScanner, conçu pour éradiquer le ver Autostart. Norton Antivirus, encore appelé NAV (produit commercial, anciennement Symantec Antivirus for Macintosh - SAM). etc.