FAQ du groupe fr.comp.securite.virus Partie 2/2 La version la plus à jour de ce document est trouvable ici : Une version HTML regroupant les deux parties de la FAQ se trouve ici : Cette seconde partie contient les paragraphes 6 à 10: Comment réagir face à une suspicion d'infection, Identifier et éliminer la menace, Annexes, Conclusion. ------------------------------------------------------------------------ Auteur : Hélène Michaud Dernière mise à jour : 17/10/2006 Contenu de la mise à jour : - Purge du paragraphe 7 des références à des virus préhistoriques. - Ajout de la méthode générique d'identification, parlant de HijackThis. (§7.3) - Correction ou suppression de divers liens périmés un peu partout mais surtout dans les annexes. Si des liens utiles venaient à manquer suite à cette purge, me les communiquer. ------------------------------------------------------------------------ Les modifications apportées depuis la version précédente sont signalées d'un "|" dans la marge. Sommaire - Partie 2/2 --------------------- 6 - On me signale que j'envoie des mails infectés par un virus 6.1 - Ce qu'il faut faire | 6.2 - C'est un ver de messagerie et mon antivirus ne le trouve pas ! |7 - C'est un virus ? 7.1 - Mon firewall a bloqué... | 7.2 - Mon ordinateur agit bizarrement | 7.3 - Le problème persiste ! 7.4 - J'ai le nom du fichier infecté, c'est quel virus ? 8 - Mon antivirus a trouvé un virus/"trojan"/spyware sur mon disque dur, comment m'en débarrasser ? 8.1 - Pas de panique ! 8.2 - Je dois réinstaller Windows ? Formater ? 8.3 - Je connais une solution infaillible : le fdisk /mbr 8.4 - Le virus est dans ma messagerie 8.5 - Le virus est dans "RESTORE" 8.6 - Il est dans une archive (zip) | 8.7 - C'est un "trojan" ou un ver | 8.8 - C'est un "spyware" 8.9 - Eicar 8.10 - Bloodhound 9 - Annexes |9.1 - Quelques logiciels antivirus gratuits |9.2 - Scanners en ligne 9.3 - Où envoyer un fichier douteux ? 9.4 - Quelques sites d'éditeurs d'antivirus 9.5 - Sites divers 9.6 - Les listes de canulars 9.7 - Outils de désinfection 9.8 - WindowsUpdate 9.9 - Remerciements 10 - Conclusion -+-+-+-+-+-+-+- 6 - On me signale que j'envoie des mails infectés par un virus --------------------------------------------------------------- 6.1 - Ce qu'il faut faire La seule chose à faire dans un tel cas est de s'assurer qu'un antivirus à jour est présent sur votre ordinateur, et lui faire scanner votre disque dur, afin de vérifier que l'alerte est fondée, d'une part, et d'identifier l'intrus avec certitude, nom et variante, d'autre part. Une fois le virus identifié, vous pourrez vous reporter au §8. Les instructions de désinfection simplement copiées/collées, sans lien vers un site web source sérieux, ou les "utilitaires" de désinfection en pièce jointe sont à considérer avec méfiance. Il vaut mieux risquer de vexer légèrement un ami de bonne foi, mais qui a rédigé un message d'alerte maladroit, que d'être victime d'un virus, d'un canular ou d'un mauvais plaisant. | 6.2 - C'est un ver de messagerie et mon antivirus ne le trouve pas ! Votre antivirus est bien à jour, fonctionne normalement mais ne trouve pas ce fameux virus que votre correspondant signale avoir reçu de votre part ? Il est possible que vous ne soyez effectivement pas infecté. En effet, certains virus falsifient l'expéditeur des mails qu'ils envoient ("spoofing"), afin d'empêcher justement que l'on puisse retrouver facilement leur victime pour la prévenir. Sauf exception, ce n'est donc pas l'ordinateur de la personne qui semble avoir envoyé le mail (dont l'adresse e-mail se trouve dans le champ "from" ou dans le "return-path") qui est infecté, mais bien un autre. Allez jeter un oeil à la description du virus sur quelques sites spécialisés, peut-être cette particularité y est-elle mentionnée. Si elle l'est, tout va bien. | Exemples courants : La plupart des vers de messagerie récents sont | capables d'usurper l'adresse e-mail d'un innocent. |7 - C'est un virus ? -------------------- Certains virus provoquent sur les machines infectées des effets visibles et caractéristiques. Face à un ordinateur présentant ces | symptômes, vous êtes donc en droit d'accuser un virus, même s'il est | prudent de confirmer ce diagnostic à l'aide d'un antivirus pour savoir | de quoi il retourne. Reportez-vous ensuite au §8, vous y trouverez des conseils pour l'éradiquer. 7.1 - Mon firewall a bloqué... Votre firewall vient de vous signaler avoir bloqué une tentative de connexion. Parfait, c'est son travail. Mais cela ne veut pas forcément dire que vous êtes infecté. - Votre firewall a empêché à tort la connexion du programme que vous vouliez utiliser. Il ne s'agit pas d'un virus, mais d'un problème dans sa configuration, ce qui sort du cadre de cette FAQ et du forum . Jetez un oeil à son manuel et reposez votre question sur le forum approprié : . - Votre firewall a bloqué une tentative de connexion venant de l'extérieur. Cela ne signifie pas que vous êtes infecté, juste qu'un ordinateur mal configuré ou infecté, ou peut-être un pirate en herbe, a tenté d'engager un dialogue avec votre ordinateur pour | une raison ou une autre, et se l'est vu refuser. Tout va bien, | votre firewall fait simplement son travail. - Votre firewall a empêché un programme qui vous est inconnu, ou qui vous est connu mais qui n'avait à ce moment-là aucune raison de le faire, d'accéder à Internet. Il est temps de faire appel à un antivirus, un antitroyen et/ou un antispyware, pour en avoir le coeur net. Si l'un de ces programmes identifie le programme comme étant un malware, reportez-vous au §8 pour voir comment vous en débarrasser. Le mieux est encore d'apprendre à mieux connaître votre firewall, sa configuration et la signification des messages qu'il affiche, en lisant la documentation qui lui est associée, et en consultant le forum sur lequel les discussions concernant les firewalls sont en thème, et plus particulièrement le message "[FAQ] fr.comp.securite : Les Firewalls" de Stéphane Catteau qui y est posté régulièrement. 7.2 - Mon ordinateur agit bizarrement | Votre ordinateur a des réactions anormales, vous pensez à un virus. | Commencez par éliminer un éventuel problème matériel ou logiciel : Si votre ordinateur ne démarre pas, fonctionne mal, ou émet des | sons incongrus (bips, parfois même la Lettre à Elise...), vérifiez | qu'il ne s'agit pas d'un problème matériel : carte mère qui | surchauffe et déclenche une alerte sonore, choc ayant fait bouger un | composant, barrette mémoire ou processeur ayant rendu l'âme, parfois | même souris encrassée ou hors d'usage... Il est également possible qu'il s'agisse d'un problème logiciel : programme, OS ou driver endommagé, fausse manip lors de la configuration... Si vous entendez des sons étranges et que vous êtes sûr de votre matériel, vérifiez donc quels sont les programmes lancés, et si ils associent des sons à des actions (une petite musique pour vous signaler l'arrivée d'un message, par exemple). Certaines des publicités affichées par les sites web comportent maintenant un accompagnement sonore. | 7.3 - Le problème persiste ! | Si vous pouvez accéder sans problème à Windows ou démarrer en mode | DOS, utilisez un antivirus (au besoin un antivirus DOS tel F-Prot | ou un scanner en ligne) muni des dernières définitions de virus | pour scanner votre disque dur, c'est plus efficace et plus rapide | que les devinettes. | L'antivirus n'a rien trouvé, mais il y a manifestement un problème | tel qu'un changement de la page de démarrage de votre navigateur | internet, que vous ne pouvez pas rétablir, ou l'affichage de | messages publicitaires anormaux ? Ce type d'attaque est devenu très | répandu, on parle souvent de "hijacker", ou "pirate de navigateur", | et il y en a tellement que parfois les antivirus ne peuvent pas | suivre ou fournir une version précise d'un problème. | Essayez de scanner votre système avec un antispyware, par exemple : | - Ad-aware : (anglais, français) | - Spybot : (français) | A mettre à jour après installation, et à lancer si possible en mode | sans échec. | Si ceci n'a toujours pas permis de détecter le problème, | téléchargez HijackThis, un utilitaire de diagnostic très pratique : | | Attention, ce programme n'identifiera rien lui-même, il se contente | d'établir une liste de tous les éléments lancés automatiquement par | votre système Windows par diverses méthodes, légitimes ou non. | C'est par l'analyse du fichier de log généré par le programme via | l'option "Do a system scan and save a logfile" que vous pourrez | déterminer quels composants sont à supprimer simplement en cochant | la ligne correspondante dans HijackThis et en cliquant sur "Fix | Checked". | Un tutoriel d'interprétation des logs HijackThis se trouve ici : | (anglais) | (français) | Vous pouvez faire analyser automatiquement le log ici (comme le | précise bien l'auteur, à vos risques et périls !) : | | Et bien sûr vous trouverez sur le forum des "spécialistes" habitués | au décryptage de logs HijackThis qui pourront vous aider en vous | expliquant ce qui est dangereux, douteux ou simplement inutile... | Voir aussi la FAQ HijackThis de Joke0 : | | Note : Ne m'envoyez pas vos logs HijackThis, je ne pourrai pas vous | aider plus que l'analyse automatique ! | 7.4 - J'ai le nom du fichier infecté, c'est quel virus ? Seul un antivirus à jour peut identifier un virus avec certitude. En effet, de nombreux virus génèrent aléatoirement des noms de fichier, ou utilisent des fichiers existants sur la machine | infectée, ou au nom très proche de fichiers ordinaires. Certains noms de fichiers peuvent être caractéristiques, mais il peut exister des fichiers inoffensifs avec le même nom, ou le fichier peut être la cible d'un second virus... Prudence, donc. 8 - J'ai un virus/"trojan"/spyware sur mon disque dur, comment m'en débarrasser ? ------------------------------------------------------------------- Ca y est, c'est sûr : votre antivirus ("anti-troyen", antispyware) vous signale la présence d'un intrus sur votre ordinateur. Que faire ? 8.1 - Pas de panique ! La première chose à faire, et la plus importante : GARDER SON CALME ! Si vous paniquez, si vous essayez de réparer en modifiant ou effaçant des choses sur votre ordinateur sans être sûr de ce que vous faites, vous risquez de causer plus de dégâts que le virus lui-même, ou de ne plus pouvoir récupérer vos données s'il était encore possible de le faire. Commencez par vous renseigner sur le virus détecté, sur le site de votre éditeur d'antivirus ou sur le forum, ou envoyez le fichier incriminé à un éditeur d'antivirus (voir le §9.3), afin d'éliminer tout risque de fausse alerte, surtout si vous venez juste de mettre votre antivirus à jour. N'oubliez pas qu'avoir un virus sur son disque dur et être infecté sont deux choses différentes, posez-vous quelques questions comme : Où est situé ce fameux virus? A t'il déjà été exécuté? Si il n'y a pas infection (vous n'avez pas ouvert le fichier infecté et il ne s'est pas lancé automatiquement en profitant d'une faille), effacer le fichier suspect suffit (n'oubliez pas de le supprimer de la corbeille ou d'éventuelles sauvegardes). Sinon, il existe sûrement une façon très simple de vous débarrasser de l'intrus. Si elle n'est pas donnée ici ni sur la page : , consultez les sites des éditeurs d'anti-virus, ou posez la question sur le forum : nous sommes là pour vous aider. Décrivez précisément le problème, en mentionnant votre système d'exploitation, le nom de votre antivirus, la date de dernière mise à jour des signatures, et bien sûr le nom complet du virus et l'endroit (ou les endroits) où il est détecté. 8.2 - Je dois réinstaller Windows ? Formater ? Non, ce n'est que très rarement nécessaire, la plupart des virus peuvent être supprimés de votre système très simplement et efficacement. Si vous formatez votre disque dur, vous perdrez toutes vos données non sauvegardées, et devrez réinstaller système d'exploitation et logiciels, puis les mettre à jour, ce qui prend du temps. Et parfois, le virus sera toujours là, ou reviendra tranquillement de la même façon que la première fois en cas d'exploitation d'une faille de sécurité non colmatée lors de la réinstallation. 8.3 - Je connais une solution infaillible : le fdisk /mbr Utiliser cette "astuce" est une mauvaise idée si on ne sait pas exactement ce qu'on fait, ni quel virus se trouve dans le "MBR", car elle peut mener à la perte de vos données. Le "MBR" est un petit secteur situé sur votre disque dur, qui contient un petit programme, et des informations sur vos partitions. La commande fdisk /mbr remplace le code du MBR et supprime donc effectivement un virus qui pourrait s'y trouver. Mais si le virus a auparavant crypté la table des partitions ou l'a déplacée vers un autre secteur, le code pour la décrypter ou la retrouver, qui fait partie du virus, disparaît avec lui. Donc le code "standard" créé par fdisk ne saura pas déchiffrer la table des partitions, et vous n'y aurez plus accès. Plus d'informations : 8.4 - Le virus est dans ma messagerie Si votre antivirus signale qu'un virus se trouve dans le fichier contenant vos messages, commencez par vous assurer que votre logiciel de messagerie est exempt de failles en regardant sur le site de l'éditeur si des correctifs de sécurité sont disponibles. Vous pouvez ensuite sans crainte sélectionner le message incriminé dans votre liste de messages, et le supprimer. Supprimez-le ensuite de la corbeille, puis compactez ou purgez les dossiers de votre logiciel de messagerie pour l'effacer totalement. Si votre antivirus vous empêche de toucher au message, même pour le supprimer, désactivez-le le temps d'effectuer l'opération. Si ni vous ni votre logiciel de messagerie n'exécutez le virus, il n'y a aucun risque. Jetez donc également un oeil au §5.7 pour apprendre à vous passer de la surveillance de votre messagerie et éviter ce problème à l'avenir, ou peut-être d'autres plus graves. 8.5 - Le virus est dans "RESTORE" Les systèmes d'exploitation Windows ME et XP effectuent des sauvegardes des fichiers système et de l'architecture des applications installées sur le disque, y compris les virus, dans ce fameux dossier RESTORE, qui est inaccessible. Les antivirus peuvent y détecter des virus, mais pas les désinfecter. Commencez par désactiver la fonction de restauration, puis supprimez le répertoire. Si vous le souhaitez, vous pourrez la réactiver de la même façon une fois l'ordinateur désinfecté. Attention, cette manipulation supprimera tous les points de sauvegarde ! Pour n'en supprimer que certains, reportez-vous à la documentation correspondante pour obtenir la marche à suivre. Pour Windows ME : allez dans le panneau de configuration, option "Système", puis "Performances", "Système de fichier", "Dépannage", et cliquez sur "Désactiver la restauration du système" ; ensuite, redémarrez en mode sans échec et supprimez le répertoire. Pour XP : Assurez-vous d'être connecté en tant qu'administrateur. Cliquez sur "Démarrer", puis effectuez un clic droit sur " Poste de travail", et choisissez "Propriétés". Sur l'onglet "Restauration du système", cochez la case "Désactiver la Restauration du système". Validez, et confirmez la désactivation. 8.6 - Il est dans une archive (zip) Un virus ne s'activant que lorsqu'il est exécuté, vous ne risquez rien, tant qu'il reste dans son archive. Vous pouvez tout simplement effacer le fichier. 8.7 - C'est un "trojan" ou un ver Si l'intrus est un ver "simple" ou un "trojan", il n'existe aucune version "saine" du fichier le contenant, il suffit donc de l'effacer. Si vous ne pouvez pas l'effacer parce que le fichier est utilisé par Windows, recherchez les modifications qui ont pu être apportées à votre système pour rendre son exécution automatique au démarrage de Windows, et supprimez-les, puis redémarrez votre ordinateur en mode ms-dos ou sans échec, et effacez le fichier. Les modifications apportées peuvent être de plusieurs sortes, autoexec.bat ou base de registre par exemple. Vous trouverez une liste de modifications possibles ici : Attention, n'effectuez aucune modification si vous n'êtes pas sûr de ce que vous faites ! | Vous pouvez également essayer HijackThis (voir le §7.3). Dans le cas d'un ver, il existe sûrement déjà des utilitaires de désinfection tout faits ou des instructions manuelles détaillées : allez donc jeter un oeil sur la description du virus sur un site spécialisé. 8.8 - C'est un "spyware" Utilisez un antispyware pour vous en débarrasser. Par exemple : - Ad-aware : (anglais, français) | - Spybot : (français) Attention, certains logiciels ne fonctionneront plus sans leur espion ! | Vous pouvez également essayer HijackThis (voir le §7.3). 8.9 - Eicar Eicar n'est pas un virus, mais un fichier-test utilisé pour vérifier que votre antivirus fonctionne. Il n'est pas dangereux, et le fait qu'il soit détecté est même plutôt bon signe ! Vous pouvez vous en débarrasser si vous le souhaitez en effaçant simplement le fichier. Plus de détails sur ce fichier test : En français : En anglais : 8.10 - Bloodhound Bloodhound est le nom du moteur heuristique de Norton Anti Virus. Lorsqu'il vous signale un virus "Bloodhound", cela veut dire qu'il pense avoir détecté un virus qui lui est inconnu. Il peut donc s'agir d'une fausse alerte comme d'un virus. Vérifiez que NAV est bien à jour. Si ça n'est pas le cas, procédez à la mise à jour et relancez le test, le nouveau fichier de signatures élimine peut-être la fausse alerte, ou identifie le virus si c'en est un. Si rien ne change, vous pouvez demander un second avis en utilisant un autre antivirus pour scanner le fichier suspect (n'oubliez pas de désactiver le moniteur de NAV le temps de l'analyse, ni de le réactiver après. Vous trouverez une liste d'éditeurs d'antivirus ou de scanners en ligne dans les annexes de ce document). Vous pouvez aussi envoyer le fichier à des éditeurs d'antivirus, pour analyse. 9 - Annexes ------------ Note : Les listes fournies ici ne sauraient, pour des raisons évidentes de temps, être exhaustives, et ne sont fournies qu'à titre d'exemple afin de vous faire gagner du temps en cas d'urgence. Il reste donc à votre charge d'effectuer vous-même les recherches nécessaires si vous souhaitez pouvoir choisir dans une liste plus complète. | 9.1 - Quelques logiciels antivirus gratuits Une liste de quelques antivirus gratuits (hors offres spéciales), en général pour une utilisation personnelle uniquement, et en anglais. Vérifiez les conditions précises sur le site du logiciel. | - AntiVir Personal Edition (Avira) : | (en anglais) | - Avast! Home Edition (ALWIL Software) : | Disponible en plusieurs langues dont le français. | (en anglais) | Nécessite de s'enregistrer avant utilisation : | (en français) | - AVG Free Edition (Grisoft) : | (en français) | - BitDefender Free Edition : (en français) | | - F-Prot (Frisk) : | Note : La version gratuite (version DOS) ne sait pas gérer les | partitions NTFS et n'est plus maintenue ! (en anglais) Mode d'emploi en français : | Vous trouverez au bas de cette page quelques liens utiles si vos | partitions sont en NTFS et que vous désirez utiliser F-Prot. | 9.2 - Scanners en ligne Note : Ces scanners nécessitent Internet Explorer autorisant les ActiveX et installeront quelques composants sur votre ordinateur. | BitDefender Free Online Virus Scan : (en français) | McAfee FreeScan : (en anglais) Panda ActiveScan : (en français) Symantec Security Check : (en français) Trend Micro : (en français) 9.3 - Où envoyer un fichier douteux ? Si vous avez un fichier qui vous semble douteux, mais que vous hésitez à croire le résultat obtenu en l'étudiant avec votre antivirus (fichier infecté non détecté, fausse alerte sur un fichier sain), vous pouvez le faire parvenir à un ou plusieurs éditeurs d'antivirus, qui l'analyseront pour vous. | Envoyez votre fichier au moins à l'éditeur de l'antivirus que vous | avez utilisé sur le fichier, et demandez au moins un second avis, | par prudence. Suivez les instructions particulières éventuelles. | Soumettre aux laboratoires (e-mail ou formulaires) : | ALWIL (AVAST!) : (zip avec le mot de passe "virus") BitDefender : CAI (IPE), Vet : | Eset (NOD32) : | (zip ou rar avec le mot de passe "infected") | Frisk (F-Prot) : F-Secure : Grisoft (AVG) : H+BEDV (AntiVir) : Kaspersky : NAI (McAfee) : Norman : Panda Software : Sophos : Symantec (Norton) : Trend Micro : En ligne (anglais uniquement) : AVERT WebImmune : Kaspersky (AVP) : 9.4 - Quelques sites d'éditeurs d'antivirus AVG (anglais, français) Computer Associates (anglais, français) F-Secure (anglais, français) KAV (anglais, français) McAfee VirusScan (anglais, français) NAV (anglais, français) NOD32 (anglais) Panda (anglais, français) Norman (anglais, français) Sophos (anglais, français) Trend Micro (anglais, français) 9.5 - Sites divers Les indispensables (en français) : Claymania : Secuser : Alertes, listes de virus (en anglais) : Le CERT : VirusList : WildList : La page des ressources de : Web-sécu (en français) : | FAQ virus (en français) : | La revue de la sécurité des systèmes d'information au CNRS : | Mozilla : Réglages importants de Windows et Outlook Express (en français) : Pourquoi il n'y a plus d'accueil ConfigSecu : Configsecu (sur clubic.com, d'autres sites le proposent) : Les explications d'Aspirine sur l'importance de ces réglages : Comment faire ces réglages vous-même : Testez la sécurité de votre système : (en anglais) (en anglais) (en anglais) (en français) 9.6 - Les listes de canulars Attention, comme toutes les listes, celles proposées sur ces sites ne seront pas forcément à jour au moment où vous les consulterez. Si l'alerte que vous avez reçue n'y figure pas, ça ne veut pas forcément dire qu'elle est vraie, elle est peut-être trop récente pour que l'entrée la concernant ait déjà été rajoutée. N'hésitez donc pas à repasser dans quelques jours ni à poser la question sur le forum pour être sûr. En français : En anglais : 9.7 - Outils de désinfection - Utilitaires génériques : En cas d'urgence, ces utilitaires gratuits recherchent et éliminent bon nombre de virus. Assurez-vous de télécharger la dernière version, et lisez soigneusement le mode d'emploi fourni pour une utilisation optimale. Clrav (Kaspersky), en anglais : Liste de virus détectés : | Téléchargement direct : | Stinger (McAfee), en anglais : Page sur le site de l'éditeur, mode d'emploi et liste de virus détectés (en anglais) : Damage Cleanup Engine / Template (Trend Micro), en anglais : Page sur le site de l'éditeur : Mode d'emploi (en anglais) : - Listes d'outils spécifiques (en français) : Secuser : La compil' de Djehuti : Les liens de la "FAQ Virus" : 9.8 - WindowsUpdate Vous trouverez sur le site WindowsUpdate les mises à jour critiques de sécurité qui rendront vos logiciels Microsoft moins périlleux. Faites-y donc un tour régulièrement pour ne pas risquer de manquer un correctif : Depuis le menu démarrer ou dans Internet Explorer menu Outils, ou 9.9 - Remerciements Roland Garcia, Guillermito, Frédéric Bonroy, Djehuti, Stéphane Catteau, Melmoth, Patator, Samuel, Maltek, Christophe, RV, ceux que j'oublie (et les autres) pour leurs bons conseils, les auteurs des sites cités dans ce document pour leur excellent travail, Noshi et Fred pour le coup de main, etc. Merci aussi à tous ceux qui m'ont écrit pour me conseiller et m'encourager, et aux webmestres qui ont eu la gentillesse de reprendre tout ou partie de la FAQ (en jouant le jeu) ou de mettre un lien sur leur site. 10 - Conclusion --------------- Un maximum a été fait pour limiter les fautes d'orthographe et tendre vers l'exhaustivité. Pour autant, l'auteur et les relecteurs ne sont pas infaillibles. Toute correction, qu'elle porte sur la forme ou le fond, sera donc la bienvenue, ainsi que toutes les suggestions que vous pourriez avoir. Pour les soumettre, merci d'utiliser l'adresse de réponse à ce message.