Au secours! Je crois avoir un virus!

Par les participants du groupe alt.comp.virus.
(Ces pages de sécurité sont le résultat d'un effort collectif continu.)

Traductions disponibles: in English et in het Nederlands

Anti-Virus Main Menu
Main Menu
Contribué par: Frederic Bonroy, Andrew Lee et Brian J Goggin

Vous êtes probablement venu ici car votre ordinateur ne fonctionne pas correctement. Vous avez sans doute entendu dire que des choses appelées "virus informatiques" peuvent occasionner des problèmes sur un ordinateur, et maintenant vous croyez que vous avez un virus. Mais avant de continuer...

Ne paniquez pas!!

Ceci est très important. Avoir un virus signifie qu'il y a un programme sur votre ordinateur qui ne devrait pas y être. C'est aussi simple que cela, donc il n'y a vraiment aucune raison de s'affoler. En fait, un utilisateur qui cède à la panique peut être beaucoup plus dangereux qu'un virus! Les utilisateurs causent souvent plus de dégâts en essayant d'anéantir un virus que ce virus n'aurait pu causer.

La panique peut faire faire à un utilisateur deux choses vraiment sottes: le formatage et l'usage de FDisk.

Le formatage
Vous avez peut-être entendu des rumeurs selon lesquelles il existe un moyen infaillible pour se débarrasser d'un virus, c'est-à-dire le formatage. Le formatage est un procédé qui efface toutes les données stockées sur un disque (bien que cela ne soit pas son but principal), y compris tout virus.
Et bien, c'est un mythe. Ce n'est pas toujours vrai. En fait, ça peut fonctionner, mais en général c'est une mauvaise idée pour les raisons suivantes:
  • Dans la plupart des cas, le formatage est absolument inutile. La plupart des virus peuvent être désinfectés assez facilement.
  • Le formatage suivi d'une réinstallation du système d'exploitation ainsi que de tous les logiciels prend un temps fou.
  • Vous perdez des données si vous oubliez d'effectuer des sauvegardes avant de tout effacer.
  • Le formatage peut effacer tout sauf le virus.
FDisk
Certains d'entre vous on peut-être même entendu parler d'un utilitaire miraculeux du nom de FDisk (généralement en ce qui concerne les "virus de secteur d'amorce" ("virus boot") ou le MBR). Le MBR est un petit secteur sur votre disque dur qui contient un petit programme et des informations sur les partitions. La vérité sur FDisk est qu'il peut servir, mais son usage peut aussi mener à la perte de vos données. Si vous ne savez pas exactement à quel virus vous êtes confronté, Fdisk peut être très destructeur!! Fdisk n'est définitivement pas un utilitaire antivirus, donc ne l'utilisez pas.

Bien, maintenant que vous savez ce que vous ne devez pas faire, voici ce que vous devez faire:

1. Distinguez un virus d'un problème matériel ou logiciel "normal"

Le mot "virus" hante l'esprit de beaucoup d'utilisateurs quand leur ordinateur se comporte de façon anormale. Cependant, dans la plupart des cas ces problèmes ne sont pas dus à la présence d'un virus. Evidemment, chasser un virus qui n'existe pas n'a ni queue ni tête.

La liste suivante contient des symptômes qui pourraient indiquer la présence d'un virus. Notez que j'ai dit "pourrait"! Aucun de ces symptômes n'est une preuve définitive d'activité virale!
  • Le système ralentit.
  • Le système d'exploitation ou les applications affichent des messages d'erreur inhabituels.
  • Des messages étranges apparaissent (salutations, insultes, etc.)
  • Vous apercevez des effets graphiques peu communs.
  • Des pertes de données fréquentes se produisent.
  • Des plantages fréquents. Malheureusement les logiciels se plantent souvent, mais si vos applications se mettent à se planter un peu trop souvent, méfiez vous.
  • Le système d'exploitation ou des logiciels normaux refusent d'être lancés.
Finalement, le symptôme le plus fiable est: votre logiciel antivirus vous signale un virus!

(Si vous vous rendez compte qu'il ne s'agit pas d'un virus, il existe des milliers de *forums ou pouvez demander de l'aide. Consultez le manuel ou l'aide en ligne de votre logiciel de nouvelles pour savoir comment obtenir une liste des forums disponibles et comment s'y abonner. Pendant que vous y êtes, vous devriez aussi lire attentivement la Netiquette et la FAQ du forum avant d'y poster une question.)
*Une brève liste de forums:

   alt.comp.periphs.* hierarchy
   alt.comp.hardware.overclocking
   microsoft.public.win95.*
   microsoft.public.win98.*
   microsoft.public.windowsme.*
   microsoft.public.win2000.*
   microsoft.public.windows.inetexplorer.*

2. Identifiez le virus

Si vous savez que vous avez un virus parce que votre antivirus vous l'a dit, notez le nom exact du virus. Cela est très important parce qu'il existe des types différents de virus et on ne peut pas tous les supprimer de la même façon. Même les virus d'une même famille ne peuvent pas forcément être désinfectés de la même manière!

Si vous n'avez pas utilisé de logiciel antivirus, faites le maintenant.


2.1 L'antivirus signale le virus "Eicar"

Il n'existe pas de virus nommé "Eicar". Votre antivirus est simplement tombé sur ce que l'on appelle le fichier test Eicar. Il permet de vérifier qu'un logiciel antivirus fonctionne correctement. Comme vous le voyez, c'est le cas pour le vôtre.

Ce fichier est inoffensif et vous pouvez l'effacer. Pour plus de renseignements, consultez la page suivante:
en anglais  http://www.eicar.org/anti_virus_test_file.htm

2.2 L'antivirus signale le virus "Bloodhound"

Il n'existe pas de virus nommé "Bloodhound". "Bloodhound" est le nom du moteur heuristique de Norton Antivirus (que vous utilisez probablement si vous avez reçu ce message). Le moteur heuristique est la partie de l'antivirus qui essaie de dénicher des virus inconnus en se fondant sur certaines règles. L'alerte Bloodhound indique que Norton a peut-être trouvé un virus inconnu. Lisez le paragraphe 2.3.

2.3 L'antivirus signale un virus inconnu.

Les antivirus modernes sont capables de détecter certains virus inconnus (pas tous bien sûr). Cette technologie est appelée "heuristique" et peut être très utile mais elle a aussi tendance à produire de fausses alertes. Afin de déterminer si vous affrontez un vrai virus ou s'il s'agit d'une fausse alerte, il faut tenir compte d'une multitude de facteurs:
  • L'antivirus est-il à jour?
    Un virus "inconnu" détecté par un antivirus âgé de plusieurs mois n'est très probablement plus inconnu. Mettez à jour l'antivirus (le moteur de recherche ainsi que les définitions de virus) et examinez à nouveau le fichier. Un virus connu est beaucoup plus simple à manipuler qu'un virus inconnu. Si c'est une fausse alerte, l'éditeur a sans doute déjà corrigé le problème.
  • L'antivirus est-il trop agressif?
    Certains antivirus vous permettent de régler la sensibilité heuristique. Elle définit l'agressivité de l'antivirus pendant sa recherche. Si elle est trop élevée, vous serez sans doute inondé d'alertes et vous aurez des difficultés à filtrer les alertes "sérieuses". Notez qu'il ne faut surtout PAS croire qu'un fichier est automatiquement propre simplement parce que l'antivirus ne signale plus de virus quand vous baissez la sensibilité!
  • Ce fichier peut-il contenir du code viral?
    La recherche heuristique dans tous les fichiers quels que soient leur type ou extension est rarement une bonne idée. L'antivirus signalera certainement des infections dans des fichiers alors que ces fichiers ne peuvent pas contenir de virus (.bmp, .jpg, .wav, etc.).
    Faites attention aux doubles extensions!
    (Un fichier peut avoir plus d'une extension; la dernière extension définit toujours le type de fichier mais Windows ne l'affiche pas par défaut si Windows connait ce type de fichier. Cela signifie qu'un fichier nommé hello.txt.exe, par exemple, sera affiché comme ceci: hello.txt . Ce fichier semble être un fichier texte inoffensif alors qu'en fait il s'agit d'un programme exécutable susceptible de contenir un virus.)
  • Est-ce un programme légitime?
    Les utilitaires de formatage et les programmes similaires peuvent être considérés comme étant infectés par un virus car ils contiennent du code potentiellement dangereux.
Si vous désirez simplement savoir si un fichier est infecté, vous pouvez l'envoyer à un laboratoire antivirus. Voici une liste d'adresses:

Laboratoire Adresse
CAI (IPE, Vet) ipevirus@vet.com.au
Eset (NOD32) samples@nod32.com
F-Secure samples@f-secure.com
Frisk (F-Prot) viruslab@f-prot.com
H+BEDV (AntiVir) virus@antivir.de
Kaspersky Labs (AVP/KAV) submit-virus@avp.ch
NAI (McAfee) virus_research@nai.com
Norman analysis@norman.no
Panda virus@pandasoftware.es
Sophos support@sophos.com
Symantec (Norton) avsubmit@symantec.com
Trend viruslab@trendmicro.fr

Quelques indications:
  • Envoyez le fichier à autant de laboratoires que vous désirez, mais n'oubliez pas d'inclure l'éditeur de l'antivirus qui signale le virus inconnu.
  • Avant d'envoyer le fichier, consultez le site Internet du laboratoire. Il pourrait y avoir quelques consignes. Par exemple, certains laboratoires demandent qu'on leur fasse parvenir les fichiers dans des fichiers ZIP protégés par un mot de passe.
  • Ne lancez ou n'ouvrez PAS ce fichier avant d'avoir la confirmation de son innocence.
  • Il a été signalé à plusieurs reprises que le laboratoire de Symantec n'est pas toujours fiable. Il est donc conseillé d'envoyer le fichier à un autre laboratoire et de ne pas trop faire confiance à Symantec.
  • Si possible, écrivez en anglais.

2.4 Des antivirus différents ne sont pas d'accord sur l'état d'un fichier

Assurez-vous que les deux antivirus sont à jour. Envoyez le fichier aux laboratoires des antivirus concernés si le problème persiste après la mise à jour.

2.5 Des antivirus différents trouvent des virus différents

Des éditeurs différents peuvent avoir donné au même virus des noms différents (cela arrive souvent!). Comparez les descriptions de ces deux virus à l'aide des encyclopédies des éditeurs. Vous pouvez également rechercher les noms des virus dans la base de données VGrep (en anglais  http://www.virusbtn.com/VGrep). Notez que la dernière mise à jour date d'un bon moment. Si les descriptions sont différentes, envoyez le fichier au laboratoires.

2.6 L'antivirus signale un virus en mémoire

Beaucoup de virus demeurent en mémoire après leur exécution. Cela leur permet d'infecter d'autres fichiers à chaque fois qu'un programme y accède. Etant donné que la plupart des virus essaient d'éviter la détection afin d'avoir plus de succès, ils peuvent parfois déranger votre logiciel antivirus, en le détournant ou même en le désactivant. Les virus qui se cachent sont appelés virus "furtifs" ("stealth" en anglais). Certains d'entre eux peuvent même désinfecter un fichier avant qu'un antivirus ne l'ouvre pour l'examiner, et le réinfecter ensuite! C'est pour cela qu'il faut éviter d'entreprendre une désinfection pendant qu'un virus se trouve en mémoire. Vous pouvez très bien vous retrouver avec encore plus de fichiers infectés. Si votre antivirus trouve un virus en mémoire, il faut tenir compte de certaines choses:
  • Vérifiez s'il y a réellement un virus en mémoire. Notez qu'il ne faut pas absolument suivre les instructions dans les 2 prochains paragraphes. Vous pouvez sauter par-dessus sans avoir rien à craindre. Si elles vous déroutent, ignorez les.

    Il s'agit peut-être d'une fausse alerte. Une source possible (mais improbable) est l'exécution de deux antivirus l'un après l'autre. Le premier peut laisser traîner en mémoire des signatures de virus (des séquences de code courtes et inoffensives utilisées pour détecter les virus), provoquant une alerte par le second antivirus. Notez que cela est possible, mais ne se produit qu'avec les antivirus âgés ou mal programmés. La plupart des antivirus modernes utilisent des techniques plus fiables.

    Pour vérifier une fausse alerte, quittez le logiciel antivirus et lancez le de nouveau. Si vous utilisez un antivirus DOS dans une fenêtre DOS sous Windows, fermez cette fenêtre DOS, ouvrez-en une autre et relancez l'antivirus. Vous pouvez également consulter la description du virus dans une encyclopédie pour savoir si ce virus réside en mémoire.
    Si vous avez le moindre doute, partez du fait qu'il y a un virus et continuez la lecture.
  • Certains antivirus prétendent pouvoir désinfecter les virus en mémoire, et ils peuvent peut-être même réussir, mais en général il est vivement conseillé de s'assurer qu'il n'y a pas de virus avant d'entreprendre la désinfection.
La seule manière de s'assurer qu'aucun virus ne résidera en mémoire est de démarrer l'ordinateur à l'aide d'une disquette de démarrage et de lancer un antivirus DOS depuis cette disquette. Il est conseillé que vous fassiez cela dans tous les cas où vous soupçonnez un virus résidant en mémoire.

Pour vérifier si vous avez un virus en mémoire qui se cache devant votre antivirus (Windows), démarrez à l'aide d'une disquette de démarrage propre et utilisez un antivirus DOS. Faites cela à chaque fois que vous soupçonnez une activité virale. Ce n'est pas nécessaire si vous voulez simplement examiner des fichiers que vous venez de télécharger ou pour les examens de routine.

2.7 L'antivirus signale de multiples infections

Dans certains cas, un fichier peut être infecté par un virus, et ce fichier se fait ensuite infecter par un autre virus. Dans cette situation (ou dans toute autre situation dans laquelle un fichier exécutable est infecté), il est vivement conseillé d'effacer le fichier infecté et de le restaurer depuis une sauvegarde.

Si vous ne pouvez pas restaurer ce fichier depuis une sauvegarde, vous pouvez certainement essayer de désinfecter ce fichier. Cependant, il faut toujours examiner l'ordinateur après avoir désinfecté un fichier avec un antivirus de manière à s'assurer que l'ordinateur est propre et qu'il n'est pas resté de virus à cause de ce problème. AVP/KAV est particulièrement recommandable quand il s'agit de réparer les fichiers ayant subi de multiples infections.

* Notez que désinfecter des fichiers peut parfois occasionner des plantages.


3. Procurez-vous des informations

Apprenez à connaître l'ennemi. Recherchez le nom du virus dans une encyclopédie virale. Il est toujours bon de savoir ce que fait un virus et ce qu'il ne fait pas. La description du virus peut vous fournir des conseils de désinfection et d'autres informations précieuses dont il faut tenir compte. Si votre antivirus vous offre la possibilité de désinfecter le virus et si cela se passe sans problèmes, alors vous pouvez éventuellement y renoncer.


4. Cherchez le virus

Il est recommandé de remplacer les fichiers infectés par des copies propres. Cela signifie: effacez les fichiers infectés et réinstallez les logiciels concernés ou restaurez le fichier depuis une sauvegarde. Vous créez régulièrement des sauvegardes, n'est-ce pas?

Demandez donc à votre antivirus d'examiner tous les disques et de vous créer un rapport. Ce fichier contiendra les noms des fichiers infectés.

Notez:
  • Si vous avez simplement reçu le fichier infecté par courrier électronique ou sur une disquette et que vous ne l'avez pas encore ouvert, alors vous n'avez rien à craindre. S'il vous est parvenu sur disquette, évitez simplement de l'ouvrir. S'il vous est parvenu par courrier électronique, effacez le message complètement (y compris de la "corbeille" de votre logiciel de messagerie). Puis demandez à votre logiciel de messagerie de compacter/nettoyer les dossiers). Votre logiciel offre certainement cette option - cherchez dans les menus ou terminez le programme. Certains programmes nettoient les dossiers quand vous les terminez.
  • Si votre moniteur signale le virus (c'est-à-dire l'antivirus qui surveille constamment votre système), alors il verrouillera le fichier ou message infecté et empêchera qui que ce soit d'y accéder. Désactivez l'antivirus d'abord, mais n'oubliez pas de le réactiver après avoir effacé le fichier ou message infecté.

5. Supprimez le virus

Si vous pouvez effacer et remplacer les fichiers infectés, faites le. Ça vaut mieux que la désinfection, qui consiste à séparer et à effacer le code viral du fichier infecté. La désinfection ne fonctionne pas forcément. Il n'y a aucune garantie que le virus aura été supprimé avec succès ou que le logiciel fonctionnera comme avant.

Evidemment, si vous ne pouvez pas remplacer les fichiers infectés, laissez l'antivirus les désinfecter.

Notez que pour certains virus, il ne suffit pas de simplement nettoyer les fichiers infectés. Vous aurez peut-être à effacer des données dans la base de registre ou à effacer des fichiers appartenant au virus. (La base de registre est une gigantesque base de données où Windows et les applications stockent leur configuration. Il y a sur votre ordinateur un programme nommé Regedit qui vous permet de manipuler la base de registre.) Il existe des instructions pour la désinfection manuelle de ces virus. Recherchez les sur les sites Internet des éditeurs antivirus ou bien demandez dans le forum fr.comp.securite.virus ou alt.comp.virus. La description du virus (voir le n° 3 ci-dessous) vous dira si cela est nécessaire.

L'antivirus signale qu'il ne peut pas désinfecter un fichier infecté!

Il peut y avoir 2 raisons pour cela:
  1. Le fichier est verrouillé car il est utilisé par un logiciel quelconque. Windows ne vous permettra donc pas d'y accéder. Dans ce cas vous devez terminer le logiciel qui utilise le fichier infecté et réessayer. Très souvent, Windows est lui-même le coupable. La seule solution consiste à démarrer en mode DOS et utiliser un antivirus DOS. Wsock32.dll est un célèbre exemple d'un fichier qui ne peut être désinfecté par un antivirus Windows.
     
  2. Le virus a détruit le fichier. Certains virus remplacent une partie du fichier par leur propre code, ce qui rend impossible la désinfection et la restauration du contenu d'origine du fichier. Vous devez effacer ce fichier et le remplacer par une copie propre.


6. Vérifiez que le virus est parti

Vous pensez avoir supprimé la bestiole avec succès? Bien! Néanmoins, il faut vous en assurer. Certains virus sont têtus et ne renonceront à rien pour achever leur but, qui est de rester sur votre ordinateur et d'en infecter d'autres.

Lancez un antivirus, ou même deux (mettez les à jour avant!) et priez qu'ils ne trouvent rien. Examinez également les disquettes et CDs. Informez les personnes avec lesquelles vous avez échangé des données et conseillez leur de se méfier. Même un simple message envoyé à ces personnes pendant que vous étiez infecté constitue une raison suffisante pour les avertir!


7. Assurez vous que cela n'arrive plus jamais

Supprimer un virus, c'est bien, mais ne pas l'attraper est encore mieux. Lisez et appliquez les règles suivantes: http://claymania.com/safe-hex-fr.html

Souvenez vous que vous mettez en danger les précieuses données de vos amis si vous ne faites pas attention, car les virus se propagent!

© Claymania Creations 2001 - 2008. Tous droits réservés.

Dernière: mise à jour: 25 mai 2002