SUS à l'infection

Il existe quelques symptômes qui permettent de soupçonner une infection, la première concerne (forcément) le ralentissement de la connexion Internet. En effet, le "hacker" utilisant celle-ci pour faire sa "besogne", le débit qu'il vous reste en est diminué d'autant. Des "attitudes" bizarres de votre machine peuvent également vous mettre la puce à l'oreille (bouton de souris inversés, lecteur de CD-Rom qui s'ouvre tout seul, fichier sonore lancé tout seul et plus généralement toute action qui se lance subitement sans votre intervention).

Il existe également un moyen assez efficace pour déceler un trojan: Ceux-ci démarrant automatiquement au lancement de Windows, il est quasiement obligatoire pour les développeurs de virus et de trojans d'utiliser les techniques de lancement automatique classiques de Windows à savoir : la base de registre, les fichiers win.ini, system.ini, config.sys et AutoExec.bat. Pour avoir un bon tour d'horizon de ce qui se passe au lancement de votre machine, vous pouvez utilisez l'outil "msconfig.exe" (il suffit de taper cette commande dans le menu "exécuter" du menu "Démarrer"), l'onglet "demarrage" de cet outil indique les logiciels lancés au démarrage de votre machine.
Mieux encore, l'outil " Startup Manager" affiche également les applications qui se lancent au démarrage mais permet de les désactiver temporairement (afin d'être certain que ce n'est pas une application qui vous est indispensable).

Les dernières versions de Subseven (le trojan le plus avané à ce jour) proposent des méthodes nouvelles pour se lancer au démarrage de Windows. Si vous êtes infesté par un subseven et qu'il se lance au démarrage en utilisant celles-ci, vous ne trouverez aucun processus suspect grâce à Startup Manager.
Il va falloir utiliser le petit logiciel " Wintop" qui permet de visualiser TOUS les process (programmes) qui tournent sur votre machine. En effet, Subseven, et la plupart des autres trojans, n'apparaissent pas dans la liste des tâches de Windows (lorsque vous appuyez sur Ctrl+Alt+Supp). Wintop, lui, affiche TOUS les processus en cours, il permet donc avec un peu de patience et en recoupant les informations de trouver un trojan.

Le logiciel gratuit "Zone Alarm" peut également vous aider à détecter du traffic sur un port suspect. Faites toutefois attention de ne pas confondre trafic suspect et trafic tout court, en effet, des logiciels, tout ce qu'il y a de plus sains peuvent ouvrir des ports de votre machine (jeu en réseau, chat...).

Les règles simples pour éviter toute contamination

A l'heure actuelle, il est très très difficile, pour le commun des mortels, d'infester, que ce soit par un virus ou un trojan, une machine Windows fraichement installée. Pour se protéger, il suffit de respecter les quelques règles élémentaires suivantes, qui sont classées par ordre d'importance:

1 - Désactiver le masquage des extensions de fichiers, de cette manière vous savez quel type de fichier vous ouvrez. Plutôt que de cacher ce que vous ne comprenez pas, essayez plutôt de comprendre le fonctionnement des extensions. Vous trouverez sur le site suivant une description de plus de 4200 extentensions de fichiers différentes.

2 - Ne jamais lancer(exécuter) un fichier reçu par mail, même provenant d'un ami, et possédant une extension autre que .jpg, .bmp, .tif, .gif, .mpg, .doc (avec la réserve d'avoir une version de Word supérieure ou égale à 97 et en désactivant les macros s'il y en a), .xls (même remarque que précédemment). Toutes les autres extensions sont moins fréquentes et il vaut mieux bien les connaître avant de les exécuter spontanément.

3 - Lorsque vous téléchargez un programme sur Internet, faites le depuis une source fiable. Sinon, utilisez un antivirus que vous aurez mis à jour avec les dernières versions de définition (pour rapppel, il se créé des dizaines de virus par semaine, un anti-virus qui n'a pas été mis à jour depuis 3 mois peut laisser passer des virus. Même un antivirus mis à jour avec la dernière version n'est pas fiable à 100%). Nous recommandons l'antivirus Antiviral Toolkit Pro qui est à notre avis le plus rapidement à jour à la sortie de nouveaux virus et qui reste très léger en mémoire. Une version "Gold" est vendu pour un peu plus de 300F et vous pourrez télécharger une version d'évaluation sur cette page.

4 - N'activez pas le partage des fichiers de votre machine si elle est connectée à Internet (dans le cas d'un mini-réseau de PC). Si ce n'est pas possible, ne partagez qu'un simple répertoire dans lequel vous mettez uniquement les fichiers que vous souhaitez partager avec le réseau local et associez à ce partage un mot de passe.

5 - Utilisez un anti-virus et METTEZ LE A JOUR FREQUEMMENT.

6 - Installer un Firewall. Le logiciel gratuit Zone Alarm ferra parfaitement l'affaire. Ci-dessous, vous trouverez un mini-guide pour le mettre en oeuvre rapidement.

7 - Vérifiez avec un logiciel comme l'excellent "Startup Manager" les programme qui sont lancés automatiquement au démarrage de votre PC. Si vous en voyez des suspects, désactivez les temporairement (disable), redémarrez votre PC, si tout fonctionne correctement et si vous avez toujours accès à tous les services dont vous avez besoin, vous avez soit supprimé l'exécution d'un virus, soit supprimé le lancement d'un programme qui prend des ressources inutiles de votre machine. En effet, de nombreux logiciels (freeware, shareware, logiciel commerciaux) ont tendance à se lancer automatiquement au démarrage de Windows, soit disant pour vous simplifier la vie... Ceux-ci consomme des ressources de votre machine inutilement si vous ne les utilisez pas.

8 - Cryptez vos données confidentielles et sensibles. L'article que nous avons déja publié sur le sujet pourra vous y aider.

9 - Détectez les fonctionnements anormaux (lecteur de CD-Rom qui s'ouvre tout seul, souris inversée, traffic Internet alors que vous ne faites rien, connexion internet lancée automatiquement au démarrage du PC...)

Zone Alarm : La porte anti-intrusion

Zone Alarm est ce que l'on a coutûme d'appeler un "Firewall" ou "Mur de feu". Ce logiciel s'interpose entre votre ordinateur et le réseau et contrôle tout le traffic. Par défaut, il ferme tous les ports de la machine sur laquelle il est installé, puis, à chaque fois qu'il détecte une tentative de transit à travers un port, il le notifie à l'utilisateur et lui demande son accord (ponctuel ou définitif).

L'utilisation de ce logiciel est assez intuitive, bien qu'en anglais, mais nous allons voir quelques éléments de base qui vont vous permettre de sécuriser votre machine.
Après l'installation, comme nous venons de le dire, Zone Alarm bloque tous les ports de votre machine ce qui signifie qu'il ne peut plus y avoir AUCUN traffic vers et depuis celle-ci.

Lorsque vous lancez un logiciel qui tente d'établir un traffic (Internet explore, Outlook Express, ICQ...), Zone Alarm affiche une fenêtre qui vous donne le nom du logiciel et vous demande si vous souhaitez lui accorder ce droit. Vous pouvez en cochant la case had-oc accorder un droit de manière permanente, sinon à chaque nouveau lancement du système, Zone Alarm vous demandera votre accord pour ce même programme.

Par le menu "Programms", il est possible visualiser la liste des logiciels qui ont un droit de traffic et de la personnaliser. Comme dans la copie d'écran ci-contre, pour chaque logiciel il faut définir s'il possède un droit définitif ("V"), s'il faut l'accord de l'utilisateur ("?") ou s'il lui est interdit de créer un traffic ("X"). Ces droits peuvent être configurés indépendemment pour le réseau local (les postes connectés en réseau chez vous) ou pour Internet.
La colonne suivante permet également de déterminer si vous autorisez un logiciel à agir comme un "serveur", c'est à dire à accepter des requètes provenant de l'extérieur

Conclusion

C'est lorsqu'on commence à se pencher sur le monde des virus et des trojans qu'on se rend compte comme il est vaste. Des nouvelles méthodes d'infection qui exploitent des failles ou des méconnaissances de l'utilisateur font leur apparition de ci, de là. Ainsi, pour lutter, il vaut mieux en connaître un minimum sur le fonctionnement de sa machine.

Nous terminerons cet article de la même manière que celui sur la cryptographie, par une citation de J. Edgar Hoover.