Attention : le forum pour discuter de virus informatiques, est
désormais <news:fr.comp.securite.virus> sur lequel est positionné
la redirection de ce document.
La version texte est aussi publiée sur <news:fr.comp.mail>,
<news:fr.comp.securite>,<news:fr.comp.os.ms-windows.win95>,
<news:fr.comp.os.ms-windows.winnt> et <news:fr.usenet.reponses>.
La version HTML de ce document est disponible à l'adresse :
<http://Courriels.free.fr/virus.htm>.
Ce document est une Foire Aux Questions autrement dit les réponses
aux questions fréquemment posées sur les virus dans le courrier
électronique (mais par analogie la plupart des points sont aussi
valables pour les forums).
Si vous constatez qu'une procédure décrite ne correspond pas à la
réalité ou qu'il y a des oublis ainsi que des effets indésirables,
merci de m'en aviser.
Toutes les critiques et suggestions sont les bienvenues à l'auteur.
Si vous rencontrez des problèmes, si vous avez des questions auxquelles
cette Faq ne répond pas concernant :
- la sécurité, postez-les sur le forum <news:fr.comp.securite>.
- la configuration de votre logiciel de courrier, posez-la dans
le forum <news:fr.comp.mail>.
- Windows 95/98 (ou de Windows NT/2000) ont leur place dans
le forum <news:fr.comp.os.ms-windows.win95>
(ou <news:fr.comp.os.ms-windows.winnt>).
Vous avez le droit d'utiliser librement de courts extraits de ce
document à condition de ne pas modifier le texte. Vous avez également
le droit d'utiliser librement n'importe quelle partie de la section
ci-dessus. Toute autre utilisation de ce document devra faire l'objet
de l'accord préalable de l'auteur.
SOMMAIRE
Préface
1.Les alertes aux virus : les Hoax !
2.Les virus dans un message en HTML
3.Les virus dans les entêtes
4.Les Virus dans les pièces jointes
a- Afficher les extensions
b- Modifier les actions par défaut
c- Et après ?
Annexes : happy99 et kak
URL sur les macro sur MacOS
Un message (que ce soit d'ailleurs dans le courrier ou dans les forums)
peut véhiculer des virus.
Il est pourtant facile de ne pas être infecté même avec les plus méchants
en faisant simplement attention à ce que l'on fait.
Un virus est avant tout un ensemble de commandes agissant sur votre
système d'exploitation et/ou sur certains de vos programmes. Il faut
pour qu'il agisse que ces commandes, d'une manière ou d'une autre
arrivent sur votre ordinateur et s'exécutent.
Ces commandes arrivent de quatre manières :
- Sous forme d'un alerte à diffuser !
- Dans un message en HTML sous forme d'un script intégré.
- Dans les entêtes d'un message, le champ Date, plus exactement.
- Dans un fichier joint au message.
Reste l'exécution pour que le virus fasse son ouvrage .....
1. Les alertes aux virus : les Hoax !
Bien souvent le virus en question est l'alarme elle-même.
En effet, certain de bien faire, vous allez diffuser cette
informationà tout votre carnet d'adresse et dans tous les forums
que vous lisez, même ceux que vous ne lisez pas tant qu'à faire.
Et tout le monde fait la même chose !
Là est une source réelle de pollution des boîtes aux lettres et
des forums.
Alors raisonnez-vous, réfléchissez et ne jouez pas le jeu
des nuisibles qui lancent ces rumeurs appelées aussi « Hoax ».
À ce propos, on peut lire les sites et taper dans leur moteur
de recherche le nom du virus ou un extrait caractéristique du message
d'alerte :
Ce n'est pas le HTML en lui-même qui est dangereux : il n'y aucune balise
HTML qui soit nocive. Par contre, un fichier HTML peut contenir des bouts
de code Java, JavaScript ou Visual Basic Script.
Quand ils sont interprétés par un logiciel permettant de visualiser le
HTML, ils peuvent s'exécuter et là tout peut arriver.
Vous ne courrez aucun danger si votre logiciel de courrier électronique
(et donc par analogie les logiciels de lecture des forums) ne permet
pas de visualiser le HTML.
Pour ceux qui peuvent le faire, il faut s'assurer qu'ils ne peuvent
interpréter ce qui est dangereux.
Un logiciel bien conçu doit :
soit ne pas pouvoir interpréter les scripts dans un message en HTML
soit avoir une configuration d'origine ne le permettant pas
(laissant ainsi l'utilisateur averti modifier la configuration).
Hélas, ce n'est pas le cas pour tous et il y a donc deux catégories de
logiciels : les bons et les « programmés et configurés avec les pieds ».
Vous devez maintenant vérifier si vous êtes protégé contre ce type de
virus.
1er Cas : Vous utilisez un logiciel ne permettant pas du tout visualiser
un message en HTML. Vous ne voyez soit que le code source en
mode texte soit rien du tout !
Vous ne risquez rien à ouvrir message en HTML !
C'est le cas par exemple de Kaufman Warrior.
2ème Cas : Votre logiciel permet de voir la partie texte du message avec
une pièce jointe en HTML (ce qui vous permet de l'ouvrir avec
votre navigateur Web).
Exemple : Becky! si vous n'avez pas MSIE.
3ème Cas : Ceux pouvant visualiser le HTML mais qui ne peuvent
interpréter les scripts.
Notons que pour les deux derniers, le logiciel peut modifier à la
réception la partie HTML (que ce soit en pièce jointe ou en le
visualisant directement) afin de rendre le script inexécutable. Cela
évite en cas de transfert du courrier à une autre personne d'envoyer un
message avec un virus (cas de Becky!) !
4ème Cas : Les logiciels visualisant le HTML et interprétant les scripts
(ce sont en général ceux permettant d'écrire des messages en
HTML, c'est-à-dire ayant un éditeur HTML).
Ce sont des logiciels dangereux car il n'y a aucune raison de recevoir
des scripts dans un courrier. Ils sont d'autant plus mal faits et
dangereux s'ils ne permettent pas de désactiver l'interprétation des
scripts et si la configuration d'origine l'active.
Les *pires* dans ce domaine sont Outlook Express et Netscape
Communicator : ils peuvent interpréter les scripts et cette
possibilité est activée d'origine !
Pour Netscape Communicator
- Aller dans le menu "Édition" puis "Préférences" et/ou (selon
les versions) "Avancées".
- Décochez : "Activer java" et "Activer javascript pour les
courriers et le forum".
Attention ce n'est pas possible pour certaines anciennes versions.
Dans ce cas, faîtes une mise à jour ou changez de logiciel !
Pour Outlook Express, c'est plus compliqué :
Il faut changer la zone de sécurité c'est-à-dire en choisir une
('zone des sites sensibles' par exemple) dans Outlook Express puis
la configurer dans Internet Explorer en désactivant *tout*. (Pour
la procédure détaillée, voir la « [FAQ] Outlook Express et les News »
publiée en version texte est sur <news:fr.comp.usenet.lecteurs-de-news>
et <news:fr.usenet.reponses>.
(La version HTML de ce document est disponible à l'adresse :
<http://UsenetFR.free.fr/faqoe.htm#VirusHTML>.)
3. Les virus dans les entêtes
Les entêtes d'un message contiennent des lignes comme :
From: "Toto" <toto@titi.cmo
To: <tata@titi.cmo>
Date: Tue, 25 Jul 2000 18:00:26 +0200
Subject: Les virus et les messages
Message-ID: <002301b$86f8cf20$32a053d4@titi.cmo>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Quand votre logiciel va chercher un message sur un serveur, il "lit"
certaines lignes d'entêtes (c'est comme cela qu'on peut filtrer au
chargement) ce qui revient à exécuter la commande correspondant à
l'entête lue.
En réalité, il met le contenu d'une ligne en mémoire (dans un "buffer")
puis exécute ce qui correspond à ce qu'il lit dans ce buffer. Ensuite, il
continue en traitant ce qui se trouve après de ce qu'il vient de mettre
dans le buffer.
Exemple :
Il "lit" la première ligne et le buffer contient :
« From: "Toto" <toto@titi.cmo> ».
Ensuite, il va mettre dans le buffer ce qui suit cette chaîne
de caractères c'est à dire :
« To: <tata@titi.cmo> ».
Et ainsi de suite.
Si la taille du buffer est trop limitée et la longueur de la ligne trop
grande, il ne pourra contenir toute la ligne et à la lecture suivant, il
contiendra le reste de la ligne. Et ce reste sera alors interprété par le
logiciel comme une commande à exécuter. Et si ce reste est une commande
nocive (donc un virus), vous voilà infecté !
Logiquement ce type de débordement du buffer (on dit « buffer-overflow »)
ne doit pas arriver : c'est un bug du logiciel.
Exemple :
From: "Toto" <toto@titi.cmo>
To: <tata@titi.cmo>
Date: Tue, 25 Jul 2000 18:00:26 +0200 blablabla ... on_fait_remplissage
<commandes_pour_charger_un_fichier_depuis_le_web_et_lexecuter>
Subject: Les virus et les messages
Message-ID: <002301b$86f8cf20$32a053d4@titi.cmo>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Le logiciel buggé va lire une partie du champ Date puis ensuite, il va
lire la suite de cette ligne et; hop, il tombe sur une commande nocive
qu'il va exécuter.
Ce bug arrive. Actuellement seules certaines versions d'Outlook
Express semble avoir ce bug sur le champ Date.
Il n'existe à ce jour, aucun AntiVirus capable de détecter dans
un message lors du téléchargement, un virus "BufferOverflow" dans
les entêtes. Un patch existe
(http://www.microsoft.com/windows/ie/download/critical/patch9.htm)
mais il ne fonctionne pas pour toutes les versions, ni pour tous
les systèmes d'exploitation.
Outlook Express ne peut pas non plus filtrer sur la longueur du
champ Date, seul le serveur peut le faire.
En résumé :
Le virus arrive avec un message.
Il s'exécute automatiquement lors du téléchargement.
L'utilisateur de Outlook Express n'a aucun moyen sur d'éviter ce
virus.
La seule protection est de ne plus utiliser Outlook Express en
dessous de la version 5.5 !
Ce virus va s'activer dès que l'on va l'exécuter. Il ne faut donc
*JAMAIS* exécuter un pièce jointe sans savoir avec certitude son contenu.
Quelque soit le système d'exploitation, on fait des actions sur un
fichier en fonction de son extension. Ainsi un fichier avec l'extension :
- .txt sera ouvert par un éditeur de texte
- .zip par un décompresseur
- .exe sera exécuté etc.
a- Afficher les extensions
L'extension est donc importante. Elle est toujours visible sauf sous
Windows !
Il est configuré d'origine pour masquer les extensions des fichiers
connus. Ainsi quand un fichier s'appelle « titi.txt.vbs », seule la
dernière extension sera prise pour une extension et masquée à
l'affichage faisant croire à un fichier texte. Si un logiciel de
courrier prend cette information dans la base des registres,
cela peut être ..... « gênant ».
Il faut donc absolument modifier la configuration de Windows :
- Cliquez sur «Démarrer», aller à "Paramètres"
ou
- Lancer l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...".
Dans la fenêtre qui s'affiche,
- aller à l'onglet "Affichage"
- décocher "Masquer l'extension des fichiers dont le type
est connu".
Quels sont les types de fichiers dangereux ?
Ce sont ceux que vous *ne connaissez pas* et certains
connus pour pouvoir contenir des virus tels que :
Connaître l'extension est une bonne chose, encore faut-il ne pas
faire la mauvaise action sur un fichier par distraction ! Si vous
éditez un exécutable, il ne vous arrivera rien mais voilà Windows
permet d'associer une extension à des actions prédéfinies (on les
a en cliquant à droite sur le fichier) dont une par défaut
(en gras dans le menu contextuel).
Le plus souvent c'est : "Ouvrir" c'est à dire « exécuter un logiciel
déterminé avec le fichier en argument ».
Pour un fichier *.txt, cela voudra dire le lire avec le bloc-note.
Pour un fichier en *.doc, cela sera avec Wordpad ou Word.
les gif seront vus dans Internet Explorer etc..
Pour des scripts .VBS ou .JS (qui peuvent contenir des commandes
très dangereuses), l'action par défaut est "Ouvrir" qui, exécute
le script si le logiciel WScript (ou un autre) est installé
(d'office sur Win98) :
Autrement dit, en cliquant sur un fichier ayant son extension
masquée et dont le nom qui s'affiche est titi.txt (mais ayant
comme nom complet titi.txt.vbs), le script s'exécute et on
comprend comment les gens se font avoir !
Pour éviter cela, ils vous faut contrôler ces associations.
- Cliquez sur «Démarrer», aller à "Paramètres"
ou
- Lancez l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...".
Dans la fenêtre qui s'affiche,
- Allez à l'onglet "Types des fichiers"
- Sélectionnez le type de fichier que vous voulez modifier.
- Cliquez sur «Modifier...». Dans la fenêtre qui s'ouvre :
+ Modifiez les "Actions" par défaut des fichiers pouvant
contenir des virus (Ainsi en cliquant sur ces fichiers,
vous n'obtiendrez que l'ouverture d'un éditeur de texte !
« .vbs » et « .js » :
L'action par défaut est l'exécution par WHScript.
Sélectionner "Modifier" et cliquer sur «Par défaut»
« .reg »,
L'action par défaut est "Fusionner"
(inscription dans la base des registres !)
Sélectionner "Édition" et cliquer sur «Par défaut»
(*) sert à avoir une boîte de dialogue dans des logiciels de
courrier reprenant les informations contenus dans la base des
registres. Outlook Express s'en sert et avertit d'un possible
danger et donnant le choix entre enregistrer la PJ ou faire
l'action par défaut. Elle est d'origine cochée mais si on décoche
une seule fois « montrer cette avertissement à chaque fois »,
l'option se retrouve décochée dans la bdr aussi !
« Ouvrir » est un faux-ami, surtout quand on croit avoir à faire
à un fichier texte ! Il est donc vivement conseillé de changer
l'intitulé. Ainsi pour les « .js » et « .vbs », renommer "Ouvrir"
par "Exécuter le script" peut éviter bien des confusions.
Pour modifier le nom d'une commande dans le menu contextuel,
reprenez la procédure décrite ci-dessus et :
Sélectionner le nom de la commande à renommer dans
la fenêtre "Actions" et cliquez sur «Modifier...»
Dans la fenêtre "Modification de l'action pour le type : ..." :
Faire un « copier » de la commande "Application utilisée"
puis cliquer sur «Annuler».
Cliquez sur «Nouveau...». La fenêtre "Nouvelle action" s'ouvre.
Dans "Action" mettre :
« &NomQueVousVoulezAvoir » (par exemple
« &Exécution d'un script VBS »).
Dans "Application utilisée pour faire l'action" faire un
« coller » de la commande précédemment copiée.
Cliquez sur «OK».
Assurez-vous que votre nouvelle action est bien présente avec les
autres, sélectionnez de nouveau l'action "Ouvrir" et supprimez-la.
La nouvelle action est désormais présente au menu contextuel de ce
type de fichier avec un raccourci (lettre soulignée dans le mot,
celle qui suivait le « & » dans le nom de l'action).
Attention il est INDISPENSABLE d'afficher les extensions pour être
sur de ne pas se faire avoir car il est impossible de modifier les
actions d'un « .exe » ou « .com » qui peuvent eux aussi s'appeler
titi.txt.exe !
(accessoirement, la procédure ci-dessus vous permet de créer toutes
les actions que vous voulez ou d'associer des types de fichiers aux
logiciels que vous voulez)
c- Et Après ?
Certaines associations sont déterminées d'origine mais elles peuvent
changer à chaque installation d'un nouveau logiciel !
En effet beaucoup de logiciels « veulent tirer la couverture » à eux
en s'attribuant d'office une ou plusieurs extensions sans demander
l'avis de l'utilisateur et ne se gènent pas pour faire des
inscriptions dans la base des registres pour modifier les
associations!
On peut alors se retrouver dans des situations embêtantes quand
deux logiciels différents définissent la même extension
(Exemple : les scripts de Hamster sont en *.hsc et sont des
fichiers textes. En installant HelpSCribble, les *.hsc sont
automatiquement attribués à ce logiciel).
Voire même dans des situations dangereuses : si un logiciel
possède un interpréteur d'un quelconque langage de script,
vous pouvez vous retrouver (alors que vous pensez être à
l'abri) avec un interpréteur par défaut qui se lancera
dès que vous cliquerez sur un type de fichier.
Il vous faut donc aller jeter un coup d'oeil à vos associations de
fichiers à *chaque* installation de nouveaux logiciels pour évitez
les mauvaises surprises.
Enfin, si vous voulez tester votre système, vous pouvez le faire
avec les exemples de scripts écrits en Visual Basic et Javascript
dans « c:\windows\samples\wsh » ou faire un « copié/collé » des
deux scripts (ne faisant que rajouter sur le bureau un raccourci
vers le bloc-note) ci-dessous dans un éditeur de texte en les
enregistrant respectivement avec un « nom.js » et un « nom.vbs ».
Puis vous vous envoyez en pièce jointe ces fichiers par exemple.
Recopiez ce qu'il y a ci-desous dans un fichier avec une
extension « js ».
var WSHShell = WScript.CreateObject("WScript.Shell");
var DesktopPath = WSHShell.SpecialFolders("Desktop");
var MyShortcut = WSHShell.CreateShortcut(DesktopPath +
"\\Raccourci vers le Bloc-notes ajouté par un script JS.lnk");
MyShortcut.TargetPath =
WSHShell.ExpandEnvironmentStrings("%windir%\\notepad.exe");
MyShortcut.WorkingDirectory =
WSHShell.ExpandEnvironmentStrings("%windir%");
MyShortcut.WindowStyle = 4;
MyShortcut.IconLocation =
WSHShell.ExpandEnvironmentStrings("%windir%\\notepad.exe, 0");
MyShortcut.Save();
WScript.Echo("Un script en JS vient d'être exécuté et vous avez
maintenant un raccourci vers le Bloc-notes présent sur votre Bureau.");
Recopiez ce qu'il y a ci-desous dans un fichier avec une
extension « vbs ».
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim MyShortcut, MyDesktop, DesktopPath
DesktopPath = WSHShell.SpecialFolders("Desktop")
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath &
"\Raccourci vers le Bloc-notes ajouté par un script VBS.lnk")
MyShortcut.TargetPath =
WSHShell.ExpandEnvironmentStrings("%windir%\notepad.exe")
MyShortcut.WorkingDirectory =
WSHShell.ExpandEnvironmentStrings("%windir%")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation =
WSHShell.ExpandEnvironmentStrings("%windir%\notepad.exe, 0")
MyShortcut.Save
WScript.Echo "Un script en VBS vient d'être exécuté et vous avez
maintenant un raccourci vers le Bloc-notes présent sur votre Bureau."
Annexes : Deux virus Kak et Happy99 ont sévi. Vous trouvez sur les
pages suivantes, les procédures de désinfection :
<http://Courriels.free.fr/happy99.htm>
<http://Courriels.free.fr/kak.htm>
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
christophe Raverdy
Bonjour
Avertissement : la FAQ dont il est question est publiée sur fr.comp.mail, fr.comp.securite.virus, fr.comp.os.ms-windows et fr.usenet.reponses
Dans la mesure où elle vise 3 forums ordinaires, je considère que le plus simple est que cette annonce vise ces forums mais que la discussion se tienne sur fr.usenet.divers : j'ai donc positionné le suivi en ce sens.
Il y a une discussion en cours en ce moment sur news:fr.usenet.divers au sujet de la mise à jour des FAQ qui sont publiées automatiquement tous les 15 jours.
J'ai commencé à relire certains documents dont celui sur les "virus et les messages".
Ce document remonte à 2001, autant dire l'antiquité, les adresses sont souvent périmées ou inadaptées (ressources en anglais alors que l'on a aussi bien en français,...), le plan me parait améliorable,...
Et surtout, la FAQ de fr.comp.securité.virus me semble répondre bien mieux aux attentes du lectorat.
J'ai donc envoyé ce qui suit à l'adresse de contact figurant sur la FAQ mais je crains que cette adresse ne soit plus en service. Je me permets donc de publier ici mes commentaires sur cette FAQ, l'idée serait qu'elle ne soit plus publiée, mais remplacée (sur fcm et fcom) par la FAQ de fcsv.
Qu'en pensez-vous ?
==================================================================== Brina a écrit:
Un peu plus de 4 ans, les choses ont peut-être évolué depuis... A noter qu'il y a eu un renommage automatique (fr.usenet.logiciel vers comp.usenet.lecteur-de-news) mais le problème est que la FAQ visée ([FAQ] Outlook Express et les News) n'est plus envoyée.
La version texte est aussi publiée sur <news:fr.comp.mail>, <news:fr.comp.securite>,<news:fr.comp.os.ms-windows.win95>, <news:fr.comp.os.ms-windows.winnt> et <news:fr.usenet.reponses>.
Il faudrait mettre à jour les forums "windows" (fr.comp.os.ms-windows)
Le document html existe toujours par contre lui non plus n'est pas maintenu (il vise toujours fr.usenet.logiciels)
Ce document est une Foire Aux Questions autrement dit les réponses aux questions fréquemment posées sur les virus dans le courrier électronique (mais par analogie la plupart des points sont aussi valables pour les forums).
Je ne comprends pas le sens de ce paragraphe.
Le titre ne devrait-il pas être plutôt quelque chose comme "virus circulant par messagerie électronique" ?
Si vous constatez qu'une procédure décrite ne correspond pas à la réalité ou qu'il y a des oublis ainsi que des effets indésirables, merci de m'en aviser. Toutes les critiques et suggestions sont les bienvenues à l'auteur.
Si vous rencontrez des problèmes, si vous avez des questions auxquelles cette Faq ne répond pas concernant :
- la sécurité, postez-les sur le forum <news:fr.comp.securite>
fr.comp.securite.virus me semble préférable, surtout que fcs est modéré.
- la configuration de votre logiciel de courrier, posez-la dans le forum <news:fr.comp.mail>.
Là aussi : parler de la configuration du lecteur de courrier électronique plutôt que du logiciel de courrier du fait de la création du groupe dédié aux serveurs de courriers.
- Windows 95/98 (ou de Windows NT/2000) ont leur place dans le forum <news:fr.comp.os.ms-windows.win95> (ou <news:fr.comp.os.ms-windows.winnt>).
Là encore, mettre à jour.
Vous avez le droit d'utiliser librement de courts extraits de ce document à condition de ne pas modifier le texte. Vous avez également le droit d'utiliser librement n'importe quelle partie de la section ci-dessus. Toute autre utilisation de ce document devra faire l'objet de l'accord préalable de l'auteur.
Il faudrait peut-être (ce n'est qu'une proposition) utiliser une licence plus récente comme http://fr.creativecommons.org si l'on veut faire en sorte que le document vive davantage (ce n'est que mon opinion)
SOMMAIRE
Préface 1.Les alertes aux virus : les Hoax ! 2.Les virus dans un message en HTML 3.Les virus dans les entêtes 4.Les Virus dans les pièces jointes a- Afficher les extensions b- Modifier les actions par défaut c- Et après ? Annexes : happy99 et kak URL sur les macro sur MacOS
Un message (que ce soit d'ailleurs dans le courrier ou dans les forums) peut véhiculer des virus. Il est pourtant facile de ne pas être infecté même avec les plus méchants en faisant simplement attention à ce que l'on fait.
Un virus est avant tout un ensemble de commandes agissant sur votre système d'exploitation et/ou sur certains de vos programmes. Il faut pour qu'il agisse que ces commandes, d'une manière ou d'une autre arrivent sur votre ordinateur et s'exécutent.
Ces commandes arrivent de quatre manières :
- Sous forme d'un alerte à diffuser ! - Dans un message en HTML sous forme d'un script intégré. - Dans les entêtes d'un message, le champ Date, plus exactement. - Dans un fichier joint au message.
Reste l'exécution pour que le virus fasse son ouvrage .....
Insérer "(Que vous "cliquiez" sur le message ou que votre logiciel de messagerie ne soit pas correctement configuré)" afin de rendre plus compréhensible que "exécution"
Bien souvent le virus en question est l'alarme elle-même. En effet, certain de bien faire, vous allez diffuser cette informationà tout votre carnet d'adresse et dans tous les forums que vous lisez, même ceux que vous ne lisez pas tant qu'à faire. Et tout le monde fait la même chose !
Là est une source réelle de pollution des boîtes aux lettres et des forums.
Alors raisonnez-vous, réfléchissez et ne jouez pas le jeu des nuisibles qui lancent ces rumeurs appelées aussi « Hoax ».
À ce propos, on peut lire les sites et taper dans leur moteur de recherche le nom du virus ou un extrait caractéristique du message d'alerte :
Ce n'est pas le HTML en lui-même qui est dangereux : il n'y aucune balise HTML qui soit nocive. Par contre, un fichier HTML peut contenir des bouts de code Java, JavaScript ou Visual Basic Script. Quand ils sont interprétés par un logiciel permettant de visualiser le HTML, ils peuvent s'exécuter et là tout peut arriver.
Vous ne courrez aucun danger si votre logiciel de courrier électronique (et donc par analogie les logiciels de lecture des forums) ne permet pas de visualiser le HTML.
Pour ceux qui peuvent le faire, il faut s'assurer qu'ils ne peuvent interpréter ce qui est dangereux. Un logiciel bien conçu doit :
soit ne pas pouvoir interpréter les scripts dans un message en HTML soit avoir une configuration d'origine ne le permettant pas (laissant ainsi l'utilisateur averti modifier la configuration).
Hélas, ce n'est pas le cas pour tous et il y a donc deux catégories de logiciels : les bons et les « programmés et configurés avec les pieds ».
Je pense qu'il faut reformuler et réordonner les trois paragraphes précédents si l'on considère maintenant que 90% des logiciels permettent de lire par défaut de n'afficher le html que sur demande expresse
Vous devez maintenant vérifier si vous êtes protégé contre ce type de virus.
1er Cas : Vous utilisez un logiciel ne permettant pas du tout visualiser un message en HTML. Vous ne voyez soit que le code source en mode texte soit rien du tout ! Vous ne risquez rien à ouvrir message en HTML ! C'est le cas par exemple de Kaufman Warrior.
Ok. le logiciel existe toujours
2ème Cas : Votre logiciel permet de voir la partie texte du message avec une pièce jointe en HTML (ce qui vous permet de l'ouvrir avec votre navigateur Web). Exemple : Becky! si vous n'avez pas MSIE.
3ème Cas : Ceux pouvant visualiser le HTML mais qui ne peuvent interpréter les scripts.
Notons que pour les deux derniers, le logiciel peut modifier à la réception la partie HTML (que ce soit en pièce jointe ou en le visualisant directement) afin de rendre le script inexécutable. Cela évite en cas de transfert du courrier à une autre personne d'envoyer un message avec un virus (cas de Becky!) !
4ème Cas : Les logiciels visualisant le HTML et interprétant les scripts (ce sont en général ceux permettant d'écrire des messages en HTML, c'est-à-dire ayant un éditeur HTML).
Ce sont des logiciels dangereux car il n'y a aucune raison de recevoir des scripts dans un courrier. Ils sont d'autant plus mal faits et dangereux s'ils ne permettent pas de désactiver l'interprétation des scripts et si la configuration d'origine l'active.
Les pires dans ce domaine sont Outlook Express et Netscape Communicator : ils peuvent interpréter les scripts et cette possibilité est activée d'origine !
Outlook Express a quand même évolué et n'est plus une passoire. ne pas oublier non plus les mises à jour en ligne cf http://www.arobase.org/oe/oe6.htm
comme alternative à OE préférer thunderbird à Communicator ?
Pour Netscape Communicator - Aller dans le menu "Édition" puis "Préférences" et/ou (selon les versions) "Avancées". - Décochez : "Activer java" et "Activer javascript pour les courriers et le forum".
Attention ce n'est pas possible pour certaines anciennes versions. Dans ce cas, faîtes une mise à jour ou changez de logiciel !
Pour Outlook Express, c'est plus compliqué : Il faut changer la zone de sécurité c'est-à-dire en choisir une ('zone des sites sensibles' par exemple) dans Outlook Express puis la configurer dans Internet Explorer en désactivant tout. (Pour la procédure détaillée, voir la « [FAQ] Outlook Express et les News » publiée en version texte est sur <news:fr.comp.usenet.lecteurs-de-news> et <news:fr.usenet.reponses>. (La version HTML de ce document est disponible à l'adresse : <http://UsenetFR.free.fr/faqoe.htm#VirusHTML>.)
Ce document ne serait plus publié sur usenet.
3. Les virus dans les entêtes
Les entêtes d'un message contiennent des lignes comme :
From: "Toto" To: Date: Tue, 25 Jul 2000 18:00:26 +0200 Subject: Les virus et les messages Message-ID: <002301b$86f8cf20$ MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
Quand votre logiciel va chercher un message sur un serveur, il "lit" certaines lignes d'entêtes (c'est comme cela qu'on peut filtrer au chargement) ce qui revient à exécuter la commande correspondant à l'entête lue. En réalité, il met le contenu d'une ligne en mémoire (dans un "buffer") puis exécute ce qui correspond à ce qu'il lit dans ce buffer. Ensuite, il continue en traitant ce qui se trouve après de ce qu'il vient de mettre dans le buffer.
Exemple : Il "lit" la première ligne et le buffer contient : « From: "Toto" ». Ensuite, il va mettre dans le buffer ce qui suit cette chaîne de caractères c'est à dire : « To: ». Et ainsi de suite.
Si la taille du buffer est trop limitée et la longueur de la ligne trop grande, il ne pourra contenir toute la ligne et à la lecture suivant, il contiendra le reste de la ligne. Et ce reste sera alors interprété par le logiciel comme une commande à exécuter. Et si ce reste est une commande nocive (donc un virus), vous voilà infecté !
Logiquement ce type de débordement du buffer (on dit « buffer-overflow ») ne doit pas arriver : c'est un bug du logiciel.
Exemple : From: "Toto" To: Date: Tue, 25 Jul 2000 18:00:26 +0200 blablabla ... on_fait_remplissage <commandes_pour_charger_un_fichier_depuis_le_web_et_lexecuter> Subject: Les virus et les messages Message-ID: <002301b$86f8cf20$ MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
Le logiciel buggé va lire une partie du champ Date puis ensuite, il va lire la suite de cette ligne et; hop, il tombe sur une commande nocive qu'il va exécuter.
Ce bug arrive. Actuellement seules certaines versions d'Outlook Express semble avoir ce bug sur le champ Date.
Il n'existe à ce jour, aucun AntiVirus capable de détecter dans un message lors du téléchargement, un virus "BufferOverflow" dans les entêtes. Un patch existe (http://www.microsoft.com/windows/ie/download/critical/patch9.htm) mais il ne fonctionne pas pour toutes les versions, ni pour tous les systèmes d'exploitation.
Le plus simple serait d'insister sur l'importance des mises à jour en expliquant qu'il y a des risques avec des failles qui font que des instructions malicieuses pourront être exécutées.
Outlook Express ne peut pas non plus filtrer sur la longueur du champ Date, seul le serveur peut le faire.
En résumé : Le virus arrive avec un message. Il s'exécute automatiquement lors du téléchargement. L'utilisateur de Outlook Express n'a aucun moyen sur d'éviter ce virus.
Il me semble que la configuration par défaut a été corrigée.
La seule protection est de ne plus utiliser Outlook Express en dessous de la version 5.5 !
C'est en anglais et le document est introuvable...
4. Les Virus dans les pièces jointes Ce virus va s'activer dès que l'on va l'exécuter. Il ne faut donc JAMAIS exécuter un pièce jointe sans savoir avec certitude son contenu. Quelque soit le système d'exploitation, on fait des actions sur un fichier en fonction de son extension. Ainsi un fichier avec l'extension :
- .txt sera ouvert par un éditeur de texte - .zip par un décompresseur - .exe sera exécuté etc.
a- Afficher les extensions
L'extension est donc importante. Elle est toujours visible sauf sous Windows ! Il est configuré d'origine pour masquer les extensions des fichiers connus. Ainsi quand un fichier s'appelle « titi.txt.vbs », seule la dernière extension sera prise pour une extension et masquée à l'affichage faisant croire à un fichier texte. Si un logiciel de courrier prend cette information dans la base des registres, cela peut être ..... « gênant ».
Il faut donc absolument modifier la configuration de Windows :
- Cliquez sur «Démarrer», aller à "Paramètres" ou - Lancer l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...". Dans la fenêtre qui s'affiche, - aller à l'onglet "Affichage" - décocher "Masquer l'extension des fichiers dont le type est connu".
Quels sont les types de fichiers dangereux ?
Ce sont ceux que vous *ne connaissez pas* et certains connus pour pouvoir contenir des virus tels que :
Connaître l'extension est une bonne chose, encore faut-il ne pas faire la mauvaise action sur un fichier par distraction ! Si vous éditez un exécutable, il ne vous arrivera rien mais voilà Windows permet d'associer une extension à des actions prédéfinies (on les a en cliquant à droite sur le fichier) dont une par défaut (en gras dans le menu contextuel).
Le plus souvent c'est : "Ouvrir" c'est à dire « exécuter un logiciel déterminé avec le fichier en argument ».
Pour un fichier *.txt, cela voudra dire le lire avec le bloc-note. Pour un fichier en *.doc, cela sera avec Wordpad ou Word. les gif seront vus dans Internet Explorer etc..
Pour des scripts .VBS ou .JS (qui peuvent contenir des commandes très dangereuses), l'action par défaut est "Ouvrir" qui, exécute le script si le logiciel WScript (ou un autre) est installé (d'office sur Win98) :
Autrement dit, en cliquant sur un fichier ayant son extension masquée et dont le nom qui s'affiche est titi.txt (mais ayant comme nom complet titi.txt.vbs), le script s'exécute et on comprend comment les gens se font avoir !
Pour éviter cela, ils vous faut contrôler ces associations.
- Cliquez sur «Démarrer», aller à "Paramètres" ou - Lancez l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...". Dans la fenêtre qui s'affiche,
- Allez à l'onglet "Types des fichiers"
- Sélectionnez le type de fichier que vous voulez modifier.
- Cliquez sur «Modifier...». Dans la fenêtre qui s'ouvre :
+ Modifiez les "Actions" par défaut des fichiers pouvant contenir des virus (Ainsi en cliquant sur ces fichiers, vous n'obtiendrez que l'ouverture d'un éditeur de texte !
« .vbs » et « .js » : L'action par défaut est l'exécution par WHScript. Sélectionner "Modifier" et cliquer sur «Par défaut»
« .reg », L'action par défaut est "Fusionner" (inscription dans la base des registres !) Sélectionner "Édition" et cliquer sur «Par défaut»
(*) sert à avoir une boîte de dialogue dans des logiciels de courrier reprenant les informations contenus dans la base des registres. Outlook Express s'en sert et avertit d'un possible danger et donnant le choix entre enregistrer la PJ ou faire l'action par défaut. Elle est d'origine cochée mais si on décoche une seule fois « montrer cette avertissement à chaque fois », l'option se retrouve décochée dans la bdr aussi !
« Ouvrir » est un faux-ami, surtout quand on croit avoir à faire à un fichier texte ! Il est donc vivement conseillé de changer l'intitulé. Ainsi pour les « .js » et « .vbs », renommer "Ouvrir" par "Exécuter le script" peut éviter bien des confusions.
Pour modifier le nom d'une commande dans le menu contextuel, reprenez la procédure décrite ci-dessus et :
Sélectionner le nom de la commande à renommer dans la fenêtre "Actions" et cliquez sur «Modifier...»
Dans la fenêtre "Modification de l'action pour le type : ..." : Faire un « copier » de la commande "Application utilisée" puis cliquer sur «Annuler».
Cliquez sur «Nouveau...». La fenêtre "Nouvelle action" s'ouvre.
Dans "Action" mettre : « &NomQueVousVoulezAvoir » (par exemple « &Exécution d'un script VBS »).
Dans "Application utilisée pour faire l'action" faire un « coller » de la commande précédemment copiée. Cliquez sur «OK».
Assurez-vous que votre nouvelle action est bien présente avec les autres, sélectionnez de nouveau l'action "Ouvrir" et supprimez-la.
La nouvelle action est désormais présente au menu contextuel de ce type de fichier avec un raccourci (lettre soulignée dans le mot, celle qui suivait le « & » dans le nom de l'action).
Attention il est INDISPENSABLE d'afficher les extensions pour être sur de ne pas se faire avoir car il est impossible de modifier les actions d'un « .exe » ou « .com » qui peuvent eux aussi s'appeler titi.txt.exe ! (accessoirement, la procédure ci-dessus vous permet de créer toutes les actions que vous voulez ou d'associer des types de fichiers aux logiciels que vous voulez)
c- Et Après ?
Certaines associations sont déterminées d'origine mais elles peuvent changer à chaque installation d'un nouveau logiciel ! En effet beaucoup de logiciels « veulent tirer la couverture » à eux en s'attribuant d'office une ou plusieurs extensions sans demander l'avis de l'utilisateur et ne se gènent pas pour faire des inscriptions dans la base des registres pour modifier les associations!
On peut alors se retrouver dans des situations embêtantes quand deux logiciels différents définissent la même extension (Exemple : les scripts de Hamster sont en *.hsc et sont des fichiers textes. En installant HelpSCribble, les *.hsc sont automatiquement attribués à ce logiciel).
Voire même dans des situations dangereuses : si un logiciel possède un interpréteur d'un quelconque langage de script, vous pouvez vous retrouver (alors que vous pensez être à l'abri) avec un interpréteur par défaut qui se lancera dès que vous cliquerez sur un type de fichier.
Il vous faut donc aller jeter un coup d'oeil à vos associations de fichiers à chaque installation de nouveaux logiciels pour évitez les mauvaises surprises.
Enfin, si vous voulez tester votre système, vous pouvez le faire avec les exemples de scripts écrits en Visual Basic et Javascript dans « c:windowssampleswsh » ou faire un « copié/collé » des deux scripts (ne faisant que rajouter sur le bureau un raccourci vers le bloc-note) ci-dessous dans un éditeur de texte en les enregistrant respectivement avec un « nom.js » et un « nom.vbs ». Puis vous vous envoyez en pièce jointe ces fichiers par exemple.
Recopiez ce qu'il y a ci-desous dans un fichier avec une extension « js ».
var WSHShell = WScript.CreateObject("WScript.Shell"); var DesktopPath = WSHShell.SpecialFolders("Desktop"); var MyShortcut = WSHShell.CreateShortcut(DesktopPath + "Raccourci vers le Bloc-notes ajouté par un script JS.lnk"); MyShortcut.TargetPath > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe"); MyShortcut.WorkingDirectory > WSHShell.ExpandEnvironmentStrings("%windir%"); MyShortcut.WindowStyle = 4; MyShortcut.IconLocation > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe, 0"); MyShortcut.Save(); WScript.Echo("Un script en JS vient d'être exécuté et vous avez maintenant un raccourci vers le Bloc-notes présent sur votre Bureau.");
Recopiez ce qu'il y a ci-desous dans un fichier avec une extension « vbs ».
Dim WSHShell Set WSHShell = WScript.CreateObject("WScript.Shell") Dim MyShortcut, MyDesktop, DesktopPath DesktopPath = WSHShell.SpecialFolders("Desktop") Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & "Raccourci vers le Bloc-notes ajouté par un script VBS.lnk") MyShortcut.TargetPath > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe") MyShortcut.WorkingDirectory > WSHShell.ExpandEnvironmentStrings("%windir%") MyShortcut.WindowStyle = 4 MyShortcut.IconLocation > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe, 0") MyShortcut.Save WScript.Echo "Un script en VBS vient d'être exécuté et vous avez maintenant un raccourci vers le Bloc-notes présent sur votre Bureau."
-- Avertissement : certains passages de ce texte sont susceptibles de heurter la sensibilité de nos lecteurs les plus romantiques.
Bonjour
Avertissement : la FAQ dont il est question est publiée sur fr.comp.mail,
fr.comp.securite.virus, fr.comp.os.ms-windows et fr.usenet.reponses
Dans la mesure où elle vise 3 forums ordinaires, je considère que le plus
simple est que cette annonce vise ces forums mais que la discussion se
tienne sur fr.usenet.divers : j'ai donc positionné le suivi en ce sens.
Il y a une discussion en cours en ce moment sur news:fr.usenet.divers au
sujet de la mise à jour des FAQ qui sont publiées automatiquement tous les
15 jours.
J'ai commencé à relire certains documents dont celui sur les "virus et les
messages".
Ce document remonte à 2001, autant dire l'antiquité, les adresses sont
souvent périmées ou inadaptées (ressources en anglais alors que l'on a
aussi bien en français,...), le plan me parait améliorable,...
Et surtout, la FAQ de fr.comp.securité.virus me semble répondre bien mieux
aux attentes du lectorat.
J'ai donc envoyé ce qui suit à l'adresse de contact figurant sur la FAQ mais
je crains que cette adresse ne soit plus en service. Je me permets donc de
publier ici mes commentaires sur cette FAQ, l'idée serait qu'elle ne soit
plus publiée, mais remplacée (sur fcm et fcom) par la FAQ de fcsv.
Qu'en pensez-vous ?
====================================================================
Brina a écrit:
Un peu plus de 4 ans, les choses ont peut-être évolué depuis...
A noter qu'il y a eu un renommage automatique (fr.usenet.logiciel vers
comp.usenet.lecteur-de-news) mais le problème est que la FAQ visée ([FAQ]
Outlook Express et les News) n'est plus envoyée.
La version texte est aussi publiée sur <news:fr.comp.mail>,
<news:fr.comp.securite>,<news:fr.comp.os.ms-windows.win95>,
<news:fr.comp.os.ms-windows.winnt> et <news:fr.usenet.reponses>.
Il faudrait mettre à jour les forums "windows" (fr.comp.os.ms-windows)
La version HTML de ce document est disponible à l'adresse :
<http://Courriels.free.fr/virus.htm>.
Le document html existe toujours par contre lui non plus n'est pas maintenu
(il vise toujours fr.usenet.logiciels)
Ce document est une Foire Aux Questions autrement dit les réponses
aux questions fréquemment posées sur les virus dans le courrier
électronique (mais par analogie la plupart des points sont aussi
valables pour les forums).
Je ne comprends pas le sens de ce paragraphe.
Le titre ne devrait-il pas être plutôt quelque chose comme "virus circulant
par messagerie électronique" ?
Si vous constatez qu'une procédure décrite ne correspond pas à la
réalité ou qu'il y a des oublis ainsi que des effets indésirables,
merci de m'en aviser.
Toutes les critiques et suggestions sont les bienvenues à l'auteur.
Si vous rencontrez des problèmes, si vous avez des questions auxquelles
cette Faq ne répond pas concernant :
- la sécurité, postez-les sur le forum <news:fr.comp.securite>
fr.comp.securite.virus me semble préférable, surtout que fcs est modéré.
- la configuration de votre logiciel de courrier, posez-la dans
le forum <news:fr.comp.mail>.
Là aussi : parler de la configuration du lecteur de courrier électronique
plutôt que du logiciel de courrier du fait de la création du groupe dédié
aux serveurs de courriers.
- Windows 95/98 (ou de Windows NT/2000) ont leur place dans
le forum <news:fr.comp.os.ms-windows.win95>
(ou <news:fr.comp.os.ms-windows.winnt>).
Là encore, mettre à jour.
Vous avez le droit d'utiliser librement de courts extraits de ce
document à condition de ne pas modifier le texte. Vous avez également
le droit d'utiliser librement n'importe quelle partie de la section
ci-dessus. Toute autre utilisation de ce document devra faire l'objet
de l'accord préalable de l'auteur.
Il faudrait peut-être (ce n'est qu'une proposition) utiliser une licence
plus récente comme http://fr.creativecommons.org si l'on veut faire en
sorte que le document vive davantage (ce n'est que mon opinion)
SOMMAIRE
Préface
1.Les alertes aux virus : les Hoax !
2.Les virus dans un message en HTML
3.Les virus dans les entêtes
4.Les Virus dans les pièces jointes
a- Afficher les extensions
b- Modifier les actions par défaut
c- Et après ?
Annexes : happy99 et kak
URL sur les macro sur MacOS
La présentation en reprenant http://fr.wikipedia.org/wiki/Malware serait
sûrement de meilleure qualité et moins datée.
Un message (que ce soit d'ailleurs dans le courrier ou dans les forums)
peut véhiculer des virus.
Il est pourtant facile de ne pas être infecté même avec les plus méchants
en faisant simplement attention à ce que l'on fait.
Un virus est avant tout un ensemble de commandes agissant sur votre
système d'exploitation et/ou sur certains de vos programmes. Il faut
pour qu'il agisse que ces commandes, d'une manière ou d'une autre
arrivent sur votre ordinateur et s'exécutent.
Ces commandes arrivent de quatre manières :
- Sous forme d'un alerte à diffuser !
- Dans un message en HTML sous forme d'un script intégré.
- Dans les entêtes d'un message, le champ Date, plus exactement.
- Dans un fichier joint au message.
Reste l'exécution pour que le virus fasse son ouvrage .....
Insérer "(Que vous "cliquiez" sur le message ou que votre logiciel de
messagerie ne soit pas correctement configuré)" afin de rendre plus
compréhensible que "exécution"
1. Les alertes aux virus : les Hoax !
Définir d'abord ce que sont les hoax avant de parler
du mécanisme et des effets.
utiliser par exemple (http://www.hoaxbuster.com/hoaxcenter/varietes.php
et http://www.hoaxkiller.fr/questce/generalites.htm)
Bien souvent le virus en question est l'alarme elle-même.
En effet, certain de bien faire, vous allez diffuser cette
informationà tout votre carnet d'adresse et dans tous les forums
que vous lisez, même ceux que vous ne lisez pas tant qu'à faire.
Et tout le monde fait la même chose !
Là est une source réelle de pollution des boîtes aux lettres et
des forums.
Alors raisonnez-vous, réfléchissez et ne jouez pas le jeu
des nuisibles qui lancent ces rumeurs appelées aussi « Hoax ».
À ce propos, on peut lire les sites et taper dans leur moteur
de recherche le nom du virus ou un extrait caractéristique du message
d'alerte :
Préférer http://www.secuser.com/alertes/ qui présente les hoax les virus et
le signalement de vulmérabiliés.
2. Les virus dans un message en HTML
Ce n'est pas le HTML en lui-même qui est dangereux : il n'y aucune balise
HTML qui soit nocive. Par contre, un fichier HTML peut contenir des bouts
de code Java, JavaScript ou Visual Basic Script.
Quand ils sont interprétés par un logiciel permettant de visualiser le
HTML, ils peuvent s'exécuter et là tout peut arriver.
Vous ne courrez aucun danger si votre logiciel de courrier électronique
(et donc par analogie les logiciels de lecture des forums) ne permet
pas de visualiser le HTML.
Pour ceux qui peuvent le faire, il faut s'assurer qu'ils ne peuvent
interpréter ce qui est dangereux.
Un logiciel bien conçu doit :
soit ne pas pouvoir interpréter les scripts dans un message en HTML
soit avoir une configuration d'origine ne le permettant pas
(laissant ainsi l'utilisateur averti modifier la configuration).
Hélas, ce n'est pas le cas pour tous et il y a donc deux catégories de
logiciels : les bons et les « programmés et configurés avec les pieds ».
Je pense qu'il faut reformuler et réordonner les trois paragraphes
précédents si l'on considère maintenant que 90% des logiciels permettent de
lire par défaut de n'afficher le html que sur demande expresse
Vous devez maintenant vérifier si vous êtes protégé contre ce type de
virus.
1er Cas : Vous utilisez un logiciel ne permettant pas du tout visualiser
un message en HTML. Vous ne voyez soit que le code source en
mode texte soit rien du tout !
Vous ne risquez rien à ouvrir message en HTML !
C'est le cas par exemple de Kaufman Warrior.
Ok. le logiciel existe toujours
2ème Cas : Votre logiciel permet de voir la partie texte du message avec
une pièce jointe en HTML (ce qui vous permet de l'ouvrir avec
votre navigateur Web).
Exemple : Becky! si vous n'avez pas MSIE.
3ème Cas : Ceux pouvant visualiser le HTML mais qui ne peuvent
interpréter les scripts.
Notons que pour les deux derniers, le logiciel peut modifier à la
réception la partie HTML (que ce soit en pièce jointe ou en le
visualisant directement) afin de rendre le script inexécutable. Cela
évite en cas de transfert du courrier à une autre personne d'envoyer un
message avec un virus (cas de Becky!) !
4ème Cas : Les logiciels visualisant le HTML et interprétant les scripts
(ce sont en général ceux permettant d'écrire des messages en
HTML, c'est-à-dire ayant un éditeur HTML).
Ce sont des logiciels dangereux car il n'y a aucune raison de recevoir
des scripts dans un courrier. Ils sont d'autant plus mal faits et
dangereux s'ils ne permettent pas de désactiver l'interprétation des
scripts et si la configuration d'origine l'active.
Les pires dans ce domaine sont Outlook Express et Netscape
Communicator : ils peuvent interpréter les scripts et cette
possibilité est activée d'origine !
Outlook Express a quand même évolué et n'est plus une passoire.
ne pas oublier non plus les mises à jour en ligne
cf http://www.arobase.org/oe/oe6.htm
comme alternative à OE préférer thunderbird à Communicator ?
Pour Netscape Communicator
- Aller dans le menu "Édition" puis "Préférences" et/ou (selon
les versions) "Avancées".
- Décochez : "Activer java" et "Activer javascript pour les
courriers et le forum".
Attention ce n'est pas possible pour certaines anciennes versions.
Dans ce cas, faîtes une mise à jour ou changez de logiciel !
Pour Outlook Express, c'est plus compliqué :
Il faut changer la zone de sécurité c'est-à-dire en choisir une
('zone des sites sensibles' par exemple) dans Outlook Express puis
la configurer dans Internet Explorer en désactivant tout. (Pour
la procédure détaillée, voir la « [FAQ] Outlook Express et les News »
publiée en version texte est sur <news:fr.comp.usenet.lecteurs-de-news>
et <news:fr.usenet.reponses>.
(La version HTML de ce document est disponible à l'adresse :
<http://UsenetFR.free.fr/faqoe.htm#VirusHTML>.)
Ce document ne serait plus publié sur usenet.
3. Les virus dans les entêtes
Les entêtes d'un message contiennent des lignes comme :
From: "Toto" <toto@titi.cmo
To: <tata@titi.cmo>
Date: Tue, 25 Jul 2000 18:00:26 +0200
Subject: Les virus et les messages
Message-ID: <002301b$86f8cf20$32a053d4@titi.cmo>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Quand votre logiciel va chercher un message sur un serveur, il "lit"
certaines lignes d'entêtes (c'est comme cela qu'on peut filtrer au
chargement) ce qui revient à exécuter la commande correspondant à
l'entête lue.
En réalité, il met le contenu d'une ligne en mémoire (dans un "buffer")
puis exécute ce qui correspond à ce qu'il lit dans ce buffer. Ensuite, il
continue en traitant ce qui se trouve après de ce qu'il vient de mettre
dans le buffer.
Exemple :
Il "lit" la première ligne et le buffer contient :
« From: "Toto" <toto@titi.cmo> ».
Ensuite, il va mettre dans le buffer ce qui suit cette chaîne
de caractères c'est à dire :
« To: <tata@titi.cmo> ».
Et ainsi de suite.
Si la taille du buffer est trop limitée et la longueur de la ligne trop
grande, il ne pourra contenir toute la ligne et à la lecture suivant, il
contiendra le reste de la ligne. Et ce reste sera alors interprété par le
logiciel comme une commande à exécuter. Et si ce reste est une commande
nocive (donc un virus), vous voilà infecté !
Logiquement ce type de débordement du buffer (on dit « buffer-overflow »)
ne doit pas arriver : c'est un bug du logiciel.
Exemple :
From: "Toto" <toto@titi.cmo>
To: <tata@titi.cmo>
Date: Tue, 25 Jul 2000 18:00:26 +0200 blablabla ... on_fait_remplissage
<commandes_pour_charger_un_fichier_depuis_le_web_et_lexecuter>
Subject: Les virus et les messages
Message-ID: <002301b$86f8cf20$32a053d4@titi.cmo>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Le logiciel buggé va lire une partie du champ Date puis ensuite, il va
lire la suite de cette ligne et; hop, il tombe sur une commande nocive
qu'il va exécuter.
Ce bug arrive. Actuellement seules certaines versions d'Outlook
Express semble avoir ce bug sur le champ Date.
Il n'existe à ce jour, aucun AntiVirus capable de détecter dans
un message lors du téléchargement, un virus "BufferOverflow" dans
les entêtes. Un patch existe
(http://www.microsoft.com/windows/ie/download/critical/patch9.htm)
mais il ne fonctionne pas pour toutes les versions, ni pour tous
les systèmes d'exploitation.
l'adresse a été mise à jour :
http://www.microsoft.com/windows/ie/downloads/critical/patch9/default.asp
De plus c'est une alerte concernant OE 5.5 qui remonte à il y a plus de 5
ans.
Le plus simple serait d'insister sur l'importance des mises à jour en
expliquant qu'il y a des risques avec des failles qui font que des
instructions malicieuses pourront être exécutées.
Outlook Express ne peut pas non plus filtrer sur la longueur du
champ Date, seul le serveur peut le faire.
En résumé :
Le virus arrive avec un message.
Il s'exécute automatiquement lors du téléchargement.
L'utilisateur de Outlook Express n'a aucun moyen sur d'éviter ce
virus.
Il me semble que la configuration par défaut a été corrigée.
La seule protection est de ne plus utiliser Outlook Express en
dessous de la version 5.5 !
C'est en anglais et le document est introuvable...
4. Les Virus dans les pièces jointes
Ce virus va s'activer dès que l'on va l'exécuter. Il ne faut donc
JAMAIS exécuter un pièce jointe sans savoir avec certitude son contenu.
Quelque soit le système d'exploitation, on fait des actions sur un
fichier en fonction de son extension. Ainsi un fichier avec l'extension :
- .txt sera ouvert par un éditeur de texte
- .zip par un décompresseur
- .exe sera exécuté etc.
a- Afficher les extensions
L'extension est donc importante. Elle est toujours visible sauf sous
Windows !
Il est configuré d'origine pour masquer les extensions des fichiers
connus. Ainsi quand un fichier s'appelle « titi.txt.vbs », seule la
dernière extension sera prise pour une extension et masquée à
l'affichage faisant croire à un fichier texte. Si un logiciel de
courrier prend cette information dans la base des registres,
cela peut être ..... « gênant ».
Il faut donc absolument modifier la configuration de Windows :
- Cliquez sur «Démarrer», aller à "Paramètres"
ou
- Lancer l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...".
Dans la fenêtre qui s'affiche,
- aller à l'onglet "Affichage"
- décocher "Masquer l'extension des fichiers dont le type
est connu".
Quels sont les types de fichiers dangereux ?
Ce sont ceux que vous *ne connaissez pas* et certains
connus pour pouvoir contenir des virus tels que :
Connaître l'extension est une bonne chose, encore faut-il ne pas
faire la mauvaise action sur un fichier par distraction ! Si vous
éditez un exécutable, il ne vous arrivera rien mais voilà Windows
permet d'associer une extension à des actions prédéfinies (on les
a en cliquant à droite sur le fichier) dont une par défaut
(en gras dans le menu contextuel).
Le plus souvent c'est : "Ouvrir" c'est à dire « exécuter un logiciel
déterminé avec le fichier en argument ».
Pour un fichier *.txt, cela voudra dire le lire avec le bloc-note.
Pour un fichier en *.doc, cela sera avec Wordpad ou Word.
les gif seront vus dans Internet Explorer etc..
Pour des scripts .VBS ou .JS (qui peuvent contenir des commandes
très dangereuses), l'action par défaut est "Ouvrir" qui, exécute
le script si le logiciel WScript (ou un autre) est installé
(d'office sur Win98) :
Autrement dit, en cliquant sur un fichier ayant son extension
masquée et dont le nom qui s'affiche est titi.txt (mais ayant
comme nom complet titi.txt.vbs), le script s'exécute et on
comprend comment les gens se font avoir !
Pour éviter cela, ils vous faut contrôler ces associations.
- Cliquez sur «Démarrer», aller à "Paramètres"
ou
- Lancez l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...".
Dans la fenêtre qui s'affiche,
- Allez à l'onglet "Types des fichiers"
- Sélectionnez le type de fichier que vous voulez modifier.
- Cliquez sur «Modifier...». Dans la fenêtre qui s'ouvre :
+ Modifiez les "Actions" par défaut des fichiers pouvant
contenir des virus (Ainsi en cliquant sur ces fichiers,
vous n'obtiendrez que l'ouverture d'un éditeur de texte !
« .vbs » et « .js » :
L'action par défaut est l'exécution par WHScript.
Sélectionner "Modifier" et cliquer sur «Par défaut»
« .reg »,
L'action par défaut est "Fusionner"
(inscription dans la base des registres !)
Sélectionner "Édition" et cliquer sur «Par défaut»
(*) sert à avoir une boîte de dialogue dans des logiciels de
courrier reprenant les informations contenus dans la base des
registres. Outlook Express s'en sert et avertit d'un possible
danger et donnant le choix entre enregistrer la PJ ou faire
l'action par défaut. Elle est d'origine cochée mais si on décoche
une seule fois « montrer cette avertissement à chaque fois »,
l'option se retrouve décochée dans la bdr aussi !
« Ouvrir » est un faux-ami, surtout quand on croit avoir à faire
à un fichier texte ! Il est donc vivement conseillé de changer
l'intitulé. Ainsi pour les « .js » et « .vbs », renommer "Ouvrir"
par "Exécuter le script" peut éviter bien des confusions.
Pour modifier le nom d'une commande dans le menu contextuel,
reprenez la procédure décrite ci-dessus et :
Sélectionner le nom de la commande à renommer dans
la fenêtre "Actions" et cliquez sur «Modifier...»
Dans la fenêtre "Modification de l'action pour le type : ..." :
Faire un « copier » de la commande "Application utilisée"
puis cliquer sur «Annuler».
Cliquez sur «Nouveau...». La fenêtre "Nouvelle action" s'ouvre.
Dans "Action" mettre :
« &NomQueVousVoulezAvoir » (par exemple
« &Exécution d'un script VBS »).
Dans "Application utilisée pour faire l'action" faire un
« coller » de la commande précédemment copiée.
Cliquez sur «OK».
Assurez-vous que votre nouvelle action est bien présente avec les
autres, sélectionnez de nouveau l'action "Ouvrir" et supprimez-la.
La nouvelle action est désormais présente au menu contextuel de ce
type de fichier avec un raccourci (lettre soulignée dans le mot,
celle qui suivait le « & » dans le nom de l'action).
Attention il est INDISPENSABLE d'afficher les extensions pour être
sur de ne pas se faire avoir car il est impossible de modifier les
actions d'un « .exe » ou « .com » qui peuvent eux aussi s'appeler
titi.txt.exe !
(accessoirement, la procédure ci-dessus vous permet de créer toutes
les actions que vous voulez ou d'associer des types de fichiers aux
logiciels que vous voulez)
c- Et Après ?
Certaines associations sont déterminées d'origine mais elles peuvent
changer à chaque installation d'un nouveau logiciel !
En effet beaucoup de logiciels « veulent tirer la couverture » à eux
en s'attribuant d'office une ou plusieurs extensions sans demander
l'avis de l'utilisateur et ne se gènent pas pour faire des
inscriptions dans la base des registres pour modifier les
associations!
On peut alors se retrouver dans des situations embêtantes quand
deux logiciels différents définissent la même extension
(Exemple : les scripts de Hamster sont en *.hsc et sont des
fichiers textes. En installant HelpSCribble, les *.hsc sont
automatiquement attribués à ce logiciel).
Voire même dans des situations dangereuses : si un logiciel
possède un interpréteur d'un quelconque langage de script,
vous pouvez vous retrouver (alors que vous pensez être à
l'abri) avec un interpréteur par défaut qui se lancera
dès que vous cliquerez sur un type de fichier.
Il vous faut donc aller jeter un coup d'oeil à vos associations de
fichiers à chaque installation de nouveaux logiciels pour évitez
les mauvaises surprises.
Enfin, si vous voulez tester votre système, vous pouvez le faire
avec les exemples de scripts écrits en Visual Basic et Javascript
dans « c:windowssampleswsh » ou faire un « copié/collé » des
deux scripts (ne faisant que rajouter sur le bureau un raccourci
vers le bloc-note) ci-dessous dans un éditeur de texte en les
enregistrant respectivement avec un « nom.js » et un « nom.vbs ».
Puis vous vous envoyez en pièce jointe ces fichiers par exemple.
Recopiez ce qu'il y a ci-desous dans un fichier avec une
extension « js ».
var WSHShell = WScript.CreateObject("WScript.Shell");
var DesktopPath = WSHShell.SpecialFolders("Desktop");
var MyShortcut = WSHShell.CreateShortcut(DesktopPath +
"\Raccourci vers le Bloc-notes ajouté par un script JS.lnk");
MyShortcut.TargetPath > WSHShell.ExpandEnvironmentStrings("%windir%\notepad.exe");
MyShortcut.WorkingDirectory > WSHShell.ExpandEnvironmentStrings("%windir%");
MyShortcut.WindowStyle = 4;
MyShortcut.IconLocation > WSHShell.ExpandEnvironmentStrings("%windir%\notepad.exe, 0");
MyShortcut.Save();
WScript.Echo("Un script en JS vient d'être exécuté et vous avez
maintenant un raccourci vers le Bloc-notes présent sur votre Bureau.");
Recopiez ce qu'il y a ci-desous dans un fichier avec une
extension « vbs ».
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim MyShortcut, MyDesktop, DesktopPath
DesktopPath = WSHShell.SpecialFolders("Desktop")
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath &
"Raccourci vers le Bloc-notes ajouté par un script VBS.lnk")
MyShortcut.TargetPath > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe")
MyShortcut.WorkingDirectory > WSHShell.ExpandEnvironmentStrings("%windir%")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe, 0")
MyShortcut.Save
WScript.Echo "Un script en VBS vient d'être exécuté et vous avez
maintenant un raccourci vers le Bloc-notes présent sur votre Bureau."
Annexes : Deux virus Kak et Happy99 ont sévi. Vous trouvez sur les
pages suivantes, les procédures de désinfection :
<http://Courriels.free.fr/happy99.htm>
<http://Courriels.free.fr/kak.htm>
Ces références sont trop vieilles. les alertes microsoft et secuser
devraient suffire et être plus fiables parce que génériques.
<URL:http://macpropre.citeweb.net/>
--
Avertissement : certains passages de ce texte sont susceptibles de heurter
la sensibilité de nos lecteurs les plus romantiques.
Avertissement : la FAQ dont il est question est publiée sur fr.comp.mail, fr.comp.securite.virus, fr.comp.os.ms-windows et fr.usenet.reponses
Dans la mesure où elle vise 3 forums ordinaires, je considère que le plus simple est que cette annonce vise ces forums mais que la discussion se tienne sur fr.usenet.divers : j'ai donc positionné le suivi en ce sens.
Il y a une discussion en cours en ce moment sur news:fr.usenet.divers au sujet de la mise à jour des FAQ qui sont publiées automatiquement tous les 15 jours.
J'ai commencé à relire certains documents dont celui sur les "virus et les messages".
Ce document remonte à 2001, autant dire l'antiquité, les adresses sont souvent périmées ou inadaptées (ressources en anglais alors que l'on a aussi bien en français,...), le plan me parait améliorable,...
Et surtout, la FAQ de fr.comp.securité.virus me semble répondre bien mieux aux attentes du lectorat.
J'ai donc envoyé ce qui suit à l'adresse de contact figurant sur la FAQ mais je crains que cette adresse ne soit plus en service. Je me permets donc de publier ici mes commentaires sur cette FAQ, l'idée serait qu'elle ne soit plus publiée, mais remplacée (sur fcm et fcom) par la FAQ de fcsv.
Qu'en pensez-vous ?
==================================================================== Brina a écrit:
Un peu plus de 4 ans, les choses ont peut-être évolué depuis... A noter qu'il y a eu un renommage automatique (fr.usenet.logiciel vers comp.usenet.lecteur-de-news) mais le problème est que la FAQ visée ([FAQ] Outlook Express et les News) n'est plus envoyée.
La version texte est aussi publiée sur <news:fr.comp.mail>, <news:fr.comp.securite>,<news:fr.comp.os.ms-windows.win95>, <news:fr.comp.os.ms-windows.winnt> et <news:fr.usenet.reponses>.
Il faudrait mettre à jour les forums "windows" (fr.comp.os.ms-windows)
Le document html existe toujours par contre lui non plus n'est pas maintenu (il vise toujours fr.usenet.logiciels)
Ce document est une Foire Aux Questions autrement dit les réponses aux questions fréquemment posées sur les virus dans le courrier électronique (mais par analogie la plupart des points sont aussi valables pour les forums).
Je ne comprends pas le sens de ce paragraphe.
Le titre ne devrait-il pas être plutôt quelque chose comme "virus circulant par messagerie électronique" ?
Si vous constatez qu'une procédure décrite ne correspond pas à la réalité ou qu'il y a des oublis ainsi que des effets indésirables, merci de m'en aviser. Toutes les critiques et suggestions sont les bienvenues à l'auteur.
Si vous rencontrez des problèmes, si vous avez des questions auxquelles cette Faq ne répond pas concernant :
- la sécurité, postez-les sur le forum <news:fr.comp.securite>
fr.comp.securite.virus me semble préférable, surtout que fcs est modéré.
- la configuration de votre logiciel de courrier, posez-la dans le forum <news:fr.comp.mail>.
Là aussi : parler de la configuration du lecteur de courrier électronique plutôt que du logiciel de courrier du fait de la création du groupe dédié aux serveurs de courriers.
- Windows 95/98 (ou de Windows NT/2000) ont leur place dans le forum <news:fr.comp.os.ms-windows.win95> (ou <news:fr.comp.os.ms-windows.winnt>).
Là encore, mettre à jour.
Vous avez le droit d'utiliser librement de courts extraits de ce document à condition de ne pas modifier le texte. Vous avez également le droit d'utiliser librement n'importe quelle partie de la section ci-dessus. Toute autre utilisation de ce document devra faire l'objet de l'accord préalable de l'auteur.
Il faudrait peut-être (ce n'est qu'une proposition) utiliser une licence plus récente comme http://fr.creativecommons.org si l'on veut faire en sorte que le document vive davantage (ce n'est que mon opinion)
SOMMAIRE
Préface 1.Les alertes aux virus : les Hoax ! 2.Les virus dans un message en HTML 3.Les virus dans les entêtes 4.Les Virus dans les pièces jointes a- Afficher les extensions b- Modifier les actions par défaut c- Et après ? Annexes : happy99 et kak URL sur les macro sur MacOS
Un message (que ce soit d'ailleurs dans le courrier ou dans les forums) peut véhiculer des virus. Il est pourtant facile de ne pas être infecté même avec les plus méchants en faisant simplement attention à ce que l'on fait.
Un virus est avant tout un ensemble de commandes agissant sur votre système d'exploitation et/ou sur certains de vos programmes. Il faut pour qu'il agisse que ces commandes, d'une manière ou d'une autre arrivent sur votre ordinateur et s'exécutent.
Ces commandes arrivent de quatre manières :
- Sous forme d'un alerte à diffuser ! - Dans un message en HTML sous forme d'un script intégré. - Dans les entêtes d'un message, le champ Date, plus exactement. - Dans un fichier joint au message.
Reste l'exécution pour que le virus fasse son ouvrage .....
Insérer "(Que vous "cliquiez" sur le message ou que votre logiciel de messagerie ne soit pas correctement configuré)" afin de rendre plus compréhensible que "exécution"
Bien souvent le virus en question est l'alarme elle-même. En effet, certain de bien faire, vous allez diffuser cette informationà tout votre carnet d'adresse et dans tous les forums que vous lisez, même ceux que vous ne lisez pas tant qu'à faire. Et tout le monde fait la même chose !
Là est une source réelle de pollution des boîtes aux lettres et des forums.
Alors raisonnez-vous, réfléchissez et ne jouez pas le jeu des nuisibles qui lancent ces rumeurs appelées aussi « Hoax ».
À ce propos, on peut lire les sites et taper dans leur moteur de recherche le nom du virus ou un extrait caractéristique du message d'alerte :
Ce n'est pas le HTML en lui-même qui est dangereux : il n'y aucune balise HTML qui soit nocive. Par contre, un fichier HTML peut contenir des bouts de code Java, JavaScript ou Visual Basic Script. Quand ils sont interprétés par un logiciel permettant de visualiser le HTML, ils peuvent s'exécuter et là tout peut arriver.
Vous ne courrez aucun danger si votre logiciel de courrier électronique (et donc par analogie les logiciels de lecture des forums) ne permet pas de visualiser le HTML.
Pour ceux qui peuvent le faire, il faut s'assurer qu'ils ne peuvent interpréter ce qui est dangereux. Un logiciel bien conçu doit :
soit ne pas pouvoir interpréter les scripts dans un message en HTML soit avoir une configuration d'origine ne le permettant pas (laissant ainsi l'utilisateur averti modifier la configuration).
Hélas, ce n'est pas le cas pour tous et il y a donc deux catégories de logiciels : les bons et les « programmés et configurés avec les pieds ».
Je pense qu'il faut reformuler et réordonner les trois paragraphes précédents si l'on considère maintenant que 90% des logiciels permettent de lire par défaut de n'afficher le html que sur demande expresse
Vous devez maintenant vérifier si vous êtes protégé contre ce type de virus.
1er Cas : Vous utilisez un logiciel ne permettant pas du tout visualiser un message en HTML. Vous ne voyez soit que le code source en mode texte soit rien du tout ! Vous ne risquez rien à ouvrir message en HTML ! C'est le cas par exemple de Kaufman Warrior.
Ok. le logiciel existe toujours
2ème Cas : Votre logiciel permet de voir la partie texte du message avec une pièce jointe en HTML (ce qui vous permet de l'ouvrir avec votre navigateur Web). Exemple : Becky! si vous n'avez pas MSIE.
3ème Cas : Ceux pouvant visualiser le HTML mais qui ne peuvent interpréter les scripts.
Notons que pour les deux derniers, le logiciel peut modifier à la réception la partie HTML (que ce soit en pièce jointe ou en le visualisant directement) afin de rendre le script inexécutable. Cela évite en cas de transfert du courrier à une autre personne d'envoyer un message avec un virus (cas de Becky!) !
4ème Cas : Les logiciels visualisant le HTML et interprétant les scripts (ce sont en général ceux permettant d'écrire des messages en HTML, c'est-à-dire ayant un éditeur HTML).
Ce sont des logiciels dangereux car il n'y a aucune raison de recevoir des scripts dans un courrier. Ils sont d'autant plus mal faits et dangereux s'ils ne permettent pas de désactiver l'interprétation des scripts et si la configuration d'origine l'active.
Les pires dans ce domaine sont Outlook Express et Netscape Communicator : ils peuvent interpréter les scripts et cette possibilité est activée d'origine !
Outlook Express a quand même évolué et n'est plus une passoire. ne pas oublier non plus les mises à jour en ligne cf http://www.arobase.org/oe/oe6.htm
comme alternative à OE préférer thunderbird à Communicator ?
Pour Netscape Communicator - Aller dans le menu "Édition" puis "Préférences" et/ou (selon les versions) "Avancées". - Décochez : "Activer java" et "Activer javascript pour les courriers et le forum".
Attention ce n'est pas possible pour certaines anciennes versions. Dans ce cas, faîtes une mise à jour ou changez de logiciel !
Pour Outlook Express, c'est plus compliqué : Il faut changer la zone de sécurité c'est-à-dire en choisir une ('zone des sites sensibles' par exemple) dans Outlook Express puis la configurer dans Internet Explorer en désactivant tout. (Pour la procédure détaillée, voir la « [FAQ] Outlook Express et les News » publiée en version texte est sur <news:fr.comp.usenet.lecteurs-de-news> et <news:fr.usenet.reponses>. (La version HTML de ce document est disponible à l'adresse : <http://UsenetFR.free.fr/faqoe.htm#VirusHTML>.)
Ce document ne serait plus publié sur usenet.
3. Les virus dans les entêtes
Les entêtes d'un message contiennent des lignes comme :
From: "Toto" To: Date: Tue, 25 Jul 2000 18:00:26 +0200 Subject: Les virus et les messages Message-ID: <002301b$86f8cf20$ MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
Quand votre logiciel va chercher un message sur un serveur, il "lit" certaines lignes d'entêtes (c'est comme cela qu'on peut filtrer au chargement) ce qui revient à exécuter la commande correspondant à l'entête lue. En réalité, il met le contenu d'une ligne en mémoire (dans un "buffer") puis exécute ce qui correspond à ce qu'il lit dans ce buffer. Ensuite, il continue en traitant ce qui se trouve après de ce qu'il vient de mettre dans le buffer.
Exemple : Il "lit" la première ligne et le buffer contient : « From: "Toto" ». Ensuite, il va mettre dans le buffer ce qui suit cette chaîne de caractères c'est à dire : « To: ». Et ainsi de suite.
Si la taille du buffer est trop limitée et la longueur de la ligne trop grande, il ne pourra contenir toute la ligne et à la lecture suivant, il contiendra le reste de la ligne. Et ce reste sera alors interprété par le logiciel comme une commande à exécuter. Et si ce reste est une commande nocive (donc un virus), vous voilà infecté !
Logiquement ce type de débordement du buffer (on dit « buffer-overflow ») ne doit pas arriver : c'est un bug du logiciel.
Exemple : From: "Toto" To: Date: Tue, 25 Jul 2000 18:00:26 +0200 blablabla ... on_fait_remplissage <commandes_pour_charger_un_fichier_depuis_le_web_et_lexecuter> Subject: Les virus et les messages Message-ID: <002301b$86f8cf20$ MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
Le logiciel buggé va lire une partie du champ Date puis ensuite, il va lire la suite de cette ligne et; hop, il tombe sur une commande nocive qu'il va exécuter.
Ce bug arrive. Actuellement seules certaines versions d'Outlook Express semble avoir ce bug sur le champ Date.
Il n'existe à ce jour, aucun AntiVirus capable de détecter dans un message lors du téléchargement, un virus "BufferOverflow" dans les entêtes. Un patch existe (http://www.microsoft.com/windows/ie/download/critical/patch9.htm) mais il ne fonctionne pas pour toutes les versions, ni pour tous les systèmes d'exploitation.
Le plus simple serait d'insister sur l'importance des mises à jour en expliquant qu'il y a des risques avec des failles qui font que des instructions malicieuses pourront être exécutées.
Outlook Express ne peut pas non plus filtrer sur la longueur du champ Date, seul le serveur peut le faire.
En résumé : Le virus arrive avec un message. Il s'exécute automatiquement lors du téléchargement. L'utilisateur de Outlook Express n'a aucun moyen sur d'éviter ce virus.
Il me semble que la configuration par défaut a été corrigée.
La seule protection est de ne plus utiliser Outlook Express en dessous de la version 5.5 !
C'est en anglais et le document est introuvable...
4. Les Virus dans les pièces jointes Ce virus va s'activer dès que l'on va l'exécuter. Il ne faut donc JAMAIS exécuter un pièce jointe sans savoir avec certitude son contenu. Quelque soit le système d'exploitation, on fait des actions sur un fichier en fonction de son extension. Ainsi un fichier avec l'extension :
- .txt sera ouvert par un éditeur de texte - .zip par un décompresseur - .exe sera exécuté etc.
a- Afficher les extensions
L'extension est donc importante. Elle est toujours visible sauf sous Windows ! Il est configuré d'origine pour masquer les extensions des fichiers connus. Ainsi quand un fichier s'appelle « titi.txt.vbs », seule la dernière extension sera prise pour une extension et masquée à l'affichage faisant croire à un fichier texte. Si un logiciel de courrier prend cette information dans la base des registres, cela peut être ..... « gênant ».
Il faut donc absolument modifier la configuration de Windows :
- Cliquez sur «Démarrer», aller à "Paramètres" ou - Lancer l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...". Dans la fenêtre qui s'affiche, - aller à l'onglet "Affichage" - décocher "Masquer l'extension des fichiers dont le type est connu".
Quels sont les types de fichiers dangereux ?
Ce sont ceux que vous *ne connaissez pas* et certains connus pour pouvoir contenir des virus tels que :
Connaître l'extension est une bonne chose, encore faut-il ne pas faire la mauvaise action sur un fichier par distraction ! Si vous éditez un exécutable, il ne vous arrivera rien mais voilà Windows permet d'associer une extension à des actions prédéfinies (on les a en cliquant à droite sur le fichier) dont une par défaut (en gras dans le menu contextuel).
Le plus souvent c'est : "Ouvrir" c'est à dire « exécuter un logiciel déterminé avec le fichier en argument ».
Pour un fichier *.txt, cela voudra dire le lire avec le bloc-note. Pour un fichier en *.doc, cela sera avec Wordpad ou Word. les gif seront vus dans Internet Explorer etc..
Pour des scripts .VBS ou .JS (qui peuvent contenir des commandes très dangereuses), l'action par défaut est "Ouvrir" qui, exécute le script si le logiciel WScript (ou un autre) est installé (d'office sur Win98) :
Autrement dit, en cliquant sur un fichier ayant son extension masquée et dont le nom qui s'affiche est titi.txt (mais ayant comme nom complet titi.txt.vbs), le script s'exécute et on comprend comment les gens se font avoir !
Pour éviter cela, ils vous faut contrôler ces associations.
- Cliquez sur «Démarrer», aller à "Paramètres" ou - Lancez l'Explorateur Windows puis aller au menu "Affichage"
Puis choisissez "Options des dossiers...". Dans la fenêtre qui s'affiche,
- Allez à l'onglet "Types des fichiers"
- Sélectionnez le type de fichier que vous voulez modifier.
- Cliquez sur «Modifier...». Dans la fenêtre qui s'ouvre :
+ Modifiez les "Actions" par défaut des fichiers pouvant contenir des virus (Ainsi en cliquant sur ces fichiers, vous n'obtiendrez que l'ouverture d'un éditeur de texte !
« .vbs » et « .js » : L'action par défaut est l'exécution par WHScript. Sélectionner "Modifier" et cliquer sur «Par défaut»
« .reg », L'action par défaut est "Fusionner" (inscription dans la base des registres !) Sélectionner "Édition" et cliquer sur «Par défaut»
(*) sert à avoir une boîte de dialogue dans des logiciels de courrier reprenant les informations contenus dans la base des registres. Outlook Express s'en sert et avertit d'un possible danger et donnant le choix entre enregistrer la PJ ou faire l'action par défaut. Elle est d'origine cochée mais si on décoche une seule fois « montrer cette avertissement à chaque fois », l'option se retrouve décochée dans la bdr aussi !
« Ouvrir » est un faux-ami, surtout quand on croit avoir à faire à un fichier texte ! Il est donc vivement conseillé de changer l'intitulé. Ainsi pour les « .js » et « .vbs », renommer "Ouvrir" par "Exécuter le script" peut éviter bien des confusions.
Pour modifier le nom d'une commande dans le menu contextuel, reprenez la procédure décrite ci-dessus et :
Sélectionner le nom de la commande à renommer dans la fenêtre "Actions" et cliquez sur «Modifier...»
Dans la fenêtre "Modification de l'action pour le type : ..." : Faire un « copier » de la commande "Application utilisée" puis cliquer sur «Annuler».
Cliquez sur «Nouveau...». La fenêtre "Nouvelle action" s'ouvre.
Dans "Action" mettre : « &NomQueVousVoulezAvoir » (par exemple « &Exécution d'un script VBS »).
Dans "Application utilisée pour faire l'action" faire un « coller » de la commande précédemment copiée. Cliquez sur «OK».
Assurez-vous que votre nouvelle action est bien présente avec les autres, sélectionnez de nouveau l'action "Ouvrir" et supprimez-la.
La nouvelle action est désormais présente au menu contextuel de ce type de fichier avec un raccourci (lettre soulignée dans le mot, celle qui suivait le « & » dans le nom de l'action).
Attention il est INDISPENSABLE d'afficher les extensions pour être sur de ne pas se faire avoir car il est impossible de modifier les actions d'un « .exe » ou « .com » qui peuvent eux aussi s'appeler titi.txt.exe ! (accessoirement, la procédure ci-dessus vous permet de créer toutes les actions que vous voulez ou d'associer des types de fichiers aux logiciels que vous voulez)
c- Et Après ?
Certaines associations sont déterminées d'origine mais elles peuvent changer à chaque installation d'un nouveau logiciel ! En effet beaucoup de logiciels « veulent tirer la couverture » à eux en s'attribuant d'office une ou plusieurs extensions sans demander l'avis de l'utilisateur et ne se gènent pas pour faire des inscriptions dans la base des registres pour modifier les associations!
On peut alors se retrouver dans des situations embêtantes quand deux logiciels différents définissent la même extension (Exemple : les scripts de Hamster sont en *.hsc et sont des fichiers textes. En installant HelpSCribble, les *.hsc sont automatiquement attribués à ce logiciel).
Voire même dans des situations dangereuses : si un logiciel possède un interpréteur d'un quelconque langage de script, vous pouvez vous retrouver (alors que vous pensez être à l'abri) avec un interpréteur par défaut qui se lancera dès que vous cliquerez sur un type de fichier.
Il vous faut donc aller jeter un coup d'oeil à vos associations de fichiers à chaque installation de nouveaux logiciels pour évitez les mauvaises surprises.
Enfin, si vous voulez tester votre système, vous pouvez le faire avec les exemples de scripts écrits en Visual Basic et Javascript dans « c:windowssampleswsh » ou faire un « copié/collé » des deux scripts (ne faisant que rajouter sur le bureau un raccourci vers le bloc-note) ci-dessous dans un éditeur de texte en les enregistrant respectivement avec un « nom.js » et un « nom.vbs ». Puis vous vous envoyez en pièce jointe ces fichiers par exemple.
Recopiez ce qu'il y a ci-desous dans un fichier avec une extension « js ».
var WSHShell = WScript.CreateObject("WScript.Shell"); var DesktopPath = WSHShell.SpecialFolders("Desktop"); var MyShortcut = WSHShell.CreateShortcut(DesktopPath + "Raccourci vers le Bloc-notes ajouté par un script JS.lnk"); MyShortcut.TargetPath > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe"); MyShortcut.WorkingDirectory > WSHShell.ExpandEnvironmentStrings("%windir%"); MyShortcut.WindowStyle = 4; MyShortcut.IconLocation > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe, 0"); MyShortcut.Save(); WScript.Echo("Un script en JS vient d'être exécuté et vous avez maintenant un raccourci vers le Bloc-notes présent sur votre Bureau.");
Recopiez ce qu'il y a ci-desous dans un fichier avec une extension « vbs ».
Dim WSHShell Set WSHShell = WScript.CreateObject("WScript.Shell") Dim MyShortcut, MyDesktop, DesktopPath DesktopPath = WSHShell.SpecialFolders("Desktop") Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & "Raccourci vers le Bloc-notes ajouté par un script VBS.lnk") MyShortcut.TargetPath > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe") MyShortcut.WorkingDirectory > WSHShell.ExpandEnvironmentStrings("%windir%") MyShortcut.WindowStyle = 4 MyShortcut.IconLocation > WSHShell.ExpandEnvironmentStrings("%windir%notepad.exe, 0") MyShortcut.Save WScript.Echo "Un script en VBS vient d'être exécuté et vous avez maintenant un raccourci vers le Bloc-notes présent sur votre Bureau."