Dernière mise à jour le 22 décembre 2002

I. Les vrais virus

I.1 Les précautions de base
I.2 Quelques virus récents
I.3 Les virus macros de Word (versions 6 et ultérieures)
- I.3.1 texte Pasteur
- I.3.2 texte Inrets

Pour se tenir au courant :

Trend micro encyclopédie des virus http://www.trendmicro.com/vinfo/virusencyclo/
F-Secure : encyclopédie des virus http://www.f-secure.com/v-descs/
Symantec : encyclopédie des virus http://www.symantec.com/avcenter/vinfodb.html
Mc Affee : AVERT (Virus Information Library) http://vil.nai.com/vil/default.asp
des articles sur les virus et les hoaxes http://www.research.ibm.com/antivirus/index.htm
The Virus Bulletin http://www.virusbtn.com/
Wildlist
La sécurité informatique au CNRS
- Le bulletin Sécurité informatique dont les numéros (depuis 94) sont disponibles en ligne
- La page Virus informatiques et autres malignités
- La page Virus ou canulars de l'UREC (Unité Réseaux du CNRS)
Les avis des CERT (Computer Emergency Response Team) concernent plutôt les attaques que les virus
- CERT-CC http://www.cert.org/advisories/ (en anglais)
- CERT-RENATER http://rri.uhp-nancy.fr/securite/index.html (en français)

I.1 Les précautions de base

jetez Outlook Express, une saloperie Microsoft (tautologie ?) qui a des trous de sérité énormes. Il y a quantité de bons logiciels de messagerie, Eudora ou Mutt par exemple
mettez à jour vos antivirus tous les jours
sur le serveur de Jussieu les dernières définitions
http://www.ccr.jussieu.fr/ccr/telecharge/signatures/Default.htm
Les virus se propagent également en profitant du codage html des messages
ne lancez aucune application attachée à votre mail si vous n'en connaissez pas l'expéditeur
N'ouvrez aucun document reçu en attachement (texte, image, son) en double-cliquant sur son icône. Pour les fichiers de type texte, voir les précautions à prendre pour l'ouverture de fichiers Word d'origine inconnue
ne renvoyez pas les chain-letters
consultez plusieurs (car toutes n'ont pas les mêmes définitions) encyclopédies des virus pour savoir s'il s'agit d'un virus ou d'un bobard. Par exemple
- celle de F-Secure
- celle de Symantec

I.2 Quelques virus récents

Les derniers à avoir frappé sont Klez, nimda , sircam , Navidad , VBS.LoveLetter (29 variantes), Kak, Melissa, Happy99.exe, Bubbleboy .

Klez (janvier 2002)
sur le site de F-Secure (j'ai la flemme de traduire). Il faut savoir que les e-mails envoyés par Klez ont souvent une fausse adresse d'expéditeur. Le ver choisit une adresse au hasard sur des pages web ou des carnets d'adresses Windows. Si vous recevez Klez dans un mail, il est plus que probable qu'il n'a pas été envoyé par la personne dont le nom se trouve dans le champ From:.
nimda (septembre 2001)
W32.Sircam.Worm@mm, alias SIRCAM (juillet 2001)
Kak
Navidad
LoveLetter/I Love you
Bubbleboy
FunLove
Happy99

Warning : à chaque période de fêtes reviennent les virus qui se déguisent en cadeaux de Noël

On a connu Happy99.exe (un feu d'artifice), arrive maintenant Navidad

Ne venez pas vous plaindre d'être victime du ver Hybris si votre salacité est piquée par ce genre de mail

From: Hahaha <hahaha@sexyfun.net>
Subject: Blanche neige et ...les sexe nains

C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient
aide 'blanche neige' toutes ces annees apres qu'elle se soit enfuit de chez
sa belle mere, lui avaient promis une *grosse* surprise. A 5 heures comme
toujours, ils sont rentres du travail. Mais cette fois ils avaient un air
coquin...

au point de double-cliquer sans hésiter sur la pièce jointe (un nom du genre de sexynain.scr). Tant pis pour vous... Allez donc voir http://www.sexyfun.net/ (site d'info sur ce virus)

I.3 Les virus macros de Word (versions 6 et ultérieures)

Extrait d'un excellent (quoique déjà ancien) article de Sécurité Informatique n°18 (CNRS, février 98)

QUOTE

Cinq macro-virus occupent les premières places dans le palmarès des virus. Par ordre de fréquence de contamination :

Cap : cinq fois plus d'incidents que le plus répandu des "virus-programmes" (AntiCmos).
Laroux : cette famille sévit sur Excel5 à 7 (version Windows seulement).
Concept : le premier du genre.
Wazzu : cette famille a plus de cent variantes dans le monde. Dans sa version première, il modifiait les textes à l'ouverture d'un document : il déplaçait trois mots par tirage au sort (probabilité 0,2) et insérait "Wazzu" à des endroits aléatoires du texte. Ce macro-virus, représentant une page de code non encrypté, est facilement accessible par tous ceux qui ont reçu un document contaminé. Cela a donné des idées à certains d'où le nombre élevé de variantes.
Npad : se diffuse actuellement très rapidement. La plupart de ses variantes se contentent d'afficher un texte à l'écran au bout d'un certain nombre de contaminations.

UNQUOTE

I.3.1 Texte Pasteur

From: Stephane Bortzmeyer <bortzmeyer@pasteur.fr> 
To: infosis@pasteur.fr
Subject: Conseils sur les versions de Microsoft Word 
Date: Wed, 24 Sep 97 09:22:40 +0200

Il semble que plusieurs problèmes liés aux dernières versions de Microsoft Word (et Excel) se développent :

invasion de virus "macros" (apparus avec la version 6 sur MacOS et 5 sur MS-Windows),
fichiers transmis par disquettes ou par le réseau, incompréhensibles, car faits avec une version plus récente.

En outre, ces dernières versions ont des consommation de ressources (mémoire, processeur, etc) nettement plus élevées. D'où les quelques conseils qui suivent, et un texte tout prêt à transmettre à vos correspondants s'ils vous envoient de tels fichiers.

Le premier conseil est de bon sens : vous ne devriez pas mettre à jour une copie de Microsoft Word si vous n'avez pas une raison précise. Un exemple de raison précise est : "J'ai Word 3 et je veux les tableaux qui sont apparus en Word 4". C'est relativement rare car la grande majorité des utilisateurs est loin d'exploiter toutes les possibilités de Word, même Word 1. Il n'y a rien de méprisable à utiliser encore Word 3, les outils informatiques servent à travailler ou à jouer, et non pas à se tenir à la mode.
En effet, la mise à jour vous coûtera de l'argent (sauf piratage, ce qui est illégal et dangereux), augmentera la consommation de ressources (la mémoire vive, notamment) et introduira de nouveaux problèmes, comme les récents virus macros. Notez que cette augmentation de ressources énorme à chaque nouvelle version est un choix de Microsoft, pas une loi fondamentale de l'informatique.
Sachez résister au "syndrôme du beau-frère" : "Comment, tu n'as que Word 3, mais c'est complètement ringard, attends je t'installe WordSuperPlusPlatinum 98.' Ce n'est pas votre beau-frère qui viendra chasser les virus ensuite.
Le deuxième conseil concerne les envois de documents Word sur disquette ou dans le courrier électronique.
Les personnes qui font cela courent deux risques : envoyer des virus (depuis l'apparition des macros, les virus ne se transmettent plus seulement via les programmes, mais aussi via les simples documents, faisant exploser leur nombre) et ennuyer le correspondant car il n'a pas le logiciel correspondant, ou il en a une version plus ancienne.
Il est recommandé d'envoyer les fichiers en texte seul (dans les options d'enregistrement d'un document) sauf raison précise (exemple de raison précise : structure complexe, avec feuilles de style et mode plan, que le texte seul ne gardera pas) ou sinon en RTF ou sinon en Word d'une version plus ancienne. Word permet d'enregistrer à un format plus ancien et vous faites alors le bonheur des possesseurs des vieilles versions, ou d'un autre logiciel.
Vous aurez en outre la satisfaction de voir vos documents diminuer nettement de taille (ce qui est agréable pour le courrier, n'oubliez pas qu'un pays comme le Vietnam a une liaison Internet dont la vitesse est celle de deux modems), et de ne pas garder les virus macros éventuels.
Vous pouvez même copier-coller directement le texte de votre document dans votre logiciel de courrier (Eudora, par exemple), rendant ainsi la lecture plus agréable à ceux qui ne disposent pas du dernier cri en matière de logiciel de courrier (MIME, si vous connaissez).

Si vos correspondants vous embêtent, vous pouvez leur transmettre ce petit texte, © Institut Pasteur mais de distribution libre :

Pourriez-vous avoir l'amabilité de ne pas m'envoyer des documents au format Microsoft Word tels que ceux que vous venez de m'adresser ? Tout le monde ne peut pas en effet les relire (autres logiciels, versions de Word plus anciennes). En outre, les versions de Word les plus récentes permettent aux documents d'être infestés par les virus "macros".
Sauf raison précise, merci d'envoyer plutôt :

du texte seul (option d'enregistrement "texte seul" de Word ou bien copier-coller depuis Word dans votre logiciel de courrier),
ou, si vous voulez préserver certains attributs comme le gras ou le souligné, du RTF (option d'enregistrement "RTF" de Word),
ou, en tout cas, au format d'une version de Word suffisamment ancienne pour que tout le monde puisse la lire.

Écrit par le Service d'Informatique Scientifique de l'Institut Pasteur

Annexe : les virus macros

Les "macros" ont été introduites récemment dans Microsoft Word ainsi que dans d'autres logiciels, comme Excel. Ce sont des petits programmes, attachés au document, et qui ont de nombreuses utilités pour automatiser des tâches répétitives. Mais la macro étant un programme, ce programme peut contenir un virus.
La diffusion des virus informatiques était limitée jusqu'à présent par le fait que peu d'utilisateurs échangent des programmes. Mais cela change avec les virus macros.

Les plus connus sont Concept, Laroux et Major.1644

Extrait de Atout Micro, un conseil que je n'ai pas testé :

Le meilleur moyen de se protéger de la plupart des virus de macros consiste à configurer le fichier NORMAL.DOT de Word pour qu'il ne puisse pas être modifié, autrement dit qu'il soit accessible en lecture seulement.
Sous Windows 95, vous vous rendez avec l'Explorateur dans le sous-répertoire WinWord de \MSOffice\, vous cliquez sur NORMAL.DOT avec le bouton droit de la souris. Dans le menu déroulant qui apparaît, vous cliquez sur Propriétés.
Dans la page de configuration du fichier, vous cochez la case Lecture seule en la cliquant puis vous cliquez Appliquer et OK.

Si vous voulez remercier l'oncle Stéphane de ses bons conseils : bortzmeyer@internatif.org

I.3.2 Texte Inrets

INRETS CIR

Auteurs : G. Le Blus et P-O. Flavigny

E-mail : leblus@inrets.fr, flavigny@inrets.fr

Date : 23/07/96

Rappel important à propos des virus dans les documents de Microsoft Word6

Comment peut-il y avoir un virus dans un document Word ?

Les versions actuelles de Word (6.0 et suivantes aussi bien sur les systèmes Apple Macintosh que MS-Windows 3.xx, 95 ou NT) incluent des possibilités de programmation qui ont très largement étendu les actions que l'on peut déclencher à partir des macro-instructions.
Ces macro-instructions peuvent être enregistrées à l'intérieur de tout document qui devient alors un "modèle", dans la terminologie de Word.
Les macro-instructions licites ont en général un nom en rapport avec leur service (par exemple fax, mail, ...) ; on les appelle par la suite de clicks : outils/macro/exécuter. Eventuellement on peut aussi les attacher à un raccourci-clavier ou à une icône de la barre d'outils.
Des macros-intructions peuvent s'installer "à la place" de certaines commandes de vos menus dont elles modifient le comportement (Fichier/Ouvrir, Ficher/Sauver ...). D'autre part Word exécute automatiquement, s'il les trouve dans un document, un certain nombre de macros au nom prédestiné (AutoOpen, AutoClose,...). Les virus Word utilisent une ou plusieurs de ces possibilités.
Les documents infectés peuvent être échangés en documents "attachés" au courrier électronique ou transportés par tout autre moyen (échange de disquette, ftp, fetch, transfert sur unix). Recevoir un courrier sous Eudora n'infecte pas la machine : c'est l'ouverture sous Word du document attaché qui déclenche l'infection. Elle peut par la suite se répandre plus ou moins rapidement..

Les méfaits

Il n'est pas possible de prédire les méfaits, mais il est à coup sûr suicidaire d'annoncer que tel ou tel virus est inoffensif. Il est vrai que certains des virus que nous avons rencontrés semblent s'être contentés de se reproduire, d'autres (mal programmés) bloquent le fonctionnement de Word. Il ne faut pour autant considérer que l'on peut vivre et travailler avec une machine infestée : par exemple un des virus attrapés détruit sur PC tous les fichiers .DOC après 20 sauvegardes !

Comment détecter la présence d'un virus ?

La première précaution est d'activer en permanence un anti-virus "à jour" en n'oubliant pas de bien choisir les réglages : il faut activer toutes les protections offertes, notamment examen de tous les fichiers et détection des virus inconnus. Si vous n'en disposez pas encore, voir plus bas "installation d'un anti-virus".
Plus spécifiquement pour Word de nouveaux virus apparaissent en permanence. Dans l'état actuel des moyens de protection, forcément décalés en retard, il convient donc d'adopter un comportement prudent.
Il FAUT vérifier périodiquement que de nouvelles macro-instructions ne s'ajoutent pas à votre configuration : lancez Word, créez un fichier par fichier/nouveau et consultez les macros disponibles par outils/macro, annulez pour continuer à travailler.
Sur Macintosh, quand vous présentez vos fichiers sous forme d'icônes, si une flèche orientée à droite apparaît au milieu de l'icône au lieu de la lettre W, elle indique que le fichier est un "modèle" et risque donc d'héberger un virus.
Plus généralement, toute "modification" du comportement de Word doit inquiéter : certains virus par exemple interdisent de sauver des fichiers ou font qu'une opération devient instantanée, ou ne fait plus bouger le disque dur comme avant !

Que faire quand on détecte l'infection ?

La première consigne est de ne plus exporter aucun fichier et de ne plus utiliser Word.
Il faut ensuite faire analyser tous les disques par un anti-virus à jour.
S'il reste des fichiers qui n'ont pas été détectés ou qui ont été signalés comme infectés mais que l'anti-virus n'a pas su corriger, votre premier devoir est de les transmettre à vos responsables micro pour qu'ils puissent les faire remonter chez les éditeurs d'anti-virus.
Enfin, une correction "manuelle" peut être tentée ; voici quelques consignes pour la mener à bien :

Par précaution faites une copie du/des fichier(s) sur une disquette et transmettez-en un double aux responsables micro
Lancez Word, créez un nouveau document, vérifiez qu'aucune macro-instruction n'est chargée (par outils/macro)..
Utilisez la commande fichier/ouvrir pour choisir le fichier infecté et MAINTENEZ la touche majuscule enfoncée pendant que vous cliquez sur OK. Le document est alors chargé mais ses macros ne sont pas exécutées.
Utilisez la commande outils/macro/organiser qui vous montre les macros contenues dans le document.
Sélectionnez-les (faire apparaître leur nom en blanc sur fond noir) puis effacez-les.
Enregistrez le document sous un autre nom.
A ce stade le document n'est plus infecté mais apparaît toujours comme un modèle.
Ouvrez le document sauvé en 6), sélectionnez tout, et copiez-le dans le Presse-papier (edition/selectionner tout, puis edition/copier)
Ouvrez un nouveau document, collez-y le Presse-papier (edition/coller)
Sauvegardez ce nouveau document.

Une seule solution : la rév^H^H^H^H^H^Hinstaller un anti-virus

Si vous ne l'avez pas encore fait, installez et activez l'un des anti-virus suivants :

PC Norton AntiVirus (NAV) version 5 ou postérieure
MAC Norton AntiVirus version 5 ou postérieure (les anciennes versions s'appellent SAM^TM, pour Symantec Anti-virus, jusqu'à 4.5)

Voir le site de Symantec http://www.symantec.com/region/fr/avcenter/

La protection contre les virus n'est jamais définitive : veillez à avoir toujours la dernière version installée et active sur votre machine.
Procédez régulièrement à la mise a jour des définitions de virus (fonction Live Update du logiciel anti-virus, ou chargement à partir du site ouebbe de l'éditeur de logiciel).

Comment éviter la propagation de virus ?

Une attention toute particulière doit être portée aux machines qui accueillent des utilisateurs nomades (si respectables et gradés soient-ils).
Aucune machine ne devrait être accessible sans une protection raisonnable (mot de passe). Si vous ne savez comment la mettre en oeuvre, contactez les responsables micro.
Au delà de la stricte surveillance, voici quelques conseils de bon sens qui vous feront participer à la sécurité de tous :

Lorsqu'il n'est pas nécessaire d'envoyer une exacte photocopie, contentez-vous de transmettre le fichier sauvé sous texte seul : chacun pourra le lire et vous ne propagerez pas Word.
Word a prévu depuis longtemps un format de transport : Rich Text Format ou RTF. Ce format n'est pas susceptible de transporter les virus qui nous occupent ici. Les enrichissements usuels (titres, gras, italique, etc.) sont eux très fidèlement conservés.
Indiquez, quand vous transmettez un fichier, sa taille exacte dans le message d'accompagnement : cette précaution sera très utile pour détecter une altération du fichier au cours du transport.
N'ouvrez jamais un fichier "inconnu". Si vous devez le faire NE DOUBLE-CLIQUEZ JAMAIS SUR L'ICÔNE DU FICHIER : utilisez toujours l'ouverture par fichier/ouvrir en maintenant la touche majuscule enfoncée.
Si vous avez un programme ou une application dont vous ne savez que faire ne l'essayez pas "pour voir".
Si vous recevez un fichier compressé (par quelque outil que ce soit) ne le décompressez pas avant d'avoir vérifié les fichiers qu'il contient .