preloadingpreloadingpreloading
Accueil > Les AntiVirus

Les AntiVirus

Définition d'un antivirus:

Utilitaire capable de rechercher et d'éliminer les virus informatiques et autres malwares. La détection se fait selon deux principes : une analyse par signatures qui permet de détecter avec d'excellents résultats les virus connus pour peu que les définitions de virus soient régulièrement mises à jour, ou une analyse heuristique qui permet de détecter avec des résultats variables les virus inconnus à partir de leur logique de programmation et le cas échéant de leur comportement à l'exécution. Les antivirus fonctionnent eux-mêmes selon deux principes : un scanner qui permet à l'utilisateur de lancer une analyse d'un disque ou d'un fichier lorsqu'il le souhaite ("on demand"), ou un moniteur qui surveille le système en temps réel ("on access") et empêche l'utilisateur d'ouvrir un fichier infecté. La plupart des antivirus comporte un scanner et un moniteur, mais il existe des produits analysant seulement "à la demande" (ex. : antivirus en ligne) voire ne disposant que d'un moniteur (ex. : antivirus génériques).

Pour un comparatif antivirus voyez le site av-comparatives(en anglais).


La menace étant croissante, les solutions antispywares sont de plus en plus nombreuses. Nous avons choisi dans cet article de nous attarder sur les logiciels qui proposent une fonction d'analyse (scanneur). Les trois gratuits Ad-Aware, Spybot Search&Destroy et Microsoft Antispyware font partie de la liste à laquelle nous avons ajouté quatre payants que l'on peut acheter sans difficulté en France : SpySweeper, Pest Patrol, McAfee Antispyware et Effaceur 8.

Afin de vérifier la pertinence de chacune de ces solutions, nous avons utilisé plusieurs logiciels qui contiennent des variantes différentes de spyware : le fameux Kazaa, mais aussi des logiciels complètement infestés de spywares dont on taira le nom par prudence. L'utilisation croisée de chacun des antispywares permet d'identifier quels sont ceux qui se comportent le mieux. Il est par contre complètement impossible de comparer les antispywares en se basant sur le nombre de spywares détectés tant leur manière d'effectuer un décompte est différente. Pest Patrol identifie par exemple comme spyware tout fichier stocké dans le répertoire d'installation d'un logiciel contenant un spyware. Tous les fichiers provenant de l'installation de Kazaa (y compris les images .bmp ou les fichiers textes) sont comptabilisés comme spyware et chaque élément est affiché comme ayant la même importance dans l'interface. Les antispywares nomment aussi parfois les spywares différemment ce qui complique la comparaison.

Ordinateur clavier chaines lockedEn connaissant mieux le fonctionnement et les objectifs des spywares, il est plus simple de les éviter et de s'en débarrasser. Autant nous aurions tendance à conseiller une réinstallation complète dans le cas d'une infection virale (nous avons tous tenté de supprimer un virus pendant une demi-journée pour nous rendre compte qu'il était plus rapide de réinstaller sa machine), autant la suppression des spywares est chose faisable avec les bons outils, un peu de rigueur et de la patience.

On peut déjà conclure qu'il n'existe aucun antispyware « ultime ». Notre préférence va à Spysweeper qui possède la meilleure base de définitions, une interface claire et détaillée et des outils de nettoyage intéressants, mais il n'est hélas pas suffisant seul pour éliminer complètement la menace. Spybot et Microsoft Antispyware, nos deux gratuits préférés nous semblent indispensables et tout à fait complémentaires à Spysweeper. Ad-Aware, pourtant précurseur est lui en retrait face aux deux autres gratuits. McAfee Antispyware et Effaceur 8, pourtant payant, sont insuffisants pour lutter efficacement contre les spywares. Pour terminer, Pest Patrol n'est clairement pas utilisable.

On ne comprend vraiment pas pourquoi aucun des logiciels ne propose la création d'un CD autobootable de nettoyage qui éviterait le problème des spywares résidents. Pas un des logiciels de ce guide n'a en effet été capable de se débarrasser des spywares les plus acharnés (type « elitebar »). Un dernier conseil pour terminer. Pour éviter les spywares, préférez les logiciels commerciaux ou Open Source qui en sont exempts et lorsque vous installez un logiciel gratuit (freeware), préférez les éditeurs qui mentionnent explicitement que leur logiciel ne contient pas de spyware, le mensonge est assez rare sur la question. prière de supprimer les spywares avant même leur installation sur le disque dur. On se rapproche à ce niveau du fonctionnement d'un classique antivirus.


Pourquoi un Antivirus ?

Pour Sécuriser les ordinateurs et préserver l'intégrité des données d'un ordinateur, qui peuvent être d'une importance énorme (par exemple, la base de données d'une banque ne doit sous aucun prétexte être modifiée par un virus...)

Aspects techniques des Antivirus

Les Antivirus rivalisent souvent d'ingéniosité pour combattre les virus. Cependant ces derniers trouvent souvent la parade. Nous allons parler ici des différentes techniques utilisées par les Antivirus pour combattre leur raison de vivre.

Principales techniques de recherche virus

Nous présenterons quatre techniques majoritairement utilisées par les Antivirus pour localiser les virus. Il s'agit du scanning, du moniteur de comportement, du contrôleur d'intégrité et de la recherche heuristique. Brièvement présenté, le scanneur recherche dans tous les fichiers ou en RAM un code spécifique qui est censé indiquer la présence d'un virus. Le moniteur de comportement surveille les actions habituellement menées par les virus, les contrôleurs d'intégrité signalent les changements intervenus dans les fichiers et enfin la recherche heuristique recherche des instructions généralement utilisées par les virus.

Recherche de la signature

On nomme ça aussi scanning. C'est la méthode la plus ancienne et la plus utilisée. Son avantage est qu'elle permet de détecter les virus avant leur exécution en mémoire. Son principe est de rechercher sur le disque dur toute chaîne de caractères identifiée comme appartenant à un virus. Cependant comme chaque virus a sa propre signature, il faut, pour le détecter avec un scanneur que le concepteur de Antivirus ait déjà été confronté au virus en question et l'ait intégré à une base de données. Un scanneur n'est donc pas en mesure de détecter les nouveaux virus ou les virus polymorphes (car ceci changent de signature à chaque réplication.) Cette méthode est à la fois la plus simple à programmer mais aussi la plus longue à mettre en œuvre car elle n'est utile que si elle recense tous les virus existant. Cela représente une somme de travail considérable et est quasiment impossible à réaliser. C'est pour ça que les concepteurs Antivirus proposent des mises à jour de la base de donnée tous les mois sur leur site WEB, c'est le seul moyen pour le scanneur de détecter les nouveaux virus.

Utilisation d'un contrôleur d'intégrité

Schématiquement, un contrôleur d'intégrité va construire un fichier contenant les noms de tous les fichiers présents sur le disque dur auxquels sont associés quelques caractéristiques. Ces dernières peuvent prendre en compte la taille, la date et l'heure de la dernière modification ou encore un checksum (somme de contrôle)Un CRC (code de redondance cyclique), ou un algorithme de checksum avec un système de chiffrement propriétaire pourra détecter toute modification ou altération des fichiers en recalculant le checksum à chaque démarrage de l'ordinateur(si Antivirus n'est pas résident), ou dès qu'un fichier exécutable est ouvert par un programme (si Antivirus est résident); en effet si le checksum d'un programme avant et après son exécution est différent, c'est qu'un virus a modifié le fichier en question, l'utilisateur en est donc informé. D'autre part Antivirus peut aussi stocker la date et la taille de chaque fichier exécutable dans une base de données, et tester les modifications éventuelles au cours du temps. Il est en effet rare de modifier la taille ou la date d'un fichier exécutable. La parade pour les virus est de sauvegarder la date du fichier avant la modification et de la rétablir après.

Moniteur de comportement

Les moniteurs de comportement ont pour rôle d'observer l'ordinateur à la recherche de toute activité de type virale, et dans ce cas de prévenir l’utilisateur.Typiquement, un moniteur de comportement est un programme résident que l'utilisateur charge à partir du fichier AUTOEXEC.BAT. et qui reste actif en arrière plan, surveillant tout comportement inhabituel. Que va faire le zouave ? Description d’attaque virale. Les tentatives d'ouverture en lecture/écriture des fichiers exécutables. Les tentatives d'écriture sur les secteurs de partitions et de démarrage. Les tentatives pour devenir résident.

Démarche heuristique

Fondamentalement, l'analyse heuristique concerne la recherche de code correspondant à des fonctions virales. Elle est différente dans son principe, d’un moniteur de comportement qui surveille des programmes ayant une action de type virale. L’analyse heuristique est comme le scanning, passive. Elle considère le code comme une simple donnée, et n'autorise jamais son jamais son exécution.

Un analyseur heuristique va donc rechercher du code dont l'action est suspecte s'il vient à être exécuté.L'analyse heuristique permet par exemple, pour les virus polymorphes de chercher une routine de déchiffrement. en effet une routine de déchiffrement consiste à parcourir le code pour ensuite la modifier. Ainsi lors de l'analyse heuristique, Antivirus essaie de rechercher non pas des séquences fixes d'instructions spécifiques au virus mais un type d'instruction présent sous quelque forme que ce soit. Pour en revenir à notre exemple de virus polymorphes, Antivirus cherche une suite d'instructions de lecture suivie d'une suite d'instruction d'écriture. Cette méthode est donc un peu plus intelligente que les autres : car elle vise à analyser les fonctions et instructions les plus souvent présentes et que l'on retrouve dans la majorité des virus. Cette méthode permet ainsi, contrairement au scanning, de détecter des nouveaux virus dont la signature n'a pas été ajoutée à la base de données.

Analyse spectrale

Tout code généré automatiquement est supposé contenir des signes révélateurs du compilateur utilisé. De même, au contraire, il est impossible de retrouver dans un vrai programme exécutable compilé certaines séquences de code. C’est grâce à ce principe qu'entre en jeu l'analyse spectrale. Cette analyse vise à repérer les virus polymorphes qui sont indétéctables autrement (leur signature changeant à chaque réplication). En effet, lorsqu’un virus polymorphe crypte son code, la séquence en résultant contient certaines associations d'instructions que l'on ne trouve pas en temps normal ; c'est ce que va détecter l'analyse spectrale. Par exemple, si dans un programme exécutable, Antivirus trouve une instruction de lecture d'un octet au-delà de la taille limite de la mémoire, on sera probablement en présence de code crypté, donc d'un virus polymorphe.

Techniques d'éradication de virus

Une fois un virus détecté, que ce soit en mémoire ou sur le disque dur, il reste à le supprimer. Une fonction primordiale des Antivirus est donc la suppression des virus. Leur but est de débarrasser l'utilisateur de ce programme malveillant. Mais il n'est pas si simple que l'on croit de les éradiquer et de récupérer le programme original. En effet cela est impossible dans le cas de virus avec recouvrement : ils détruisent une partie du programme sain lors de sa duplication. La seule solution est la destruction des fichiers infectés ou carrément le formatage du disque dur. Pour les autres, même si ce n'est pas irréalisable, la tache est cependant très ardue : il faut savoir très précisément où est localisé, dans le fichier, le virus en question sachant qu'il peut être composé de plusieurs parties, ensuite il faut le supprimer, et enfin aller chercher la partie du programme dont le virus avait pris la place et la restaurer. Toutes ces manipulations nécessitent une connaissance parfaite du virus et de son mode d'action. Cette éradication se faisant par une recherche (du virus, de la partie déplacée), toutes les caractéristiques des différents virus doivent être répertoriées dans une base de donnée mise à jour pratiquement quotidiennement.

Source: Dataz magazine