Qu'est-ce qu'AVG System ?

 
CONTINUER À LIRE
Qu'est-ce qu'AVG System ?
Qu'est-ce qu'AVG System ?
Boot Viruses
Récemment les virus de boot étaient responsables de la majorité des infections. La raison
principale de leur "succès" était que les disquettes étaient les médias les plus courants
pour passer des données entre utilisateurs.
Le chemin emprunté par les virus est généralement simple. Supposez que vous recevez
une disquette avec un secteur de boot infecté. Vous en copiez des données, mais oubliez
de l'enlever du lecteur A:. Quand vous relancez l'ordinateur, le boot exécutera le
programme infecté de la disquette. Le virus se chargera d'abord et infectera le disque dur.
Notez qu'on peut l'empêcher en changeant l'ordre de boot dans le CMOS (Laissez boot C
: au lieu de A :).
Généralement la place infectée sur un disque dur est la partition, bien que certains virus
infectent le boot. Le contenu original de la partition est alors déplacé à une place "sûre"
sur le disque dur.

Le diagramme montre un schéma simplifié d'un disque dur.
(1) disque propre, tandis que (2), (3) et (4) montrent des façons différentes où ils peuvent
être infectés. Dans le cas (3), le contenu original de la partition est stocké à la fin du
répertoire racine. Si le répertoire racine est presque plein alors l'information sur
l'emplacement de certains fichiers peut être perdu. De la même façon dans le cas (4), la
sauvegarde est stockée dans la dernière partie de la partition de données utilisateur et
peut être corrompue.
Qu'est-ce qu'AVG System ?
Comme le virus a infecté un secteur système du disque dur, il sera chargé en mémoire à
chaque démarrage de l'ordinateur. Il prendra d'abord le contrôle des services système du
disque au niveau le plus bas avant l'exécution du boot original qu'il a stocké dans une
autre partie du disque dur. L'ordinateur semble se comporter exactement comme
d'habitude. Personne ne remarquera le fractionnement supplémentaire du boot de l'ordre
d'une seconde.
Le virus contrôlera aussi le gestionnaire d'accès aux partitions. La partition contient son
propre code et il suffit de la lire avec un antivirus pour déterminer la présence d'un virus.
Le virus ne permettra pas à la partition d'être lue et lancera toutes les demandes à
l'emplacement sur le disque dur où il a stocké le contenu original. Ainsi, rien n'est détecté.
Ces méthodes sont appelées les techniques de "ruse" et leur but principal est de masquer
la présence du virus. Tous les virus de boot n'emploient pas ces méthodes, mais d'autres
toutes aussi courantes.

Virus de Fichier
Comme dit plus haut, ces virus infectent les fichiers - des exécutables ou programmes.

Virus copieur
C'est la forme la plus basique de virus car ils se dévoilent presque immédiatement et
limitent ainsi leur chance de se diffuser d'un ordinateur à un autre. Ils infectent des
programmes en les recopiant (ou une partie d'entre eux) avec leur propre code, en les
endommageant définitivement. Certains virus essayent de cacher que le programme est
endommagé en affichant un faux message d'erreur.

Ce diagramme montre un fichier propre (1).
(2) même fichier infecté par un virus copieur.

Virus de compagnie
Dans MS-DOS et Windows, quand vous voulez lancer le fichier XYZ, il cherchera d'abord
XYZ.COM et seulement s'il n'existe pas, il essaiera de trouver XYZ.EXE. Les virus de
compagnie profitent de cette propriété en cherchant les EXE des programmes et créent un
fichier de compagnie qui a le même nom, mais porte une extension COM. Le nouveau
fichier contient seulement le code viral et quand il a été exécuté, il passe le contrôle à
l'EXE original.
Ce n'est pas une très bonne ampleur de diffusion, mais un grand avantage - il ne marque
pas les fichiers et peut donc échapper aux contrôles de sécurité ou à la protection
résidente.
Une autre méthode employée par les virus de compagnie est basée sur le chemin
spécifié. Un virus met simplement un fichier infecté dans le chemin inscrit avant le
répertoire du programme original.
Qu'est-ce qu'AVG System ?
Le diagramme montre une infection par un virus de compagnie. L'EXE original reste
inchangé, mais un nouveau COM du même nom a été créé.

Virus parasites
Ces virus marquent leur cible en s'y attachant, mais ne l'endommagent pas - les fonctions
du fichier paraissent normales. Ils ont une bien meilleure chance de se diffuser que leurs
cousins ci-dessus.
Le code de la cible est modifié et quand le fichier est exécuté, le virus se lance d'abord et
passe ensuite le contrôle au programme hôte.

Ces diagrammes montrent les différents chemins utilisés par les virus parasites.
(1) un fichier propre. Le chemin le plus courant est son type
(2) Certaines instructions, insérées au lancement du fichier, orientent le corps principal du
virus vers la fin du fichier. Les virus parasites écrivent tout leur code au début (c'est plus
facile pour les hackers) et déplacent le code original vers la fin du fichier
(3) copie tout le fichier original après le virus
(4). Cependant, les virus peuvent se mettre n'importe où dans le corps du fichier hôte
(5). Parfois plusieurs segments sont insérés (pour confondre les programmes antivirus)
comme dans le cas où (6), il y a d'autres méthodes mais rarement employées.
Quand un code viral est attaché à un fichier, la taille de ce dernier augmente. Une autre
façon consiste à s'insérer au fichier plutôt que d'ajouter. Le virus doit recopier un secteur
"inutilisé" dans le corps du fichier hôte. Cette méthode limite le taux de diffusion car seuls
certains programmes ont de tels "trous". La plupart des versions de COMMAND.COM
contiennent des vides dans leur code et sont susceptibles d'être infectés.
Qu'est-ce qu'AVG System ?
Des vides inutilisés peuvent être aussi trouvés dans des exécutables de Windows. Le
premier virus qui a employé ces "trous" pour infecter un fichier sans changer sa longueur
était CIH.
Une autre façon de masquer les changements est l'autodéfense "active". Il est facile à un
virus résident de convertir les fichiers du système d'exploitation. Quand on regarde la
longueur d'un fichier infecté, le virus peut répondre en indiquant les valeurs originales au
lieu de la vérité. On peut tromper ainsi certains programmes efficacement (par exemple la
commande DIR) mais il peut entraîner des conséquences malheureuses. Dés qu'un
programme ouvre ce fichier, il verra sa vraie taille et la taille annoncée qui ne
correspondent pas. Les utilitaires comme CHKDSK ou NDD (Norton Disk Doctor) affichent
les erreurs sur le disque et si vous essayez de les réparer, le résultat peut être désastreux.

Multipartite virus
L'avantage du virus de boot est qu'il a d'abord accès à la mémoire, lui permettant
d'infecter ensuite tout le logiciel exécuté. Mais si le système d'exploitation n'a pas encore
été installé, les seules fonctions disponibles sont le système de base du BIOS qui ne lui
est d'aucune utilité. Ainsi les fichiers ne peuvent pas être infectés et la vitesse de diffusion
est limitée. Les virus de fichier, eux, peuvent s'attaquer à "un plus haut niveau" du
système d'exploitation pour infecter les fichiers qui sont fréquemment fournis aux
utilisateurs d'ordinateur.
Les virus Multipartite combinent les techniques des deux types et peuvent infecter le
système et les fichiers. Ils peuvent infecter non seulement la partition, mais les
exécutables aussi. En s'attaquant à un exécutable, ils peuvent utiliser n'importe quelle
méthode et infecter la table d'allocation comme une infection faite par des virus de boot.
Un virus multipartite patiente après le chargement en mémoire et attend le DOS pour se
charger avant de prendre le contrôle du système d'exploitation. Ce n'est pas facile mais il
peut y parvenir. Un bon exemple est le virus One_Half qui est un des plus répandus.

Les Macrovirus
Des macrovirus sont sans doute les éléments les plus communs que l'on voit sur un PC.
Parce que les macrovirus infectent les objets qui sont généralement partagés entre
beaucoup de personnes, transférés via email et publiés souvent sur les pages Web. C'est
ainsi que les macrovirus se transmettent très facilement.
Même le vieux Word 6.0 a le Basic, assez puissant pour écrire des macrovirus. Les
versions actuelles de produits de Microsoft Office emploient maintenant Visual Basic pour
les applications (VBA) qui combine la puissance de langage de programmation moderne
avec la facilité du Basic.
D'un point de vue technique, nous pouvons diviser les macrovirus en différentes
catégories. Si AVG annonce un macrovirus, vous pouvez voir à partir de son préfixe quelle
plate-forme est visée. Par exemple WM/ signifie Word 6, W97M/ signifie Word 97.
Mais la situation actuelle n'est pas si simple. Les nouveaux produits Microsoft Office sont
(ou tentent d'être) compatibles avec les versions précédentes. Vous pouvez prendre un
macrovirus WM/Example et le charger dans Word 97 et voici ce qui peut se passer :
Vous obtenez un virus parfaitement fonctionnel reconverti pour une macro
W97M/Example.
Vous avez alors un macrovirus qui ne peut pas se propager seul mais toutes ses fonctions
destructives sont fonctionnelles.
Word peut reconnaître certains virus dans votre WM/EXAMPLE et empêcher la
conversion.
La situation est plus compliquée avec Excel qui convertit aussi bien vers une version
inférieure que supérieure.
Qu'est-ce qu'AVG System ?
Why is all this up/down converting so important?
Le processus est multiple. Si vous prenez une macro pour Excel 5, la convertissez pour
Excel 97 et revenez en arrière à Excel 5, elle peut devenir une macro légèrement
différente. Donc vous avez inconsciemment créé une nouvelle version d'un macrovirus
connu que vous devez être capable de détecter et ôter.

Macrovirus pour Word
En 1995, Microsoft Word 6 était le premier produit affecté par le macrovirus. Le premier
(WM/Concept. A) était né, appelé PayLoad.
Après un temps relativement court, nous avons vu beaucoup de modifications de ce
macrovirus suivi par d'autres écrits à partir de zéro.
Les macrovirus pour Word emploient une particularité appelée "automacros". Le principe
de base est que certaines macros avec des noms spéciaux sont automatiquement
exécutées quand Word démarre, ouvre un fichier, ou le ferme. Le macrovirus s'insère
alors dans NORMAL.DOT.
Dans Word, il est parfois possible de mettre hors service les automacros mais ce n'est
pas la solution idéale. Certains macrovirus emploient d'autres méthodes pour prendre le
contrôle de Word.
Une autre méthode d'autodéfense est de lire seulement NORMAL.DOT. Mais on peut
aussi contourner cela et, de plus, vous ne pourrez le personnaliser.

Macrovirus pour Excel
Excel offre les mêmes occasions pour les hackers que Word. Il a des automacros et un
répertoire appelé XLSTART qui est automatiquement chargé.
Mais Excel n'a pas les macros VBA comme Word. Dans Excel, il y a "des formules" -
macros stockées dans les cellules des tableaux. Le premier macrovirus employant cette
technologie était XF/PAIX.

Macrovirus pour d'autres produits OFFICE
L'écriture d'un macrovirus pour d'autres produits Office n'est pas difficile. Nous avons déjà
quelques virus pour Access et nous attendons des macrovirus pour Power Point dans un
proche avenir.
Mais ces macrovirus ne sont pas aussi dangereux que ceux pour Word ou Excel. Parce
que les fichiers de données de ces produits ne sont pas si fréquemment partagés.
Il y a un danger dans Power Point sans macrovirus écrits spécialement pour ce produit.
Vous pouvez inclure dans votre présentation n'importe quel nombre d'objets d'Excel ou de
Word. Et ces objets peuvent être infectés par des macrovirus - si vous éditez la
présentation et ouvrez l'objet infecté avec son application, alors le virus peut s'étendre
plus loin.

Macrovirus pour d'autres plates-formes
Avec d'autres produits, la situation est un peu meilleure. Les virus sont écrits, mais ne sont
jamais si répandus. Il y a là deux raisons principales :
1 - comment est distribué le produit pour lequel le macrovirus est écrit. Si quelqu'un sort
LE MEILLEUR TRAITEMENT DE TEXTE JAMAIS VU, mais le vend à quelques
utilisateurs seulement, le macrovirus écrit pour ce produit a peu de chance de s'étendre.
2 - La deuxième raison est d'ordre technique. Par exemple, Ami Pro garde ses macros
dans un fichier séparé par lequel on doit passer obligatoirement à la différence de Word
où les macros peuvent être mises à l'intérieur du document à votre insu.
Mais la situation actuelle peut changer radicalement dans les quelques années suivantes.
Microsoft a donné sa technologie VBA à beaucoup de sociétés, donc nous pouvons nous
attendre voir des macrovirus pour d'autres produits.
Qu'est-ce qu'AVG System ?
Comportement des virus
Les virus changent le contenu du système, réduisent la mémoire disponible ou créent /
marquent les fichiers.
De plus, les hackers peuvent inclure leurs propres payloads, certains simplement
amusants, mais souvent destructifs. Certains virus sont nuisibles parce qu'ils sont mal
écrits, pas parce que leur auteur en a eu l'intention.

Les effets des virus
Les hackers font face à un dilemme. Ils ne peuvent pas résister "à faire étalage" de leur
productivité mais en même temps, ils doivent retarder la découverte du virus pour qu'il
puisse se reproduire. Ils déclenchent leur produit à une date et un jour prédéterminés,
vendredi 13 par exemple est très populaire. Ils peuvent aussi lier l'activation à des
conditions spécifiques aléatoires. Par exemple, un virus choisit une position aléatoire à
l'écran et s'il trouve un caractère là, il le remplacera par un autre.
Les virus apparaissent souvent comme certaines manipulations à l'écran - des caractères
tombent en fond d'écran, une ambulance le traverse ou un message est affiché. Ces
messages seraient une lecture intéressante pour un psychiatre, ce sont souvent des
commentaires sur de nouvelles politiques, des groupes de publicité, la menace de
destruction des données ou la présentation elle-même.
En dehors des effets visibles, il y a des effets acoustiques. Par exemple, un virus d'origine
bulgare joue un air simple chaque matin et le 1er Mai joue l'Internationale.

Effets désagréables
Certains effets sont très gênants. Un virus prend le contrôle du clavier et substitue de
temps à autre une touche à une autre, ex : "Tnis vifus actuzlly improvss mu typinb". Un
autre virus "de touche" fait que quelle que soit la touche utilisée, rien n'apparaît à l'écran.
Il y a aussi les système affentant le temps. Ils font retarder les systèmes et c'est
particulièrement agaçant pour les ouvriers qui doivent attendre pour rentrer chez eux. Plus
sérieusement, ce type de virus peut causer le chaos dans les programmes qui dépendent
du système temps ou date.
On a un peu plus résolu le problème du virus qui contrôle la commande COPY du DOS et
parfois le changement de ses paramètres. Pour peu que COPY NEW.TXT ou OLD.TXT
soit exécutée comme COPY OLD.TXT NEW.TXT et votre nouveau fichier est remplacé
par l'ancien.
Certains virus peuvent vous coûter cher en disposant de votre modem. Nous ne
connaissons pas celui qui compose des numéros de téléphone, mais aucun doute nous le
verrons bientôt. Un virus particulièrement malveillant compose le 911 (le numéro de
secours aux ETATS-UNIS) et active ainsi les services de secours.

Dommages
En général, les virus tentent de détruire des données sur le disque dur. Il faut signaler que
la qualité du programme viral n'est pas nécessairement à hauteur des dégâts engendrés.
Des virus primaires recopient simplement le contenu des fichiers sans avertissement.
Dans ce cas, le fichier ne peut être récupéré qu'en restaurant la sauvegarde. Cela peut
prendre du temps, mais si une sauvegarde existe, ce n'est pas la fin du monde.
Il y a des formes plus insidieuses de destruction lentes, des changements à peine visibles
des données. Si un virus qui contrôle le disque a été activé pendant un certain temps, il
peut endommager certaines (et parfois toutes) les copies de secours. Trier les
sauvegardes qui ont été affectées parmi les autres, peut être laborieux ou impossible.
Les macrovirus jouent avec des fichiers de données de l'utilisateur. Par exemple
WM/Wazzu met le mot "wazzu" à des emplacements aléatoires choisis dans le document.
Qu'est-ce qu'AVG System ?
Si vous faites une recherche sur Internet sur le mot "wazzu", vous serez étonnés du
nombre de pages qui ont été infectées par WM/WAZZU.
Et imaginez ce qui arriverait si un macrovirus pour Excel a légèrement changé les valeurs
de certaines cellules dans votre fichier XLS.

Techniques antivirus
Pour utiliser au mieux votre logiciel antivirus, vous devez comprendre un peu comment
travaillent les antivirus. AVG emploie trois techniques pour détecter des virus. Si vous
êtes intéressés par ces techniques, voir ces liens :
Recherche des virus connus
Essayer de trouver des virus inconnus
Observation des changements
Les techniques ci-dessus sont employées non seulement par AVG lui-même, mais aussi
dans la protection résidente et le courrier électronique.

Traitement de fichier
en 1er, AVG contrôle les informations sur les fichiers stockés dans sa base de données.
Puis il recherche dans les fichiers pour les virus connus et si aucun virus n'a été trouvé,
lance l'analyse heuristique.
Si un fichier montre des composants qui peuvent être infectés (par exemple les fichiers
EXE de Windows, des objets dans Power Point ou des fichiers archives), il fait un
deuxième passage.

Recherche des virus connus
Les premiers programmes antivirus cherchaient seulement un nombre limité de virus
spécifiques en se basant sur tous les signes qui accompagnent une infection, par exemple
: si le premier octet est 0E9h et les deux suivants, après ajout de 907, donne la taille du
fichier et les 20 derniers octets du fichier sont E8 00 00....
Si cette techique (appelée technique de recherche) était bien écrite, ce serait très fiable,
mais très lent s'il faut chercher beaucoup de virus.
L'étape suivante a été la création d'un scanner - un programme qui cherche dans des
fichiers une série d'instructions typiques d'un virus particulier. Pour chaque virus, un ordre
approprié d'octets (une série de scan) est choisi, par exemple. B4 3ème CD 21 B8 00 00.
Chaque fichier est alors vérifié pour voir s'il contient cet ordre. Si une anomalie est
trouvée, le fichier est déclaré "infecté". La sélection de l'ordre n'est pas facile - elle ne doit
pas entrer dans d'autres programmes pour empêcher des fausses alarmes. Le grand
avantage des scanners est qu'ils peuvent être facilement élargis aux nouvelles normes
des nouveaux virus. Comme 2000 nouveaux virus apparaissent chaque année, cet
avantage est inestimable.
Évidemment, les pirates essayent de rendre la détection de leurs créations aussi difficile
que possible. Un nouveau terme a été inventé - le virus polymorphe. Ces virus changent
leur code autant que possible par incrémentation pour qu'une série de scan appropriée
soit difficile ou même impossible à établir. Heureusement, ce type de chiffrage était assez
long pour permettre de choisir une série de scan appropriée. Plus tard, cependant, ces
types ont été améliorés et les fabricants d'antivirus ont dû réagir en créant de nouvelles
fonctions.
AVG contient les émulateurs de code machine qui imitent l'exécution du type de
décryptage. En pratique, cela signifie qu'AVG est capable de démêler un virus chiffré pour
l'examiner dans sa forme décryptée par les mêmes méthodes qui ont été employées pour
les virus simples.
Qu'est-ce qu'AVG System ?
Mais l'utilisation seule de séries de scan peut gêner l'éradication du virus (en particulier
quand arrive une nouvelle version d'un virus, détecté avec les mêmes séries de scan,
mais exige une autre technique d'éradication).

Analyse Heuristique
L'analyse heuristique n'est ni une expression à la mode, ni une sorte de magie noire. C'est
une approche sérieuse, scientifique d'analyse du code exécutable qui cherche certaines
activités qui sont associées aux virus informatiques.
Comment fonctionnent les analyses heuristiques :
Commençons par regarder dans deux segments de code très courts pris dans des virus
de boot différents. Dans la colonne gauche, la représentation binaire de certaines
instructions d'UC. La colonne droite contient leur équivalent symbolique.
A3 13 04       MOV [0413h],AX
B1 06          MOV CL,6
D3 E0       SHL AX,CL
2D C0 07       SUB AX,07C0
8E C0       MOV ES,AX
8E 00 7C       MOV SI,7C00h
8B FE          MOV DI,SI
B9 00 01       MOV CX,100h
F3 A5      REP MOVSW
26 A1 13 04 MOV AX,ES:[0413h]
B1 06      MOV CL,6
D3 E0          SHL AX,CL
BE C0          MOV ES,AX
33 FF      XOR DI,DI
B9 FF 00 MOV CX,00FF
FC        CLD
F3 A5 REP MOVSW

La fonctionnalité de ces deux segments de code est la même. Même sans connaissance
de programmation de base, on voit que ces segments sont semblables.
En comparant les instructions machine, nous trouvons des octets de mêmes valeurs dans
les deux segments de code :
13 04 B1 06 D3 E0 (0-3) 8E C0 (6-8) F3 A5
( Remarque : les nombres entre parenthèses indiquent la gamme d'octets qui peuvent être
des valeurs constantes).

Si nous faisons ce "type de recherche" plus complexe :
13 04 (0-18) B1 06 D3 (0-40) F3
en cherchons dans l'énorme base de données de virus de boot, nous sommes surpris :
nous pouvons détecter environ 30 % de virus de boot connus et environ 50 % de tous les
virus de boot.
Techniquement, cette méthode est appelée heuristique (c'est en fait la méthode
employée quand l'analyse heuristique a été inventée).

Comment fonctionnent nos analyses heuristiques
Les capacités heuristiques d'AVG sont construites par notre émulateur de code. C'est "un
ordinateur virtuel" dans lequel nous pouvons imiter un programme ou une fonction
système comme le boot ou le rapport de boot en maître.
Que fait le code l'émulation ? L'émulateur de code charge le programme (ou le secteur de
données) qui doit être imité en mémoire virtuelle. Imité (et probablement dangereux) le
Qu'est-ce qu'AVG System ?
code n'est pas exécuté directement par le processeur. L'émulateur de code prend chaque
instruction et simule son action d'une façon sûre. Tous les accès mémoire sont isolés de la
mémoire réelle employée par d'autres programmes. Il faut éviter d'activer un virus. Le
code imité ne peut pas affecter l'ordinateur.
Grâce à cette émulation précise, peu importe si le code a été altéré ou chiffré. Même les
virus polymorphes sont décryptés avant que leur corps ne soit analysé.
Dans cette étape d'émulation, l'analyseur heuristique AVG essaie de reconnaître la
signification logique des instructions (celles du programme) et de distinguer un programme
innocent et un segment de code viral. On y arrive en appliquant beaucoup de règles qui
changent de façon dynamique pendant l'émulation.
Voici l'approche statique comparée pour coder l'émulation avec un exemple court :

Ce fragment de code écrit 3 octets au fichier
B4 40 MOV OH, 40ème ; ID pour opération
B9 03 00     MOV CX, 3 ; nombre d'octets
CD 21        INT 21ème ; appel du système d'exploitation
Nous pouvons écrire le code avec exactement la même signification de plusieurs façons :
B4 45 MOV OH, 45ème 29 C9 SUB CX, CX
80 CE 05 SUB OH, 5ème 83 C1 03 AJOUTE CX, 3
B9 03 00 MOV CX, 3 B4 45 MOV OH, 45ème
CD 21 INT 21ème CD 21 INT 21ème

Il est évident que choisir un modèle de recherche même pour une petite quantité
(insignifiante) les variantes sont impossibles. Les pas d'émulation du code simulent
chaque instruction et quand le système d'exploitation est lancé, il reconnaît toutes les
valeurs dans tous les CPU.

Avantages et inconvénients des analyses heuristiques
Le principal avantage est de pouvoir attraper des nouveaux virus. Autre méthode possible
: la vérification d'intégrité. Cette méthode est basée sur l'observation des changements de
ressources système protégées (comme les programmes). Mais cette méthode ne détecte
le virus qu'après avoir eu certains effets sur le système (comme le transfert entre
programmes). Seule l'analyse heuristique peut trouver les nouveaux virus avant qu'ils
n'aient pu faire du mal.

Les limites de l'analyse heuristique
En comprenant les analyse heuristiques, nous comprenons aussi certaines de ses limites.
En premier, l'analyse heuristique peut détecter des virus écrits par l'assembleur, mais pas
à tous les niveaux de programmation des langages comme C, Pascal, ou Basic, parce
que le code de démarrage pour des langages complexes est vaste. Cependant, la plupart
des virus sont écrits par l'assembleur. Les programmes écrits en langage de
programmation de haut niveau sont plus gros et emploient des grandes bibliothèques.
Comme l'analyse heuristique n'a pas des ressources illimitées (la quantité de mémoire
n'est pas infinie et l'analyse doit être faite dans un délai acceptable), elle ne peut pas
détecter le comportement viral de programmes créés avec des langages de
programmation de haut niveau.
La deuxième limite est la cible de l'analyse heuristique. Elle est basée sur une
connaissance détaillée des objets examinés. Pour les programmes, qui peuvent faire
comme n'importe quel CPU (même les instructions qui ne sont pas indiquées par le
fabricant), exemple, comment est lancé le programme et chargé en mémoire, les fonctions
du système d'exploitation (y compris bien sûr, des fonctions cachées) et les emplacements
exacts de mémoire spéciaux employés par le BIOS ou le DOS.
Qu'est-ce qu'AVG System ?
Les résultats d'analyse heuristique
Il est très important de comprendre que l'analyse heuristique n'est pas une méthode qui
peut trouver 100 % de tous les virus connus et inconnus. C'est une méthode
complémentaire, qui augmente les chances de trouver des virus avant qu'ils ne fassent
des dégâts. Si cette méthode est combinée avec la vérification d'intégrité et le scan pour
virus connus (exactement comme dans AVG), le résultat est très proche d'une protection
100 %.

Test d'intégrité
Un essai d'intégrité se fait en comparant l'état des secteurs système et fichiers avec leur
image précédemment stockée dans une base de données.

Votre Ordinateur est votre château fort
Sauf absolue nécessité, ne laissez personne utiliser votre ordinateur sans votre
autorisation. Si vous maintenez votre PC propre, ne laissez personne insérer des
disquettes ou un CD d'origine douteuse.

N'ayez confiance en personne
Analysez chaque disquette qui doit être insérée dans votre lecteur. Vous paraîtrez peut-
être paranoïaque, mais vous serez récompensé en trouvant un virus sur une disquette
fournie par un ami qui vous a assuré qu'elle était propre. Il n'y a aucune exception à cette
règle. Même les disquettes distribuées par de grands fabricants et des vendeurs de
logiciel ont été trouvées infectées.

Ne vous faites pas confiance
Analysez les disquettes qui ne vous appartiennent pas même si vous n'avez pas besoin
de sauvegarder des données. Ainsi, vous ne pourrez pas être accusé d'infecter les
disquettes d'autres personnes si votre ordinateur a été infecté et vous empêcherez une
nouvelle contamination par le virus.

De temps en temps, bootez avec une disquette propre et lancez AVG
Comme nous avons mentionné ci-dessus, les risques d'infection virale sont minimes, mais
existent toujours . Un virus bien écrit peut être conçu pour empêcher sa détection par
votre logiciel antivirus, même si vos logiciels sont très bons. Si un virus trompe votre
logiciel antivirus, la seule façon d'avoir un environnement propre est de démarrer avec une
disquette propre. Vous éviterez de charger le virus en mémoire.

Sauvegardez vos données
Les copies de secours sont importantes, pas seulement à cause des virus, mais parce que
les disques durs peuvent tomber en panne, les ordinateurs peuvent être volés etc. Dans
ce cas, un jeu de sauvegardes est inestimable. Nous recommandons d'utiliser des
sauvegardes pour retrouver les données originales avant que le système ne soit infecté.
Par exemple, le virus Ser_No change de temps en temps des octets de façon aléatoire
dans vos données. Si vous n'avez pas de sauvegarde avant l'infection, la restitution de
vos données peut être très laborieuse.

Prévention constante
Tous les systèmes antivirus (y compris AVG) vieillissent. Donc il est très important de les
mettre à jour régulièrement. Rappelez-vous mettre à jour votre logiciel se fait à deux
niveaux. Le premier doit continuer à ajouter séries de scan à votre base de données. A
faire mensuellement ou au moins tous les deux mois. Se fait très facilement via Internet et
AVG est capable de mettre à jour les fichiers en ligne automatiquement. Le deuxième
niveau est une MISE À NIVEAU VERSION et incorpore les principaux changements au
programme antivirus - la détection de nouvelles sortes de virus peut nécessiter de
nouvelles techniques.

Soyez observateur
Soyez vigilant avec le comportement de votre ordinateur et noter toutes sortes
d'irrégularités pouvant être causées par un virus.

N'ayez pas peur de demander
Si vous estimez que votre ordinateur fait quelque chose qu'il ne doit pas faire - demandez
à une personne bien informée.

Finalement
Si vous ne lisez pas la documentation fournie avec votre traitement de texte, vous
trouverez difficile ou n'arriverez pas à utiliser beaucoup de ses particularités. Mais ne pas
lire votre manuel antivirus pourrait être plus coûteux. Mais, bien sûr, vous l'avez lu !

Les composants d'AVG
Le pack AVG contient ces programmes :

AVG pour Windows
AVG pour Windows est conçu pour vérifier les disques durs, les répertoires et les fichiers
sur votre ordinateur. Il doit être lancé manuellement ou automatiquement. Le programme
communique par ses interfaces avec les utilisateurs et leur permet de choisir des fonctions
et voir des résultats à l'écran.

AVG Protection résidente
est installée dans votre système d'exploitation Windows. Il contrôlera et vérifiera tous les
fichiers et disquettes en arrière-plan, avant de vous permettre de travailler avec eux.

AVG Scanner d'email
supporte Microsoft Outlook. Le programme vérifie les messages entrants et sortants et
leurs pièces jointes.

AVG Centre de Contrôle
commande les autres composants. Cette application est lancée avec Windows. Il lance les
tests prévus, permet l'installation de la Protection résidente et le scan du courrier
électronique, gère les mises à jour programmées et manuelles.

AVG Shell Extension
est un utilitaire simple. Il permet un contrôle rapide antivirus de n'importe quelle application
e, employant un menu "contextuel", activé par un clic droit de souris.

AVG Virus Vault (quarantaine)
stocke les fichiers infectés supprimés par l'utilisateur. Il permet la restauration de fichiers si
nécessaire.

AVG SOS program
est conçu pour vous fournir "les premiers secours" dans le cas où vous ne pouvez pas
employer votre AVG pour la protection de Windows. Quand les parties les plus critiques
de votre ordinateur sont infectées, il est nécessaire de démarrer le système d'exploitation
à partir d'une disquette système propre.
Pour créer une disquette système, vous aurez besoin d'une disquette haute densité
vierge. Ensuite, cliquer sur Démarrer, Options, Panneau de configuration. Un double-clic
sur Ajout/suppression de Programmes. Choisissez l'onglet Disque de démarrage et cliquer
sur le bouton Créer une disquette de boot. Votre disquette sera formatée et les fichiers
système seront copiés.

AVG pour Windows
AVG pour Windows est un des composants d'AVG Système.
Son but est de lancer les tests de détection de virus informatique. Ces tests vérifieront la
présence de virus dans les lecteurs et les répertoires, l'éradication de virus détectés ou
leur mise en quarantaire.
L'apparence et l'évolution des fonctions diffèrent en fonction de l'interface employée - de
BASE ou AVANCÉE.

AVG pour Windows avec Interface de BASE
Le programme est conçu pour fournir une protection complète et fiable contre les virus
informatiques avec intervention minimale de l'utilisateur. Fonctions principales :
Complete Test - vérifiera tous les disques durs et les fichiers stockés sur votre ordinateur.

Removable Media Test - vérifiera n'importe quel lecteur amovible à la demande de
l'utilisateur.
Test Results - affiche les résultats enregistrés par AVG et peuvent être imprimés.
Scheduler - le Planificateur lance automatiquement le test complet.
Create Rescue Disc - vous permet de faire une copie de secours des secteurs système
les plus importants et d'utiliser AVG SOS.

AVG pour Windows avec Interface AVANCÉE
offre toutes les fonctions du programme et ses options. Bien que cette version ne
contienne pas le mode AVANCÉ, une version professionnelle est disponible avec les
fonctions suivantes :
Main Test - permet de tester n'importe quel lecteur ou répertoire sur votre ordinateur ou
réseau.
Quick Test - vérifiera seulement les fichiers de système les plus importants et les
secteurs système.
Complete Test - vérifiera les fichiers sur tous les disques durs.
Test Manager - Configure le gestionnaire pour permettre la création de nouveaux tests et
les paramètres dont ils ont besoin.
Test Results- permettent de voir et imprimer les résultats enregistrés.
Create Rescue Disc - vous permet de faire une copie de secours des secteurs système
les plus importants et d'utiliser AVG SOS.

AVG Centre de Contrôle
est installé pendant l'installation d'AVG sur votre ordinateur. Il exécute ces fonctions :
Réglage des paramètres de la protection résidente
Réglage des paramètres du scanner d'email
Planification des tests
Comment activer le Centre de Contrôle d'AVG
fonctionne automatiquement au démarrage de Windows. Vous pouvez vérifier sa
présence en plaçant votre souris sur l'icône placée dans votre plateau système en bas à
droite de votre écran. Activez le Centre de Contrôle AVG en faisant un clic gauche sur
cette icône.
La fenêtre du Centre de Contrôle s'affichera sur votre écran.

Que faire si le Centre de Contrôle AVG n'est pas actif ?
Si l'icône n'est pas sur votre plateau système, cela signifie que le programme n'est pas
actif. Dans ce cas, vous ne pouvez pas faire de tests, ni employer l'option de mise à jour
automatique pour garder votre base de données virale à jour. Activez AVG comme ci-
dessus dans la section, Comment activer AVG.
Lancez le programme. Dés le début, vous verrez l'état dans le panneau de statut. Un
message d'avertissement vous informera qu'AVG n'est pas actif.
Appuyez sur le bouton de ce message d'avertissement. Une autre fenêtre avec plus
d'information apparaîtra. Cliquer sur le bouton Activate, et le Centre de Contrôle sera
activé.

AVG Centre de Contrôle - Réglage de la protection résidente
Vous pouvez personnellement configurer la protection résidente pour protéger votre
ordinateur ou vous pouvez garder les réglages par défaut. Les paramètres peuvent être
changés dans le Centre de Contrôle.
Gamme de Détection
Check Boot Viruses - contrôle le secteur de boot dans les disquettes qui sont insérées
dans A : quand elle sera accessible.
Check Executable Viruses - contrôle la protection résidente des fichiers avec extension
(EXE/COM). Check Macro Viruses - contrôle la protection résidente des documents avec
extension (DOC, XLS...)

Confirmation de l'utilisateur
Confirmation - si cochée, toute tentative de travailler avec des objets infectés (fichiers,
disquettes, etc) sera arrêtée et un message d'avertissement apparaîtra. Dans le cas
contraire, aucun message ne sera montré et l'utilisation de l'objet infecté sera mis hors
service (le système affichera un message d'erreur accès).
Ask What To Do Next - si vous avez coché le champ Confirmation, ce paramètre décide
que vous voulez travailler avec des fichiers infectés.

Autres
Set Parameters As New Default - n'importe quel changement de paramètres reste
valable jusqu'au redémarrage de Windows, sauf si vous employez ce bouton pour mettre
les réglages actuels comme programmes permanents par défaut.
OK, Cancel, & Apply - employer ces options pour sauvegarder ou annuler vos
changements.

AVG E-mail scanner - réglage des paramètres
Vous pouvez configurer le scanner d'email. Le réglage des paramètres se fait par le
Centre de Contrôle.
Gamme de Détection
Check Incoming Mail - contrôle le courrier entrant, plus précisément ses pièces jointes.
Check Outgoing Mail - contrôle le courrier sortant, plus précisément ses pièces jointes.

Certification
Le scanner d'email peut ajouter un message de certification à la fin de l'email affirmant
qu'AVG a vérifié son contenu et a constaté qu'il est sain.
Certify Incoming Mail - décide que tous les messages entrants seront certifiés.
Certify Outgoing Mail - décide que tous les messages sortants seront certifiés.

Autres
Advanced Settings - vous permettent de mettre des paramètres plus avancés.
OK, Cancel et Apply - à employer pour sauvegarder ou annuler vos changements.

Update Manager - Réglage des paramètres
AVG peut télécharger les fichiers de mise à jour des base de données virales d'Internet.
Ces téléchargements peuvent être planifiés pour un lancement automatique ou lancés
manuellement. Vous pouvez régler les paramètres du Manager de Mise à jour à votre
convenance.
Allow Scheduled Update - si coché sur automatique, permet des mises à jour prévues
sur Internet. Si elles sont, appliquer les paramètres suivants :
Update If Database Is Older Than 'X' Days - si la base de données virale est plus
ancienne que nombre de jours désignés, le programme téléchargera les fichiers mis à
jour.
If Not Successful, Then Repeat In - si la tentative précédente de téléchargement a
échoué, répéter la tentative dans le nombre de jours indiqués.
Start at HH:MM - détermine l'heure de lancement de la mise à jour automatique.
Server - détermine le serveur où le fichier de mise à jour sera téléchargé.
Update Now - essaie la mise à jour immédiatement.
OK, Cancel et Apply - à employer pour sauvegarder ou annuler vos changements.

AVG Control Center - réglages du Planificateur
Les tests de contrôle peuvent être planifiés.
Le lancement d'essais planifié est fait par AVG Centre de Contrôle - il contrôle les
conditions prévues et active les tests. Donc, si AVG Centre de Contrôle n'est pas actif,
aucun essai ne sera lancé automatiquement, même s'ils sont planifiés.

Information sur AVG Control Center
Cet onglet montre des informations importantes sur AVG Centre de Contrôle et AVG
installation.
Numéro de Version
Renseignements de Licence
Nom d'utilisateur et nom d'entreprise

Scan en continu
Le scan en continu (parfois appelé "protection résidente" ou "protection constante")
contrôle continuellement les activités de votre ordinateur. Normalement, il est activé juste
après le démarrage de l'ordinateur, il peut ainsi prendre le contrôle du système
d'exploitation.
Si vous accédez à un objet infecté (par exemple vous essayez d'ouvrir un document Word
infecté), la protection résidente vous avertit et ne vous permet pas d'employer ce fichier.
Cela semble être la solution suprême, mais la vie n'est pas si simple. Les programmes
résidents ont certaines limites. La plus importante est la limite de taille. Pour pour ne pas
épuiser la mémoire, ils doivent être le moins lourds possible. Une autre limite est la vitesse
- ils doivent être assez rapides pour être discrets.
Les concepteurs de scanners résidents doivent choisir le meilleur compromis entre la
puissance de balayage et les besoins de l'utilisateur. En conséquence, certains virus ne
peuvent pas être détectés avec le programme de protection résidente. C'est rare, mais
peut arriver et il est important que vous le compreniez. Le programme résident peut être
employé comme une aide valable, mais n'est pas une solution complète.
Le scanner continu emploie les mêmes techniques antivirales qu'AVG lui-même. La seule
différence est que le scanner continu agit automatiquement quand toute tentative
d'employer un fichier ou la disquette sont infectés. Il n'y pas besoin de lancer un test ou
planifier un programme de mise à l'épreuve.

AVG Resident Shield
est un programme qui est installé sur votre ordinateur en tant qu'une partie d'AVG. Il
fonctionne automatiquement quand Windows démarre.
Le programme contrôle des fonctions système importantes liées à tous vos fichiers
internes et aux médias amovibles. Dés que vous accédez à un fichier de votre disque dur,
une disquette, un CD-ROM ou un site Web, la protection résidente d'ACG contrôle les
données avant de vous permette de travailler avec pour s'assurer qu'ils sont propres. Ce
contrôle est si rapide que vous ne le remarquerez pas.

Détection Virus
Si la protection résidente détecte un virus, elle arrêtera le système d'exploitation et toutes
ses actions associées susceptibles d'être infectées. En fonction des réglages que vous
avez choisis, la protection résidente peut montrer un message sur votre écran, vous
demandant "que faire ensuite" ?.
Les options de protection résidentes peuvent être configurées en mettant ses paramètres.

How To Determine If Resident Shield Is Active
D'abord, lancer AVG pour Windows. Dans le panneau Statut Système sur la fenêtre
principale, cherchez le bouton appelé "AVG Resident Shield". Si ce programme n'est pas
actif ou mal configuré, le bouton affichera "Not Fully Functionnal".
Pour activer la protection résidente, cliquez sur "AVG Resident Shield" pour voir une
description plus détaillée du problème. Cliquez alors sur le bouton appelé Activate pour
lancer les actions automatiques qui répareront n'importe quels problèmes.

How To Find Detection Range
Lancez AVG Control Center, onglet Resident Shield Settings.
Note - si la protection résidente d'AVG n'est pas active, vous ne pouvez pas changer ses
paramètres - toutes les fixations seront grisées.

AVG Control Center - Resident Shield Settings
Vous pouvez personnellement configurer la protection résidente pour protéger votre
ordinateur ou vous pouvez garder les options par défaut. Les paramètres peuvent être
changés avec AVG Control Center.
Detection Range
Check Boot Viruses - détermine si le secteur de boot dans des disquettes insérés dans
votre A sera contrôlé si vous voulez y accéder.
Check Executable Viruses - détermine si la protection résidente contrôlera les fichiers
avec extension (EXE/COM).
Check Macro Viruses - détermine si la protection résidente vérifiera des documents avec
extension (DOC, XLS...)

Confirmation de l'utilisateur
Confirmation - si cochée, vous serez stoppé chaque fois que vous voudrez travailler avec
des objets infectés (des fichiers, des disquettes, etc) et un message d'avertissement
apparaîtra. Dans certains cas, aucun message ne sera montré et l'utilisation de l'objet
infecté sera éradiqué (le système donnera un message d'erreur d'accès).

Autres
Set Parameters As New Default – tout changement de paramètres reste valable jusqu'au
redémarrage de Windows, sauf si vous employez ce bouton pour mettre les réglages
actuels par défaut.
Ask What To Do Next - si vous avez coché le champ de Confirmation, ce paramètre
décide que vous voulez pouvoir travailler avec des fichiers infectés.
OK, Cancel, & Apply - employer ces options pour sauvegarder ou annuler vos
changements.

The AVG E-mail scanner
C'est un programme résident, installé pendant le processus d'installation. Il est
automatiquement lancé avec le système d'exploitation Windows et supporte Microsoft
Outlook.
Le programme vérifie toutes les pièces jointes aux email entrants et sortants.

Certification du message
Le scan d'AVG peut insérer un texte spécial à la fin des messages de votre courrier
électronique informant vos destinataires que votre courrier et ses pièces jointes sont
certifiés sans virus. Ce processus est appelé "la certification".
Détection Virale
Incoming Mail - si le scanner d'AVG détecte un courrier entrant avec des pièces jointes
infectées par un virus, il enlèvera les fichiers infectés automatiquement et les mettra en
quarantaine.
Dans le corps du courrier infecté, un message est inséré pour vous informer de la menace
virale.
Outgoing Mail - si le scanner d'AVG détecte des pièces jointes à des courrier sortants
infectées par un virus, il arrête l'envoi du message. Le message entier sera rendu à
l'expéditeur marqué non livrable.
La mise en garde sera insérée dans le courrier électronique informant l'expéditeur que son
courrier a été refusé parce qu'il a contenu un virus.

How to Determine if the AVG E-mail Scanner is Active and Functional
Comment déterminer si AVG E-mail Scanner est actif et fonctionnel.
D'abord, lancez le programme. Dans le panneau de statut système sur l'écran principal
d'AVG, trouvez le bouton du scanner. Si ce programme n'est pas actif ou est mal
configuré, le bouton affichera "Not fully functionnel !".
Dans ce cas, appuyez sur le bouton et voir la description plus détaillée de ce problème. Il
y a aussi un bouton appelé Activate. Pressez-le pour lancer les actions automatiques qui
répareront ce problème.
Note : si vous employez un autre programme d'email que Microsoft Outlook, le message
d'erreur sur le bouton affichera "Non-funtional", parce que vous employez un fournisseur
d'email non supporté par AVG. Le support pour les autres programmes de courrier
électronique est ajouté tout le temps, donc vérifiez que vous avez bien le dernier AVG mis
à jour.

Réglage des paramètres
Vous pouvez changer le comportement du Scanner en changeant ses paramètres. Cela
peut être fait en employant le Centre de Contrôle avec l'onglet Scanner du Courrier
électronique.

AVG E-mail Scanner - Parameter Settings
Vous pouvez configurer le Scanner de courrier électronique. Les réglages des paramètres
se fait en employant le Centre de Contrôle.
Detection Range
Check Incoming Mail – détermine si les courriers avec pièces jointes entrants doivent
être contrôlés.
Check Outgoing Mail – détermine si les courriers sortants avec pièces jointes doivent
être contrôlés.

Certification
Vous permet d’ajouter à la fin d’un email un message de certification assurant le
destinataire que votre email ni ses pièces jointes ne contiennent pas de virus.
Certify Incoming Mail – détermine que les messages entrants doivent être certifiés.
Certify Outgoing Mail - détermine que les messages sortants doivent être certifiés.

Others
Les réglages avancés vous permettent de mettre des paramètres avancés.
OK, Cancel et Apply – à employer pour sauvegarder, annuler ou appliquer les
changements.

The AVG Virus Vault
Quand AVG détecte un virus qu’il ne peut éradiquer, il utilise un chemin spécial pour
éliminer les fichiers infectés - AVG les déplace vers la quarantaine.

What is the AVG Virus Vault?
Qu'est-ce que la quarantaine AVG ?
c'est un répertoire spécial qui stocke les fichiers infectés. Le nom des fichiers est changé
et leur contenu est chiffré pour qu'ils ne puissent être employés et l'infection virale
s'étendre. C'est presque identique à une suppression ordinaire ; cependant, la quarantaine
vous permet de restaurer les fichiers, si nécessaire.
L'écran de la quarantaine est divisé dans trois parties :
Toolbar : La barre d'outils contient des boutons pour l'accès rapide aux fonctions les plus
importantes :
Delete File – deletes – supprime définitivement le fichier. Il ne peut pas être restauré.
La quarantaine a sa propre maintenance automatique - les fichiers qui y sont stockés sont
supprimés automatiquement en fonction des paramètres.
File Restore - lance la fonction de restauration - le fichier est remis à son emplacement
original sous son nom original. Il est important de se rappeler que le fichier est toujours
infecté.
Settings - vous permettent de régler les paramètres de la quarantaine.
Exit - sortir de la quarantaine.
List of Groups
pour placer les fichiers demandés, employez la Liste de Groupes. Vous pouvez voir tous
les groupes enregistrés dans le panneau sur le côté gauche de l'écran de quarantaine.
List of Files
La liste de fichiers enregistrés est affichée sur le côté droit de l'écran.

AVG Virus Vault - List of Groups Liste de Groupes
Pour comprendre plus facilement la liste de tous les fichiers viraux dans la quarantaine, il y
a les groupes de fichiers.
Vous pouvez aussi lire