Qu'est-ce qu'AVG System ?
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Qu'est-ce qu'AVG System ? Boot Viruses Récemment les virus de boot étaient responsables de la majorité des infections. La raison principale de leur "succès" était que les disquettes étaient les médias les plus courants pour passer des données entre utilisateurs. Le chemin emprunté par les virus est généralement simple. Supposez que vous recevez une disquette avec un secteur de boot infecté. Vous en copiez des données, mais oubliez de l'enlever du lecteur A:. Quand vous relancez l'ordinateur, le boot exécutera le programme infecté de la disquette. Le virus se chargera d'abord et infectera le disque dur. Notez qu'on peut l'empêcher en changeant l'ordre de boot dans le CMOS (Laissez boot C : au lieu de A :). Généralement la place infectée sur un disque dur est la partition, bien que certains virus infectent le boot. Le contenu original de la partition est alors déplacé à une place "sûre" sur le disque dur. Le diagramme montre un schéma simplifié d'un disque dur. (1) disque propre, tandis que (2), (3) et (4) montrent des façons différentes où ils peuvent être infectés. Dans le cas (3), le contenu original de la partition est stocké à la fin du répertoire racine. Si le répertoire racine est presque plein alors l'information sur l'emplacement de certains fichiers peut être perdu. De la même façon dans le cas (4), la sauvegarde est stockée dans la dernière partie de la partition de données utilisateur et peut être corrompue.
Comme le virus a infecté un secteur système du disque dur, il sera chargé en mémoire à chaque démarrage de l'ordinateur. Il prendra d'abord le contrôle des services système du disque au niveau le plus bas avant l'exécution du boot original qu'il a stocké dans une autre partie du disque dur. L'ordinateur semble se comporter exactement comme d'habitude. Personne ne remarquera le fractionnement supplémentaire du boot de l'ordre d'une seconde. Le virus contrôlera aussi le gestionnaire d'accès aux partitions. La partition contient son propre code et il suffit de la lire avec un antivirus pour déterminer la présence d'un virus. Le virus ne permettra pas à la partition d'être lue et lancera toutes les demandes à l'emplacement sur le disque dur où il a stocké le contenu original. Ainsi, rien n'est détecté. Ces méthodes sont appelées les techniques de "ruse" et leur but principal est de masquer la présence du virus. Tous les virus de boot n'emploient pas ces méthodes, mais d'autres toutes aussi courantes. Virus de Fichier Comme dit plus haut, ces virus infectent les fichiers - des exécutables ou programmes. Virus copieur C'est la forme la plus basique de virus car ils se dévoilent presque immédiatement et limitent ainsi leur chance de se diffuser d'un ordinateur à un autre. Ils infectent des programmes en les recopiant (ou une partie d'entre eux) avec leur propre code, en les endommageant définitivement. Certains virus essayent de cacher que le programme est endommagé en affichant un faux message d'erreur. Ce diagramme montre un fichier propre (1). (2) même fichier infecté par un virus copieur. Virus de compagnie Dans MS-DOS et Windows, quand vous voulez lancer le fichier XYZ, il cherchera d'abord XYZ.COM et seulement s'il n'existe pas, il essaiera de trouver XYZ.EXE. Les virus de compagnie profitent de cette propriété en cherchant les EXE des programmes et créent un fichier de compagnie qui a le même nom, mais porte une extension COM. Le nouveau fichier contient seulement le code viral et quand il a été exécuté, il passe le contrôle à l'EXE original. Ce n'est pas une très bonne ampleur de diffusion, mais un grand avantage - il ne marque pas les fichiers et peut donc échapper aux contrôles de sécurité ou à la protection résidente. Une autre méthode employée par les virus de compagnie est basée sur le chemin spécifié. Un virus met simplement un fichier infecté dans le chemin inscrit avant le répertoire du programme original.
Le diagramme montre une infection par un virus de compagnie. L'EXE original reste inchangé, mais un nouveau COM du même nom a été créé. Virus parasites Ces virus marquent leur cible en s'y attachant, mais ne l'endommagent pas - les fonctions du fichier paraissent normales. Ils ont une bien meilleure chance de se diffuser que leurs cousins ci-dessus. Le code de la cible est modifié et quand le fichier est exécuté, le virus se lance d'abord et passe ensuite le contrôle au programme hôte. Ces diagrammes montrent les différents chemins utilisés par les virus parasites. (1) un fichier propre. Le chemin le plus courant est son type (2) Certaines instructions, insérées au lancement du fichier, orientent le corps principal du virus vers la fin du fichier. Les virus parasites écrivent tout leur code au début (c'est plus facile pour les hackers) et déplacent le code original vers la fin du fichier (3) copie tout le fichier original après le virus (4). Cependant, les virus peuvent se mettre n'importe où dans le corps du fichier hôte (5). Parfois plusieurs segments sont insérés (pour confondre les programmes antivirus) comme dans le cas où (6), il y a d'autres méthodes mais rarement employées. Quand un code viral est attaché à un fichier, la taille de ce dernier augmente. Une autre façon consiste à s'insérer au fichier plutôt que d'ajouter. Le virus doit recopier un secteur "inutilisé" dans le corps du fichier hôte. Cette méthode limite le taux de diffusion car seuls certains programmes ont de tels "trous". La plupart des versions de COMMAND.COM contiennent des vides dans leur code et sont susceptibles d'être infectés.
Des vides inutilisés peuvent être aussi trouvés dans des exécutables de Windows. Le premier virus qui a employé ces "trous" pour infecter un fichier sans changer sa longueur était CIH. Une autre façon de masquer les changements est l'autodéfense "active". Il est facile à un virus résident de convertir les fichiers du système d'exploitation. Quand on regarde la longueur d'un fichier infecté, le virus peut répondre en indiquant les valeurs originales au lieu de la vérité. On peut tromper ainsi certains programmes efficacement (par exemple la commande DIR) mais il peut entraîner des conséquences malheureuses. Dés qu'un programme ouvre ce fichier, il verra sa vraie taille et la taille annoncée qui ne correspondent pas. Les utilitaires comme CHKDSK ou NDD (Norton Disk Doctor) affichent les erreurs sur le disque et si vous essayez de les réparer, le résultat peut être désastreux. Multipartite virus L'avantage du virus de boot est qu'il a d'abord accès à la mémoire, lui permettant d'infecter ensuite tout le logiciel exécuté. Mais si le système d'exploitation n'a pas encore été installé, les seules fonctions disponibles sont le système de base du BIOS qui ne lui est d'aucune utilité. Ainsi les fichiers ne peuvent pas être infectés et la vitesse de diffusion est limitée. Les virus de fichier, eux, peuvent s'attaquer à "un plus haut niveau" du système d'exploitation pour infecter les fichiers qui sont fréquemment fournis aux utilisateurs d'ordinateur. Les virus Multipartite combinent les techniques des deux types et peuvent infecter le système et les fichiers. Ils peuvent infecter non seulement la partition, mais les exécutables aussi. En s'attaquant à un exécutable, ils peuvent utiliser n'importe quelle méthode et infecter la table d'allocation comme une infection faite par des virus de boot. Un virus multipartite patiente après le chargement en mémoire et attend le DOS pour se charger avant de prendre le contrôle du système d'exploitation. Ce n'est pas facile mais il peut y parvenir. Un bon exemple est le virus One_Half qui est un des plus répandus. Les Macrovirus Des macrovirus sont sans doute les éléments les plus communs que l'on voit sur un PC. Parce que les macrovirus infectent les objets qui sont généralement partagés entre beaucoup de personnes, transférés via email et publiés souvent sur les pages Web. C'est ainsi que les macrovirus se transmettent très facilement. Même le vieux Word 6.0 a le Basic, assez puissant pour écrire des macrovirus. Les versions actuelles de produits de Microsoft Office emploient maintenant Visual Basic pour les applications (VBA) qui combine la puissance de langage de programmation moderne avec la facilité du Basic. D'un point de vue technique, nous pouvons diviser les macrovirus en différentes catégories. Si AVG annonce un macrovirus, vous pouvez voir à partir de son préfixe quelle plate-forme est visée. Par exemple WM/ signifie Word 6, W97M/ signifie Word 97. Mais la situation actuelle n'est pas si simple. Les nouveaux produits Microsoft Office sont (ou tentent d'être) compatibles avec les versions précédentes. Vous pouvez prendre un macrovirus WM/Example et le charger dans Word 97 et voici ce qui peut se passer : Vous obtenez un virus parfaitement fonctionnel reconverti pour une macro W97M/Example. Vous avez alors un macrovirus qui ne peut pas se propager seul mais toutes ses fonctions destructives sont fonctionnelles. Word peut reconnaître certains virus dans votre WM/EXAMPLE et empêcher la conversion. La situation est plus compliquée avec Excel qui convertit aussi bien vers une version inférieure que supérieure.
Why is all this up/down converting so important? Le processus est multiple. Si vous prenez une macro pour Excel 5, la convertissez pour Excel 97 et revenez en arrière à Excel 5, elle peut devenir une macro légèrement différente. Donc vous avez inconsciemment créé une nouvelle version d'un macrovirus connu que vous devez être capable de détecter et ôter. Macrovirus pour Word En 1995, Microsoft Word 6 était le premier produit affecté par le macrovirus. Le premier (WM/Concept. A) était né, appelé PayLoad. Après un temps relativement court, nous avons vu beaucoup de modifications de ce macrovirus suivi par d'autres écrits à partir de zéro. Les macrovirus pour Word emploient une particularité appelée "automacros". Le principe de base est que certaines macros avec des noms spéciaux sont automatiquement exécutées quand Word démarre, ouvre un fichier, ou le ferme. Le macrovirus s'insère alors dans NORMAL.DOT. Dans Word, il est parfois possible de mettre hors service les automacros mais ce n'est pas la solution idéale. Certains macrovirus emploient d'autres méthodes pour prendre le contrôle de Word. Une autre méthode d'autodéfense est de lire seulement NORMAL.DOT. Mais on peut aussi contourner cela et, de plus, vous ne pourrez le personnaliser. Macrovirus pour Excel Excel offre les mêmes occasions pour les hackers que Word. Il a des automacros et un répertoire appelé XLSTART qui est automatiquement chargé. Mais Excel n'a pas les macros VBA comme Word. Dans Excel, il y a "des formules" - macros stockées dans les cellules des tableaux. Le premier macrovirus employant cette technologie était XF/PAIX. Macrovirus pour d'autres produits OFFICE L'écriture d'un macrovirus pour d'autres produits Office n'est pas difficile. Nous avons déjà quelques virus pour Access et nous attendons des macrovirus pour Power Point dans un proche avenir. Mais ces macrovirus ne sont pas aussi dangereux que ceux pour Word ou Excel. Parce que les fichiers de données de ces produits ne sont pas si fréquemment partagés. Il y a un danger dans Power Point sans macrovirus écrits spécialement pour ce produit. Vous pouvez inclure dans votre présentation n'importe quel nombre d'objets d'Excel ou de Word. Et ces objets peuvent être infectés par des macrovirus - si vous éditez la présentation et ouvrez l'objet infecté avec son application, alors le virus peut s'étendre plus loin. Macrovirus pour d'autres plates-formes Avec d'autres produits, la situation est un peu meilleure. Les virus sont écrits, mais ne sont jamais si répandus. Il y a là deux raisons principales : 1 - comment est distribué le produit pour lequel le macrovirus est écrit. Si quelqu'un sort LE MEILLEUR TRAITEMENT DE TEXTE JAMAIS VU, mais le vend à quelques utilisateurs seulement, le macrovirus écrit pour ce produit a peu de chance de s'étendre. 2 - La deuxième raison est d'ordre technique. Par exemple, Ami Pro garde ses macros dans un fichier séparé par lequel on doit passer obligatoirement à la différence de Word où les macros peuvent être mises à l'intérieur du document à votre insu. Mais la situation actuelle peut changer radicalement dans les quelques années suivantes. Microsoft a donné sa technologie VBA à beaucoup de sociétés, donc nous pouvons nous attendre voir des macrovirus pour d'autres produits.
Comportement des virus Les virus changent le contenu du système, réduisent la mémoire disponible ou créent / marquent les fichiers. De plus, les hackers peuvent inclure leurs propres payloads, certains simplement amusants, mais souvent destructifs. Certains virus sont nuisibles parce qu'ils sont mal écrits, pas parce que leur auteur en a eu l'intention. Les effets des virus Les hackers font face à un dilemme. Ils ne peuvent pas résister "à faire étalage" de leur productivité mais en même temps, ils doivent retarder la découverte du virus pour qu'il puisse se reproduire. Ils déclenchent leur produit à une date et un jour prédéterminés, vendredi 13 par exemple est très populaire. Ils peuvent aussi lier l'activation à des conditions spécifiques aléatoires. Par exemple, un virus choisit une position aléatoire à l'écran et s'il trouve un caractère là, il le remplacera par un autre. Les virus apparaissent souvent comme certaines manipulations à l'écran - des caractères tombent en fond d'écran, une ambulance le traverse ou un message est affiché. Ces messages seraient une lecture intéressante pour un psychiatre, ce sont souvent des commentaires sur de nouvelles politiques, des groupes de publicité, la menace de destruction des données ou la présentation elle-même. En dehors des effets visibles, il y a des effets acoustiques. Par exemple, un virus d'origine bulgare joue un air simple chaque matin et le 1er Mai joue l'Internationale. Effets désagréables Certains effets sont très gênants. Un virus prend le contrôle du clavier et substitue de temps à autre une touche à une autre, ex : "Tnis vifus actuzlly improvss mu typinb". Un autre virus "de touche" fait que quelle que soit la touche utilisée, rien n'apparaît à l'écran. Il y a aussi les système affentant le temps. Ils font retarder les systèmes et c'est particulièrement agaçant pour les ouvriers qui doivent attendre pour rentrer chez eux. Plus sérieusement, ce type de virus peut causer le chaos dans les programmes qui dépendent du système temps ou date. On a un peu plus résolu le problème du virus qui contrôle la commande COPY du DOS et parfois le changement de ses paramètres. Pour peu que COPY NEW.TXT ou OLD.TXT soit exécutée comme COPY OLD.TXT NEW.TXT et votre nouveau fichier est remplacé par l'ancien. Certains virus peuvent vous coûter cher en disposant de votre modem. Nous ne connaissons pas celui qui compose des numéros de téléphone, mais aucun doute nous le verrons bientôt. Un virus particulièrement malveillant compose le 911 (le numéro de secours aux ETATS-UNIS) et active ainsi les services de secours. Dommages En général, les virus tentent de détruire des données sur le disque dur. Il faut signaler que la qualité du programme viral n'est pas nécessairement à hauteur des dégâts engendrés. Des virus primaires recopient simplement le contenu des fichiers sans avertissement. Dans ce cas, le fichier ne peut être récupéré qu'en restaurant la sauvegarde. Cela peut prendre du temps, mais si une sauvegarde existe, ce n'est pas la fin du monde. Il y a des formes plus insidieuses de destruction lentes, des changements à peine visibles des données. Si un virus qui contrôle le disque a été activé pendant un certain temps, il peut endommager certaines (et parfois toutes) les copies de secours. Trier les sauvegardes qui ont été affectées parmi les autres, peut être laborieux ou impossible. Les macrovirus jouent avec des fichiers de données de l'utilisateur. Par exemple WM/Wazzu met le mot "wazzu" à des emplacements aléatoires choisis dans le document.
Si vous faites une recherche sur Internet sur le mot "wazzu", vous serez étonnés du nombre de pages qui ont été infectées par WM/WAZZU. Et imaginez ce qui arriverait si un macrovirus pour Excel a légèrement changé les valeurs de certaines cellules dans votre fichier XLS. Techniques antivirus Pour utiliser au mieux votre logiciel antivirus, vous devez comprendre un peu comment travaillent les antivirus. AVG emploie trois techniques pour détecter des virus. Si vous êtes intéressés par ces techniques, voir ces liens : Recherche des virus connus Essayer de trouver des virus inconnus Observation des changements Les techniques ci-dessus sont employées non seulement par AVG lui-même, mais aussi dans la protection résidente et le courrier électronique. Traitement de fichier en 1er, AVG contrôle les informations sur les fichiers stockés dans sa base de données. Puis il recherche dans les fichiers pour les virus connus et si aucun virus n'a été trouvé, lance l'analyse heuristique. Si un fichier montre des composants qui peuvent être infectés (par exemple les fichiers EXE de Windows, des objets dans Power Point ou des fichiers archives), il fait un deuxième passage. Recherche des virus connus Les premiers programmes antivirus cherchaient seulement un nombre limité de virus spécifiques en se basant sur tous les signes qui accompagnent une infection, par exemple : si le premier octet est 0E9h et les deux suivants, après ajout de 907, donne la taille du fichier et les 20 derniers octets du fichier sont E8 00 00.... Si cette techique (appelée technique de recherche) était bien écrite, ce serait très fiable, mais très lent s'il faut chercher beaucoup de virus. L'étape suivante a été la création d'un scanner - un programme qui cherche dans des fichiers une série d'instructions typiques d'un virus particulier. Pour chaque virus, un ordre approprié d'octets (une série de scan) est choisi, par exemple. B4 3ème CD 21 B8 00 00. Chaque fichier est alors vérifié pour voir s'il contient cet ordre. Si une anomalie est trouvée, le fichier est déclaré "infecté". La sélection de l'ordre n'est pas facile - elle ne doit pas entrer dans d'autres programmes pour empêcher des fausses alarmes. Le grand avantage des scanners est qu'ils peuvent être facilement élargis aux nouvelles normes des nouveaux virus. Comme 2000 nouveaux virus apparaissent chaque année, cet avantage est inestimable. Évidemment, les pirates essayent de rendre la détection de leurs créations aussi difficile que possible. Un nouveau terme a été inventé - le virus polymorphe. Ces virus changent leur code autant que possible par incrémentation pour qu'une série de scan appropriée soit difficile ou même impossible à établir. Heureusement, ce type de chiffrage était assez long pour permettre de choisir une série de scan appropriée. Plus tard, cependant, ces types ont été améliorés et les fabricants d'antivirus ont dû réagir en créant de nouvelles fonctions. AVG contient les émulateurs de code machine qui imitent l'exécution du type de décryptage. En pratique, cela signifie qu'AVG est capable de démêler un virus chiffré pour l'examiner dans sa forme décryptée par les mêmes méthodes qui ont été employées pour les virus simples.
Mais l'utilisation seule de séries de scan peut gêner l'éradication du virus (en particulier quand arrive une nouvelle version d'un virus, détecté avec les mêmes séries de scan, mais exige une autre technique d'éradication). Analyse Heuristique L'analyse heuristique n'est ni une expression à la mode, ni une sorte de magie noire. C'est une approche sérieuse, scientifique d'analyse du code exécutable qui cherche certaines activités qui sont associées aux virus informatiques. Comment fonctionnent les analyses heuristiques : Commençons par regarder dans deux segments de code très courts pris dans des virus de boot différents. Dans la colonne gauche, la représentation binaire de certaines instructions d'UC. La colonne droite contient leur équivalent symbolique. A3 13 04 MOV [0413h],AX B1 06 MOV CL,6 D3 E0 SHL AX,CL 2D C0 07 SUB AX,07C0 8E C0 MOV ES,AX 8E 00 7C MOV SI,7C00h 8B FE MOV DI,SI B9 00 01 MOV CX,100h F3 A5 REP MOVSW 26 A1 13 04 MOV AX,ES:[0413h] B1 06 MOV CL,6 D3 E0 SHL AX,CL BE C0 MOV ES,AX 33 FF XOR DI,DI B9 FF 00 MOV CX,00FF FC CLD F3 A5 REP MOVSW La fonctionnalité de ces deux segments de code est la même. Même sans connaissance de programmation de base, on voit que ces segments sont semblables. En comparant les instructions machine, nous trouvons des octets de mêmes valeurs dans les deux segments de code : 13 04 B1 06 D3 E0 (0-3) 8E C0 (6-8) F3 A5 ( Remarque : les nombres entre parenthèses indiquent la gamme d'octets qui peuvent être des valeurs constantes). Si nous faisons ce "type de recherche" plus complexe : 13 04 (0-18) B1 06 D3 (0-40) F3 en cherchons dans l'énorme base de données de virus de boot, nous sommes surpris : nous pouvons détecter environ 30 % de virus de boot connus et environ 50 % de tous les virus de boot. Techniquement, cette méthode est appelée heuristique (c'est en fait la méthode employée quand l'analyse heuristique a été inventée). Comment fonctionnent nos analyses heuristiques Les capacités heuristiques d'AVG sont construites par notre émulateur de code. C'est "un ordinateur virtuel" dans lequel nous pouvons imiter un programme ou une fonction système comme le boot ou le rapport de boot en maître. Que fait le code l'émulation ? L'émulateur de code charge le programme (ou le secteur de données) qui doit être imité en mémoire virtuelle. Imité (et probablement dangereux) le
code n'est pas exécuté directement par le processeur. L'émulateur de code prend chaque instruction et simule son action d'une façon sûre. Tous les accès mémoire sont isolés de la mémoire réelle employée par d'autres programmes. Il faut éviter d'activer un virus. Le code imité ne peut pas affecter l'ordinateur. Grâce à cette émulation précise, peu importe si le code a été altéré ou chiffré. Même les virus polymorphes sont décryptés avant que leur corps ne soit analysé. Dans cette étape d'émulation, l'analyseur heuristique AVG essaie de reconnaître la signification logique des instructions (celles du programme) et de distinguer un programme innocent et un segment de code viral. On y arrive en appliquant beaucoup de règles qui changent de façon dynamique pendant l'émulation. Voici l'approche statique comparée pour coder l'émulation avec un exemple court : Ce fragment de code écrit 3 octets au fichier B4 40 MOV OH, 40ème ; ID pour opération B9 03 00 MOV CX, 3 ; nombre d'octets CD 21 INT 21ème ; appel du système d'exploitation Nous pouvons écrire le code avec exactement la même signification de plusieurs façons : B4 45 MOV OH, 45ème 29 C9 SUB CX, CX 80 CE 05 SUB OH, 5ème 83 C1 03 AJOUTE CX, 3 B9 03 00 MOV CX, 3 B4 45 MOV OH, 45ème CD 21 INT 21ème CD 21 INT 21ème Il est évident que choisir un modèle de recherche même pour une petite quantité (insignifiante) les variantes sont impossibles. Les pas d'émulation du code simulent chaque instruction et quand le système d'exploitation est lancé, il reconnaît toutes les valeurs dans tous les CPU. Avantages et inconvénients des analyses heuristiques Le principal avantage est de pouvoir attraper des nouveaux virus. Autre méthode possible : la vérification d'intégrité. Cette méthode est basée sur l'observation des changements de ressources système protégées (comme les programmes). Mais cette méthode ne détecte le virus qu'après avoir eu certains effets sur le système (comme le transfert entre programmes). Seule l'analyse heuristique peut trouver les nouveaux virus avant qu'ils n'aient pu faire du mal. Les limites de l'analyse heuristique En comprenant les analyse heuristiques, nous comprenons aussi certaines de ses limites. En premier, l'analyse heuristique peut détecter des virus écrits par l'assembleur, mais pas à tous les niveaux de programmation des langages comme C, Pascal, ou Basic, parce que le code de démarrage pour des langages complexes est vaste. Cependant, la plupart des virus sont écrits par l'assembleur. Les programmes écrits en langage de programmation de haut niveau sont plus gros et emploient des grandes bibliothèques. Comme l'analyse heuristique n'a pas des ressources illimitées (la quantité de mémoire n'est pas infinie et l'analyse doit être faite dans un délai acceptable), elle ne peut pas détecter le comportement viral de programmes créés avec des langages de programmation de haut niveau. La deuxième limite est la cible de l'analyse heuristique. Elle est basée sur une connaissance détaillée des objets examinés. Pour les programmes, qui peuvent faire comme n'importe quel CPU (même les instructions qui ne sont pas indiquées par le fabricant), exemple, comment est lancé le programme et chargé en mémoire, les fonctions du système d'exploitation (y compris bien sûr, des fonctions cachées) et les emplacements exacts de mémoire spéciaux employés par le BIOS ou le DOS.
Les résultats d'analyse heuristique Il est très important de comprendre que l'analyse heuristique n'est pas une méthode qui peut trouver 100 % de tous les virus connus et inconnus. C'est une méthode complémentaire, qui augmente les chances de trouver des virus avant qu'ils ne fassent des dégâts. Si cette méthode est combinée avec la vérification d'intégrité et le scan pour virus connus (exactement comme dans AVG), le résultat est très proche d'une protection 100 %. Test d'intégrité Un essai d'intégrité se fait en comparant l'état des secteurs système et fichiers avec leur image précédemment stockée dans une base de données. Votre Ordinateur est votre château fort Sauf absolue nécessité, ne laissez personne utiliser votre ordinateur sans votre autorisation. Si vous maintenez votre PC propre, ne laissez personne insérer des disquettes ou un CD d'origine douteuse. N'ayez confiance en personne Analysez chaque disquette qui doit être insérée dans votre lecteur. Vous paraîtrez peut- être paranoïaque, mais vous serez récompensé en trouvant un virus sur une disquette fournie par un ami qui vous a assuré qu'elle était propre. Il n'y a aucune exception à cette règle. Même les disquettes distribuées par de grands fabricants et des vendeurs de logiciel ont été trouvées infectées. Ne vous faites pas confiance Analysez les disquettes qui ne vous appartiennent pas même si vous n'avez pas besoin de sauvegarder des données. Ainsi, vous ne pourrez pas être accusé d'infecter les disquettes d'autres personnes si votre ordinateur a été infecté et vous empêcherez une nouvelle contamination par le virus. De temps en temps, bootez avec une disquette propre et lancez AVG Comme nous avons mentionné ci-dessus, les risques d'infection virale sont minimes, mais existent toujours . Un virus bien écrit peut être conçu pour empêcher sa détection par votre logiciel antivirus, même si vos logiciels sont très bons. Si un virus trompe votre logiciel antivirus, la seule façon d'avoir un environnement propre est de démarrer avec une disquette propre. Vous éviterez de charger le virus en mémoire. Sauvegardez vos données Les copies de secours sont importantes, pas seulement à cause des virus, mais parce que les disques durs peuvent tomber en panne, les ordinateurs peuvent être volés etc. Dans ce cas, un jeu de sauvegardes est inestimable. Nous recommandons d'utiliser des sauvegardes pour retrouver les données originales avant que le système ne soit infecté. Par exemple, le virus Ser_No change de temps en temps des octets de façon aléatoire dans vos données. Si vous n'avez pas de sauvegarde avant l'infection, la restitution de vos données peut être très laborieuse. Prévention constante Tous les systèmes antivirus (y compris AVG) vieillissent. Donc il est très important de les mettre à jour régulièrement. Rappelez-vous mettre à jour votre logiciel se fait à deux niveaux. Le premier doit continuer à ajouter séries de scan à votre base de données. A faire mensuellement ou au moins tous les deux mois. Se fait très facilement via Internet et
AVG est capable de mettre à jour les fichiers en ligne automatiquement. Le deuxième niveau est une MISE À NIVEAU VERSION et incorpore les principaux changements au programme antivirus - la détection de nouvelles sortes de virus peut nécessiter de nouvelles techniques. Soyez observateur Soyez vigilant avec le comportement de votre ordinateur et noter toutes sortes d'irrégularités pouvant être causées par un virus. N'ayez pas peur de demander Si vous estimez que votre ordinateur fait quelque chose qu'il ne doit pas faire - demandez à une personne bien informée. Finalement Si vous ne lisez pas la documentation fournie avec votre traitement de texte, vous trouverez difficile ou n'arriverez pas à utiliser beaucoup de ses particularités. Mais ne pas lire votre manuel antivirus pourrait être plus coûteux. Mais, bien sûr, vous l'avez lu ! Les composants d'AVG Le pack AVG contient ces programmes : AVG pour Windows AVG pour Windows est conçu pour vérifier les disques durs, les répertoires et les fichiers sur votre ordinateur. Il doit être lancé manuellement ou automatiquement. Le programme communique par ses interfaces avec les utilisateurs et leur permet de choisir des fonctions et voir des résultats à l'écran. AVG Protection résidente est installée dans votre système d'exploitation Windows. Il contrôlera et vérifiera tous les fichiers et disquettes en arrière-plan, avant de vous permettre de travailler avec eux. AVG Scanner d'email supporte Microsoft Outlook. Le programme vérifie les messages entrants et sortants et leurs pièces jointes. AVG Centre de Contrôle commande les autres composants. Cette application est lancée avec Windows. Il lance les tests prévus, permet l'installation de la Protection résidente et le scan du courrier électronique, gère les mises à jour programmées et manuelles. AVG Shell Extension est un utilitaire simple. Il permet un contrôle rapide antivirus de n'importe quelle application e, employant un menu "contextuel", activé par un clic droit de souris. AVG Virus Vault (quarantaine) stocke les fichiers infectés supprimés par l'utilisateur. Il permet la restauration de fichiers si nécessaire. AVG SOS program est conçu pour vous fournir "les premiers secours" dans le cas où vous ne pouvez pas employer votre AVG pour la protection de Windows. Quand les parties les plus critiques
de votre ordinateur sont infectées, il est nécessaire de démarrer le système d'exploitation à partir d'une disquette système propre. Pour créer une disquette système, vous aurez besoin d'une disquette haute densité vierge. Ensuite, cliquer sur Démarrer, Options, Panneau de configuration. Un double-clic sur Ajout/suppression de Programmes. Choisissez l'onglet Disque de démarrage et cliquer sur le bouton Créer une disquette de boot. Votre disquette sera formatée et les fichiers système seront copiés. AVG pour Windows AVG pour Windows est un des composants d'AVG Système. Son but est de lancer les tests de détection de virus informatique. Ces tests vérifieront la présence de virus dans les lecteurs et les répertoires, l'éradication de virus détectés ou leur mise en quarantaire. L'apparence et l'évolution des fonctions diffèrent en fonction de l'interface employée - de BASE ou AVANCÉE. AVG pour Windows avec Interface de BASE Le programme est conçu pour fournir une protection complète et fiable contre les virus informatiques avec intervention minimale de l'utilisateur. Fonctions principales : Complete Test - vérifiera tous les disques durs et les fichiers stockés sur votre ordinateur. Removable Media Test - vérifiera n'importe quel lecteur amovible à la demande de l'utilisateur. Test Results - affiche les résultats enregistrés par AVG et peuvent être imprimés. Scheduler - le Planificateur lance automatiquement le test complet. Create Rescue Disc - vous permet de faire une copie de secours des secteurs système les plus importants et d'utiliser AVG SOS. AVG pour Windows avec Interface AVANCÉE offre toutes les fonctions du programme et ses options. Bien que cette version ne contienne pas le mode AVANCÉ, une version professionnelle est disponible avec les fonctions suivantes : Main Test - permet de tester n'importe quel lecteur ou répertoire sur votre ordinateur ou réseau. Quick Test - vérifiera seulement les fichiers de système les plus importants et les secteurs système. Complete Test - vérifiera les fichiers sur tous les disques durs. Test Manager - Configure le gestionnaire pour permettre la création de nouveaux tests et les paramètres dont ils ont besoin. Test Results- permettent de voir et imprimer les résultats enregistrés. Create Rescue Disc - vous permet de faire une copie de secours des secteurs système les plus importants et d'utiliser AVG SOS. AVG Centre de Contrôle est installé pendant l'installation d'AVG sur votre ordinateur. Il exécute ces fonctions : Réglage des paramètres de la protection résidente Réglage des paramètres du scanner d'email Planification des tests
Comment activer le Centre de Contrôle d'AVG fonctionne automatiquement au démarrage de Windows. Vous pouvez vérifier sa présence en plaçant votre souris sur l'icône placée dans votre plateau système en bas à droite de votre écran. Activez le Centre de Contrôle AVG en faisant un clic gauche sur cette icône. La fenêtre du Centre de Contrôle s'affichera sur votre écran. Que faire si le Centre de Contrôle AVG n'est pas actif ? Si l'icône n'est pas sur votre plateau système, cela signifie que le programme n'est pas actif. Dans ce cas, vous ne pouvez pas faire de tests, ni employer l'option de mise à jour automatique pour garder votre base de données virale à jour. Activez AVG comme ci- dessus dans la section, Comment activer AVG. Lancez le programme. Dés le début, vous verrez l'état dans le panneau de statut. Un message d'avertissement vous informera qu'AVG n'est pas actif. Appuyez sur le bouton de ce message d'avertissement. Une autre fenêtre avec plus d'information apparaîtra. Cliquer sur le bouton Activate, et le Centre de Contrôle sera activé. AVG Centre de Contrôle - Réglage de la protection résidente Vous pouvez personnellement configurer la protection résidente pour protéger votre ordinateur ou vous pouvez garder les réglages par défaut. Les paramètres peuvent être changés dans le Centre de Contrôle.
Gamme de Détection Check Boot Viruses - contrôle le secteur de boot dans les disquettes qui sont insérées dans A : quand elle sera accessible. Check Executable Viruses - contrôle la protection résidente des fichiers avec extension (EXE/COM). Check Macro Viruses - contrôle la protection résidente des documents avec extension (DOC, XLS...) Confirmation de l'utilisateur Confirmation - si cochée, toute tentative de travailler avec des objets infectés (fichiers, disquettes, etc) sera arrêtée et un message d'avertissement apparaîtra. Dans le cas contraire, aucun message ne sera montré et l'utilisation de l'objet infecté sera mis hors service (le système affichera un message d'erreur accès). Ask What To Do Next - si vous avez coché le champ Confirmation, ce paramètre décide que vous voulez travailler avec des fichiers infectés. Autres Set Parameters As New Default - n'importe quel changement de paramètres reste valable jusqu'au redémarrage de Windows, sauf si vous employez ce bouton pour mettre les réglages actuels comme programmes permanents par défaut. OK, Cancel, & Apply - employer ces options pour sauvegarder ou annuler vos changements. AVG E-mail scanner - réglage des paramètres Vous pouvez configurer le scanner d'email. Le réglage des paramètres se fait par le Centre de Contrôle.
Gamme de Détection Check Incoming Mail - contrôle le courrier entrant, plus précisément ses pièces jointes. Check Outgoing Mail - contrôle le courrier sortant, plus précisément ses pièces jointes. Certification Le scanner d'email peut ajouter un message de certification à la fin de l'email affirmant qu'AVG a vérifié son contenu et a constaté qu'il est sain. Certify Incoming Mail - décide que tous les messages entrants seront certifiés. Certify Outgoing Mail - décide que tous les messages sortants seront certifiés. Autres Advanced Settings - vous permettent de mettre des paramètres plus avancés. OK, Cancel et Apply - à employer pour sauvegarder ou annuler vos changements. Update Manager - Réglage des paramètres AVG peut télécharger les fichiers de mise à jour des base de données virales d'Internet. Ces téléchargements peuvent être planifiés pour un lancement automatique ou lancés manuellement. Vous pouvez régler les paramètres du Manager de Mise à jour à votre convenance.
Allow Scheduled Update - si coché sur automatique, permet des mises à jour prévues sur Internet. Si elles sont, appliquer les paramètres suivants : Update If Database Is Older Than 'X' Days - si la base de données virale est plus ancienne que nombre de jours désignés, le programme téléchargera les fichiers mis à jour. If Not Successful, Then Repeat In - si la tentative précédente de téléchargement a échoué, répéter la tentative dans le nombre de jours indiqués. Start at HH:MM - détermine l'heure de lancement de la mise à jour automatique. Server - détermine le serveur où le fichier de mise à jour sera téléchargé. Update Now - essaie la mise à jour immédiatement. OK, Cancel et Apply - à employer pour sauvegarder ou annuler vos changements. AVG Control Center - réglages du Planificateur Les tests de contrôle peuvent être planifiés. Le lancement d'essais planifié est fait par AVG Centre de Contrôle - il contrôle les conditions prévues et active les tests. Donc, si AVG Centre de Contrôle n'est pas actif, aucun essai ne sera lancé automatiquement, même s'ils sont planifiés. Information sur AVG Control Center Cet onglet montre des informations importantes sur AVG Centre de Contrôle et AVG installation. Numéro de Version Renseignements de Licence Nom d'utilisateur et nom d'entreprise Scan en continu Le scan en continu (parfois appelé "protection résidente" ou "protection constante") contrôle continuellement les activités de votre ordinateur. Normalement, il est activé juste après le démarrage de l'ordinateur, il peut ainsi prendre le contrôle du système d'exploitation. Si vous accédez à un objet infecté (par exemple vous essayez d'ouvrir un document Word infecté), la protection résidente vous avertit et ne vous permet pas d'employer ce fichier.
Cela semble être la solution suprême, mais la vie n'est pas si simple. Les programmes résidents ont certaines limites. La plus importante est la limite de taille. Pour pour ne pas épuiser la mémoire, ils doivent être le moins lourds possible. Une autre limite est la vitesse - ils doivent être assez rapides pour être discrets. Les concepteurs de scanners résidents doivent choisir le meilleur compromis entre la puissance de balayage et les besoins de l'utilisateur. En conséquence, certains virus ne peuvent pas être détectés avec le programme de protection résidente. C'est rare, mais peut arriver et il est important que vous le compreniez. Le programme résident peut être employé comme une aide valable, mais n'est pas une solution complète. Le scanner continu emploie les mêmes techniques antivirales qu'AVG lui-même. La seule différence est que le scanner continu agit automatiquement quand toute tentative d'employer un fichier ou la disquette sont infectés. Il n'y pas besoin de lancer un test ou planifier un programme de mise à l'épreuve. AVG Resident Shield est un programme qui est installé sur votre ordinateur en tant qu'une partie d'AVG. Il fonctionne automatiquement quand Windows démarre. Le programme contrôle des fonctions système importantes liées à tous vos fichiers internes et aux médias amovibles. Dés que vous accédez à un fichier de votre disque dur, une disquette, un CD-ROM ou un site Web, la protection résidente d'ACG contrôle les données avant de vous permette de travailler avec pour s'assurer qu'ils sont propres. Ce contrôle est si rapide que vous ne le remarquerez pas. Détection Virus Si la protection résidente détecte un virus, elle arrêtera le système d'exploitation et toutes ses actions associées susceptibles d'être infectées. En fonction des réglages que vous avez choisis, la protection résidente peut montrer un message sur votre écran, vous demandant "que faire ensuite" ?. Les options de protection résidentes peuvent être configurées en mettant ses paramètres. How To Determine If Resident Shield Is Active D'abord, lancer AVG pour Windows. Dans le panneau Statut Système sur la fenêtre principale, cherchez le bouton appelé "AVG Resident Shield". Si ce programme n'est pas actif ou mal configuré, le bouton affichera "Not Fully Functionnal". Pour activer la protection résidente, cliquez sur "AVG Resident Shield" pour voir une description plus détaillée du problème. Cliquez alors sur le bouton appelé Activate pour lancer les actions automatiques qui répareront n'importe quels problèmes. How To Find Detection Range Lancez AVG Control Center, onglet Resident Shield Settings. Note - si la protection résidente d'AVG n'est pas active, vous ne pouvez pas changer ses paramètres - toutes les fixations seront grisées. AVG Control Center - Resident Shield Settings Vous pouvez personnellement configurer la protection résidente pour protéger votre ordinateur ou vous pouvez garder les options par défaut. Les paramètres peuvent être changés avec AVG Control Center.
Detection Range Check Boot Viruses - détermine si le secteur de boot dans des disquettes insérés dans votre A sera contrôlé si vous voulez y accéder. Check Executable Viruses - détermine si la protection résidente contrôlera les fichiers avec extension (EXE/COM). Check Macro Viruses - détermine si la protection résidente vérifiera des documents avec extension (DOC, XLS...) Confirmation de l'utilisateur Confirmation - si cochée, vous serez stoppé chaque fois que vous voudrez travailler avec des objets infectés (des fichiers, des disquettes, etc) et un message d'avertissement apparaîtra. Dans certains cas, aucun message ne sera montré et l'utilisation de l'objet infecté sera éradiqué (le système donnera un message d'erreur d'accès). Autres Set Parameters As New Default – tout changement de paramètres reste valable jusqu'au redémarrage de Windows, sauf si vous employez ce bouton pour mettre les réglages actuels par défaut. Ask What To Do Next - si vous avez coché le champ de Confirmation, ce paramètre décide que vous voulez pouvoir travailler avec des fichiers infectés. OK, Cancel, & Apply - employer ces options pour sauvegarder ou annuler vos changements. The AVG E-mail scanner C'est un programme résident, installé pendant le processus d'installation. Il est automatiquement lancé avec le système d'exploitation Windows et supporte Microsoft Outlook. Le programme vérifie toutes les pièces jointes aux email entrants et sortants. Certification du message Le scan d'AVG peut insérer un texte spécial à la fin des messages de votre courrier électronique informant vos destinataires que votre courrier et ses pièces jointes sont certifiés sans virus. Ce processus est appelé "la certification".
Détection Virale Incoming Mail - si le scanner d'AVG détecte un courrier entrant avec des pièces jointes infectées par un virus, il enlèvera les fichiers infectés automatiquement et les mettra en quarantaine. Dans le corps du courrier infecté, un message est inséré pour vous informer de la menace virale. Outgoing Mail - si le scanner d'AVG détecte des pièces jointes à des courrier sortants infectées par un virus, il arrête l'envoi du message. Le message entier sera rendu à l'expéditeur marqué non livrable. La mise en garde sera insérée dans le courrier électronique informant l'expéditeur que son courrier a été refusé parce qu'il a contenu un virus. How to Determine if the AVG E-mail Scanner is Active and Functional Comment déterminer si AVG E-mail Scanner est actif et fonctionnel. D'abord, lancez le programme. Dans le panneau de statut système sur l'écran principal d'AVG, trouvez le bouton du scanner. Si ce programme n'est pas actif ou est mal configuré, le bouton affichera "Not fully functionnel !". Dans ce cas, appuyez sur le bouton et voir la description plus détaillée de ce problème. Il y a aussi un bouton appelé Activate. Pressez-le pour lancer les actions automatiques qui répareront ce problème. Note : si vous employez un autre programme d'email que Microsoft Outlook, le message d'erreur sur le bouton affichera "Non-funtional", parce que vous employez un fournisseur d'email non supporté par AVG. Le support pour les autres programmes de courrier électronique est ajouté tout le temps, donc vérifiez que vous avez bien le dernier AVG mis à jour. Réglage des paramètres Vous pouvez changer le comportement du Scanner en changeant ses paramètres. Cela peut être fait en employant le Centre de Contrôle avec l'onglet Scanner du Courrier électronique. AVG E-mail Scanner - Parameter Settings Vous pouvez configurer le Scanner de courrier électronique. Les réglages des paramètres se fait en employant le Centre de Contrôle.
Detection Range Check Incoming Mail – détermine si les courriers avec pièces jointes entrants doivent être contrôlés. Check Outgoing Mail – détermine si les courriers sortants avec pièces jointes doivent être contrôlés. Certification Vous permet d’ajouter à la fin d’un email un message de certification assurant le destinataire que votre email ni ses pièces jointes ne contiennent pas de virus. Certify Incoming Mail – détermine que les messages entrants doivent être certifiés. Certify Outgoing Mail - détermine que les messages sortants doivent être certifiés. Others Les réglages avancés vous permettent de mettre des paramètres avancés. OK, Cancel et Apply – à employer pour sauvegarder, annuler ou appliquer les changements. The AVG Virus Vault Quand AVG détecte un virus qu’il ne peut éradiquer, il utilise un chemin spécial pour éliminer les fichiers infectés - AVG les déplace vers la quarantaine. What is the AVG Virus Vault? Qu'est-ce que la quarantaine AVG ? c'est un répertoire spécial qui stocke les fichiers infectés. Le nom des fichiers est changé et leur contenu est chiffré pour qu'ils ne puissent être employés et l'infection virale s'étendre. C'est presque identique à une suppression ordinaire ; cependant, la quarantaine vous permet de restaurer les fichiers, si nécessaire. L'écran de la quarantaine est divisé dans trois parties : Toolbar : La barre d'outils contient des boutons pour l'accès rapide aux fonctions les plus importantes : Delete File – deletes – supprime définitivement le fichier. Il ne peut pas être restauré. La quarantaine a sa propre maintenance automatique - les fichiers qui y sont stockés sont supprimés automatiquement en fonction des paramètres. File Restore - lance la fonction de restauration - le fichier est remis à son emplacement original sous son nom original. Il est important de se rappeler que le fichier est toujours infecté. Settings - vous permettent de régler les paramètres de la quarantaine. Exit - sortir de la quarantaine. List of Groups pour placer les fichiers demandés, employez la Liste de Groupes. Vous pouvez voir tous les groupes enregistrés dans le panneau sur le côté gauche de l'écran de quarantaine. List of Files La liste de fichiers enregistrés est affichée sur le côté droit de l'écran. AVG Virus Vault - List of Groups Liste de Groupes Pour comprendre plus facilement la liste de tous les fichiers viraux dans la quarantaine, il y a les groupes de fichiers.
Vous pouvez aussi lire
