Suivez-nous sur X
|
|
|
0,
A,
B,
C,
D,
E,
F,
G,
H,
I,
J,
K,
L,
M,
N,
O,
P,
Q,
R,
S,
T,
U,
V,
W,
X,
Y,
Z,
ALL
|
|
0,
A,
B,
C,
D,
E,
F,
G,
H,
I,
J,
K,
L,
M,
N,
O,
P,
Q,
R,
S,
T,
U,
V,
W,
X,
Y,
Z
|
|
0,
A,
B,
C,
D,
E,
F,
G,
H,
I,
J,
K,
L,
M,
N,
O,
P,
Q,
R,
S,
T,
U,
V,
W,
X,
Y,
Z
|
|
A propos d'Obligement
|
|
David Brunet
|
|
|
|
En pratique : Se protéger des virus (AmigaOS 1.x)
(Article écrit par Giorgio Cupertino et extrait d'A-News (Amiga News) - octobre 1988)
|
|
Cette fois, je ne perdrai pas de temps à vous expliquer le principe de fonctionnement et transmissibilité des virus, mais
j'irai me concentrer sur les moyens de défense disponibles car la situation est en train de devenir tragique.
Les différents virus "en circulation" ont déjà fait trop de victimes (fichiers et disquettes).
Rappel sur les virus
Tout de même, il est important de vous rappeler que la caractéristique principale d'un virus est celle d'être transmissible
d'une disquette à une autre. La contagion se produit par l'écriture du code du virus (qui est capable de "s'autoreproduire")
sur une disquette saine. Cette disquette, une fois contaminée, pourra en contaminer d'autres.
Le virus peut être dangereux à deux niveaux. Avant tout, le fait de pouvoir s'auto-écrire sur une disquette produit la destruction
des données à la place desquelles il s'installe. Deuxièmement certains virus méchants, une fois installés dans la machine,
peuvent provoquer plusieurs problèmes : plantage, corruption de fichiers, etc. Il est donc évident qu'il est très important
de se protéger.
Démarrage
La première règle consiste, à l'amorce de la machine (ceci s'appelle, en anglais, un "cold boot") à démarrer avec une
disquette saine. De même, après chaque réinitialisation (Ctrl-A-A ; c'est-à-dire "warm boot" en anglais), redémarrez
toujours avec votre disquette saine. En pratique, soyez sûr que votre disquette Workbench avec laquelle vous démarrez
normalement ne soit pas contaminée.
Savoir si une disquette est saine est relativement facile car, jusqu'ici, les seuls virus connus s'installent à la place du
boot-code ; secteurs 0 et 1 de la piste 0. Avec le programme ViewBoot (que vous pouvez trouver sur la disquette AmigoTimes 1.1,
ainsi que sur d'autres) vous avez la possibilité d'inspecter les secteurs d'amorce (boot) sous forme de caractères ASCII dont
l'examen pourra vous dire plein de choses. En réalité, surtout si vous n'êtes pas experts, plutôt que de "donner la chasse aux
virus" le ViewBoot est très pratique pour avoir confirmation si une disquette est saine.
Pour voir de quoi une "disquette saine" a l'air, faites une copie de votre Workbench standard et après utilisez l'option
"Install" du ViewBoot qui, tout de suite après l'opération, vous affichera automatiquement à l'écran les secteurs d'amorce
après les avoir écrits. Faites cette opération et admirez comme il est propre le code créé par ViewBoot.
Ces deux secteurs tellement propres nous offrent un avantage considérable dans notre chasse au virus. Voilà la procédure à
suivre :
- Prenez une disquette vierge et formatez-la.
- Après l'avoir formatée, faites un "Install" avec le ViewBoot.
- Renommez cette disquette "VirusFree" ou autre nom qui vous convient.
- Protégez cette disquette en écriture.
- Collez-lui une étiquette avec son nom et la mention "Master".
- Revérifiez avec ViewBoot que le boot-code soit bien propre.
- Préparez trois ou quatre copies à garder sous la main.
Maintenant, chaque fois que vous soupçonnez avoir attrapé un virus, insérez une de ces disquettes (non protégée) et analysez-la
à nouveau avec ViewBoot. Si le code d'amorce a été altéré vous le remarquerez immédiatement.
J'ai dit insérez et non pas redémarrez car certains virus, tel que le Byte Warrior par exemple, peuvent contaminer les
disquettes insérées dans le lecteur sans besoin de recourir à une réinitialisation (Ctrl-A-A). D'autres virus en revanche,
tel que le SCA, infectent les disquettes uniquement avec le warm-boot ; c'est-à-dire que le Ctrl-A-A transfère le code du
virus sur la disquette qui vient d'être démarrée.
Faites donc vos tests en deux étapes : d'abord la simple insertion dans le lecteur et après, si la disquette n'a pas été
contaminée, avec un redémarrage. Si avec ces deux procédures les deux secteurs d'amorce restent inaltérés il est raisonnable
de conclure que vous n'avez pas de virus dans la machine.
Si par contre, vous vous retrouvez avec une amorce altérée, cela veut dire que quelque chose capable d'écrire sur la disquette
s'est installé dans votre machine. Si tel est le cas, éteignez votre machine pendant environ 20 secondes. Rallumez-la et
insérez une autre copie de la disquette VirusFree et faites une nouvelle réinitialisation. Revérifiez cette disquette avec
ViewBoot. Si celle-ci a été altérée (donc contaminée) protégez-la en écriture et prévenez-moi immédiatement car dans ce
cas vous venez de découvrir un virus (dont l'existence jusqu'ici n'a pas encore été prouvée) qui est capable de survivre
même à machine éteinte (il pourrait s'agir du "virus de l'horloge").
De toute façon, chaque fois que vous avez (ou que vous suspectez avoir) un virus dans la machine, éteignez l'Amiga et
redémarrez avec une disquette saine. Bien sûr vous garderez cette disquette toujours protégée en écriture afin de la
préserver de toutes contaminations possibles.
Dans bien des cas, malheureusement, vous ne pouvez pas lancer un programme (notamment les jeux) à partir du Workbench car vous
êtes obligés de faire un "démarrage direct". Si tel est le cas vérifiez avec ViewBoot ces disquettes et, en cas de doute,
éteignez l'Amiga après utilisation (jusqu'au moment où vous laissez vos disquettes protégées en écriture, de toute façon vous
ne courez pas des risques).
Tous ceux qui ont raison de croire d'avoir trouvé un nouveau virus sont priés de me contacter au plus tôt car cela me permettra
éventuellement d'étudier un remède au bénéfice de toute la communauté des amigàdos.
Quelques virus
Voyons maintenant une liste (malheureusement non exhaustive) de vrais et faux virus, des "faux" virus protectors ainsi que des
virus qui pourraient exister mais que personne (à ma connaissance du moins) est arrivé à "isoler" pour les étudier :
SCA a été le premier (sur Amiga, novembre 1987) et ses dégâts se limitent à écrire sur la piste d'amorce.
Byte Bandit : déjà plus méchant, il bloque l'Amiga sur un écran noir en laissant croire à un plantage. Normalement il est
possible de récupérer la main en appuyant successivement sur les touches suivantes (en les maintenant) : Alt-Gauche, Amiga-Gauche,
Espace, Amiga-Droite, Alt-Droite. L'on soupçonne l'existence de deux variantes dont la plus méchante effacerait (partiellement ?)
des fichiers. Cette deuxième version pourrait aussi contaminer des disquettes par simple insertion dans le lecteur sans besoin
d'une réinitialisation pour les infecter, mais, paraît-il, à condition que la disquette soit amorçable.
Byte Warrior : reconnaissable par la chaîne de caractères "DASA" dans le secteur d'amorce. Il existe sous deux
versions quasiment identiques que je suis en train d'analyser. Sachez qu'il est très méchant car il génère de (fausses)
erreurs de lecture/écriture (NDLR : il semblerait que cela ne soit pas vrai)
qui disparaissent seulement quand vous déprotégez votre disquette ; dès que vous la réinsérez
dans le lecteur (n'importe lequel !) elle est immédiatement contaminée, même si ce n'est pas une disquette amorçable
("installed"). Ce virus est soupçonné être responsable de la destruction des fichiers et/ou de certaines pistes d'une disquette.
Quelqu'un le dit capable aussi de "griller" certains circuits intégrés de la machine, mais aucun test concluant n'a prouve cette
hypothèse.
Revenge : celui-ci je ne l'ai jamais rencontré. Il serait connu aussi sous le nom de "Dick" virus. Il paraît que sa
particularité consiste (après une minute d'inactivité ?) à transformer le pointer de la souris en un "phallus". Ce serait
pour cette raison que des hackers allemands auraient nommé "VirusKastrator" un antivirus capable de l'éliminer.
Pour le reste il serait identique au Byte Bandit.
AEK : son existence est certaine mais je ne l'ai jamais rencontré et je ne sais rien à son égard.
LSD : même chose que AEK.
NorthStar : ce dernier est spécial car il s'agit d'un antivirus qui, malheureusement, a la particularité de s'installer
tout seul sur la piste d'amorce. Le résultat (destructif) est donc comparable à celui d'un virus (tel que SCA par exemple) car
en pratique il se transmet d'une disquette à une autre avec donc un effet de contamination.
Autres périphériques sujets aux virus
A1000 : ceci n'est pas le nom d'un virus. Je désire seulement vous informer qu'il semblerait fondé le bruit relatif à
l'existence d'un virus qui s'installe dans la RAM/ROM du KickStart de l'Amiga 1000. Ce bruit serait confirmé par l'existence
de deux antivirus que je possède, mais que je n'ai jamais pu tester car je n'ai jamais rencontré ces "Kick-virus".
Disque dur : est-ce qu'un disque dur pourrait rester contaminé ? Même dans ce cas aucune preuve concluante n'a été portée
à ma connaissance.
Horloge : on soupçonne l'existence d'un virus capable de se loger et rester à l'intérieur de l'Amiga même après que celle-ci
a été éteinte, en profitant de l'horloge qui est sauvegardée par batterie. Jusqu'ici son existence n'a été ni documentée, ni
prouvée (NDLR : un lecteur affirme son existence : "les effets sont de bloquer l'Amiga toutes les six minutes, de
s'installer sur toutes les disquettes non protégées, et d'empêcher l'initialisation de disquette ainsi que la copie").
Remède aux virus
Heureusement, il y a des antidotes aux virus. En effet, il est plus ou moins facile de se procurer des programmes réalisés par
des hackers, qui peuvent détruire les virus qui résident en mémoire et protéger votre Amiga en empêchant aux disquettes
contaminées d'installer leur virus en mémoire. Parmi les plus répandus je vous signale les suivants :
- Ass Protector Version 1.0.
- Z 4.0.
- Tristar.
- SCA Protector (plusieurs versions d'origines différentes).
- Blizzard Protector.
- ODIN Virus Killer.
- Virus Killer PDS (VCheck 1.2/1.9, VirusX 1.1/1.6, etc.).
Chacun a ses avantages et ses points faibles dont l'analyse demanderait plusieurs pages. Les trois plus efficaces et plus
utiles sont Ass Protector Version 1.0, Z 4.0 et VirusX.
Les "faux virus"
Voyons maintenant les "faux virus". Avec l'utilisation de ViewBoot (et du VirusX), il vous arrivera de voir s'afficher un message
qui vous prévient qu'une disquette n'a pas un "Standard BootCode". Il s'agit bien sûr d'une "alerte" pour vous prévenir que
ce bloc d'amorce non standard pourrait cacher un virus. En pratique, dans la plupart de cas, il s'agit d'un
boot-rapide typique à certaines présentations et/ou démos, ainsi qu'à l'introduction (présentation) de certains programmes du
commerce. Dans d'autres cas, il s'agit d'un véritable schéma de protection. Avant de décontaminer (installer) une disquette
faites toujours une copie et intervenez donc seulement et toujours sur la copie. Si tout se passe bien (c'est-à-dire, votre
copie installée se charge encore sans problèmes) vous pouvez répéter l'opération sur l'original ; dans le cas contraire laissez
tomber et demandez l'avis de quelqu'un plus expert que vous.
De même, parmi les faux virus qui pourraient créer des vrais problèmes, il y a toute une série de programmes qui modifient la
piste d'amorce. Tel est le cas du "BootBlockGenerator" et "StealMemBoot". Ces programmes modifient la piste d'amorce
tel que le fait un virus ou la simple commande Install. Donc, une fois de plus, faites attention à ce que vous faites et
travaillez seulement sur des copies.
Recommandations
En fin de compte ma recommandation est toujours la même : faites attention avec qui vous entrez en contact ! Il est parfaitement
possible de trouver des disquettes contaminées ("envirusées") n'importe où. Dans le réseau pirate bien sûr, dans le domaine public
(les miennes sont toutes soigneusement vérifiées, n'ayez aucune crainte), chez les revendeurs et même parmi les originaux.
Dans ce dernier cas, je dois dire qu'il s'agissait toujours de disquettes originales non protégées en écriture
et qui venaient des boîtes non scellées ; je pense avoir tout dit.
Anecdote : dans un seul cas, il y a un an quand le problème du virus était quasiment méconnu, une maison anglaise avait "contaminé",
sans le savoir, son master avant de le donner à la duplication. Il paraît qu'il a été diffusé en quelques milliers d'exemplaires !
PS : certaines disquettes PDS diffusées par BAB Micro étaient contaminées. Quand je les ai reçues pour analyse, A-News #5
était déjà sous presse et on était dans l'impossibilité de vous prévenir plus tôt. Il s'agit des numéros 98, 100, 101, 107 et
120. Je ne les ai pas toutes testées et la liste pourrait être incomplète. Monsieur Johnny Daubes, le responsable de BAB
Micro, s'excuse auprès des lecteurs d'A-News et m'a assuré qu'il est déjà en train de "nettoyer" sa logithèque. Ceux qui les ont
commandées feront mieux de vérifier leurs disquettes.
PS 2 : la "contamination par bloc d'amorce" n'est pas la seule formule possible de transmettre un virus. Des nouvelles
formes de virus peuvent donc se présenter à l'avenir. Je vous rappelle que dès que vous découvrez un nouveau virus (ou croyez
l'avoir découvert) il est important de me prévenir.
|
