Version 0.2 (31/07/2000)
La version texte est publiée sur news:fr.usenet.maill,
<news:fr.comp.securite>, <news:fr.comp.mail>,
<news:fr.comp.os.ms-windows.win95>, <news:fr.comp.os.ms-windows.winnt> et news:fr.usenet.reponses.
La version HTML de ce document est disponible à l'adresse :
http://Courriels.free.fr/virus.htm.
Ce document est une Foire Aux Questions autrement dit les réponses aux questions fréquemment posées sur les virus dans le courrier électronique (mais par analogie la plupart des points sont aussi valables pour les forums).
Si vous constatez qu'une procédure décrite ne correspond pas à la réalité ou qu'il y a des oublis ainsi que des effets indésirables, merci de m'en aviser.
Toutes les critiques et suggestions sont les bienvenues à l'auteur.
Si vous rencontrez des problèmes, si vous avez des questions auxquelles cette Faq ne répond pas concernant :
- la sécurité, postez-les sur le forum <news:fr.comp.securite>.
- la configuration de votre logiciel de courrier, posez-la dans
le forum <news:fr.comp.mail>.
- Windows 95/98 (ou de Windows NT/2000) ont leur place dans le forum
<news:fr.comp.os.ms-windows.win95>
(ou <news:fr.comp.os.ms-windows.winnt>).
Vous avez le droit d'utiliser librement de courts extraits de ce document à condition de ne pas modifier le texte. Vous avez également le droit d'utiliser librement n'importe quelle partie de la section ci-dessus.
Toute autre utilisation de ce document devra faire l'objet de l'accord préalable de l'auteur.
arrivent sur votre ordinateur et s'exécutent. |
|
|
Vous utilisez un logiciel ne permettant pas du tout visualiser un message en HTML. Vous ne voyez soit que le code source en mode texte soit rien du tout ! Vous ne risquez rien à ouvrir message en HTML ! |
C'est le cas par exemple de Kaufman Warrior. | ![]() |
Votre logiciel permet de voir la partie texte du message avec une pièce jointe en HTML (ce qui vous permet de l'ouvrir avec votre navigateur Web). |
Exemple : Becky! | ![]() |
si vous n'avez pas MSIE. |
Ceux pouvant visualiser le HTML mais qui ne peuvent interpréter les scripts. Notons que pour les deux derniers, le logiciel peut modifier à la réception la partie HTML (que ce soit en pièce jointe ou en le visualisant directement) afin de rendre le script inexécutable. Cela évite en cas de transfert du courrier à une autre personne d'envoyer un message avec un virus (cas de Becky!) ! |
Les logiciels visualisant le HTML et interprétant les scripts (ce sont en général ceux permettant d'écrire des messages en HTML, c'est-à-dire ayant un éditeur HTML). Ce sont des logiciels dangereux car il n'y a aucune raison de recevoir des scripts dans un courrier. Ils sont d'autant plus mal faits et dangereux s'ils ne permettent pas de désactiver l'interprétation des scripts et si la configuration d'origine l'active. Les *pires* dans ce domaine sont Outlook Express et Netscape Communicator : ils peuvent interpréter les scripts et cette possibilité est activée d'origine ! Pour Netscape Communicator - Aller dans le menu "Édition" puis "Préférences" et/ou (selon les versions) "Avancées". - Décochez : "Activer java" et "Activer javascript pour les courriers et le forum". Attention ce n'est pas possible pour certaines anciennes versions. Dans ce cas, faîtes une mise à jour ou changez de logiciel ! Pour Outlook Express, c'est plus compliqué : Il faut changer la zone de sécurité c'est-à-dire en choisir une ('zone des sites sensibles' par exemple) dans Outlook Express puis la configurer dans Internet Explorer en désactivant *tout*. (Pour la procédure détaillée, voir la « [FAQ] Outlook Express et les News » publiée en version texte est sur news:fr.usenet.logiciels et news:fr.usenet.reponses. La version HTML de ce document est disponible à l'adresse : http://UsenetFR.free.fr/faqoe.htm#VirusHTML.) |
To: <tata@titi.cmo> Date: Tue, 25 Jul 2000 18:00:26 +0200 Subject: Les virus et les messages Message-ID: <002301b$86f8cf20$32a053d4@titi.cmo> MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8bit |
From: "Toto" <toto@titi.cmo> To: <tata@titi.cmo> Date: Tue, 25 Jul 2000 18:00:26 +0200 blablabla ... on_fait_remplissage <commandes_pour_charger_un_fichier_depuis_le_web_et_lexecuter> Subject: Les virus et les messages Message-ID: <002301b$86f8cf20$32a053d4@titi.cmo> MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8bit |
Il n'existe à ce jour, aucun AntiVirus capable de détecter dans un message lors du téléchargement, un virus "BufferOverflow" dans les entêtes. Un patch existe (http://www.microsoft.com/windows/ie/download/critical/patch9.htm) mais il ne fonctionne pas pour toutes les versions, ni pour tous les systèmes d'exploitation. |
Le virus arrive avec un message. Il s'exécute automatiquement lors du téléchargement. L'utilisateur de Outlook Express n'a aucun moyen sur d'éviter ce virus. La seule protection est de ne plus utiliser Outlook Express ! |
ou |
Pour un fichier *.txt, cela voudra dire le lire avec le bloc-note. Pour un fichier en *.doc, cela sera avec Wordpad ou Word les gif seront vus dans Internet Explorer etc.. Pour des scripts .VBS ou .JS (qui peuvent contenir des commandes trèsdangereuses), l'action par défaut est "Ouvrir" qui, exécute le script si le logiciel WScript (ou un autre) est installé (d'office sur Win98) : |
Autrement dit, en cliquant sur un fichier ayant son extension masquée et dont le nom qui s'affiche est titi.txt (mais ayant comme nom complet titi.txt.vbs), le script s'exécute et on comprend comment les gens se font avoir ! |
ou |
|
|
+ Cochez : "Permettre l'aperçu rapide" "Toujours afficher l'extension" et "Confirmer l'ouverture" (*) + Modifiez les "Actions" par défaut des fichiers pouvant contenir des virus (Ainsi en cliquant sur ces fichiers, vous n'obtiendrez que l'ouverture d'un éditeur de texte ! .vbs » et « .js » : L'action par défaut est l'exécution par WHScript. Sélectionner "Modifier" et cliquer sur «Par défaut» .reg », L'action par défaut est "Fusionner" (inscription dans la base des registres !) Sélectionner "Édition" et cliquer sur «Par défaut» |
(*) sert à avoir une boîte de dialogue dans des logiciels de courrier reprenant les informations contenus dans la bas des registres. Outlook Express s'en sert en avertissant d'un possible danger et donnant le choix entre enregistrer la PJ ou faire l'action par défaut. Elle est d'origine cochée mais si on a, une seule fois, décoché « montrer cette avertissement à chaque fois », l'option se retrouve décochée dans la bdr aussi !
« Ouvrir » est un faux-ami, surtout quand on croit avoir à faire à un fichier texte ! Il est donc vivement conseillé de changer l'intitulé. Ainsi pour les « .js » et « .vbs », renommer "Ouvrir" par "Exécuter le script" peut éviter bien des confusions. |
Voire même dans des situations dangereuses : si un logiciel possède un interpréteur d'un quelconque langage de script, vous pouvez vous retrouvez (alors que vous pensez être à l'abri) avec un interpréteur par défaut qui se lancera dès que vous cliquerez sur un type de fichier. |
fichiers à *chaque* installation de nouveaux logiciels pour évitez les mauvaises surprises. |
var WSHShell = WScript.CreateObject("WScript.Shell");
var DesktopPath = WSHShell.SpecialFolders("Desktop");
var MyShortcut = WSHShell.CreateShortcut(DesktopPath + "\\Raccourci vers le Bloc-notes ajouté par un script JS.lnk");
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings("%windir%\\notepad.exe");
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings("%windir%");
MyShortcut.WindowStyle = 4;
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings("%windir%\\notepad.exe, 0");
MyShortcut.Save();
WScript.Echo("Un script en JS vient d'être exécuté et vous avez maintenant un raccourci vers le Bloc-notes présent sur votre Bureau.");
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim MyShortcut, MyDesktop, DesktopPath
DesktopPath = WSHShell.SpecialFolders("Desktop")
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & "\Raccourci vers le Bloc-notes ajouté par un script VBS.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings("%windir%\notepad.exe")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings("%windir%")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings("%windir%\notepad.exe, 0") MyShortcut.Save
WScript.Echo "Un script en VBS vient d'être exécuté et vous avez maintenant un raccourci vers le Bloc-notes présent sur votre Bureau."