This page has been robot translated, sorry for typos if any. Original content here.

protection antivirus

Cet article traite de la protection contre les logiciels malveillants. La clé d’une protection antivirus efficace est la présence d’un agent antiviral. Pour commencer, considérons les exigences de base auxquelles doit répondre un logiciel antivirus moderne.

Les conditions requises pour les logiciels antivirus sont les mêmes que pour les autres produits logiciels: facilité d'utilisation et fonctionnalités étendues, déterminées par la possibilité de sélectionner différents modes d'analyse et une détection de virus de haute qualité. Malgré la diversité des produits logiciels, les principes de leur travail sont les mêmes. Les principales fonctions de l'antivirus moderne incluent:

· Analyses de la mémoire et du contenu du disque conformément au calendrier;

· Analyse de la mémoire de l'ordinateur, ainsi que des fichiers enregistrés et lisibles en temps réel à l'aide du module résident;

· Analyse sélective des fichiers avec des attributs modifiés - taille, date de modification, somme de contrôle, etc.

· L'analyse des fichiers d'archives;

· Reconnaissance du comportement caractéristique des virus informatiques;

· Installation, configuration et administration à distance de programmes antivirus à partir de la console de l'administrateur système; informer l'administrateur système des événements liés aux attaques de virus par courrier électronique, pager, etc.

· Vérification forcée des ordinateurs connectés au réseau d'entreprise, initiée par l'administrateur système.

· Mise à jour à distance des logiciels antivirus et des bases de données sur les virus, y compris la mise à jour automatique des bases de virus via Internet;

· Filtrage du trafic Internet pour la détection de virus dans les programmes et les documents transmis via les protocoles SMTP, FTP, HTTP.

· Identification des applets Java et des modules ActiveX potentiellement dangereux.

· Fonctionne sur différentes plates-formes clientes et serveurs, ainsi que dans des réseaux d'entreprise hétérogènes.

· Conserver les protocoles contenant des informations sur les événements liés à la protection antivirus.

Comme mentionné dans l'article précédent, l'une des principales caractéristiques des attaques de virus modernes est leur taux de propagation élevé. En outre, on peut noter la fréquence élevée de nouvelles attaques. Ainsi, à l'heure actuelle, il est possible d'exiger des logiciels antivirus modernes de la fréquence des mises à jour du produit - plus la mise à jour du produit est fréquente, plus sa qualité est élevée, il prend en compte toutes les menaces virales actuelles.

Il convient de noter que, dans notre pays, la solution antivirus la plus populaire est la famille de produits Kaspersky Anti-Virus - AVP.

Selon les utilisateurs, pour se protéger efficacement contre les virus, il suffit d’avoir un outil antivirus. Cependant, comme l’a dit un auteur, les balles en argent n’existent pas. La présence d'un logiciel anti-virus est une condition nécessaire, mais non suffisante, pour repousser une attaque anti-virus (en plus de la disponibilité d'un outil, il est nécessaire d'envisager des méthodes d'utilisation). Ainsi, la protection contre les virus dans une organisation doit être régie par certaines règles, en d’autres termes, faire partie d’une politique de sécurité que tous les utilisateurs du système doivent comprendre et respecter (pour développer une politique de sécurité, il est nécessaire d’évaluer les risques associés à l’infection par le virus et de trouver des moyens raisonnables de les minimiser). .

Afin de formuler les principes de base de la politique de sécurité antivirus, il est nécessaire de rappeler les points principaux suivants liés à une attaque de virus.

1. L’attaque du virus comprend deux phases: la phase d’infection et la phase de distribution (et éventuellement l’exécution d’actes destructeurs).

2. Les virus modernes se propagent souvent non seulement à l'aide de fichiers exécutables, mais également à l'aide de fichiers de documents de programmes populaires.

3. Les virus modernes dans l'attaque utilisent souvent les capacités d'Internet.

Considérez ce qui peut être recommandé à l'utilisateur pour prévenir l'infection par des virus (évidemment, le meilleur moyen de lutter contre une attaque est de la prévenir). Donc, pour prévenir les attaques de virus, il est recommandé d'effectuer les actions suivantes:

1. Configurez le logiciel anti-virus en conséquence. Pour ce faire, vous devez définir les paramètres suivants:

Ø La numérisation en temps réel, en arrière-plan ou en mode similaire doit être autorisée.

Ø au démarrage du système, la mémoire, le secteur de démarrage et les fichiers système doivent être analysés;

Ø mettre à jour les bases de données de virus

Ø Il est conseillé d’analyser tous les types de fichiers ou au moins les fichiers * .com, * .exe, ainsi que les fichiers de type * .vbs, * .shs, * .ocx;

Ø établir un audit de toutes les actions des programmes antivirus.

2. Utilisez uniquement des logiciels sous licence. Les logiciels obtenus à partir d'une source inconnue peuvent être des chevaux de Troie ou infectés par un virus.

3. Limitez le nombre de programmes que l'utilisateur est capable d'installer sur le système (car des programmes superflus peuvent être infectés par des virus ou constituer la raison du succès d'autres attaques). Une attention particulière doit être accordée aux divers services Internet et, tout d’abord, aux programmes de transfert de messages tels que IRC, ICQ, Microsoft Chat (ces programmes peuvent transférer des fichiers et servir de source d’infection du système).

4. En outre, il est souhaitable d’éliminer les vulnérabilités connues des logiciels (car leur présence peut être la raison du succès des attaques de virus). Les vulnérabilités connues sont généralement publiées sur les listes de diffusion Internet, ainsi que sur des sites spéciaux. En tant que source d'informations sur les vulnérabilités, vous pouvez recommander une base de données sur www.securityfocus.com.

5. Surveillez l'utilisation des lecteurs de disquette et de CD-ROM. Idéalement, toutes les informations contenues sur les disquettes et les CD-ROM devraient être analysées pour rechercher les virus avant que les utilisateurs du système informatique n'y aient accès.

6. Développez une stratégie de traitement du courrier électronique (en tant que partie intégrante de la stratégie de sécurité). Comme indiqué dans l'article précédent, les messages électroniques constituent l'un des moyens les plus populaires et les plus rapides de propagation de virus. Pour se protéger contre la pénétration de virus dans les messages électroniques, chaque utilisateur du système doit:

Ø ne jamais ouvrir immédiatement la pièce jointe dans le courrier électronique qui lui est parvenu;

Ø créer un répertoire "quarantaine" - enregistrer les pièces jointes dans un répertoire "quarantaine" spécifique;

Ø si l'expéditeur du message est inconnu, le message avec la pièce jointe peut même être supprimé; si l'expéditeur du message est connu, le message avec la pièce jointe peut également contenir un virus; La règle générale peut être formulée comme suit: n'ouvrez jamais les pièces jointes non sollicitées ou pour lesquelles il n'y a pas eu de notification de l'expéditeur.

Ø Avant d’ouvrir la pièce jointe, vérifiez toujours avec un logiciel antivirus;

Ø si, après l'exécution de toutes ces procédures, vous avez des doutes quant à l'absence de virus dans la pièce jointe du courrier électronique, vous pouvez contacter l'expéditeur pour obtenir des informations sur la pièce jointe envoyée;

Ø éliminer les vulnérabilités possibles du logiciel de messagerie client;

7. Développez une stratégie de sécurité des applications (en particulier lorsqu'elle est utilisée dans une organisation de la famille de produits Microsoft Office) qui traite les documents avec des langages interprétés (en tant que partie intégrante de la stratégie de sécurité).

Mais supposons que l'infection ait déjà eu lieu. Considérez ce que l'utilisateur doit faire dans ce cas. Tout d’abord, ne paniquez en aucune façon.

La première étape à suivre lorsqu'une attaque sur un système est détectée est son identification. Pour identifier avec succès une attaque, il est souvent nécessaire de créer un disque d’amorçage lors de l’installation du système et lors du chargement du système avec celui-ci.

Si l'attaque est identifiée par l'antivirus, tout est évident. Toutefois, si vous traitez avec un virus inconnu, dans de nombreux cas, le moment pour lequel l'attaque a été identifiée est critique. À cet égard, la capacité d'un utilisateur à détecter rapidement une attaque de virus revêt une grande importance (les signes peuvent être l'envoi en masse, la destruction de fichiers, etc.). La complexité de l'identification d'une attaque dépend souvent de la complexité de l'attaque elle-même. À ce stade, il est souhaitable d’établir au moins les signes suivants: le fait de l’attaque, le type d’attaque (réseau ou local) et la source de l’attaque.

Quel que soit le type de système d'exploitation, vous devez prêter attention à l'activité suivante dans le système:

· L'intégrité du logiciel utilisé pour détecter l'intrus;

· Intégrité des programmes et des données critiques pour la sécurité;

· Opérations système et trafic réseau.

Si vous avez pu déterminer le fait d’une infection virale par un virus inconnu (ou si vous avez des soupçons raisonnables), il est conseillé de contacter le fabricant du logiciel antivirus que vous utilisez.

Et enfin, il est nécessaire d'analyser les effets d'une attaque de virus. Si des données importantes ont été traitées dans votre système, vous en avez bien sûr une copie de sauvegarde. Pour ce faire, l'organisation doit avoir développé des règles de sauvegarde. Malheureusement, si la sauvegarde n'est pas disponible, les données risquent d'être perdues (cela ne dépend pas de vous, mais de l'attaquant qui a écrit le virus qui frappe votre système).

On peut donc tirer la conclusion suivante: la présence de moyens de protection adéquats et la discipline de leur application permettent, sinon d'éviter une attaque de virus, du moins de minimiser ses conséquences.