This page has been robot translated, sorry for typos if any. Original content here.

protection contre les virus

Cet article est consacré aux méthodes de protection contre les logiciels malveillants. La clé de la protection antivirus efficace est la présence d'un antivirus. Tout d'abord, examinons les exigences de base auxquelles doivent répondre les logiciels antivirus modernes.

Les logiciels antivirus ont les mêmes exigences que les autres logiciels: facilité d'utilisation et fonctionnalités étendues, déterminées par la possibilité de sélectionner différents modes d'analyse et une détection de virus de haute qualité. Malgré la diversité des logiciels, les principes de leur travail sont les mêmes. Les principales fonctions du logiciel antivirus moderne sont les suivantes:

· Analyser la mémoire et le contenu des disques selon un planning;

· Analyse de la mémoire de l'ordinateur, ainsi que des fichiers enregistrés et lus en temps réel à l'aide d'un module résident;

· Analyse sélective de fichiers avec des attributs modifiés - taille, date de modification, somme de contrôle, etc.

· L'analyse des fichiers d'archives;

· Reconnaissance du comportement typique des virus informatiques;

· Installation à distance, configuration et administration de programmes antivirus à partir de la console de l'administrateur système; Alerter l'administrateur du système sur les événements liés aux attaques de virus, aux messages électroniques, au pageur, etc.

· Vérification forcée des ordinateurs connectés au réseau d'entreprise, initiée par l'administrateur système.

· Mise à jour à distance de logiciels antivirus et de bases de données contenant des informations sur les virus, y compris la mise à jour automatique de bases de données sur les virus via Internet;

· Filtrer le trafic Internet des virus dans les programmes et les documents transmis via les protocoles SMTP, FTP et HTTP.

· Détection d'applets Java et de modules ActiveX potentiellement dangereux.

· Fonctionnement sur diverses plates-formes serveur et client, ainsi que sur des réseaux d'entreprise hétérogènes.

· Maintenance des protocoles contenant des informations sur les événements liés à la protection antivirus.

Comme il a été dit dans l’article précédent, l’une des principales caractéristiques des attaques de virus modernes est leur vitesse de propagation élevée. En outre, nous pouvons noter la fréquence élevée des nouvelles attaques. Ainsi, à l’heure actuelle, pour les logiciels antivirus modernes, vous devez indiquer la fréquence des mises à jour des produits - plus le produit est mis à jour, plus sa qualité est élevée, car il prend en compte toutes les menaces virales actuelles.

Il convient de noter que dans notre pays, la solution antivirus la plus populaire est la famille de produits du laboratoire antivirus de Kaspersky Lab - AVP.

Parmi les utilisateurs, il existe une opinion selon laquelle, pour assurer une protection efficace contre une menace de virus, il suffit d’avoir un outil anti-virus. Cependant, comme l’a dit un auteur, les balles en argent n’existent pas. La disponibilité des logiciels antivirus est nécessaire, mais pas suffisante, pour repousser une attaque anti-virus (à l'exception de la disponibilité d'un outil, il est nécessaire de réfléchir aux méthodes d'utilisation). Ainsi, la protection contre les virus dans l’organisation devrait être régie par certaines règles, c’est-à-dire un élément de la politique de sécurité que tous les utilisateurs du système doivent comprendre et comprendre (pour développer une politique de sécurité, il faut évaluer les .

Afin de formuler les principes de base de la politique de sécurité anti-virus, il est nécessaire de retenir les principaux points suivants liés à l'attaque virale.

1. L'attaque virale se compose de deux phases: la phase d'infection et la phase de distribution (et, éventuellement, l'exécution d'actions destructrices).

2. Les virus modernes sont souvent distribués non seulement à l'aide de fichiers exécutables, mais aussi à l'aide de fichiers de documents de programmes populaires.

3. Les virus modernes lors d'une attaque utilisent souvent les capacités d'Internet.

Pensez à ce que vous pouvez recommander à un utilisateur afin de prévenir l’infection par des virus (de toute évidence, le meilleur moyen de lutter contre une attaque est de le prévenir). Ainsi, pour éviter les attaques de virus, il est recommandé d'effectuer les actions suivantes:

1. Configurez correctement le logiciel antivirus. Pour ce faire, effectuez les réglages suivants:

Ø le scan en temps réel, en arrière-plan ou en mode similaire, doit être activé;

Ø Au démarrage du système, la mémoire, le secteur de démarrage et les fichiers système doivent être analysés.

Ø mettre à jour en temps opportun les bases de données virales

Ø Il est souhaitable d’analyser tous les types de fichiers ou au moins *. Com, les fichiers * .exe, ainsi que les fichiers de type * .vbs, * .shs, * .ocx;

Ø établir un audit de toutes les actions des programmes antivirus.

2. Utilisez uniquement un logiciel sous licence. Les logiciels obtenus à partir d'une source inconnue peuvent être un cheval de Troie ou un virus infecté.

3. Limitez l'ensemble des programmes que l'utilisateur peut installer sur le système (car des programmes superflus peuvent être infectés par des virus ou provoquer d'autres attaques). Une attention particulière devrait être portée aux différents services Internet et, tout d’abord, aux programmes de messagerie tels que IRC, ICQ, Microsoft Chat (les données du programme peuvent transférer des fichiers et servir de source d’infection du système).

4. En outre, il est conseillé de supprimer les vulnérabilités connues du logiciel (car leur présence peut constituer une raison du succès des attaques de virus). Les vulnérabilités connues sont généralement publiées dans les listes de diffusion Internet, ainsi que sur des sites spéciaux. En tant que source d'informations sur la vulnérabilité, vous pouvez recommander une base de données sur www.securityfocus.com.

5. Surveillez l'utilisation des lecteurs de disquettes et des lecteurs de CD-ROM. Idéalement, toutes les informations contenues sur les disquettes et les CD-ROM doivent être vérifiées avant d’être accessibles aux utilisateurs du système informatique.

6. Développer une politique de traitement du courrier électronique (en tant que partie intégrante de la politique de sécurité). Comme indiqué dans l'article précédent, les messages électroniques constituent l'un des moyens les plus populaires et les plus rapides de diffuser des virus. Pour se protéger contre la pénétration de virus via des messages électroniques, chaque utilisateur du système doit:

Ø ne jamais ouvrir immédiatement une pièce jointe dans le message qui lui est parvenu;

Ø créer un répertoire "quarantaine" - enregistrer les pièces jointes dans un répertoire spécifique "quarantaine";

Ø Si l'expéditeur du message est inconnu, le message avec la pièce jointe peut même être supprimé. si l'expéditeur du message est connu, le message avec la pièce jointe peut également contenir un virus; La règle générale peut être formulée comme suit: ne jamais ouvrir les pièces jointes de courrier qui n'ont pas été demandées ou pour lesquelles l'expéditeur n'a pas envoyé de notification.

Ø vérifiez toujours le logiciel antivirus avant d’ouvrir la pièce jointe;

Ø Si, après avoir effectué toutes ces procédures, vous avez des doutes quant à l'absence de virus dans la pièce jointe, vous pouvez contacter l'expéditeur et obtenir des informations sur la pièce jointe envoyée.

Ø éliminer les vulnérabilités possibles dans les logiciels de messagerie client;

7. Développez une stratégie de sécurité d'application (en particulier lorsque vous utilisez la famille de produits Microsoft Office dans l'organisation) qui traite les documents avec des langages interprétés (en tant que partie intégrante de la stratégie de sécurité).

Mais, supposons que l'infection a déjà eu lieu. Considérez ce que l'utilisateur doit faire dans ce cas. Tout d'abord, ne paniquez pas.

La première étape qui doit être prise lorsqu'une attaque est détectée sur le système est son identification. Pour identifier avec succès une attaque, il est souvent nécessaire de créer un disque de démarrage lors de l'installation du système et de démarrer le système avec cette dernière.

Si l'attaque est identifiée par un antivirus, alors tout est évident. Mais, si vous avez affaire à un virus inconnu, dans de nombreux cas, le moment de l’attaque est critique. À cet égard, la capacité de l’utilisateur à détecter rapidement une attaque de virus (envoi en masse, destruction de fichiers, etc.) revêt une grande importance. La complexité de l’identification d’une attaque dépend souvent de la complexité de l’attaque elle-même. À ce stade, il est souhaitable d’établir au moins les signes suivants: le fait même de l’attaque, le type d’attaque (réseau ou local) et l’origine de l’attaque.

Quel que soit le type de système d'exploitation, vous devez faire attention à l'activité suivante dans le système:

· L'intégrité du logiciel utilisé pour détecter l'intrus;

· Intégrité des programmes et des données critiques pour la sécurité;

· Opérations dans le système et le trafic réseau.

Si vous avez été en mesure de déterminer le fait d’une infection virale par un virus inconnu (ou si vous avez un soupçon raisonnable), il est conseillé de contacter le fabricant du logiciel antivirus que vous utilisez.

Et enfin, il faut analyser les conséquences d’une attaque de virus. Si des données importantes ont été traitées dans votre système, vous en avez bien sûr une copie de sauvegarde. Pour ce faire, l'organisation doit avoir développé des règles de sauvegarde. Malheureusement, si la sauvegarde n'est pas disponible, les données peuvent être perdues (cela ne dépend plus de vous, mais de l'attaquant qui a écrit le virus qui a frappé votre système).

Ainsi, nous pouvons tirer la conclusion suivante: la disponibilité de moyens de protection adéquats et la discipline de leur utilisation permettent, sinon d’éviter une attaque de virus, d’en réduire au minimum les conséquences.