This page has been robot translated, sorry for typos if any. Original content here.

protection contre les virus

Cet article est consacré aux méthodes de protection contre les logiciels malveillants. La clé d'une protection antivirus efficace est la présence d'un antivirus. Tout d'abord, regardons les exigences de base que les logiciels anti-virus modernes doivent satisfaire.

Le logiciel antivirus a les mêmes exigences que les autres produits logiciels - la facilité d'utilisation et la fonctionnalité étendue, déterminée par la possibilité de sélectionner différents modes de balayage et la détection de virus de haute qualité. Malgré la diversité des produits logiciels, les principes de leur travail sont les mêmes. Les principales fonctions des logiciels antivirus modernes sont:

· Scannez la mémoire et le contenu des disques sur un calendrier;

· Numérisation de la mémoire de l'ordinateur, ainsi que des fichiers enregistrés et lus en mode temps réel à l'aide d'un module résident;

· Analyse sélective des fichiers avec des attributs modifiés - taille, date de modification, somme de contrôle, etc .;

· Scanner des fichiers d'archives;

· Reconnaissance du comportement typique des virus informatiques

· Installation à distance, configuration et administration de programmes antivirus à partir de la console de l'administrateur système; alerter l'administrateur système des événements liés aux attaques de virus, aux e-mails, aux pagers, etc.

· Vérification forcée des ordinateurs connectés au réseau de l'entreprise, initiée par l'administrateur du système.

· Mise à jour à distance de logiciels anti-virus et de bases de données avec des informations sur les virus, y compris la mise à jour automatique des bases de données sur les virus via Internet;

· Filtrez le trafic Internet pour détecter les virus dans les programmes et documents transmis via les protocoles SMTP, FTP, HTTP.

· Détection d'applets Java et de modules ActiveX potentiellement dangereux.

· Fonctionnement sur diverses plates-formes serveur et client, ainsi que dans des réseaux d'entreprise hétérogènes.

· Maintenir des protocoles contenant des informations sur les événements liés à la protection antivirus.

Comme il a été dit dans l'article précédent, l'une des principales caractéristiques des attaques virales modernes est leur vitesse de propagation élevée. En outre, nous pouvons noter la fréquence élevée de nouvelles attaques. Ainsi, à l'heure actuelle, pour un logiciel antivirus moderne, vous pouvez indiquer une exigence pour la fréquence des mises à jour du produit - plus le produit est fréquemment mis à jour, plus sa qualité est élevée, car il prend en compte toutes les menaces virales actuelles.

Il convient de noter que, dans notre pays, la solution antivirus la plus populaire est la famille de produits du laboratoire antivirus de Kaspersky Lab - AVP.

Parmi les utilisateurs il y a une opinion que pour une protection efficace contre une menace virale, il suffit d'avoir un outil anti-virus. Cependant, comme l'a dit un auteur, les balles d'argent n'existent pas. La disponibilité d'un logiciel antivirus est nécessaire, mais pas suffisante, pour repousser une attaque antivirus (à l'exception de la disponibilité d'un outil, il est nécessaire de réfléchir aux méthodes d'utilisation). En d'autres termes, un élément de la politique de sécurité que tous les utilisateurs du système doivent comprendre et observer (pour le développement d'une politique de sécurité, il faut évaluer les risques associés à l'infection par des virus et les moyens raisonnables de les minimiser). .

Afin de formuler les principes de base de la politique de sécurité antivirus, il est nécessaire de se rappeler les principaux points suivants liés à l'attaque de virus.

1. L'attaque virale se compose de deux phases: la phase d'infection et la phase de distribution (et, éventuellement, l'exécution d'actions destructrices).

2. Les virus modernes sont souvent distribués non seulement à l'aide de fichiers exécutables, mais aussi à l'aide de fichiers de documents de programmes populaires.

3. Les virus modernes lors d'une attaque utilisent souvent les capacités d'Internet.

Considérez ce que vous pouvez recommander à un utilisateur afin de prévenir l'infection par des virus (évidemment, la meilleure façon de combattre une attaque est de l'empêcher). Ainsi, pour éviter les attaques de virus, il est recommandé d'effectuer les actions suivantes:

1. Configurez correctement le logiciel antivirus. Pour ce faire, effectuez les paramètres suivants:

Ø Le balayage en temps réel, en arrière-plan ou en mode similaire, doit être activé;

Ø Au démarrage du système, la mémoire, le secteur d'amorçage et les fichiers système doivent être analysés;

Ø mettre à jour les bases de données virales

Ø Il est souhaitable d'analyser tous les types de fichiers ou au moins les fichiers *. Com, * .exe, ainsi que les fichiers de type * .vbs, * .shs, * .ocx;

Ø établir un audit de toutes les actions des programmes antivirus.

2. Utilisez uniquement un logiciel sous licence. Les logiciels obtenus d'une source inconnue peuvent être un cheval de Troie ou un virus infecté.

3. Limitez l'ensemble des programmes que l'utilisateur peut installer sur le système (car les programmes externes peuvent être infectés par des virus ou causer le succès d'autres attaques). Une attention particulière devrait être accordée à divers services Internet et, tout d'abord, aux programmes de messagerie, tels que IRC, ICQ, Microsoft Chat (les données du programme peuvent transférer des fichiers et servir de source d'infection du système).

4. En outre, il est conseillé de supprimer les vulnérabilités connues dans le logiciel (car leur présence peut être une raison du succès des attaques virales). Les vulnérabilités connues sont généralement publiées dans les listes de distribution Internet, ainsi que sur des sites spéciaux. En tant que source d'informations sur les vulnérabilités, vous pouvez recommander une base de données sur www.securityfocus.com.

5. Surveillez l'utilisation des lecteurs de disquettes et des lecteurs de CD-ROM. Idéalement, toutes les informations contenues sur les disquettes et les CD-ROM devraient être vérifiées avant d'être utilisées par les utilisateurs du système informatique.

6. Développer une politique de traitement du courrier électronique (en tant que partie intégrante de la politique de sécurité). Comme indiqué dans l'article précédent, les messages électroniques sont l'un des moyens les plus populaires et les plus rapides de propagation de virus. Pour se protéger contre la pénétration de virus par l'intermédiaire de messages électroniques, chaque utilisateur du système doit:

Ø ne jamais ouvrir une pièce jointe immédiatement dans le message qui lui a été envoyé;

Ø créer un répertoire "quarantaine" - sauvegarder les pièces jointes dans un répertoire spécifique "quarantaine";

Ø Si l'expéditeur du message est inconnu, le message avec la pièce jointe peut même être supprimé; si l'expéditeur du message est connu, alors le message avec la pièce jointe peut également contenir un virus; la règle générale peut être formulée comme suit: ne jamais ouvrir les pièces jointes qui n'ont pas été demandées ou sur lesquelles il n'y avait pas de notification de l'expéditeur.

Ø vérifiez toujours le logiciel antivirus avant d'ouvrir la pièce jointe;

Ø Si, après avoir effectué toutes ces procédures, il existe des doutes quant à l'absence de virus dans la pièce jointe, vous pouvez contacter l'expéditeur et lui demander des informations sur la pièce jointe envoyée;

Ø éliminer les vulnérabilités possibles dans les logiciels de messagerie client;

7. Développez une stratégie de sécurité d'application (en particulier lorsque vous utilisez la famille de produits Microsoft Office dans l'organisation) qui traite les documents avec des langages interprétés (en tant que partie intégrante de la stratégie de sécurité).

Mais, supposons que l'infection a déjà eu lieu. Considérez ce que l'utilisateur devrait faire dans ce cas. Tout d'abord, ne paniquez pas du tout.

La première étape à suivre lorsqu'une attaque est détectée sur le système est son identification. Pour identifier une attaque, il est souvent nécessaire de créer une disquette de démarrage pendant l'installation du système et de démarrer le système avec celle-ci.

Si l'attaque est identifiée par un antivirus, tout est évident. Mais, si vous traitez avec un virus inconnu, dans de nombreux cas, le moment pour lequel l'attaque a été identifiée est critique. À cet égard, une grande importance est la capacité de l'utilisateur à détecter rapidement une attaque de virus (comme le publipostage, la destruction de fichiers, etc.). La complexité de l'identification d'une attaque dépend souvent de la complexité de l'attaque elle-même. A ce stade, il est souhaitable d'établir au moins les signes suivants: le fait même de l'attaque, le type d'attaque (réseau ou local) et l'origine de l'attaque.

Quel que soit le type de système d'exploitation, vous devez faire attention à l'activité suivante dans le système:

· L'intégrité du logiciel utilisé pour détecter l'intrus;

· Intégrité des programmes et des données critiques pour la sécurité;

· Opérations dans le système et le trafic réseau.

Si vous étiez en mesure de déterminer le fait d'une infection virale par un virus inconnu (ou si vous avez une telle suspicion), il est conseillé de contacter le fabricant du logiciel antivirus que vous utilisez.

Et, enfin, il est nécessaire d'analyser les conséquences d'une attaque virale. Si des données précieuses ont été traitées dans votre système, vous disposez bien entendu d'une copie de sauvegarde. Pour ce faire, l'organisation doit développer des règles de sauvegarde. Malheureusement, si la sauvegarde n'est pas disponible, les données peuvent être perdues (cela ne dépend plus de vous, mais de l'attaquant qui a écrit le virus qui a frappé votre système).

Ainsi, nous pouvons tirer la conclusion suivante: la disponibilité de moyens de protection adéquats et la discipline de leur utilisation permettent, sinon d'éviter une attaque virale, de minimiser au minimum ses conséquences.