Les canulars

Par les participants du groupe alt.comp.virus.
(Ces pages de sécurité sont le résultat d'un effort collectif continu.)


Anti-Virus Main Menu
Main Menu

Les canulars de virus informatiques

par Andrew Lee                    | gladius@gladius.f9.co.uk
Membre fondateur AVIEN        | http://www.avien.net
Reporter de la "wildlist"           | http://www.wildlist.org


Contenu



Qu'est-ce qu'un canular?

Wobbler! Budweiser Frogs! Penpal Greetings! Give your cat a colonic! Vous avez peut-être reçu des avertissements au sujet des ces "virus"; si c'est le cas, vous avez été la victime d'un canular.

Les canulars de virus informatiques consistent généralement en une histoire loufoque qui prétend que l'utilisateur ou l'organisation est sur le point de subir un malheur ou un refus de service causé par un nouveau type de virus électronique qui, d'après le message, se trouve en circulation et accomplit des choses impossibles.1

Malheureusement quelques récepteurs croient quelquefois qu'un canular est une alerte sérieuse et prennent des mesures sévères (telles que fermer leur réseau). Les canulars vous demandent souvent d'éviter de lire ou télécharger des messages avec un certain objet. Des exemples sont "Budweiser Frogs", "It Takes Guts to Say Jesus", et "Join the Crew".

Il est typique pour ces canulars de décrire un nouveau virus dangereux et indétectable2 habituellement à l'aide de faux termes techniques3. Par exemple, le canular Good Times prétend mettre le processeur de votre ordinateur dans "une boucle binaire interminable de complexité de niveau n qui peut sérieusement endommager votre processeur". Le canular vous avertit de ne pas lire ou télécharger un message avec l'objet "Good Times" parce que ce message est un virus. Il vous demande ensuite de faire suivre cette alerte à autant de personnes que possible.4

Une seconde forme de canular est le genre de message électronique qui prétend qu'en ayant lu le message, vous avez décodé et lancé un virus attaché.
Ce type de canular est plus inquiétant car bien que la plupart d'entre eux aient simplement pour but de faire peur aux utilisateurs et aux organisations, un ou deux ont fait exactement ce qu'ils ont dit.
VBS/Bubbleboy5 et JS/KAK6 en sont des exemples.
Le courrier électronique dans son état naturel, c'est à dire le texte brut, ne peut pas transporter de virus, mais avec le HTML et le "contenu actif" il est maintenant régulièrement exploité en tant que porteur de code viral.
Pour une démonstration des différences entre une vraie alerte et un canular, voici une comparaison:

Les indications importantes sont en rouge.
Mes commentaires sont en vert et en italique .

Canular Vraie alerte
Objet: FWD: LISEZ ET FAITES SUIVRE
LISEZ CE MESSAGE IMMEDIATEMENT
CECI N'EST PAS UNE BLAGUE.
(Notez que ceci indique qu'il s'agit probablement d'une blague.)

Quelqu'un fait circuler un écran de veille très mignon des Grenouilles Budweiser. Si vous le téléchargez, vous allez tout perdre! Votre disque dur se plantera et quelqu'un obtiendra votre nom d'utilisateur et votre mot de passe à travers Internet!
(Notez l'information factice! Si votre disque dur se plante, aucune information ne peut en être lue, alors comment quelqu'un peut-il l'obtenir à travers Internet?)

NE LE TELECHARGEZ SOUS AUCUNE CONDITION! Il est entré en circulation hier, d'après ce que nous savons. Distribuez ce message s'il vous plaît. Il s'agit d'un nouveau virus très méchant et peu de gens sont informés. Microsoft l'a annoncé hier matin.
(Notez que le message utilise les noms de grandes sociétés, Microsoft et AOL sont toutes les deux mentionnées dans celui-ci. Aussi, le message n'indique pas de date "rélle", simplement un vague "hier")

Partagez ce message avec tous ceux qui pourraient accéder à Internet. Encore une fois, envoyez ceci à TOUTES LES PERSONNES dans votre carnet d'adresses pour que ce virus puisse être arrêté.

AOL a dit que c'est un virus très dangereux et qu'il n'y a pour l'instant AUCUN remède.
(Notez qui a dit ceci - AOL n'est pas un laboratoire antivirus!)
Veuillez prendre des mesures de précaution et faites suivre ce message à tous vos amis en ligne.
(Notez que ce message vous demande 4 fois de le faire suivre, cela est le meilleur indice qu'il s'agit d'un canular).

Nom: XM97/Laroux-OD
Type: virus macro Excel 97
Date: 18 juin 2001
(Notez le bon sommaire, le nom, le type et la date de publication)
Un fichier IDE d'identité virale permettant de vous protéger est désormais disponible depuis la section Identités de virus, et sera intégré à la version Août 2001 (3.48) de Sophos Anti-Virus

Lors de l'écriture de cette analyse, Sophos a reçu un seul signalement de ce virus.

Description:
XM97/Laroux-OD est un virus de tableur Excel. Cette variante de la famille XM97/Laroux nécessite le fichier PERSONAL.XLS dans le répertoire XLSTART, qui est utilisé pour la réplication.
(Notez que cette description ne contient aucune information du genre "indétectable et formatage de disque", simplement de brèves informations techniques. Notez aussi la tendance à vous rassurer plutôt qu'à vous faire peur!)

Téléchargez le fichier IDE de
http://www.sophos.fr/downloads/ide/larx-od.ide

Lisez l'analyse ici:
http://www.sophos.fr/virusinfo/analyses/xm97larouxod.html

Téléchargez un fichier ZIP qui contient tous les fichiers IDE disponibles pour la version actuelle de Sophos Antivirus de
http://www.sophos.fr/downloads/ide/ides.zip

Notez qu'il y des liens vers d'autres informations, et des instructions comment mettre à jour votre logiciel.

Vous trouverez des information sur l'utilisation des fichiers IDE ici:
http://www.sophos.fr/downloads/ide/using.html

Pour arrêter l'abonnement de ce service veuillez visiter
http://www.sophos.fr/virusinfo/notifications
(Notez que la source de l'alerte est constamment répétée. L'alerte ne vous demande pas de faire suivre l'information, et ne prédit pas la fin du monde. Vous constaterez également qu'il n'y a pas de fausse information technique et que l'alerte ne mentionne pas de "grandes" sociétés.)

(Remerciements à Graham Cluley et Sophos pour la permission de reproduire cette alerte. Notez que les liens mentionnés dans cet article ne resteront pas forcément toujours valides.)

 

Comment les canulars coûtent-ils de l'argent?

Je ne sais pas si des recherches officielles ont été effectuées à ce sujet, et il est probable que beaucoup des chiffres cités ont tout simplement été inventés. Cependant il n'y pas de doute qu'un canular peut coûter aussi cher ou même plus cher qu'un incident lié à un vrai virus.

Après tout, aucun antivirus ne détecte les canulars parce que ce ne sont pas des virus. Le but d'un canular est d'essayer de faire naître assez d'inquiétude pour que "l'alerte" soit envoyée à tous les collègues et amis du lecteur.

Le nombre de messages électroniques qu'un canular typique peut produire suffit souvent pour surcharger les serveurs qui transmettent le courrier. Cela forcera quelqu'un à investir du temps pour résoudre le problème et il est possible que le courrier légitime arrive à destination avec beaucoup de retard.

Ajoutez à cela le coût du temps, chaque personne qui reçoit le canular passe quelques minutes à le lire et quelques minutes de plus pour le faire suivre à tous ses amis et collègues qui feront la même chose. Dans une grande société le temps perdu peut être énorme, d'autant plus que la personne responsable de la sécurité pourra être inondée par plusieurs centaines de copies du même message.

Il y a également la panique et l'inquiétude que peut causer le canular. Certaines sociétés ont dû fermer leurs réseaux entiers simplement parce qu'elles ont cru un canular.

Il faut également considérer le fait que la plupart des utilisateurs qui ont accès à Internet depuis leur domicile paient pour la connexion téléphonique et que télécharger leur courrier leur coûte donc de l'argent. Donc, avant de cliquer sur le bouton d'envoi; réfléchissez! S'agit-il d'un canular?

 
Comment empêcher la propagation des canulars

Si vous recevez une lettre de chaîne par courrier électronique, la chose la plus facile que vous pouvez faire, c'est de l'effacer. Ne l'envoyez pas à votre famille ou vos amis. N'envoyez jamais d'alertes de virus à qui que ce soit, quel que soit le type d'alerte. Peu importe si l'alerte a été diffusée par un éditeur d'antivirus ou si elle a été confirmée par une grande société de l'informatique ou votre meilleur ami.

Beaucoup de sociétés ont une ligne de conduite stricte concernant l'envoi d'alertes de virus, donc le mieux est de rechercher d'avance. Si votre société n'a pas établi une bonne ligne de conduite, alors faites-en la proposition.

"N'envoyez pas d'alertes de virus A QUI QUE CE SOIT, sauf à la personne responsable de la sécurité informatique. Peu importe si les alertes viennent d'un éditeur d'antivirus ou si elles ont été confirmées par une grande société de l'informatique, un collègue ou votre meilleur ami! TOUTES les alertes de virus doivent être envoyées à (nom de la personne responsable) uniquement. C'est son travail d'avertir tout le monde. Une alerte qui parvient de toute autre source doit être ignorée."

Si tout le monde obéit à ces règles, il ne devrait pas y avoir d'inondations de courrier, et la personne responsable de la sécurité décidera si il y a un risque ou non.

 
Informez vous

La meilleure façon de réduire les coûts liés aux canulars est de vous informer en visitant les sites des éditeurs d'antivirus et de voir leur liste d'alertes et de canulars.

Il y a également quelques sites vraiment bons qui déboulonnent les canulars et les mythes des virus informatiques.

http://www.vmyths.com
http://www.umich.edu/~vbusters
http://www.sophos.com/virusinfo/hoaxes

Les informations correctes et actuelles constituent la meilleure protection contre les virus!

 
Commentaires:

1. Les affirmations impossibles sont probablement difficiles à détecter pour les novices, mais en général ces affirmations sont vraiment loufoques, comme par exemple "Le virus effacera toutes les données de votre disque dur si vous ouvrez ce message." Cela n'est tout simplement pas possible sans prendre d'autres mesures comme par exemple lancer un fichier joint.

2. Les affirmations mentionnent souvent des virus "indétectables". Eh bien s'il est indétectable alors comment savent-ils qu'il existe et comment il fonctionne. La logique dit donc que le virus est détectable (ce qui signifie que les éditeurs d'antivirus sont en train de préparer un antidote), ou alors que simplement il n'existe pas. Dans la plupart des cas, il n'existe pas.

3. De faux termes techniques sont souvent utilisés, encore une fois cela est difficile pour les novices, mais les canulars affirment souvent que "ce virus fonctionne sur PC et sur Mac", cela est extrêmement improbable car ce sont deux types d'ordinateurs très différents. Les "plantages" de disques durs sont souvent donnés en exemple de ce qui pourrait arriver. Encore une fois cela est improbable car pour cela il faut que l'utilisateur prenne lui-même des mesures. Le courrier électronique ne peut pas s'exécuter soi-même car il n'y a pas de code à exécuter! Habituellement, les canulars "citent" de grandes sociétés telles que Microsoft, AOL ou IBM et disent qu'elles ont dit que le virus est très dangereux. Ces sociétés ne diffusent pas d'alertes de virus, donc cela est un indice qu'il s'agit d'un canular.

4. Faire suivre l'alerte, c'est ce que demandent la plupart des canulars car c'est ainsi qu'ils se propagent. Aucun éditeur d'antivirus (ou autre société) honorable vous demandera de faire suivre l'alerte. Un canular le fera presque toujours.

5. VBS/Bubbleboy est le premier virus qui peut être déclenché simplement en ouvrant le message, mais cela ne fonctionne que sous certaines conditions et ce virus n'est pas vraiment destructif. Il ne fonctionne que sous Windows 95 et 98.

6. JS/Kak est sans doute le virus le plus couronné de succès quant aux nombres de systèmes infectés. Il utilise la même technique de propagation que BubbleBoy.

© Copyright 2001 - Andrew J Lee
Reproduit avec permission 		Andrew J Lee
Membre fondateur AVIEN
http://avien.net  |  gladius@gladius.f9.co.uk

Dernière mise à jour: 21 juillet 2001