CERTA-2003-AVI-084

Vulnerability from certfr_avis - Published: - Updated:

None

Description

Il n'y a pas de fatalité vis-à-vis des virus informatiques. Ils se propagent essentiellement en exploitant :

  1. de mauvaises configurations des systèmes d'information ;
  2. une mauvaise sensibilisation de l'utilisateur.

C'est pourquoi il est en général inutile de faire des alertes systématiques sur chacun des virus qui sortent chaque jour. Le CERTA communique peu sur des virus particuliers et préfère régulièrement faire une note de rappel sur les bonnes pratiques.

3.1 Les virus à la mode

Il n'existe pas de statistiques fiables en matière de virus. Beaucoup de sources d'informations sur les virus, citant le nombre de spécimens en circulation sans parler du montant des dégats imputés aux virus, sont particulièrement fantaisistes. Peu importe, cette information est en général inutile pour mettre en œuvre les mesures de protection nécessaires.

Les sites suivants serviront arbitrairement de référence :

  • http://www.wildlist.org

  • http://www.messagelabs.com/viruseye/threats/list/default.asp

  • http://www.vmyths.com

Beaucoup trop de virus se propagent en exploitant une vulnérabilité du logiciel Internet Explorer utilisé au travers du logiciel de messagerie Outlook. Le correctif de cette vulnérabilité a été publié en mars 2001 et fait l'objet de l'avis CERTA-2001-AVI-041.

Une tendance des virus est d'arrêter les antivirus fonctionnant sur l'ordinateur contaminé. Si bien que plus que jamais, c'est la vigilance de l'utilisateur qui protège en dernier ressort.

Solution

Il y a quelques règles de base pour se protéger contre les virus de messagerie :

  1. Pas de panique : les actions réalisées dans l'urgence, font souvent plus de dégats que les virus.
  2. Faites des sauvegardes. Le risque virus ne peut être complètement réduit. Plutôt que limiter la propagation des virus (objectif impossible), il vaut mieux limiter l'impact des virus (en sauvegardant ce qu'ils peuvent détruire).
  3. Mettez à jour vos systèmes d'exploitation et logiciels. Il s'agit plus d'appliquer les correctifs de sécurité que d'ajouter de nouvelles fonctionnalités.
  4. Utilisez un parefeu. Certains virus installent un cheval de Troie ou un relai (IRC, HTTP, SMTP, ...). Leur action est limitée si un parefeu vous protège. Configurez le pour interdire les protocoles que vous n'utilisez pas. Lisez régulièrement les journaux de votre parefeu pour découvrir les tentatives de connexions suspectes.

  5. Ne pas ouvrir les fichiers douteux. Un fichier douteux est un fichier provenant d'une source non sûre :

    • les fichiers attachés, quelqu'en soit la source (vos amis vous envoient aussi des virus, puisque les virus utilisent leur carnet d'adresse). Préférez toujours échanger un texte saisi dans le corps du message plutôt que d'attacher une pièce jointe.

    • les fichiers attachés exécutables sont quasi-systématiquement des fichiers nuisibles. Ne pas hésiter à les détruire (ou les mettre en quarantaine) dès le serveur de messagerie. (cf.

      http://www.cnrs.fr/Infosecu/num41.pdf

      ).

    • les fichiers téléchargés (ftp, http, disquettes, messagerie instantanée, partage de fichier, ...)

    • Si le fichier vient d'une source connue demandez une confirmation que le fichier attaché a bien été envoyé volontairement.
    • Si la source du fichier est inconnue, si vous avez un doute ... n'ouvrez pas le fichier.
    • Si le titre ou le texte du message est douteux n'ouvrez pas le message. Méfiez vous en particulier des titres qui jouent sur vos affects et en particulier ceux qui exploitent l'actualité. Il peut s'agir d'un virus ou d'un canular.
    • Les logiciels de messagerie sont généralement connus pour faire mauvais ménage avec les anti-virus. Il est toujours préférable de laisser au logiciel de messagerie le soin de gérer (envoyer, recevoir) les messages et de ne lui laisser que la possibilité d'enregistrer la pièce jointe et ne surtout pas l'exécuter. Les antivirus du poste de travail pourront plus aisément traiter le virus une fois sur le disque.
    • Pour cela mettez régulièrement à jour vos antivirus.
    • Dans le doute faîtes appel à votre responsable de sécurité informatique.

La plupart des systèmes peuvent être infectés par des virus informatiques véhiculés par la messagerie. Cependant les virus les plus fréquents s'attaquent en général aux systèmes les plus répandus.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLa plupart des syst\u00e8mes peuvent \u00eatre infect\u00e9s par des virus  informatiques v\u00e9hicul\u00e9s par la messagerie. Cependant les virus  les plus fr\u00e9quents s\u0027attaquent en g\u00e9n\u00e9ral aux syst\u00e8mes les plus  r\u00e9pandus.\u003c/P\u003e",
  "content": "## Description\n\nIl n\u0027y a pas de fatalit\u00e9 vis-\u00e0-vis des virus informatiques. Ils se\npropagent essentiellement en exploitant :\n\n1.  de mauvaises configurations des syst\u00e8mes d\u0027information ;\n2.  une mauvaise sensibilisation de l\u0027utilisateur.\n\nC\u0027est pourquoi il est en g\u00e9n\u00e9ral inutile de faire des alertes\nsyst\u00e9matiques sur chacun des virus qui sortent chaque jour. Le CERTA\ncommunique peu sur des virus particuliers et pr\u00e9f\u00e8re r\u00e9guli\u00e8rement faire\nune note de rappel sur les bonnes pratiques.\n\n## 3.1 Les virus \u00e0 la mode\n\nIl n\u0027existe pas de statistiques fiables en mati\u00e8re de virus. Beaucoup de\nsources d\u0027informations sur les virus, citant le nombre de sp\u00e9cimens en\ncirculation sans parler du montant des d\u00e9gats imput\u00e9s aux virus, sont\nparticuli\u00e8rement fantaisistes. Peu importe, cette information est en\ng\u00e9n\u00e9ral inutile pour mettre en \u0153uvre les mesures de protection\nn\u00e9cessaires.\n\nLes sites suivants serviront arbitrairement de r\u00e9f\u00e9rence :\n\n-   http://www.wildlist.org\n\n-   http://www.messagelabs.com/viruseye/threats/list/default.asp\n\n-   http://www.vmyths.com\n\nBeaucoup trop de virus se propagent en exploitant une vuln\u00e9rabilit\u00e9 du\nlogiciel Internet Explorer utilis\u00e9 au travers du logiciel de messagerie\nOutlook. Le correctif de cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 publi\u00e9 en mars 2001\net fait l\u0027objet de l\u0027avis CERTA-2001-AVI-041.\n\nUne tendance des virus est d\u0027arr\u00eater les antivirus fonctionnant sur\nl\u0027ordinateur contamin\u00e9. Si bien que plus que jamais, c\u0027est la vigilance\nde l\u0027utilisateur qui prot\u00e8ge en dernier ressort.\n\n## Solution\n\nIl y a quelques r\u00e8gles de base pour se prot\u00e9ger contre les virus de\nmessagerie :\n\n1.  Pas de panique : les actions r\u00e9alis\u00e9es dans l\u0027urgence, font souvent\n    plus de d\u00e9gats que les virus.\n2.  Faites des sauvegardes. Le risque virus ne peut \u00eatre compl\u00e8tement\n    r\u00e9duit. Plut\u00f4t que limiter la propagation des virus (objectif\n    impossible), il vaut mieux limiter l\u0027impact des virus (en\n    sauvegardant ce qu\u0027ils peuvent d\u00e9truire).\n3.  Mettez \u00e0 jour vos syst\u00e8mes d\u0027exploitation et logiciels. Il s\u0027agit\n    plus d\u0027appliquer les correctifs de s\u00e9curit\u00e9 que d\u0027ajouter de\n    nouvelles fonctionnalit\u00e9s.\n4.  Utilisez un parefeu. Certains virus installent un cheval de Troie ou\n    un relai (IRC, HTTP, SMTP, ...). Leur action est limit\u00e9e si un\n    parefeu vous prot\u00e8ge. Configurez le pour interdire les protocoles\n    que vous n\u0027utilisez pas. Lisez r\u00e9guli\u00e8rement les journaux de votre\n    parefeu pour d\u00e9couvrir les tentatives de connexions suspectes.\n5.  Ne pas ouvrir les fichiers douteux. Un fichier douteux est un\n    fichier provenant d\u0027une source non s\u00fbre :\n    -   les fichiers attach\u00e9s, quelqu\u0027en soit la source (vos amis vous\n        envoient aussi des virus, puisque les virus utilisent leur\n        carnet d\u0027adresse). Pr\u00e9f\u00e9rez toujours \u00e9changer un texte saisi\n        dans le corps du message plut\u00f4t que d\u0027attacher une pi\u00e8ce jointe.\n\n    -   les fichiers attach\u00e9s ex\u00e9cutables sont quasi-syst\u00e9matiquement\n        des fichiers nuisibles. Ne pas h\u00e9siter \u00e0 les d\u00e9truire (ou les\n        mettre en quarantaine) d\u00e8s le serveur de messagerie. (cf.\n\n            http://www.cnrs.fr/Infosecu/num41.pdf\n\n        ).\n\n    -   les fichiers t\u00e9l\u00e9charg\u00e9s (ftp, http, disquettes, messagerie\n        instantan\u00e9e, partage de fichier, ...)\n6.  Si le fichier vient d\u0027une source connue demandez une confirmation\n    que le fichier attach\u00e9 a bien \u00e9t\u00e9 envoy\u00e9 volontairement.\n7.  Si la source du fichier est inconnue, si vous avez un doute ...\n    n\u0027ouvrez pas le fichier.\n8.  Si le titre ou le texte du message est douteux n\u0027ouvrez pas le\n    message. M\u00e9fiez vous en particulier des titres qui jouent sur vos\n    affects et en particulier ceux qui exploitent l\u0027actualit\u00e9. Il peut\n    s\u0027agir d\u0027un virus ou d\u0027un canular.\n9.  Les logiciels de messagerie sont g\u00e9n\u00e9ralement connus pour faire\n    mauvais m\u00e9nage avec les anti-virus. Il est toujours pr\u00e9f\u00e9rable de\n    laisser au logiciel de messagerie le soin de g\u00e9rer (envoyer,\n    recevoir) les messages et de ne lui laisser que la possibilit\u00e9\n    d\u0027enregistrer la pi\u00e8ce jointe et ne surtout pas l\u0027ex\u00e9cuter. Les\n    antivirus du poste de travail pourront plus ais\u00e9ment traiter le\n    virus une fois sur le disque.\n10. Pour cela mettez r\u00e9guli\u00e8rement \u00e0 jour vos antivirus.\n11. Dans le doute fa\u00eetes appel \u00e0 votre responsable de s\u00e9curit\u00e9\n    informatique.\n",
  "cves": [],
  "links": [
    {
      "title": "La revue de la s\u00e9curit\u00e9 des syst\u00e8mes d\u0027information au CNRS    publie r\u00e9guli\u00e8rement des articles tr\u00e8s pertinents sur la lutte    contre les virus informatiques :",
      "url": "http://www.cnrs.fr/Infosecu/Revue.html"
    },
    {
      "title": "CERTA-2001-AVI-041 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2001-AVI-041/index.html"
    }
  ],
  "reference": "CERTA-2003-AVI-084",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-05-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Virus informatiques"
    }
  ],
  "summary": null,
  "title": "Rappel sur les virus de messagerie",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.