Virus informatiques : description, prévention et récupération

Cet article explique comment déterminer si votre ordinateur est infecté par un virus, un ver ou un cheval de Troie, comment récupérer suite à une infection et comment éviter de futures infections par des virus.

Un virus informatique est un code conçu pour s'autorépliquer. Le code tente de se propager d'un ordinateur à l'autre en s'attachant à un programme hôte. Il peut endommager votre matériel, vos logiciels ou vos données. Un ver informatique est un certain type de virus. Il se propage en général sans que l'utilisateur ne fasse quoi que ce soit et distribue des copies complètes (et éventuellement modifiées) de lui-même sur des réseaux. Il peut épuiser la mémoire ou la bande passante réseau, provoquant ainsi le blocage de l'ordinateur. Un « cheval de Troie » est un virus qui prend l'apparence d'un programme légitime, mais qui est en fait conçu pour endommager votre système.

Prenez des mesures appropriées pour vous protéger contre les virus même si vous n'accédez pas à des sites Web inconnus ou non approuvés ou que vous n'ouvrez aucune pièce jointe à un message électronique. Pour améliorer la sécurité de votre ordinateur Windows, vous pouvez commencer par appliquer les trois mesures suivantes : utiliser un pare-feu, recevoir des mises à jour régulièrement et utiliser un logiciel antivirus. Pour obtenir des instructions détaillées expliquant comment appliquer ces mesures à votre système d'exploitation, reportez-vous au site Web Protégez votre PC de Microsoft à l'adresse suivante :Sur un ordinateur Windows XP, le site Web Protégez votre PC peut détecter et configurer automatiquement le Pare-feu de connexion Internet, configurer les paramètres des Mises à jour automatiques et vous offrir des informations sur les logiciels antivirus. Sur un ordinateur Windows XP Service Pack 2, le Pare-feu de connexion Internet est renommé Pare-feu Windows.

Pour plus d'informations sur la partie automatisée du site Web Protégez votre PC de Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. Pour obtenir une assistance gratuite sur les virus aux États-Unis ou au Canada, contactez le (866) PC-SAFETY (727-2338). Si vous n'habitez pas aux États-Unis ou au Canada, contactez la filiale Microsoft de votre pays.

Symptômes de présence de virus, vers informatiques et chevaux de Troie

Si vous supposez ou avez la confirmation que votre ordinateur est infecté par un virus, procurez-vous le dernier logiciel antivirus disponible sur le marché. Lorsqu'un virus infecte votre messagerie électronique ou d'autres fichiers, il peut avoir les effets suivants sur votre ordinateur :

• Le fichier infecté peut créer des copies de lui-même, qui peuvent utiliser tout l'espace libre de votre disque dur.
• Une copie du fichier infecté peut être envoyée à toutes les adresses de votre répertoire d'adresses électroniques.
• Le virus peut reformater votre disque dur et supprimer vos fichiers et vos programmes.
• Le virus peut installer des programmes masqués, notamment des logiciels piratés, qui peuvent être distribués et vendus à partir de votre ordinateur.
• Le virus peut affecter la sécurité, ce qui peut permettre à des intrus d'accéder à distance à votre ordinateur ou à votre réseau.

Les symptômes suivants sont souvent imputables ou associés à un virus :

• Vous avez reçu un message électronique contenant une pièce jointe étrange. Lorsque vous ouvrez la pièce jointe, des boîtes de dialogue apparaissent ou les performances du système se dégradent subitement.
• Une pièce jointe que vous venez d'ouvrir possède une double extension, par exemple .jpg.vbs ou .gif.exe.
• Un programme antivirus est désactivé sans raison apparente et il ne peut pas être redémarré.
• Vous ne pouvez pas installer ou exécuter un programme antivirus sur votre ordinateur.
• Des boîtes de dialogue ou des messages étranges s'affichent à l'écran.
• Quelqu'un vous écrit qu'il a récemment reçu de votre part des messages électroniques contenant des fichiers joints (généralement avec les extensions .exe, .bat, .scr ou .vbs), que vous n'avez pas envoyés.
• De nouvelles icônes apparaissent sur le Bureau et vous ne les y avez pas placées ou elles ne sont pas associées à des programmes récemment installés.
• Les haut-parleurs diffusent des sons ou de la musique étranges de manière inattendue.
• Un programme disparaît de votre ordinateur et vous ne l'avez pas supprimé de manière intentionnelle.

Une infection par virus peut aussi entraîner les symptômes suivants, mais ceux-ci peuvent aussi résulter de l'exécution normale de fonctions de Windows ou de problèmes dans Windows n'ayant aucun lien avec un virus.

• Windows ne démarre pas, bien que vous n'ayez pas modifié votre système et que vous n'ayez pas installé ni supprimé de programmes.
• L'activité du modem est intense. Si vous possédez un modem externe, vous pouvez voir les voyants qui clignotent de manière suspecte alors que le modem n'est pas en cours d'utilisation. Sans le savoir, vous distribuez peut-être un logiciel piraté.
• Windows ne démarre pas parce que certains fichiers système critiques manquent et vous recevez un message d'erreur répertoriant les fichiers manquants.
• L'ordinateur démarre parfois normalement, mais il cesse parfois de répondre avant que les icônes du Bureau et la barre des tâches n'apparaissent.
• L'ordinateur est lent et prend beaucoup de temps pour démarrer.
• Des messages d'erreur indiquant une mémoire insuffisante s'affichent, même si la RAM disponible sur votre ordinateur est importante.
• Les nouveaux programmes ne s'installent pas correctement.
• Windows redémarre de lui-même, de manière inattendue.
• Des programmes qui s'exécutaient normalement se bloquent maintenant souvent. La suppression et la réinstallation de ces logiciels ne permettent pas de résoudre pas le problème.
• Un utilitaire de disque tel que Scandisk signale plusieurs erreurs de disque sérieuses.
• Une partition disparaît.
• Votre ordinateur cesse toujours de répondre lorsque vous essayez d'utiliser des produits Microsoft Office.
• Vous ne pouvez pas démarrer le Gestionnaire de tâches Windows.
• Un logiciel antivirus indique la présence d'un virus.

Récupération et prévention d'une infection par virus

Pour éviter une infection par virus ou pour récupérer d'une telle infection, procédez comme suit :

1. Utilisez un pare-feu Internet.
   Un pare-feu est un logiciel ou un matériel qui crée une barrière de protection entre votre ordinateur et un contenu potentiellement dangereux sur Internet. Il permet de protéger votre ordinateur contre des utilisateurs malveillants et les nombreux virus et vers informatiques.
   
   Utilisez un pare-feu uniquement pour les connexions réseau que vous utilisez pour vous connecter directement à Internet. Par exemple, utilisez un pare-feu sur un ordinateur individuel connecté à Internet directement par le biais d'un modem câble, DSL ou d'accès à distance. Si vous utilisez la même connexion réseau pour vous connecter à Internet et à un réseau domestique ou d'entreprise, utilisez un routeur ou un pare-feu qui empêche les ordinateurs sur Internet de se connecter aux ressources partagées présentes sur les ordinateurs domestiques ou d'entreprise. N'utilisez pas de pare-feu sur les connexions réseau que vous utilisez pour vous connecter à votre réseau domestique ou d'entreprise, à moins que vous puissiez le configurer pour qu'il ouvre les ports uniquement pour votre réseau domestique ou d'entreprise. Si vous vous connectez à Internet à l'aide de votre réseau domestique ou d'entreprise, vous ne pouvez utiliser un pare-feu que sur l'ordinateur ou l'autre périphérique, tel un routeur, qui permet de se connecter à Internet. Par exemple, si vous vous connectez à Internet par l'intermédiaire d'un réseau que vous gérez et que celui-ci utilise un partage de connexions pour permettre à plusieurs ordinateurs d'accéder à Internet, vous pouvez installer ou activer un pare-feu uniquement sur la connexion Internet partagée. Si vous vous connectez à Internet par l'intermédiaire d'un réseau que vous ne gérez pas, vérifiez que l'administrateur réseau utilise un pare-feu.
   
   Remarque Si vous utilisez un pare-feu sur tous les ordinateurs de votre réseau domestique ou d'entreprise, vous ne pourrez peut-être pas faire des recherches, ou « naviguer », sur d'autres ordinateurs de ce réseau et vous ne serez peut-être pas en mesure de partager des fichiers avec d'autres ordinateurs de ce réseau. Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   298804  (http://support.microsoft.com/kb/298804/ ) Le pare-feu connexion Internet peut empêcher la navigation et le partage de fichiers

   Windows XP ; Windows Server 2003, Standard Edition ; Windows Server 2003, Enterprise Edition

   Si vous exécutez Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition ou une version quelconque de Windows XP, vous pouvez utiliser la fonctionnalité Pare-feu de connexion Internet.
   283673  (http://support.microsoft.com/kb/283673/ ) Comment faire pour activer ou désactiver la fonctionnalité Pare-feu de connexion Internet dans Windows XP
   Pour plus d'informations sur le Pare-feu de connexion Internet, reportez-vous au site Web de Microsoft aux adresses suivantes (en anglais) :
   http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx?mfr=true (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx?mfr=true)
   http://technet2.microsoft.com/WindowsServer/en/library/1dde6a20-c5d7-490e-a63f-54db94daaffb1033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/1dde6a20-c5d7-490e-a63f-54db94daaffb1033.mspx?mfr=true)

   Autres versions de Windows

   Pour les autres versions de Windows, utilisez le Pare-feu de base (pour les serveurs Windows Server 2003 exécutant le service Routage et accès distant), Microsoft Internet Security and Acceleration (ISA) Server 2000 (pour Windows 2000 ou Windows Server 2003) ou un pare-feu matériel ou logiciel tiers. Pour plus d'informations sur les produits pare-feu tiers, reportez-vous au site Web de Microsoft à l'adresse suivante :
   http://www.microsoft.com/france/athome/security/viruses/fwbenefits.mspx (http://www.microsoft.com/france/athome/security/viruses/fwbenefits.mspx)
2. Mettez à jour votre ordinateur.
   Les mises à jour de sécurité vous aident à protéger votre ordinateur contre les problèmes de sécurité, virus, vers et autres menaces au fur et à mesure qu'ils sont découverts. Vous pouvez notamment effectuer les procédures suivantes :
   1. Installez les mises à jour de sécurité pour Windows et les composants Windows (tels qu'Internet Explorer, Outlook Express et le Lecteur Windows Media). Pour cela, reportez-vous au site Web de Microsoft à l'adresse suivante :
      Windows Update
      http://windowsupdate.microsoft.com (http://windowsupdate.microsoft.com)
      Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
      311047  (http://support.microsoft.com/kb/311047/ ) Comment faire pour maintenir votre ordinateur Windows à jour
      Remarque Microsoft Windows NT Workstation, Windows 98, Windows 98 Deuxième Édition et Windows 95 ont atteint la fin de leur cycle de vie de support. Les mises à jour disponibles pour ces systèmes d'exploitation peuvent être téléchargées à partir des archives du site Windows Update. Toutefois, Microsoft n'offre plus de support technique pour ces versions. Par conséquent, envisagez d'effectuer la mise à niveau vers Windows XP Professionnel ou Windows XP Édition familiale afin de profiter des Mises à jour automatiques et d'autres fonctionnalités de sécurité introduites depuis la publication de ces anciens systèmes d'exploitation.
   2. Pour installer des mises à jour de sécurité pour des produits Microsoft Office, reportez-vous au site Web Office Update à l'adresse suivante :
      http://office.microsoft.com/fr-fr/downloads/default.aspx (http://office.microsoft.com/fr-fr/downloads/default.aspx)
   3. Pour installer des mises à jour de sécurité pour vos autres programmes, contactez le fabricant du programme pour obtenir des informations supplémentaires. Pour rechercher des mises à jour de sécurité pour d'autres produits Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante :
      http://www.microsoft.com/technet/security/current.aspx (http://www.microsoft.com/technet/security/current.aspx)
      Par exemple, vous pouvez rechercher des mises à jour de sécurité pour Microsoft Internet Information Services (IIS), SQL Server ou Exchange Server sur ce site Web.
      
      Remarque Les administrateurs réseau peuvent utiliser l'outil Microsoft Baseline Security Analyzer (MBSA) pour analyser la mémoire centrale des ordinateurs Windows à la recherche de problèmes courants de configuration de la sécurité et générer des rapports de sécurité individuels pour chaque ordinateur analysé. MBSA s'exécute sur les ordinateurs Windows Server 2003, Windows 2000 et Windows XP. MBSA peut détecter des problèmes de sécurité sur des ordinateurs Windows NT 4.0, Windows 2000, Windows XP et Windows Server 2003 et recherche des problèmes courants de configuration de la sécurité dans Windows, Internet Information Services (IIS), SQL Server, Internet Explorer et Microsoft Office. MBSA détecte en outre l'absence de mises à jour de la sécurité dans Windows, IIS, SQL Server, Internet Explorer, le Lecteur Windows Media, Exchange Server et Exchange 2000 Server.
      
      Pour plus d'informations sur MBSA, reportez-vous au site Web de Microsoft à l'adresse suivante :
      http://www.microsoft.com/france/securite/outils/mbsa.aspx (http://www.microsoft.com/france/securite/outils/mbsa.aspx)
   4. Si vous utilisez une version de Microsoft Outlook antérieure à la version 2002, assurez-vous que la mise à jour de la sécurité de la messagerie électronique Outlook est installée :
      • Par défaut, les versions postérieures à Outlook 2000 SP2 et Outlook 2002 SP1 contiennent cette mise à jour de sécurité.
      • Les versions de Microsoft Outlook 2000 antérieures à SR1 et Outlook 98 ne possèdent pas cette fonction, mais vous pouvez vous la procurer en installant la Mise à jour de la sécurité pour la messagerie électronique Microsoft Outlook. Pour plus d'informations sur la Mise à jour de la sécurité pour la messagerie électronique Outlook, consultez le site Web de Microsoft à l'adresse suivante :
        http://www.microsoft.com/downloads/details.aspx?FamilyID=96DF48A9-7638-429E-816E-35F16F6528CA&displaylang=FR (http://www.microsoft.com/downloads/details.aspx?FamilyID=96DF48A9-7638-429E-816E-35F16F6528CA&displaylang=FR)
   5. Si vous utilisez Outlook Express, soyez vigilant lors de l'ouverture de pièces jointes à des messages électroniques.
      • Par défaut, Outlook Express 6 SP1 bloque l'accès aux pièces jointes.
      • Les versions de Microsoft Outlook Express antérieures à Outlook Express 6 ne contiennent pas de fonctions de blocage des pièces jointes. Soyez extrêmement prudent lorsque vous ouvrez des messages électroniques non sollicités contenant des pièces jointes.
   6. Désactivez Active Scripting dans Outlook et Outlook Express.
      
      Remarque Active Scripting est désactivé par défaut dans Outlook Express 6 et Outlook 2002 et versions ultérieures. Pour plus d'informations sur la désactivation d'Active Scripting dans Outlook Express, cliquez sur le numéro ci-dessous pour afficher l'article correspondant de la Base de connaissances Microsoft.
      192846  (http://support.microsoft.com/kb/192846/ ) Comment faire pour désactiver Active Scripting dans Outlook Express
      Pour plus d'informations sur la désactivation d'Active Scripting dans Outlook 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant de la Base de connaissances Microsoft.
      215774  (http://support.microsoft.com/kb/215774/ ) Les scripts incorporés dans des messages HTML s'exécutent sans avertissement
      Pour plus d'informations sur les fonctionnalités antivirus dans Outlook Express, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
      291387  (http://support.microsoft.com/kb/291387/ ) Utilisation des fonctionnalités antivirus dans Outlook Express 6
3. Utilisez un logiciel antivirus à jour.
   Microsoft ne fournit pas de logiciel capable de détecter ou de supprimer les virus informatiques. Si vous supposez ou avez la confirmation que votre ordinateur est infecté par un virus, procurez-vous le dernier logiciel antivirus disponible sur le marché. Pour plus d'informations sur les fournisseurs de logiciels antivirus, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   49500  (http://support.microsoft.com/kb/49500/ ) Liste des fournisseurs de logiciels antivirus
   Les logiciels antivirus vous aident à protéger votre ordinateur contre la plupart des virus, vers, chevaux de Troie et autres programmes mal intentionnés. De nombreux ordinateurs sont équipés d'un logiciel antivirus par le fabricant. Vous pouvez également acheter un logiciel antivirus et l'installer vous-même. Vous devez également maintenir votre logiciel antivirus à jour.
   
   Remarques
   • Si vous n'avez pas installé de programme antivirus, Trend Micro, Inc. propose un service de balayage antivirus en ligne gratuit sur le site Web de Trend Micro à l'adresse suivante (en anglais):
     http://housecall.trendmicro.com/ (http://housecall.trendmicro.com/)
   • Réinstallez votre programme antivirus s'il a cessé de fonctionner.
   • Procurez-vous le dernier fichier de signatures de virus sur le site Web du fournisseur de votre logiciel antivirus. Pour chaque nouveau virus, les fournisseurs d'antivirus publient des mises à jour afin d'éliminer ces nouveaux virus.
   • Une fois le virus supprimé, procédez à un nouveau balayage de votre ordinateur afin de vous assurer que le virus a été totalement éliminé. Paramétrez votre programme antivirus de sorte qu'il contrôle votre système aux heures où vous ne l'utilisez pas.
   • Vous devrez peut-être formater le disque dur de votre ordinateur et réinstaller Windows ainsi que tous vos programmes si l'une ou plusieurs des conditions suivantes sont remplies :
     • Votre logiciel antivirus affiche un message indiquant qu'il ne peut pas réparer ou supprimer le virus.
     • Le virus a endommagé ou supprimé certains fichiers importants de votre ordinateur. C'est peut-être le cas si Windows ou certains programmes ne démarrent pas ou s'ils démarrent avec des messages d'erreur signalant des fichiers endommagés ou manquants.
     • Les symptômes décrits dans cet article persistent, même après le nettoyage de votre station de travail et vous êtes sûr que vos problèmes sont provoqués par un virus.