Tech

Réparation en cas d'infection

Dossier - Virus et autres bestioles : Partie 2/2
DossierClassé sous :informatique , Incontournables , virus

-

Ce deuxième dossier vous apprendra à vous protéger des virus, et savoir de plus près comment ces programmes peuvent pénétrer dans l'ordinateur et par voie de conséquence quels sont les comportements à respecter pour les éviter.

  
DossiersVirus et autres bestioles : Partie 2/2
 

Il faut distinguer deux types d'interventions. Dans certains cas, le virus ou vers sera détecté avant le déclenchement de sa fonction de dommage. S'il s'agit d'un virus du système, il suffit de remplacer le secteur d'amorçage par une copie saine de celui-ci (idem si le virus est dans la table de partition, mais c'est plus délicat). S'il s'agit d'un virus de programme, la solution la plus simple est de détruire les programmes infectés et de les remplacer par une copie de réserve saine. Ceci peut prendre beaucoup de temps, car il suffit d'oublier un seul programme contaminé pour que le virus se propage de nouveau. Il n'est pas toujours possible de remplacer le programme contaminé, par exemple parce qu'on n'en a pas de copie saine.

Dans un certain nombre de cas il est possible de réparer le fichier en supprimant le code du virus. Bien entendu, il ne faut pas que le virus ait détruit une partie du code du programme. Divers antivirus proposent la réparation automatique des programmes (pour certains virus uniquement). Tous les antivirus n'ont pas la même efficacité quant au nombre de virus qu'ils peuvent traiter ou l'état (plus ou moins fonctionnel) dans lequel ils restaurent les programmes. Les contaminations simultanées par plusieurs virus peuvent être redoutables car les tentatives de réparation risquent d'entraîner des dommages irréparables. Si la contamination touche des ordinateurs professionnels dont l'usage est critique, il vaut mieux payer le prix et utiliser les services d'un vrai spécialiste en sécurité (ils sont malheureusement très peu nombreux).

Les vers sont autonomes puisqu'ils ne se greffent pas sur des programmes. Leur élimination est donc plus facile. Comme la quasi-totalité des « virus » de mail sont en fait des vers, cela explique pourquoi les éditeurs d'antivirus peuvent fournir très rapidement en téléchargement gratuit de petits utilitaires spécialisés dans l'élimination de chacun des vers susceptibles de contaminer un ordinateur. Face à un fichier contenant un virus qui ne peut être désinfecté, l'antivirus propose généralement l'effacement complet ou la mise en quarantaine (en gros, mise à l'abri dans un répertoire spécial). On rencontre toutefois de plus en plus de cas où l'élimination d'un ver (ainsi que des chevaux de Troie ou des backdoors qu'il installe) semble impossible. Cela peut être dû à deux problèmes. Le premier est qu'on ne peut généralement pas effacer le fichier d'un programme actif. Le deuxième est que de plus en plus de vers désactivent les antivirus connus. Cette difficulté est généralement réglée en démarrant l'ordinateur en mode sans échec avant de pratiquer la désinfection.

Il faut savoir que divers antivirus ne détectent pas les virus/vers des messages stockés dans Outlook ou Outlook Express en raison du format d'enregistrement ; d'autres possèdent une option pour scanner la messagerie, mais cette option est inutile voire nuisible. En effet ces virus ou vers ne peuvent pas s'activer lorsqu'ils sont archivés. En outre chaque dossier (par exemple Boîte de réception) correspond à un fichier unique qui peut être de taille importante si on a l'habitude d'archiver ses mails. Comme souvent la seule solution en cas d'infection serait de détruire le fichier (ce qui est fait parfois automatiquement), on perdrait alors tous les mails archivés. Le bon réflexe, si on veut consulter le document attaché à un mail, consiste à l'enregistrer sur le disque dur et à le scanner avant ouverture (beaucoup d'antivirus, mais pas tous, détecteront d'ailleurs un éventuel virus dès la phase d'enregistrement).

Le deuxième type d'intervention correspond aux cas où le virus a déjà causé des dommages. Dans ce cas, il faudra détruire toute trace du virus mais également essayer de réparer ce qui peut l'être, car toutes les situations peuvent se rencontrer, depuis l'altération d'un petit nombre de fichiers jusqu'au formatage du disque dur. La règle de base est que tous les fichiers présents sur un disque dur doivent être régulièrement sauvegardés sur un support extractible, comme cela a déjà été expliqué. Il faut cependant savoir que certains dégâts qui semblent importants sont parfois plus facilement réparables qu'on ne le pense. Un fichier entièrement effacé peut souvent être récupéré grâce à des programmes spécialisés. Il en est de même pour un disque reformaté si certaines précautions ont été prises au préalable. De même une atteinte de la table de partition du disque peut faire croire que celui-ci est hors d'usage alors qu'il peut être récupéré assez facilement.

En règle générale toutefois la plupart des opérations de réparation portant sur les fichiers ou le disque dur ne sont pas à la portée de n'importe qui, même en ayant des connaissances de base en informatique. Certaines tentatives maladroites causent plus de dommages que le virus lui-même et contrairement à ce qu'on pense un formatage complet du disque (dans l'espoir d'effacer toute trace de contamination) est inutile et même ne détruit pas les virus de système contenus dans le premier secteur du disque (table de partition ou MBR).

Il ne suffit pas de désinfecter le disque dur. Il faut aussi examiner toutes les disquettes utilisées et les CD-ROM gravés sur les ordinateurs contaminés ainsi, si nécessaire, que les autres ordinateurs du réseau.