Page 1
McAfee VirusScan
Logiciel antivirus
Guide d'utilisateur
Page 2
DROITS D'AUTEUR
Copyright ©1995-2000 Network Associates Technology, Inc. All right reserved. Aucune partie
de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système de
rechercheoutraduitedanstouteautrelangueàquelquefinouparquelquemoyenquecesoit
sans la permission écrite de Network Associates Technology, Inc., ou de ses fournisseurs ou
filiales.
AFFECTATIONS DES MARQUES
* ActiveHelp, Bomb Shelter, Building a World of Trust, CipherLink, Clean-Up, Cloaking, CNX,
Compass 7, CyberCop, CyberMedia, Data Security Letter, Discover, Distributed Sniffer System, Dr
Solomon's, Enterprise Secure Cast, First Aid, ForceField, Gauntlet, GMT, GroupShield, HelpDesk,
Hunter,ISDNTel/Scope,LM1,LANGuru,LeadingHelpDeskTechnology,MagicSolutions,
MagicSpy, MagicTree, Magic University, MagicWin, MagicWord, McAfee, McAfee Associates,
MoneyMagic, More Power To You, Multimedia Cloaking, NetCrypto, NetOctopus, NetRoom,
NetScan, Net Shield, NetShield, NetStalker, Net Tools, Network Associates, Network General, Network
Uptime!, NetXRay, Nuts & Bolts, PC Medic, PCNotary, PGP, PGP (Pretty Good Privacy),
PocketScope, Pop-Up, PowerTelnet, Pretty Good Privacy, PrimeSupport, RecoverKey, RecoverKeyInternational, ReportMagic, RingFence, Router PM, Safe & Sound, SalesMagic, SecureCast, Service
Level Manager, ServiceMagic, Site Meter, Sniffer, SniffMaster, SniffNet, Stalker, Statistical
Information Retrieval (SIR), SupportMagic, Switch PM, TeleSniffer, TIS, TMach, TMeg, Total
Network Security, Total Network Visibility, Total Service Desk, Total Virus Defense, T-POD, Trusted
Mach, Trusted Mail, Uninstaller, Virex, Virex-PC, Virus Forum, ViruScan, VirusScan, VShield,
WebScan, WebShield, WebSniffer, WebStalker WebWall, et ZAC 2000 sont des marques déposées
de Network Associates et/ou de ses filiales aux États-Unis et/ou dans d'autres pays. Toutes les
autres marques déposées ou non citées dans ce document sont la propriété unique de leurs
propriétaires respectifs.
ACCORD DE LICENCE
À L'ATTENTION DE TO US LES UTILISATEURS : POUR LES TERMES SPÉCIFIQUES DE
VOTRE LICENCE RELATIFS À L'UTILISATION DE CE LOGICIEL DÉCRITE DANS CE
DOCUMENT, CONSULTEZ LES DOCUMENTS README.1ST, LICENSE.TXT OU TOUT
AUTRE DOCUMENT ACCOMPAGNANT VOTRE LOGICIEL FOURNI SOIT SOUS FORME
DE FICHIER TEXTE OU INCLUS DANS VOTRE KIT. SI VOUS N'ACCEPTEZ PAS TOUTES
LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU
LOGICIEL. SI CELA EST POSSIBLE, VOUS POUVEZ RETOURNER LE PRODUIT LÀ OÙ
VOUS L'AVEZ ACHETÉ. VOUS SEREZ REMBOURSÉ INTÉGRALEMENT.
Édition août 2000/VirusScan v4.5.0
Page 3
Sommaire
Préface.....................................................ix
Ques'est-ilpassé? ..............................................ix
Pourquoi s'inquiéter ? . . . . . . . . . . ..............................ix
D'oùviennentlesvirus? ...........................................x
Préhistoiredesvirus .........................................xi
LesvirusetlarévolutiondesPC ...............................xii
Àlafrontière ...................................................xvi
Quelleseraleurprochainecible? ............................xviii
Commentvousprotéger .........................................xix
CommentcontacterMcAfeeetNetworkAssociates....................xx
Serviceclientèle .............................................xx
Supporttechnique ..........................................xxi
Aideautéléchargement......................................xxii
FormationdeNetworkAssociates ...........................xxiii
Commentaires ............................................xxiii
Signalement de nouveaux virus à incorporer dans les mises à jour de
fichiers de données antivirus . . ............................xxiii
Informationssurlescontactsinternationaux ...................xxiv
Chapitre 1. À propos du logiciel VirusScan . . . . . . . . . . . . . . . . . . . . . .29
PrésentationdulogicielantivirusVirusScan ..........................29
Principe de fonctionnement du logiciel VirusScan . . . . . . . ..............31
ComposantsfournisavecVirusScan ................................34
Nouveautésdecetteversion .......................................39
Chapitre2. InstallationdulogicielVirusScan ....................43
Avantdecommencer .............................................43
Configurationrequise ........................................43
Autresrecommandations .....................................43
Préparationdel'installationdulogicielVirusScan.................44
Optionsd'installation.........................................45
Procédured'installation ......................................45
Guide d'utilisateur iii
Page 4
Sommaire
Utilisation de l'utilitaire de création d'une disquette de secours . . . . .59
Circonstances qui exigent le redémarrage de votre ordinateur . . . . . .66
Testdevotreinstallation ..........................................67
Modification ou suppression de VirusScan . . . . . . . . . ..............68
Chapitre 3. Suppression d'une infection dans votre système . . . . . . . .71
Sivoussuspectezlaprésenced'unvirus..............................71
Quandfaut-illancerunerecherchedevirus?.........................74
Commentéliminerl'hypothèsedel'infectionvirale? ...................75
Mieuxcomprendrelesfaussesalertes ..........................76
Options de réponse à un virus ou à un programme malveillant . . . . . . . . . .77
Envoid'unexempledevirus .......................................90
Utilisation de l'utilitaire SendVirus pour soumettre un exemple de
fichier ...................................................91
Capture des virus de zone système, de fichier et de macro . . . . . . . . .95
Chapitre4. Utilisationdumoteurd'analyseVShield ..............101
Quefaitlemoteurd'analyseVShield?..............................101
Pourquoi utiliser le moteur d'analyse VShield ? . . . . . .............103
Prise en charge de navigateurs et de clients de messagerie . . . . . . .104
Activationoudémarragedumoteurd'analyseVShield ................105
Utilisationdel'AssistantdeconfigurationVShield....................110
Paramétragedespropriétésdumoteurd'analyseVShield .............116
UtilisationdumenucontextueldeVShield ..........................185
Désactivationouarrêtdumoteurd'analyseVShield ..................186
Recherchedesinformationsd'étatdulogicielVShield ................193
Chapitre5. Utilisationdel'applicationVirusScan ................197
Qu'est-cequel'applicationVirusScan?.............................197
Pourquoi utiliser l'application VirusScan ? . . . . . . . . . .............198
Démarragedel'applicationVirusScan ..............................199
Configurationdel'interfaceVirusScanClassique.....................206
Configurationdel'interfaceVirusScanAvancé.......................213
Chapitre 6. Création et configuration des tâches planifiées . . . . . . . . 231
QuelestlerôledelaconsoleVirusScan?...........................231
Pourquoi planifier les opérations d'analyse ? . . . . . . . . . . . .............231
iv Logiciel antivirus McAfee VirusScan
Page 5
Sommaire
DémarragedelaconsoleVirusScan................................232
Utilisationdelafenêtredelaconsole...............................235
Exécutiondestâchespardéfaut ..............................238
ExécutiondelatâcheVShield ................................240
ExécutiondestâchesAutoUpgradeetAutoUpdate ...............241
Créationdenouvellestâches .....................................243
Activationdestâches ............................................247
Consultationdel'étatd'unetâche .............................250
Configurationdesoptionsdel'applicationVirusScan .................252
Chapitre 7. Mise à jour et mise à niveau du logiciel VirusScan . . . . .273
Développement d'une stratégie de mise à jour . . . . . . . . . . .............273
Méthodesdemiseàjouretdemiseàniveau ........................274
Descriptiondel'utilitaireAutoUpdate...............................277
Configurationdel'utilitaireAutoUpdate.............................278
Descriptiondel'utilitaireAutoUpgrade .............................289
Configurationdel'utilitaireAutoUpgrade............................290
Utilisation conjointe des utilitaires AutoUpgrade et SuperDAT . . . . .300
Chapitre 8. Utilisation des outils d'analyse spécialisés . . . . . . . . . . . .303
Analyse des systèmes de messagerie Microsoft Exchange et Outlook . . .303
À quel moment utiliser l'extension Analyse E-Mail et pourquoi . . . . .303
Utilisationdel'extensionAnalyseE-Mail ............................305
Configurationdel'extensionAnalyseE-Mail.....................306
Analysedecc:Mail ..............................................323
Utilisation de l'utilitaire ScreenScan . . . .............................323
Chapitre9. UtilisationsdesutilitairesVirusScan .................333
PrésentationduPanneaudeconfigurationVirusScan.................333
OuverturedupanneaudeconfigurationVirusScan ...................334
Sélection des options du panneau de configuration VirusScan . . . . . . . . .335
Utilisation de l'utilitaire de Configuration cliente du Gestionnaire d'alerte 338
Logiciel VirusScan en tant que client du Gestionnaire d'alerte . . . . . . . . . .339
Configurationdel'utilitaireclientduGestionnaired'alerte .............340
Guide d'utilisateur v
Page 6
Sommaire
Annexe A. Extensions de fichiers vulnérables et c ompressés par
défaut..............................................345
Ajoutd'extensionsdefichierpouranalyse ..........................345
Liste en cours d es extensions de noms de fichiers vulnérables . . . . . . . . .346
Listeencoursdesfichierscompressésanalysés ....................352
Annexe B. Network Associates Support technique . . . . . . . . . . . . . . .357
Valeur ajoutée de votre produit McAfee .............................357
Options PrimeSupport destinées aux clients d'entreprise . . . . . . . . .357
Commande de PrimeSupport pour les entreprises . . .............362
Options PrimeSupport pour les utilisateurs à domicile . . . .............364
Comment accéder à l'assistance internationale pour les utilisateurs à
domicile ................................................367
Commande d'un plan PrimeSupport pour les utilisateurs à domicile 367
ConseiletformationproposésparNetworkAssociates ...............368
Services professionnels . . . . . . . . .............................368
TotalEducationServices.....................................370
Annexe C. Utilisation du service SecureCast pour obtenir de nouveaux
fichiers de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .371
PrésentationduserviceSecureCast................................371
Pourquoi dois-je mettre à jour mes fichiers de données ? . .............372
Quels fichiers de données SecureCast livre-t-il ? . . . . .............372
InstallationduclientBackWebetduserviceSecureCast ..............373
Configurationsystèmerequise................................373
DépannageduserviceEnterpriseSecureCast ...................383
Suspension de l'abonnement au service SecureCast .............383
Ressources de support ..........................................384
serviceSecureCast .........................................384
clientBackWeb.............................................384
Annexe D. Description de la technologie iDAT . . . . . . . . . . . . . . . . . . .385
Descriptiondesfichiers.DATincrémentiels .........................385
Principe de fonctionnement de la mise à jour des fichiers iDAT . . . . . . . . .386
ÉlémentspubliésparMcAfeechaquesemaine ..................388
Conseilspratiques ..............................................388
vi Logiciel antivirus McAfee VirusScan
Page 7
Sommaire
Forumauxquestions ............................................390
Index......................................................393
Guide d'utilisateur vii
Page 8
Sommaire
viii Logiciel antivirus McAfee VirusScan
Page 9
Préface
Que s'est-il passé ?
S'il vous est déjà arrivé de perdre des fichiers importants stockés sur votre
disque dur, ou d'observer avec consternation votre ordinateur s'arrêter pour
faire apparaître sur son écran le message puéril d'un plaisantin, ou si vous
vous êtesretrouvédanslasituationde devoirvousexcuserpourdesmessages
électroniques injurieux que vous n'avez jamais envoyés, nous n'avons pas
besoin de vous expliquer comment des virus informatiques et d'autres
programmes nuisibles peuvent perturber votre productivité. Si vous n'avez
jamais subi une « infection » par un virus vous pouvez vous estimer heureux.
Toutefois, étant donnéqu'ilcirculeplusde50,000 virus capables d'attaquer les
systèmes informatiques travaillant sous Windows et DOS, ce n'est vraiment
plus qu'une question de temps avant que vous soyez victime d'une infection à
votre tour.
La bonne nouvelle est que parmi ces milliers de virus en circulation, on n'en
trouve qu'un nombre relativement limité capables de causer de réels
dommages à vos données. En fait, le terme « virus informatique » définit un
large éventail de programmes qui n'ont qu'un point commun : ils « s'auto-
reproduisent » en s'attachant à des logiciels hôtes ou à des secteurs de votre
disque, généralement à votre insu. La plupart des vi rus ne causent que des
problèmes mineurs, allant du simplement gênant au franchement insignifiant.
Souvent, la première conséquence d'une infection par un virus se mesure par
les dépenses de temps et d'énergie consacrées à rechercher la source de
l'infection et éradiquer toutes ses traces.
Pourquoi s'inquiéter ?
Alors, pourquoi s'inquiéter des infections causées par les virus, si la majorité
des attaques ne sont que peu nuisibles ? Le problème est double : D'abord,
même si relativeme nt peu de virus ont des effets destructeurs, cela ne dit rien
de l'étendue des virus nuisibles. Dans de nombreux cas, les virus les plus
nocifs sont les plus difficiles à détecter : le concepteur de virus qui cherche
à causer du tort prendra des mesures supplémentaires pour éviter d' être
découvert. Deuxièmement, même les virus les plus « bénins » peuvent
interférer avec le fonctionnement normal de votre ordinateur et entraîner un
comportement imprévisible dansd'autreslogiciels.Certainsviruscontiennent
desboguesquisontdescodesàl'écritureélémentaire,oud'autresproblèmes
suffisamment sérieux pour causer des incidents lorsqu'ils sont exécutés.
Guide d'utilisateur ix
Page 10
Préface
Dans d'autres cas, un logiciel légitime connaît des difficultés d'exécution
lorsqu'un virus a, intentionnellement ou non, modifié les paramètres du
système ou d'autres aspects de l'environnement informatique. Rechercher
l'origine de l'infection causant des arrêts ou des pannes du système peut
entraîner une dépense de temps et d'argent que vous ne consacrez pas à des
activités plus productives.
Au-delà de ces problèmes, il y a la question de la perception : une fois qu'il est
infecté, votre ordinateur peut infecter à son tour d'autres ordinateurs. Si vous
échangez des données avec vos collègues ou clients de façon régu lière, vous
pouvez àvotreinsutransmettreunvirus qui pourrait être plus nuisible àvotre
réputation ou à vos transactions qu'à votre propre ordinateur.
La menace que représentent les virus et d'autres logiciels nuisibles est réelle et
s'aggrave. L'association internationale pour la sécurité informatique a estimé
à plus de $10 milliards de dollars les dépenses en termes de temps et de perte
de productivité consacrées dans le monde entier, uniquement à détecter et à
nettoyer des virus ; Ce chiffre n'inclut pas les coûts engendrés par la perte et le
rétablissement des données à la suite d'attaques ayant entraîné leur
destruction.
D'où viennent les virus ?
Après avoir éliminé un virus qui s'était attaqué à vous-même ou à l'un de
vos collègues, ou après avoir entendu parler de nouvelles formes de logiciels
nuisiblesrencontrésdansdesprogrammesd'usagecourant,vousvousêtes
sans doute posé certaines questions sur la manière dont nous, les utilisateurs
d'ordinateurs, en sommes arrivés là. D'où viennent les virus et les autres
programmes nuisibles ? Qui les écrit ? Pourquoi ceux qui les écrivent
cherchent-ils à interrompre le déroulement des opérations, détruire des
données ou causer aux personnes des dépenses de temps et d'argent afin de
les éradiquer ? Qu'est-ce qui peut les arrêter ?
Pourquoi moi ?
Il vous sera sans doute de maigre consolation de savoir que le programmeur
qui a conçu le virus qui a effacé la table d'attribution des fichiers de votre
disquedurne vousvisaitpasprécisémentvous ouvotreordinateur. Ilnevous
sera pas plus réconfortant d'apprendre que le problème des virus ne sera
sans doute jamais r églé. Cependant, connaître un peu l' histoire des virus
informatiques et la manière dont ils fonctionnent peut vous aider à mieux
vous en protéger.
x Logiciel antivirus McAfee VirusScan
Page 11
Préhistoire des virus
Des historiens ont identifié un certain nombre de programmes qui présentent
des caractéristiques qui sont aujourd'hui associées à un logiciel de virus. Le
chercheur et enseignant canadien Robert M. Slade a remonté la lignée des
virus jusqu'à des programmes utilitaires spécialisés qui servaient à récupérer
de l'espace disque occupé par des fichiers non utilisés et à exécuter d'autres
tâches utiles aux premiers âges des réseaux d'ordinateurs. Slade rapporte que
des chercheurs de Xerox Corporation ont donné à ces programmes le nom de
«vers»,aprèsavoirremarquédes«trous»surlesimpressionspapierdes
vidages mémoires, comme si elles avaient été dévorées par des vers. Le terme
a survécu jusqu'à aujourd'hui pour désigner des programmes capables de se
copier eux-mêmes, mais qui n'utilisent pas nécessairement le logiciel qui les
abrite dans le processus.
Unetraditionuniversitairetrèsrépandueconsistantàfairedescanulars
informatiques a très certainement contribué à l'abandon des programmes
utilitaires pour des utilisations plus pernicieuses des techniques de
programmation quel'onretrouvedans leslogicielsdetypevers. Des étudiants
en informatique, souvent pour tester leurs talents de programmeurs ,
concevaient des programmes vers dévoyés et les libéraient pour qu'ils
« combattent » entre eux dans une compétition visant à connaître l'inventeur
duprogrammequiavait « survécu » après avoirdétruitses rivaux.Cesmêmes
étudiantsutilisaientégalementlesprogrammesverspourfairedesfarcesà
leurscollèguesquinesedoutaientderien.
Préface
Certains de ces étudiants ont bientôt découvert qu'ils pouvaient utiliser
certains éléments du système d'exploitation de l'ordinateur hôte pour se
procurer, sans autorisation, l'accès aux ressources qu'il contenait. D'autres
ont profité de la relative méconnaissance informatique de certains utilisateurs
pour substituer leurs propres programmes, conçus pour servir leurs propres
desseins, aux utilitaires ordinaires ou inoffensifs. Ces utilisateurs peu
chevronnés lançaient ce qu'i ls croyaient être leur logiciel habituel pour se
rendrecomptealorsqueleursfichiersavaientétéeffacés,lemotdepassede
leur compte dérobé ou d'autres mauvaises surprises encore. De tels
programmes de type « cheval de Troie », surnommés ainsi pour leur
ressemblance métaphorique au cadeau fait par les Grecs à la cité de Troie,
continuent aujourd'hui à faire peser un e menace considérable sur les
utilisateurs d'ordinateur.
Guide d'utilisateur xi
Page 12
Préface
Les virus et la révolution des PC
Ce que nous considérons aujourd'hui comme un authentique virus
informatique est apparu, selon Robert Slade, peu de temps après que les
premiers ordinateurs personnels ont accédé au marché de masse au début des
années 80. D'autres chercheurs datent l'avènement des programmes de virus
en 1986, avec l'apparition du virus « Brain ». Quoi qu'il en soit, le lien entre la
menace des virus et l'ordinateur personnel n'est pas un hasard.
La vente en masse des ordinateurs a entraîné la prolifération des virus vers
d'autres hôtes beaucoup plus nombreux que par le passé, à l'époque où des
systèmes de macro-ordinateurs, relativ ement peu nombreux et étroitement
surveillés, dominaient le monde informatique depuis leurs bastions situés
dans les grandes entreprises et les universités. Parallèlement, les utilisateurs
individuelsquiachetaientlesPCn'avaientpasungrandbesoindesmesures
de sécurité sophistiquées pour protéger leurs données sensibles dans ces
environnements. Le facteur le plus déterminant vient du fait que les
concepteursdesvirusonttrouvélestechnologiesdesPCfacilesàexploiter
pour servir leurs propres desseins.
Les virus de la zone système
Par exemple, les premiers PC « amorçaient » ou chargeaient leurs systèmes
d'exploitation à partir de disquettes. Les créateurs du virus Brain ont
découvert qu'ils pouvaient substituer leur propre programme au code
exécutable présent dans la zone système de chaque disquette formatée sous
MS-DOS de Microsoft, qu'elle contienne ou non des fichiers système. Par ce
biais, les utilisateurs chargeaient le virus dans la mémoire de l'ordinateur à
chaque démarrage quelle que soit la disquette formatée introduite dans le
lecteur. Une fois dans la mémoire, un virus peut se copier lui-même vers les
zones système d'autres disquettes ou disques durs. Ceux qui ont, sans le
vouloir,chargélevirusBrain à partird'unedisquetteinfectée se sont retrouvés
en train de lire une « message publicitaire » de substitution pour une
entreprise de conseil en informatique pakistanaise.
Par cette publicité, Brain a marqué le coup d'envoi d'un autre trait
caractéristique desvirusmodernes : lachargeutile.Lecharge utile est unvirus
farceur ou nuisible qui, s'il est déclenché, provoque des effets qui vont des
messages ennuyeux à la destruction des données. C'est la manifestation virale
la plus marquante : de nombreux auteurs de virus conçoivent aujourd'hui
leurs virus dans le but spécifique de délivrer leur charge utile au plus grand
nombre possible d'ordinateurs.
xii Logiciel antivirus McAfee VirusScan
Page 13
Préface
Pendant une certaine période, les descendants sophistiqués de ce premier
virus de la zone système constituaient la menace la plus sérieuse pour les
utilisateurs d'ordinateurs. Des variantes de virus de la zone système peuvent
aussi infecter la partition d'amorçage (MBR), qui stocke les informations du
secteur de partition dont votre ordinateur a besoin pour localiser chacune des
parties de votre disque dur et de la zone système elle-même.
Concrètement, presque toutes les étapes du processus d'amorçage, de la
lecture du MBR au chargement du système d'exploitation, sont vulnérables
au sabotage viral. Certains des virus les plus tenaces et les plus destructeurs
possèdent encore dans l'arsenal de leurs ruses la capacité d'infecter de la zone
systèmeetleMBRdevotreordinateur.Entreautresavantages,lechargement
au moment du temps d'amorçage peut offrir au virus l'occasion d'exécuter sa
tâche avant que votre logiciel antivirus n'ait eu le temps de démarrer. De
nombreux produits antivirus McAfee anticipent en vous permettant de créer
une disquette d'urgence que vous pouvez utiliser pour amorcer votre
ordinateur et supprimer la contamination.
Cependant, les virus de la zone système et du MBR ont un point faible
particulier : ils se propagent par l'intermédiaire de disquettes ou d'autres
supports amovibles, et circulent parfaitement dissimulés dans cet espace
disque réduit. Avec la diminution des échanges de disquettes entre les
utilisateurs et avec l'émergence de nouveaux moyens de distribution des
logiciels, tels que les CD-ROM et les téléchargements depuis Internet, d'autres
typesdevirusontéclipsélamenaceémanantdelazonesystème.Mais
l'évolutionnes'arrêtepaslà;nombredevirusdedernièregénération
incorporent régulièrement des fonctions qui infectent la zone système ou le
MBR de votre disque dur, même s'ils utilisent d'autres méthodes comme
principal moyen de transmission.
Cesmêmesvirusont également bénéficiédeplusieursgénérations d'évolution
et incorporent aujourd'hui des techniques d'infection et de dissimulation
beaucoup plus sophistiquées. Leurdétectiondevientainsiplusdifficile, même
s'ils se cachent dans des endroits plus ou moins prévisibles.
Virus infectant les fichiers
À peu près à la même époque où les auteurs du virus Brain découvraient des
points faibles dans de la zone système de DOS, d'autres concepteurs de virus
ont trouvé comment utiliser d'autres logiciels pour les aider àreproduireleurs
créations. Un premier exemple de ce type de virus est apparu dans les
ordinateursdel'universitédeLehighenPennsylvanie.Levirusainfectéune
partie de l'interpréteur de commande du DOS, COMMAND.COM, qu'i l a
utilisé pour se charger dans la mémoire. Une fois en place, il se propageait
vers d'autres fichiers COMMAND.COM sains chaque fois qu'un utilisateur
exécutait n'importe quelle commande DOS standard qui impliquait l'accès au
disque. Cela limitait sa propagation aux disquettes qui contenaient,
normalement, un système d'exploitation c omplet.
Guide d'utilisateur xiii
Page 14
Préface
Plus tard, des virus ont rapidement surmonté cette limitation, parfois par le
biais d'une programmation assez rusée. Les concepteurs de virus pouvaient
notamment leur commander d'ajouter leur code au début d'un fichier
exécutable de manière à ce que, lorsque les utilisateurs démarraient un
programme, le code du virus s'exécutait immédiatement puis redonnait le
contrôle au logiciel légitime, qui fonctionnait comme si de rien n'était. Une fois
activé, le virus « crochète » ou « piège » les ordres donnés par le logiciel
légitime au système d'exploitation et leur substitue ses propres réponses.
Des virus particulièrement intelligents sont capables de faire échec à des
opérations visant à les éradiquer de la mémoire en piégeant la combinaison
des touches duclavierCTRL+ALT+SUPPR quicommandeuneréinitialisation
à chaud puis en émulant un redémarrage. Parfois le seul signe extérieur
indiquant que quelque chose ne va pas sur votre système, c'est-à-dire avant
l'explosion d'une charge utile, pourrait être une légère modification de la taille
du fichier du logiciel légitime infecté.
Virus furtifs, mutants, cryptés et polymorphes
En dépit de leur discrétion, les changements dans la taille des fichiers et les
autres signes imperceptibles d'une infection virale mettent suffisamment la
puce à l'oreille à la plupart des logiciels antivirus pour qu'ils localisent et
suppriment le code offensif. Ainsi, l'un des principaux défis que doit relever
le concepteur du virus est de trouver des méthodes pour dissimuler son
œuvre. Les premiers camouflages combinaient des programmes i nnovateurs
avec d'autres systèmes beaucoup moins transparents. Par exemple, le virus
Brain redirigeaitlesdemandes de consultationdelazone système d'un disque
de l'emplacement réel du secteur contam iné vers le nouvel emplacement des
fichiers d'amorçage que le virus avait déplacés. Ce caractère « furtif »
permettait à ce virus et à d'autres d'échapper aux techniques de recherche
conventionnelles.
En raisondufaitque les virus devaient éviterderéinfectercontinuellementl e s
systèmes hôtes—sous peine de faire rapidement gonfler la taille d'un fichier
infecté jusqu'à ce qu'il atteigne des proportions facilement détectables ou de
consommer suffisamment les ressources du système pour permettre une
localisation rapide du coupable—leurs auteurs devaient aussi leur indiquer
de ne pas toucher à certains fichiers. Ils ont réglé ce problème en faisant écrire
une séquence d'octets caractéristique ou, dans les systèmes d'exploitation
Windows 32 bits, en créant une clé de registre particulière qui marquait les
fichiers infectés avec l'équivalent logiciel d'une pancarte « ne pas déranger ».
Bien que cela ait retardé la détection des virus, cela a ouvert la voie à
l'utilisation par les logiciels antivirus de la séquence «ne pas déranger» elle-
même, ainsi que d'autres signes caractéristiques écrits par le virus dans les
fichiers infectés, pour identifier sa « signature codée ». La plupart des
fournisseurs de logiciels antivirus compilent et mettent à jour régulièrement
une base de données de « définitions » de virus utilisée par leurs produits
pour reconnaître les signatures codées dans les fichiers qu'ils analysent.
xiv Logiciel antivirus McAfee VirusScan
Page 15
Préface
La réponse des concepteurs de virus a été de trouver des méthodes pour
dissimuler les signatures codées. Certains virus « mutaient » ou
transformaient leurs signatures codées à chaque nouvelle infection. D'autres
se cryptaient eux-mêmes et, par conséquent, cryptaient leurs signatures
codées, ne laissant que quelques octets pour servir de clé de décryptage. Les
nouveaux virus les plus sophistiqués étaient à lafoisdesvirusfurtifs,mutants
et cryptés apparaissant sous une variété de nouvelles formes qui les rendait
pratiquement indécelables. Larecherchedeces virus « polymorphes » a obligé
les ingénieurs en informatique à concevoir des techniques de programmation
très élaborées dans le domaine des logiciels antivirus.
Virusdemacro
Avant 1995 environ, la guerre des virus était parvenue à une sorte d'équilibre.
De nouveaux virus apparaissaient sans cesse, favorisés en partie par la
possibilité de se procurer des virus préfabriqués en « kit » qui permettaient
même à des i ndividus qui n'étaient pas des programmeurs de créer un
nouveau virus en un rien de temps. Cependant, la plupart des logiciels
antivirus pouvaient être facilement mis à jour pour détecter et traiter les
nouvelles formes de virus, qui étaient pour la plupart des modèles bien
connus ayant subi des modifications mineures.
Mais 1995 marque l'émergence du virus Concept, qui a contribué à un
nouveau et surprenant reviremen t de situation dans l'histoire des virus.
Avant Concept, la majorité des chercheurs de virus considéraient les fichiers
de données (textes, tableurs et dessins) crées par votre logiciel, comme étant
immunisés contre les infections. Les virus n'étaient après tout que des
programmeset,entantquetels,ilsavaientbesoind'êtreactivéscommelesont
les logiciels exécutables pourcauserleursdommages.Lesfichiersde données,
quant à eux, se contentaient de stocker les informations que vous chargiez en
travaillant avec votre logiciel.
Cette distinction est devenue floue lorsque Microsoft a commencé à ajouter
des outils macro à Word et Excel, les deux logiciels vedettes de son ensemble
Office. En utilisant la version épurée du langage Visual Basic inclus dans
l'ensemble Office, les utilisateurs étaient en mesure de créer des modèles de
document capables de se mettre automatiquement au format et d'ajouter de
nouvelles fonctionnalités aux documen ts créés avec Word et Excel. D'autres
fournisseurs appliquèrent la même innovation à leurs produits, soit en
utilisant une variation du même langage macro Microsoft, soit en incorporant
un langage propre. Les concepteurs de virus, à leur tour, saisirent
l'opportunité que cela représentait pour dissimuler et propager des virus
dans des documents que vous, l'utilisateur, avez crées vous-même.
Guide d'utilisateur xv
Page 16
Préface
La popularité croissante d'Internet et des logiciels e-mail qui permettaient aux
utilisateurs de joindre des fichiers aux messages a renforcé la propagation très
rapideettrèsétenduedesvirusdemacro.Enl'espaced'unan,lesvirusde
macro devenaient la menace virale la plus forte jamais connue auparavant.
Àlafrontière
Alorsmêmequelesvirussefaisaientdeplusenplussophistiquéset
continuaient de menacer l'intégrité des systèmes informatiques dont nous
avions tous finipardépendre,d'autresdangers commencèrent à émerger d'où
on ne les attendait pas : le World Wide Web. D'abord outil de stockage pour
les rapports de recherche et le s traités universitaires, le Web s'est transformé
en ce qui est peut-être l'instrument le plus souple et le plus adaptable jamais
inventé pour la c ommunication et le commerce.
De par l'immense étendue de son potentiel, le Web a focalisé l'attention et les
énergies créatrices de pratiquement toutes les sociétés d'informatique de
l'industrie.
La concentration des technologies qui a résulté de ce rythme effréné
d'inventionsaprocuréauxconcepteursdesitesWebdesoutilsqu'ilspeuvent
utiliser pour collecter et montrer des informations par des moyens dont ils
n'avaientjamais disposéauparavant. Nousavonsassisté à la naissancerapide
de sites Web capables de transmettre et de recevoir du courrier électronique,
de mettre en forme et d'exécuter des requêtes vers des bases de données par
l'emploi de moteurs de recherche perfectionnés, de transmettre et de recevoir
des sons etdesimagesvidéo,et de distribuer des données et desressourcesen
multimédia à un public mondial.
Une grande partie de la technologie qui a autorisé de tels systèmes consistait
en de petits programmes faciles à télécharger capables d'interagir avec votre
navigateur et, parfois, avec d'autres logiciels présents sur votre disque dur.
Ce même chemin a servi de point d'entrée dans votre système informatiqueà
d'autres programmes (moins inoffensifs) qu'ils utilisent à leurs propres fins.
objets Java, ActiveX et cryptés
Ces programmes, qu'ils soient bénéfiques ou nuisibles, se présentent sous des
formesvariées.Certainssontdes applicationsminiatures àbutspécialiséaussi
nommés « applets » écrits en Java, une langage de programmation conçu par
Sun Microsystems. D'autres ont créé, avec ActiveX, une technologie Microsoft
que les programmeurs peuvent utiliser aux mêmes fins.
xvi Logiciel antivirus McAfee VirusScan
Page 17
Préface
Java et ActiveXemploienttrèscourammentdesmo dules de logicielpré-écrits,
ou « objets », que les programmeurs peuvent concevoir eux-mêmes, ou aller
chercher dans les ressources existantes et qu'ils transforment en plug-ins,
applets, pilotes de périphérique et en d'autres logiciels nécessaires au
fonctionnementduWeb.LesobjetsJavasontappelés«classes»etlesobjets
ActiveX sont appelés « contrôles ». Ce qui les différencie principalement tient
dans la manière dont ils fonctionnent au sein du système qui les abrite. Les
applets Java fonctionnent à l'intérieur d'une « machine virtuelle » conçue
spécialement pour interpréter la programmation Java et la traduire en acte sur
la machine hôte, alors que les contrôles ActiveX fonctionnent comme des
programmes natifs de Windows qui relient et transfèrent les données entre les
logiciels Windows existants.
L'écrasante majorité de ces objets sont des éléments utiles, voire nécessaires, à
tout site Web interactif. Cependant, malgré les meilleurs efforts déployés par
les ingénieurs deSunetde Microsoft afin de concevoir desmesuresdesécurité
les protégeant de l'intérieur, des programmeurs bien décidés peuvent utiliser
les outils de Java et d'ActiveX pour implanter des objets nuisibles sur les sites
Web, où ilspeuventrestéstapisen attendant que des visiteurs, à leurinsu,leur
ouvrent l'accès aux systèmes informatiques vulnérables.
Contrairement aux virus, les objets nocifs Java et ActiveX ne cherchent
généralement pas à se reproduire. Le Web leur fournit de nombreuses
occasions de se propager vers des systèmes informatiques cible, d'autant que
leur taille réduite et leur nature inoffensive leur permettent d'échapper
facilement aux détections. En fait,àmoinsdepréciserà votre navigateur de les
bloquer, les objets Java et ActiveX se téléchargent automatiquement à chaque
fois que vous visitez un site Web qui les accueille.
Quant aux objets hostiles, ils ne sont là que pour délivrer ce qui se rapproche
d'une charge utilevirale.Lesprogrammeursontconçu des objets quipeuvent,
notamment, lire les données contenues sur votre disque dur et les renvoyer
vers le site Web que vous avez visité, « pirater » votre compte e-mail et
transmettre vers l'extérieur des messages injurieux en utilisant votre nom, ou
surveiller les données échangées entre les autres ordinateurs et le vôtre.
Des agent encore plus puissants ont commencé à apparaître dans les
applications qui s'exécutent directement à partir des sites Web que vous
visitez. JavaScript, un langage de script qui porte un nom similaire à celui du
langage Java, mais avec lequel il n'a aucune relation, est apparu pour la
première fois dans Netscape Navigator, avec la mise en place de la version 3.2
de la norme HTML (Hyper Text Markup Language). Depuis son introduction,
JavaScript a développé considérablement ses capacités et sa puissance, de
même que les hôtes des autres technologies de script qui l'ont suivi, tels que
Microsoft VBScript, Active Server Pages, Allaire Cold Fusion, entre autres.
Guide d'utilisateur xvii
Page 18
Préface
Ces technologies permettent à présent aux concepteurs de logiciels de créer
des applications complètes quis'exécutentsurdesserveursWeb, interagissent
avec des bases de données et autres sources de données et gèrent directement
des fonctionnalités dans le navigateur Web et dans les logiciels clients de
messagerie exécutés sur votre ordinateur.
À l'instar des objets Java et ActiveX, d'importantes mesures de sécurité ont été
mises en place pour éviter les actions nuisibles, mais les concepteurs de virus
et les pirates de la sécurité ont trouvé les moyens de les contourner. Dans la
mesure où les avantages que représentent ces innovations pour le Web
l'emportent généralement sur les risques, la plupart des utilisateurs préfèrent
favoriser les échanges que fuir les nouvelles technologies.
Quelle sera leur prochaine cible ?
Des logiciels nuisibles se sont même introduits dans des zones dont on a
d'abord pensé qu'elles étaient complètement inviolables. Les utilisateurs du
serveur client mIRC Internet Relay Chat, par exemple, ont rapporté avoir
rencontré des virus construits à partir du langage de script du mIRC. Le client
de conversation envoie des virus Script sous forme de texte clair, ce qui
d'ordinaire les empêche d'infecter les systèmes. Cepen dant, des versions plus
anciennes du logiciel client mIRC interprétaient les instructions codées
contenues dans le script et exécutaient des actions non voulues sur
l'ordinateur destinataire.
Les vendeurs se sont empressés de désactiver cette capacité dans les versions
misesàjour dulogiciel,mais l'incidentdumIRCillustrela règlegénéraleselon
laquelle là où il y a un moyen de profiter d'une brèche dans le système de
protection d'un logiciel, quelqu'un trouvera ce moyen et l'utilisera. Vers la fin
de l'année 1999, un autre concepteur de virus confirma à nouveau cette règle
avec un virus très évolué, appelé VBS/Bubbleboy, qui s'exécutait directement
à partir du client e-mail Microsoft Outlook en violant son support VBScript
intégré. Ce virus traversa la frontière qui séparait les messages électroniques
en texte clair et les pièces jointes qu'ils comportaient, susceptibles d'être
infectées. Avec VBS/Bubbleboy, vous n'aviez même plus besoin d'ouvrir le
message pour infecter votre système, il suffisait de l'afficher dans la fenêtre de
prévisualisation de Outlook.
xviii Logiciel antivirus McAfee VirusScan
Page 19
Comment vous protéger
Le logiciel antivirus de McAfee vous procure déjà un rempart solide contre
les infections et les dégâts causés à vos données, mais il ne constitue qu'un
volet des mesures de sécurité indispensables à votre protection. Un logiciel
antivirus n'est jamais aussi efficace que lorsque qu'il est actualisé. De 200 à
300 nouveaux virus ou des variantes de virus apparaissent tous les mois, c'est
pourquoi les fichiers de définition de virus (.DAT) permettant au logiciel
McAfee de détecter et de supprimer les virus peuvent être très vite dépassés.
Si vous n'avez procédé à aucune mise à jour des fichiers qui vous ont été
fournis à l'origine avec le logiciel, vous risquez une infection provoquée par
des virus encore inconnus à ce jour. C'est pourquoi McAfee a rassemblé les
chercheurs les plus expérimentées dans la recherche antivirus au sein du plus
grand groupederecherche, AVERT(Anti-VirusEmergencyResponse Team)*.
Cela signifie que les fichiers dont vous avez besoin pour combattre les
nouveaux virus sont disponibles de suite, voire avant l'infection.
Laplupartdesmesuresdesécuritévontdesoi:lavérificationdesdisquettes
que vous recevez de sources nonidentifiéesoupeufiables,soitaumoyen d'un
logiciel antivirus, soit au moyen d'un instrument de vérification, est toujours
une bonne idée. Les programmeurs nuisibles sont même allés jusqu'à imiter
les programmes sur lesquels vous vous reposez pour assurer la sécurité de
votre ordinateur, en donnant une apparence familière à un logiciel dont
l'objectif n'a rien d'amical. Cependant, ni McAfee ni aucun autre logiciel
antivirusnepeutdétecteruneinfectionlorsquequelqu'unremplacel'unde
vos utilitaires contributifs ou commerciaux favoris par un cheval de Troie ou
un autre programme nuisible non encore identifié ; c'est-à-dire, pas avant que
cela n'arrive.
Préface
L'accès au Web et à Internet engendre ses propres risques. Le logiciel antivirus
VirusScan* vous donne la capacité de bloquer les sites Web dangereux afin
que les utilisateurs ne puissent pas télécharger, par inadvertance, un logiciel
nuisible à partir d'une source à risques identifiée ; il piège également les
objets hostiles qui ont malgré tout été téléchargés. Cependant, avoir à votre
disposition un pare-feu au niveau supérieur pour protéger votre réseau et
mettre en œuvre d'autres mesures garantissant sa sécurité sont une nécessité
lorsque des attaquants sans scrupules peuvent pénétrer votre réseau depuis
pratiquement tous les points de la planète, que ce soit pour dérober des
données sensibles ou implanter des codes nuisibles. Vous devez aussi vous
assurer que votre réseau n'est pas accessible aux utilisateurs non autorisés, et
que vouspossédezun programme deformationadéquatinstallépourinstruire
et renforcer les normes de sécurité. Pour connaître l'origine, le comportement
et d'autres caractéristiques d'un virus particulier, consultez la bibliothèque
d'information sur les virus disponible sur le site Web du groupe AVERT.
Guide d'utilisateur xix
Page 20
Préface
McAfee propose également deux ensembles de logiciels puissants, Active
Virus Defense* (AVD) et Total Virus Defense (TVD), les solutions antivirus les
plus complètes à ce jour. Des entreprises associées, faisant partie de la famille
Network Associates, fournissent d'autres technologies permettant deprotéger
aussi votre réseau, notamment la ligne de produits PGP Security CyberCop et
l'ensemble de produits de contrôle de réseaux Sniffer Technologies. Contactez
votre représentant Network Associates ou visitez le site Web de Network
Associates afin de savoir comment bénéficier de toute la puissance offerte par
ces solutions de sécurité.
Comment contacter McAfee et Network Associates
Service clientèle
Le 1er décembre 1997, McAfee Associates a fusionné avec Network General
Corporation, Pretty Good Privacy, Inc. et Helix Software, Inc. pour créer
Network Associates, Inc. Cette dernière a à son tour acheté Dr Solomon's
Software, Trusted Information Systems, Magic Solutions et CyberMedia, Inc.
En janvier 2000, suite à une réorganisation de l'entreprise, quatre unités
commerciales indépendantes ont été créées, chacune chargée de la gestion
d'une ligne de produits spécifique. Ces unités commerciales sont les
suivantes :
• Magic Solutions. Cette unité fournit la ligne de produits de bureau Total
Service et les produits associés
• McAfee. Cetteunitéfournitl'ensembledeproduitsActiveVirusDefenseet
les solutions logicielles antivirus associées aux entreprises et aux clients
individuels.
• PGPSecurity.Cetteunitéfournitlesmeilleures solutions de cryptage et de
sécurité disponibles à ce jour, notamment la ligne de produits de cryptage
et de sécurité de données PGP, la ligne de produits pare-feu Gauntlet, la
ligne de matériels E-ppliance de WebShield et l'ensemble de produits de
contrôle et d'analyse CyberCop.
• Sniffer Technologies. Cette unité fournit les utilitaires d'analyse, de
rapport et de contrôle de réseaux Sniffer, leaders du marché, ainsi que les
logiciels associés.
Network Associates assure la commercialisation et le support technique
deslignesdeproduitsdechacunedesnouvellesunitéscommerciales
indépendantes. Vous pouvez adresser vos questions, commentaires ou
demandes relatives au logiciel que vous avez acheté, à votre inscription ou
touteautrequestionsimilaireauserviceclientèledeNetworkAssociates,à
l'adressesuivante:
xx Logiciel antivirus McAfee VirusScan
Page 21
Préface
ServiceclientèledeNetworkAssociates.
Network Associates International
Gatwickstraat 25
1043 GL Amsterdam Pays-Bas
Le service estouvertdulundiauvendredi, de 08 heures« à 18 heures » (heure
du centre des États-Unis)
Les clients disposant d'une licence d'entreprise peuvent nous contacter :
Partéléphone: 0031205866100
Par fax : +31 (0) 20 586 61 01 (24 heures sur 24, télécopieur Group III)
Par e-mail : services_corporate_division@nai.com
Par le Web : http://www.nai.com
Les clients disposant d'une licence individuelle peuvent nous contacter :
Partéléphone: 0031205866100
Par fax : +31 (0) 20 586 61 01 (24 heures sur 24, télécopieur Group III)
Par e-mail : cust_care@nai.com
Par le Web : http://www.mcafee.com/
Support technique
McAfee et Network Associates ont toujours mis un point d'honneur à
satisfaire leurs clients. Ces entreprises ont continué cette tradition en
consentant des investissements considérablesen temps eten effortspourfaire
deleurssitesWebdessourcesprécieusesd'informationsetderéponsesaux
questions des utilisateurs. McAfee vous encourage à visiter son site Web sur
lequel vous trouverez les réponses aux questions les plus courantes, les mises
àjourdeslogiciels McAfeeetNetworkAssociates et lesdernièresinformations
concernant les virus..
World Wide Web http://www.nai.com/asp_set/services/technical_support
Si vous ne trouvez pas ce que vous cherchez ou si vous n'avez pas accès au
Web, consultez l'un de nos services d'information automatisés ou
électroniques :
Internet techsupport@mcafee.com
CompuServe GO NAI
America Online Mot clé MCAFEE
/tech_intro.asp
Guide d'utilisateur xxi
Page 22
Préface
Silesservicesautomatisésnevousfournissentpaslesréponsesdontvousavez
besoin, contactez NetworkAssociatesàl'undes numéros suivants du lundi au
vendredientre8h00 et 18 h00.pour découvrirlesplansde supporttechnique
proposés par Network Associates.
Pour les clients détenteurs d'une licence d'entreprise :
Téléphone 00 31 20 586 6100
Fax +31 (0) 20 586 61 01
Pour les clients détenteurs d'une licence individuelle :
Téléphone 00 31 20 586 6100
Fax +31 (0) 20 586 61 01
Ce guide inclut un résumé des plans PrimeSupport disponibles pour les
clients McAfee. Pour en savoir plus sur les plans, reportez-vous à l Annexe B,
« Network Associates Support technique ».
Afin de fournir rapidement et efficacement les réponses dont vous avez
besoin, le personnel du support technique de N etwo rk Associates a besoin de
certaines informations relatives à votre ordinateur et à votre logiciel. Veuillez
inclure les informations suivantes dans votre courrier :
• Nom et numéro de version du produit
• Marqueetmodèledel'ordinateur
• Matériel ou périphériques connectés à l'ordinateur
• Type et numéro de version du système d'exploitation
• Typeetnumérodeversionduréseau,lecaséchéant
• Contenu de vos fichiers AUTOEXEC.BAT, CONFIG.SYS et du script de
connexion
• Étapes spécifiques permettant de reproduire le problème
Aide au téléchargement
Pour obtenir l'aide à la navigation ou au téléchargement de fichiers à partir du
site Web ou FTP de Network Associates ou de McAfee, appelez :
Entreprises (801) 492-2650
Particuliers (801) 492-2600
xxii Logiciel antivirus McAfee Viru sScan
Page 23
Formation de Network Associates
Pour obtenir des informations sur les programmes de formation sur site pour
les produits Network Associates, contactez notre service clientèle au :
00800-122-55-624.
Commentaires
McAfee apprécie vos commentaires et se réserve le droit d'utiliser toute
information fournie par vous de toutes les manières jugées appropriées, sans
encourir d'obligationsà votre égard. Veuillez adresser vos commentaires sur
la documentation qui accompagne un produit antivirus McAfee à : Network
Associates International B.V., Gatwickstraat 25, 1043 GL Amsterdam, PaysBas. Vous pouvez également envoyer vos commentaires par télécopie au
(31) 20 586 6101 ou par courrier électronique à tvd_documentation@nai.com.
Signalement de nouveaux virus à incorporer dans les mises à jour de fichiers de données antivirus
Les logiciels antivirus McAfee utilisent des algorithmes de détection fondés,
entreautres,surl'analyseheuristiqueavancéecapablededécelerlesnouveaux
virusémergeants.Ilsoffrentdonclesmeilleurstauxdedétectionet
d'éradication des virus. Il peut toutefois arriver qu'un type de virus
entièrement nouveau apparaisse sur votre système, et échappe à la détection
de VirusScan.
Préface
Pour aider les chercheurs de McAfee à tenir leur engagement de fourniture
d'outilsefficacesdepointepourlaprotectiondessystèmes,veuillezleur
signaler tout nouveau contrôle ActiveX, classe Java, site Web dangereux ou
virus que le logiciel ne détecte pas. Il est à noter que McAfee se réserve le droit
d'utiliser toute information fournie par vous de toutes les manières jugées
appropriées, sans encourir d'obligation à votre égard. Envoyez vos questions
ou échantillons de virus à l'adresse :
virus_research@nai.com Utilisez cette adresse pour envoyer des
questions ou des échantillons de virus à nos
bureaux d'Amérique du Nord et du Sud
vsample@nai.com Utilisez cette adresse pour envoyer vos
questions ou vos échantillons de virus
détectés par le logiciel Anti-Virus Toolkit* de
Dr Solomon à nos bureaux du Royaume-Uni
Guide d'utilisateur xxiii
Page 24
Préface
Pour signa ler les virus au bureau de recherche européen de McAfee, utilisez
l'adresse e-mail suivante :
virus_research_europe@nai.com Utilisez cette adresse pour envoyer des
questionsoudeséchantillons de virus à nos
bureaux en Europe de l'Ouest
virus_research_de@nai.com Utilisez cette adresse pour envoyer des
questions ou des échantillons de virus
groupés avec le logiciel antivirus du Dr
Solomon à nos bureaux en Allemagne
Pour signaler les virus au bureau de recherche de McAfee au Japon et dans la
zone Asie du Pacifique, utilisez l'une des adresses suivantes :
virus_research_japan@nai.com Utilisez cette adresse pour envoyer des
questionsoudeséchantillons de virus à nos
bureaux au Japon et dans l'est de l'Asie.
virus_research_apac@nai.com Utilisezcette adresse pour envoyer vos
questionsou voséchantillonsdevirusànos
bureaux d'Australie et d'Asie du Sud-Est
Informations sur les contacts internationaux
Pour contacter Network Associates en dehors des États-Unis, utilisez les
adresses et numéros de téléphone/télécopie ci-dessous.
Network Associates
Australie
Level 1, 500 Pacific Highway
St. Leonards, NSW
Sydney, Australie 2065
Téléphone : 61-2-8425-4200
Télécopie : 61-2-9439-5166
Network Associates
Belgique
BDC Heyzel Esplanade, boîte 43
1020 Bruxelles
Belgique
Téléphone : 0032-2 478.10.29
Télécopie : 0032-2 478.66.21
xxiv Logiciel antivirus McAfee VirusScan
Network Associates
Autriche
Pulvermuehlstrasse 17
Linz, Autriche
Code postal : A-4040
Téléphone : 43-732-757-244
Télécopie : 43-732-757-244-20
Network Associates
Brésil
Rua Geraldo Flausino Gomez, 78
Cj. - 51 Brooklin Novo - São Paulo
SP - 04575-060 - Brésil
Téléphone : (55 11) 5505 1009
Télécopie : (55 11) 5505 1006
Page 25
Préface
Network Associates
Canada
139 Main Street, Suite 201
Unionville, Ontario
Canada L3R 2G6
Téléphone : (905) 479-4189
Télécopie : (905) 479-4540
Network Associates Danemark
Lautruphoej 1-3
2750 Ballerup
Danemark
Téléphone : 45 70 277 277
Télécopie : 45 44 209 910
Network Associates
France S.A.
50 rue de Londres
75008 Paris
France
Téléphone : 33 1 44 908 737
Télécopie : 33 1 45 227 554
Network Associates
République populaire de Chine
New Century Office Tower, Room 1557
No. 6 Southern Road Capitol Gym
Beijing
République populaire de Chine 100044
Téléphone : 8610-6849-2650
Télécopie : 8610-6849-2069
NA Network Associates Oy
Mikonkatu 9, 5. krs.
00100 Helsinki
Finlande
Téléphone : 358 9 5270 70
Télécopie : 358 9 5270 7100
Network Associates
Allemagne GmbH
Ohmstraße1
D-85716 Unterschleißheim
Allemagne
Téléphone : 49 (0)89/3707-0
Télécopie : 49 (0)89/3707-1199
Network Associates Hong Kong
19th Floor, Matheson Centre
3 Matheson Way
Causeway Bay
Hong Kong 63225
Téléphone : 852-2832-9525
Télécopie : 852-2832-9530
Network Associates Srl
Centro Direzionale Summit
Palazzo D/1
Via Brescia, 28
20063 - Cernusco sul Naviglio (MI)
Italie
Téléphone : 39 02 92 65 01
Télécopie : 39 02 92 14 16 44
Guide d'utilisateur xxv
Page 26
Préface
Network Associates Japon, Inc.
Toranomon33MoriBldg.
3-8-21 Toranomon Minato-Ku
Tokyo 105-0001
Téléphone : 81 3 5408 0700
Télécopie : 81 3 5408 0780
Network Associates
Mexique
Andres Bello No. 10, 4 Piso
4th Floor
Col. Polanco
Mexico City, Mexico D.F. 11560
Téléphone : (525) 282-9180
Télécopie : (525) 282-9183
Network Associates
Portugal
Av. da Liberdade, 114
1269-046 Lisboa
Portugal
Téléphone : 351 1 340 4543
Télécopie : 351 1 340 4575
Network Associates Amérique latine
1200S.PineIslandRoad,Suite375
Plantation, Floride 33324
États-Unis d'Amérique
Téléphone : (954) 452-1731
Télécopie : (954) 236-8031
Network Associates
International B.V.
Gatwickstraat 25
1043 GL Amsterdam
Pays-Bas
Téléphone : 31 20 586 6100
Télécopie : 31 20 586 6101
Net Tools Network Associates
Afrique du Sud
Bardev House, St. Andrews
Meadowbrook Lane
Epson Downs, P.O. Box 7062
Bryanston, Johannesburg
2021 Afrique du Sud
Téléphone : 27 11 706-1629
Télécopie : 27 11 706-1569
Network Associates
Asie du Sud-Est
78 Shenton Way
#29-02
Singapour 079120
Téléphone : 65-222-7555
Télécopie : 65-220-7255
xxvi Logiciel antivirus McAfee VirusScan
Network Associates
Espagne
a
Orense 4, 4
Planta.
Edificio Trieste
28020 Madrid, Espagne
Téléphone : 34 9141 88 500
Télécopie : 34 9155 61 404
Page 27
Préface
Network Associates Suède
Datavägen 3A
Box 596
S-17526Järfälla
Suède
Téléphone : 46 (0) 8 580 88 400
Télécopie : 46 (0) 8 580 88 405
Network Associates
Taiwan
Suite6,11F,No.188,Sec.5
NanKingE.Rd.
Taipei, Taiwan, République de Chine
Téléphone : 886-2-27-474-8800
Télécopie : 886-2-27-635-5864
Network Associates Suisse
Baeulerwisenstrasse3
8152 Glattbrugg
Switzerland
Téléphone : 0041 1 808 99 66
Télécopie : 0041 1 808 99 77
Network Associates
International Ltd.
227 Bath Road
Windsor, Berkshire
SL1 5PP
Royaume-Uni
Téléphone : 44 (0)1753 217 500
Télécopie : 44 (0)1753 217 520
Guide d'utilisateur xxvii
Page 28
Préface
xxviii Logiciel antivirus McAfee VirusScan
Page 29
1À propos du logiciel VirusScan
Présentation du logiciel antivirusVirusScan
Quatre-vingt pour cent des 100 entreprises les plus puissantes et plus de
50 millions d'utilisateurs dans le monde entier choisissent le logiciel antivirus
VirusScan pour protéger leurs ordinateurs contre un nombre croissant de
virus et d'autres agents malveillants apparus au cours des dix dernières
années pour s'attaquer aux réseaux d'entreprise et provoquer des dégâts au
préjudice des utilisateurs. Ils ont choisi VirusScan parce que ce logiciel offre
la solution desécuritéantivirusdebureaula plus complète, avec des fonctions
qui décèlent les virus, bloquent les objets ActiveX et Java hostiles, identifient
les sites Web dangereux, arrêtent les messages électroniques infectés et vont
jusqu'à extirper les agents « zombies » qui s'attaquent à Internet. S'ils ont
choisi VirusScan c'est également parce qu'ils reconnaissent à quel po int la
recherche et le développement antivirus effectués par McAfee viennent
s'associer à leurs efforts pour préserver l'intégrité du réseau et les niveaux de
service, garantir la sécurité des données et réduire les coûts de possession.
Avec plus de 50 000 virus et agents nuisibles actuellement en circulation, les
enjeux de cette bataille sont considérables. Les virus et les vers ont maintenant
des capacités qui peuvent occasionner de grosses pertes aux entreprises, non
seulement en termes de productivité et de frais engagés pour le nettoyage des
virus, mais aussi en termes de réduction des revenus dans la mesure où les
entreprises font de plus en plus appel au commerce électronique et aux ventes
en ligne et que les virus ne cessent de proliférer.
1
Le logiciel VirusScan est le premier à avoir mis à profit son avance
technologique pour créer des utilitaires d'avant-garde développés pour
combattre les toutes premières infections par des virus de l'ère des ordinateurs
personnels.VirusScans'estdéveloppéconsidérablementaucours des dernières
années afindecontrecarrer chaquenouveausubterfuge inventéparlesauteurs
des virus. Figurant parmi l'une des premières application antivirus pour
Internet, VirusScan conserve aujourd'hui sa renommée en tant qu'utilitaire
commercial indispensable pour lanouvelleéconomieélectronique. Maintenant,
avec cettenouvelleversion,lelogicielVirusScan ajoute un nouveau systèmede
gestion et d'intégration avec d'autres outils antivirus McAfee.
Une amélioration architecturale signifie que chaque composant VirusScan
travaille étroitement avec les autres,partageant desdonnéesetdesressources,
afin d'obtenir une meilleure réponse de l'application et une diminution des
demandes sur votre système. Une prise en charge totale du logiciel de gestion
McAfee ePolicy Orchestrator signifie que les administrateurs du réseau
peuvent gérer les d étai ls de la configuration des composants et des tâches,
vous laissant ainsi libre pour vous concentrer sur votre propre travail.
Guide d'utilisateur 29
Page 30
À propos du l ogi ciel VirusScan
Une nouvelle technologie de mise à jour incrémentielle signifie des
téléchargements de moteur d'analyse et de fichiers de définitions de virus
plus rapides et une bande passante moins importante. La protection qu'il
vous faut pour faire face aux taux de distribution élevés des virus de nouvelle
génération peut arriver chez vous très rapidement. Pour en savoir plus sur ces
fonctions, reportez-vous à la section « Nouveautés de cette version » à l a
page 39.
La nouvelle version inclut également la prise en charge de plusieurs platesformes pour Windows 95, Windows 98, Windows NT Workstation v4.0 et
Windows 2000 Professionnel, toutes dans un kit unique et avec un seul
installateur, mais optimisées pour tirer profit des avantages offerts par
chaque plate-forme. Les utilisateurs de Windows NT Workstation v4.0 et
Windows 2000 Professionnel par exemple, peuvent exécuter le logiciel
VirusScan avec des niveaux de sécurité différents qui offrent aux
administrateurs système un vaste choix d'options d'application. Ainsi, la mise
en œuvre d'une stratégie antivirus d'entreprise peut aller d'une application
aléatoire, où l'administrateur peut verrouiller quelques paramètres critiques,
à une application stricte avec des paramètres prédéfinis que l'utilisateur ne
peut en aucun cas modifier ou désactiver.
Parallèlement, en tant que pilier de la gamme de logiciels de sécurité
Active Virus Defense et Total Virus Defense de McAfee, le logiciel VirusScan
conserve les mêmes fonctions essentielles qui ont fait de lui le principal
utilitaire de bureau des entreprises. Ces fonctions incluent un taux de
détection de virus sans pareil, de puissantes capacités heuristiques, détection
et suppression des programmes du cheval de Troie, des mises à jour rapides
grâce àdesversionshebdomadaires desfichiersdedéfinition de virus (.DAT),
des versions bêta journalières du fichier .DAT et la prise en charge du fichier
EXTRA.DAT en cas de crise ou de danger imminent. Dans la mesure où plus
de 300 nouveaux virus ou agentslogicielsnuisiblesapparaissentchaquemois,
McAfee renforce son logiciel VirusScan par une couverture mondiale, 24
heures sur 24, assurée par son équipe de recherche AVERT (Anti-Virus
Emergency Response Team).
Malgré l'augmentation des virus et des vers qui se propagent via le courrier
électronique, qui inondent les serveurs de messagerie, ou qui infectent
directement les logiciels de productivité de groupe et les serveurs de fichiers,
le bureau individuel reste la source d'infection individuelle la plus répandue,
et constitue souvent le point d'entrée le plus vulnérable. Le logiciel VirusScan
agit comme un sentinelle de bureau infatigable qui sauvegarde votre système
contre les virus les plus connus, mais aussi contre les dernières menaces qui se
cachent dans les sites Web, souvent sans que l'auteur du site en soit conscient
ou qui se propagent par l'intermédiaire du courrier électronique, qu'il soit ou
non sollicité.
30 Logiciel antivirus McAfee VirusScan
Page 31
À propos du logiciel VirusScan
Dans de telles conditions, prendre des précautions pour se protéger des
logiciels nuisibles n'est plus un luxe mais une nécessité. Considérez
l'importance des donnéesdevotreordinateur, et letemps,lesinconvénients, et
lesdépensesque le remplacementdeces donnéesimpliqueraientsi elles étaient
altéréesouinutilisables enraisond'une infectionvirale.D'après lesestimations,
les coûts de nettoyage pour une entreprise, à la suite d'une infection par un
virus, ont représenté 16 milliards de dollars pour la seule année 1999.
Comparezlaprobabilitéd'infection et les coûtsquecela entraîneraitpourvotre
entreprise, avec le peu de temps et d'efforts que demande la mise en place de
quelques mesures de sécurité évidentes ; vous pouvez rapidement vous rendre
compte de l'utilité de se protéger contre des infections.
Vos données ne sont peut-être pas très importantes pour vous, mais sans
protection, votre ordinateur pourrait abriter involontairement des virus se
propageant sur les ordinateurs de vos collègues. La vérification périodique
de votre disque dur à l'aide du logiciel VirusScan réduit potentiellement la
vulnérabilité de votre machine face aux contaminations et vous permet de ne
pas perdre de temps, d'argent et de données inutilement.
Principe de fonctionnement du logiciel VirusScan
Le logiciel VirusScan combine le moteur d'analyse le plus performant de
l'industrie antivirus avec des améliorations d'interface de premier ordre,
vous permettant de bénéficier de toute la puissance de ce moteur d'analyse.
L'interface utilisateur graphique de VirusScan réunit tous ses composants de
programme spécialisés, tout en conservant la flexibilité dont vous avez besoin
pour adapter le logiciel à votre environnement informatique. Le moteur
d'analyse combine de son côté les meilleures fonctions des technologies
développées indépendamment par les chercheurs de McAfee et du
Dr Solomon pendant plus d'une décennie.
Détection de virus rapide et précise
Ceci repose sur un environnement de développement unique construit pour
le moteur d'analyse par les chercheurs de McAfee et du Dr Solomon. Cet
environnement inclut Virtran, un langage de programmation spécialisé doté
d'une structure et d'un « vocabulaire » optimisés pour les besoins spécifiques
de la détection et la suppression de virus. À l'aide de fonctions de bibliothèque
spécifiques à ce langage, par exemple, les chercheurs de virus peuvent déceler
avecprécisionles sectionsgénéralementinfectées parlesvirus àl'intérieurd'un
fichier, d'une zone système ou d'une partition d'amorçage (MBR), soit parce
qu'ils peuvent accéder aux zones infectées à l'insu des virus, soit parce qu'ils
peuvent détourner les routines d'exécution des virus. Ainsi, le moteur
d'analyse n'aplusbesoin d'examiner la totalitédufichier à larecherchedu code
devirus ;ilpeut simplement échantillonnerlefichier àdesendroits biendéfinis
à la recherche des signatures codées de virus qui indiquent une infection.
Guide d'utilisateur 31
Page 32
À propos du l ogi ciel VirusScan
L'environnement de développement accélère la construction du fichier .DAT
autant que les routines du moteur d'analyse. L'environnement fournit des
outils pouvant être utilisés par les chercheurs pour écrire des définitions
« génériques » capablesd'identifierdesf amillesentièresdevirus et dedétecter
facilement les dizaines ou centaines de variantes qui constituent la majorité
des nouveaux virus. Les améliorations apportées régulièrement à cette
technique ont déplacé la plupart des définitions de virus qui résidaient
auparavant dans les mises à jour du fichier .DAT directement vers le moteur
d'analyse, en tant que groupements de routines génériques. Les chercheurs
peuvent mêmeutiliserunefo nctiond'architectureVirtranpour insérer dans le
nouveau moteur des « verbes » qui, une fois combinés avec des fonctions de
moteur existantes, peuvent apporter des fonctionnalités supplémentaires
requises pour faire face aux nouvelles techniques d'infection, aux nouvelles
variantes, ou à d'autres problèmes posés parunenouvellegénérationdevirus.
Cela se traduit par des améliorations rapides et efficaces au niveau des
capacités dedétectiondumoteur, ce quiéliminelebesoin d'exécuter des mises
à jour continuelles destinées à identifier les nouvelles variantes des virus.
Détection des virus polymorphes cryptés
Parallèlement à la détection des variantes des virus génériques, le moteur
d'analyseinclutmaintenant un moteurdedécryptagegénérique, qui estunjeu
de routines permettant au logiciel VirusScan de suivre les virus qui tentent de
se dissimuler par le cryptage et la mutation de leurs signatures codées. Ces
virus « polymorphes » sont particulièrement difficiles à détecter, car leur
signature codée change à chaque réplication.
Cela signifiequelaméthodede correspondance sur modèle simple utilisée par
les premiers moteurs d'analyse pour identifier de nombreux virus n'est plus
applicable, car la séquence d'octets constante à détecter n'existe plus. Pour
contrer cette menace, les chercheurs de McAfee ont développé le moteur de
décryptage PolyScan, qui retrouve et analyse l'algorithme utilisé par ces types
de virus poursecrypteretse décrypter. PolyScan exécuteensuitececodedans
une machine virtuelle émulée afin de comprendre la façon dont les virus
parviennent à muter par eux-mêmes. Une fois cette opération effectuée, le
moteur peut déceler la nature « réelle » de ces virus et les détecter de manière
fiable, quelle que soit la méthode utilisée par les virus pour se cacher.
« Double analyse heuristique »
Une autre amélioration apportée au moteur d'analyse par les chercheurs de
McAfee repose sur le perfectionnement des premières technologies d'analyse
heuristique, conçues à l'origine pour détecter le gros flux de variantes de virus
de macro apparu après 1995, rassemblées dans un ensemble d'instruments de
hauteprécision.Lestechniques d'analyse heuristique reposentsurl'expérience
du moteurd'analyseavec les virusprécédentspour déterminer lesprobabilités
qu'un fichier suspect soit un nouveau virus non encore identifié ou non classé.
32 Logiciel antivirus McAfee VirusScan
Page 33
À propos du logiciel VirusScan
Le moteur d'analyse inclut à présent ViruLogic, qui est une technique
heuristiquecapable d'observerle comportementd'un programmeet d'évaluer
à quelpointilressemble à un virusdemacroou à un virus defichier.Vi ruLogic
recherche les comportements caractéristiques d'un virus dans les fonctions de
programme, tels que les modifications cachées des fichiers, les appels à
l'arrière plan des clients de messagerie et d'autres méthodes utilisées par les
viruspourserépliquer.Lorsquecestypesdecomportementsatteignentun
seuildetoléranceprédéfini,lemoteurdésigneleprogrammecommeun
éventuel virus.
Le moteur réalise également une évaluation « triangulaire » en recherchant
dans le programme un comportement qui ne serait pas caractéristique d'un
virus, en demandant certaines interventions de l'utilisateur par exemple, afin
d'éliminer toute fausse identification de virus. Cette double combinaison
heuristique des techniques« positive » et« négative »setraduitparuntauxde
détection inégalé avec peu ou pas de fausses identifications de virus.
Domaine d'application étendu
Les agents nuisibles ayant évolué pour tirer profit du caractère instantané et
du succès de la communication par Internet, le logiciel VirusScan s'est lui
aussi transformé pour contrecarrer les m enaces qu'ils représentent. Un virus
informatique désignait autrefois un type d'agent conçu pour se répliquer luimêmeetprovoquerpeudedégâtssurl'ordinateurcible.Cependant,aucours
des dernières années, un large éventail d'agents nuisibles est apparu dans le
butdes'attaquerauxordinateurspersonnelsenutilisantdesmoyenstrès
diversifiés. Nombre de ces agents, dont les vers à propagation rapide par
exemple, utilisent des versions actualisées des anciennes techniques pour
infecter lessystèmes,maisd'autres utilisent touteslescapacitésoffertes parles
nouvelles techniques de script et d'hébergement d'applications sur le Web.
D'autres agents nuisibles ouvrent des « portes arrière » dans les systèmes de
bureau ou créent des trous d e sécurité qui ressemblent à une tentative
délibérée de pénétration du réseau, plutôt qu'aux dégâts que la plupart
des virus laissent derrière eux.
En conséquence, les dernières versions du logiciel VirusScan n'attendent
pas l'apparition des virus dans votre système, mais analysent de manière
proactive la source ou le travail afin de dévier les agents nuisibles de votre
système. Le moteur d'analyse VShield, livré avec le logiciel VirusScan,
contient trois modules centrés sur les agents nuisibles qui arrivent par
Internet, qui se propagen t via le courrier électronique ou qui se cachent dans
les sites Internet. Il peut rechercher des objets Java et ActiveX qui représentent
un danger, ou bloquer l'accès aux sites Internet risqués. Entre-temps,
l'extension Analyse E-Mail, destinée à protéger des clients e-mail Microsoft
Exchange, tels que Microsoft Outlook, peut « soumettre aux rayons x » votre
boîte aux lettres sur le serveur, à la recherche d'agents malveillants avant que
ces derniers n'arrivent sur votre bureau.
Guide d'utilisateur 33
Page 34
À propos du l ogi ciel VirusScan
Le logiciel VirusScan va jusqu'à se protéger lui-même contre les tentatives
d'utilisation de ses propres fonctionnalités contre votre ordinateur. Certains
auteurs de virus imbriquent leurs virus dans des documents qu'ils imbriquent
àleurtourdansd'autresfichiersdansunsoucid'éviterladétection.Ilyena
qui appliquent cette technique de manière insensée, allant jusqu'à construire
desfichiersd'archivescompresséshautementrécursifsettrèsvolumineux
dans le but de ligoter le moteur d'analyse lors qu'il analyse le fichier en
profondeur à la recherche d'un virus. Le logiciel VirusScan analyse avec
précision la plupart des formats de fichier compressé et de fichier d'archives
courants, mais il inclut également une logique qui l'empêche de se retrouver
coincé dans une recherche interminable de virus non existants.
Composants fournis avec VirusScan
Le logiciel VirusScan comprend plusieurs composants qui combinent un ou
plusieurs programmes liés, ayant chacun un rôle à jouer dans la protection de
votre ordinateur contre les virus et autres logiciels nuisibles. Les composants
sontlessuivants:
• L'application VirusScan. Ce composant vous permet de contrôler vos
analysesdelamanière laplusefficace.Vouspouvezconfigurer et démarrer
une analyse à tout moment - fonction appelée analyse « à la demande » -,
spécifier des disques réseau et locaux comme cibles à analyser, choisir la
façon dont VirusScan traitera les infection s détectées et afficher des
rapports sur ses a ctions. Vous pouvez démarrer avec la fenêtre VirusScan
classique, un mode de configuration de base, puis passer au mode
VirusScan avancé pourobteniruneflexibilitéoptimale.Uneextensionshell
Windows associée vous permet de faire un clic droit sur n'importe quel
objet de votre système pour l'analyser. Pour plus de détails, reportez-vous
àlasectionvoir « Utilisation de l'application VirusScan » à la page 197.
• La console VirusScan. Ce composant vous permet de créer, de configurer
et d'exécuter des tâches VirusScan au x heures que vous spécifiez. Une
«tâche»peutallerdel'exécutiond'uneopérationd'analysesurun
ensemble de disquettes, à un moment ou à intervalle donné, à l'exécution
d'unemiseàjouroud'unemiseàniveau.Vouspouvezégalementactiver
ou désactiver le moteur d'analyse Vshield à partir de la fenêtre de la
console.
La console est fournie avec une liste de tâches prédéfinies qui garantissent
un niveau de protection minimal pour votre système ; vous pouvez, par
exemple, analyser et nettoyer immédiatement votre lecteur C: ou tous les
disquesde votreordinateur.Pour plusde détails,reportez-vousà lasection
voir « Création et configuration des tâches planifiées » à la page 231.
34 Logiciel antivirus McAfee VirusScan
Page 35
À propos du logiciel VirusScan
• Le moteur d'analyseVShield. Ce composant fournit une protection anti-
viralepermanentecontre les virusprovenantde disquettes, du réseauoude
diversessourcessurInternet. VShieldest lancélorsquevousdémarrez votre
ordinateuretresteenmémoire jusqu'à ce que vousl'éteigniez.Unensemble
depagesde propriétésflexiblesvouspermetd'indiqueràVShieldlesparties
de votre système que vous souhaitez analyser, les éléments à rechercher, les
parties à ne pas toucher et la réaction à adopter face aux fichiers infectés
localisés. En outre, VShield peut vous prévenir en cas de détection d'un
virusetgénérerdesrapportsrésumantchacunedesesactions.
Le moteur d'analyse Vshield est livré avec trois autres modules spécialisés
qui protègent votre système contre les applets Java et l es contrôles ActiveX
nocifs. Ces modules peuvent analyser les messages électroniques et les
pièces jointes que vous recevez via Internet au moyen de Lotus cc:Mail,
Microsoft Mail ou un autre client de messagerie utilisant le standard MAPI
(Messaging Application Programming Interface) Microsoft et bloquer
l'accès aux sites Internet dangereux. Pour éviter que d'autres utilisateurs
effectuentdesmodificationsnon autorisées,adoptezuneprotectiondemot
de passe sûr pour vos options de configuration. Une seule boîte de
dialogue fonctionnelle contrôle les options de configuration de tous les
modules VShield. Pour plus de détails, reportez-vous à la section voi r
« Utilisation du moteur d'analyse VShield » à la page 101.
• L'extension Analyse E-Mail. Ce composant vo us permet d'analyser votre
boîte aux lettres Microsoft Exchange ou Outlook ou des dossiers publics
auxquels vous avez accès, directement sur le serveur. Cette surveillance de
type « rayon x » appliquée à votre boîte aux lettres signifie que le logiciel
VirusScan peut détecter des infections potentielles avant même qu'elles
n'arrivent sur votre bureau et neutraliser des virus de type Melissa. Pour
plus de détails, reportez-vous à la section voir « Analyse des systèmes de
messagerie Microsoft Exchange et Outlook » à la page 303.
• Le moteur d'analyse cc:Mail.Cecomposantappliqueunetechnologie
optimisée pour analyser les boîtes aux lettres Lotus cc:Mail n'utilisant pas
le standard MAPI. Procédez à l'installationet à l'application de ce
composant si votre groupe de travail ou votre réseauutilise cc:Mail v7.x ou
une version antérieure.Pourplusdedétails,reportez-vous à lasectionvoir
« Sélection des options de détection » à la page 138.
• L'utilitaire de configuration cliente du Gestionnaire d'alerte.Ce
composant vous permet de choisir un emplacement de destination pour les
« événements » du Gestionnaire d'alerte générés par le logiciel VirusScan
chaque fois qu'il détecte un virus ou qu'il entreprend une autre action
importante. Vous pouvez également spécifier un répertoire de destination
pour les messages d'alerte centralisée anciens ou compléter ces méthodes
avec les alertes DMI (Desktop Management Interface) envoyées via votre
logiciel client DMI. Pour plus de détails, reportez-vous à la section voir
« Utilisation de l'utilitaire de Configuration cliente du Gestionnaire
d'alerte » à la page 338.
Guide d'utilisateur 35
Page 36
À propos du l ogi ciel VirusScan
• L'utilitaire ScreenScan. Ce composant facultatif analyse votre ordinateur
pendant que l'écran de veille occupe les périodes d'inactivité. Pour plus
de détails, reportez-vous à la section voir « Utilisation de l'utilitaire
ScreenScan » à la page 323.
• L'utilitaire SendVirus. Ce composant vous offre un moyen facile et
convivial de soumettre des fichiers susceptibles d'être infectés directement
aux chercheurs de McAfee. Un Assistant vous guide pendant que vous
choisissez les fichiers à envoyer, spécifiez les détails du contact et, si vous
le souhaitez, supprimez des données personnelles ou confidentielles dans
les fichiers document. Pour plus de détails, reportez-vous à la section voir
« Utilisation de l'utilitaire SendVirus pour soumettre un exemple de
fichierȈlapage91.
• L'Utilitaire de création d'une disquette de secours. Cet utilitaire
indispensable vous aide à créer une disquette pouvant être utilisée pour
amorcer votre ordinateur dans un environnementexempt de tout virus et
analyser ensuite des zones système critiques afin de supprimer les virus
pouvantêtrechargésaudémarrage.Pourplusdedétails,reportez-vousà
la section voir « Utilisation de l'utilitaire de création d'une disquette de
secours » à la page 59.
• Moteurs d'analyse de ligne de commande. Ce composant contient un jeu
de moteurs d'analyse dotés de multiples fonctions et pouvant être utilisés
pour exécuter des analyses ciblées à partir de l'invite MS-DOS, de l'invite
de commande, ou du mode MS-DOS protégé. Ce jeu de moteurs d'analyse
inclut :
– SCAN.EXE, un moteur d'analyse réservé aux environnements
32 bits. Ce composant constitue la principale interface de ligne de
commande. Lorsque vous exécutez ce fichier, il vérifie d'abord son
environnement afin de déterminer s'il peut être exécuté par luimême. Si votre ordinateur fonctionne en mode 16 bits ou en mode
protégé, SCAN.EXE transmet le contrôle à un autre moteur
d'analyse.
– SCANPM.EXE,unmoteur d'analysedestinéauxenvironnements 16
et32bits.Lemoteurd'analysemetàvotredispositionunensemble
complet d'options d'analyse pour les environnements DOS
fonctionnant en mode protégé à 16 ou à 32 bits. Il prend également
en charge l'allocation de mémoire étendue et de mémoire flexible.
SCAN.EXEtransfèrelecontrôleàcemoteurd'analyselorsqueces
fonctions spécialisées lui permettent d'effectuer une analyse plus
efficace.
36 Logiciel antivirus McAfee VirusScan
Page 37
À propos du logiciel VirusScan
– SCAN86.EXE, un moteur d'analyse réservé aux environnements
16 bits. Ce moteur d'analyse inclut un jeu de fonctions limitées
réservé aux environnements 16 bits. SCAN.EXE transfère le
contrôle à ce moteur d'analyse si votre ordinateur fonctionne en
mode 16 bits, mais sans aucune configuration de mémoire
particulière.
– BOOTSCAN.EXE, un moteur d'analyse spécialisé, de plus petite
taille, utilisé principalement avec l'utilitaire de création d'une
disquette de secours. Ce moteur d'analyse s'exécute généralement
à partir d'une disquette que vous créez afin d'obtenir un
environnementdedépartexemptdetoutvirus.
Lorsque vous exécutez l'Assistant de création de la disquette de
secours, VirusScan copie sur une même disquette le fichier
BOOTSCAN.EXE et un ensemble de fichiers .DAT spéciaux.
BOOTSCAN.EXE ne détectera ni ne nettoiera pas les virus de
macro, mais détectera et éliminera tous les autres virus susceptibles
de menacer la sécurité de votre installation VirusScan ou d'infecter
desfichiersaudémarragedusystème.Unefoiscesvirusidentifiés
et éliminés, vous pouvez en toute sécurité exécuter VirusScan pour
nettoyer le reste de votre système.
Tous les moteurs d'analyse de ligne de commande vous permettent
d'effectuer des analyses ciblées à partir de l'invite MS-DOS, de l'invite de
commande,oudumodeMS-DOSprotégé.Entempsnormal,vous
utiliserez l'interface utilisateur graphique VirusScan (GUI) pour effectuer
la plupart des analyses. Toutefois, si vous rencontrez des problèmes pour
lancerWindowsousiles composantsdelaGUIVirusScan ne peuventêtre
exécutés dans votre environnement, utilisez les moteurs d'analyse de ligne
de commande comme recours.
• Documentation. La documentation VirusScan se compose des éléments
suivants :
–UnGuide de démarrage rapide, qui présente le produit et les
instructions d'installation, indique la procédure à suivre si vous
suspectez la présence d'un virus sur l'ordinateur, et offre une vue
d'ensemble du produit. Le Le Guide de démarrage rapide est fourni
avec la version deVirusScansurCD-ROM.Vouspouvezégalement
le télécharger sous le nom VSC45WGS.PDF à partir du site Web de
Network Associates ou à partir d'autres services électroniques.
Guide d'utilisateur 37
Page 38
À propos du l ogi ciel VirusScan
– Ce guide d'utilisateur est enregistré sur le CD-ROM de VirusScan
– Un guide de l'administrateur est enregistré sur le CD-ROM de
– Un fichier d'aide en ligne. Ce fichier vous permet d'accéder
ou installé sur votre disque dur au format .PDF d'Adobe Acrobat.
Vous pouvez aussi le télécharger sous le nom VSC45WUG.PDF à
partir du site Web de Network Associates ou à partir d'autres
services électroniques. Le Guide d'utilisateur VirusScan offre une
description détaillée de l'utilisation de VirusScan, ainsi que d'autres
informations utiles, tellesquelesoptionsdeconfigurationavancées.
Les fichiers .PDF d'Acrobat sont des documents en ligne maniables
contenant des liens hypertexte, des définitions et d'autres options
qui facilitent la navigation au sein de ces documents, et donc l'accès
à l'information.
VirusScan ou installésur votredisque dur au format.PDFd'Adobe
Acrobat. Vous pouvez aussi le télécharger sous le nom
VSC45WAG.PDF à partir du site Web de Network Associates ou à
partir d'autres services électroniques. Le Guide de l'administrateur
VirusScan offre une description détaillée de la gestion et de la
configuration du logiciel VirusScan à partir d'un bureau local ou
distant.
rapidement à une gamme complète de rubriques décrivant le
logiciel VirusScan. Pour ouvrir ce fichier, choisissez Rubriques
d'aide dans le menu Aide de la fenêtre principale de VirusScan, ou
cliquez sur l'un des boutons Aide qui s'affichent dans les boîtes de
dialogue de VirusScan.
Le fichier d'aide inclut également une aide contextuelle étendue ou
« Qu'est-ce que c'est ? ». Pour afficher l'aide contextuelle, faites un
clic droit sur un bouton, une liste, une icône, une zone de texte ou
toutautreélémentprésentdansuneboîtededialogue.Vouspouvez
également cliquer sur le symbole ? à l'angle supérieur droit dans la
plupart des boîtes de dialogue, puis cliquer sur l'élément dont vous
souhaitez obtenir une description pour afficher la rubrique
correspondante. Les boîtes de dialogue comportant le bouton Aide
ouvrent le fichier d'aide sur la rubrique qui décrit l'ensemble de la
boîte de dialogue.
– Un fichier LICENSE.TXT. Ce fichier stipule les termes de la licence
d'utilisation du logiciel VirusScan. Lisez-le avec attention, car
l'installation de VirusScan implique l'acceptation de ces termes.
38 Logiciel antivirus McAfee VirusScan
Page 39
– Un fichier README.TXT. Ce fichier présente les modifications
et/ou les ajouts de dernière minute, énumère les aspects ou autres
questions relatifs à la version du produit, et décrit généralement les
nouvelles fonctions incorporées dans la mise à jour du produit. Le
fichier README.TXT se trouve au niveau de la racine dans
l'arborescence du CD-ROM de VirusScan, ou dans le dossier
programme de VirusScan. Vous pouvez l'ouvrir et l'imprimer à
partir du Bloc-notes de Windows ou de toute autre appli cation de
traitement de texte.
Nouveautés de cette version
Cette version de VirusScan introduit plusieurs fonctions innovatrices aux
fonctionnalités de base du produit, à son domaine d'application, et aux détails
de l'architecture de son application. La plupart de ces fonctions sont
expliquées en détail dans une section précédente, «Principede
fonctionnement du logiciel VirusScan » à la page 31. La seule différence
majeure entre les versions antérieures et la version actuelle de VirusScan est
l'intégration de deux versions différentes de VirusScan optimisées pour
fonctionner sur des plates-formes Windows différentes dans un produit
unique pouvant être exécuté sur les deux plates-formes. Ce produit unique
bénéficie également des avantages propres à chaque plate-forme.
À propos du logiciel VirusScan
Lessectionssuivantesdécriventd'autresmodificationsintroduitesdanscette
version de VirusScan.
Fonctions d'installation et de distribution
Les produits antivirus McAfee, y compris le logiciel VirusScan, utilisent
dorénavant l'utilitaire Microsoft Windows Installer (MSI), livré avec tous les
systèmes Windows 2000 Professionnel. Cet utilitaire d'installation offre un
vaste choix de fonctions d'installation et de configuration, ce qui facilite le
déploiement du logiciel VirusScan dans les entreprises de grande taille. Pour
plus d'informations sur l'exécution d'opérations d'installation personnalisées
à l'aide de MSI, reportez-vous au Chapitre 2, « Installation du logiciel
VirusScan » du Guide de l'administrateur VirusScan.
Cette version de VirusScan offre également une prise en charge complète de
l'outildedistributiondelogiciels ePolicy OrchestratordeMcAfee . Uneversion
spéciale de VirusScan est livrée avec le logiciel ePolicy Orchestrator, conçue
pour une large distribution au sein des entreprises. Vous pouvez distribuer le
logiciel VirusScan, le configurer à partir de la console ePolicy Orchestrator,
mettre à jour à tout moment cette configuration, un autre programme ou des
fichiers .DAT, et planifier les opérations d'analyse et ceci pour l'ensemble des
utilisateurs du réseau. Pour plus d'informations sur l'utilisation du logiciel
ePolicy Orchestrator pour la distribution et la configuration de VirusScan,
reportez-vous au Guide de l'administrateur ePolicy Orchestrator.
Guide d'utilisateur 39
Page 40
À propos du l ogi ciel VirusScan
Cette version de VirusScan inclut également la description des kits pour
d'autres outils de distribution, y compris les produits de gestion de logiciels
MicrosoftSystemManagementServeretTivoliSystems.
Améliorations au niveau de l'interface
Cette version amène l'interface VirusScan, pour touteslesplates-formes prises
en charge,surleterrain oùVirusScanpourWindows 95 etWindows 98 ont été
les pionniers avec la version v4.0.1. Ainsi, le moteur d'analyse VShield a été
enrichi avec de nouvelles options de configuration étendues pour les platesformes Windows NT Workstation v4.0 et Windows 2000 Professionnel, tout
en réduisant la complexité de certaines options de configuration antérieures.
La configuration du serveur du Gestionnaire d'alerte, par exemple, est
entièrement déplacée vers la ligne de produit NetShield, ce qui permet au
logiciel VirusScan d'agir strictement en tant qu'application cliente
configurable.
Cette version ajoute également un nouveau panneau de configuration
VirusScan, qui fonctionne comme un point central à partir duquel vous
pouvez activer et désactiver tous le composants VirusScan. Ce panneau de
configuration vous permet également de définir un plafond qui s'appliquera
au nombre d'éléments que vous pouvez inclure ou exclure dans chaque
opération d'analyse, et de configurer le moteur d'analyse VShield et le
panneau de configuration VirusScan pour être activés au démarrage. Parmi
les autres modifications figurent :
• De nouvelles icônes dans la barre d'état système VShield vous donnent des
informations supplémentaires sur les modules VShield actifs. Ces états
sontlessuivants:
– TouslesmodulesVShieldsontactifs
– Le moduleAnalysesystèmeestactif,maisunouplusieursautres
modules VShield sont inactifs
– Le module Analyse système est inactif, mais un ou plusieurs
autres modules VShield sont actifs
– TouslesmodulesVShieldsontactifs
• De nouveaux paramètres d'interface pour la configuration des tâches vous
permettent d'indiquer à VirusScan la façon dont il doit s'afficher lors de
l'exécutiond'unetâcheplanifiéeet la démarcheàsuivreune fois l'opération
terminée. Vous pouvez également définir un mo t de passe pour protéger
des paramètres d'une tâche isolée contre toute modification, ou une
configuration entière de tâches.
40 Logiciel antivirus McAfee VirusScan
Page 41
À propos du logiciel VirusScan
• Une fonction de randomisation actualisée pour les tâches planifiées vous
permetdedéfiniruneheurepourl'exécutiond'unetâche,puisdedéfinir
une « fenêtre » de randomisation. La console VirusS can choisit ensuite une
heure aléatoire à l'intérieur de cette fenêtrepourdémarrerl'exécutiondela
tâche.
• Le module Analyse système inclut maintenant une nouvelle option de
configuration, Type d'invite, pour les systèmes Windows 95 et
Windows 98. Cette option vous permet de déterminer la façon dont
l'alerte Interroger l'utilisateur doit apparaître.
Modifications au niveau de la fonctionnalité du produit
• Un nouvel utilitaire de configuration cliente du Gestionnaire d'alerte vous
permet de choisir un serveur du Gestionnaire d'alerte installé sur votre
réseau comme emplacement de destination pour les messages d'alerte, ou
un partage réseau comme emplacement de destination pour les messages
d'alerte centralisée. Vous pouvez également compléter ces méthodes
d'alerte avec les messages d'alerte DMI (Desktop Management Interface).
• Le serveur du Gestionnaire d'alerte prend en charge les numéros de série
du processeur Intel Pentium III pour identifier chaque ordinateur dans le
cadre d'une notification en cas de virus. Pour plus d'informations sur les
numéros de série du processeur Intel, consultez le forum aux questions
Intel à l'adresse
http://support.intel.com/support/processors/pentiumiii/psqa.htm.
De nouvelles options de mise à jour pour votre logiciel VirusScan
Même silaplupartdesdéfinitionsdevirus requises sont intégréesdirectement
dans son moteur sous la forme de routines génériques, le logiciel VirusScan
nécessite encore des mi ses à jour régulières du fichier .DAT pour contrecarrer
la menace que représentent les 200 à 300 nouveau virus q ui apparaissent
chaque mois. Pour répondre à cette demande, McAfee a incorporé une
technologie de mise à jour dans le logiciel VirusScan depuis les débuts de sa
conception. Dans la version actuelle de VirusScan, cette technologie a fait un
pas un avant avec la nouvelle mise à jour incrémentielle des fichiers .DAT.
Lesfichiers.DATincrémentielssontdespetitskitsdefichiersdedéfinitionde
virusrassemblantdesdonnéessurunensembledeversionsdefichiers.DAT
donné. Les dernières versions des utilitaires AutoUpdate et AutoUpgrade
fournissent un support transparent pour les nouvelles mises à jour, en vous
permettant de télécharger et d'installer uniquement les définitions de virus
qui ne sont pas encore installées sur votre système. Cela se traduit par une
forte diminution du temps de téléchargement et d'installation et par une
diminutionéquivalentedelademandedebandepassantesurleréseau.
Guide d'utilisateur 41
Page 42
À propos du l ogi ciel VirusScan
42 Logiciel antivirus McAfee VirusScan
Page 43
2 Installation du logiciel
VirusScan
Avant de commencer
McAfee assure la distribution du logiciel VirusScan sous deux formats :
1) sous la forme d'un fichier archivé que vous pouvez télécharger à partir
du site Web de McAfee et 2) sur CD-ROM. Même si la méthode utilisée pour
transférer les fichiers VirusScan depuis un archive que vous téléchargez
diffère de celle utilisée pour transférer les fichiers stockés sur un CD-ROM
que vous placez dans votre lecteur, la procédure d'installation que vous
utilisez par la suite est identique pour les deux types de distribution. Vérifiez
que VirusScan pourra fonctionner sur votre système en vous reportant à la
configuration requise détaillée ci-dessous, puis passez à la section
« Préparation de l'installation du logiciel VirusScan » à la page 44.
Configuration requise
VirusScanpeutêtreinstalléetexécutésurunPCIBMoucompatibleéquipéde:
• Un processeur Pentium Intel ou compatible. McAfee recommande un
processeur Intel Pentium ou un processeur Celeron de 166 MHz minimum.
• UnlecteurdeCD-ROM.Sivousaveztéléchargévotreexemplairede
VirusScan, cet élément est optionnel.
2
• 40 Mo minimum d'espace libre sur le disque dur pour une installation
complète.McAfeerecommande75Mo.
• 16 Mo minimum de mémoire vive disponible (RAM). McAfee
recommande 20 Mo.
• MicrosoftWindows 95, Windows 98, Windows NT Workstation v4.0 avec
Service Pack 4 ou version ultérieure, ou Windows 2000 Professionnel.
McAfee recommande également l'utilisation de Microsoft Internet
Explorer v4.0.1, déjà installé ou installé par la suite, en particulier si votre
système utilise une version de Windows 95.
Autres recommandations
Afin de bénéficier des fonctionnalités de mise à jour automatique de
VirusScan, vous devez disposer d'une connexion à Internet, via votre réseau
local ou via un modem grande vitesse et un fournisseur de services Internet.
Guide d'utilisateur 43
Page 44
Installation du logiciel VirusScan
Préparation de l'installation du logiciel VirusScan
Pour préparer vos fichiers en vue de l'installation, suivez la procédure
correspondant au mode de distribution de VirusScan que vous avez adopté.
• Si vous avez téléchargé VirusScan à partir du site Web de Network
Associates, d'un serveur situé sur votre réseau local, ou d'un autre service
électronique, créez un répertoire sur votre disque dur, dans lequel vous
extrairezensuiteles fichiers d'installation de VirusScan à l'aide d'un
utilitaire de compression/décompression tel que WinZip ou PKZIP. Vous
pouvez télécha rger ce type d'utilitaire depuis la plupart des services en
ligne.
IMPORTANT : Si vouspensezque votreordinateur estsusceptible
d'être infecté par un virus, téléchargez les fichiers d'installation de
VirusScan sur un ordinateur non infecté. Installez votre exemplaire
de VirusScan sur l'ordinateur non contaminé, puis, à l'aide de
l'utilitaire Disquette de secours, créez une disquette qui vous
permettra ensuite d'amorcer l'ordinateur infecté et d'éliminer le
virus. Pour en savoir plus, consultez la section «Sivoussuspectez
la présence d'un virus... » à la page 71.
• SivousdisposezduCD-ROMdeVirusScan, insérez celui-ci dans votre
lecteur de CD-ROM.
Si vous insérez un CD-ROM, l'écran d'accueil de VirusScan doit s'afficher
automatiquement. Pour installer le logiciel VirusScan maintenant, cliquez sur
Installer, puis passez à l'Étape 4 à la page 47 pour continuer l'installation. Si
l'écran d'accueil ne s'affiche pas ou si vous installez VirusScan à partir de
fichiers téléchargés, commencez la procédure à partir de l'Étape2àlapage45.
IMPORTANT : Dans la mesure où le programme d'installation installe
certains fichiers VirusScan en tant que services sur les systèmes
Windows NT Workstation v4.0 et Windows 2000 Professionnel,vous
devez vous connecter au système avec des droits d'administrateur pour
installer ce produit. Pour lancer l'installation sur Windows 95 ou
Windows 98, vous n'avez pas besoin de vous connecter avec des profils
oudesdroitsspécifiques.
44 Logiciel antivirus McAfee VirusScan
Page 45
Options d'installation
La section “Procédure d'installation”décrit la procédure d'installation du
logiciel VirusScan avec les options courantes sur un seul ordinateur ou une
seule station de travail. Vous pouvez choisir l'installation Par défaut pour
installer les composants VirusScan utilisés couramment, mais certains
modules VShield et l'utilitaire ScreenScan ne seront pas installés. Si vous
choisissez l'installation Personnalisée, vous pourrez installer tous les
composants VirusScan.
Pour connaître la procédure d'installation du logiciel VirusScan sur plusieurs
ordinateurs en même temps,oupourmodifiervotre installation afindemettre
en œuvre une stratégie antivirus d'entreprise, reportez-vous au Guide de
l'administrateur VirusScan, qui décrit comment installer et configurer le
logiciel VirusScan en fonction des besoins spécifiques à chaque entreprise.
Vous pouvez également utiliser le logiciel ePolicy Orchestrator de McAfee
pour distribuer et configurer VirusScan sur des milliers d'ordinateurs de
bureau d'un réseau. Pour plus de détails, reportez-vous au Guide de
l'administrateur ePolicy Orchestrator.
Procédure d'installation
Installation du logiciel VirusScan
McAfee recommande de fermer d'abord toutes les applications en cours
d'exécution sur votre système avant de démarrer l'installation. Ceci réduit les
probabilités de conflit logiciel au cours de l'installation.
Pour installer le logiciel VirusScan, procédez comme suit :
1. Si votre ordinateur fonctionne avec Windows NT Workstation v4.0 ou
Windows 2000 Professionnel, ouvrez une session sur votre système en
tant qu'administrateur. Vous devez disposer des droits d'administrateur
pour installer VirusScan sur votre système.
2. Dans le menu Démarrer de la barre des tâches Windows, choisissez
Exécuter.
LaboîtededialogueExécuters'affiche(Figure 2-1).
Figure 2-1. Boîte de dialogue Exécuter
Guide d'utilisateur 45
Page 46
Installation du logiciel VirusScan
3. Tapez <X>:\SETUP.EXE dans la zone de texte, puis cliquez sur OK.
<X> représente la lettre correspondant à votre lecteur de CD-ROM ou
le chemin d'accès au répertoire contenant les fichiers d'installation
téléchargésdeVirusScan.Pourrechercherlesfichierssurledisquedur
ou le CD-ROM, cliquez sur Parcourir.
REMARQUE : Si vous disposez de VirusScan sur un CD-ROM
Active VirusDefenseouTotal Virus Defense, vousdevezégalement
préciser le dossier qui contient le logiciel VirusScan.
Avant de poursuivre, le programme d'installation vérifie d'abord si la
version 1.1 de l'utilitaire Microsoft Windows Installer (MSI) est déjà en
cours d'exécution en tant que partie intégrante de votre logiciel système.
Si votre ordinateur fonctionne avec Windows 2000 Professionnel, cette
version de MSI est déjà installée sur votre système. Si votre ordinateur
utilise une version antérieure de Windows, il est probable que cette
version de MSI soit déjà présente sur votre système si vous avez installé
auparavant un autre logiciel qui utilise MSI. Dans les deux cas, le
programme d'installation affiche immédiatementle premier écran de
l'Assistant. Passez à l'Étape 4 pour continuer.
Sileprogrammed'installationnetrouvepasMSIv1.1survotre
ordinateur, il installe les fichiers requis pour continuer l'installation,
puis vous invite à redémarrer votre ordinateur.CliquezsurRedémarrer
l'ordinateur. Pour obtenir la liste des circonstances dans lesquelles le
programme d'installation ou les mises à jour du système nécessitent le
réamorçage du système, reportez-vous à la section « Circonstances qui
exigent le redémarrage de votre ordinateur » à la page 66.
Lorsque l'ordinateur redémarre, le programme d'installation reprend le
processus au stade qui a précédé l'arrêt de l'ordinateur. L'écran d'accueil
Installation s'affiche (Figure 2-2 à la page 47).
46 Logiciel antivirus McAfee VirusScan
Page 47
Installation du logiciel VirusScan
Figure 2-2. Écran d'accueil Installation
4. Ce premier écran vous indique l'emplacement où vous allez placer le
fichier README.TXT, qui décrit les fonctions du produit, les problèmes
connus, et fournit les toutes dernières informations disponibles sur cette
versiondeVirusScan.Aprèsavoirluletexte,cliquezsurSuivant> pour
continuer.
5. L'écran suivant affiche le contrat de licence utilisateur final de VirusScan.
Lisez ce contrat attentivement, car l'installation de VirusScan implique
l'acceptation des termes de la licence.
Si vous n'acceptez pas les termes du contrat de licence, sélectionnez
Je n'accepte pas les termes du contrat de licence,puiscliquez
sur Annuler. Vous quitterez alors le programme d'installation. Sinon,
cliquez sur J'accepte les termes du contrat de licence,puiscliquez
sur Suivant> pour continuer.
Le programme d'installation vérifie alors si des versions antérieures
de VirusScan ou des logiciels incompatibles sont installés sur votre
ordinateur. Si aucun autre logiciel antivirus ou aucune version
précédente de VirusScan ne sont installés sur votre ordinateur, le
programme d'installation affiche l'écran Type d'installation (Figure 2-6).
Passez à l'Étape 8 à la page 50 pour continuer.
Si le programme d'installation détecte une version antérieure de
VirusScan sur votre ordinateur, il vous informe qu'il doit la supprimer.
Si votre ordinateur fonctionne avec Windows 95 ou Windows 98, le
programme d'installation vous offre la possibilité de préserver les
paramètres de configuration de VShield que vous avez choisies pour
la version antérieure (Figure2-3àlapage48).
Guide d'utilisateur 47
Page 48
Installation du logiciel VirusScan
Si votre ordinateur utilise Windows NT Workstation v4.0 ou
Windows 2000 Professionnel, le programme d'installation supprimera la
version antérieure de VirusScan, mais ne conservera pas les paramètres
de l'ancienne i nstallation du moteur d'analyse VShield.
Figure 2-3. écran Version précédente détectée
6. Sélectionnez Préserver les paramètres lors de l'accès, si cette option
est disponible, puis cliquez sur Suivant> pour continuer.
Si le programme d'installation détecte un logiciel incompatible, il
affiche un écran vous permettant de supprimer le logiciel en conflit
(voir Figure2-4àlapage49).
Si aucun logiciel incompatible n'est détecté et si votre ordinateur
fonctionne avec Windows 95 ou Windows 98, passez à l'Étape9àla
page 51 pour continuer l'installation. Si aucun logiciel incompatible n'est
détecté et si votre ordinateur fonctionne avec Windows NT Workstation
v4.0 ou Windows 2000 Professionnel, passez à l'Étape8àlapage50pour
continuer. Sinon, passez à l'Étape 7.
48 Logiciel antivirus McAfee VirusScan
Page 49
Installation du logiciel VirusScan
Figure 2-4. Écr an Logiciel incompatible
7. Cochez la case qui s'affiche, puis cliquez sur Suivant>.Leprogramme
d'installation lance l'utilitaire de désinstallation utilisé normalement par
le logiciel en conflit, lui permettant de supprimer le logiciel de votre
ordinateur. L'utilitaire de désinstallation peut vous demander de
redémarrer l'ordinateur pour supprimer complètement le logiciel en
conflit. Vous n'avez pas besoin de redémarrer votre ordinateur pour
continuer l'installation de VirusScan ; tant que l'autre logiciel n'est pas
actif, le programme d'installation peut continuer sans générer de conflits.
REMARQUE : McAfee recommande fortement de supprimer les
logiciels incompatibles. La plupart des logiciels antivirus
fonctionnant à un niveau très bas au sein de votre système, deux
programmes antivirus qui tentent simultanément d'accéder aux
mêmes fichiers ou qui exécutent des opératio ns critiques peuvent
rendre votre système très instable.
Si votre ordinateur fonctionne avec Windows NT Workstation v4.0
ou Windows 2000 Professionnel, le programme d'installation vous
demande alors le mode de sécurité que vous souhaitez utiliser pour
exécuter le logiciel VirusScan sur votre système (voir Figure 2-5 à la
page 50).
Guide d'utilisateur 49
Page 50
Installation du logiciel VirusScan
Les options proposées dans cet écran vous permettent de déterminer si
d'autres utilisateurs auront ou non la possibilité de modifier les options
de configuration que vous avez choisies, de planifier et d'exécuter des
tâches et d'activer et désactiver les composants VirusScan. Le logiciel
VirusScan inclut de nom breuses mesures de sécurité afin de garantir
qu'aucun utilisateur non autorisé ne modifiera la configuration du
logiciel en mode Sécurité maximale. Le mode Sécurité standard permet à
tous les utilisateurs d'accéder à l'ensemble des options de configuration.
Quelle que soit l'option choisie, le programme installera la même version
de VirusScan, les mêmes options de configuration et les mêmes tâches
planifiées pour tous les utilisateurs du système.
8. Sélectionnez le mode de sécurité que vous préférez. Vous avez le choix
entre les options suivantes :
• Utiliser la sécurité maximale. Choisissez cette option pour exiger
des droits d'administrateur à tout utilisateur souhaitant modifier
des options de configuration, activer ou désactiver des composants
VirusScan, ou configurer et exécuter des tâches planifiées.
Lesutilisateursnedisposantpasdesdroitsd'administrateurrequis
pourront toujours configurer et exécuter leurs propres opérations
d'analyse avec l'application VirusScan et enregistrer les paramètres
decesopérationsdansunfichier.VSC,maisilsneserontpasen
mesure de modifier les paramètres par défaut de l'application
VirusScan. Pour plus d'informations sur la configuration et
l'enregistrement desparamètresdel'application VirusScan,reportezvous au Chapitre 5, « Utilisation de l'application VirusScan ».
50 Logiciel antivirus McAfee VirusScan
Figure 2-5. Écran Type de sécurité
Page 51
Installation du logiciel VirusScan
• Utiliser la sécurité standard. Choisissez cette option pour
permettre à tout utilisateur ouvrant une session sur votre
ordinateurdemodifier desoptionsde configuration, d'activeroude
désactiver des composants VirusScan, ou de configurer et
d'exécuter des tâches planifiées.
Leprogrammed'installationvousdemandeensuitedechoisirentreune
installation par défaut et une installation personnalisée pour cet
ordinateur (voir Figure 2-6).
Figure 2-6. Écran Type d'installation
9. Choisissez le type d'installation que vous préférez. Vous avez le choix
entre les options suivantes :
• Installation par défaut. Cette option installe un jeu de composants
de base qui inclut :
– l'application VirusScan et des extensions d'application vous
permettant de démarrer une opération d'analyseen faisant un
clicdroitsurn'importequelobjetdevotredisquedur
– la console VirusScan
– le module Analyse système VShield
– l'utilitaire de configuration cliente du Gestionnaire d'alerte
– l'utilitaire Send Virus
– l'utilitaire de création d'une disquette de secours
– lemoteurd'analysedelignedecommandeVirusScan
Guide d'utilisateur 51
Page 52
Installation du logiciel VirusScan
• Installation personnalisée. Cette option démarre avec les mêmes
composants que l'installation par défaut, mais vous permet de
choisir parmi les éléments supplémentaires suivants :
Pourensavoirplussurlerôledechaquecomposant,reportez-vousàla
section «ComposantsfournisavecVirusScan»àlapage34.
10. Choisissez l'option que vous préférez, puis cliquez sur Suivant> pour
continuer.
Si vous choisissez Installation personnalisée, l'écran qui apparaît
dans la Figure 2-7 s'affiche. Sinon, passez à l'Étape 13 à la page 53 pour
continuer l'installation.
– Les modules Analyse E-Mail, Analyse au téléchargement et
Filtre Internet VShield.
– L'utilitaire ScreenScan
11. Sélectionnez les composants VirusScan que vous souhaitez i nstaller.
Vous pouvez :
• Ajouteruncomposant à l'installation.Cliquez en regardd'un
nom de composant, puis choisissez Ce composant sera
installé pour être exécuté à partir du disque dur local dans le
menu qui s'affiche. Pour ajouter un composant et tout module
associé à ce composant, choisissez Cette fonction et toutes
ses sous-fonctions seront installées plutôt sur le lecteur de
disque dur local. Vous pouvez choisir cette option uniquement
pourlescomposantsquiontdesmodulesassociés.
52 Logiciel antivirus McAfee VirusScan
Figure 2-7. Écran Installation per sonnalisée
Page 53
Installation du logiciel VirusScan
• Supprimer un composant de l'installation. Cliquez en regard
d'un nom de composant, puis choisissez Ce composant ne
sera pas d isponible dans le menu qui s'affiche.
REMARQUE : L'utilitaire d'installation de VirusScanneprend
pas en charge les autres options de ce menu. Vous ne pouvez
pas installer des composants VirusScan pour être exécutés à
partir d'un réseau et le logiciel VirusScan n'inclut pas des
composants pouvant être installés en fonction des besoins.
Vous pouvez également spécifier un disque et un répertoire de
destination différents pour l'installation. Cliquez sur Changer,puis
recherchez le lecteur ou le répertoire de votre choix dans la boîte de
dialogue qui s'affiche. Pour afficher un résumé de l'espace disque requis
pour installer VirusScan par rapport à l'espace disponible sur votre
disque, cliquez sur Espace disque requis.L'Assistantmeten
surbrillance les disques dont l'espace disponible est insuffisant.
12. Après avoir c hoisi les co mposants à installer, cliquez sur Suivant> pour
continuer.
Le programme d'installation affiche un écran indiquant qu'il est prêt
pour commencer l'installation des fichiers (Figure 2-8).
Figure 2-8. Écran Prêt pour l'installation
13. Cliquez sur Installer pour com mencer la copie des fichiers sur votre
disque dur. Sinon, cliquez sur <Précédent pour modifier les options
d'installation choisies.
Guide d'utilisateur 53
Page 54
Installation du logiciel VirusScan
Le programme d'installation supprime d'abord toute version antérieure
de VirusScan ou tout logiciel incompatible installés sur votre ordinateur,
puis copie les fichiers du programme VirusScan sur votre disque dur.
Une fois cesopérationsterminées,leprogrammed'installation afficheun
écran vous demandant si vous souhaitez configurer le produit que vous
avez installé (Figure 2-9).
Figure 2-9. Écran Terminer l'installation
14. À ce stade, deux possibilités s'offrent à vous :
• Terminer votre installation. Laissez la case Analyser la mémoire
avant la configuration décochée, puis cliquez sur Ignorer la
configuration pour terminer votre installation. Le programme
d'installation vous demande si vous souhaitez démarrer le moteur
d'analyse VShield et la console VirusScan immédiatement. Pour ce
faire, cochez la case Démarrer VirusScan,puiscliquezsur
Terminer. Votre logiciel VirusScan est prêt.
REMARQUE : Si une version antérieure de VirusScan est
installée sur votre ordinateur, vous devez réamorcer votre
système pour démarrer le moteur d'analyse VShield. Le
programme d'installation vous demande de redémarrer votre
ordinateur.
• Choisir les options de configuration pour votre installation. Avant
de démarrer le moteur d'analyse VShield et la console VirusScan,
vouspouvezchoisird'analyser votre système,decréer unedisquette
de secours ou de mettre à jour les fichiers de définition de virus.
54 Logiciel antivirus McAfee VirusScan
Page 55
Installation du logiciel VirusScan
Pour ce faire, cochez la case Analyser la mémoire avant la
configuration pour que le programme d'installation démarre
brièvement l'application VirusScan afin d'analyser votre mémoire
système. Puis, cliquez sur Configurer.
Le programme d'installation lance l'application VirusScan afin de
vérifier l'absence de virus dans la mémoire système avant de poursuivre.
En cas d'infection, VirusScan vous en avertit et vous demande la
démarche à suivre. Pour en savoir plus sur les choix qui s'offrent à vous,
reportez-vous au Chapitre 3, « Suppression d'une infection dans votre
système ». S'il n'y a pas de virus, VirusScan s'affiche brièvement pendant
l'analyse du système, puis le programme d'installation affiche les deux
premiers écrans de configuration (Figure 2-10).
Figure 2 -10. Écran Configuration
15. Si votre ordinateur utilise Windows 95 ou Windows 98, vous pouvez
choisir l'une des options de configuration présentées ci-dessous. Ces
options sont les suivantes :
• Analyser la zone système au démarrage.Cochezcettecasepour
que le programme d'installation ajoute les lignes suivantes dans
votre fichier Windows AUTOEXEC.BAT :
C:\PROGRA~1\NETWOR~1\MCAFEE~1\SCAN.EXE C:\
@IF ERRORLEVEL 1 PAUSE
Guide d'utilisateur 55
Page 56
Installation du logiciel VirusScan
Cette instruction demande à votre système de lancer le moteur
d'analyse de ligne de commande VirusScan lors du démarrage du
système. Silemoteurd'analysedétecteun virus sur votre système, il
interrompt sonexécutionpourvouspermettre d'arrêterl'ordinateur
et d'utiliser la disquette de secours VirusScan pour le redémarrer.
• Créer une disquette de secours. Cette option est sélectionnée
par défaut. Elle demande au programme d'installation de quitter
sa séquence normale afin de démarrer l'utilitaire de création de
disquette de secours. L'utilitaire formate et copie un moteur
d'analyse et des fichiers de support sur une disquette amorçable
que vous pouvez utiliser pour démarrer le système dans un
environnement exempt de virus. Vous pouvez également utiliser
cette disquette pour analyser des portions du disque dur. Après
avoir créé la disquette, l'utilitaire revient à la séquence d'installation
normale. Décochez cette case pour ignorer la création d'une
disquette de secours. Vous pouvez démarrer l'utilitaire à tout
moment une fois l'installation terminée.
• Exécuter l'analyse par défaut après l'installation.Cetteoptionest
sélectionnée par défaut. Elle demande au programme d'installation
d'acheverl'installation,puis d'exécuterimmédiatementl'application
VirusScan afin d'analyser entièrement la partition de démarrage. Si
l'application détecte un virus sur la partition, elle vous en avertit,
sinon elle quittesansafficherd'autresmessages.Décochezcette case
pour ignorer l'opération d'analyse.
REMARQUE : Si vous avez demandé au programme
d'installation de supprimer les versions antérieures de
VirusScan installées sur votre système, il exécute l'opération
d'analyseaprèsavoirredémarré votre ordinateur.L'application
VirusScan s'affiche immédiatement après le démarrage du
système.
Si votre ordinateur utilise Windows NT Workstation v4.0 ou
Windows 2000 Professionnel, vous ne pouvez pas choisir Analyser
le secteur d'amorçage au démarrage,maisvouspouvezchoisir
toutes les autres options proposées. Ni Windows NT Workstation ni
Windows 2000 n'autorisent le logiciel à analyser ou à modifier les
secteurs d'amorçage du disque dur ou les partitions d'amorçage (MBR).
En outre, ces systèmes d'exploitation n'utilisent pas de fichier
AUTOEXEC.BATpourdémarrerlesystème.
56 Logiciel antivirus McAfee VirusScan
Page 57
Installation du logiciel VirusScan
16. Une fois les options sélectionnées, cliquez sur Suivant> pour continuer.
Si vous avez sélectionné l'option Créer une disquette de secours,
l'Assistant de création de disquette de secours démarre immédiatement.
Pour en savoir plus sur l'utilisation de cet utilitaire, reportez-vous à la
section « Utilisation de l'utilitaire de création d'une disquette de
secours » à la page 59.
Après avoir créé la disquette de secours, l'utilitaire revient à ce stade de
la séquence d'installation. Pour ignorer l'utilitaire de création de
disquette de secours une fois démarré, cliquez sur Annuler dans le
premier écran.
Le programme d'installation affiche un deuxième écran de configuration
vous permettant de mettre à jour les fichiers de définition de virus et de
configurerl'utilitaireAutoUpdatepourlesfuturesopérationsdemiseà
jour (voir Figure 2-11).
Figure 2-11. Écran Mettre à jour les fichiers de définition de virus
17. Choisissez l'option de mise à jour que vous préférez. Vous pouvez :
• Exécuter AutoUpdate maintenant. Cette option utilise les options
de configuration de mise à jour automatique par défaut pour se
connecter directement au site Web de McAfee et télécharger les
dernières mises à jour des fichiers .DAT incrémentiels. Sélectionnez
cette option si votre entreprise n'a pas désigné un emplacement de
votre réseau comme site de mise à jour, et si vous n'avez pas besoin
de configurer des paramètres de serveur proxy ou de pare-feu. Ceci
garantit l'utilisation de fichiers actualisés dans toute opération
d'analyse que vous exécutez.
Guide d'utilisateur 57
Page 58
Installation du logiciel VirusScan
• Configurer AutoUpdate maintenant. Cette option ouvre la boîte
de dialogue Actualisation automatique, où vous pouvez ajouter et
configurer un site de mise à jour à partir duquel vous allez
télécharger les nouveaux fichiers. Sélectionnez cette option si votre
entreprise a désigné un serveur pour les mises à jour des fichiers
.DAT au sein de votre réseau, ou si vous souhaitez modifier la façon
dontvotreordinateurseconnecteausiteWebdeMcAfee;modifier
lesparamètresdepare-feuoudeserveurproxy,parexemple.
Pour en savoir plus sur la configuration de l'utilitaire AutoUpdate,
reportez-vous à la section « Configuration de l'utilitaire
AutoUpdate » à la page 278.
• Attendre et exécuter AutoUpdate plus tard. Cette option ignore
l'opération de mise à jour automatique. Vous pouvez configurer et
planifier une tâche de mise à jour automatique pour télécharger de
nouveaux fichiers .DAT ultérieurement. Pour en savoir plus sur la
planification d'une tâche, reportez-vous à la section Chapitre 6,
« Création et configuration des tâches planifiées ».
18. Une fois les options sélectionnées, cliquez sur Suivant>.
Si vous choisissez d'exécuter une opération AutoUpdate
immédiatement, l'utilitaire se connecte au site Web de McAfee pour
télécharger les nouveaux fichiers .DAT incrémentiels. Une fois les
fichiers téléchargés, le programme d'installation reprend son exécution.
Si vous choisissez de configurer l'utilitaire AutoUpdate, la boîte de
dialogue Actualisation automatique s'affiche. Sélectionnez vos options
de configuration, puis cliquez sur Mettre à jour maintenant pour
démarrer immédiatement une opération de mise à jour, ou cliquez sur
OK pour enregistrer les options choisies.
Le programme d'installation affiche ensuite son dernier écran et vous
demande si vous souhaitez démarrer le moteur d'analyse VShield et la
console VirusScan immédiatement (Figure 2-12 à la page 59).
58 Logiciel antivirus McAfee VirusScan
Page 59
Installation du logiciel VirusScan
Figure 2 -12. Écran Installation terminée
19. Pour ce faire, cochez la case Démarrer VirusScan,puiscliquezsur
Terminer. Les « écrans de démarrage » du logiciel VirusScan s'affichent
et les icônes du moteur d'analyse VShield et de la console VirusScan
apparaissent dans la barre d'état système Windows. Votre logiciel est
prêt.
REMARQUE : Si une version antérieure de VirusScan est installée
sur votre ordinateur, vous devez réamorcer votre système pour
démarrer lemoteurd'analyseVShield.Leprogramme d'installation
vousdemandederedémarrervotreordinateur.
Utilisation de l'utilitaire de création d'une disquette de secours
Si vous avez choisi de créer une disquette de secours pendant l'installation, le
programme d'installation démarre l'Assistant de la disquette de secours au
milieu de l'installation du logiciel VirusScan puis, une fois la disquette créée,
il reprend la séquence d'installation. Pour en savoir plus sur la création d'une
disquette de secours, commencez par l'Étape1àlapage61. Vous pouvez
également démarrer l'Assistant de la disquette de secours à n'importe qu el
moment après l'installation du logiciel VirusScan.
Guide d'utilisateur 59
Page 60
Installation du logiciel VirusScan
REMARQUE : Network Associates vous recommande vivement de
créer une disquette de secours pendant la procédure d'installation, mais
après avoir analysé le système à l'aide de VirusScan. Si VirusScan détecte
un virus sur votre système, ne créez pas de disquette de secours sur
l'ordinateur infecté.
La disquette de secours que vous créez inclut le fichier BOOTSCAN.EXE, qui
est un moteur d'analyse de ligne de commande spécialisé, de petite taille,
conçu pour analyser les zones systèmes et les partitions d'amorçage (MBR) de
votredisquedur.LefichierBOOTSCAN.EXEtravailleavecunensemblede
fichiers .DAT spécialisés ayant pour but de traquer les virus de zone système.
Si vousavezdéjàinstallé lelogicielVirusScanaveclesoptionspardéfaut, vous
trouverez ces fichiers .DAT sur votre disque dur, à l'emplacement suivant :
C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx
Lesfichiers.DATspéciauxportentlesnomssuivants:
• EMCLEAN.DAT
•EMNAMES.DAT
•EMSCAN.DAT
McAffee met à jour régulièrement ces fichiers .DAT afin de détecter les
nouveaux virus de zone système. Vous pouvez télécharger les fichiers .DAT
desecoursactualisésdepuisl'emplacementsuivant:
http://www.nai.com/asp_set/anti_virus/avert/tools.asp
REMARQUE : McAfee vous recommande de télécharger les nouveaux
fichiers .DAT de secours directement sur une disquette que vous venez
de formater afin de réduire les risques d'infection.
Dans la mesure où l'Assistant renomme les fichiers et les prépare pour leur
utilisation lors de la création de la disquette, vous ne devez pas copier ces
fichiers directement s ur une disquette de secours que vous créez vous-même.
Utilisez l'Assistant de la disquette de secours pour préparer votre disquette de
secours.
Pour démarrer l'Assistant après l'installation, cliquez sur Démarrer dans la
barre des tâches Windows, pointez sur Programmes,puissurNetwork
Associates. Sélectionnez ensuite Créer une disquette de secours.
L'écran d'accueil de l'Assistant de la disquette de secours s'affiche (Figure 2-13
àlapage61).
60 Logiciel antivirus McAfee VirusScan
Page 61
Installation du logiciel VirusScan
Figure 2-13. Écran d'accueil de l'Assistant de la disquette de secours
1. Cliquez sur Suivant> pour continuer.
L'écran suivant de l'Assistant s'affiche (Figure 2-14).
Figure 2-14. Deuxième écran de la disquette de secours
Si votre ordinateur fonctionne avec Windows NT Workstation ou
Windows 2000 Professionnel, l'Assistantvous informe qu'il va formater
votre disquette de secours avec le NAI-OS.
Vous devez utiliser ces fichiers de système d'exploitation propriétaires
pour créer votre disquette de secours, car les fichiers système de
Windows NT Workstation v4.0 et de Windows 2000 Professionnel ne
rentrent pas en seule disquette.
Guide d'utilisateur 61
Page 62
Installation du logiciel VirusScan
Si votre ordinateur fonctionne avec Windows 95 ou Windows 98,
l'Assistant vous offre lapossibilitédeformatervotredisquette desecours
avec le NAI-OS ou avec des fichiers de démarrage Windows.
2. Sil'Assistantvouslepermet,choisissezlesfichiersdesystème
d'exploitation que vous souhaitez utiliser, puis cliquez sur Suivant>
pour continuer. L'Assistant affiche ensuite un écran qui varie en fonction
du système d'exploitation que vous choisissez :
• Si vous décidez de formater votre disquette avec le NAI-OS,
l'Assistant affiche un écran d'information (Figure 2-15).
Figure 2-15. Écran d'information de la disquette de secours
Pour continuer, procédez comme suit :
a. Insérez une disquette non verrouillée et non formatée de
1,44 Mo dans votre lecteur, puis cliquez sur Suivant>.
L'Assistant de la disquette de secours copie les fichiers requis
depuisuneimagedisquestockéedanslerépertoiredu
programme VirusScan. Pendant la copie des fichiers, il affiche
leur progression dans un écran.
b. Cliquez sur Terminer pour quitter l'Assistant une fois la
disquette créée.
Retirez ensuite la disquette du lecteur, verrouillez-la, collez une
étiquette intitulée Disquette de secours démarrage McAfee et placez-la
en lieu sûr.
• Sivousdécidezde formater votredisquetteavecles fichiers système
Windows, l'Assistant affiche un écran vous permettant de formater
la disquette (voir Figure 2-16 à la page 63).
62 Logiciel antivirus McAfee VirusScan
Page 63
Installation du logiciel VirusScan
Figure 2-16. Troisième écran de la disquette de secours
Vous avez le choix entre les options suivantes :
• Si vous disposez d'une disquette formatée et exempte de virus,
contenant uniquement des fichiers système DOS ou Windows,
insérez-la dans le lecteur. Cochez ensuite la case Ne pas formater,
puis cliquez sur Suivant> pour continuer.
Vous indiquez ainsi à l'Assistant de la disquette de secours de ne
copiersurladisquettequelecomposantLignedecommandede
VirusScan,les fichiers.DAT de secours, et les fichiers de support.
Passez à l'Étape 3 à la page 64 pour continuer.
•Sivousnepossédezpas dedisquetteformatéeet parfaitement saine,
abritant les fichiers système DOS ou Windows, vous devez en créer
une afin d'utiliser la disquette de secours pour démarrer
l'ordinateur. Procédez comme suit :
a. Insérez une disquette non verrouillée et non formatée dans
votre lecteur. McAfee vous recommande d'utiliser une
disquette toute neuve non formatée afin d'éviter tout risque
d'infection de votre disquette de secours.
b. Assurez-vous que la case Ne pas f orma ter n'est pas cochée.
c. Cliquez sur Suivant>.
La boîte de dialogue de formatage de disquette Windows
s'affiche ( voir Figure 2-17 à la page 64).
Guide d'utilisateur 63
Page 64
Installation du logiciel VirusScan
Figure 2-17. Boîte de dialogue de formatage Windows
d. Assurez-vousquelacase Complet estcochéedanslazoneType
de format, de même que la case Copier les fichiers système
dans la zone Autres options. Cliquez ensuite sur Démarrer.
Windows formate la disquette et y copie les fichiers système
nécessaires au démarrage de l'ordinateur.
e. Cliquez sur Fermer lorsque Windows a terminé de formater
votre disquette, puis cliquez à nouveau sur Fermer pour
revenir à l'écran Disquette de secours.
3. Cliquez sur Suivant> pour continuer. Le programme d'installation
analyse la disquette que vous venez de formater à la recherche
d'éventuels virus(Figure 2-18).
64 Logiciel antivirus McAfee VirusScan
Page 65
Installation du logiciel VirusScan
Figure 2-18. Analyse de la disquette de secours
Si VirusScan ne détecte aucun virus lors de l'analyse, le programme
d'installation copie immédiatement le fichier BOOTSCAN.EXE et ses
fichiers de support sur la disquette que vous avez créée. Si VirusScan
détecte un virus, quittez immédiatement le programme d'installation.
Reportez-vous à la section voir « Si vous suspectez la présence d'un
virus... » à la page 71 pour connaître la démarche à suivre.
4. Lorsque l'Assistant termine de copier les fichiers de la disquette de
secours, il affiche son écran final (Figure 2-19).
Figure 2 -19. Écran final de l'Assistant de la disquette de secours
Guide d'utilisateur 65
Page 66
Installation du logiciel VirusScan
5. CliquezsurTerminer pour fermer l'Assistant. Retirezensuitelanouvelle
disquette de secours de votre lecteur, collez-lui une étiquette,
verrouillez-la et placez-la en lieu sûr.
REMARQUE : Une disquette verrouillée ou protégée en écriture
présente deux orifices près du bord situé à l'opposé de la partie
métallique de la disquette. Si les deux orifices ne sont pas visibles,
recherchez untaquetenplastique dans l'un descoinsdela disquette
et faites-le glisser jusqu'àce qu'il soit verrouillé laissant l'orifice
ouvert.
Circonstances qui exigent le redémarrage de votre ordinateur
Dans certains cas, vous pouvez installer et utiliser cette version de VirusScan
immédiatement, sans avoir à redémarrer votre ordinateur. Dans d'autres cas,
Microsoft Installer (MSI) doit parfois remplacer ou initialiser certains fichiers,
ou vous pouvez être amené à supprimer certains fichiers des anciennes
installations de McAfee pour que le logiciel VirusScan puisse fonctionner
correctement. Ces conditions peuvent également varier selon la plate-forme
Windows prise en charge.
Danscescas,vous devezredémarrervotre ordinateuraucoursde l'installation,
souvent pour installer les fichiers MSI, ou une fois l'installation terminée.
Pour savoir dans quelles circonstances vous devez redémarrer votre
ordinateur, reportez-vous au Table 2-1.
Table 2-1. Circonstances qui exigent le redémarrage du système
Circonstance
Installation sur un ordinateur
ne possédant pas de version
antérieuredeVirusScannide
logiciel incompatible
Installation sur un ordinateur
possédant une version
antérieure de VirusScan
66 Logiciel antivirus McAfee VirusScan
Windows 95 et
Windows 98
Redémarrage non
requis, sauf si vous
avez installé Novell
Client32pourNetWare,
auquel cas le redémarrage devient obligatoire
Redémarrage requis Redémarrage requis
Windows NT et
Windows 2000
Redémarrage requis
Page 67
Installation du logiciel VirusScan
Table 2-1. Circonstances qui exigent le redémarrage du système
Windows 95 et
Circonstance
Installation sur un ordinateur
possédant un logiciel
incompatible
Installation sur un ordinateur
possédant Microsoft Installer
(MSI) v1.0
REMARQUE :Microsoft
Office 2000 installe cette
version de MSI
Installation sur un ordinateur
possédant Microsoft
Installer v1.1
Mises à jour des fichiers .DAT Redémarrage non
Mise à jour du moteur
d'analyse via l'utilitaire
SuperDAT de McAfee
Windows 98
Redémarrage non
requis, mais le programme d'installation
vous demande si vous
souhaitez redémarrer
votre ordinateur. Vous
pouvezcliquersur
en toute sécurité.
Redémarrage requis
après l'installation des
fichiers MSI et avant la
poursuite de
l'installation
Redémarrage non
requis, sauf pour les
systèmes Windows 98
Second Edition, ou en
cas d'utilisation de
certains pilotes ou
fichiers .DLL
requis
Redémarrage non
requis
Non
Windows NT et
Windows 2000
Redémarrage non
requis, mais le programme d'installation vous demande si
vous souhaitez redémarrer votre ordinateur. Vous pouvez
cliquer sur
toute sécurité.
Redémarrage requis
après l'installation
des fichiers MSI et
avant la poursuite de
l'installation
Redémarrage non
requis
Redémarrage non
requis
Redémarrage non
requis
Non en
Test de votre installation
Unefoisinstallé,VirusScanpeutrechercherlesfichiersinfectésdansvotre
système. Vous pouvez vérifier que VirusScan est correctement installé et q ue
le logicieleste n mesure de détecterdesvirusen appliquant le test EICAR,fruit
de la volonté des principaux fabricants d'antivirus en Europe d'offrir à leurs
clients la possibilité de tester n'importe quelle installation antivirus.
Pour tester votre installation, procédez comme suit :
1. Ouvrez un éditeur de texte Windows standard, tel que le Bloc-notes, et
tapez le texte suivant, sur uneseul eligne, sansespaceset sansretoursà la ligne :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUSTEST-FILE!$H+H*
Guide d'utilisateur 67
Page 68
Installation du logiciel VirusScan
REMARQUE : Lachaînedecaractèresci-dess us doit constituer une
seule ligne dans la fenêtre de votre éditeur de texte; veillez donc à
maximiser la fenêtre et à supprimer les retours à la ligne. Aussi,
vérifiezquevousavezbientapélalettreOetnonlechiffre0,dans
la chaîne « X5O... », au début du message test.
Si vous consultez ce guide sur votre ordinateur, vous pouvez
copier la ligne directement à partir du fichier .PDF Acrobat vers
le Bloc-notes. Vous pouvez également copier cette chaîne de texte
directement à partir de la section « Test de votre installation »
dufichierREADME.TXT,quisetrouvedanslerépertoiredu
programme VirusScan. Si vous copiez la ligne à partir de l'une de
ces sources, pensez à supprimer les retours à la ligne et les espaces.
2. Enregistrez le fichier sous le nom EICAR.COM. Sa taille sera de 69 ou
70 octets.
3. Lancez VirusScan et demandez-lui d'analyser le répertoire contenant le
fichier EICAR.COM. Lorsque VirusScan analyseracefichier,ilindiquera
qu'il a détecté le virus EICAR-STANDARD-AV-TEST-FILE.
IMPORTANT :
cas se propager ou infecter d'autres fichiers, ni endommager votre
système de quelque façon que ce soit. Lorsque vous aurez terminé
votre test, supp r imez ce fichier afinquelesutilisateursnonave rtis
n'en soient pas inutilement alarmés.
Ce fichier
n'est pas un virus
Modification ou suppression de VirusScan
La version de Microsoft Windows Installer utilisée par le logiciel VirusScan
inclut également une méthode standard de modification et de suppression de
votre installation de VirusScan.
Pour modifier ou supprimer le logiciel VirusScan, procédez comme suit :
1. Cliquez sur Démarrer dans la barre des tâches Windows, pointez sur
Paramètres, puis choisissez Panneau de configuration.
2. Double-cliquez sur l'icône Ajout/Suppression de programmes du
Panneau de configuration.
3. Dans la boîte dedialogueAjout/Suppression de programmes,choisissez
McAfee VirusScan v4.5.0 dans la liste, puis cliquez sur Ajouter/
Supprimer.
.Ilnepeutenaucun
68 Logiciel antivirus McAfee VirusScan
Page 69
Installation du logiciel VirusScan
Le programme d'installation démarre et affiche le premier écran de
l'assistant de Maintenance (Figure 2-20 à la page 69).
Figure 2-20. Premier écran de maintenance
4. Cliquez sur Suivant> pour continuer.
Le programme d'installation affiche l'écran Maintenance du programme.
Figure 2-21. Écran Maintenance du programme
Guide d'utilisateur 69
Page 70
Installation du logiciel VirusScan
5. Vous pouvez modifier les co mpo sants VirusScan ou supprimer
complètement le logiciel VirusScan de votre système. Vous avez le choix
entre les options suivantes :
• Modifier. Sélectionnez cette option pour ajouter ou supprimer des
composants VirusScan individuels. Le programme d'installation
affiche l'écran Personnalisé (Figure 2-7 à la page 52). Commencez
par l'Étape 11 à la page 52 pour choisir les composants que vous
souhaitez ajouter ou supprimer.
• Supprimer.Sélectionnez cette option pour supprimer
complètement le logiciel VirusScan de votre ordinateur. Le
programme d'installation vous demande de confirmer la
suppression du logiciel de votre ordinateur (Figure 2-22).
REMARQUE : Cet écran diffère de celui qui apparaît à la
page 52:Ilnevouspermetpasdechangerlerépertoiredu
programme VirusScan et n'affiche pas non plus les statistiques
sur l'utilisation du disque. Pour installer VirusScan dans un
répertoiredifférentousurunautre lecteur, vousdevezd'abord
supprimer le logiciel, puis le réinstaller.
Cliquez sur Supprimer. Pendantqu'ilsupprimeVirusScande votre
système, le programme d'installation affiche des informations sur la
progression de la tâche. Une fois la suppression terminée, cliquez
sur Terminer pour fermer l'écran de l'Assistant.
70 Logiciel antivirus McAfee VirusScan
Figure 2-22. Écran Supprimer le programme
Page 71
3Suppression d'une infection
dans votre système
Si vous suspectez la présence d'un virus...
Tout d'abord, ne paniquez pas ! Bien que la plupart des virus susceptibles
d'infecter votre machine ne soient pas inoffensifs, il est peu probable qu'ils
détruisentdesdonnées,qu'ilsvousjouentdestoursouqu'ilsrendentvotre
ordinateur inutilisable. Même les virus relativement rares programmés pour
réaliser une fonction d ommageable ne se déclenchent qu'en réponse à un
événement particulier. Dans la plupart des cas, et à moins que vous n'ayez la
preuve du déclenchement d'une fonction malveillante, vous avez le temps de
prendre les mesures qui s'imposent. Toutefois, la seule présence de ces petits
fragments de codes indésirables pouvant enrayer le fonctionnement normal
de l'ordinateur, consommer des ressources système ou avoir d'autres effets
importuns, il est essentiel de les supprimer dès que vous détectez leur
présence.
Par ailleurs, il est important de garder à l'esprit qu'un fonctionnement
inhabituel de l'ordinateur, un blocage système inexpliqué ou d'autres
événements imprévisibles peuvent avoir d'autres causes que l'infection virale.
Si de telles occurrences vous font suspecter la présence d'un virus sur votre
ordinateur, l'analyse du système ne produira peut-être pas les résultats
escomptés. Cependant, il vous permettra d'éliminer le virus comme cause
possible du problème.
3
La solution la plus sûreconsisteàinstallerlelogicielVirusScan etàexécuterl'analyse
complète du système.
Lors de l'installation de VirusScan, le programme d'installation démarre
l'application VirusScan et examine la mémoire système et la zone système du
disque dur pour vérifier l'absence de virus et éliminer tout risque d'infection
desespropresfichiers.Sil'applicationnedétectepasdevirus,continuez
l'installation, puis exécutez une analyse complète du système dès le
redémarrage de l'ordinateur.Lesvirusresponsables de l'infection des fichiers,
qui ne s e chargent pas dans la mémoire de votre ordinateur ou qui ne se
cachent pas dans les zones système de votre disque dur, peuvent toujours se
cacher ailleurs dans votre système. Pour plus d'informations sur l'analyse du
système pendant la procédure d'installation, reportez-vous au Chapitre 2,
« Installation du logiciel VirusScan »,. Pour en savoir plus sur la procédure
d'analyse système, reportez-vous au Chapitre 5, « Utilisation de l'application
VirusScan »,.
Guide d'utilisateur 71
Page 72
Suppression d'une infection d ans votre système
Si l'application VirusScan détecte un virus pendant son installation, vous
devezlesupprimeravantdepoursuivrelaprocédure.Pourcefaire,suivezles
instructions présentées à la page 72.
IMPORTANT : Afin de garantir la sécurité maximale du système, vous
suivrez également ces mêmes instructions en cas de détection d'un virus
dans la mémoire de l'ordinateur, après l'installation de VirusScan.
Si le logiciel VirusScan a découvert une infection durant l'installation,
procédezcommesuit :
1. Quittez immédiatement le programme d'installation et éteignez
l'ordinateur.
Veillez à mettre l'ordinateur entièrement hors tension. Ne réamorcez pas
le système à l'aide des touches CTRL+ALT+SUPPR ou du bouton de
réinitialisation (Reset) de votre ordinateur ; certains virus risquent en
effet de ne pas être affectés par ce type de démarrage à chaud.
2. Si vous avez créé une disquette de secours VirusScan au cours de
l'installation ou si elle a été livrée avec votre exemplaire de VirusScan,
verrouillez la disquette et insérez-la dans le lecteur.
REMARQUE : SivotreexemplairedeVirusScannecomportepas
de disquette de secours ou si vous n'avez pas réussi à la créer au
cours de l'installation, vous devez en créer une sur un ordinateur
non infecté. Passez sur un poste sain et suivez les instructions
présentées dans la section « Utilisation de l'utilitaire de création
d'une disquette de secours » à la page 59.
3. Attendez au moins 15 secondes, puis redémarrez votre ordinateur.
REMARQUE : Si le BIOS de votre ordinateur est configuré pour
rechercher son code d'amorçage d'abord sur le lecteur C:, vous
devez modifier les paramètres du BIOS afin que l'ordinateur
commence la recherche par le lecteur A: ou le lecteu r B: Pour en
savoir plus sur la configuration des paramètres du BIOS, consultez
la documentationde votre matériel.
Après avoirdémarrévotreordinateur, la disquette desecoursexécuteun
fichierdecommandequivousguideàtraversuneprocédured'analyse
d'urgence. Le fichier de commande vous demande si vous avez mis votre
ordinateur hors tension.
72 Logiciel antivirus McAfee VirusScan
Page 73
Suppression d'une infection dans votre système
4. Tapez y pour continuer, puis passez à l'Étape 7.Danslecascontraire,
tapezn,mettez l'ordinateurhors tension, puisrecommencezlaprocédure.
Lefichierdecommandevousinformequ'ilvadémarreruneopération
d'analyse.
5. Lisez les informations qui s'affichent à l'écran, puis appuyez sur une
touche quelconque de votre clavier pour continuer.
La disquette de s ecours chargera les fichiers requis pour analyser la
mémoiredevotreordinateur. Si votreordinateurdispose d'une mémoire
étendue, la disquette de secours y chargera ses fichiers de base de
données afin d'accélérer l'analyse.
BOOTSCAN.EXE,lemoteurd'analysedelignedecommandelivréavec
la disquette de secours, effectuera quatre opérations d'analyse afin
d'examiner les zones système du disque dur, la partition d'amorçage
(MBR), les répertoires système, les fichiers programme et d'autres
éventuels points d'infection, et ceci sur chaque disque dur de votre
ordinateur local.
REMARQUE : McAfee vous recommande vivement de ne pas
interrompre le moteur d'analyse BOOTSCAN.EXE pendant
l'analyse. La disquette de secours ne détecte pas les virus de macro,
les virus de script, ni les programmes de cheval de Troie, mais
détecte les virus de fichier et de zone système courants.
Si BOOTSCAN.EXE détecte un virus, il tentera de nettoyer le fichier
infecté. S'il n'y parvient pas, il refusera l'accès au fichier et continuera
l'opération d'analyse. Une fois les analyses terminées, BOOTSCAN.EXE
affiche un résumé des actions effectuées sur chaque disque dur. Ce
rapport comporte les informations suivantes:
• Nombredefichiersanalysés
• Nombredefichiersnettoyésounoninfectéssurletotaldefichiers
analysés
• Nombredefichierssusceptiblesd'êtreinfectés
• Nombre de fichiers nettoyés sur le total de fichiers susceptibles
d'être infectés
• NombredefichiersdezonesystèmeetMBRanalysés
• NombredefichiersdezonesystèmeetMBRsusceptiblesd'être
infectés
En cas d'infection, le moteur d'analyseémetun signalsonoreetaffichele
nom et l'emplacement du virus.
Guide d'utilisateur 73
Page 74
Suppression d'une infection d ans votre système
6. Une fois l'analyse du disque dur terminée, retirez la disquette de secours
du lecteur et mettez à nouveau l'ordinateur hors tension.
7. Au terme de l'analyse du système effectuée par BOOTSCAN.EXE, deux
solutions s'offrent à vous :
• Reprendre votre travail. Si BOOTSCAN.EXE n'a pas détecté de
virus ou s'ilanettoyétouslesfichiersinfectésqu'iladétectés,retirez
la disquette de secours du lecteur et redémarrez normalement
l'ordinateur. Si vous avez interrompu l'installation du logiciel
VirusScan suite à la découverte d'une infection, vous pouvez à
présent la reprendre.
• Tenter de nettoyer ou de supprimer manuellement les fichiers
infectés. Si BOOTSCAN.EXE ne parvient pas à supprimer un virus
détecté, il identifiera les fichiers infectés et vous dira qu'il est
incapable de les nettoyer ou qu'il ne dispose pas d'un outil de
suppression à jour pour ce virus.
L'étape suivante consiste à localiser et à supprimer manuellement le ou
les fichiers infectés. Vous devrez ensuite restaurer les fichiers supprimés
à partir d'une sauvegarde. Veillez à analyser également vos fichiers de
sauvegarde pour vous assurer qu'ils sont sains. Pensez également à
utiliser l'application VirusScan dès que possible pour effectuer une
analyse complète du système afin de vous assurer qu'il est exempt de
tout virus.
Quand faut-il lancer une recherche de virus ?
Si vous souhaitez conserver un environnement informatique sûr, il faut
rechercher les virus éventuels régulièrement. Une analyse « régulière » peut
tout aussi bien signifier une fois par mois comme plusieurs fois par jour.
Tout dépend de la fréquence des échanges de disquettes entre utilisateurs,
du partage de fichiers sur votre réseau local ou de l'interaction avec d'autres
ordinateursviaInternet.D'autresbonneshabitudessontàadopter,comme
une analyse juste avant la sauvegarde des données, avant l'installation d'un
nouveau logiciel ou d'un logiciel amélioré - notamment les logiciels
téléchargés depuis d'autres ordinateurs - et lors du démarrage ou de la
fermeture de votre ordinateur tous les jours. Utilisez le moteur d'analyse
VShield pour examiner la mémoire de votre ordinateur et conservez un
niveau de vigilance permanent entre chaque analyse. Ces précautions
protégeront l'intégrité de votre système dans la plupart des cas.
74 Logiciel antivirus McAfee VirusScan
Page 75
Suppression d'une infection dans votre système
Si vous vous connectez fréquemment à Internet ou téléchargez souvent des
fichiers, il est souhaitable d'effectuer des analyses supplémentaires lors
d'événements particuliers. Utilisez la console VirusScan pour planifier une
sériedetâchesd'analyseafindevérifiervotresystèmedèsqu'ilestsusceptible
d'être infecté par un virus, notamment
• lors de chaque insertion d'une disquette dans votre lecteur de disquettes
• lors de chaque démarrage d'une application ou ouverture d' un fichier
• lorsque vous connectez ou reliez une unité de réseau à votre système
Cependant, si vos fichiers de définition de virus (.DAT) ne sont pas à jour, il se
peut que certains nouveaux virus échappent m ême aux analyses les plus
poussées. Avec l'achat du logiciel VirusScan sont fournies gratuitement des
mises à jour de virus pendant la durée de vie du produit, de façon à pouvoir
effectuer de fréquentes mises à jour pour être au point. La console VirusScan
inclut les tâches de mise à jour automatique et de mise à niveau automatique,
vous permettant de mettre à jour les fichiers .DAT et le moteur d'analyse
VirusScan. Pour en savoir plus sur la mise à jour du logiciel, reportez-vous au
Chapitre 7, « Mise à jour et mise à niveau du logiciel VirusScan »..
Comment éliminer l'hypothèse de l'infection
virale ?
Tout au long de leur courte existence, les ordinateurs individuels ont évolué
pour devenir des machines hautement perfectionnées en mesure d'exécuter
des logiciels toujours plus complexes. Même les défenseurs les plus
perspicaces des premiers PC n'auraient jamais pu imaginer le travail accompli
par les techniciens, les scientifiques et autres chercheurs grâce à la vitesse, la
flexibilité et la puissance du PC moderne. Mais cette puissance a un prix : les
conflits entre matériel et logiciel se multiplient, les systèmes d'exploitation et
d'application tombent en panne et des centaines d'autres problèmes peuvent
surgir là où on les attend le moins. Dans certains cas, ces incidents s'assimilent
un peu aux effets provoqués lors d'une infection virale à capacité destructrice.
D'autres incidents semblent défier toute explication ou diagnostic, et les
utilisateurs frustrés s'en prennent alors aux virus, peut-être en dernier recours.
Les virus laissent des traces, c'est pourquoi vous pouvez rapidement et
facilementéliminerl' hypothèsedel'infectionviralecomme causede la pannede
votre ordinateur. Si vous exécutez une analyse VirusScan complète, toutes les
variantesdesvirusconnussusceptiblesd'infectervotreordinateurseront
découvertes, ainsi que de nombreuses autres qui n'ont pas de noms connus ou
decomporteme ntspécif ique.Celane vousaiderapasà résoudrevotreproblème
s'il est réellement dû à un conflit d'interruption, mais vous permettra d'éliminer
l'une des causes possibles. Sachant cela, vous pouvez tenter de dépanner votre
système à l'aide d'un utilitaire de diagnostic de système complet.
Guide d'utilisateur 75
Page 76
Suppression d'une infection d ans votre système
En revanche, les programmes semblables à des virus, les canulars et les
véritables infractions de sécurité entraînentune confusionencore plusgrande.
Leslogicielsantivirusnesonttoutsimplementpasenmesurededétecterou
de combattrelesagentsdestructeurs tels que les programmesChevaldeTroie,
qui ne s'étaient jamais manifestés auparavant, ou encore l'impression qu'il
existe un virus alors que ce n'est pas le cas.
Le meilleur moyen de savoir si votre panne est due à une attaque virale est
d'effectuer une analyse complète et d'en examiner les résultats. Si l'application
VirusScan ne détecte aucune infection virale, il est peu probable que votre
panne provienne d'un virus - cherchez alors d'autres causes possibles aux
symptômes que vous avez identifiés. De plus, dans le cas très rare où
l'application VirusScan n'est pas en mesure d'identifier un virus de macro ou
tout autre type de virus infiltré dans votre système, les risques de voir cette
infection affecter gravement votre système sont relativement faibles. Vous
pouvez cependantvousf ier aux chercheurs de McAfeepouridentifier et isoler
le virus, puis mettre à jour le logiciel VirusScan immédiatement afin de
détecter et si possible supprimer le virus la prochaine fois que vous le
rencontrerez. Pour savoir comment permettre aux chercheurs de vous aider,
reportez-vous à la section « Signalement de nouveaux virus à incorporer dans
lesmisesàjourdefichiersdedonnéesantivirus»àlapagexxiii.
Mieux comprendre les fausses alertes
On appelle fausse alerte la détection d'un virus dans un fichier ou dans la
mémoire quand bien même ce virus n'a aucune réalité physique. Les fausses
alertes ont d'autant plus de chance de se produire que vous avez installé
plusieurs logiciels de détection de virus sur votre ordinateur. En effet, certains
programmes antivirus n'appliquent aucune protection lorsqu'ils stockent les
signatures codées dans la mémoire.
Tout virus détecté par VirusScan doit toujours être considéré comme réel et
dangereux,etilconvient de prendrelesmesuresnécessairespour le supprimer
du système. Si, néanmoins, vous pensez que le composant VirusScan a généré
une fausse alerte—un virus a été détecté dans un fichier que vous utilisez sans
problème depuis de nombreuses années, par exemple—consultez la liste cidessouspourconnaîtrel'originepossibledecettefaussealerteavantde
contacter le support technique de Network Associates :
• Plusieurs programmes antivirus sont exécutés simultanément. Les
composants de VirusScan risquent alors de détecter des signatures codées
non protégées utilisées par un autre programme et de les signaler comme
virus. Pour éviter ce type de situation, configurez l'ordinateur pour qu'un
seul de ces programmes soit exécuté, puis arrêtez l'ordinateur et mettez-le
hors tension. Patientezquelquessecondespourlaisserle temps au système
de supprimer de la mémoire toutes les signatures codées des autres
programmes antivirus, puis rallumez l'ordinateur.
76 Logiciel antivirus McAfee VirusScan
Page 77
Suppression d'une infection dans votre système
• Votre ordinateur est doté d'une puce BIOS avec une fonction antivirus.
Certaines puces BIOS comportent une fonction antivirus pouvant
provoquer une fausse alerte lors de l'exécution du logiciel VirusScan.
Consultez le guide d'utilisateur de l'ordinateur pour vous familiariser
avec cette fonction antivirus, et pour la désactiver, si nécessaire.
• Vous possédez un ancien ordinateur de la marque Hewlett-Packard
ou Zenith PC . Certains anciens modèles d'ordinateur de ces deux
constructeurs modifient la zone système chaque fois que le système
est amorcé. Les composants de VirusScan risquent de détecter ces
modifications comme une infection probable, même si aucun virus n'est
présent sur le système. Consultez le guide d'utilisateur de votre ordinateur
pour savoir s'il dispose d'un code d'amorçage qui s'auto-modifie. Pour
résoudre ce problème, ajoutez aux fichiers de démarrage les informations
de validation par le biais du moteur d'analyse de ligne de commande de
VirusScan. Cette méthode ne permet pas d'enregistrer les informations sur
la zone système ou la partition d'amorçage (MBR).
• Vous possédez un logiciel protégé en copie. Selonletypedeprotection
en copie utilisé, les composants de VirusScan risquent de détecter un
virusdanslazonesystèmeoudanslapartitiond'amorçagedecertaines
disquettes ou d'autres supports.
Si aucune de ces situations ne s'applique à votre cas, contactez le support
technique de Network Associates ou adressez un courrier électronique
détaillant le problème rencontré à virus_research_europe@nai.com.
Optionsderéponseàunvirusouàunprogramme malveillant
Le logiciel VirusScan étant constitué de plusieurs composants, les actions
possibles en réponse à une infection virale ou à la présence d'un programme
malveillant sur l'ordinateur dépendent du composant VirusScan qui a détecté
l'objet nuisible, de la configuration de ce composant, ainsi que d'autres
conditions. Lessections quisuiventprésententlesactions par défautassociées
à chaque composant de VirusScan. Pour en savoir plus sur les autres actions
possibles, reportez-vous au chapitre consacré à chaque composant.
Options de réponse lorsque le moteur d'analyse VShield détecte un programme malicieux
Le moteur d'analyse VShield se compose de quatre modules connexes qui
analysent le système en permanence et en arrière-plan, le protégeant contre
les virus, les objets Java et ActiveX nocifs et les sites Web dangereux. Un
cinquième module contrôle les paramètres de sécurité des quatre premiers.
Vous pouvez configurer et activer chaque module séparément ou
conjointement. Dans ce dernier cas, vous assurez une protection maximale.
Guide d'utilisateur 77
Page 78
Suppression d'une infection d ans votre système
Pour en savoir plus sur la configuration de chaque module, reportez-vous au
Chapitre 4, « Utilisation du moteur d'analyse VShield »,.Chaquemodule
possède un ensemble propre d'actions par défaut, adaptées aux objets qu'il
détecte et aux points d'entrée de virus qu'il analyse.
Options de réponse lorsque le module Analyse système détecte un virus
Le comportement de ce module face à la détection d'un virus dépend du
système d'exploitation utilisé par votre ordinateur et, sur les systèmes
Windows 95 et Windows 98, du type réponse choisi dans la page Action du
moduleAnalysesystème.Pourensavoirplussurcesoptions,reportez-vous
àlasection« Sélection des options d'action » à la page 124.
Sur Windows 95 et Windows 98, ce module d'analyse effectue implicitement
une recherche de virus chaque fois que vous exécutez, copiez, créez ou
renommez un fichier sur le système, et chaque fois que vous effectuez une
lecture sur disquette. Sur Windows NT Workstation v4.0 et Windows 2000
Professionnel, le module Analyse système effectue une recherche de virus
chaque fois que votre système ou un autre ordinateur lit ou écrit des fichiers
sur votre disque dur ou sur disquette.
Parcequ'ilprocèdedelasorte,lemoduleAnalysesystèmepeutfaireofficede
sauvegarde au cas où un autre module VShield ne détecterait pas un virus qui
infecte pour la première fois votre système. Dans sa configuration initiale, le
module refuse l'accès à tout fichier infecté détecté, quelle que soit la version
deWindowsutiliséeparvotreordinateur.Ilafficheégalementunmessage
d'alerte vous demandant la démarche à suivre vis-à-vis du virus (voir
Figure 3-11 à la page 90). Les options de réponse qui apparaissent dans cette
boîte dedialogueproviennentdeschoixpar défaut ou des choixquevousavez
faits dans la page Action du module Analyse système.
Pendant que cette boîte de dialogue attend votre réponse, votre ordinateur
continue à traiter en arrière-plan toutes les autres tâches en cours d'exécution.
Figure 3-1. Options de réponse initiales du module Analyse système
78 Logiciel antivirus McAfee VirusScan
Page 79
Suppression d'une infection dans votre système
Si votre ordinateur utilise Windows 95 ou Windows 98, vous pouvez choisir
un message d'alerte différent. Si vous avez coché la case BIOS dans la zone
Type d'invite de la page Action du module Analyse système, vous verrez
apparaîtreunavertissement en modepleinécran vous offrantdiversesoptions
de réponse (Figure 3-2).
Figure 3-2. Options de réponse de l'avertissement en mode plein écran
du module Analyse système
Dans l'attente de votre réponse, ce message d'alerte bloque complètement le
fonctionnement de votre système. Aucun autre programme ou système
d'exploitation ne fonctionne sur votre ordinateur tant que vous n'avez pas
choisi une option de réponse.
Le type d'invite BIOS vous permet également de remplacer l'option Déplacer
le fichier par l'option Continuer.Pourcefaire,cochezlacaseContinuer
l'accès dans la page Action du module Analyse système.
REMARQUE : La case à cocher Continuer l'accès n'est pas accessible si
votreordinateurutilise Windows NT Workstationv4.0o uWindows 2000
ou si vous choisissez GUI comme type d'invite sur les systèmes
Windows 95 et Windows 98.
Pour exécuter l'unedesactionsproposéesdanslemessage d'alerte, cliquez sur
un bouton de la boîte de dialogue Accès au fichier interdit ou entrez la lettre
en surbrillance (jaune) lorsque le système affiche l'avertissement. Si vous
souhaitez appliquer la même action pour tous les fichiers infectés détectés par
le module Analyse système lors de cette session d'analyse, cochez la case
Appliquer à tous les éléments dans cette boîte de dialogue. Cette option
n'est pas disponible dans le message d'alerte en mode plein écran.
Guide d'utilisateur 79
Page 80
Suppression d'une infection d ans votre système
Les options de réponse sont les suivantes :
• Nettoyer le fichier. Cliquez sur Nettoyer dans la boîte de dialogue ou
tapez N lorsquelesystèmeaffichel'avertissementenmodepleinécran.En
procédant de la sorte, le module Analyse système ten tera de supprimer
le code de virus du fichier infecté. Si le module parvient à supprimer
l'infection, il restaurelefichierdanssonétatd'origine etconsignelerésultat
dans son fichier journal.
Si le module n'est pas en mesure de nettoyer le fichier (soit qu'il ne possède
pas le programme de désinfection correspondant, soit que le virus ait
irrémédiablement endommagé le fichier), il consigne ce résultat dans son
fichier journal et n'entreprend aucune autre action. Dans la plupart des cas,
il est préférable de supprimer ces fichiers et de les restaurer à partir d'une
sauvegarde récente.
• Supprimer le fichier. Cliquez sur Supprimer dans la boîte de dialogue ou
tapezSlorsquelesystèmeaffichel'avertissementenmodepleinécranpour
indiquer au module Analyse système de supprimer immédiatement le
fichierinfecté.Pardéfaut,lemodulenotelenomdufichierinfectédansson
fichier journal afin que vous disposiez d'un enregistrement des fichiers
marqués comme infectés. Consultez ce dernier pour connaître les fichiers
supprimés à restaurer à partir d'une précédente sauvegarde.
• Déplacer le fichier. Cliquez sur Déplacer le fichier dans la boîte de
dialogue. Vous accédez alors à unefenêtredeconsultationvouspermettant
de localiser votre dossier de quarantaine ou tout autre dossier que vous
souhaitez utiliser pour isoler les fichiers infectés. Aussitôt le dossier
sélectionné, le module Analyse système y transfère le fichier infecté. Cette
option n'apparaît pas dans le message d'alerte en mode plein écran.
• Continuer à travailler. Lorsque le système affiche l'avertissement en
mode plein écran, tapez O pour demander au module Analyse système de
vouslaisserpoursuivreaveclefichieretdeneprendreaucuneautre
mesure. Vous recourrez généralement à cette opti on pour contourner les
fichiers que vous savez exempts de tout virus. Si l' option de rapport est
activée, le module notera chaque incident dans son fichier journal. Cette
option n'est pas disponible dans la boîte de dialogue Accès au fichier
interdit.
• Arrêter l'analyse. Cliquez sur Arrêter danslaboîtededialogueoutapez
A lorsque le système affiche l'avertissement en mode plein écran. En
procédantdelasorte,lemoduleAnalysesystèmeempêchetoutaccèsau
fichier mais ne prend aucune autre mesure. Interdire l'accès au fichier
empêchetoututilisateurdel'ouvrir,del'enregistrer,delecopieroudele
renommer. Pour continuer, vous devez cliquer sur OK.Sil'optionde
rapportestactivée,lemodulenoterachaqueincidentdanssonfichier
journal.
80 Logiciel antivirus McAfee VirusScan
Page 81
Suppression d'une infection dans votre système
• Exclure le f ichier des opérations d'analyse. Cliquez sur Exclure dans la
boîte de dialogue ou tapez E lorsquelesystèmeaffichel'avertissementen
mode plein écran. En procédant de la sorte, vous indiquez au module
Analyse systèmed'exclurecefichier des futuresopérationsd'analyse.Vous
recourrez généralement à cette option pour contourner les fichiers que
vous savez exempts de tout virus.
Options de réponse lorsque le module Analyse E-Mail détecte un virus
Ce module recherche les virus dans les messages électroniques que vous
recevez par l'intermédiaire d'un système de messagerie commerciale, tel que
cc:MailouMicrosoftExchange. Danssaconfigurationinitiale,lemodulevous
invite à choisir une action parmi cinq, chaque fois qu'il détecte un virus
(Figure 3-3).
Figure 3 -3. Options de réponses du module Analyse E-Mail
Cliquez sur le bouton qui correspond à la réponse souhaitée. Vous avez le
choix entre les options suivantes :
• Arrêter. Cliquez sur ce bouton pour mettre fin immédiatement à
l'opération d'analyse. Le module Analyse E-Mail consignera chaque
détection dans son fichier journal, mais ne prendra aucune autre mesure
corrective à l'encontre du virus.
• Nettoyer. Cliquez sur ce bouton pour demander au module Analyse
E-Mail d'essayer de supprimer le code de virus dans le fichier infecté. Si
VirusScan n'est pas en mesure de nettoyer le fichier (soit qu'il ne possède
pas le programme de désinfection correspondant, soit que le virus ait
irrémédiablement endommagé le fichier), il consigne ce résultat dans le
fichier journal et suggère une autre action. Dans l'exemple illustré par la
Figure 3-3,lemodulen'apasétéenmesuredenettoyerlefichiertest
EICAR—un simulacre de « virus » écrit spécifiquement pour tester
l'installation d'un programme antivirus. Ici, Nettoyer n'est pas une action
disponible. Dans la plupart des cas, il est préférable de supprimer ces
fichiers et de les restaurer à partir d'une sauvegarde récente.
Guide d'utilisateur 81
Page 82
Suppression d'une infection d ans votre système
• Supprimer.Cliquez sur ce bouton pour supprimer immédiatement le
fichier infecté du système. Par défaut, le module Analyse E-Mail note le
nom du fichier infecté dans son fichier journal pour vous permettre de le
restaurer à partir d'une copie de sauvegarde.
• Déplacer le fichier. Cliquez sur ce bouton pour ouvrir une boîte de
dialogue vous permettant de rechercher votre dossier de quarantaine ou
un autre dossier appro prié. Lorsque vous avez choisi le dossier approprié,
cliquez sur OK pour transférer le fichier à cet emplacement.
• Exclure. Cliquez sur ce bouton pour éviter que le module Analyse E-Mail
identifie ce fichier comme un virus dans les futuresopérationsd'analyse. Si
vouscopiezce fichier survotredisque dur, cetteoptionempêche également
que le module Analyse système identifie ce fichier comme un virus.
Le module Analyse E-Mail applique immédiatement l'action que vous avez
choisieetajouteunenoteenhautdumessageélectroniquecontenantle
document attaché infecté. Cette note fournit le nom de fichier du document
infecté, identifie le nom du virus et décrit la mesure corrective prise par le
module.
Si vous souhaitez appliquer la même action pour tous les fichiers infectés
détectés par le module Analyse E-Mail lors de cett e session d'analyse, cochez
la case Appliquer à tous les éléments danscetteboîtededialogue.
Options de réponse lorsque le module Analyse au téléchargement détecte un virus
Ce module recherche les virus dans les messages électroniques et autres
fichiers que vous recevez sur Internet par l'intermédiaire de navigateurs Web
ou de tout programme de messagerie client tel que Eudora Light, Netscape
Mail ou Outlook Express. Il ne détectera pas les fichiers que vous téléchargez
au moyen d'applications FTP clientes, d'applications de terminal ou de
méthodes similaires. Dans sa configuration initiale, le module vous invite à
choisir une action parmi trois, chaque fois qu'il détecte un virus (Figure 3-4).
Une quatrième option vous donne des informations supplémentaires.
Figure 3-4. Options de réponse du module Analyse au téléchargement
82 Logiciel antivirus McAfee VirusScan
Page 83
Suppression d'une infection dans votre système
Cliquez sur le bouton qui correspond à la réponse souhaitée. Vous avez le
choix entre les options suivantes :
• Continuer. Cliquez sur ce bouton pour indiquer au module Analyse au
téléchargement de ne prendre aucune mesure et de poursuivre l'analyse.
Le module continuera jusqu'à ce qu'il détecte un autre virus sur votre
système ou termine l'opération d'analyse. Vous utilisez généralement cette
option pour contourner les fichiers que vous savez exempts de tout virus
ou si vous envisagez de laisser votre ordinateur sans surveillance pendant
le téléchargement du courrier électronique ou d'autres fichiers. Le module
notera chaque incident dans son fichier journal.
• Supprimer.Cliquez ici pour indiquer au module Analyse au
téléchargement de supprimer le fichier infecté ou le document attaché au
courrier électronique que vous avez reçu.Pardéfaut,lemoduleconsignele
nom du fichier infecté dans son fichier journal.
• Déplacer. Cliquez icipourindiqueraumodule Analyseautéléchargement
de déplacerlefichiervers lerépertoiredequarantaine quevousavezch ois i
dans la page de propriétés Action du module.
Le module Analyse au téléchargement applique immédiatement l'action que
vous avez choisie et ajoute une note en haut du message e-mail contenant le
document attaché infecté. Cet te note fournit le nom de fichier du document
infecté, identifie le nom du virus et décrit la mesure corrective prise par le
module.
Options de réponses lorsque le Filtre Internet détecte un virus
Ce module recherche les classes Java et les contrôles ActiveX hostiles, chaque
foisquevousaccédezàunsiteWebouquevoustéléchargezunfichieràpartir
d'Internet. Vous pouvez également configurer ce module de façon à bloquer
l'accès devotrenavigateurauxsites Internet dangereux. Dans saconfiguration
initiale, le module vous laisse le choix, chaque fois qu'il décèle un objet
potentiellement nuisible, de Refuser à l'objet l'accès à votre système, ou de
Continuer en autorisant l'accès. Le module vous propose également ces deux
options lors de toute tentative de connexion à un site Web potentiellement
dangereux (Figure 3-5).
Figure 3 -5. Options de réponse du module Filtre Internet
Guide d'utilisateur 83
Page 84
Suppression d'une infection d ans votre système
Options de réponse lorsque l'application VirusScan détecte un virus
Lorsque vous lancez une opération d'analyse pour la première fois à l'aide de
l'application VirusScan, cette dernière analysera tous les fichiers présents sur
l'unité C: susceptibles d'être infectés p ar un virus. Cela vous assure un niveau
de protection de base, que vous pouvez étendre et adapter à vos besoins
propres en configurant le logiciel VirusScan.
Dans sa configuration initiale, le programme vous invite à choisir une action
lorsqu'il détecte un virus (Figure 3-6).
Figure 3-6. Options de réponse de VirusScan
Pour répondre à l'infection, cliquez sur l'un des boutons présentés. Vous avez
le choix entre les actions suivantes :
• Continuer. Cliquez sur ce bouton pour continuer l'opération d'analyse et
demander à l'application de dresser la liste des fichiers infectés dans la
partie inférieure de sa fenêtre principale (Figure 3-7 à la page 85)etde
consigner chaque détection dans son fichier journal, mais de ne prendre
aucune mesure corrective à l'encontre du virus. À l'issue de l'examen du
système, vous pouvez faire un clic droit sur chacun des fichiers énumérés
dans la fenêtre principale, et choisir l'action appropriée dans le menu
contextuel qui s'affiche.
84 Logiciel antivirus McAfee VirusScan
Page 85
Suppression d'une infection dans votre système
Figure 3-7. Fenêtre principale de VirusScan
• Arrêter. Cliquez sur ce bouton pour mettre fin immédiatement à
l'opération d'analyse. L'application VirusScan affiche la liste des fichiers
infectés dans la partie inférieure de la fenêtre principale (Figure 3-7)et
consigne chaque détection dans son fichier journal, mais ne prend aucune
mesure corrective à l'encontre du virus. Cliquez avec le bouton droit sur
chaque fichier infecté répertorié dans la fenêtre principale, puis choisissez
une réponse individuelle dans le menu contextuel qui s'affiche.
• Nettoyer. Cliquez sur ce bouton pour demander à l'application VirusScan
d'essayer de supprimer le code de virus dans le fichier infecté. Si
VirusScan n'est pas en mesure de nettoyer le fichier (soit qu'il ne possède
pas le programme de désinfection correspondant, soit que le virus ait
irrémédiablement endommagé le fichier), il consigne ce résultat dans le
fichier journal et suggère une autre action.
Dans l'exemple illustré par la Figure3-6àlapage84,VirusScann'apasété
en mesure de nettoyer le virus test EICAR—un simulacre de « virus » écrit
spécifiquement pour tester l'installation d'un programme antivirus. Ici,
Nettoyer n'est pas une action disponible. Dans la plupart des cas, il est
préférable de supprimer ces fichiers et de les restaurer à partir d'une
sauvegarde récente.
• Supprimer.Cliquez sur ce bouton pour supprimer immédiatement le
fichier infecté du système. Par défaut, l'application VirusScan note le
nom du fichier infecté dans son fichier journal pour vous permettre de
le restaurer à partir d'une copie de sauvegarde.
Guide d'utilisateur 85
Page 86
Suppression d'une infection d ans votre système
• Déplacer le fichier. Cliquez sur ce bouton pour ouvrir une boîte de
dialogue vous permettant de rechercher votre dossier de quarantaine ou
un autre dossier appro prié. Lorsque vous avez choisi le dossier approprié,
cliquez sur OK pour transférer le fichier à cet emplacement.
• Informations. Cliquez ici pour vous connecter à la Bibliothèque
d'informations sur les virus de Network Associates. Cette option ne prend
aucune mesure corrective à l'encontre du virus détecté par VirusScan.
Pour plus de détails, reportez-vous à la section Voir « Affichage des
informations sur les virus » à la page 88.
Options de réponse lorsque l'extension Analyse E-Mail détecte un virus
Au besoin, le module Analyse E-Mail, inclus dans le logiciel VirusScan, vous
permet d'analyser les messages électroniques que vous recevez via Microsoft
Exchange ou Microsoft Outlook. Vous pouvez le démarrer depuis l'un de ces
programmes de messagerie clients ; il viendra compléter l'analyse en tâche de
fond du courrier électronique reçu exécutée par le module Analyse E-Mail de
VShield. Le module Analyse E-Mail vous permet également de nettoyer les
pièces jointes infectées et d'arrêter l'analyse, fonctions qui complètent la
surveillance continue assurée par ce module. Dans sa configuration initiale,
l'extension Analyse E-Mail vous invite à choisir une action chaque fois qu'elle
détecte un virus (Figure 3-8).
Figure 3-8. Options de réponse du module Analyse E-Mail
Pour répondre à l'infection, cliquez sur l'un des boutons présentés. Vous avez
le choix entre les actions suivantes :
86 Logiciel antivirus McAfee VirusScan
Page 87
Suppression d'une infection dans votre système
• Continuer. Cliquez sur ce bouton pour demander à l'extension Analyse
E-Mail de poursuive son analyse, d'afficher la liste des fichiers infectés
dans la partie inférieure de sa fenêtre principale (Figure 3-9 à la page 87)et
de consigner chaque détection dans son fichier journal, mais de ne prendre
aucune mesure corrective à l'encontre du virus. L'extension continuera
l'analyse jusqu'à ce qu'elle détecte un autre virus sur votre système ou
termine l'opération. À l'issue de l'examen du système, vous pouvez faire
un clic droit sur chacun des fichiers répertoriés dans la fenêtre principale,
et choisir l'action appropriée dans le menu contextuel qui s'affiche.
• Arrêter. Cliquez sur ce bouton pour mettre fin immédiatement à
l'opération d'analyse. L'extension Analyse E-Mail affiche la liste des
fichiers infectés décelés avant l'interruption dans la partie inférieure de la
fenêtreprincipale(Figure 3-9) et note chaque détection dans son fichier
journal, mais ne prend aucune mesure corrective. Cliquez avec le bouton
droit sur chaque fichier infecté répertorié dans la fenêtre principale, puis
choisissez une réponse individuelle dans le menu contextuel qui s'affiche.
Figure 3-9. Fenêtre de l'extension Analyse E-Mail
• Nettoyer. Cliquez sur ce bouton pour supprimer le code de virus dans
le fichier infecté. Si l'extension Analyse E-Mail n'est pas en mesure de
nettoyer le fichier (soit qu'elle ne possède pas le programme de
désinfection correspondant, soit que le virus ait irrémédiablement
endommagélefichier),elleconsignecerésultatdanslefichierjournal
et suggère une autre action. Dans l'exemple illustré par la Figure 3-8 à la
page 86, Nettoyer n'est pas une action disponible. Dans la plupart des cas,
il est préférable de supprimer ces fichiers et de les restaurer à partir d'une
sauvegarde récente.
Guide d'utilisateur 87
Page 88
Suppression d'une infection d ans votre système
• Supprimer.Cliquez sur ce bouton pour supprimer le fichier infecté du
système. Par défaut, l'extension Analyse E-Mail note le nom du fichier
infectédanssonfichierjournalpourvouspermettredelerestaureràpartir
d'une copie de sauvegarde.
• Déplacer. Cliquez sur ce bouton pour ouvrir une boîte de dialogue vous
permettant de rechercher votre dossier de quarantaine ou un autre dossier
approprié. Lorsque vous avez choisi le dossier approprié, cliquez sur OK
pour transférer le fich ier à cet emplacement.
• Informations. Cliquez ici pour vous connecter à la Bibliothèque
d'informations sur les virus de Network Associates. Cette option ne prend
aucune mesure corrective contre le virus détecté par l'extension Analyse
E-Mail. Pour plus de détails, reportez-vous à la section “Affichage des
informations sur les virus”.
Affichage des informations sur les virus
Le fait de cliquer sur l'option Informations dans n'importe quelle boîte de
dialogue de mesure corrective vous connectera à la Bibliothèque en ligne
d'informations sur les virus de Network Associates, à condition que vous
disposiez d'un accès à Internet et que votre ordinateur soit équipé d'un logiciel
de navigation Web (Figure 3-10).
Figure 3-10. Page Bibliothèque d'informations sur les virus de Network
88 Logiciel antivirus McAfee VirusScan
Associates
Page 89
Suppression d'une infection dans votre système
La Bibliothèque d'informations sur les virus regroupe des documents qui
offrent une description détaillée de chaque virus que le logiciel VirusScan est
en mesure d'identifier et de nettoyer, ainsi que des informations sur la façon
dont le virus infecte et modifie l es fichiers, et les types de dégâts qu'il
provoque.Lesitedresseunelistedesviruslesplusrépandusoulesplus
dangereux, fournit un moteur de recherche vous permettant d'obtenir la
descriptiond'unvirus spécifique,parordrealphabétiqueoupar nomdevirus,
présente des tables de fréquence, des documents techniques et des papiers
blancs, et met à votre disposition des données techniques que vous pouvez
utiliser pour supprimer des virus de votre système.
Pour vous connecter directement à la Bibliothèque, visitez le site à l'adresse
suivante :
http://vil.nai.com/villib/alpha.asp
Vous pouvez également vous connecter directement à la Bibliothèque depuis
la console VirusScan. Pour ce faire, choisissez Liste des virus dans le menu
Affichage de la fenêtre de la console. Pour en savoir plus sur la console,
reportez-vous au Chapitre 6, « Création et configuration des tâches
planifiées ».
La Bibliothèque fait partiedusiteAVERTdeMcAfee,que vous pouvez visiter
à l'adresse suivante :
http://www.nai.com/asp_set/anti_virus/avert/intro.asp
Le site Web AVERT constitue une source inépuisable de logiciels et
d'informations sur le virus.
Vous y trouverez par exemple :
• Des informations actualisées et des évaluations sur les dangers des
nouveaux virus et des virus connus
• Des logiciels que vous pouvez utiliser pour étendre ou compléter les
fonctionnalités de votre logiciel antivirus McAfee
• Des adresses des contacts et autres informations que vous pouvez utiliser
pour soumettre des questions, des exemples de virus et autres données
utiles
• Des mises à jour des fichiers de définition de virus, y compris des mises à
journalières du fichier .DAT bêta, des fichiers EXTRA.DAT, des fichiers
.DAT de secours à jour, des versions actualisées du moteur d'analyse, des
mises à jour hebdomadaires des fichiers .DAT et de l'utilitaire SuperDAT,
et de nouveaux fichiers de définition de virus incrémentiels (.UPD)
• Des logiciels en version bêta et en « version préliminaire »
Guide d'utilisateur 89
Page 90
Suppression d'une infection d ans votre système
Affichage des informations sur un fichier
Si vous cliquez avec le bouton droit de la souris sur un fichier répertorié
dans la fenêtre principale de VirusScan ou dans la fenêtre du module Analyse
E-Mail (voir Figure3-9àlapage87), et que vous sélectionnez ensuite Infos
sur le fichier dans le menu contextuel qui s'affiche, le logiciel VirusScan
ouvre une boîte de dialogue intitulée Informations sur les éléments infectés,
dans laquelle seront indiqués le nom, le type et la taille (en octets) du fichier.
Vous ytrouverezégalementlesdates de modification et de création dufichier,
ainsi qu'une description de ses attributs (Figure 3-11 à la page 90).
Figure 3 -11. Page de propriétés Informations relatives au fichier infecté
Envoi d'un exemple de virus
Si vous suspectez la présence d'un virus dans un fichier ou si votre système
présente des signes caractéristiques d'une infection virale, mais que VirusScan
n'a détecté aucun virus, McAfee vous recommande d'envoyer un exemple à
son équipe de recherche antivirus pour analyse. Pour ce fai re, assurez-vous
de démarrer votre système tel quel (sans supprimer l'éventuel virus) ; ne le
démarrez pas à l'aide d'une disquette saine.
Il existe plusieurs méthodes de capture et d'envoi des exemples de virus. La
section suivante décrit ces méthodes, adaptées à des conditions spécifiques.
90 Logiciel antivirus McAfee VirusScan
Page 91
Suppression d'une infection dans votre système
Utilisation de l'utilitaire SendVirus pour soumettre un exemple de fichier
Dans la mesure où la plupart des virus de dernière génération ont tendance à
infecter des fichiers document et des fichiers exécutables, le logiciel VirusScan
est livré avec SENDVIR.EXE, qui est un utilitaire qui vous permet d'envoyer
facilement un exemple de fichier infecté aux chercheurs de McAfee en vue
d'une analyse.
Pour soumettre un exemple de fichier infecté, procédez comme suit :
1. Si vous devez vous connecter à votre réseau ou au fournisseur des
services Internet pour envoyer un courrier électronique, commencez par
effectuer cette opération. Si vous disposez d'une connexion permanente
à votreréseauouau fournisseur desservicesInternet,ignorezcette étape
et passez à l'Étape 2.
2. Localisez le fichier SENDVIR.EXE dans le répertoire du programme
VirusScan. Si vous avez installé le logiciel VirusScan avec les options par
défaut, le chemin d'accès au fichier est le suivant :
C:\Program Files\Network Associates\VirusScan
3. Double-cliquez sur le fichier pour afficher le premier écran de l'Assistant
du centre de recherche antivirus (AVERT) (Figure 3-12).
Figure 3-12. Premier écran SENDVIR.EXE
4. Lisez le message d'accueil, puis cliquez sur Suivant> pour continuer.
L'écran Informations pour vous contacter s'affiche.
Guide d'utilisateur 91
Page 92
Suppression d'une infection d ans votre système
Figure 3-13. Écran Informations pour vous contacter
5. Si vous souhaitez que les chercheurs de l'équipe AVERT prennent
contact avec vous pour vous communiquer leurs résultats sur le fichier
que vous envoyez, entrez votre nom, votre adresse électronique et, si
vous le souhaitez, un commentai re, dans les zones de texte prévues à cet
effet, puis cliquez sur Suivant> pour continuer.
REMARQUE : Si vous le souhaitez, vous pouvez soumettre des
fichiers en conservant l'anonymat. Il suffit pour cela de laisser les
zones de texte de cet écran vides. Aucune information demandée
dans cet écran n'est obligatoire.
L'écran Choix des fichiers à envoyer s'affiche (Figure 3-14).
Figure 3-14. Écran Choix des fichiers à envoyer
92 Logiciel antivirus McAfee VirusScan
Page 93
Suppression d'une infection dans votre système
6. Cliquez sur Ajouter pour ouvrir une boîte de dialogue vous permettant
de locali ser les fichiers pour lesquels vous suspectez la présence d'un
virus.
Choisissez tous les fichiers que vous souhaitez envoyer pour analyse.
Pour supprimer un fichier inclus dans la liste d'envoi, sélectionnez-le,
puis cliquez sur Supprimer. Après avoir sélectionné tous les fichiers à
envoyer, cliquez sur Suivant> pour continuer.
L'écran Options d'envoi s'affiche (Figure 3-15).
Figure 3 -15. Écran Options d'envoi
Silefichierquevous souhaitezenvoyerestun document MicrosoftOffice
ou un autre type de fichier contenant des informations confidentielles,
cochez la case Supprimer les données dans les fichiers, puis cliquez
sur Suivant> pour continuer. Vous demandez ainsi à l'utilitaire
SENDVIR.EXE de supprimer le contenu du fichier, à l'exception des
macros ou du code exécutable.
L'écran Choix du service E-mail s'affiche (Figure 3-16 à la page 94).
Guide d'utilisateur 93
Page 94
Suppression d'une infection d ans votre système
Figure 3-16. Écran Choix du service E-mail
7. Sélectionnez le type d'application cliente e-mail installée sur votre
ordinateur.Vousavezlechoixentrelesoptionssuivantes:
• Utiliser la messagerie Internet (SMTP). Cliquez sur ce bouton
pour envoyer votre exemple de virus via un client de messagerie
SMTP, tel que Eudora, NetScape Mail, ou Microsoft Outlook
Express. Tapez ensuite le nom de votre serveur de courrier sortant ;
mail.domain.com par exemple.
• Utiliser Microsoft Exchange (MAPI). Cliquez sur ce bouton pour
envoyer votre exemple de virus via un système de messagerie
commerciale. Vous ne pouvez utiliser cette option que si votre
système de messagerie électronique prend en charge l'interface
MAPI (Messaging Application Programming Interface). C'est le
cas par exemple de Microsoft Exchange, Microsoft Outlook, et des
versions 8.0 et suivantes de Lotus cc:Mail.
8. Cliquez sur Terminer pour envoyer votre exemple de virus.
REMARQUE : Même si les chercheurs de McAfee apprécient la
réception d'exemples de virus, l'envoi de votre message ne les
oblige en aucun cas à entreprendre une action, fournir une solution,
ou vous adresser une réponse.
SENDVIR.EXE utilisera le client de messagerie électronique que vous
avez spécifié pour envoyer votre exemple. Pour y parvenir, vous devez
être connecté à votre réseau ou à votre fournisseur des services Internet.
94 Logiciel antivirus McAfee VirusScan
Page 95
Suppression d'une infection dans votre système
Capture des virus de zone système, de fichier et de macro
Si vous suspectez une infection de votre système, vous pouvez capturer un
exemple du virus, puis en créer une image sur disquette pour l'envoyer par
courrier électronique, ou envoyer directement cette disquette aux chercheurs
de McAfee. Il est également conseillé d'envoyer aux chercheurs des exemples
de vos fichiers système courants sur une autre disquette.
Capture des virus de zone système
Les virus de zone système se cachent généralement dans les zones de votre
disque dur ou des disquette auxquelles vous n'avez pas accès en lecture ni en
écriture. Vouspouveztoutefoiscapturerun exemple de virus de zonesystème
en infectant délibérément une disquette avec ce virus.
Pour y parvenir, procédez comme suit :
1. Insérez une disquette vierge non formatée dans votre lecteur de
disquette.
2. Cliquez sur Démarrer dans la barre des tâches Windows, pointez sur
Programmes, puis choisissez MS-DOS si votre ordinateur utilise
Windows 95ouWindows 98,ouInvite de commande, sivotreordinateur
utilise Windows NT Workstation v4.0 ou Windows 2000 Professionnel.
3. Tapez la ligne suivante à l'invite de commande :
format a: /s
Si votre système s'arrête pendant le formatage de la disquette, retirez
celle-ci du lecteur. Préparez une étiquette intitulée « Endommagée au
cours du formatage infecté en tant que disquette d'amorçage », collez-la
sur la disquette et mettez cette dernière de côté.
4. Insérezunenouvelledisquetteformatéedansvotrelecteurdedisquette.
5. Copiez vosfichierssystèmecourantssur la disquette.Danslaplupart des
versions de DOS, les fichiers système sont les suivants :
•IO.SYS
•MSDOS.SYS
•COMMAND.COM
Pour les systèmes Windows, copiez les fichiers suivants sur la même
disquette pré-formatée.
•GDI.EXE
• KRNL286.EXE ou KRNL386.EXE
•PROGMAN.EXE
Guide d'utilisateur 95
Page 96
Suppression d'une infection d ans votre système
6. Préparez une étiquette intitulée « Contient des fichiers infectés », collezla sur la disquette et mettez cette dernière de côté.
Capture des virus de fichier ou de macro
Si vous pensez qu'un virus de fichier ou un virus de macro a infecté un ou
plusieurs fichiers Microsoft Word, Excel, ou PowerPoint, envoyez ces fichiers
aux chercheurs de McAfee, soit par courrier électronique, à l'aide de l'utilitaire
SENDVIR.EXE,sousformed'imagesdedisquette,soitparlaposte,encopiant
cesfichierssurunedisquette:
• Si vous pensez qu'un virus a infecté des fichiers exécutables dans votre
système, copiez le fichier COMMAND.COM sur une disquette formatée,
puis remplacez son extension par une extension de fichier non exécutable.
• Sivouspensezqu'unvirusdemacroainfectévosfichiersMicrosoftWord,
copiez le fichier NORMAL.DOT et tous les fichiers du dossier Startup de
Microsoft Office sur la disquette. Si vous avez installé Microsoft Office
dans l'emplacement par défaut, le chemin d'accès aux fichiers de
démarrage est le suivant :
C:\Program Files\Microsoft Office\Office\Startup
• Si vous pensez qu'un virus de macro a infecté vos fichiers Microsoft Excel,
copiez tous les fichiers du répertoire C:\Program Files\Microsoft
Office\Office\XLSTART sur ladisquette.Inclueztouslesfichiers que vous
avez installés dans d'autres répertoires destinés aux fichiers de démarrage.
• Si vous pensez qu'un virus de macro a infecté vos fichiers PowerPoint,
copiez le fichier BLANKPRESENTATION.POT, situé dans C:\Program
Files\Microsoft Office\Templates, sur la disquette.
Création d'une image de disquette
Pour envoyer les fichiers stockés sur les disquettes que vous avez créées, vous
pouvez utiliser RWFLOPPY.EXE, un outil mis au point par le centre de
recherche antivirus (AVERT) McAfee, pour créer une image de disquette qui
encapsule l'infection. L'outil RWFLOPPY.EXE n'est pas inclus dans votre
logiciel VirusScan, mais vous pouvez le télécharger à l'adresse suivante :
http://www.nai.com/asp_set/anti_virus/avert/tools.asp
Le site AVERT stocke l'outil sous la forme d'un fichier .ZIP compressé.
Téléchargez le fichier sur votre ordinateur, puis décompressez-le dans un
dossier temporaire du disque dur. Le fichier .ZIP inclut un petit fichier texte
qui explique la syntaxe à utiliser pour l'utilitaire RWFLOPPY.EXE.
96 Logiciel antivirus McAfee VirusScan
Page 97
Suppression d'une infection dans votre système
REMARQUE : Si vous pensez que votre système est infecté par un virus
d'amorçage,vousdevezutiliser RWFLOPPY pourenvoyervosexemples
par courrier électronique ; sinon, vous pouvez les envoyer par la poste,
sur disquette. Si vous envoyez vos exemples par courrier électronique
sans utiliser RWFLOPPY, ils seront incomplets ou inutilisables, car les
virus d'amorçage se cachent souvent derrière les dernier secteurs d'une
disquette,etlesautresprogrammesdecréationd'imagesdedisquettene
sont pas en mesure d'obtenir ces données.
Unefoisquevousavezcréélesimagesdedisquettequevoussouhaitez
envoyer, vous pouvez les envoyer en tant que pièces jointes, par courrier
électronique, aux chercheurs de McAfee.
Préparation des fichiers d'archives à envoyer
Essayez de stocker le maximum d'exemples de virus en une seule disquette.
Pour ce faire, compressez les exemples que vous avez capturés sur disquette
dans un seul fich ier .ZIP, avec une protection par mot de passe. Voici un
exempledeprocéduredecompressionàl'aidedel'utilitaireWinZip:
1. Démarrez WinZip.
2. Appuyez sur CTRL+N pour créer un nouveau fichier d'archives.
La boîte de dialogue Nouveau fichier d'archives s'affiche.
3. Entrez un nom pour le fichier d'archives, puis cliquez sur OK.
4. Appuyez sur CTRL+A pour ajouter des fichiersdanslefichierd'archives.
La boîte de dialogue Ajouter s'affiche.
5. Cliquez sur Mot de passe pour afficher la boîte de dialogue Mot de
passe.
6. Tapez INFECTÉ dans la zone de texte Mot de passe, puis cliquez sur OK.
7. Lorsque vous y êtes invité, tapez à nouveau votre mot de passe pour
vérifier son exactitude, puis cliquez sur OK.
LaboîtededialogueAjouteravecmotdepasses'affiche.
8. Sélectionnez vos fichiers exemple, puis cliquez sur OK.
WinZip applique le mot de passe que vous avez saisi à tous les fichiers
que vous ajoutez ou retirez du fichier d'archives. Vous pouvez identifier
facilement les fichiers protégés par mot de passe dans une liste de fichier
d'archives,carleursnomssontsuivisdusigneplus(+) .
Guide d'utilisateur 97
Page 98
Suppression d'une infection d ans votre système
REMARQUE : Si vous ne protégez pas vos exemples avec le mot de
passe INFECTÉ,lesmoteursd'analyseantivirusdeMcAfee peuvent
les détecter et les nettoyer avant même qu'ils n'arrivent à
destination.
9. Attachez le fichier .ZIP que vous avez créé à un message électronique.
Envoi d'exemples par e-mail
Une fois que vous avez créé des images de disquette ou un fichier d'archives
pour vos exemples, envoyez-les aux chercheurs de McAfee à l'une des
adresses électroniques suivantes :
Aux États-Unis virus_research@nai.com
Au Royaume-Uni vsample@nai.com
En Allemagne virus_research_de@nai.com
Au Japon virus_research_japan@nai.com
En Australie virus_research_apac@nai.com
Au Pays-Bas virus_research_europe@nai.com
Votre message doit contenir les informationssuivantes :
• Les symptômes qui vous amènent à penser que votre ordinateur est infecté
• Lecaséchéant,lenometlenumérodeversionduproduitquiadétectéle
virus, ainsi que les résultats
• Les numéros de version du logiciel VirusScan et du fichier .DAT
• Des informations détaillées sur votre système permettant de reproduire
l'environnement dans lequel vous avez détecté le virus
• Sipossible,votrenom,lenomdevotreentreprise,votrenumérode
téléphone et votre adresse électronique
• La liste de tous les éléments inclus dans le lot que vous envoyez
Envoi des disquettes infectées
Vous pouvez également envoyer par courrier les disquettes que vous avez
créées directement aux chercheurs de McAfee. McAfee vous recommande
de créer un fichier texte ou d'écrire un message sur papier avec les mêmes
informations que pour l'envoi d'une image de disquette électronique et de le
joindre à la ou les disquettes que vous envoyez. Envoyez votre exemple à une
seule adresse de centre de recherche afin de recevoir une réponse dans les
meilleurs délais. Utilisez les adresses suivantes :
98 Logiciel antivirus McAfee VirusScan
Page 99
Suppression d'une infection dans votre système
Aux États-Unis :
Network Associates, Inc.
Virus Research
20460 NW Von Neumann Drive
Beaverton, OR 97006
En Allemagne :
Network Associates, Inc.
Virus Research
Luisenweg 40
20537 Hamburg
Allemagne
En Australie :
Network Associates, Inc.
Virus Research
Level 1, 500 Pacific Highway
St. Leonards, NSW
Sydney
Australie 2065
Au Royaume-Uni :
Network Associates, Inc.
Virus Research
Gatehouse Way
Aylesbury, Bucks HP19 3XU
UK
Au Japon :
Network Associates, Inc.
Virus Research
9F Toranomon Mori-bldg. 33
3-8-21 Toranomon, Minato-Ku
Tokyo
Japon 105-0001
En Europe :
Network Associates, Inc.
Virus Research
Gatwickstraat 25
1043 GL Amsterdam
Pays-Bas
REMARQUE : Le centre de recherche antivirus AVERT de McAfee
conservetouslesexemplesreçus,maisilnepeutenaucuncasvousles
renvoyer.AVERTn'accepteninetraitepaslescartouchesIomegaDitto
ouJazz,lesdisqueszipIomegaoutoutautretypedesupportamovible.
Guide d'utilisateur 99
Page 100
Suppression d'une infection d ans votre système
100 Logiciel antivirus McAfee VirusScan
Loading...