Doctor Web, 2015. Tous droits réservés. Ce document est la propriété de Doctor Web. Aucune partie de ce document ne peut être reproduite, publiée ou transmise sous quelque forme que ce soit, par quelque moyen que ce soit et dans quelque but que ce soit sinon pour une utilisation personnelle de l acheteur sans attribution propre. MARQUES DÉPOSÉES Dr.Web, SpIDer Mail, SpIDer Guard, CureIt!, CureNet!, AV-Desk et le logo Dr.Web sont des marques déposées et des marques commerciales de Doctor Web en Russie et/ou dans d autres pays. D autres marques déposées, marques commerciales et noms de société utilises dans ce document sont la propriété de leurs titulaires respectifs. LIMITATION DE RESPONSABILITÉ En aucun cas Doctor Web et ses revendeurs et distributeurs ne peuvent être tenus pour responsables pour les erreurs ou omissions, pertes de profit ou tout autre dommage causés ou prétendus être causés par le présent document, son utilisation ou l incapacité d utiliser l information contenue dans ce document. Dr.Web Antivirus pour Mac OS X Version 10.1 21.08.2015 Doctor Web Head Office 2-12A, 3rd str. Yamskogo polya Moscow, Russia 125124 Web site: www.drweb.com Phone: +7 (495) 789-45-87 Consultez le site web official pour en savoir plus sur les bureaux régionaux ou internationaux.
Doctor Web Doctor Web développe et distribue les solutions de sécurité de l information Dr.Web qui fournissent une protection efficace contre les logiciels malveillants et le spam. Les clients de Doctor Web sont des utilisateurs particuliers dans le monde entier, ainsi que des institutions gouvernementales, des petites entreprises et des entreprises nationales. Les solutions antivirus Dr.Web sont connues depuis 1992 pour leur excellence en matière de détection des malwares et leur conformité aux standards de sécurité de l information internationaux. Les certificats d Etat et les prix attribues aux solutions Dr.Web ainsi que l utilisation de nos produits dans le monde entier sont les meilleurs temoins de la confiance qui leur est accordée. Nous remercions tous nos clients pour leur soutien et leur fidelité aux produits Dr.Web!
4 Sommaire Légende Chapitre 1. Introduction À propos Composants et fonctions principales Chapitre 2. Installation et désinstallation Pré-requis système Installer et désinstaller Dr.Web Chapitre 3. Gestion des licences Fichier clé de licence Gestionnaire de licence Activation d'une nouvelle licence Chapitre 4. Fonctions principales Démarrer et arrêter Dr.Web Mettre à jour l'antivirus Protection antivirale constante Scan à la demande Neutralisation des menaces Analyse du trafic HTTP et contrôle d'accès aux ressources Internet Aide Chapitre 5. Fonctions additionnelles Gérer la quarantaine Actions automatiques Exclusion des objets de l'analyse Analyse du trafic chiffré Notifications Privilèges administrateur Optimisation de l'utilisation de la batterie Dr.Web Cloud Mode de fonctionnement Paramètres par défaut Annexes Annexe A. Types de menaces informatiques Annexe B. Neutralisation des menaces informatiques 6 7 7 7 8 8 8 9 9 10 10 12 13 14 14 15 16 18 19 20 20 21 22 22 23 23 23 24 24 25 27 27 30
5 Annexe C. Protection centralisée Annexe D. Raccourcis clavier 32 34 Annexe E. Support technique Index 36 35
Légende 6 Légende Symboles utilisés dans ce manuel : Règles de texte Gras Vert et gras Vert et souligné Italique LETTRES CAPITALES Symbol de minus («-») Point d'exclamation Description Noms des boutons et autres éléments de l'interface graphique utilisateur (GUI), et données utilisateurs requises qui peuvent être entrées exactement comme indiqué dans ce manuel. Noms des produits et composants Doctor Web. Hyperliens vers les rubriques et les pages web. Espaces réservés aux informations qui doivent être fournies par l'utilisateur. Pour les entrées dans la ligne de commande, cela indique les valeurs du paramètre. En plus, cela peut indiquer un terme dans une définition. Noms des touches et séquences de touches. Indique une combinaison de touches. Par exemple, COMMAND-Q indique de maintenir appuyée la touche COMMAND tout en pressant la touche Q. Une alerte sur une erreur potentielle ou tout autre commentaire important. Les abréviations suivantes sont utilisées dans le : GUI Interface Graphique Utilisateur (version GUI d'un programme : une version qui utilise la GUI) OS système d'exploitation
Chapitre 1. Introduction 7 Chapitre 1. Introduction Merci d avoir choisi le le logiciel Dr.Web Antivirus pour Mac OS X (ci-après Dr.Web). L'application utilise les technologies les plus recentes de detection et de neutralisation des virus et assure la protection fiable contre les différents types des menaces informatiques. Ce manuel est destiné à aider les utilisateurs des ordinateurs fonctionnant sous le système d exploitation OS X d installer et utiliser Dr.Web. À propos Dr.Web est destiné à aider les utilisateurs des ordinateurs fonctionnant sous OS X de protéger ses postes de travail des virus et d autres menaces. Les principaux composants du logiciel (noyau antivirus et bases virales) sont non seulement très efficaces et peu exigeants en ressources système, mais également multi-plateformes, ce qui permet aux spécialistes de Doctor Web de créer des solutions antivirus fiables pour différents types de systèmes d exploitation (OS). Les composants de Dr.Web sont mis à jour régulièrement et les bases virales se sont complétés par de nouvelles signatures, ce que permet d assurer un haut niveau des sécurité. Pour la protection contre des virus inconnus un analyseur heuristique est utilisé. Composants et fonctions principales Dr.Web contient un ensemble des composants, chacun avec ses propres fonctionnalités : Composant SpIDer Guard SpIDer Guard Fonctionnalités C'est un composant antivirus résident, qui analyse tous les fichiers utilisé en temp réel. Ce composant analyse le trafic HTTP entrant et bloque tous les objets malveillants. Il est aussi utilisé pour contrôler l'accès aux ressources Internet. Scanner C'est le principal composant de détection des virus, qui permet d'effectuer : l'analyse rapide, complète ou sélective du système à la demande de l'utilisateur ; la neutralisation des menaces détectées (Désinfection, Suppression, Déplacement en Quarantaine ; l'utilisateur peut sélectionner une des actions manuellement ou configurer des actions automatiques pour des menaces de types différents). Quarantaine Module de mises à jour Gestionnaire de licence C'est un dossier spécialisé pour isoler des fichiers infectés et autres menaces de sécurité afin qu'ils ne puissent pas endommager le système. Ce composant est utilisé pour mettre à jour des bases virales et autres composants de l'antivirus via Internet. Ce composant est utilisé pour gérer les licences : il permet de consulter les informations sur la licence actuelle, d activer une licence ou une période démo ou obtenir une nouvelle licence. Les paramètres personnalisés de Dr.Web permettent de configurer des alertes sonores et visuelles pour les différents événements, les actions automatiques à appliquer aux menaces détectées, la périodicité des mises à jour des bases virales et aussi de créer la liste des fichiers et des dossiers à exclure du scan.
Chapitre 2. Installation et désinstallation 8 Chapitre 2. Installation et désinstallation Dr.Web est fourni sous forme d une image disque. Ce fichier se trouve sur le disque de distribution du produit. Vous pouvez également le télécharger depuis le site officiel de Doctor Web à l'adresse http://www.drweb.com. Dr.Web n'est pas compatible avec autres logiciels antivirus. L'installation de plusieurs logiciels antivirus sur le même ordinateur peut entraîner un crash système et une perte de données. C est pourquoi avant d installer Dr.Web, il est nécessaire de supprimer sa version précédente ou un autre antivirus installé sur votre ordinateur. Pré-requis système Dr.Web peut être installé et utilisé sur un ordinateur tournant sous le système d exploitation OS X 10.7 ou supérieur. Des autres exigences sont les mêmes que pour les OS correspondants. Installer et désinstaller Dr.Web Dr.Web est fourni sous forme d une image disque. Pour installer le logiciel 1. Si nécessaire, double-cliquez sur l image disque pour le monter. 2. Faites glisser le fichier de l'application de l'image disque dans le dossier Applications sur votre Mac. Pour désinstaller le logiciel Pour supprimer Dr.Web, il suffit de le faire glisser dans la Corbeille. Entrez l'identifiant et le mot de passe de l'administrateur, si nécessaire.
Chapitre 3. Gestion des licences 9 Chapitre 3. Gestion des licences Pour le fonctionnement de Dr.Web une licence est requise. Vous pouvez acheter une licence via un produit physique ou sur le site officiel de Doctor Web. Une licence accorde le droit d utiliser toutes les fonctionnalités du produit durant toute la durée de la licence. Les paramètres du fichier clé sont définis en fonction du Contrat de licence. Vous pouvez activer une licence, la renouveler quand elle a expiré ou obtenir une nouvelle licence à l aide du composant Gestionnaire de Licence. La licence pour Dr.Web Antivirus pour Mac OS X n est pas valide pour le système d exploitation serveur. Si l application Server.app est installée sur votre ordinateur, le système d exploitation est déterminé comme OS X Server. Dans ce cas, pour que Dr.Web fonctionne il faut supprimer l application Server.app ou acheter la licence pour Dr.Web Antivirus pour Mac OS X Server. Il est recommandé d activer la licence juste après l installation de l application, vu que cela est nécessaire pour mettre à jour l antivirus et pour activer les fonctionnalités de la protection constante et du scan à la demande de votre Mac. Si vous souhaitez tester le produit avant de l acheter, vous pouvez activer la période démo. Elle fournit les fonctionnalités complètes des principaux composants, mais la durée de validité est restreinte. Vous pouvez activer une période démo pour le même ordinateur une seule fois par an. La durée de la période démo est de : De 3 mois. Enregistrez-vous sur le site de Doctor Web et recevez un numéro de série. De 1 mois. Pour cette durée, aucun numéro de série ni enregistrement de données ne sont requis. Fichier clé de licence Le type de licence est indiqué dans un fichier spécial appelé le fichier clé de licence. Le fichier clé de licence comporte, entre autres, les informations suivantes : liste des composants que cet utilisateur donné a le droit d'utiliser ; durée de la licence ; autres restrictions (par exemple, nombre d' utilisateurs qui peuvent se servir de l'antivirus). La licence pour Dr.Web est valide si elle répond aux conditions suivantes : La licence n a pas expiré Tous les composants antivirus requis par le produit sont soumis à licence ; l intégrité du fichier clé n a pas été violée. Si l une des conditions n est pas respectée, la licence devient invalide et Dr.Web arrête de détecter et de neutraliser les menaces. Le fichier clé de licence possède l extension.key, et vous pouvez le recevoir pendant le procédure d activation de la licence lors du premier démarrage de Dr.Web à l aide du composant Gestionnaire de Licence. Les paramètres du fichier clé de licence, déterminant les droits d utilisateur, sont spécifiés conformément au Contrat de Licence. Ce fichier contient également des informations sur l'utilisateur et sur le vendeur de l'antivirus.
Chapitre 3. Gestion des licences 10 Il est recommandé de conserver le fichier clé durant toute la durée de validité de la licence ou de la licence démo. Le fichier clé de licence obtenu pour activer la période de démonstration peut être utilisé uniquement sur l ordinateur sur lequel a eu lieu la procédure d activation de la licence. Gestionnaire de licence Pour ouvrir le Gestionnaire de Licence, sélectionnez Gestionnaire de Licence dans le menu du logiciel (barre de menu dans la partie supérieure du bureau) ou dans la fenêtre principale du logiciel, cliquez sur la section de l'information sur la licence. Dans la fenêtre du Gestionnaire de licence vous pouvez voir les informations sur l'état de la licence actuelle. Pour activer une nouvelle licence de Dr.Web ou renouveler votre licence existante, cliquez sur Obtenir une nouvelle licence. Activation d'une nouvelle licence Après l installation, il est nécessaire d activer la licence de Dr.Web. L activation confirme vos droits d utiliser l antivirus est rend disponibles les fonctions de la mise à jour, de la protection antivirale constante et de l analyse à la demande. La fenêtre d activation s ouvre automatiquement, lorsque vous démarrez Dr.Web pour la première fois. Vous pouvez également lancer l activation depuis la fenêtre du Gestionnaire de Licence, en cliquant sur le bouton Obtenir une nouvelle licence. Activation d'une nouvelle licence 1. Si vous possédez une numéro de série pour l activation d une licence ou de la période démo pour 3 mois, à la première étape d activation cliquez sur Activer la licence. 2. Entrez le numéro de série et cliquez sur Suivant. Si vous activez la période démo, allez à l'étape 5. 3. Si vous avez une licence précédente, indiquez son numéro de série ou fichier clé. Si vous avez déjà utilisé Dr.Web et que vous activez une nouvelle licence, sa durée sera augmentée de 150 jours supplémentaires. Pour cela, il est nécessaire d indiquer les données sur la licence précédente : numéro de série ou fichier clé de licence. Si vous avez déjà utilisé Dr.Web et que vous activez une licence de renouvellement, il vous faudra indiquer le numéro de série ou le fichier clé de la licence précédente. Si vous n indiquez pas ces données, la durée de validité de votre nouvelle licence sera diminuée de 150 jours. Cliquez sur Suivant. 4. Pour activer la licence, indiquez les données personnelles (login, région, ville, etc.). Le champ Login est obligatoire. Si vous voulez recevoir les actualités sur le produit, cochez la case correspondante. Cliquez sur Suivant. 5. La licence sera activé. Ces procédures s'effectuent sans votre aide. Si la procédure d activation a été effectuée avec succès, un message spécifiant la durée de validité de la licence ou de la période démo s affiche. Cliquez sur Terminé. Si l activation a échoué, un message d erreur s affiche. Activation de la période démo Si vous voulez seulement tester Dr.Web, cliquez sur Obtenir une démo à la première étape de la procédure d activation. Pour tester Dr.Web vous pouvez activer la période de démo :
Chapitre 3. Gestion des licences 11 De 3 mois. Pour l activer, enregistrez-vous sur le siteet recevez un numéro de série. Après avoir rempli le formulaire, vous recevrez un numéro de série sur l adresse e-mail que vous avez indiquée. Ensuite, vous pouvez l activer en cliquant sur Activer la licence dans la fenêtre Gestionnaire de Licence. De 1 mois. Pour cette durée, aucun numéro de série ni enregistrement de données ne sont requis. La licence sera activée automatiquement. Achat d'une licence Si vous n avez pas de numéro de série, à la première étape d activation cliquez sur Acheter une licence pour ouvrir la page correspondante de la boutique en ligne de Doctor Web. Il est recommandé de sauvegarder votre fichier clé de licence jusqu à son expiration. Pour réinstaller le produit ou bien l installer sur plusieurs ordinateurs, vous pouvez utiliser le fichier clé de licence obtenu lors de la première activation. Installation d un fichier clé de licence existant 1. À la première étape d activation cliquez sur Autres types d activation. 2. Si vous avez le fichier clé de licence ou le fichier de configuration requis pour la connexion au réseau antivirus et le fonctionnement dans le mode de la protection centralisée, faites-le glisser dans la zone pointillé ou cliquez sur cette zone pour sélectionner le fichier. 3. Pour activer la licence, cliquez sur Suivant. Réactivation La réactivation de la licence ou de la période de démo peut être requise si vous avez perdu le fichier clé. Lors de la réactivation de la licence ou de la période de démo, vous recevez le même fichier clé de licence que celui qui a été reçu avant, à condition que la licence n ait pas expiré. Une licence démo peut être réactivée pour 3 mois uniquement sur l ordinateur sur lequel il a été activé avant. L activation de la licence avec le même fichier clé n est possible que 25 fois. Si ce nombre est dépassé, la licence ne sera plus activé. Dans ce cas, contactez le support technique (dans votre requête, il faut décrire en détails la situation, indiquer les données personnelles que vous avez entré lors de l activation de la licence, ainsi que votre numéro de série). Le fichier clé vous sera envoyé par le support technique par e-mail.
Chapitre 4. Fonctions principales 12 Chapitre 4. Fonctions principales L accès aux fonctions essentielles de Dr.Web se fait depuis la fenêtre principale du logiciel (voir la figure ci-dessous) qui contient des rubriques utilisées pour gérer et accéder aux composants de l antivirus : Section Description Panneau Depuis cette rubrique vous pouvez : activer/désactiver le composant antivirus résident SpIDer Guard ; activer/désactiver l'analyse du trafic web ; voir les informations sur la dernière analyse du système et lancer l'analyse rapide ou complète, ainsi qu'analyser de certains fichier ou dossiers ; voir les informations sur la dernière mise à jour des bases virales démarrer la mise à jour manuellement, si nécessaire ; voir les informations sur votre licence actuelle et lancer le Gestionnaire de Licence, si nécessaire ; basculer sur les rubriques Menaces et Mon Dr.Web. Menaces Mon Dr.Web Depuis cette rubrique vous pouvez accéder à la liste des menaces détectées, appliquer des actions pour les neutraliser et aussi accéder à la liste de Quarantaine. Depuis cette rubrique vous pouvez lire des actualités de la société Doctor Web et consulter les informations sur les promotions et les virus, ainsi qu'ouvrir votre page personnelle sur le site officiel de Doctor Web. Cette page fournit des informations sur votre licence, l'heure et la date de la dernière mise à jour, le nombre des enregistrements dans les bases virales, les actualités et le promotions, ainsi que vous permet de renouveler la licence, de contacter le Support Technique, etc.
Chapitre 4. Fonctions principales 13 Figure 1. Fenêtre principale de l'application Démarrer et arrêter Dr.Web Pour démarrer l'antivirus Pour démarrer Dr.Web, effectuez une des actions suivantes : Ouvrez le fichier Applications dans Finder et démarrez le programme Dr.Web pour Mac OS X. Lancez le Launchpad et démarrez Dr.Web pour Mac OS X. Lors du démarrage, le logiciel vérifie les paramètres et télécharge les mises à jours, si nécessaire. Lors du premier démarrage, une mise à jour se lance. Cette mise à jour comprend le téléchargement des bases virales, ce qui peut prendre du temps considérable. Pour arrêter l'antivirus Pour arrêter Dr.Web, exécutez une des opérations suivantes : Sélectionnez Quitter Dr.Web pour Mac OS X dans le menu d'application (une barre dans la partie supérieure du bureau). Appuyez et maintenez enfoncé l'icône de l'application dans le Dock, puis cliquez sur Quitter. Appuyez sur des touches COMMAND-Q sur le clavier.
Chapitre 4. Fonctions principales 14 Le composant SpIDer Guard reste actif même après que Dr.Web soit arrêté. C'est le moniteur antivirus résident, qui analyse des fichiers utilisés en temps réel. Mettre à jour l'antivirus Les solutions antivirus de Doctor Web utilisent les bases virales Dr.Web pour détecter les logiciels malveillants. Ces bases contiennent les détails et les signatures pour toutes les menaces virales connues au moment du lancement du produit. Cependant, les menaces virales modernes se caractérisent par leur évolution et leurs modifications rapides. C'est pourquoi les bases virales nécessitent des mises à jour régulières. Les mises à jour permettent de détecter des nouveaux virus, de bloquer leur diffusion et de désinfecter parfois les fichiers infectés qui n'étaient pas curables auparavant. Parfois, les mises à jour incluent également des améliorations des algorithmes antivirus et réparent les bugs dans le logiciel et la documentation. Pour maintenir les bases virales et les algorithmes du logiciel à jour, Doctor Web utilise le système de diffusion des mises à jour via Internet. Les mises à jour des bases virales et des autres composants de Dr.Web assurent la conformité de la protection de votre Mac aux exigences modernes ainsi que sa capacité de réagir aux menaces récentes. Les mises à jour sont téléchargées par un composant spécial, appelé Module de mises à jour. Lors du premier démarrage de Dr.Web, avant lancer le scan, il faut mettre à jour les bases virales. Les mises à jour suivantes s effectueront avec la périodicité que vous pouvez configurer dans les paramètres de Dr.Web. Pour configurer la périodicité des mises à jour 1. Dans le menu de l'application, cliquez sur Préférences et ouvrez la rubrique Mises à jour. 2. En cas de besoin, modifiez la périodicité des téléchargements des mises à jour. Protection antivirale constante La protection antivirale constante est assurée par un composant appelé SpIDer Guard. Ce composant effectue un contrôle en temps réel de tous les fichiers qui ont été manipulés par l'utilisateur, ainsi que des programmes et processus en cours d'exécution sur le Mac. Ce composant est activé lors de l installation et de l activation de Dr.Web. Quand une menace est détectée, SpIDer Guard affiche une alerte et effectue une action spécifiée par les paramètres du logiciel. Pour activer/désactiver SpIDer Guard Pour arrêter ou relancer SpIDer Guard, effectuez une des actions suivantes : activez/désactivez l option SpIDer Guard dans la rubrique Panneau de la fenêtre principale de Dr.Web (voir Figure 1) ; Cliquez sur l icône de Dr.Web dans une ligne du menu en haut de l écran et sélectionnez l élément correspondant du menu. Seuls les utilisateurs ayant des privilèges d'administrateur peuvent désactiver SpIDer Guard. Faites attention si vous voulez désactiver SpIDer Guard! Lorsque la protection antivirale est désactivée, évitez de vous connecter à l'internet et de télécharger des fichiers depuis des supports amovibles sans les avoir au préalable fait analyser par le Scanner.
Chapitre 4. Fonctions principales 15 Scan à la demande Dr.Web analyse les objets du système sur demande de l'utilisateur ou sur planification et détecte des menaces qui dissimulent leur présence dans le système. Pour assurer une protection fiable de votre Mac, il est recommandé de lancer de temps en temps le scan du système par Dr.Web. Lors du scan la charge sur le processeur augmente, de sorte que la batterie se décharge plus vite. Sur des ordinateurs portables, il est recommandé d'effectuer le scan quand ils sont alimentés par le réseau électrique. Pour démarrer l'analyse du système 1. Dans la fenêtre principale de Dr.Web sélectionnez le mode du scan : Analyse rapide analyser rapidement les parties les plus vulnérables du système ; Analyse complète analyser complètement tout le système de fichiers. De plus, vous pouvez utiliser les raccourcis clavier CONTROL-COMMAND-E et CONTROL-COMMAND-F pour lancer l'analyse rapide et complète. 2. Pour scanner des certains fichier et dossiers, faites-les glisser sur la fenêtre principale de l'antivirus ; ou cliquez sur la zone pointillé dans la partie gauche de la fenêtre principale pour ouvrir la fenêtre de la sélection des objets à analyser. Dans la liste des objets, sélectionnez les fichiers et les dossiers à analyser : Pour ajouter un objet dans la liste, cliquez sur le bouton glisser cet objet sur la liste. sous la liste des objets ou faites Pour supprimer un objet de la liste, sélectionnez-le et cliquez sur le bouton cet objet hors la fenêtre du logiciel. Cliquez sur Lancer l'analyse pour lancer l'analyse des objets sélectionnés., ou faites glisser Pour démarrer le scan d'un fichier ou dossier depuis le menu contextuel Pour lancer le scan d un fichier ou d un dossier contenant des fichiers : 1. Sélectionnez le fichier ou le dossier nécessaire sur le Bureau ou dans le Finder. 2. Exécutez la commande du menu contextuel Scanner Dr.Web. Lorsque le scan se met en marche, la fenêtre principale affiche la rubrique des résultats (voir l'illustration ci-dessous). Lors de l'analyse, le logiciel affiche les informations suivantes : la durée de l'analyse ; le nombre d'objets analysées ; le temps restant avant la fin de l'analyse ; le nombre de menaces détectées ; le nom du fichier en cours d'analyse. La partie inférieure de la fenêtre contient un bref rapport statistique sur la session effectuée ou courante. Vous pouvez mettre en pause ou arrêter le scan avec les boutons Pause et Stop.
Chapitre 4. Fonctions principales 16 Figure 2. Le rapport sur les résultats du scan Certains fichiers peuvent être omis lors de l'analyse parce qu'ils sont corrompus ou protégés par mot de passe. S'il y a des archives dans la liste des objets omis, essayer de les extraire avant le scan. Pour le fonctionnement de Dr.Web les droits d administrateur sont requis pour avoir accès aux domaines critiques du disque dur. Pour doter le logiciel de ces droits, effectuez une des actions suivantes : Utilisez le raccourci clavier COMMAND-SHIFT-A et entrez ensuite le mot de passe de l'administrateur. Cliquez sur le cadenas dans la partie inférieure de la fenêtre et entrez le mot de passe de l'administrateur. Neutralisation des menaces Le logiciel permet de configurer les actions automatiques pour les types différents de menaces ou appliquer les actions aux menaces manuellement pour les neutraliser. Pour voir la liste des menaces détectées et sélectionner des actions à appliquer, ouvrez l onglet Menaces de la fenêtre principale de l application (voir la figure ci-dessous).
Chapitre 4. Fonctions principales 17 Pour afficher l'information sur les menaces Figure 3. La rubrique Menaces 1. Pour afficher la liste des menaces détectées, ouvrez la section Menaces. La barre d état dans la partie inférieure de la fenêtre contient le nombre total des menaces détectées et leur taille totale, ainsi que le nombre et la taille des objets sélectionnés. 2. Pour afficher l'information sur une menace, cliquez sur ou double-cliquez sur cette menace. 3. Pour consulter les informations sur le type de menaces pareilles sur le site de la société Doctor Web, cliquez sur à gauche du nom de la menace dans la fenêtre des informations détaillées. Pour neutraliser les objets malveillants 1. Ouvrez la section Menaces. 2. Pour appliquer l'action spécifiée par les paramètres de l'antivirus pour le type de menaces correspondant, cliquez sur le bouton avec cette action sous la menace. Pour appliquer une autre action, dans la fenêtre des informations détaillées, cliquez sur la flèche sur le bouton avec une action recommandée. 3. Pour appliquer une action à plusieurs objets, sélectionnez-les en maintenant la touche SHIFT enfoncée, puis dans la rubrique Actions du menu principal de l application ou dans le menu contextuel de la liste de menaces sélectionnez l action pour les neutraliser. 4. Pour neutraliser toutes le menaces détectées, cliquez sur Tout neutraliser. Les actions spécifiées dans les paramètres du logiciel pour les types de menaces correspondants seront effectuées. Vous pouvez utiliser également les raccourcis clavier.
Chapitre 4. Fonctions principales 18 Analyse du trafic HTTP et contrôle d'accès aux ressources Internet L'analyse du trafic Internet est effectuée à l'aide du composant SpIDer Gate. SpIDer Gate analyse automatiquement le trafic HTTP entrant et bloque tous les objets contenant les menaces de sécurité. L'HTTP est utilisé par les navigateurs, les gestionnaires de téléchargement et d'autres applications qui échangent des données avec des serveurs web, c'est-à-dire qui travaillent avec Internet. SpIDer Gate permet aussi de contrôler l'accès aux ressources Internet et d'empêcher les utilisateurs d'accéder à des sites web indésirables (pornographie, violence, jeux etc). Ce composant est activé lors de l installation et de l activation de la licence de Dr.Web. D'autres applications de contrôle du trafic web et de contrôle d'accès aux ressources web installées sur le Mac peuvent ne pas fonctionner correctement si SpIDer Gate est activé. Pour activer/désactiver SpIDer Gate Pour arrêter ou relancer SpIDer Gate, effectuez une des actions suivantes : activez/désactivez l option SpIDer Guard dans la rubrique Panneau de la fenêtre principale de Dr.Web (voir Figure 1) ; Cliquez sur l icône de Dr.Web dans une ligne du menu en haut de l écran et sélectionnez l élément correspondant du menu. Seuls les utilisateurs ayant des privilèges d'administrateur peuvent désactiver SpIDer Gate. Pour configurer l'analyse du trafic HTTP Par défaut, SpIDer Gate bloque tous les objets malveillants entrants. Vous pouvez sélectionner les types des objets à bloquer, configurer les actions pour les objets non vérifiés et aussi le temps maximum de l'analyse d'un seul fichier. Pour cela, effectuez les actions suivantes : 1. Dans le menu du logiciel, cliquez sur Préférences et ouvrez l'onglet SpIDer Gate. Seuls les utilisateurs ayant des privilèges d'administrateur peuvent modifier les paramètres du SpIDer Gate. Cliquez sur sur le cadenas en bas de l'onglet des paramétrages et entrez le nom et le mot de passe de l'administrateur, si nécessaire. 2. Cliquez sur Avancé. 3. Sélectionnez les types des logiciels malveillants à bloquer. 4. Spécifiez la durée maximale de l'analyse d'un seul fichier. 5. Il faut faire attention qu'augmentation du temps maximum de l'analyse d'un seul fichier peut ralentir votre Mac. Par défaut, les objets dont l'analyse a échoué, sont bloqués. Pour autoriser le transfert de tel objets, décochez la case Bloquer les objets non vérifiés. 6. Cliquez sur OK pour sauvegarder les changements. Pour configurer l'accès aux ressources Internet Avec les paramétrages par défaut, SpIDer Gate bloque l'accès aux URLs ajoutées à la demande du détenteur de droits et aux sites non recommandés. Vous pouvez désactiver ces options dans l onglet SpIDer Gate de la fenêtre de paramètres de Dr.Web. Vous pouvez aussi sélectionner les catégories des sites web à bloquer et aussi créer les listes blanche et noire des adresses web auxquels l'accès sera autorisé ou bloqué quels que soient les autres paramètres du SpIDer Gate.
Chapitre 4. Fonctions principales 19 Il n'est pas recommandé de modifier les paramètres par défaut du SpIDer Gate si vous n'êtes pas sûr que c'est vraiment nécessaire. Sélection des catégories des sites web à bloquer 1. Dans le menu du logiciel, cliquez sur Préférences et ouvrez l'onglet SpIDer Gate. Seuls les utilisateurs ayant des privilèges d'administrateur peuvent modifier les paramètres du SpIDer Gate. Cliquez sur sur le cadenas en bas de l'onglet des paramétrages et entrez le nom et le mot de passe de l'administrateur, si nécessaire. 2. Sélectionnez les catégories des sites web auxquelles vous voulez bloquer l'accès Listes blanche et noire 1. Dans le menu de l'application, cliquez sur Préférences et ouvrez l'onglet Exclusions. 2. Cliquez sur Sites Web. Seuls les utilisateurs ayant les droits d administrateur peuvent modifier la liste noire et la liste blanche. Si cela est nécessaire, cliquez sur l image du cadenas en bas de l onglet de paramètres et entrez le nom et le mot de passe de l administrateur. 3. Par défaut, les listes sont vides. Si cela est nécessaire, vous pouvez ajouter des adresses de sites web à la liste blanche et noire. Cliquez sur le bouton sous la liste correspondante et entrez tout ou partie d'un nom de domaine pour les sites que vous souhaitez autoriser ou bloquer: pour ajouter un site spécifique dans la liste, entrez son adresse complète (par exemple, www.exemple.com). Ceci configure l'accès à toutes les pages localisées sur ce site ; pour configurer l'accès aux sites ayant un nom similaire, entrez la partie commune à leurs noms de domaine. Par exemple, si vous entrez exemple, SpIDer Gate configurera l'accès aux sites tels que exemple.com, exemple.test.com, test.com/exemple, test.exemple222.ru et aux sites web similaires ; pour configurer l'accès aux sites d'un domaine particulier, entrez le nom de domaine avec un point («.»). Dans ce cas ceci configure l'accès à toutes les ressources du domaine. Si le nom de domaine comporte un slash ('/'), le substring avant le slash est considéré comme un nom de domaine alors que le substring après le slash est considéré comme une partie de l'adresse des sites que vous souhaitez autoriser dans ce domaine. Par exemple, si vous entrez exemple.com/ test, SpIDer Gate configurera l'accès aux pages web comme exemple.com/test11, template.exemple.com/test22 etc. Pour supprimer les adresses des sites web de la liste blanche ou noire, sélectionnez ces adresses dans la liste correspondante et cliquez sur le bouton fenêtre du logiciel. 4. Cliquez sur OK pour sauvegarder les changements., ou bien faites glisser ces objets hors la Aide Pour obtenir l'aide sur le programme, utilisez l'aide Dr.Web accessible via Apple Help viewer. Pour ouvrir l'aide Dr.Web, dans la partie supérieure du bureau sélectionnez Aide Dr.Web dans le menu Aide ou entrez des mots clé dans la boîte de texte correspondante. Si vous n arrivez pas à résoudre le problème ou trouver la réponse à votre question sur Dr.Web, contactez le support technique.
Chapitre 5. Fonctions additionnelles 20 Chapitre 5. Fonctions additionnelles Les fonctions supplémentaires de Dr.Web permettent de configurer les paramètres optimaux de la protection en fonction des besoins de l utilisateur. Gérer la quarantaine La quarantaine est un dossier spécial dans lequel vous pouvez déplacer des objets détectés dont vous avez besoin, mais qui ne peuvent pas être désinfectés, afin de les isoler du reste du système (les algorithmes de désinfection étant constamment améliorés, vous pourrez peut-être désinfecter l'objet lors d'une prochaine mise à jour). Pour des raisons de confidentialité, un dossier séparé de la Quarantaine est crée pour chaque utilisateur du système. De ce fait, si vous basculez en mode Administrateur, les menaces détectées sont déplacées vers la quarantaine de l'administrateur et ne seront pas accessibles depuis les quarantaines des utilisateurs. Vous pouvez voir et gérer le contenu de la quarantaine dans la rubrique Quarantaine de la section Menaces dans la fenêtre principale de Dr.Web (voir l'illustration ci-dessous). La barre d'état dans la partie inférieure de la fenêtre contient le nombre total des menaces et leur taille totale, ainsi que le nombre et la taille des objets sélectionnés. Figure 4. La liste des objets en quarantaine Pour afficher les information sur les objets en quarantaine 1. Pour afficher l'information sur un objet, cliquez sur ou double-cliquez sur cet objet.
Chapitre 5. Fonctions additionnelles 21 2. Pour consulter les informations sur le type de menaces que l'objet contient, sur le site de la société Doctor Web, cliquez sur à gauche du nom de la menace dans la fenêtre des informations détaillées. A la fin, la page contenant l information sur ce type de menaces sera affichée sur le site de Doctor Web. Pour neutraliser les objets en quarantaine 1. Pour appliquer l'action recommandée à un objet en quarantaine, cliquez sur le bouton de cette action sous cet objet. Pour appliquer l'action recommandée à un objet en quarantaine, cliquez sur le bouton de cette action sous cet objet. Les actions suivantes sont disponibles : Supprimer pour supprimer irrémédiablement l'objet du système ; Restaurer pour restaurer l'objet dans son emplacement original ; Restaurer vers pour spécifier le chemin de la restauration de l'objet. 2. Pour appliquer une action à plusieurs objets, sélectionnez-les en maintenant la touche SHIFT enfoncée, puis dans la rubrique Actions du menu principal de l application ou dans le menu contextuel, sélectionnez une action pour neutraliser les objets sélectionnés. Vous pouvez utiliser également les raccourcis clavier. Actions automatiques Vous pouvez configurer des actions à appliquer automatiquement aux menaces détectées en fonction de leurs types. Vous pouvez configurer les différentes actions pour le Scanner et pour SpIDer Guard. Pour configurer la réaction automatique de l'antivirus 1. Pour accéder aux paramètres des actions appliquées automatiquement par des composants de Dr.Web, effectuez une des actions suivantes : Pour paramétrer la réaction de Scanner, cliquez sur Préférences et ouvrez l'onglet Scanner. Pour paramétrer la réaction de SpIDer Guard, cliquez sur Préférences et ouvrez l'onglet SpIDer Guard. 2. En cas de besoin, modifiez les actions automatiques pour les objets infectés et suspects. 3. Cliquez sur Autres pour configurer les actions à appliquer aux logiciels malveillants (adwares, dialers, canulars, hacktools et riskwares). 4. Les actions spécifiées pour SpIDer Guard sont appliquées automatiquement aux menaces détectées par ce composant. Pour appliquer les actions automatiquement aux menaces détectées par le Scanner, cochez la case Appliquer les actions automatiquement dans les préférences du Scanner. 5. Cliquez sur Avancé pour configurer l'analyse des objets complexes (archives et fichiers e-mail), ainsi que spécifier la durée maximale de l'analyse d'un seul fichier. Il faut faire attention que l'analyse de contenu des archives et des fichiers e-mail, ainsi qu'augmentation du temps maximum de l'analyse d'un seul fichier peuvent augmenter la durée totale de l'analyse et parfois ralentir votre Mac. Il n'est pas recommandé de modifier les actions par défaut si vous n'êtes pas sûr que c'est vraiment nécessaire. Par défaut, les paramétrages du composant SpIDer Guard sont bloqués pour que les utilisateurs, privés des droits de gestion, ne puissent pas les modifier. Pour débloquer les paramétrages, vous pouvez cliquer sur le cadenas en bas de l'onglet des paramétrages de SpIDer Guard, puis entrer le nom et le mot de passe de l'administrateur.
Chapitre 5. Fonctions additionnelles 22 Exclusion des objets de l'analyse Si cela est nécessaire vous pouvez exclure de l analyse les objets suivants : Fichiers et dossiers ; Sites web ; Applications. Pour gérer la liste des exclusions 1. Dans le menu du logiciel, cliquez sur Préférences et ouvrez l'onglet Exclusions. 2. Pour passer aux listes des exclusions de fichiers, de dossiers, de sites web ou d'applications, cliquez sur le bouton correspondant. Les paramètres d exclusions sont bloqués par défaut. Pour débloquer les paramètres, cliquez sur l image du cadenas en bas de la fenêtre de paramètres et entrez le nom et le mot de passe de l administrateur. 3. Modifiez la liste des exclusions, si nécessaire : Pour ajouter un fichier, un dossier ou une application à la liste des exclusions, cliquez sur le bouton et indiquez l objet nécessaire ou faites glisser cet objet sur la liste. Pour ajouter un site web dans la liste des exclusions, cliquez sur le bouton blanche et entrez tout ou partie du nom de domaine du site web. sous la liste Pour supprimer les objets de la liste des exclusions, marquez-les dans la liste et cliquez sur le bouton ou faites glisser ces objets hors de la fenêtre du logiciel. Les paramètres par défaut des réactions automatiques sont optimaux, il n'est pas recommandé de les modifier sans une nécessité réelle. Tous les dossiers de la quarantaine sont ajoutés dans les deux listes des exclusions par défaut. La quarantaine est destinée à isoler des objets malveillants détectés, et comme l'accès à ces objets est bloqué, il n'est pas nécessaire de les scanner. Analyse du trafic chiffré Par défaut Dr.Web ne scanne pas des données, transmises via le protocole de cryptage SSL. Activation de l analyse du trafic chiffré 1. Dans le menu de l application, cliquez sur Préférences et passez sur l onglet Réseau. 2. Si les paramètres sont bloqués, cliquez sur le cadenas en bas de la fenêtre et entrez le nom et le mot de passe de l'administrateur. 3. Cochez la case Analyser le trafic chiffré. Obtenir le certificat de Doctor Web Si l analyse du trafic chiffré est activé, certains navigateurs et clients qui reçoivent et transmettent ce trafic sans s'adresser au stockage des certificats système peuvent nécessiter un certificat de Doctor Web. 1. Dans le menu de l application, cliquez sur Préférences et passez sur l onglet Réseau.
Chapitre 5. Fonctions additionnelles 23 2. Cliquez sur Exporter et sauvegardez le certificat dans un dossier à votre choix. Notifications Vous pouvez configurer les notifications sur les événements possibles lors du fonctionnement de Dr.Web dans l onglet Général des paramètres du logiciel. Il existe deux types de notifications : notifications affichées sur l'écran ; notifications sonores. Pour configurer les notifications sonores Par défaut, les notifications sonores sont activées. Pour désactiver/réactiver l'utilisation des sons, décochez/cochez la case Activer les alertes sonores dans l'onglet Généraux des préférences du logiciel. Pour configurer les notifications d'écran 1. Par défaut, les notifications visuelles sont activées. Pour les désactiver/réactiver, décochez/cochez la case Utiliser les notifications dans l'onglet Généraux des préférences du logiciel. 2. Sélectionnez le système des notifications : Dr.Web (sélectionné par défaut) Système (les notifications standards de OS X) Growl 3. Si vous avez sélectionné les notifications Dr.Web, vous pouvez configurer les paramètres additionnels, en cliquant sur le bouton Configurer : spécifiez la durée des notifications ; indiquez la partie de l'écran où les notifications seront affichées. Pour sauvegarder les changements des paramètres des notifications Dr.Web, cliquez sur OK. Privilèges administrateur Pour le fonctionnement, Dr.Web peut requérir des droits administrateur pour avoir accès aux domaines critiques du disque dur et les scanner. Pour doter Dr.Web de droits d'administrateur pour les analyses antivirales : 1. Dans le menu de l'application, cliquez sur Préférences et ouvrez la rubrique Généraux. 2. Cochez la case Démarrer le scan avec des privilèges administrateur. Vous aurez besoin d'entrer le nom et le mot de passe d'administrateur avant que le scan (rapide, complet ou sélective) soit démarré. Optimisation de l'utilisation de la batterie Par défaut, si votre Mac fonctionne sur batterie, l'analyse est mise en pause pour éviter la décharge rapide de la batterie. Dans ce cas, Dr.Web affiche une alerte qui vous permet de suspendre le scan ou de le continuer. Pour désactiver la mise en pause de l'analyse dans le cas d'opération sur batterie : 1. Dans le menu de l'application, cliquez sur Préférences et ouvrez la rubrique Généraux. 2. Pour désactiver la mise en pause de l'analyse dans le cas d'opération sur batterie, décochez la case Mettre en pause le scan pendant le fonctionnement sur batterie.
Chapitre 5. Fonctions additionnelles 24 Dr.Web Cloud Les services Dr.Web Cloud permettent aux composants antivirus d utiliser l'information la plus actuelle sur les menaces qui est mise à jour sur les serveurs de Doctor Web en temps réel. En fonction des paramètres de mises à jour, les informations sur les menaces utilisées par les composants de la protection antivirus peuvent être obsolètes. Les services Cloud peuvent, de façon fiable, restreindre l'accès des utilisateurs de votre ordinateur aux sites au contenu non désirable. Connexion auz services 1. Cliquez sur Préférences dans le menu de l application et passez sur l onglet Dr.Web Cloud. 2. Sélectionnez Je veux me connecter aux Services (recommandé). Mode de fonctionnement Si nécessaire, vous pouvez utiliser Dr.Web installé pour le travail au sein du réseau antivirus de votre société ou de votre fournisseur IT. Pour assurer la protection antivirus en mode de la protection centralisée, vous n avez pas besoin d installer les logiciels spéciaux ou de désinstaller Dr.Web. Par défaut, les paramètres de mode de fonctionnement de Dr.Web sont bloqués pour que les utilisateurs sans privilèges administrateur ne puissent pas les modifier. Pour débloquer les paramétrages, vous pouvez cliquer sur le cadenas en bas de l'onglet des paramétrages de mode de fonctionnement. et puis entrer le nom et le mot de passe d'administrateur. Pour configurer le mode de la protection centralisée 1. Contactez l administrateur du réseau antivirus de votre entreprise ou de fournisseur IT pour obtenir la licence et les paramètres de la connexion au serveur de la protection centralisée. 2. Dans le menu de l'application, cliquez sur Préférences et ouvrez la rubrique Mode. 3. Pour vous connecter au réseau antivirus d'entreprise ou au service de la protection antivirale, fournie par votre fournisseur IT, cochez la case Activer le mode de la protection centralisée. En mode de la protection centralisée le démarrage manuel et la configuration des mises à jour sont bloqués. En plus, certains paramètres de Dr.Web, notamment la configuration de la protection constante et du scan à la demande, peuvent être modifiés ou bloqués conformément à la politique de sécurité de l entreprise ou à la liste des services payés. Le fichier clé pour le fonctionnement en ce mode est téléchargé automatiquement depuis le serveur de la protection centralisée et votre licence personnelle n est pas utilisée. En mode de la protection centralisée, le scan anti-virus de votre ordinateur pet être démarré directement depuis le serveur (manuellement ou par planification).
Chapitre 5. Fonctions additionnelles 25 4. Lorsque le mode centralisé est activé, les précédents paramètres de la connexion sont restaurés. Si c'est votre première connexion ou bien les paramètres de la connexion se sont modifiés, procédez comme suit : Le fichier install.cfg fourni par l'administrateur du réseau antivirus contient des paramètres de connexion au serveur de protection centralisée. Pour utiliser ce fichier : 1. Cliquez sur Autre type d'activation à l'onglet Gestionnaire de Licence. 2. Glissez le fichier de configuration dans la fenêtre qui s'ouvre ou cliquez sur la zone en pointillés pour sélectionner le fichier. Si le fichier est monté, les champs destinés à entrer les paramètres de connexion seront indiqués automatiquement. 1. Entrez l'adresse IP du serveur de la protection antivirale centralisée, fournie par l'administrateur de réseau antivirus. 2. Indiquez le port de la connexion au serveur. 3. Faites glisser le fichier clé de licence délivré par l administrateur du réseau antivirus dans la fenêtre de configuration ou double cliquez dans la zone de la clé de licence pour l indiquer à l aide de fenêtre standard de sélection de fichiers. 4. Configurez des paramètres additionnels de l'authentification du poste de travail : l'id de poste (identificateur associé à votre ordinateur pour l'authentifier sur le serveur) et le mot de passe. Cette configuration est sauvegardée par le service Keychain. De ce fait, lors de la connexion suivante vous n'aurez pas besoin de réconfigurer ces paramètres. 5. Cliquez sur Connexion pour vous connecter au serveur de la protection centralisée avec les paramètres spécifiés. En fonction des paramètres de l'authentification des stations sur le serveur de la protection centralisée, la connexion peut s'effectuer en modes suivantes : Comme une nouvelle station (newbie). En ce cas, une confirmation de la station sur le serveur peut être nécessaire (l'id et le mot de passe pour la station sont crées automatiquement), ou bien la station est autorisée automatiquement si les paramètres de l'accès au serveur le permettent. Si la station est déjà créee sur le serveur, c'est-à-dire, un ID et un mot de passe y sont attribués, elle sera autorisée automatiquement lors de la connexion au serveur indépendamment de ses paramètres. Pour plus d'informations sur la connexion des stations au serveur de la protection antivirale, referezvous aux manuels administrateurs du Centre de Gestion Dr.Web et Dr.Web AV-Desk. Pour réactiver le mode autonome 1. Dans le menu de l'application, cliquez sur Préférences et ouvrez la rubrique Mode. 2. Pour réactiver le mode autonome d'antivirus, désactivez la case à cocher Activer le mode de la protection centralisée. Lorsque le mode autonome est activé, tous les paramètres d'antivirus sont restaurés à leur configuration précédente ou par défaut. L accès à toutes les fonctionnalités de Dr.Web est également restauré. 3. Pour le fonctionnement en mode autonome, un fichier clé valide est requis. Dans ce mode, il est impossible d utiliser la licence obtenue depuis le serveur de la protection centralisée. Si nécessaire activez la licence personnelle à l aide du Gestionnaire de Licence. Paramètres par défaut En cas de problèmes survenus après la modification de paramètres de Dr.Web vous pouvez restaurer
Chapitre 5. Fonctions additionnelles 26 les paramètres par défaut. Par défaut, l'option de la restauration de la configuration par défaut est bloquée pour que les utilisateurs sans privilèges administrateur ne puissent pas l'utiliser. Pour débloquer cette option, vous pouvez cliquer sur le cadenas en bas de l'onglet des paramétrages généraux et puis entrer le nom et le mot de passe d'administrateur. 1. Dans le menu de l'application, cliquez sur Préférences et ouvrez la rubrique Généraux. 2. Cliquez sur Rétablir les réglages par défaut. Confirmez la restauration des paramètres initiaux du logiciel en cliquant sur Restaurer dans la fenêtre correspondante.
Annexes 27 Annexes Annexe A. Types de menaces informatiques Sous le terme «menace», il faut entendre, selon notre classification, un logiciel qui puisse porter atteinte soit directement soit indirectement à l'ordinateur, au réseau, à l'information ou aux droits de l'utilisateur (logiciels malveillants ou indésirables). Dans le sens plus large du terme, «menace» peut signifier un danger potentiel pour l'ordinateur ou pour le réseau (vulnérabilités et possibilités d'attaques). Tous les types de logiciels décrits ci-dessous peuvent présenter un danger pour les données de l'utilisateur et pour son droit à la confidentialité. Les logiciels qui ne dissimulent pas leur présence dans le système (par exemple, certains logiciels pour diffusion du spam ou analyseurs du trafic), ne sont pas d'ordinaire classifiés comme menaces, mais sous certaines conditions, ils peuvent causer des dommages à l'utilisateur. Virus informatiques Ce type de menaces informatiques est capable d'introduire son code dans le code d'exécution d'autres logiciels. Cette pénétration porte le nom d'infection. Dans la plupart des cas, le fichier infecté devient lui-même porteur de virus et le code introduit n'est plus conforme à l'original. La majeure partie des virus est conçue pour détériorer ou exterminer les données. En fonction du type d objet infecté, Doctor Web classifie les virus selon les types suivants : Virus de fichier virus infectant les fichiers binaires (fichiers exécutables, fichiers dll). Ces virus, embarqués dans un fichier système, sont activés au lancement du programme infecté. Macrovirus infectant les fichiers utilisés par les applications Microsoft Office (et autres programmes utilisant des commandes macros généralement écrits en Visual Basic). Macros ce sont des logiciels internes, écrits en langage de programmation totalement fonctionnel, qui sont automatiquement lancés sous des conditions déterminées (par exemple, dans Microsoft Word, quand vous ouvrez, fermez, sauvegardez ou créez un document). Virus Script virus écrits en langages de script (langages des scénarios). Ils infectent dans la plupart des cas les autres fichiers script (par exemple, les fichiers du système d'exploitation). Ils peuvent infecter aussi d'autres types de fichiers qui supportent l'exécution des scénarios script, tout en se servant des scripts vulnérables des logiciels Web. Virus de téléchargement ils infectent les secteurs de téléchargement des disques et des partitions aussi bien que les principaux secteurs de téléchargement des disques durs. Ils occupent peu de mémoire et restent prêts à remplir leurs fonctions jusqu'à ce qu'un déchargement, un redémarrage ou un arrêt du système ne soient effectués. La plupart des virus possèdent des mécanismes spécifiques pour se dissimuler dans le système. Leurs méthodes de protection contre la détection s'améliorent sans cesse. Cependant, dans le même temps, de nouveaux moyens d'élimination de cette protection apparaissent. On peut également subdiviser les virus d'après leur protection contre la détection : Virus chiffrés ce sont des virus qui chiffrent leur code viral afin de rendre leur désassemblage et leur détection dans un fichier, un secteur ou en mémoire, plus difficile. Chacun d entre eux et chacune de leurs variantes contiennent un ensemble commun de caractères qui constituent, dans la procédure de déchiffrement, la signature du virus. Virus Polymorphes ce sont des virus qui, de façon complémentaire au code de chiffrement viral, utilisent un algorithme de déchiffrement spécifique pour se modifier automatiquement à chaque nouvelle copie.
Annexes 28 Virus furtifs ils agissent de telle façon qu'ils masquent leur activité et cachent leur présence dans les objets infectés. Ces virus captent les caractéristiques du logiciel avant de l'infecter et soumettent ensuite les anciennes caractéristiques au logiciel antivirus cherchant à dépister les fichiers modifiés. On peut classifier les virus d'après le langage de leur développement (la plupart sont écrits en Assembleur, en langages de hauts niveaux de programmation et en scripts de scénarios, etc.) ainsi que selon les systèmes d'exploitation atteints. Vers (Worm-virus) Un ver est un programme parasite capable de s auto propager. Il peut déployer des copies de lui-même mais n affecte pas les autres programmes. Il est propagé par email (souvent sous la forme d une pièce jointe) et envoie massivement ses propres copies à d autres ordinateurs. Le ver peut commencer à s autodiffuser soit via une action de l utilisateur, soit en mode automatique, choisissant quels ordinateurs attaquer. Les vers ne sont pas souvent composés d'un seul fichier (corps du ver). Plusieurs d'entre eux possèdent aussi une partie infectieuse (shell code), qui est téléchargée dans la mémoire vive de l'ordinateur et est assemblée avec le corps du ver sous forme de fichier exécutable. Tant que le système n'est pas encore infecté par le corps du ver, vous pouvez régler le problème en redémarrant l'ordinateur (et la mémoire vive est déchargée et remise à zéro). Mais aussitôt que le corps du ver entre dans le système, seul l'antivirus peut le désinfecter. A cause de leur propagation intense, les vers peuvent mettre hors service des réseaux entiers, même s'ils n'endommagent pas directement le système. Doctor Web subdivise les vers d'après leur mode de propagation : Vers de réseau, qui se propagent à l'aide de différents protocoles réseau ou bien lors d'échanges de fichiers Vers de courrier, qui se propagent via les protocoles de courrier (POP3, SMTP, etc.) Vers de tchat, qui se propagent en utilisant les messageries instantanées (ICQ, IM, IRC, etc.) Chevaux de Troie (les Trojans) Ce type de logiciels malicieux n'est pas capable de s'auto dupliquer. Les Chevaux de Troie se substituent à l un des programmes actifs, testent ses fonctions ou en imitent les performances, génèrent différentes actions malicieuses (suppriment des fichiers, des répertoires, formatent les disques, envoient les mots de passe ou d autres informations confidentielles depuis l ordinateur). Ils peuvent également rendre possible l'utilisation (non autorisée) de l'ordinateur par une tierce personne dans le but de porter atteinte à la personne propriétaire de l'ordinateur touché. Le Cheval de Troie remplit les mêmes fonctions de camouflage et d'endommagement que tout autre virus et peut représenter lui-même un module de virus. Mais dans la plupart des cas, les logiciels trojans se diffusent comme des fichiers isolés exécutables (présents sur les serveurs de fichiers, sur les supports de données ou dans les pièces jointes) et sont ensuite exécutés par l'utilisateur lui-même ou par un processus déterminé du système. Il est difficile de classifier les logiciels trojans car ils sont diffusés souvent par des virus et des vers. Les actions nocives qui sont souvent attribuées aux trojans peuvent être remplies aussi par d'autres types de menaces. Certains types de trojans sont classés à part par les spécialistes de Doctor Web : Backdoors ce sont des trojans qui offrent un accès privilégié au système, contournant le mécanisme existant d'accès et de protection. Les backdoors n'infectent pas les fichiers, mais ils s'inscrivent dans le registre, modifiant les clés. Rootkits ils sont destinés à intercepter les fonctions de l'api du système d'exploitation pour dissimuler leur présence dans le système. En outre, le rootkit peut masquer les processus des autres logiciels, les clés de registre, des fichiers et des dossiers. Le rootkit se propage comme un logiciel indépendant ou comme un composant supplémentaire d'un autre logiciel malicieux. Selon leur principe de fonctionnement, les rootkits sont subdivisés en deux groupes : User Mode Rootkits (UMR)
Annexes 29 qui fonctionnent dans le mode utilisateur (interception des fonctions des bibliothèques du mode utilisateur), et Kernel Mode Rootkits (KMR) qui fonctionnent dans le mode noyau (interception des fonctions au niveau du noyau système, ce qui rend toute détection et toute désinfection très difficile). Enregistreurs de frappe (keyloggers) ils sont utilisés pour collecter les données que l'utilisateur entre avec son clavier. Le but de ces actions est le vol de toute information personnelle (mots de passe, logins, numéros de cartes bancaires, etc.). Cliqueurs ils redirigent les liens quand on clique sur eux. D'ordinaire, l'utilisateur est redirigé vers des adresses déterminées avec le but d'augmenter le trafic publicitaire des sites web ou pour organiser des attaques DDoS. Trojans proxy ils offrent aux pirates une sortie anonyme d'internet via l'ordinateur de leur victime. Outre les fonctions nocives citées ci-dessus, les trojans peuvent accomplir d'autres actions comme, par exemple, changer la page d'accueil dans le navigateur web de la victime ou bien supprimer certains fichiers. Mais ces actions peuvent être aussi exécutées par d'autres logiciels malicieux (virus et vers). Hacktools Les hacktools sont édités pour aider les hackers. Les logiciels de ce type les plus répandus sont des scanners de ports, sachant détecter les vulnérabilités des pare-feux (firewalls) et des autres composants qui assurent la sécurité informatique. Ces instruments peuvent également être utilisés par les administrateurs pour vérifier la solidité de leurs réseaux. Ces logiciels peuvent utiliser l'ingénierie sociale. Pop-up publicitaires Sous ce terme, on désigne le plus souvent un code interne aux logiciels gratuits qui impose l'affichage d'une publicité sur l'ordinateur de l'utilisateur. Mais parfois, ce code peut être diffusé par d'autres logiciels malicieux et afficher la publicité, par exemple, sur des navigateurs Internet. Très souvent, ces logiciels publicitaires fonctionnent en utilisant la base de données collectées par des logiciels espions. Canulars Ce type de logiciels malicieux, comme les logiciels publicitaires, ne détériorent pas le système. Ils génèrent le plus souvent des messages sur des erreurs inexistantes et des actions détériorant les données. Leur but est d'intimider l'utilisateur ou de l'irriter. Dialers Ce sont de petites applications installées sur les ordinateurs, élaborées spécialement pour scanner un certain spectre de numéros de téléphone. Par la suite, les malfaiteurs utiliseront les numéros trouvés pour prélever de l'argent à leur victime ou pour connecter l utilisateur à des services téléphoniques surtaxés et coûteux. Logiciels potentiellement dangereux Ces logiciels ne sont pas créés pour détériorer le système, mais à cause de leurs particularités, ils peuvent présenter une menace pour la sécurité du système. Ces logiciels peuvent non seulement détériorer les données ou les supprimer par hasard, mais ils peuvent également être utilisés par des hackers ou par d'autres logiciels pirates pour nuire au système. Les logiciels utilisés à distance, d'administration à distance, de serveur FTP, etc. peuvent aussi être classifiés comme potentiellement dangereux. Objets suspects Ce sont des menaces potentielles dépistées à l'aide de l'analyseur heuristique. Ces objets peuvent s'avérer appartenir à un des types de menaces informatiques (même inconnues encore) ou être absolument inoffensifs, en cas de faux positif. Dans tous les tous cas, les objets suspects doivent être envoyés pour analyse au Laboratoire viral de Doctor Web.
Annexes 30 Annexe B. Neutralisation des menaces informatiques Il existe plusieurs méthodes de détection et de suppression des menaces informatiques. Elles sont réunies dans les produits Dr.Web qui sont dotés d'une configuration facile et flexible, ce qui assure une protection solide des ordinateurs et des réseaux. Méthodes de dépistage Recherche par empreinte de signatures Cette méthode est une variante de l'analyse par signatures. La signature est une séquence continue d'octets, qui est unique en son genre, et, grâce à laquelle il est possible de dépister une menace informatique. La signature est une séquence continue d'octets, qui est unique en son genre, et, grâce à laquelle il est possible de dépister une menace informatique. La méthode de recherche par empreinte de signatures utilise des empreintes de signatures au lieu d'utiliser les séquences de signatures complètes. La comparaison des empreintes de signatures, qui identifient de manière unique les signatures, permet de préserver l'exactitude de la détection et de la neutralisation des virus, tout en réduisant la taille de la base virale. Les entrées dans les bases virales Dr.Web sont rédigées de sorte que la même entrée peut détecter des classes entières ou des familles de menaces. Origins Tracing Origins Tracing est un algorithme unique, sans signatures, développé par les spécialistes de Doctor Web permettant de détecter les menaces et qui est utilisé seulement dans les produits Dr.Web. Cette technologie intervient à la fin de la recherche par empreintes de signatures et assure une protection des utilisateurs utilisant des solutions antivirus Dr.Web contre des menaces telles que Trojan.Encoder.18 (également connu sous le nom «gpcode»). En outre, l'utilisation de la technologie Origins Tracing peut réduire considérablement le nombre de faux positifs de l'analyseur heuristique. Un postfix.origin est ajouté aux noms des menaces détectées à l'aide de la technologie Origins Tracing. Émulation d'exécution La méthode d'émulation du code logiciel est utilisée pour la détection des virus polymorphes et codés, lorsque l'utilisation de l'analyse par empreintes de signatures est impossible ou bien devient compliquée, car la création de signatures fiables devient impossible. La méthode consiste en une imitation du code, analysé à l'aide de l'émulateur (logiciel qui reproduit le modèle du processeur, parfois de l'ordinateur ou de l'os). L'émulateur opère avec la partie protégée de la mémoire (Tampon d'émulation). Les instructions ne sont alors pas transmises au processeur central pour leur réelle exécution. Si le code traité par l'émulateur est contaminé par un virus, le corps de virus sera déchiffré. Si le code traité par l'émulateur est contaminé par un virus, le corps de virus sera déchiffré. Ensuite, ce corps de virus sera détecté sans problèmes par la méthode de recherche par empreintes de signatures. Analyse heuristique Une analyse heuristique est utilisée pour détecter des menaces inconnues auparavant, et sur lesquelles les bases virales ne comportent aucune information. La méthode de l'analyse heuristique est fondé sur une certaine connaissance des attributs qui caractérisent les codes malicieux. Chaque attribut ou caractéristique possède un coefficient qui détermine le niveau de gravité et de fiabilité. Le score peut être positif si le signe indique la présence d'un comportement de code malveillant, et négatif si le signe ne correspond pas à une menace informatique. En fonction du «coefficient total» d'un fichier, l'analyseur heuristique calcule la probabilité d'une infection par un virus inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l'objet analysé est considéré comme malveillant.
Annexes 31 L'analyseur heuristique utilise également la technologie FLY-CODE un algorithme universel pour l'extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d'objets malveillants dans les objets, de logiciels compressés par des outils de compression (emballeurs), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors de la vérification des objets emballés, une technologie d'analyse de leur entropie structurelle est également utilisée, cette technologie permet de détecter les menaces sur les spécificités de la localisation des fragments de leur code. Cette technologie permet avec une seule entrée de la base de données de détecter un ensemble de différents types de menaces qui sont emballées du même emballeur polymorphe. Comme tout système basé sur des hypothèses, l'analyseur heuristique peut commettre des erreurs de type I ou II (omettre un virus ou faire un faux positif). Par conséquent, les objets marqués par l'analyseur heuristique comme «malveillants» reçoivent le statut «suspects». Au cours de toute analyse, tous les composants des produits antivirus Dr.Web utilisent l'information la plus récente sur tous les programmes malveillants connus. Les signatures des menaces et les informations sur leurs caractéristiques et les comportements sont mises à jour et ajoutées à la base de données de virus immédiatement, dès que les spécialistes du Laboratoire antivirus Doctor Web découvrent de nouvelles menaces, parfois jusqu'à plusieurs fois par heure. Même si un nouveau malware infiltre l'ordinateur, en évitant la protection Dr.Web, il sera détecté dans la liste de processus et neutralisé après la mise à jour des bases virales. Actions Les produits Dr.Web peuvent appliquer des actions appropriées aux objets infectés ou suspects détectés pour neutraliser les menaces. L utilisateur peut laisser le logiciel appliquer automatiquement les actions spécifiées par défaut, ou il peut choisir une action nécessaire pour chaque objet détecté. Les actions disponibles sont : Désinfecter, déplacer en quarantaine les incurables. Cette action s applique seulement aux objets infectés. Elle sous-entend une élimination du code nocif des fichiers contaminés ou la suppression des duplicatas du logiciel malveillant et, dans la mesure du possible, la restauration des fichiers contaminés dans leur état initial «sain». Si l objet ne se compose que d un code malicieux et ne contient aucune information utile (trojans ou copies fonctionnelles des vers), alors il sera déplacé en quarantaine. Désinfecter, supprimer les incurables. Cette action s applique seulement aux objets infectés. Elle sous-entend une élimination du code nocif des fichiers contaminés ou la suppression des duplicatas du logiciel malveillant et, dans la mesure du possible, la restauration des fichiers contaminés dans leur état initial «sain». Si l objet ne se compose que d un code malicieux et ne contient aucune information utile (trojans ou copies fonctionnelles des vers), alors il sera supprimé. Déplacer en quarantaine. Сette action est appliquée à l'objet dépisté qui est placé dans un dossier spécial isolé du système. Cette action peut être appliquée pour les objets incurables et suspects. Il est recommandé d envoyer les objets pareils au Laboratoire viral de Doctor Web. Supprimer. La suppression est le procédé le plus radical appliqué aux menaces de tous types. Cette action signifie une élimination complète de l'objet présentant une menace (ou de son contenu). Ignorer. Cette action s applique seulement aux objets suspects. La menace sera sautée sans appliquer une action quelconque et sans notifier l utilisateur.
Annexes 32 Annexe C. Protection centralisée Des solutions de Doctor Web pour la protection centralisée permettent d'automatiser et de simplifier la configuration et la gestion de la sécurité informatique des ordinateurs organisés dans une structure logique (par exemple, des ordinateurs d'entreprise avec l'accès au réseau local, ainsi qu'en dehors). Des ordinateurs protégés sont réunis dans un réseau antivirus, dont la sécurité est contrôlée est gérée par des administrateurs depuis le serveur central. La connexion aux systèmes centralisés assure un haut niveau de la protection des ordinateurs avec des efforts minimaux du côté des utilisateurs finaux. Structure logique des réseaux antivirus Des solutions de Doctor Web de la protection centralisée sont basées sur une architecture «clientserveur» (voir le figure ci-dessous). Les ordinateurs d entreprise ou des utilisateurs des services IT sont protégés par des composants antivirus locaux (des agents, ou des clients ; ici Dr.Web Antivirus pour Mac OS X), qui assurent la protection antivirus et fournissent une connexion au serveur de la protection centralisée. Serveur de la protection centralisée Administrateur du réseau antivirus Ordinateur local protégé Réseau en base de TCP, NetBIOS Accès via HTTP/HTTPS Transmission des mises à jour via HTTP Serveur de mises à jour de Doctor Web Figure 5. Structure logique du réseau antivirus