Accueil CRIC >> Utilisateurs >> Antivirus

Informations sur l'éviction des virus en Central

Depuis mi-août 2004, une solution a été mise en place pour lutter contre la prolifération des virus via la messagerie. Cette solution s'appuie sur l'observation officielle, selon laquelle plus de 99 % des pièces jointes exécutables sont des virus.

Son principe, lorsqu'un mail arrive avec une pièce jointe dont l'extension est jugée dangereuse, est de :

  1. ne pas participer à la pollution de l'Internet en renvoyant le mail à son (le plus souvent faux) expéditeur,
  2. transmettre au destinataire le mail intact, au détail près que la pièce jointe a été “vidée”. Elle est cependant récupérable très simplement en cliquant sur le lien ajouté au mail.
Lorsque vous cliquez pour récupérer le mail original, un contrôle est effectué par un Anti-virus “traditionnel". Si celui-ci trouve un virus connu dans la pièce jointe il refuse le rappatriement du mail.

Ce système est très rapide afin de ne ralentir en aucun cas la délivrance des mails, même en cas d'innondation.

Schéma du traitement :



Les avantages de cette solution par rapport à un anti-virus central traditionnel :
  1. la vitesse de traitement : seuls les mails présentant un fichier attaché sont traités, et de facon très légère,
  2. la réactivité : pas d'attente de mise à jour lors de l'apparition d'un nouveau virus,
  3. le mail n'est ni rejeté ni renvoyé à l'expéditeur, évitant ainsi d'accroître la pollution de l'Internet et d'inonder un usager qui, le plus souvent, n'est pour rien dans cet envoi.
Points particuliers :

a) Ce que nous appelons extensions dangereuses :
Seules les pièces jointes jugées dangereuses sont traitées. Si un mail comporte un fichier.doc et un fichier.scr, seul le fichier.scr sera marqué et "vidé".

La liste des extensions dangereuses augmentant sans arrêt, par défaut, toutes les extensions sont considérées comme dangereuses, sauf celles ci-dessous (23/01/09) :

.3dxml.bmp.catpart.catproduct.catanalysis.cvs.csv.daq.drc.doc.docx.dwg.dxf.eps.gif.
gz.htm.html.ics.igs.indd.jpeg.jpg.lic.mdb.opj.odt.odp.ods.p7m.p7s.pdf.png.ppt.pptx.
pps.ppsx.php.ps.psd.qda.qpc.rtf.stw.stc.sti.std.stp.sxw.sxi.sxc.sxd.sxm.sxg.svg.tar.
tex.tif.tiff.tgz.txt.vcf.xls.xlsx.xml.


b) ATTENTION AUX IMITATIONS !
Voici 3 exemples de faux messages (avec à chaque fois un virus en pièce jointe) :

1)
Dear user of grenoble.cnrs.fr,
Your e-mail account was used to send a large amount of spam messages during this week.
We suspect that your computer was compromised and now contains a trojan proxy server.
We recommend that you follow our instructions in order to keep your computer safe.
Have a nice day,
grenoble.cnrs.fr technical support team. 		 

2)
Spam detection software, running on the system 'labs.grenoble.cnrs.fr', has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or block
similar future email. If you have any questions, see
gueniche@grenoble.cnrs.fr for details.
 

3)
Your message was not delivered because the destination server was unreachable.
The following recipients did not receive this message:
'cric@grenoble.cnrs.fr'
Please reply to postmaster@grenoble.cnrs.fr if you feel this message to be in error.
  

Voici le texte que nous joignons à un mail lorsqu'est détectée une pièce jointe dangereuse :

 

********************** MESSAGE DE L'ANTI-VIRUS DE MESSAGERIE ************************
* La (ou les) pièces jointes marquées 'possiblevirus' ont été vidées
*          [ Attached file(s) tagged 'possiblevirus' were emptied ]
* Récuperer ici le mail original :        / Recover here the original mail :
* https://grenoble.cnrs.fr/recuppj/recuppj.php?login=jean.dubois&idmail=C42011982EC
* Pour plus d'informations :              / For more information :
* http://cric.grenoble.cnrs.fr/users/antivirus/
*************************************************************************************
 


CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 02/07/2009.