[Sécurité] Les bases à connaitre pour venir à bout des virus et logiciels espions

Vincent Lecomte

Les virus, spywares, adwares, trojans, rootkits,… sont très répandus sur la toile. Ils sont tous assez différents mais ont tous en commun une chose : ils sont dangereux pour nos données. Cet article va expliquer aux plus néophytes d’entre nous les bases de la sécurité informatique. Après, vous devriez être capable de vous protéger un minimum et de prendre certaines mesures sans avoir forcément besoin de formater ou de faire appel à un informaticien.

Quelques définitions

Les virus sont des exécutables qui peuvent se transmettre de différentes manières et exécutent une action, en général nuisible (comme un formatage). Ils peuvent aussi bien infecter le secteur d’amorçage du disque dur, qu’une application. Certains virus utilisent aussi le langage Visual Basic pour exécuter des macros lors de l’ouverture d’un document Word par exemple.

Un premier exemple de virus est MyDoom.A qui envoyait des mails à tous les contacts et installait une porte dérobée (fonctionnalité inconnue de l’utilisateur) dans le dossier système. Souvenez-vous aussi des différents vers qui ont fait leur apparition. Ils se différencient des virus par le fait qu’ils n’ont pas besoin d’un programme hôte pour se reproduire (exemple : I Love You). Certains sont capables de forcer un redémarrage de l’ordinateur après une durée bien déterminée.

Les spywares (“logiciels espions”) sont des programmes destinés à récupérer diverses statistiques de votre utilisation (URL, mots-clés saisis dans les moteurs de recherche, etc) et même des données personnelles, afin de les renvoyer à son concepteur ou à un tiers sur la toile. Certains espions afficheront plutôt de la publicité et des liens, d’autres, appelés “mouchards“, renvoient les données dans la plus grande discrétion possible.

Vos données pourraient alors servir à certaines régies publicitaires véreuses ou à d’autres fins malhonnêtes. Tout cela à votre insu, bien sûr. Quelques vecteurs d’infection : faux logiciels de protection, faux codecs, cracks et keygens, etc.

Un trojan (“cheval de troie”) est souvent destiné à ouvrir un accès pour un pirate. Par exemple, ce genre de programme peut ouvrir un port par lequel une personne pourra s’introduire pour exécuter diverses actions à distance, voire prendre le contrôle de la machine. Ils sont aussi capables d’exploiter des failles logicielles. Leur but est de corrompre les données ou même de les récupérer. D’autres peuvent aussi installer des logiciels malveillants (malwares) sur votre machine.

Pire encore : les keyloggers enregistrent les frappes au clavier. Il en existe d’autres catégories. Les signes qui pourraient laisser envisager une infection sont par exemple une activité du réseau anormale, des mouvements du curseur inattendus, voire des accès au disque durs répétés.

Un rootkit, pour faire simple, est un logiciel malveillant qui se dissimule dans une application existante ou dans le système. Ils sont difficilement détectables, même par les outils récents. Ils peuvent par exemple se charger en mémoire, pour ne laisser aucune trace sur le disque dur (ou sur toute autre périphérique de stockage).

Certains de ces logiciels malveillants peuvent s’approprier des privilèges administrateur et vont parfois jusqu’à désactiver le mécanisme de défense (comme un antivirus).

Un adware est un logiciel qui affiche de la publicité pendant son utilisation. Elle peut s’afficher sous forme de larges bannières, ou bien de multiples liens casés dans un coin de l’application. Bon nombre de barres d’outils fait partie de cette catégorie. En général, un logiciel rentre dans cette catégorie quand son concepteur n’a pas indiqué diffuser de la publicité dans celui-ci.

Enfin, certains adwares pourraient contenir des logiciels espion. Bearshare, Gator, IncrediMail, sont de bons exemples pour illustrer.

D’autres types de logiciels malveillants existent, tels que les botnets. Cependant, nous n’en donnerons pas la définition ici. Des sites comme Secuser ou Sophos apportent des renseignements complémentaires aux définitions les plus basiques ici présentes. Nous allons énumérer une liste de logiciels qui pourraient vous servir en cas d’infection suspectée ou avérée.

Les antivirus

Différents antivirus sont disponibles sur le marché. Il existe des gratuits mais aussi des payants comme Norton Antivirus de Symantec ou bien BitDefender, NOD32, Kaspersky. Plusieurs comparatifs existent afin de vous aiguiller dans vos choix : Clubic, Actuvirus, Guide-Antivirus, etc.

Contrairement à ce que l’on pourrait croire, les antivirus gratuits (Antivir, Avast!,…) sont très efficaces, mais disposent simplement de moins de fonctionnalités et peuvent signaler plus de faux positifs (une fausse menace). Des sites comme Guide-Antivirus ont rédigé des comparatifs intéressants.

Supprimer les logiciels malveillants

Une préférence pour…

Trois logiciels ressortent du lot :

  • A² Squared (Emisoft Anti-Malware) : le logiciel existe dans différentes versions dont une gratuite. La société Emisoft propose également des solutions pour les entreprises.
  • Spybot Search & Destroy : alors qu’on le croyait totalement à l’abandon, Spybot S&D revient sous forme de suite antivirus (v2.0) et propose de nouveaux outils d’analyse et de vaccination pratiques et faciles d’utilisation.
  • Malwarebyte Anti-Malware : logiciel très puissant disponible aussi en version gratuite. Une version payante (pro) existe également. Lorsqu’on lance le programme, il propose de choisir un type de recherche à effectuer. Le résultat s’affiche ensuite sous forme de liste avec des cases à cocher pour supprimer.

Les autres logiciels

Certains logiciels qui suivent sont destinés aux utilisateurs avertis.

Ad-Remover

Description par Clubic : “Le logiciel Ad-Remover s’occupera d’éliminer proprement les publiciels vérolés, « adware » en anglais. Affichant de la publicité en échange d’un service gratuit, certains d’entre eux contiennent des logiciels espions violant votre vie privée numérique tout en modifiant le comportement de votre système. Ayant pour cibles principales Eorezo, SweetIm, MyWebSearch, AskBar, Crawler Toolbar, WhenUSave, Dealio Toolbar, il vous débarrassera aussi des applications de type « jeu de poker et casino gratuit » pullulant actuellement sur la toile, entre autres Swiss Casino, Golden Casino, GV AbsoluCasino, Poker 770.”

HijackThis

Développé par Trend Micro, il permet de générer un résumé des objets présents sur la machine, aussi bien les ActiveX, les barres d’outils ou bien les programmes qui se lancent au démarrage de l’ordinateur. Son interface est très rudimentaire. Une fois lancé, il faut cliquer sur “Do a system scan only”. Des objets apparaissent avec un “code”.

Lors du lancement d’Hijackthis, il faut choisir l’option “Do a system scan only”. Le logiciel analyse :

  • R1/R0 : Les pages Internet Explorer (accueil, moteur de recherche par défaut,…) : si elles ont été modifiées, on peut le voir et les remettre par défaut. Certains espions (ainsi que les troyens) modifient ces pages. Les pages par défaut sont définies dans les options du logiciel.
  • BHO : Ce sont les modules complémentaires installés dans Internet Explorer, ainsi que les ActiveX installés ; on y retrouve par exemple Windows Update.
  • O3 : Ce sont les barres d’outils installées (exemple : Bing Bar de Microsoft). Certains espions sont sous forme de barres d’outils, comme Ask ! Toolbar par exemple.
  • O4 : Logiciels lancés au démarrage de l’ordinateur. Certains logiciels se lancent à votre insu.
  • O8 : Boutons et menu contextuels du navigateur.
  • O15 : Zones de confiances.
  • O17 : Domaines réseaux.
  • O23 : Services. Ce sont les services disponibles dans « services.msc » de la gestion d’ordinateur, accessible via le panneau de configuration (administration système).

Il suffit de cocher les objets « infectés » puis de les supprimer.

SmitFraud Fix

Ce logiciel est un « fix », il permet de supprimer les logiciels malveillants ayant infecté notamment le fichier « hosts » de Windows, la base de registre, DNS, etc.

Il viendra à bout des menaces les plus courantes, à savoir AdwarePunisher, AdwareSheriff, AlphaCleaner, AntiSpyCheck, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntiVirGear, AntivirusGolden, AVGold, Awola, BraveSentry, IE Defender, MalwareCrush, MalwareWipe, MalwareWiped, MalwaresWipeds, MalwareWipePro, MalwareWiper, PestCapture, PestTrap, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smitfraud, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpySheriff, SpySoldier, Spyware Vanisher, Spyware Soft Stop, SpywareLocked, SpywareQuake, SpywareKnight, SpywareRemover, SpywareSheriff, SpywareStrike, Startsearches.net, TitanShield Antispyware, Trust Cleaner, UpdateSearches.com, Virtual Maid, Virus Heat, Virus Protect, Virus Protect Pro, VirusBlast, VirusBurst, VirusRay, Win32.puper, WinHound, Brain Codec, ChristmasPorn, DirectAccess, DirectVideo, EliteCodec, eMedia Codec, EZVideo, FreeVideo, Gold Codec, HQ Codec, iCodecPack, IECodec, iMediaCodec, Image ActiveX Object, Image Add-on, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, LookForPorn, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator, NetProject, Online Image Add-on, Online Video Add-on, PCODEC, Perfect Codec, PowerCodec, PornPass Manager, PornMag Pass, PrivateVideo, QualityCodec, Silver Codec, SearchPorn, SiteEntry, SiteTicket, SoftCodec, strCodec, Super Codec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, Video Add-on, VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, X Password Manager ainsi que ZipCodec. C’est à télécharger sur Zebulon.

ComboFix

Cet utilitaire est utilisé pour les malwares bien connus, les espions (SurfSideKick, QooLogic, et Look2Me, Winfile (Winfile.jpg) ainsi que d’autres combinaisons de ces mêmes logiciels malveillants). Il s’occupe de les supprimer. Il s’exécute uniquement en mode sans échec ! Télécharger sur le site Toolslib : ComboFix

Sophos Anti-Rootkit

Les logiciels rootkits sont des virus particuliers : ils prennent le contrôle à un niveau plus élevé que celui de l’administrateur, et peuvent donc se cacher. Certains antivirus les détectent, mais ne peuvent pas les supprimer (ceux-ci apparaissent de nouveau au redémarrage). Bien souvent, même en ligne de commande avec les droits administrateur, il est impossible de supprimer ces logiciels. On les reconnait en général par leur nom tiré par les cheveux. Pour les supprimer du registre et du disque dur, on utilise un anti-rootkit.

Sophos Anti-Rootkit 1.5.1. est un anti-rootkit puissant, remplaçant celui de McAfee pour les versions Windows NT supérieures à 6 (Windows Vista, Windows 7). Il s’occupe de scanner le registre, le disque dur et les processus actifs. La suppression est très efficace ! Cependant, attention aux faux positifs et aux objets qui ne sont pas réellement cachés.

Et après?

La sécurité en informatique est un domaine qu’il ne faut pas prendre à la légère. D’autres dossiers paraitront dans les mois à venir pour vous aider à vous protéger. Des tutoriels plus complets sont également prévus (utilisation de Malwarebyte Anti-Malware, configuration d’Avira Antivir Free, etc). En attendant, n’hésitez pas à vous munir d’un antivirus efficace et surtout, tenez-le régulièrement à jour. N’oubliez pas de passer régulièrement votre disque dur et vos clés USB au peigne fin. Et l’ultime conseil du jour : surfez intelligemment et faites attention à ce que vous téléchargez !

Sources

Secuser
Comment ça marche
Clash-info

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copy link