Index des menaces et programmes malveillants/Malwares
Voici une liste des différents catégories de malwares et virus et détections des menaces des antivirus.
Le but de cette page étant de vous aider à mieux comprendre les types de menaces qui existent et de mieux comprendre à quoi vous avez à faire lors d'une éventuelle détection par votre antivirus.
A lire aussi : Un dossier plus récent est présent sur la page : Les botnets : réseau de machines infectées.
En espérant que cette page vous aidera à y voir plus clair lors d'une détection éventuelle par votre antivirus ou lors de l'utilisation de VirusTotal
Notez que les termes Trojans et Virus désignent n'importe quelle menace, même si à la base, les virus sont censés être une type d'infection se propageant en infectant les exécutables.
Même chose, à la base, les trojans sont censés être des infections qui sont contenus dans des fichiers se faisant passer pour être légitime.
Pour le pourquoi des infections, se reporter à la page : Business malwares : le Pourquoi des infections informatique.
Catégorie de menaces
Adware : Logiciel publicitaire qui ouvre des publicités, le plus souvent sous forme de popups. Des adwares peuvent être installés par des programmes dits gratuits pour rémunérer les auteurs.
Malheureusement, très souvent, certains éditeurs ont tendance à abuser. Des programmes gratuits développés assez vite ou des programmes libres sont repris pour ajouter des adwares. La partie programme gratuit est souvent un prétexte pour refiler des adwares.
Se reporter au dossier Programmes parasites / PUPs / LPIs et Adwares
et aussi Prévention : Logiciels et sources de téléchargements
Backdoor (ou porte dérobée) : Malware permettant le contrôle à distance d'un PC par un pirate. Un réseau de PC infectés est un botnet.
Il existe ensuite des sous familles Backdoor.SDBot / Backdoor.IRC
Se reporter à PC Zombi
Stealer et Trojan Banker : Trojan de catégorie Stealer qui comme son nom l'indique a pour but de dérober des informations.
Les trojans peuvent être déclinés en Trojan-PWS dans le cas où le but est simplement de voler des mots de passe.
Les moyens pour se faire peuvent être divers (sniffer le réseau ou capacité de keylogger ou injecter des pages dans le cas de sites de banques [le nom peut-être alors être Trojan-Banker, etc).
Les plus répandus sont :
.
Trojan (ou Cheval de Troie): Malware conçu pour effectuer divers tâches à l'insu de l'utilisateur. Cela peut aller d'installer d'autres malwares, à désactiver certains logiciels de protections (antivirus, pare-feu etc), envoyer des mails de SPAM ou bien d'autres fonctionnalités.
De nos jours, le terme a tendance à désigner n'importe quelle menace.
Keylogger : Malware enregistrant les frappes claviers afin de dérober des mots de passe ou autres informations suceptibles d'être reccueillies par un pirate pour les revendre (adresse email, CB etc), obtenir un accès sur un serveur etc.
Spyware : Malware conçu pour dérober/collecter des informations/données. Un spyware peut avoir des fonctionnalités de keylogger.
Ransomware : Malware qui a pour but d’empêcher l'accès aux documents à l'utilisateur du PC (en général en encryptant les documents), une somme est en suite demander à l'utilisateur pour lui donner à nouveau accès à ses documents.
Exemple d'un ransomware qui chiffre les documents et demande une rançon pour débloquer : https://www.malekal.com/tag/ransomware/
Dernièrement, on trouve aussi les ransomware de type Police : Ransomware Winlock (Fake Police / Virus Gendarmerie)
puis les crypto-ransomwares : ransomwares chiffreurs de fichiers
RiskTool/HackTool : Outils qui peuvent être utilisés par des pirates pour infecter ou accéder à l'ordinateur.
Le "peuvent" est important, un RistkTool en français outils à risque n'est pas forcément néfaste tout dépend de l'utilisation que l'on en fait.
Par exemple un RiskTool peut être un programme qui permet de redémarrer l'ordinateur ou arreter un processus tiers. Un pirate peut utiliser ce programme pour arreter le processus d'un antivirus mais le programme peut aussi être utilisé pour arreter un processus néfaste dans le cas d'un fix.
Lors d'une détection d'un RiskTool, c'est à l'utilisateur d'évaluer si ce dernier est néfaste ou pas.
PUP (Potentially Unwanted Programs) / LPI (Logiciels Potentiellement Indésirables) :
Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installé par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barre d’outils qui sont bundles avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voir pour certains ouvrir des popups de publicités pour rémunérer l’éditeur.
Malwarebytes détectent ces derniers en PUP.Optional.
Plus d'informations : Programmes parasites / PUPs / LPIs et Adwares
Les malwares dit "fileless" c'est à dire qui n'installent pas de fichiers sur le disque regroupe divers autres familles de malwares comme PoweLiks, Gootkit, Kovter etc, plus d'informations sur la page : Malware 'FileLess' : PoweLiks, Kovter, Gootkit
Détections par type / nom générique
Il existe des familles de malwares qui se propagent depuis plusieurs années.
Lorsque votre antivirus détecte une menace, ils tendent d'indiquer la famille auquel la menace appartient.
Mais ce n'est pas toujours le cas.
Il existe des détections génériques, l'antivirus détecte un code relatif à un type de malware (spambot, stealer) ou à une famille de malware connu.
Certains antivirus utilisent des . pour séparer les informations dans les détections, d'autres des /
Parfois, il y a aucune indication quant à la famille.
Une détection généric comporte souvent la notation .gen ou generic dans la détection ou une signature.
Les différentes détections par signature ajoutées sont mentionnées par une suite de lettre ou des chiffres.
Par exemple chez Kaspersky, c'est une suite de lettre à la fin Trojan-Downloader.Win32.Agent.bfyq, le prochain Trojan-Downloader.Win32.Agent ajouté sera donc .bfyr etc.
Dr.Web lui utilise des chiffres BackDoor.IRC.Sdbot.4591
Avira utilise aussi des suites de lettres mais par exemple dans le cas de SDBot, ce dernier utilise la taille de fichiers : DR/Sdbot.97792
Comme mentionné plus haut, certains type de malwares peuvent être détectés sans pour autant que la famille soit indiquée.
Par exemple, un malware peut se propager par MSN (IM-Worm) mais aussi par disques amovibles (Worm.Autorun), dans le cas d'un scan VirusTotal, on peux donc obtenir sur les antivirus des noms/types différents.
Voici quelques types connus :
Exploit.HTML - Bloodhound.Exploit.196 (Symantec) : Exploit en HTML, la pluspart du temps se trouve dans le cache internet. Sert donc de tremplin pour infecter un PC en exploitant une faille sur le système ou un logiciel tiers.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés
Exploit.PDF / Exploit.Win32.Pdf.G / EXP/PDF / Mal/PDFEx-X (Sophos) : Exploit sous la forme d'un PDF exploit une vulnérabilité sur editeur PDF (souvent celui d'Adobe Reader car le plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
L'exploit peut être sous la forme d'un JS contenu dans le stream du PDF, dans ce cas l'exploit peut prendre le nom : Exploit.Win32.Pdfjsc.G / Exploit.PDF-JS.Gen
Exploit.SWF : Exploit sous la forme d'un SWF (Flash) exploitant une vulnérabilité sur un player Flash (souvent celui d'Adobe car le plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
HTML.IFrame / Trojan.IFrame.HTML / HTML/Infected.WebPage.Gen : IFrame ou Javascript infection contenu sur une page WEB (HTML) infectieuse.
L'iframe peut rediriger vers un exploit (donc Exploit.HTML) pour infecter l'ordinateur.
Elle peut etre de la forme Trojan-Clicker.HTML bouclant sur des publicités/ouvrant de multiples popups de pubs, etc.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés
IM-Worm.xxx Vers se propage par messagerie instannée.
Rootkit.Agent : Désigne un rootkit au sens large du terme. Notation chez Dr.Web : Trojan.NtRootKit.xxx
SpamTool.Win32.xxxx / Trojan.Spambot / Email-Worm.Win32.xxx (Kaspersky) : Trojan qui a pour but d'envoyer des mails de SPAM. Exemple : Win32/SpamTool.Agent.NAJ SpamTool.Win32.Agent.n
Sdbot / Rbot / Spybot : : Désigne un type de malware se propageant via des failles systèmes à distance RPC etc. (comme le faisait Blaster dans le temps).
Un Sdbot / Rbot / Spybot peut aussi être une Backdoor.IRC puisque ce dernier peut se connecter à un réseau IRC afin que le PC puisse être contrôlé par le pirate.
Trojan.Agent : Désigne un trojan au sens large du terme. Le trojan peut avoir divers buts. Exemple : TR/Agent.NWI.1 (Antivir),
Trojan.BHO : Trojan installé en BHO sur le système.
Trojan.BOT : Trojan qui permet de prendre le contrôle du PC en le faisant joindre un botnet. Le PC est alors transformé en PC en PC Zombi.
Exemple :
Il existe divers types comme SDBot/RBot, SpamBot, IRCBot etc.
ou familles : Backdoor.Win32.VanBot.cg
Trojan-Clicker : Trojan qui surfe à l'insu de l'utilisateur. Ce dernier peut faire des requetes sur des moteurs de recherches pour augmenter le ranking de certains sites.
Surfer sur des sites pour augmenter les hits, revenus pubs etc.
Trojan.Delf : Désigne un trojan en Delphi.
Trojan.Dropper : Trojan droppant un malware sur le système. Exemple : Win32/TrojanDropper.Delf.NFK - Trojan Dropper écrit en Delphi.
Si le dropper installe une famille de malware spécifique, le nom de la famille peut apparaître. Exemple : Trojan-Dropper.Win32.BeJoin.c
Trojan.Downloader : Trojan qui télécharge d'autres malwares. Le Trojan.Downloader peut être décliné avec divers autres infos comme par exemple Trojan.Downloader.Small (Trojan Downloader de petite taille), Trojan-Downloader.JS : Trojan Downloader en JavaScript.
FraudTool.Win32.RogueSecurity / Win32/RogueSecurity!generic / Trojan.FakeAV / Mal/FakeAV-AD /Trojan:Win32
/Winwebsec :
diverses détections pour les Rogues/Scarewares - ex avec Security Tool.
Note dans le cas de Trojan:Win32/Winwebsec (Microsoft) cela peut désigner une sous famille de rogue. Winwebsec étant à la base le rogue Winweb Security qui a été décliné en plein d'autres familles, voir : https://forum.malekal.com/est-que-les-r ... -t589.html
Ces familles étant mis en avant par des infections spécifiques et très présentes.
Enfin Trojan-Downloader.Win32.FraudLoad - Désigne un Trojan qui télécharge un rogue - ex : advanced-virus-remover-t19613.html
Trojan.Inject ou Trojan.Injector : Malware capable d'injecter des données dans des processus en mémoire. Par exemple, cela peut être utilisé pour manipuler svchost.exe afin de télécharger des codes malveillants.
suivre le dossier : Injection de code (PE/DLL injection) et dropper
Les Trojan.Injector en vidéo :
Trojan.JS: Trojan au format JavaScript, ce dernier peut-être utilisé dans des campagnes d'emails malicieux ou via des Web Exploit. Dans ce dernier cas, on souvent la mention Trojan.JS.Redir.
Voir : Trojan.JS
et : Ransomware JavaScript et JS/TrojanDownloader.Nemucod : Ransomware
Plus globalement : Scripts malicieux : JavaScript, VBS, PowerShell, Macros
Les JavaScript utilisés en pièce jointe dans les campagnes d'emails malicieux peuvent être détectés par Microsoft TrojanDropper:JS/Swabfex
TrojanDropper:JS/Nemucod
TrojanDropper:JS/Zlader
Trojan.MSIL : Trojans écrits en langage Microsoft intermediate language (MSIL).
Souvent ce sont des Trojan de type RATs (Remote Access Tools).
Voir :Trojan MSIL.
Trojan.OnlineGames ou W32/OnlineGames ou Trojan.PSWLineage ou Trojan-GameThief : Désigne une catégorie de trojans qui ont pour but de voler les informations de connexions de jeu en ligne. Le but étant de revendre les objets etc pour faire de l'argent.
Trojan.Patched / Trojan.Win32.Patched : Fichiers systèmes Windows légitimes patchés par une infection. Les fichiers peuvent être winlogon.exe, svchost.exe ou des drivers ndis.sys etc.
Trojan.Proxy : Trojan permet l'utilisation du PC infecté comme proxy. Le pirate peut se connecter ou effectuer divers actions (scans etc) en utilisant le PC infecté pour se cacher.
Trojan.PWS / Trojan.PSW : Désigne un trojan qui a pour but de voler des informations/données, PWS voulant dire password (mot de passe). Le nom derrière peut être suivant d'une informations supplémentaire par exemple Trojan-PSW:W32/OnlineGames vole les informations des comptes de jeu en ligne, Trojan.PWS.Banker est axé sur les informations de comptes de banque. Le nom derrière peut désigner une famille de malware
Trojan.Ransom : Trojan Ransom est un type de trojan qui encrype les fichiers documents et demande une "rançon" à l'utilisateur afin que ce dernier puisse à nouveau accéder à ses documents.
Trojan.Small : Désigne un trojan de petite taille de fichiers.
Trojan.Tiny : Désigne un trojan de petite taille de fichiers.
Trojan.VB : Désigne un trojan écrit en Visual Basic. Exemple : Trojan.Win32.VB.xxx / W32/VB.BFB
Trojan.Winlock : Malware qui bloque le chargement de Windows et l'utilisation du PC.
Une rançon est demandée soit par envoie, soit par SMS afin de débloquer Windows.
C'est donc une version "spéciale" d'un Trojan.Ransomware.
Exemple :
sms-ransomware-trojan-winlock-t21772.html
https://www.malekal.com/ransomware-plugi ... x00874324/
flash-player-exe-ransomware-t26652.html
http-mms2u-info-exe-php-6067178d6665bcf ... ml#p216584
Dernièrement des versions "Fake.Police" ont vu le jour, le message d'alerte est soit disant envoyer par la Police.
Différentes versions existent selon le pays.
Se reporter à la page : Virus Gendarmerie / Police - Trojan Fake Police.
VBS/Agent : Scripts malicieux écrits en VBS, il peut s'agit d'un VBS.Downloader envoyé en pièce jointe d'un mail malicieux pour pousser un malware ou un vers autoruns qui se propage donc par médias amovibles.
Exemple : Virus.VBS.Crypt (Virus USB Raccourcis).
Plus général, se reporter à la page : Malware par VBS / WSH
Worms.Autorun : Désigne un ver ayant la possibilité de se propager par disques amovibles (création de fichiers autorun.inf)
ou encore Worm.Autorun sur supprimer-virus.com.
Quelques détections heuristiques/génériques selon les antivirus.
Ces détections permettent de détecter un code malveillant mais ne donne aucune indication quant aux types de menaces auquels on a affaire. Il se peut aussi que la menace n'en soit pas une!
Mal/Heuri-xxx (Sophos)
Heuristic.Malware (Prevx)
HEUR/Malware (Antivir)
Win32:Trojan-gen. {Other} (Avast!)
VIPRE.Suspicious (Sunbelt)
Malware Generic ou Suspicious file (Panda)
Generic.Malware.SYBddld!.xxxxxxx (BitDefender)
New Malware.xxx (McAfee)
Heuristic. (Kaspersky)
Quelques détections de packers :
TR/Crypt.XPACK.Gen - PCK/FSG - TR/Crypt.Morphine.Gen (Antivir)
Trojan.Win32.Pakes.xxxx (F-Secure / Kaspersky)
VirTool:Win32/Obfuscator.x (Microsoft)
Packed.Win32.CryptExe (F-Secure / Kaspersky)
Cryp_Morphine (Trend-Micro)
Trojan.Packed.xxx (Dr-Web)
Famille de malwares
Quelques familles de malware... ce sont les plus courantes.
Adware:Win32/AdRotator - Adware/TrafficSol - Spyware.Adssit.A : Adware ouvrant des popups de publicités.
Ce dernier était très courant via des download sur P2P et notamment Limwire (une formidable poubelle à virus) : voir Ads served by Dcads (Adware Fotomoto).
Cet adware peut aussi être installé par des infections tiers afin de gagner des $ sur les popups de publicités, c'était notamment le cas passé un moment de certains variantes de faux codecs : voir Renos/Zlob : "you have a security problem" : codec.xxx.exe
Backdoor.Win32.Goolbot - Bot permettant le contrôle de l'ordinateur - souvent présent sous le nom de fichier C:\WINDOWS\system32\msxslt3.exe - voir : restorer64-exe-backdoor-win32-harebot-t21539.html#p177654
Qakbot/QuakBot : Famille de type Stealer, vole des données (mot de passe, adresse email etc).
Backdoor.Win32.HareBot : Bot permettant le contrôle de l'ordinateur et télécharge d'autres malwares - ouvent présent sous le nom de fichier C:\WINDOWS\system32\restorer64_a.exe è voir : restorer64-exe-backdoor-win32-harebot-t21539.html#p177654
Backdoor/Win32.Cycbot : Malware ajoutant un proxy qui permet d'effectuer des redirections Google et de voler des informations transistant par le WEB (mot de passe, cookie de session etc).
Voir : https://www.malekal.com/2010/11/15/svcho ... gomeo-etc/
Navipromo / Magic.Control : Adware installé via des programmes gratuits, ce dernier est très implanté en France.
Les programmes installant cet adware sont proposés via bannières publicitaires, vous trouverez la liste des programmes et plus d'informations sur cette infection sur la page : [url=ttp://www.malekal.com/Adware.Magic_Control.html]Supprimer Navipromo / Magic.Control[/url]
Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft) / Trojan.Botnetlog.x (Dr.Web) / Backdoor.Win32.Zdoogu (Kaspersky) : créé le fichier C:\Windows\System32\digeste.dll.
Voir la page : digeste.dll : Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft) / Trojan.Botnetlog.x (Dr.Web) Malware
Trojan.Cidrex / Trojan.Win32.Jorik.Totem : Famille de Stealer comme Spyeye ou Zbot/Zeus.
Très propagé par des campagnes de mails.
=> https://www.malekal.com/wormwin32cridext ... -par-mail/
Trojan.Carberp : : Famille de Stealer et Banker comme Spyeye ou Zbot/Zeus.
=> https://www.malekal.com/trojan-carberp-s ... t-rootkit/
Trojan.DNSChanger : Trojan.DNSChanger est un malware modifiant les adresses DNS afin d'effectuer des redirections lors des recherches Google.
La variante se propageant par disques amovibles est détecté en Win32:Fabot par Avast!
Pandex / CutWail / Trojan.Kobcka (BitDefender) /
Backdoor.Win32.HareBot : Rootkit Cutwail destiné à spammer. Voir la page Trojan.Cutwail/Trojan.Srizbi
Trojan-Downloader.Win32.Karagany : Trojan qui se fait passer pour Adobe Reader.
Plus d'infos : https://www.malekal.com/tag/trojan-karagany/
Trojan.Slenfbot : Slenfbot est une famille de Backdoor IRC qui se propage par MSN et disques amovibles.
SpyEye – Trojan.Pincav : stealer, vole de données (mot de passe, adresse email etc).
Le malware intègre divers mécanismes de protections pour empêcher sa détection/désinfection.
Il empèche entre autre les antivirus et empêche leurs mises à jour en bloquant les adresses via le fichier HOSTS de Windows
Voir : Protections Malwares : rendre la désinfection plus difficile.
Voir : https://www.malekal.com/2010/12/07/slenf ... r-irc-bot/
TrojanSpy:Win32/Ambler / Trojan-Spy.Win32.Banker : Trojan destiné à voler les informations de connexion aux comptes de banque en ligne.
La majorité des variantes viennent du Brésil.
Trojan.Banload : Trojan installant un Trojan.Banker
Trojan Bedep : Trojan AdFraud, se reporter à la page : Trojan Bedep.
Trojan.Goldun/Haxdoor : Malware souvent sous la forme d'un rootkit accompagné d'une DLL ayant des fonctionnalités de keylogger qui a pour but de voler des données (mot de passe, accès banque etc).
Voir Backdoor/Rootkit Haxdoor / Goldun
Win32/Tedroo / Win32:Walivun : %windir%\services.exe / Email-Worm.Win32.Joleee.xx (Kaspersky) : Trojan envoyant des mails de SPAM (spambot), ce dernier créé un fichier %windir%\services.exe
Il se propage bcp via des exploits sur site WEB :
win32-tedroo-email-worm-win32-joleee-wi ... 19192.html
Email-Worm.Win32.Iksmas : se copie en C:\WINDOWS\Temp\_ex-08.exe
Voir : Security Tool.
Email-Worm.Win32.Gibon : se copie en
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
peux deux fichiers exécutables dont le nom peut changer, ex : wininet.exe/winint.exe
Voir : trojan-win32-scar-email-worm-win32-gibo ... 21726.html
Trojan.Sasfis / Trojan:Win32/Oficla.A / Backdoor.Bredavi :
voir la page suivante : trojan-sasfis-trojan-win32-oficla-troja ... 19649.html
Trojan.Tdss / Trojan.Alueron : Désigne un trojan qui a des fonctionnalités de rootkit très sophistiqués :
trojan-alureon-trojan-tdss-t21456.html
rootkit-tdss-tmp-tmp-atapi-sys-patch-t22604.html
Trojan:Win32/Opachki : Malware qui se charge via des DLL et qui provoque des redirections lors des recherches Google
Voir la fiche Trojan:Win32/Opachki
Trojan.Win32.Rabbit aka Dropper.Cutwail : Drop le malware CutWail
Mi-2009 Kaspersky a ajouté une détection sur le packer de ce malware répondant au nom de Packed.Win32.Katusha.b
Ajoute la clef Run :
Une vidéo démontrative est visualisable avec le processus Malekal_morte et CutWail en action sur ce lien : les-pc-zombis-botnet-t1020.html#p153175
Trojan.Win32.Buzus / Worm.Win32.Rimecud : Ce sont les vers qui se propagent par MSN ou disques amovibles.
Se reporter à la page MSN du forum : virus-msn.html
Trojan.Vundo / Virtumonde : Adware ouvrant des popups de publicités et pouvant effectuer des redirections lors des recherches Google.
Voir la page Trojan.vundo
Trojan.Tofsee : Trojan.Tofsee est un malware conçu pour spammer. Ce dernier créé des fichiers avec des lettres aléatoires, très souvent dans la clef du registre ajoutée pour démarrer le processus, on retrouve à la fin du fichier un paramètre \s \u
Trojan.ZBot / Zeus / Trojan-Banker.Win32.Bancos : Trojan qui a pour but de voler des données/informations personnelles (numéro de tel, CB, mot de passe, etc).
Se reporter à la page Supprimer Trojan.Zbot
Win32:Daonol / Gumblar : Infection provoquant des redirections lors des recherches Google.
Se charge à partir de la clef aux de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
avec des fichiers de type sysaudio.sys, wdmaud.sys
Se reporter au sujet : Trojan.Daonol et redirections Google
Trojan-Downloader.Win32.CodecPack.dg / TR/Dldr.CodecPa.CU / TrojanDownloader:Win32/Renos : Trojan téléchargent de faux codec faisant la promotion de rogues.
Trojan.Downloader.Swizzor : Adware affichant des popups de pubs, connus aussi sous nom Lop.com
Trojan.Downloader.WMA.Wimad : Malware sous forme de fichiers multimédia, ce dernier est en général destiné à ouvrir des popups ou faire télécharge des ffaux codec.
Voir par exemple le sujet Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec
Trojan.Win32.Scar : Trojan Downloader qui se copie en C:\WINDOWS\system32\msxslt3.exe, voir : trojan-win32-scar-email-worm-win32-gibo ... 21726.html
Win32/Taterf : Vers se propageant par disques amovibles.
Ce dernier a pour but de voler les informations de connexions au jeu en ligne (dont World Of Warcraft), il peut donc avoir des noms génériques tels que :
Win32/PSW.OnLineGames.xxxx
TrojanGameThief.Magania.aukf
Worm.AutoRun.xxx.
Voir :
TrojanTofsee : autres familles de SpamBot - voir : trojan-tofsee-spambot-t23007.html
Trojan.Furi / Trojan:Win32/Bohmin : Trojan ouvrant des popups de publicité.
Peut-être installé via des bannières publicitaires infectieuses ou intallé par des infections tiers afin de gagner des $ sur les popups ouvertes.
Voir https://www.malekal.com/Trojan.Furi_Trojan_Bohmin.php
Win32/Hoax.Renos.NCN / TrojanDownloader:Win32/Renos / Fake Alert : Trojan affichant de fausses alertes de sécurité faisant la promotion de rogues.
Trojan-Downloader.Win32.Bagle.bx : Trojan se propagent par des cracks sur P2P (Emule en général).
Voir la page Bagle/Beagle/Trojan.Tooso.R
Sinowal : Sinowal est un type de malware connu pour voler les données relatives aux comptes bancaires.
Une des dernières variantes de cette famille est le Rootkit MBR
Rustock : Rootkit destiné à Spammer.
Voir la page : Rustock et Rustock sur le forum
Backdoor.Bifrose : famille de backdoor permetant le contrôle du PC infecté par un pirate. Le PC devient donc un PC Zombi.
Se reporter à la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls.
Win32/Pushbot : famille de backdoor qui utilise les IM comme moyen de propagation (voir Virus MSN : explications, fonctionnement et parade), ces dernier sont souvent type Backdoor.IRC / SDbot ou Spybot.
Win32/Sality : est un virus au sens litterale du terme puisqu'il infecte les fichiers exécutables (.exe et .scr). Ce dernier peut agir en tant que keylogger.
Worm:AutoIt/Sohanad : ver se propagent par IM (voir Virus MSN : explications, fonctionnement et parade) et par disques amovibles.
ZeroAccess / Sirefef : Malware très évolué qui a pris le relai de TDSS et est donc du même type.
Des modules additionnels peuvent être ajoutés (stealer, spambot etc). Il permet le contrôle du PC infecté.
Plus d'informations : https://www.malekal.com/sirefef-b-rootki ... ccess-max/
Vous trouverez d'autres informations sur d'autres menaces sur la page du site : Guide de suppression des spywares/malwares.
Spécificité selon les éditeurs d'antivirus
Quelques spécificités selon les éditeurs d'antivirus.
Kaspersky classe toute menace n'étant pas des trojans dans la catégorie 'not-a-virus'
Par exemple, un adware de la famille SoftPulse peut être catégorisé en not-a-virus:Adware.win32.softPulse
Ensuite, vous avez les détections du type Crypt, qui peuvent désigner des packers, c'est à dire la couche qui permet de cacher le contenu du fichier.
Les developpeurs de malwares créés de multiples packers pour empêcher au moteur d'antivirus de 'lire' le malware et donc de le détecter.
Dès lors, les antivirus peuvent créer des détections directement sur ces packers.
AVG peut émettre des détections du type Cheval de troie : Crypt
Avira Antivirus lui peut afficher des détections : TR/CRYPT.ZPACK.
Prévention et sécurité informatique
Les tutorials du site sur la sécurité informatique :
A lire aussi : Un dossier plus récent est présent sur la page : Les botnets : réseau de machines infectées.
Le but de cette page étant de vous aider à mieux comprendre les types de menaces qui existent et de mieux comprendre à quoi vous avez à faire lors d'une éventuelle détection par votre antivirus.
A lire aussi : Un dossier plus récent est présent sur la page : Les botnets : réseau de machines infectées.
En espérant que cette page vous aidera à y voir plus clair lors d'une détection éventuelle par votre antivirus ou lors de l'utilisation de VirusTotal
Notez que les termes Trojans et Virus désignent n'importe quelle menace, même si à la base, les virus sont censés être une type d'infection se propageant en infectant les exécutables.
Même chose, à la base, les trojans sont censés être des infections qui sont contenus dans des fichiers se faisant passer pour être légitime.
Pour le pourquoi des infections, se reporter à la page : Business malwares : le Pourquoi des infections informatique.
Catégorie de menaces
Adware : Logiciel publicitaire qui ouvre des publicités, le plus souvent sous forme de popups. Des adwares peuvent être installés par des programmes dits gratuits pour rémunérer les auteurs.
Malheureusement, très souvent, certains éditeurs ont tendance à abuser. Des programmes gratuits développés assez vite ou des programmes libres sont repris pour ajouter des adwares. La partie programme gratuit est souvent un prétexte pour refiler des adwares.
Se reporter au dossier Programmes parasites / PUPs / LPIs et Adwares
et aussi Prévention : Logiciels et sources de téléchargements
Backdoor (ou porte dérobée) : Malware permettant le contrôle à distance d'un PC par un pirate. Un réseau de PC infectés est un botnet.
Il existe ensuite des sous familles Backdoor.SDBot / Backdoor.IRC
Se reporter à PC Zombi
Stealer et Trojan Banker : Trojan de catégorie Stealer qui comme son nom l'indique a pour but de dérober des informations.
Les trojans peuvent être déclinés en Trojan-PWS dans le cas où le but est simplement de voler des mots de passe.
Les moyens pour se faire peuvent être divers (sniffer le réseau ou capacité de keylogger ou injecter des pages dans le cas de sites de banques [le nom peut-être alors être Trojan-Banker, etc).
Les plus répandus sont :
- Dridex
- Dyre
- Ursnif
- Vawtrak.
- Zbot/Zeus
- Qakbot/QuakBot,
.
Trojan (ou Cheval de Troie): Malware conçu pour effectuer divers tâches à l'insu de l'utilisateur. Cela peut aller d'installer d'autres malwares, à désactiver certains logiciels de protections (antivirus, pare-feu etc), envoyer des mails de SPAM ou bien d'autres fonctionnalités.
De nos jours, le terme a tendance à désigner n'importe quelle menace.
Keylogger : Malware enregistrant les frappes claviers afin de dérober des mots de passe ou autres informations suceptibles d'être reccueillies par un pirate pour les revendre (adresse email, CB etc), obtenir un accès sur un serveur etc.
Spyware : Malware conçu pour dérober/collecter des informations/données. Un spyware peut avoir des fonctionnalités de keylogger.
Ransomware : Malware qui a pour but d’empêcher l'accès aux documents à l'utilisateur du PC (en général en encryptant les documents), une somme est en suite demander à l'utilisateur pour lui donner à nouveau accès à ses documents.
Exemple d'un ransomware qui chiffre les documents et demande une rançon pour débloquer : https://www.malekal.com/tag/ransomware/
Dernièrement, on trouve aussi les ransomware de type Police : Ransomware Winlock (Fake Police / Virus Gendarmerie)
puis les crypto-ransomwares : ransomwares chiffreurs de fichiers
RiskTool/HackTool : Outils qui peuvent être utilisés par des pirates pour infecter ou accéder à l'ordinateur.
Le "peuvent" est important, un RistkTool en français outils à risque n'est pas forcément néfaste tout dépend de l'utilisation que l'on en fait.
Par exemple un RiskTool peut être un programme qui permet de redémarrer l'ordinateur ou arreter un processus tiers. Un pirate peut utiliser ce programme pour arreter le processus d'un antivirus mais le programme peut aussi être utilisé pour arreter un processus néfaste dans le cas d'un fix.
Lors d'une détection d'un RiskTool, c'est à l'utilisateur d'évaluer si ce dernier est néfaste ou pas.
PUP (Potentially Unwanted Programs) / LPI (Logiciels Potentiellement Indésirables) :
Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installé par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barre d’outils qui sont bundles avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voir pour certains ouvrir des popups de publicités pour rémunérer l’éditeur.
Malwarebytes détectent ces derniers en PUP.Optional.
Plus d'informations : Programmes parasites / PUPs / LPIs et Adwares
Les malwares dit "fileless" c'est à dire qui n'installent pas de fichiers sur le disque regroupe divers autres familles de malwares comme PoweLiks, Gootkit, Kovter etc, plus d'informations sur la page : Malware 'FileLess' : PoweLiks, Kovter, Gootkit
Détections par type / nom générique
Il existe des familles de malwares qui se propagent depuis plusieurs années.
Lorsque votre antivirus détecte une menace, ils tendent d'indiquer la famille auquel la menace appartient.
Mais ce n'est pas toujours le cas.
Il existe des détections génériques, l'antivirus détecte un code relatif à un type de malware (spambot, stealer) ou à une famille de malware connu.
Certains antivirus utilisent des . pour séparer les informations dans les détections, d'autres des /
Parfois, il y a aucune indication quant à la famille.
Une détection généric comporte souvent la notation .gen ou generic dans la détection ou une signature.
Les différentes détections par signature ajoutées sont mentionnées par une suite de lettre ou des chiffres.
Par exemple chez Kaspersky, c'est une suite de lettre à la fin Trojan-Downloader.Win32.Agent.bfyq, le prochain Trojan-Downloader.Win32.Agent ajouté sera donc .bfyr etc.
Dr.Web lui utilise des chiffres BackDoor.IRC.Sdbot.4591
Avira utilise aussi des suites de lettres mais par exemple dans le cas de SDBot, ce dernier utilise la taille de fichiers : DR/Sdbot.97792
Comme mentionné plus haut, certains type de malwares peuvent être détectés sans pour autant que la famille soit indiquée.
Par exemple, un malware peut se propager par MSN (IM-Worm) mais aussi par disques amovibles (Worm.Autorun), dans le cas d'un scan VirusTotal, on peux donc obtenir sur les antivirus des noms/types différents.
Voici quelques types connus :
Exploit.HTML - Bloodhound.Exploit.196 (Symantec) : Exploit en HTML, la pluspart du temps se trouve dans le cache internet. Sert donc de tremplin pour infecter un PC en exploitant une faille sur le système ou un logiciel tiers.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés
Exploit.PDF / Exploit.Win32.Pdf.G / EXP/PDF / Mal/PDFEx-X (Sophos) : Exploit sous la forme d'un PDF exploit une vulnérabilité sur editeur PDF (souvent celui d'Adobe Reader car le plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
L'exploit peut être sous la forme d'un JS contenu dans le stream du PDF, dans ce cas l'exploit peut prendre le nom : Exploit.Win32.Pdfjsc.G / Exploit.PDF-JS.Gen
Exploit.SWF : Exploit sous la forme d'un SWF (Flash) exploitant une vulnérabilité sur un player Flash (souvent celui d'Adobe car le plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
HTML.IFrame / Trojan.IFrame.HTML / HTML/Infected.WebPage.Gen : IFrame ou Javascript infection contenu sur une page WEB (HTML) infectieuse.
L'iframe peut rediriger vers un exploit (donc Exploit.HTML) pour infecter l'ordinateur.
Elle peut etre de la forme Trojan-Clicker.HTML bouclant sur des publicités/ouvrant de multiples popups de pubs, etc.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés
IM-Worm.xxx Vers se propage par messagerie instannée.
Rootkit.Agent : Désigne un rootkit au sens large du terme. Notation chez Dr.Web : Trojan.NtRootKit.xxx
SpamTool.Win32.xxxx / Trojan.Spambot / Email-Worm.Win32.xxx (Kaspersky) : Trojan qui a pour but d'envoyer des mails de SPAM. Exemple : Win32/SpamTool.Agent.NAJ SpamTool.Win32.Agent.n
Sdbot / Rbot / Spybot : : Désigne un type de malware se propageant via des failles systèmes à distance RPC etc. (comme le faisait Blaster dans le temps).
Un Sdbot / Rbot / Spybot peut aussi être une Backdoor.IRC puisque ce dernier peut se connecter à un réseau IRC afin que le PC puisse être contrôlé par le pirate.
Trojan.Agent : Désigne un trojan au sens large du terme. Le trojan peut avoir divers buts. Exemple : TR/Agent.NWI.1 (Antivir),
Trojan.BHO : Trojan installé en BHO sur le système.
Trojan.BOT : Trojan qui permet de prendre le contrôle du PC en le faisant joindre un botnet. Le PC est alors transformé en PC en PC Zombi.
Exemple :
Il existe divers types comme SDBot/RBot, SpamBot, IRCBot etc.
ou familles : Backdoor.Win32.VanBot.cg
Trojan-Clicker : Trojan qui surfe à l'insu de l'utilisateur. Ce dernier peut faire des requetes sur des moteurs de recherches pour augmenter le ranking de certains sites.
Surfer sur des sites pour augmenter les hits, revenus pubs etc.
Trojan.Delf : Désigne un trojan en Delphi.
Trojan.Dropper : Trojan droppant un malware sur le système. Exemple : Win32/TrojanDropper.Delf.NFK - Trojan Dropper écrit en Delphi.
Si le dropper installe une famille de malware spécifique, le nom de la famille peut apparaître. Exemple : Trojan-Dropper.Win32.BeJoin.c
Trojan.Downloader : Trojan qui télécharge d'autres malwares. Le Trojan.Downloader peut être décliné avec divers autres infos comme par exemple Trojan.Downloader.Small (Trojan Downloader de petite taille), Trojan-Downloader.JS : Trojan Downloader en JavaScript.
FraudTool.Win32.RogueSecurity / Win32/RogueSecurity!generic / Trojan.FakeAV / Mal/FakeAV-AD /Trojan:Win32
/Winwebsec :
diverses détections pour les Rogues/Scarewares - ex avec Security Tool.
Note dans le cas de Trojan:Win32/Winwebsec (Microsoft) cela peut désigner une sous famille de rogue. Winwebsec étant à la base le rogue Winweb Security qui a été décliné en plein d'autres familles, voir : https://forum.malekal.com/est-que-les-r ... -t589.html
Ces familles étant mis en avant par des infections spécifiques et très présentes.
Enfin Trojan-Downloader.Win32.FraudLoad - Désigne un Trojan qui télécharge un rogue - ex : advanced-virus-remover-t19613.html
Trojan.Inject ou Trojan.Injector : Malware capable d'injecter des données dans des processus en mémoire. Par exemple, cela peut être utilisé pour manipuler svchost.exe afin de télécharger des codes malveillants.
suivre le dossier : Injection de code (PE/DLL injection) et dropper
Les Trojan.Injector en vidéo :
Trojan.JS: Trojan au format JavaScript, ce dernier peut-être utilisé dans des campagnes d'emails malicieux ou via des Web Exploit. Dans ce dernier cas, on souvent la mention Trojan.JS.Redir.
Voir : Trojan.JS
et : Ransomware JavaScript et JS/TrojanDownloader.Nemucod : Ransomware
Plus globalement : Scripts malicieux : JavaScript, VBS, PowerShell, Macros
Les JavaScript utilisés en pièce jointe dans les campagnes d'emails malicieux peuvent être détectés par Microsoft TrojanDropper:JS/Swabfex
TrojanDropper:JS/Nemucod
TrojanDropper:JS/Zlader
Trojan.MSIL : Trojans écrits en langage Microsoft intermediate language (MSIL).
Souvent ce sont des Trojan de type RATs (Remote Access Tools).
Voir :Trojan MSIL.
Trojan.OnlineGames ou W32/OnlineGames ou Trojan.PSWLineage ou Trojan-GameThief : Désigne une catégorie de trojans qui ont pour but de voler les informations de connexions de jeu en ligne. Le but étant de revendre les objets etc pour faire de l'argent.
Trojan.Patched / Trojan.Win32.Patched : Fichiers systèmes Windows légitimes patchés par une infection. Les fichiers peuvent être winlogon.exe, svchost.exe ou des drivers ndis.sys etc.
Trojan.Proxy : Trojan permet l'utilisation du PC infecté comme proxy. Le pirate peut se connecter ou effectuer divers actions (scans etc) en utilisant le PC infecté pour se cacher.
Trojan.PWS / Trojan.PSW : Désigne un trojan qui a pour but de voler des informations/données, PWS voulant dire password (mot de passe). Le nom derrière peut être suivant d'une informations supplémentaire par exemple Trojan-PSW:W32/OnlineGames vole les informations des comptes de jeu en ligne, Trojan.PWS.Banker est axé sur les informations de comptes de banque. Le nom derrière peut désigner une famille de malware
Trojan.Ransom : Trojan Ransom est un type de trojan qui encrype les fichiers documents et demande une "rançon" à l'utilisateur afin que ce dernier puisse à nouveau accéder à ses documents.
Trojan.Small : Désigne un trojan de petite taille de fichiers.
Trojan.Tiny : Désigne un trojan de petite taille de fichiers.
Trojan.VB : Désigne un trojan écrit en Visual Basic. Exemple : Trojan.Win32.VB.xxx / W32/VB.BFB
Trojan.Winlock : Malware qui bloque le chargement de Windows et l'utilisation du PC.
Une rançon est demandée soit par envoie, soit par SMS afin de débloquer Windows.
C'est donc une version "spéciale" d'un Trojan.Ransomware.
Exemple :
sms-ransomware-trojan-winlock-t21772.html
https://www.malekal.com/ransomware-plugi ... x00874324/
flash-player-exe-ransomware-t26652.html
http-mms2u-info-exe-php-6067178d6665bcf ... ml#p216584
Dernièrement des versions "Fake.Police" ont vu le jour, le message d'alerte est soit disant envoyer par la Police.
Différentes versions existent selon le pays.
Se reporter à la page : Virus Gendarmerie / Police - Trojan Fake Police.
VBS/Agent : Scripts malicieux écrits en VBS, il peut s'agit d'un VBS.Downloader envoyé en pièce jointe d'un mail malicieux pour pousser un malware ou un vers autoruns qui se propage donc par médias amovibles.
Exemple : Virus.VBS.Crypt (Virus USB Raccourcis).
Plus général, se reporter à la page : Malware par VBS / WSH
Worms.Autorun : Désigne un ver ayant la possibilité de se propager par disques amovibles (création de fichiers autorun.inf)
ou encore Worm.Autorun sur supprimer-virus.com.
Quelques détections heuristiques/génériques selon les antivirus.
Ces détections permettent de détecter un code malveillant mais ne donne aucune indication quant aux types de menaces auquels on a affaire. Il se peut aussi que la menace n'en soit pas une!
Mal/Heuri-xxx (Sophos)
Heuristic.Malware (Prevx)
HEUR/Malware (Antivir)
Win32:Trojan-gen. {Other} (Avast!)
VIPRE.Suspicious (Sunbelt)
Malware Generic ou Suspicious file (Panda)
Generic.Malware.SYBddld!.xxxxxxx (BitDefender)
New Malware.xxx (McAfee)
Heuristic. (Kaspersky)
Quelques détections de packers :
TR/Crypt.XPACK.Gen - PCK/FSG - TR/Crypt.Morphine.Gen (Antivir)
Trojan.Win32.Pakes.xxxx (F-Secure / Kaspersky)
VirTool:Win32/Obfuscator.x (Microsoft)
Packed.Win32.CryptExe (F-Secure / Kaspersky)
Cryp_Morphine (Trend-Micro)
Trojan.Packed.xxx (Dr-Web)
Famille de malwares
Quelques familles de malware... ce sont les plus courantes.
Adware:Win32/AdRotator - Adware/TrafficSol - Spyware.Adssit.A : Adware ouvrant des popups de publicités.
Ce dernier était très courant via des download sur P2P et notamment Limwire (une formidable poubelle à virus) : voir Ads served by Dcads (Adware Fotomoto).
Cet adware peut aussi être installé par des infections tiers afin de gagner des $ sur les popups de publicités, c'était notamment le cas passé un moment de certains variantes de faux codecs : voir Renos/Zlob : "you have a security problem" : codec.xxx.exe
Backdoor.Win32.Goolbot - Bot permettant le contrôle de l'ordinateur - souvent présent sous le nom de fichier C:\WINDOWS\system32\msxslt3.exe - voir : restorer64-exe-backdoor-win32-harebot-t21539.html#p177654
Qakbot/QuakBot : Famille de type Stealer, vole des données (mot de passe, adresse email etc).
Backdoor.Win32.HareBot : Bot permettant le contrôle de l'ordinateur et télécharge d'autres malwares - ouvent présent sous le nom de fichier C:\WINDOWS\system32\restorer64_a.exe è voir : restorer64-exe-backdoor-win32-harebot-t21539.html#p177654
Backdoor/Win32.Cycbot : Malware ajoutant un proxy qui permet d'effectuer des redirections Google et de voler des informations transistant par le WEB (mot de passe, cookie de session etc).
Voir : https://www.malekal.com/2010/11/15/svcho ... gomeo-etc/
Navipromo / Magic.Control : Adware installé via des programmes gratuits, ce dernier est très implanté en France.
Les programmes installant cet adware sont proposés via bannières publicitaires, vous trouverez la liste des programmes et plus d'informations sur cette infection sur la page : [url=ttp://www.malekal.com/Adware.Magic_Control.html]Supprimer Navipromo / Magic.Control[/url]
Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft) / Trojan.Botnetlog.x (Dr.Web) / Backdoor.Win32.Zdoogu (Kaspersky) : créé le fichier C:\Windows\System32\digeste.dll.
Voir la page : digeste.dll : Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft) / Trojan.Botnetlog.x (Dr.Web) Malware
Trojan.Cidrex / Trojan.Win32.Jorik.Totem : Famille de Stealer comme Spyeye ou Zbot/Zeus.
Très propagé par des campagnes de mails.
=> https://www.malekal.com/wormwin32cridext ... -par-mail/
Trojan.Carberp : : Famille de Stealer et Banker comme Spyeye ou Zbot/Zeus.
=> https://www.malekal.com/trojan-carberp-s ... t-rootkit/
Trojan.DNSChanger : Trojan.DNSChanger est un malware modifiant les adresses DNS afin d'effectuer des redirections lors des recherches Google.
La variante se propageant par disques amovibles est détecté en Win32:Fabot par Avast!
Pandex / CutWail / Trojan.Kobcka (BitDefender) /
Backdoor.Win32.HareBot : Rootkit Cutwail destiné à spammer. Voir la page Trojan.Cutwail/Trojan.Srizbi
Trojan-Downloader.Win32.Karagany : Trojan qui se fait passer pour Adobe Reader.
Plus d'infos : https://www.malekal.com/tag/trojan-karagany/
Trojan.Slenfbot : Slenfbot est une famille de Backdoor IRC qui se propage par MSN et disques amovibles.
SpyEye – Trojan.Pincav : stealer, vole de données (mot de passe, adresse email etc).
Le malware intègre divers mécanismes de protections pour empêcher sa détection/désinfection.
Il empèche entre autre les antivirus et empêche leurs mises à jour en bloquant les adresses via le fichier HOSTS de Windows
Voir : Protections Malwares : rendre la désinfection plus difficile.
Voir : https://www.malekal.com/2010/12/07/slenf ... r-irc-bot/
TrojanSpy:Win32/Ambler / Trojan-Spy.Win32.Banker : Trojan destiné à voler les informations de connexion aux comptes de banque en ligne.
La majorité des variantes viennent du Brésil.
Trojan.Banload : Trojan installant un Trojan.Banker
Trojan Bedep : Trojan AdFraud, se reporter à la page : Trojan Bedep.
Trojan.Goldun/Haxdoor : Malware souvent sous la forme d'un rootkit accompagné d'une DLL ayant des fonctionnalités de keylogger qui a pour but de voler des données (mot de passe, accès banque etc).
Voir Backdoor/Rootkit Haxdoor / Goldun
Win32/Tedroo / Win32:Walivun : %windir%\services.exe / Email-Worm.Win32.Joleee.xx (Kaspersky) : Trojan envoyant des mails de SPAM (spambot), ce dernier créé un fichier %windir%\services.exe
Il se propage bcp via des exploits sur site WEB :
win32-tedroo-email-worm-win32-joleee-wi ... 19192.html
Email-Worm.Win32.Iksmas : se copie en C:\WINDOWS\Temp\_ex-08.exe
Voir : Security Tool.
Email-Worm.Win32.Gibon : se copie en
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
peux deux fichiers exécutables dont le nom peut changer, ex : wininet.exe/winint.exe
Voir : trojan-win32-scar-email-worm-win32-gibo ... 21726.html
Trojan.Sasfis / Trojan:Win32/Oficla.A / Backdoor.Bredavi :
voir la page suivante : trojan-sasfis-trojan-win32-oficla-troja ... 19649.html
Trojan.Tdss / Trojan.Alueron : Désigne un trojan qui a des fonctionnalités de rootkit très sophistiqués :
trojan-alureon-trojan-tdss-t21456.html
rootkit-tdss-tmp-tmp-atapi-sys-patch-t22604.html
Trojan:Win32/Opachki : Malware qui se charge via des DLL et qui provoque des redirections lors des recherches Google
Voir la fiche Trojan:Win32/Opachki
Trojan.Win32.Rabbit aka Dropper.Cutwail : Drop le malware CutWail
Mi-2009 Kaspersky a ajouté une détection sur le packer de ce malware répondant au nom de Packed.Win32.Katusha.b
Ajoute la clef Run :
Si votre nom d'utilisateur est Malekal_morte, le fichier portera alors le nom Malekal_morte.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* {User Name} = "%User Profile%\{User Name}.exe /i"
Une vidéo démontrative est visualisable avec le processus Malekal_morte et CutWail en action sur ce lien : les-pc-zombis-botnet-t1020.html#p153175
Trojan.Win32.Buzus / Worm.Win32.Rimecud : Ce sont les vers qui se propagent par MSN ou disques amovibles.
Se reporter à la page MSN du forum : virus-msn.html
Trojan.Vundo / Virtumonde : Adware ouvrant des popups de publicités et pouvant effectuer des redirections lors des recherches Google.
Voir la page Trojan.vundo
Trojan.Tofsee : Trojan.Tofsee est un malware conçu pour spammer. Ce dernier créé des fichiers avec des lettres aléatoires, très souvent dans la clef du registre ajoutée pour démarrer le processus, on retrouve à la fin du fichier un paramètre \s \u
Trojan.ZBot / Zeus / Trojan-Banker.Win32.Bancos : Trojan qui a pour but de voler des données/informations personnelles (numéro de tel, CB, mot de passe, etc).
Se reporter à la page Supprimer Trojan.Zbot
Win32:Daonol / Gumblar : Infection provoquant des redirections lors des recherches Google.
Se charge à partir de la clef aux de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
avec des fichiers de type sysaudio.sys, wdmaud.sys
Se reporter au sujet : Trojan.Daonol et redirections Google
Trojan-Downloader.Win32.CodecPack.dg / TR/Dldr.CodecPa.CU / TrojanDownloader:Win32/Renos : Trojan téléchargent de faux codec faisant la promotion de rogues.
Trojan.Downloader.Swizzor : Adware affichant des popups de pubs, connus aussi sous nom Lop.com
Trojan.Downloader.WMA.Wimad : Malware sous forme de fichiers multimédia, ce dernier est en général destiné à ouvrir des popups ou faire télécharge des ffaux codec.
Voir par exemple le sujet Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec
Trojan.Win32.Scar : Trojan Downloader qui se copie en C:\WINDOWS\system32\msxslt3.exe, voir : trojan-win32-scar-email-worm-win32-gibo ... 21726.html
Win32/Taterf : Vers se propageant par disques amovibles.
Ce dernier a pour but de voler les informations de connexions au jeu en ligne (dont World Of Warcraft), il peut donc avoir des noms génériques tels que :
Win32/PSW.OnLineGames.xxxx
TrojanGameThief.Magania.aukf
Worm.AutoRun.xxx.
Voir :
TrojanTofsee : autres familles de SpamBot - voir : trojan-tofsee-spambot-t23007.html
Trojan.Furi / Trojan:Win32/Bohmin : Trojan ouvrant des popups de publicité.
Peut-être installé via des bannières publicitaires infectieuses ou intallé par des infections tiers afin de gagner des $ sur les popups ouvertes.
Voir https://www.malekal.com/Trojan.Furi_Trojan_Bohmin.php
Win32/Hoax.Renos.NCN / TrojanDownloader:Win32/Renos / Fake Alert : Trojan affichant de fausses alertes de sécurité faisant la promotion de rogues.
Trojan-Downloader.Win32.Bagle.bx : Trojan se propagent par des cracks sur P2P (Emule en général).
Voir la page Bagle/Beagle/Trojan.Tooso.R
Sinowal : Sinowal est un type de malware connu pour voler les données relatives aux comptes bancaires.
Une des dernières variantes de cette famille est le Rootkit MBR
Rustock : Rootkit destiné à Spammer.
Voir la page : Rustock et Rustock sur le forum
Backdoor.Bifrose : famille de backdoor permetant le contrôle du PC infecté par un pirate. Le PC devient donc un PC Zombi.
Se reporter à la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls.
Win32/Pushbot : famille de backdoor qui utilise les IM comme moyen de propagation (voir Virus MSN : explications, fonctionnement et parade), ces dernier sont souvent type Backdoor.IRC / SDbot ou Spybot.
Win32/Sality : est un virus au sens litterale du terme puisqu'il infecte les fichiers exécutables (.exe et .scr). Ce dernier peut agir en tant que keylogger.
Worm:AutoIt/Sohanad : ver se propagent par IM (voir Virus MSN : explications, fonctionnement et parade) et par disques amovibles.
ZeroAccess / Sirefef : Malware très évolué qui a pris le relai de TDSS et est donc du même type.
Des modules additionnels peuvent être ajoutés (stealer, spambot etc). Il permet le contrôle du PC infecté.
Plus d'informations : https://www.malekal.com/sirefef-b-rootki ... ccess-max/
Vous trouverez d'autres informations sur d'autres menaces sur la page du site : Guide de suppression des spywares/malwares.
Spécificité selon les éditeurs d'antivirus
Quelques spécificités selon les éditeurs d'antivirus.
Kaspersky classe toute menace n'étant pas des trojans dans la catégorie 'not-a-virus'
Par exemple, un adware de la famille SoftPulse peut être catégorisé en not-a-virus:Adware.win32.softPulse
Ensuite, vous avez les détections du type Crypt, qui peuvent désigner des packers, c'est à dire la couche qui permet de cacher le contenu du fichier.
Les developpeurs de malwares créés de multiples packers pour empêcher au moteur d'antivirus de 'lire' le malware et donc de le détecter.
Dès lors, les antivirus peuvent créer des détections directement sur ces packers.
AVG peut émettre des détections du type Cheval de troie : Crypt
Avira Antivirus lui peut afficher des détections : TR/CRYPT.ZPACK.
Prévention et sécurité informatique
Les tutorials du site sur la sécurité informatique :
A lire aussi : Un dossier plus récent est présent sur la page : Les botnets : réseau de machines infectées.
Première
règle élémentaire de sécurité : on réfléchit puis on clic et pas
l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça
vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
- Malekal_morte
- Site Admin
- Messages : 84303
- Inscription : 10 sept. 2005 13:57
- Contact :
Pour la nomenclature des détections de l'antivirus Malwarebytes Anti-Malware, vous pouvez vous reporter à la page : Détections Malwarebytes Anti-Malware
Première
règle élémentaire de sécurité : on réfléchit puis on clic et pas
l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça
vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares