Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé RogueKiller. Afficher tous les messages
Aucun message portant le libellé RogueKiller. Afficher tous les messages

mercredi 17 mai 2017

Malwares: Un scan avec votre antivirus, ou avec Malwarebytes Anti-Malware (MBAM) peut suffire



Sur les forums, je vois de plus en plus, de mauvaises habitudes concernant les outils AdwCleaner, RogueKiller et ZPHCleaner/ZPHDiag.
A savoir, les internautes ont tendance à utiliser ces programmes pour vérifier si l’ordinateur est infecté, voire même à effectuer systématiquement des suppressions et nettoyage… Or ces outils de désinfection ne sont pas faits pour cela.
On retrouve, exactement les mêmes mauvais habitude qu’avec des nettoyeurs de type CCleaner, où les internautes abusent des nettoyages.
Cette page tente de vous expliquer pourquoi, cela ne sert à rien de passer ces outils qui s’avèrent au final contre-production.
Je mettrai aussi à jour la page Guide complet d’entretien Windows qui cherche à vous donner de bonnes habitudes d’utilisation de Windows.



Présentation et limite de ces outils

Afin de bien comprendre pourquoi, les analyses régulières sont inutiles.
Il faut bien comprendre le fonctionnement de ces outils et leurs limites.
Déjà la catégorie :
  • AdwCleaner et ZPHCleaner : sont là pour désinfecter les Adwares et PUP (Programmes potentiellements indésirables). Pour faire simple, les logiciels publicitaires qui s’installent sur votre ordinateur et vont charger des pubs, le ralentir et rendre le surf invivable.
  • ZHPDiag utilitaire d’analyse de l’ordinateur qui peut énumérer les éléments malicieux. Là aussi, les limites sont simples, des dossiers vides et autres peuvent être indiqués comme malicieux. L’utilisateur peut penser que son ordinateur est infecté (infection active) alors que ce n’est pas le cas.
  • RogueKiller : initialement, RogueKiller visait les scarewares et rogues, du temps où ces derniers pullulaient. Par la suite ces derniers sont passés de mode pour être remplacés par les Ransomware de type Winlocker qui enfin été remplacé par les Crypto-Ransomware. Après la baisse des scarewares/rogues, RogueKiller a été étendué pour viser les rootkits (du temps où ZeroAccess et TDSS frappaient forts) puis toutes sortes de Trojans/chevaux de troie. L’auteur suit donc l’actualité des virus informatiques.
Tous ces outils, enfin surtout AdwCleaner et ZHPCleaner/ZHPDiag… RogueKiller étant un peu plus élaboré.
Vous lancez une analyse de l’ordinateur avecAdwCleaner et ZHPCleaner/ZHPDiag vont chercher dans Windows, des éléments connus pour être liés à des infections informatiques.
Ces éléments sont souvent basés sur des noms qui sont recherchés les dossiers, clés de registre Windows, tâches planifiés etc.
De ce fait, cette méthode ne permet pas déterminer si l’élément est un reste ou encore actif.
Dans cette vidéo, je montre, comment en partant d’un PC sain… et en créant simplement deux dossiers vides, AdwCleaner détecte des menaces.
La limite de ces programmes se situe donc sur le fait que les détections sont souvent sur des noms… pas le contenu et encore moins la vérification d’une menace active.
Si les dossiers sont vides et donc aucun menace réellement active n’est présente, elles seront comptabilisées en menaces.
Pour les clés du registre Windows, c’est la même chose.
Cela est fortement perturbant pour l’utilisateur, qui va lui regarder le nombre de menaces détectées… le rapport étant assez incompréhensible.
L’utilisation détournée des outils comme AdwCleaner, ZHPCleaner et RogueKiller, à savoir l’utilisateur garde ces programmes et effectuent des analyses régulières… Surement certains par peur et excès de paranoïa les passent tous les jours.
A coup, sûr, une mise des définitions va faire qu’à un moment donné, une menace sera détectée.
Du jour au lendemain, des détections d’éléments vides ou non actifs sont faits et la personne pense avoir son ordinateur infecté.
Parfois c’est pire…
Exemple de sujet sur commentcamarche.net avec des problèmes sur des analyses régulières avec AdwCleaner :


Faux positif et mauvaises interprétations

Rappel – un faux positif est une détection erronée, lorsqu’un antivirus ou autre logiciel de désinfection, détecte un fichier sain comme malicieux.
Cela peut vite être problématique si le fichier est lié au système et mis en quarantaine… puisque des dysfonctionnements vont alors être générés.
Et puis parfois, cela peut être plus problématique.
Ici un sujet où RogueKiller aurait émis une détection sur un fichier Rdpvideminiport.sys qui est un fichier tout à fait légitimé (lié au réseau).
Le supprimer aurait causé des dysfonctionnements.
Nous n’avons pas de d’informations sur la détection… il simplement s’agit d’une alerte (voir Tutoriel RogueKiller).
En plus des détections vides et compatibilitées en menace, il reste la mauvaise interprétation des détections ou rapports.
Souvent pour l’internaute, une ligne détectée = menace et va chercher à supprimer celle-ci.

Passé un moment, RogueKiller détectaient aussi des IAT qui ne sont pas forcément malicieux.
ou encore ZPHCleaner qui détecte des DNS malicieux alors qu’il s’agit de DNS (serveurs de noms) d’une université : http://www.commentcamarche.net/forum/affich-33946335-aide-pour-supprimer-cle-de-registre

Les forums et mauvais conseils

Un autre problème et là on rejoint, ce qui se passe avec CCleaner… sur les forums d’entraide informatique, on fait passer ces programmes à toutes les sauces… et au moindre problème informatique.
En général, les intervenants n’ont pas un super niveau de connaissances et font passer ces outils à l’aveugle en espérant que…
Même lorsque le problème est plutôt lié à Windows en lui même ou matériel.
De ce fait, cela contribue à faire utiliser AdwCleaner, RogueKiller et ZPHCleaner à tort et à travers.

Les bonnes habitudes

Ce qu’ils font comprendre, c’est que ces programmes sont des outils de désinfections… ils sont curatifs.
AdwCleaner, RogueKiller et ZPHCleaner sont là pour supprimer les virus informatiques quand elles sont présentes.
Ces fix ne sont pas très efficaces pour vérifier si l’ordinateur est infecté de manière régulière.
En clair donc, il faut les utiliser quand vous êtes sûr que l’ordinateur est infecté pour supprimer les adwares, PUPs et trojans dans le cas de RogueKiller.
Comme les adwares ont tendance à charger des publicités à outrance, ce n’est pas difficile de savoir que Windows est infecté.
Un scan avec votre antivirus, ou avec Malwarebytes Anti-Malware (MBAM) version gratuite peut suffire.
Pour une liste complète des outils de suppression de virus et descriptifs, lire la page : Les outils de désinfection et de suppression de virus

En cas de doute

En cas de doute sur l’état de Windows, si des éléments sont détectés.
Ne nettoyez pas.. Générez simplement le rapport de scan et soumettez le dans la partie Virus du forum malekal.com.
Un intervenant vous indiquera s’il s’agit d’une infection active ou non.

De manière générale

Si vous voulez suivre de bonnes habitudes pour l’utilisation de votre ordinateur et Windows.
Suivez les conseils de la page : Guide complet d’entretien Windows

En amont

Sécuriser Windows et avoir une bonne attitude sur la toile, suffit à ne pas infecter Windows.

REF.:

jeudi 11 août 2016

Retirer PUM (pour modification potentiellement indésirable):



Retirer PUM (Guide)Qu'est-ce qu'un PUM?A PUM (pour modification potentiellement indésirable)(for Potentially Unwanted Modification) est une modification sensible faite par un programme qui peut être un logiciel malveillant ou légitime, ou même fait par l'utilisateur. Une telle détection est déclenchée en fonction de ce qui est modifié.Plusieurs exemples:PUM.Proxy: Un proxy est un programme en cours d'exécution, soit localement (sur votre machine) ou sur une machine distante (serveur) qui agit comme un filtre web. Il est capable de lire, décoder et filtrer tout le trafic Internet et rebondir certaines demandes fondées sur des règles. Dans un contexte d'entreprise, les procurations sont utilisés pour protéger terminaux ou refuser certains sites Web au travail (Facebook, ...). À la maison, la plupart du temps ces procurations sont malveillants.utiliser un proxy Malware pour refuser l'accès pour aider les forums, ou télécharger des sites (ils ne veulent pas que vous soyez en mesure de désinfecter votre machine). Ils sont également utilisés pour récupérer des informations sur vos habitudes d'Internet, et injecter des annonces ou rediriger vers des sites Web malveillants. Ce que vous devez savoir est que fondamentalement un proxy peut lire et modifier l'ensemble du trafic Internet qui passe à travers elle.L'exemple suivant est fait avec un programme LEGIT, "Fiddler". Il démontre ce qu'un proxy peut faire (en cours d'exécution au niveau local).

 
RogueKiller détecte la PUM comme ceci: 

PUM.DNS: Un DNS est un serveur qui traduit les noms d'hôte (ex: google.com) en une adresse IP (ex: 216: 58.192.14). Habituellement, un bon point de configuration DNS à votre serveur DNS de votre FAI, ou à des serveurs tiers parti DNS comme OpenDNS ou Google DNS. Cependant, certains logiciels malveillants peuvent changer cette configuration (il est une clé de registre) pour pointer vers un serveur DNS malveillant, qui renverra les adresses IP erronées et vous forcer à aller sur les sites Web malveillants (ex: vous tapez google.com et DNS malveillant vous le retourne adresse d'un serveur qui ressemble à Google, mais sert les choses malveillantes).Dois-je retirer?Par défaut, PUM sont considérés comme entre-deux logiciels malveillants et en toute sécurité. RogueKiller ne peut pas décider par lui-même si elle est malveillant ou non, tout point qu'il existe. Il est fait de cette façon parce que parfois la modification est voulu et a été mis en place par lui-même utilisateur ou par l'administrateur de la machine (dans l'entreprise).Pour répondre à la question, il est à vous. Si vous êtes à la maison, vous voudrez probablement les supprimer.Cependant, vous devez savoir qu'il est sécuritaire d'enlever et ne cassera pas votre ordinateur, PUM ne sont pas critiques.SuppressionAnalysez votre ordinateur avec RogueKiller et supprimer les valeurs de PUM détectées.

Source.: