Hybrid Analysis : Analyser le comportement d’un exécutable

Lorsque vous avez un doute sur un fichier ou vous souhaitez connaître les modifications effectués par un malware, il est possible d’utiliser des systèmes automatisées qui analyse le comportement d’un exécutable.
Il existe plusieurs services gratuits dont Hybrid Analysis qui permettent de jouer l’exécutables et proposer un rapport d’analyses du comportement et modifications effectuées sur le système d’exploitation.
Voici une présentation du fonctionnement de Hybrid Analysis.

Table des matières [masquer]

• 1 Hybrid Analysis : Analyser le comportement et modifications d’un exécutable
  • 1.1 Principe de fonctionnement
  • 1.2 Présentation d’Hybrid Analysis
  • 1.3 Le contenu de l’analyse
• 2 Limites et alternatives

Hybrid Analysis : Analyser le comportement et modifications d’un exécutable

Principe de fonctionnement

Le principe de fonctionnement est assez simple.
Vous envoyez un exécutable, ce dernier va être joué dans un environnement virtualisé.
Le système va analyser et enregistrer les opérations effectuées par le fichier durant son exécution comme les créations de fichiers, les connexions réseaux établies etc.
En outre, une analyse statistiques du fichier est faites (langage, import, etc).
Un rapport est généré avec l’analyse complète consultable depuis le site Hybrid Analysis.
Il est aussi possible de rendre l’analyse publique et trouver d’autres analyses de fichiers notamment à travers le hash d’un fichier.
Enfin, sachez que la plupart des malwares sont envoyés de manière automatisés à ce service, comme c’est le cas notamment de VirusTotal.

Présentation d’Hybrid Analysis

La page du site d’hybrid Analysis est : https://www.hybrid-analysis.com
En haut à droite, vous pouvez régler la langue en français.
Ce dernier se présente sous la forme d’un formulaire où vous devez téléverser le fichier à examiner.

Remplissez le captcha et indiquer la version de Windows, par défaut Windows 7 32-bits
Indiquez votre mail, si vous souhaitez être averti quand l’analyse est terminée.
Cochez la case pour accepter les conditions d’utilisation : I consent to the Terms & Conditions and Data Protection Policy.
Enfin pour lancer l’analyse cliquez sur Genérer un rapport public

L’analyse débute alors, le fichier est soumis à d’autre service dont VirusTotal avec les résultats.
Une roue crantée tourne pendant que l’analyse comportementale s’effectue.

Certains services peuvent être visualisés depuis le site sinon à ouvrir dans un nouvel onglet.

Lorsque l’analyse comportementale est terminée, vous obtenez alors l’encart ci-dessous.
Des notes de malwares, suspicion ou informative sont indiquées.
Au final, un score est donné (Threat Score) qui peut indiquer s’il s’agit d’un malware ou non.

Le contenu de l’analyse

Voici le contenu de l’analyse qui se présente avec des indicateurs puis les informations sur le comportement.
Le sommaire se trouve à droite.
La première partie indicateurs classés en trois : des indicateurs de comportements de malwares, des indicateurs suspicieux et enfin informatifs.

puis les détails du fichier avec les informations basiques du fichier (tailles, hash, etc), les ressources embarquées dans le fichier et des analyses TrInfo.
La seconde partie concernant les imports effectuées par le fichier.
On retrouve la plupart de ces informations dans VirusTotal aussi.

Ensuite des captures d’écran sont données dans le cas où le fichier ouvre des fenêtres, changent le fond d’écran etc.
Une partie analyses avec les actions au niveau processus est donnée.
En cliquant sur le processus, on peut récupérer les mutex, les appels API, fichiers ouverts, etc.

A noter que ci-dessous la chaîne d’exécution est incomplète, l’exécution se coupe très tôt alors qu’on affaire à un installeur PUP.

Enfin une analyses réseaux avec les connexions effectuées et notamment les URLs, DNS contactées et ensuite donnée.
L’analyse réseau fournit aussi une carte avec les pays contactés.

puis les strings (textes) en mémoire sont énumérées.
Par exemple, ci-dessous, on voit qu’il s’agit d’un ransomware.

Limites et alternatives

Ces systèmes d’analyses possèdent toutefois des limites.
Le malware est exécuté dans un environnement virtualisé, cet environnement peut-être détecté au début de l’exécution.
Un test peut faire stopper l’exécution du malware lorsque cet environnement est détecté (exit).
A partir de là, impossible d(obtenir une analyse complète des actions effectuées par le malware.
On peut aussi facilement empếcher l’exécution du malware en demandant un paramètre particulier lors de l’appel de celui-ci.
Par exemple, les malwares en DLL qui se lancent avec rundll32.exe ou regsrv32.exe ont souvent besoin d’un paramètre.
Or lors de l’exécution dans Hybrid Analyses, vous ne pouvez pas spécifier ce dernier (encore faut-il le connaître), ainsi donc le malware ne s’exécutera pas entièrement.
Enfin, on peut aussi demander une action comme cliquer sur un bouton, ce que le système risque de ne pas savoir faire de manière automatique.
Enfin il existe d’autres alternative comme malwr.com ou encore VirusTotal qui fournit une analyse comportementale, on en parle sur ce lien : VirusTotal : Comment visualiser le comportement et activité d’un malware

REF.:

Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Les antivirus utilisent des termes qui ne sont pas forcément bien connus des internautes.
Cet article énumère les catégories de logiciels malveillants avec une description pour chacun d’eux.
Pour rappel, il existe un autre article sur le forum : Index des menaces et programmes malveillants/Malwares

Table des matières [masquer]

• 1 Les généralités sur les menaces
• 2 Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, etc
  • 2.1 Virus
  • 2.2 Trojan ou Cheval de troie
  • 2.3 Backdoor ou porte dérobée
  • 2.4 Spywares
  • 2.5 Keylogger
  • 2.6 Worms ou vers informatiques
  • 2.7 Rootkit
  • 2.8 Rogues ou scarewares
  • 2.9 Ransomwares ou rançongiciels
  • 2.10 Adwares
  • 2.11 Les Browser Hijacker
  • 2.12 PUP
  • 2.13 Exploit et Drive-by download
  • 2.14 Malvertising
• 3 La nomenclature des antivirus
  • 3.1 Les familles de malwares
  • 3.2 Les détections génériques
• 4 Autres termes liés aux logiciels malveillants
  • 4.1 Dropper et Payload
• 5 Autres liens autour des logiciels malveillants

Les généralités sur les menaces

Les menaces informatiques sont diverses et évoluent dans le temps, surtout depuis les premières dans les années 70 et 80.
Si l’on peut catégoriser les menaces, la plupart du temps, un malware endosse plusieurs catégories.
Ainsi, un ransomware peut très bien voler les mots de passe dans l’ordinateur, ce qui fait de lui, à la fois un ransomware et un spyware.
Il ne faut pas donc pas penser qu’un logiciel malveillant peut-être classé dans une seule catégorie.
Si vous cherchez un historique de ce qui a pu se faire comme attaques de malwares jusqu’à nos jours, vous pouvez lire la page : Les virus informatiques : fonctionnement et protections

Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, etc

Virus

Les virus désignent les logiciels malveillants capables d’infecter les exécutables (fichiers .exe ou .dll).
Ce dernier va insérer du code dans le fichier exécutable qui au moment de l’exécution va charger le logiciel malveillant en mémoire.
A partir de là, ce dernier devient actif est infecte à son tour tous les exécutables qui seront ouvert par l’utilisateur.
Les virus sont arrivés arrivés très tôt, dans les années 70 et se propageaient par disquette, puis par la suite par des fichiers mis en ligne sur internet.
Les derniers virus informatiques les plus importants ont été Sality, Virut et Ramnit.
De nos jours, le terme Virus est détourné de son origine pour englober la totalité des menaces informatiques et logiciels malveillants sans distinction.
En anglais, le terme pour désigner les logiciels malveillants dans leurs intégralités est malware.

Trojan ou Cheval de troie

Le Trojan ou Cheval de troie est un logiciel malveillant caché dans un logiciel présenté comme légitime.
Il s’agit d’un parallèle avec l’attaque de la ville de troie où les soldats étaient cachés à l’intérieur du cheval donné en cadeau à la ville.
Cela a permis de faire entrer les soldats et contourner les murailles pour prendre d’assaut cette dernière.
Dans le cas d’un trojan, l’utilisateur pense télécharger un fichier sain comme un setup ou un crack, au moment du lancement, le trojan s’installe sur l’ordinateur.
Ce dernier possède alors des fonctionnalités malveillantes comme la possibilité de contrôler l’ordinateur à distance, enregistrer les frappes claviers (keylogger), envoyer des mails de spams, etc.
En général, la plupart des trojans font joindre l’ordinateur dans un botnet (réseau d’ordinateur zombis) pour contrôler ces derniers.
Cela permet de sous-louer ces ordinateurs pour mener des attaques, des scans ou envoyer des mails de spams.
Le fonctionnement d’un cheval de troie se compose :

1. d’un fichier qui est copié a un emplacement précis
2. un point de chargement de Windows pour charger le malware au démarrage de Windows.

Seul les Trojan FileLess et les trojans utilisant des injections de DLL fonctionnent de manière différentes, pour ce dernier, se reporter à la page : Trojan avancé : fonctionnement de cheval de troie plus complexe
Il existe donc des sous-catégorie de trojan, par exemple :

• Trojan.Spambot : est capable d’envoyer des mails de spams.
• Trojan.PWS ou Trojan.Stealer : est spécialisé dans le vol de mot de passe, par exemple les mots de passe des navigateurs internet et peut avoir des fonctions de keylogger.
• Trojan.Proxy transforme l’ordinateur en proxy afin de vendre ce dernier pour permettre aux cybercriminels de se cacher. Exemple sur cette page : BackDoor.Proxybox : Votre PC transformé en proxy
• Trojan Patched : ce dernier modifie un fichier système de Windows pour y insérer son code et être chargé par Windows.

Les liens du site autour des trojan :

• Comment fonctionnent les trojans
• Trojan RAT (Remote Access Tool)
• Trojan Banker : botnet spécialisé dans le vol de compte
• Trojan MSIL
• Les trojan bitcoin qui vise à faire miner l’ordinateur à l’insu de l’utilisateur pour générer des crypto-monnaies

Backdoor ou porte dérobée

Les backdoor sont des portes dérobées qui permettent de contrôler un ordinateur ou système.
Initialement, l’ordinateur visé était tourné en tant que serveur, c’est à dire que la backdoor ouvrait un port et le pirate pouvait s’y connecter.
De nos jours, la plupart des trojan ont des fonctionnalités de Backdoor afin de pouvoir contrôler l’ordinateur.
La plupart fonctionne en tant que client qui se connecte à un centre de contrôle (C&C : Command & Center) qui peut être un serveur WEB ou un serveur IRC (Backdoor.IRC).
A noter que les sites internet peuvent aussi être visés par des backdoor notamment à travers des Shell PHP que qui font partie de la catégorie des backdoor PHP : Détecter des backdoors PHP parmi ses fichiers
Les liens du site autour des backdoor :

• Backdoor.IRC : le couteau suisse
• BoSSaBoTv2 : another Linux Backdoor IRC
• Backdoor IRC évoluée : Rootkit
• Backdoor IRC (snk) vise Skype
• Backdoor.Perl.Shellbot.B et Backdoor.Linux.Tsunami.A
• Les Virus MSN étaient pour la plupart des backdoor IRC

Spywares

Les Spywares sont des logiciels espions.
Comme leur nom l’indique, ces derniers permettent d’espionner un utilisateur, cela peut aller de fonctionnalités de keylogger, le vol de mot de passe, à l’activation et Piratage de Webcam de la webcam.
Initialement dans les années 2000, les spywares n’étaient pas visés par les antivirus et on devait utiliser des logiciels comme Spybot ou Ad-aware pour les supprimer.
Les tracking cookies étaient aussi inclus dans ce type de menaces.
Cela a permis aux éditeurs d’antivirus de vendre des solutions supplémentaires sous le nom d’antispyware.
Mais à partir de 2005, la distinction est devenu intenable dans le sens où la plupart des menaces informatiques et trojan intègre des fonctions espions.
On peut tout de même distinguer plusieurs type de Spywares :

• Password Stealer : malware qaui vise à voler les mots de passe de l’ordinateur. Les mots de passe enregistrés dans le navigateur internet ou client FTP.
• Banking Trojan : Trojan spécialisé dans le vol de compte bancaire ou capable de modifier les pages du site de la banque pour falsifier les transactions.
• InfoStealer : Malware qui capable de voler toutes sortes d’informations connues dans l’ordinateur comme les nom d’utilisateur, mot de passe, adresse email, historique de surf, fichiers logs, informations systèmes, documents ou autres médias.
• Keylogger : enregistreur de frappes clavier, se reporter au paragraphe suivant.

De nos jours, la catégorie ou distinction n’existe plus vraiment entre les spywares et trojan.

Keylogger

Les keylogger sont des enregistreurs de frappes clavier qui ont pour but de récupérer des mots de passe.
Cela peut aussi servir pour espionner un utilisateur et classe donc ces menaces dans la catégorie spywares.
On distingue les keylogger logiciels qui sont des programmes tournant sur le système d’exploitation, des keyloggers matériels qui sont des dispositifs que l’on peut par exemple brancher à un clavier.
La plupart des trojans qui visent à voler des données ont des fonctionnalités de keylogger.

• Les keylogger ou enregistreur de frappes clavier
• Les anti-Keylogger pour se protéger des keyloggers 

Worms ou vers informatiques

Les vers informatiques ou worms en anglais sont des logiciels malveillants capables de se propager tout seul d’un ordinateur à l’autre.
C’est donc leur mode de propagation qui donne ce nom à ce type de menaces informatique.
On distingue grosso modo, deux types de vers informatiques :

• Les vers qui vont exploiter des vulnérabilités distantes, en envoyant des requêtes sur le réseau, ils vont pouvoir infecter des ordinateurs vulnérables. Les vers les plus connus sont Blaster ou Conficker.
• Les vers Worm.Autoruns ou Worm.VBS qui utilisent les médias amovibles (clés USB, disque dur externe, etc) pour se propager d’un ordinateur à l’autre. Se reporter à la page : Les virus sur clé USB.

2017 a connu le premier ransomware, Wannacry, avec des fonctionnalités de vers informatique pour infecter les ordinateurs : FAQ – WannaCry (WanaDecryptor) 
Enfin, pour plus d’informations sur ce type de menaces, suivre la page suivante : vers informatiques (worms) : description et fonctionnement

Rootkit

Les rootkits sont des logiciels malveillants connus pour leurs capacités à se dissimuler dans le système.
Les rootkits ont très vite existé sur Linux ou Windows.
On distingue en général deux types de rootkits :

• les rootkits kernel-mode qui dans le cas de Windows fonctionne avec un pilote / drivers
• les rootkits userland qui fonctionne au niveau utilisateur. Pour ceux qui ont connus courant l’adware Magic.Control possedait des fonctions de rootkit userlant, plus d’infos : Supprimer Magic.Control / egdaccess / Adaware.NaviPromo

Dans les deux cas le fonctionnement est le même, il s’agit de détourner les appels systèmes (Appel API) de Windows vers le rootkit.
Ce dernier va alors répondre et falsifier les réponses.
Par exemple, si une application fait un appel API pour obtenir la liste des processus Windows, le rootkit peut détourner l’appel pour retourner une liste sans le processus du rootkit.
Ainsi, le gestionnaire de tâches par exemple ne listera pas le processus malveillant.
Des rootkits kernel-mode peuvent détourner les appels systèmes liés aux systèmes de fichiers pour cacher un fichier de l’explorateur de fichiers ou interdire la suppression de ce dernier.

Pour ce dernier, ils ont explosés en 2005/2007 avec notamment des rootkits kernel-mode avec Rustock, Cutwail puis le malware TDSS et ZeroAccess.
Ces deux derniers ont été particulièrement actifs durant plusieurs années :

• Rootkit.TDSS TDL 4 (Trojan.Alureon)
• ZeroAccess / Sirefef.B / Rootkit.Win32.ZAccess / MAX++

Par la suite, les rootkits se sont attaqués au secteur MBR du disque pour se rendre actif très tôt au démarrage de Windows.
On appelle ces malwares les bootkits : Rootkit MBR (Bootkit) : comment détecter et supprimer
Certains adwares ont utilisés des fonctions rootkit comme Pilotes « bsdriver.sys » & « cherimoya.sys » : abengine
La suppression est donc plus complexe, il faut en général utiliser un outil dédiés comme TDSSKiller ou gmer.

Rogues ou scarewares

Les rogues ou scarewares sont des menaces qui ont été très importantes de 2004 à 2011.
Ces derniers ont été remplacés par les ransomwares de type Trojan Winlock.
Le mot scarewares peut se traduire par logiciel alarmant ou logiciel qui tente de faire peur.
Un rogue est programme qui tente de se faire passer pour légitime dans le but de faire acheter une licence.
Très longtemps, les rogues se sont fait passer pour de faux antivirus.
Le procédé était simple, un trojan vise à afficher de fausses alertes indiquant que l’ordinateur est infecté, tout en installant la partie Rogue.
Cette dernière va lancer des analyses de l’ordinateur et détecter toutes sortes de menaces mais pour les supprimer, l’utilisateur devra acheter le faux antivirus.
Ces attaques reposent donc sur la peur de l’utilisateur face aux nombres alertes et messages d’alertes et d’erreurs.

• Vous trouverez une liste de rogues et scarewares sur la page suivante, certains étaient relativement bien fait : Rogues/Scareware
• Du côté des fausses alertes de sécurité, se rendre sur la page : Les Rogues et alertes de sécurité

De manière générale pour ce qui est de fausses alertes de virus ou autres, vous pouvez lire l’article : Arnaque : fausse alerte de virus

En 2011, plusieurs évolutions ont été constatés :

• Certains Rogues se faisaient passer pour des logiciels de réparation de disques. Le malware cachait les fichiers et affichaient de faux messages d’erreurs lors de tentatives d’accès aux fichiers
• Les derniers faux antivirus bloquaient l’accès à Windows, on s’approchait donc des Trojan WinLock (voir partie ransomware).

Enfin, l’arrivé des PUPs en 2012 a permis une nouvelle prolifération des scarewares avec des sociétés étrangères.
Accouplé à des lenteurs dus aux Adwares, des logiciels d’optimisation et de nettoyages étaient aussi installés. Ces derniers pouvaient apparaître comme des solutions aux lenteurs dus aux adwares.
Des logiciels très peu fiables avec des méthodes proches des rogues ont vu le jour : Reimage Repair et MacKeeper
Par le suite, ces procédés de fausses alertes de virus ou d’erreur ont été portés sur Android pour toucher les smartphones et tablettes : Fausses pages web et messages de virus téléphones/tablettes 
Enfin, des logiciels de mises à jour de pilotes : Faux programmes de mises à jour de pilotes et drivers
Tout en ayant de faux antivirus, comme TotalAV : TotalAV présentation et avis
De manière générale, il existe et existera toujours des logiciels de nettoyages peu fiables.
Tous ces procédés sont aussi résumés sur l’article : Les logiciels de nettoyage de Windows

Ransomwares ou rançongiciels

Les ransomwares ou rançongiciels sont des menaces informatiques qui prennent en otage l’ordinateur ou les documents et demandent à payer une somme d’argent pour récupérer l’accès à ces derniers.
On peut distinguer deux types de ransomwares :

• Les ransomwares qui chiffrent les données et demandent de payer une rançon pour récupérer l’accès à ces derniers. Fin 2015, ces derniers ont explosé avec notamment le ransomware TeslaCrypt puis Locky.
  • crypto-ransomware / rançongiciels chiffreurs de fichiers
  • Ransomwares/Rançongiciels : Cerber, Spora et Jaff
• Les Trojan WinLock qui vise à bloquer l’accès à Windows. Fin 2011, les Trojan Winlock se faisant passer pour les autorités ont été très utilisés jusqu’en 2013 : Les Trojan Winlock Fake Police. 

Le malware Reveton a été Trojan WinLock le plus actif, à noter que ce dernier voler aussi les mots de passe. Par la suite, le même groupe a produit le ransomware CryptXXX qui voler aussi les mots de passe.
Il existe aussi des ransomwares qui bloque le navigateur internet, on noteraBrowlock (pour Browser Lock) :

• Virus Gendarmerie Nationale – DLCC Division de lutte contre la cybercriminalité
• Virus Police Nationale

Les arnaques de support téléphoniques ont part la suite utilisé ces méthodes pour bloquer les navigateurs internet sur de fausses erreurs de Windows pour demander à contacter une hotline téléphonique.
Enfin début 2018, un Trojan Winlock « Windows a détecté des activités suspectes » faisant croire à une erreur Windows bloque ce dernier pour pousser ces mêmes arnaques téléphoniques.

Adwares

Les adwares sont des logiciels publicitaires qui sont souvent distribués en mode PUP (voire plus bas).
Des sociétés avec pignon sur rue ont très vite développer des logiciels publicitaires qu’ils ont proposés comme sponsors à des éditeurs de logiciels.
Le but est donc de monétiser leur programme en faisant installer des adwares sur les ordinateurs.
Une fois actif, l’adware va charger des publicités sur l’ordinateur comme des popups à intervalle régulier, des onglets qui vont s’ouvrir au moindre clic sur une page.
Cela devient donc vite agaçant pour l’utilisateur de l’ordinateur.
Dans les années 2004, la société française Eorezo a été très active à travers des widget qui modifiaient la page de démarrage et installer un adware sur les ordinateurs.
Par la suite, ces adwares ont été caché dans des tutoriels en vidéo (Tuto4PC) qui étaient notamment promus par le site telecharger.com : 01net/telecharger.com : ça ne s’arrange pas
A partir de 2011, une explosion a eu lieu avec l’âge d’or des PUPs, des logiciels de nettoyage comme AdwCleaner ont alors vu le jour pour désinfecter et supprimer les adwares.
Les adwares se sont aussi attaqués au monde du Mac et Android :

• Les adwares sur Android
• Adwares et publicités sur MacOSX

On peut assister à des adwares très évolués comme Magic.Control (voire partie rootkit) ou encore Adwares v-bates qui patchait le fichier système dnsapi.dll
Les liens autour des Adwares :

• Supprimer les popups de publicités / Adware
• Désinfection manuelle de Windows (Trojan, Adware etc)

Les Browser Hijacker

Les Browser Hijacker pour pirate des navigateurs internet sont des logiciels malveillants qui modifient les paramètres des navigateurs internet.
Le but est d’imposer un moteur de recherche en page de démarrage et moteur de recherche par défaut.
Cela permet de faire gagner de l’argent à l’auteur en augmentant l’audience d’un moteur de recherche ou en gagnant de l’argent sur le volume de trafic envoyer vers des moteurs de recherche.
Ce sont des outils très utilisés dans la guerre des moteurs de recherche.
Ces Browser Hijacker sont massivement utilisés avec les adwares et pousser par les plateformes PUPs.
Une page sur le site est consacrée à ces menaces : Browser Hijacker : les pirates des navigateurs Internet

PUP

PUP pour Potentially Unwanted Programs soit les programmes potentiellement indésirables.
Il s’agit de programmes proposés à l’installation de logiciels sains.​_
C’est un moyen de monétiser un logiciel, puisque l’éditeur du logiciel va gagner de l’argent à chaque installation réussie.
On peut voir cela comme du sponsoring.
La plupart du temps les programmes proposés à l’installation sont des adwares ou des Browser Hijacker.
De ce fait, ce type de procédés est très mal perçu par les internautes.
Ces méthodes ont explosé depuis 2011 où plusieurs plateformes de PUPs ont sévi.
Par exemple, la plateforme InstallCore est assez spécialisé pour proposer à des sites de téléchargement (telecharger.com ou Clubic y sont passés) pour pousser des programmes additionnels.

• Clubic test le repack et propose des PUPs 
• Les sites de téléchargements qui repackent
• Softonic : Repack de logiciels => PUPs / LPIs 

Mais InstallCore est aussi actif à travers de faux messages de mises à jour Flash ou Java (voir : Fausses mises à jour Java / Flash).
Pour un détails plus complet sur InstallCore, lire : InstallCore : PUPs et Adwares
D’autres exemples de plateformes de PUPs comme Win32/Amonetize : Adwares et PUPs est plutôt spécialisé dans les faux cracks.

La plupart des PUPs proposent l’installation de multiples programmes malveillants et parasites comme :

• Un Browser Hijacker qui va modifier le moteur de recherche du navigateur internet
• Un ou plusieurs adwares
• des scarewares avec de faux logiciels d’optimisations ou de détections de malwares. L’ordinateur étant ralenti par les adwares qui tournent, ces faux nettoyeurs pouvaient passer comme une solution aux problèmes rencontrés.

Enfin un dossier complet sur les PUPs existent sur le site : Dossier Adwares/PUPs : programmes indésirables et parasites

Exploit et Drive-by download

Les Exploits sont des codes qui visent à exploiter une vulnérabilité connues ou inconnues (dites 0-day).
Les vers informatiques utilisent par exemple des exploits pour se propager d’un ordinateur à l’autre.
Le nom est donc générique pour un type de code malveillant, toutefois des menaces ont vu très vite le jour.
A partir de 2011, les Web Exploit ont explosé comme moyen d’infecter les ordinateurs.
A l’époque, les plugins Adobe Flash, Adobe Reader et Adobe Java étaient installés sur la plupart des navigateurs internet.
En chargeant une applet Java, Flash ou un PDF exploitant une vulnérabilité sur ces plugins, on pouvait faire exécuter de manière automatique un malware sur l’ordinateur.
Ainsi, à la simple visite d’un site internet piraté ou contenu une malvertising (publicité malveillante) qui redirige vers un exploit Web, les ordinateurs des internautes ont pu être infectés.
Le terme utilisé pour ce type d’attaque est Drive-by download.
La page suivante explique le fonctionnent en détails des Web Exploit : Les Exploits sur les sites WEB piégés
Voici une vidéo d’un Web Exploit en action :
Les premiers Web Exploit Kit, c’est à dire, des logiciels automatisés pour mettre en place ces attaques ont été vendus.
Le premier connu a été BlackHole, ce dernier fonctionnait en SaS, l’auteur maintenant à jour les exploits, que ce soit pour contourner les détections antivirus que pour en ajouter de nouveaux dès qu’une vulnérabilité été publiée. Mais d’autres ont suivi comme Angler Exploit Kit, Neutrino Exploit Kit  ou encore Magnitude ExploitKit.
La plupart des Web Exploit Kit fournisse des statistiques d’infection par pays, navigateur internet, etc.
Vous trouverez une présentation de BlackHole sur la page suivante : BlackHole Exploit WebKit : Présentation
Ce dernier a permis l’explosion des Trojan FakePolice.
Par la suite, des contre-mesures ont été apportés, notamment les navigateurs internet se sont mis à bloqués les plugins non à jour.

Malvertising

Malvertising est la concaténation de Malware et advertising, il s’agit donc de publicités malveillantes.
Les malvertising ont été très vite utilisés par les cybercriminels pour rediriger les internautes vers des Web Exploit Kit.
Le procédé est simple, vous visitez un site contenu une malvertising, celle-ci va charger la publicité mais aussi le Web Exploit qui va faire son travail pour tenter d’infecter l’ordinateur.
Tout est automatique à travers des JavaScript ou iframe.
La page suivante décrit le fonctionnement de ces dernières : Les publicités malicieuses « Malvertising », source de distribution des virus
Bien entendu, on peut porter le terme pour toutes publicités malveillantes.
Ainsi, des publicités menant à des scarewares ou arnaques de support téléphoniques sont aussi utilisées.
Les sites pornographiques mais surtout de streaming illégaux sont très vecteur de malvertising : Les sites de streaming et les virus

La nomenclature des antivirus

Les familles de malwares

Les menaces peuvent être classés par famille, quand il s’agit du même malware qui revient sous diverses campagnes ou utiliser par différents acteurs.
On trouve donc des centaines et des centaines de familles de malware comme Spybot, Carberp, etc.
Il peut aussi arriver que le code source d’un malware soit publié et utiliser pour donner une nouvelle famille.
C’est notamment le cas avec les Trojan Banker.
Vous trouvez une liste de famille de malwares sur la page : Index des menaces et programmes malveillants/Malwares

Les détections génériques

Les antivirus possèdent des détections génériques, c’est à dire des codes connus ou un ensemble de facteur qui font qu’un fichier peut-être déclaré comme malveillant.
Dans ces cas là, la famille du malware n’est alors pas mentionnée puisque inconnue mais un nom de détection générique peut revenir.
Les noms donnés peuvent être liés aux langages informatiques utilisés, par exemple Trojan.MSIL ou Trojan.VB.
Mais aussi liés aux actions que le malware peut effectuer : Trojan.Downloader, Trojan.PWS, Trojan.Stealer, ou Trojan.Spambot
On peut aussi avoir des détections génériques liées aux numéros de détection génériques de l’antivirus, exemple : Trojan.Gen.645
Vous trouvez une liste des détections génériques les plus communs sur la page : Index des menaces et programmes malveillants/Malwares

Autres termes liés aux logiciels malveillants

Dropper et Payload

Dans une chaîne d’attaque, on peut distinguer la partie qui installe l’infection (Dropper) de la partie qui va travailler une fois le malware actif dans le système (Payload).
Ainsi, si vous recevez un mail avec une pièce jointe contenant un script VBS, ce dernier est le dropper.
La seule fonction du script VBS est de télécharger et exécuter le Trojan dans l’ordinateur.
Un Trojan Downloader est aussi un dropper puisqu’il se charge de télécharger et exécuter le malware.
La page suivante aborde ces deux termes : Dropper & Payload : Explications

Autres liens autour des logiciels malveillants

Quelques liens du site autour des malwares :

• Comment les virus informatiques sont distribués
• Les virus informatiques : fonctionnement et protections
• Les virus sur Android

REF.:

De jeunes Québécois font la vie dure aux cyberpirates

Un groupe de spécialistes de l'informatique de Montréal a aidé le FBI à faire condamner un citoyen russe à 46 mois de prison l'an dernier. Son crime : une fraude évaluée à plusieurs millions de dollars perpétrée à l'aide d'un logiciel malveillant.

Par Gino Harel et Catherine Varga d’Enquête

Vous ne trouverez pas beaucoup de cheveux gris en entrant dans les bureaux de la compagnie ESET, au centre-ville de Montréal. La firme de cybersécurité, dont le siège social est en Europe, compte plus d’un millier d’employés partout dans le monde. Ils sont une dizaine au bureau de recherche de Montréal.
« La différence majeure entre un hacker et quelqu’un qui est du côté de la défense, c’est ce que l’on fait avec ces connaissances-là : pour attaquer ou pour protéger », lance Alexis Dorais-Joncas, chef d’équipe aux renseignements de sécurité pour le bureau montréalais d’ESET.
« Ceux qui protègent les gens contre les cyberattaques possèdent le même coeur de connaissances que les assaillants », poursuit-il.
Pour effectuer leurs travaux de recherche, Alexis et son équipe comptent notamment sur des clients qui acceptent de partager avec ESET des fichiers qu’ils soupçonnent d’être malveillants.

Les fichiers sont apportés dans notre laboratoire, triés, classifiés par différents systèmes automatiques.

Alexis Dorais-Joncas, chef d’équipe à ESET

Alexis Dorais-Joncas, chef d’équipe à ESET Photo : Radio-Canada

Opération Windigo
En 2013, la petite équipe d'ESET à Montréal tombe sur un échantillon du logiciel malveillant Ebury. Les chercheurs constatent que le logiciel est utilisé dans diverses attaques contre des systèmes d’exploitation Linux. Pour lutter contre Ebury, ESET lance la cyberopération Windigo.
Les pirates se servent d’Ebury pour accéder à des serveurs et les infecter par ce qu’on appelle une porte dérobée, donc à l’insu de chacun des propriétaires de serveurs compromis.
« Quand on a commencé à travailler sur Ebury, on a contacté plusieurs personnes dans nos cercles proches. Ce qu’on a réalisé, c’est qu’on n’était pas les premiers à avoir regardé cette menace-là [...] Donc, on s’est mis ensemble pour essayer d’éradiquer cette menace », explique Marc-Étienne Léveillé, chercheur en logiciels malveillants à ESET.
Marc-Étienne Léveillé mentionne que son groupe a travaillé avec d’autres organismes internationaux, dont l’agence gouvernementale allemande de cybersécurité CERT-Bund, pour analyser la menace posée par Ebury.
Ils constatent vite que le logiciel permet de se connecter à distance aux serveurs infectés. Les malfaiteurs peuvent ainsi voler le nom des utilisateurs, leurs mots de passe et autres clés d’accès, ce qui leur permet d'infecter d'autres serveurs.
ESET est parvenue à remonter jusqu'à l'une des victimes et lui a demandé d’avoir accès à son serveur pour pouvoir y surveiller le trafic. Une semaine d’observation a suffi pour mesurer l’ampleur du problème.

On a réalisé qu’il y avait au-delà de 7000 serveurs qui étaient compromis, partout à travers le monde. À partir de ce moment, on savait que c’était à assez grande échelle.

Marc-Étienne Léveillé, chercheur en logiciels malveillants

En tout, les chercheurs du groupe qui ont analysé Ebury ont pu dénombrer plus de 25 000 serveurs infectés, la majorité aux États-Unis. On a aussi pu identifier 626 serveurs au Canada.

Marc-Étienne Léveillé, chercheur en logiciels malveillants à ESET Photo : Radio-Canada

Les pirates surveillent les chercheurs
En 2014, Marc-Étienne, Alexis et leurs collègues ont publié un premier document de recherche sur l’opération Windigo et les ravages du logiciel Ebury. Le rapport dressait le bilan des activités malveillantes des auteurs de l’attaque.
Les serveurs infectés avaient été utilisés pour envoyer environ 35 millions de pourriels par jour, qui permettaient de rediriger quotidiennement près d’un million de requêtes Internet vers des sites publicitaires indésirables.
Un mois après la publication de ce rapport, Marc-Étienne a eu une surprise alors qu’il analysait un nouvel échantillon du logiciel Ebury. À la fin d’une chaîne de caractères chiffrés, on pouvait lire « Good job, ESET! »
« C’était en référence à notre rapport, sans aucun doute, croit-il. Ce sont les auteurs d’Ebury qui nous envoyaient ce message. »

Ils s’intéressent à ce qu’on fait. Ils lisent nos rapports, puis ils voient jusqu’à quel point on comprend ce qu’ils sont en train de faire.

Marc-Étienne Léveillé, chercheur en logiciels malveillants

Message détecté en 2014 dans un échantillon du logiciel Ebury. Photo : Radio-Canada

Le FBI invité à la traque
Les spécialistes de la cybersécurité sont parfois en contact avec les autorités policières, lorsqu’il est question de crimes informatiques. C’est ce qui s’est passé dans le cas d’Ebury : le FBI a été invité à joindre ESET et ses partenaires.
En utilisant des pseudonymes, les pirates ont convaincu certaines entreprises, dont les revenus dépendent du nombre d’internautes qui visitent leurs pages web, de les payer pour augmenter leur trafic.
Une des victimes du stratagème était un site de rencontres pour adultes aux États-Unis. Ce site a ainsi payé des commissions aux pirates pour le trafic Internet généré.
Toutefois, ces entreprises ne savaient pas que la popularité soudaine de leurs sites s’expliquait par des redirections de clics, grâce à des centaines de serveurs informatiques contaminés ou à des pourriels contenant des liens cliquables infectés.
La fraude aura permis aux malfaiteurs de se faire payer des millions de dollars pour tout ce trafic généré frauduleusement.

Exemple de pourriel détecté lors de l’opération Windigo. Photo : Radio-Canada

Le FBI a finalement réussi à faire condamner l’un des auteurs du stratagème. Le citoyen russe a été arrêté en 2015, alors qu’il était de passage en Finlande. Il a été extradé aux États-Unis et a finalement plaidé coupable l’an dernier.
Il purge présentement une peine de 46 mois de détention dans une prison du Minnesota. Il avait des complices, selon le FBI. Visiblement, ceux-ci sont toujours au large… et bien actifs.
Le jeu du chat et de la souris se poursuit
Malgré l’arrestation d’un des auteurs, ESET n’a pas fini de suivre la trace des cyberassaillants derrière le logiciel malveillant Ebury. En novembre dernier, Marc-Étienne et ses collègues ont tenté de les attirer vers un serveur délibérément compromis afin de pouvoir observer leurs actions. Dans le milieu, on appelle cela un honeypot, un « pot de miel » en français.
« Les assaillants s’y sont fait prendre. Ils ont passé environ quatre heures à tenter de comprendre sur quoi ils étaient tombés, raconte Marc-Étienne. Puis ils ont compris. » Avant de se déconnecter, ils ont envoyé un autre message qui se lisait comme suit : « hello ESET honeypot ».
« Ils ont découvert que c’était un piège », dit Marc-Étienne.

Message détecté en 2017 dans un échantillon du logiciel Ebury. Photo : Radio-Canada

Les auteurs d'Ebury sont toujours actifs aujourd’hui.
L’automne dernier, ESET a produit un nouveau rapport pour faire le point sur les activités de ce groupe de cyberpirates. Ces derniers font leur possible pour brouiller les pistes derrière eux.
À la suite de la publication des rapports d’ESET, les auteurs d'Ebury ont modifié certaines de leurs techniques, ce qui rend leur surveillance plus difficile.
Dans cette joute qui prend des allures de cyberguerre, le partage d’information est crucial, rappelle Alexis Dorais-Joncas.

Les attaquants se parlent entre eux, il n’y a aucun doute. Ils se partagent des trucs [...] pour mieux performer, mieux réussir leurs attaques.

Alexis Dorais-Joncas, chef d’équipe à ESET

« Si on ne se parle pas, au niveau de la défense, et qu’on ne partage pas ce qu’on a trouvé, on va perdre la guerre. On va perdre le terrain très rapidement », résume-t-il.

À lire aussi :

• Personne n’est à l’abri d’une cyberattaque, pas même Hydro-Québec

REF.:

Il y a quelques temps, j’avais évoqué SysHardener pour sécuriser Windows.
Hardentools est un outil similaire qui permet de désactiver certains fonctions de Windows utilisées par des malwares.
Voici une présentation de Hardentools.

Table des matières [masquer]

• 1 Hardentools : Sécuriser Windows en désactivant certains fonctionnalités
  • 1.1 Windows
  • 1.2 Microsoft Office
  • 1.3 Acrobat Reader
• 2 Plus loin dans la sécurité Windows

Hardentools : Sécuriser Windows en désactivant certains fonctionnalités

L’utilisation d’Hardentools est très simple et vise à désactiver certaines fonctions de Windows.
Voici la page de téléchargement : Télécharger Hardentools
L’utilitaire se présente avec les fonctions à désactiver qui sont cochées par défaut.
Il faut cliquer sur Harden pour lancer l’opération.

Une barre de progression s’affiche et des fenêtres cmd.exe peuvent s’ouvrir et les fonctions sont désactivées.
On vous invite ensuite à redémarrer Windows afin que les changements prennent effects.

Voici une liste des fonctions proposées à la désactivation.

Windows

• Désactiver Windows Script Host pour se protéger des scripts, plus d’informations : Comment se protéger des scripts malveillants sur Windows
• Désactiver Autoruns et Autoplay, désactive l’insertion automatique pour se protéger des virus par USB. A priori, depuis une mise à jour de Windows, c’est déjà le cas.
• Désactive l’exécution de powershell.exe, powershell_ise.exe par Windows Explorer contre les virus Powershell.
• Force la popup UAC
• Désactive les extensions liés à des scripts toujours pour se protéger contre les scripts malveillants. Les extensions visées : « .hta », « .js », « .JSE », « .WSH », « .WSF », « .scf », « .scr », « .vbs », « .vbe » and « .pif ».

Microsoft Office

Il s’agit ici surtout de renforcer la sécurité d’office, dont des mails malveillants sont utilisés avec des pièces jointes contenant des documents Word ou Office qui permettent d’infecter l’ordinateur.

• Désactive les Macros. Ces dernières sont utilisés par des documents Office malveillants à travers des campagnes de mails vérolés. Plus d’informations : Les virus par Word et Excel (documents Office
• Disable OLE object execution. Autre technique utilisée par les mails vérolés pour infecter les ordinateurs.
• Disabling ActiveX. Désactive les contrôles ActiveX des applications Offices.
• Disable DDE. Autres techniques utilisée par les mails vérolés pour infecter les ordinateurs. Plus d’informations : La technique DDE

Acrobat Reader

Acroba Reader a été longtemps utilisés à travers des exploits Web. Bien que maintenant les navigateurs internet ont leurs propres lecteur PDF, ce dernier peut toujours être utilisés pour infecter les ordinateurs.

• Désactiver JavaScript dans les documents PDF. Acrobat Reader permet d’exécuter du Javascript dans les documents PDF, ce dernier est utilisé pour offusquer du contenu malveillants et permettre l’utilisation malveillantes de documents PDF pour infecter les ordinateurs.
• Désactiver l’exécution d’objet intégré dans les documents PDF. Là aussi il s’agit de limiter l’utilisation malveillante de documents PDF qui peuvent intégré des documents Word avec des macros, DDE malveillantes. Le but étant de dissimuler le document Office malveillant dans un PDF pour rendre sa détection plus difficile.
• Active le mode protégé
• Active la protection de la visualisation
• Active la sécurité renforcée

Plus loin dans la sécurité Windows

Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
Autres liens autour des virus et la sécurité des virus :

• Pourquoi et comment je me fais infecter?
• Comment vérifier si ordinateur a été hacké ou piraté ?
• Les botnets : réseau de machines infectées
• Business malwares : le Pourquoi des infections informatique
• Comment les virus informatiques sont distribués.
• La sécurité de son PC, c’est quoi ?

REF.:

Le malware Duqu 2.0

Duqu 2.0 est une version de malware signalée en 2015 pour avoir infecté des ordinateurs dans des hôtels d'Autriche et de Suisse qui étaient des sites de négociations internationales avec l'Iran sur son programme nucléaire et ses sanctions économiques. Le malware, qui infecte le Kaspersky Lab pendant des mois sans qu'ils s'en rendent compte, est considéré comme le travail de l'Unité 8200.

Kaspersky a découvert le malware, et Symantec a confirmé ces résultats. Le malware est une variante de Duqu, et Duqu est une variante de Stuxnet. Le logiciel est "lié à Israël", selon The Guardian. Le logiciel a utilisé trois exploits de zéro jour , et aurait nécessité un financement et une organisation compatibles avec un service de renseignement gouvernemental.
Selon Kaspersky, "la philosophie et la façon de penser du groupe" Duqu 2.0 "sont en avance sur tout ce qui est perçu dans le monde des menaces persistantes avancées."
 Malgré que Duqu 2.0 présente de nombreuses similitudes avec son prédécesseur, la nouvelle souche du malware populaire est considérée par les chercheurs comme très dangereuse, les experts la définissant furtive et difficile à détecter car elle réside uniquement dans la mémoire de l'ordinateur, ne laissant aucune trace sur le disque. Duqu 2.0 fonctionne comme une porte dérobée dans le système infecté et une fois exécuté, les données d'exfiltration sont renvoyées aux serveurs C & C.Duqu 2.0 systèmes infectés d'un grand nombre de cibles dans plusieurs pays, y compris les États-Unis, le Royaume-Uni, la Suède, de nombreuses autres victimes sont en Asie et en Afrique du Nord.Comme cela se produit généralement dans les logiciels malveillants gouvernementaux, les logiciels malveillants Duqu 2.0 ont également exploité trois vulnérabilités de type «jour zéro». Une autre singularité du malware est la manière dont il renvoie les données vers les serveurs C & C, selon les experts de Kaspersky Lab qui attaquent les passerelles réseau et les pare-feu infectés en installant des pilotes malveillants qui transmettent tout le trafic interne aux serveurs C & C.
Qui est derrière Duqu 2.0?Le problème d'attribution d'une cyberattaque est difficile à résoudre, un attaquant pourrait introduire de faux drapeaux afin de tromper les enquêteurs, selon Mikko Hypponen les mauvais acteurs derrière Duqu 2.0 ont adopté une tactique similaire en ajoutant un des drivers qui contiennent la chaîne " ugly.gorilla "utilisé par l'APT chinois connu sous le nom Commentaire Crew.

    Duqu 2.0 incluait plusieurs faux drapeaux: l'un des pilotes contient la chaîne "ugly.gorilla" qui fait référence à Comment Crew. De Chine.

    - Mikko Hypponen (@mikko) 10 Giugno 2015Les experts en sécurité soutiennent que Duqu était le produit d'un effort conjoint de la NSA Tao et de l'unité israélienne 8200, il est évident que les deux agences de renseignement sont soupçonnées également pour Duqu 2.0. L'analyse publiée par Kaspersky a révélé que Duqu 2.0 n'a pas été conçu par le groupe Equation, ce qui signifie qu'Israël est le principal suspect de la campagne. La même opinion est partagée par Richard Bejtlich de FireEye.Basé uniquement sur plusieurs éléments de l'histoire @KimZetter @kaspersky intrusion, il semble que "Duqu 2.0" pourrait être une campagne israélienne.

REF.:

Dans la série des utilitaires simples et très utile, voici SysHardener.
Ce dernier permet de désactiver des fonctions de Windows, assez inutiles et qui sont généralement utilisées pour propager des logiciels malveillants.
L’utilitaire est gratuit et édité par NoVirusThank, dont nous avions déjà par le passé parlé d’OSArmor.

Table des matières [masquer]

• 1 SysHardener : sécuriser Windows facilement contre les virus
  • 1.1 Réglages généraux de Windows
  • 1.2 Restriction Powershell
  • 1.3 Désactiver les extensions dangereuses
  • 1.4 Désactiver des Services Windows
  • 1.5 Sécuriser Office et Adobe
  • 1.6 Réglages du pare-feu de Windows
• 2 Plus loin dans la sécurité Windows

SysHardener : sécuriser Windows facilement contre les virus

SysHardener est donc un utilitaire gratuite qui permet d’activer ou désactiver des fonctions de Windows afin de sécuriser Windows.
Son utilisation est donc simple, vous devez simplement cocher et décocher certains éléments pour activer ou non ces fonctions.
Cela peut permettre d’optimiser Windows puisqu’il permet de désactiver des services de Windows.
Télécharger SysHardener
SysHardener reprend une partie des tutoriels suivants qui permettent de limiter certains fonctions utilisés par les logiciels malveillants pour infecter Windows :

• Comment se protéger des scripts malicieux sur Windows et limiter PowerShell : Les virus Powershell
• Firewall Windows : les bon réglages
• ublock sur ton navigateur internet

Cet article va énumérer quelques une des possibilités de SysHardener.

Evitez de désactiver tout et n’importe quoi sans savoir.
Je vous conseille aussi de créer un point de restauration avant de changer les paramètres.

Réglages généraux de Windows

La première partie concerne l’UAC et le contrôle des comptes utilisateurs, notamment il est possible d’interdire l’élévation de privilège (passage en administrateur) pour des applications non signées.

Pour plus d’informations sur la signature numérique, lire : signature numérique de fichiers et virus/malwares 

• Turn/On Drive Signing/Intergry Check : active ou désactive la signature numérique des pilotes (drivers), plus d’informations : Comment désactiver la signature numérique des pilotes sur Windows 7, 8 ou 10
• Turn/On Autoplay for any Device : désactive l’exécution automatique des périphériques amovibles.
• Turn Off Windows Script Host : permet de désactiver Windows Script Host pour se protéger des scripts, plus d’informations : Comment se protéger des scripts malicieux sur Windows
• Enfin vous pouvez désactiver SmartScreen. Pour plus d’informations sur SmartScreen, lire notre article : SmartScreen : Protection avec filtrage URL et de fichiers

Smb, le serveur de partage de fichiers peut aussi être désactivé.

Restriction Powershell

Des restrictions PowerShell peuvent aussi être mis en place pour lutter contre les virus Powershell.

Désactiver les extensions dangereuses

En plus de désactiver Windows Script Host, il est aussi  possible de changer l’extension de fichiers qui peuvent être utilisées par des malwares.
On trouve les extensions liées aux scripts : VBS, VBE, JS, JSE, WSF, WHM, HTA
mais certains exécutables comme .SCR ou PIF.
Enfin les extensions de fichiers liées à Java avec JAR.

Désactiver des Services Windows

Et puis vous pouvez désactiver les services Windows inutiles.
Par exemple, vous pouvez désactiver le contrôle d’ordinateur à distance (Remote Desktop Services).
Une liste des services à désactiver est aussi abordée sur la page : Optimiser Windows 10 : les services Windows à désactiver

Sécuriser Office et Adobe

Ensuite SysHardener permet de sécuriser les applications Adobe et Office.
Il s’agit de désactiver le JavaScript dans Adobe Reader qui peut-être utilisés dans des PDF malveillants utilisés dans des campagnes de mails malveillants.
De même, cela permet de sécuriser Office en désactivant DDE (Lire Vulnérabilité (?) DDE sur Word et mails malveillants), OLE et ActiveX.

Réglages du pare-feu de Windows

Enfin la dernière partie concerne les réglages du pare-feu de Windows.
Le but ici est d’internet les connexions sortantes pour certains processus de Windows.
Par exemple, si vous utilisez le partage de fichiers de Windows, il ne faut pas filtrer les connexions sortantes pour explorer.exe.
Sinon vous pouvez cocher la liste complète.
Des réglages plus affinés sont disponibles sur la page : Firewall Windows : les bon réglages

Plus loin dans la sécurité Windows

Dans le même style, il existe Hardentools qui permet aussi de sécuriser Windows en désactivant des fonctions utilisés par les malwares.
Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?

REF.: