Comment ordinateur a été hacké ou piraté ? Comment savoir si un Trojan ou virus a infecté Windows ?
Est-ce que Windows est infecté par
un virus, logiciels malveillants ou trojan ?
Ce dossier donne quelques explications sur les éléments à vérifier et bonnes attitudes à avoir face à ces menaces informatiques.
Hack et virus
Avant de commencer, il faut bien comprendre de quoi on parle.
Hacker ou pirater signifie généralement dans la tête des internautes :
des virus.
Il faut bien comprendre deux choses, il est tout à fait possible que
Windows soit infecté par des logiciels malveillant et le faire entrer
dans un botnet (
réseau d’ordinateurs infectés).
Le botmaster cherche alors à monétiser ce dernier, par le vol de données (mot de passe/accès, adresse email,
vol de données bancaires), en louant son réseau pour effectuer des
attaques DoS ou encore en chargeant des
ransomwares ou
adwares.
Ici donc le but est de garder un accès frauduleux permanent sur l’ordinateur afin de contrôler ce dernier.
Mais un piratage peut être un accès temporaire, quelques minutes ou
autres afin de parvenir au but final (voler tel ou tel information).
Ainsi, un trojan peut se lancer, voler des informations et les transmettre à un serveur et se fermer.
Par exemple, il peut tenter de voler des comptes en ligne (Compte Google,
Compte Microsoft), les mots de passe étant enregistrés dans
le navigateur WEB.
Le trojan ne tente pas de rester en permanence et au démarrage de Windows.
Ainsi, si aucune alerte
antivirus n’est émise, l’attaque est invisible.
Sachez d’autre part, que l’utilisation d’un virus n’est pas forcément obligatoire.
Une personne peut faire installer
un logiciel de prise en main à distance légitime mais utilisé à des fins d’espionnage pour « pirater » l’ordinateur.
Parmi les logiciel malveillant les plus utilisés pour le piratage, vous pouvez lire les dossiers :
les keylogger et
Trojan RAT.
Détection de virus
Une des mauvaises habitudes, lorsqu’un internaute pense que son
ordinateur est infecté et de scanner ce dernier avec toute sorte
d’utilitaire :
ZHPDiag,
ZHPCleaner,
RogueKiller,
AdwCleaner etc.
Ces outils de désinfection vont très certainement « détectés » des
éléments… vous allez alors penser que votre ordinateur est infecté.
Ce n’est pas forcément le cas.
Il faut bien comprendre qu’il y a des infections actives, c’est à dire
que le programme malveillant se charge et effectue les actions
malveillantes pour lequel il a été conçu et des détections d’éléments
orphelines comme un fichier isolé, une clé du
registre Windows inutilisée etc.
Parfois même il peut s’agir d’un dossier vide… ces outils confortent
l’internaute dans l’idée que son ordinateur est infecté, ce dernier va
multiplier le nettoyage avec des outils, qui au final, peuvent
endommager Windows.
Ce n’est pas parce qu’un élément est détecté que l’ordinateur est forcément infecté.
Pour mieux comprendre, vous pouvez lire le dossier :
AdwCleaner, RogueKiller, ZHPCleaner : mauvaises habitudes
Pour toute aide pour interpréter un rapport, rendez-vous sur le forum :
VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack).
Deux approches possibles.
- Effectuer des analyses antivirus.
- Surveiller Windows mais cela demande quelques connaissances.
Analyses antivirus
Cette approche ne sera pas trop détaillé, il s’agit d’une indication
générique que l’on retrouve sur la plupart des tutos de vérification de
virus.
Des scans
antivirus.
L’autre approche est de surveiller Windows, bien sûr, cela nécessite des connaissances.
Il existe toutefois des programmes assez pratique qui permettent d’effectuer quelques analyses.
La limitation sera la capacité à l’antivirus de détecter la menace, si sophistiqué, il peut passer à côté.
L’autre limite est votre connaissance et comment vous allez interpréter le rapport de scan antivirus.
Là aussi des éléments isolés peuvent être détectés… cela ne veut pas forcément signifier que Windows est infecté.
Pour toute aide pour interpréter un rapport, rendez-vous sur le forum :
VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack).
Surveiller Windows
La surveillance de Windows consiste à vérifier
les processus Windows en cours d’exécution pour faire le tri entre des programmes légitimes et malicieux.
La vérification des points de chargement de Windows permet aussi de
s’assurer qu’aucun virus tentent de se charger au démarrage de Windows.
Vous serez limité par vos connaissances systèmes. Vous pouvez lire en parallèle les conseils de la page :
Les processus systèmes de Windows
Process Explorer
Process Explorer est
un gestionnaire de tâches avancé qui permet de surveiller
les processus en cours d’exécution.
Process Explorer offre surtout la possibilité de faire analyser ses processus en cours d’exécution sur
VirusTotal.com (un site qui permet de faire analyser un fichier à une trentaine d’antivirus).
- Téléchargez Process Explorer sur votre Bureau. Pour vous assister, suivre le tutoriel Process Explorer.
- Sur l’icône de Process Explorer, faites un clic droit puis
« Propriétés. » Cliquez ensuite sur le bouton « Avancé » en bas à droite
puis cochez l’option qui lance le programme en tant qu’Administrateur.
Cette action est obligatoire afin de pouvoir lister et accéder à
l’ensemble des processus.
- Sur Process Explorer, cliquez sur le menu « Option », « VirusTotal.com » et « Check VirusTotal.com »
- Les conditions d’utilisation du service VirusTotal vont s’ouvrir.
- Cliquez sur « Yes » sur Process Explorer pour les accepter.
- Ci-dessous, un exemple d’une capture d’écran de Process Explorer.
- La détection est de 0 sur tous les processus, la machine n’est pas infectée
- En cliquant sur le score de détection, vous avez l’analyse sur votre navigateur.
Ci-dessous, un exemple d’une infection d’
adwares (
Abengine / Shopperz)
Rapidement, on voit les processus malicieux affichés.
Les détections sont nombreuses, Windows est donc infecté
« WinScp » est à 2 de détection alors qu’il n’est pas malicieux.
Un probable faux-positif, c’est comme ça, tout n’est pas simple.
La limitation de cette vérification sont les infections de type fichier DLL qui s’injecte dans un processus système.
Le Trojan Bedep fonctionne de cette manière.
Le fichier DLL ne sera pas analysée puisque ce n’est pas un processus apparant.
Autorun
Autorun qui est un
logiciel qui permet de vérifier les points de chargement de Windows,
c’est à dire les emplacements systèmes qui permettent à un logiciel de
se lancer au démarrage de Windows.
Les logiciels malveillants se servent de ces points de chargement pour rester résident et se charger au démarrage de Windows pour se rendre actif.
Autoruns énumèrent tous les points de chargements et programmes.
Le but est d’y déceler des programmes malicieux. Autorun permet aussi de soumettre les éléments sur
VirusTotal.
Pour aider, il existe un tuto sur le site, ce dernier explique comment activer l’analyse VirusTotal :
Tutoriel Autoruns
Ci-dessous, un exemple d’élément malicieux détecté dans Autoruns, les scans VirusTotal sont en rouges.
FRST
FRST est un programme qui analyse l’ordinateur, énumère tous les points de chargement et les processus en cours d’exécution.
C’est donc un programme idéal pour vérifier son ordinateur.
Pjjoint est un service gratuit d’analyse de rapport
HijackThis et
FRST.
Ce dernier peut vous indiquer si des éléments malicieux sont présents sur votre Windows.
- Lancez un scan FRST par exemple afin d’obtenir le rapport FRST.txt
- Une fois le rapport FRST.txt obtenu
- Rendez-vous sur http://pjjoint.malekal.com
- Cliquez sur le bouton Parcourir et sélectionnez le fichier FRST.txt
- puis cliquez sur Envoyer
Lancez l’analyse du rapport, cela peut prendre quelques minutes.
Voici un exemple de rapport propre, aucune ligne rouge.
Windows infecté par
Abengine / Shopperz, on retrouve des lignes rouges un peu partout.
En vidéo :
Vérifier les connexions réseaux
Les trojans communiquent avec des serveurs et émettent des connexions sortantes.
Glasswire est une application très pratique pour traquer les connexions.
Vous pouvez aussi lire ce tuto :
Lister les connexions réseau sur Windows
Le site propose un tutoriel :
Tutoriel Glasswire
Le moniteur de ressources système de Windows permet aussi de visualiser les connexions par
processus Windows.
Là aussi quelques limites, si le Trojan est sophistiqué et utilise un
processus système, vous risquez d’avoir des difficultés pour faire le
tri entre les connexions légitimes et malveillantes.
De plus, vous n’aurez pas le détail sur les connexion d’application
(notamment les connexions HTTP), vous ne verrez que les adresses IPs
sortantes et les ports.
Plus d’informations de côté là :
La notion de port ouvert et la sécurité
En vidéo
illustration de ce tuto en vidéo, avec un trojan actif :
Côté désinfection :