Est-ce que Windows est infecté par un virus, logiciels malveillants ou trojan ?
Ce dossier donne quelques explications sur les éléments à vérifier et bonnes attitudes à avoir face à ces menaces informatiques.
Table des matières [masquer]
Hack et virus
Avant de commencer, il faut bien comprendre de quoi on parle.Hacker ou pirater signifie généralement dans la tête des internautes : des virus.
Le botmaster cherche alors à monétiser ce dernier, par le vol de données (mot de passe/accès, adresse email, vol de données bancaires), en louant son réseau pour effectuer des attaques DoS ou encore en chargeant des ransomwares ou adwares.
Ici donc le but est de garder un accès frauduleux permanent sur l’ordinateur afin de contrôler ce dernier.
Mais un piratage peut être un accès temporaire, quelques minutes ou autres afin de parvenir au but final (voler tel ou tel information).
Ainsi, un trojan peut se lancer, voler des informations et les transmettre à un serveur et se fermer.
Par exemple, il peut tenter de voler des comptes en ligne (Compte Google, Compte Microsoft), les mots de passe étant enregistrés dans le navigateur WEB.
Le trojan ne tente pas de rester en permanence et au démarrage de Windows.
Ainsi, si aucune alerte antivirus n’est émise, l’attaque est invisible.
Sachez d’autre part, que l’utilisation d’un virus n’est pas forcément obligatoire.
Une personne peut faire installer un logiciel de prise en main à distance légitime mais utilisé à des fins d’espionnage pour « pirater » l’ordinateur.
Parmi les logiciel malveillant les plus utilisés pour le piratage, vous pouvez lire les dossiers : les keylogger et Trojan RAT.
Détection de virus
Une des mauvaises habitudes, lorsqu’un internaute pense que son ordinateur est infecté et de scanner ce dernier avec toute sorte d’utilitaire : ZHPDiag, ZHPCleaner, RogueKiller, AdwCleaner etc.Ces outils de désinfection vont très certainement « détectés » des éléments… vous allez alors penser que votre ordinateur est infecté.
Ce n’est pas forcément le cas.
Il faut bien comprendre qu’il y a des infections actives, c’est à dire que le programme malveillant se charge et effectue les actions malveillantes pour lequel il a été conçu et des détections d’éléments orphelines comme un fichier isolé, une clé du registre Windows inutilisée etc.
Parfois même il peut s’agir d’un dossier vide… ces outils confortent l’internaute dans l’idée que son ordinateur est infecté, ce dernier va multiplier le nettoyage avec des outils, qui au final, peuvent endommager Windows.
Ce n’est pas parce qu’un élément est détecté que l’ordinateur est forcément infecté.
Pour mieux comprendre, vous pouvez lire le dossier : AdwCleaner, RogueKiller, ZHPCleaner : mauvaises habitudesPour toute aide pour interpréter un rapport, rendez-vous sur le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack).
Comment voir si j’ai été hacké?
Deux approches possibles.- Effectuer des analyses antivirus.
- Surveiller Windows mais cela demande quelques connaissances.
Analyses antivirus
Cette approche ne sera pas trop détaillé, il s’agit d’une indication générique que l’on retrouve sur la plupart des tutos de vérification de virus.Des scans antivirus.
- Scanner votre ordinateur avec un antivirus en ligne avec NOD32 ou BitDefender en plus de votre antivirus installé peut donner une indication.
- Un scan Malwarebytes Anti-Malware (MBAM)
Il existe toutefois des programmes assez pratique qui permettent d’effectuer quelques analyses.
La limitation sera la capacité à l’antivirus de détecter la menace, si sophistiqué, il peut passer à côté.
L’autre limite est votre connaissance et comment vous allez interpréter le rapport de scan antivirus.
Là aussi des éléments isolés peuvent être détectés… cela ne veut pas forcément signifier que Windows est infecté.
Pour toute aide pour interpréter un rapport, rendez-vous sur le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack).
Surveiller Windows
La surveillance de Windows consiste à vérifier les processus Windows en cours d’exécution pour faire le tri entre des programmes légitimes et malicieux.La vérification des points de chargement de Windows permet aussi de s’assurer qu’aucun virus tentent de se charger au démarrage de Windows.
Vous serez limité par vos connaissances systèmes. Vous pouvez lire en parallèle les conseils de la page : Les processus systèmes de Windows
Process Explorer
Process Explorer est un gestionnaire de tâches avancé qui permet de surveiller les processus en cours d’exécution.Process Explorer offre surtout la possibilité de faire analyser ses processus en cours d’exécution sur VirusTotal.com (un site qui permet de faire analyser un fichier à une trentaine d’antivirus).
- Téléchargez Process Explorer sur votre Bureau. Pour vous assister, suivre le tutoriel Process Explorer.
- Sur l’icône de Process Explorer, faites un clic droit puis « Propriétés. » Cliquez ensuite sur le bouton « Avancé » en bas à droite puis cochez l’option qui lance le programme en tant qu’Administrateur. Cette action est obligatoire afin de pouvoir lister et accéder à l’ensemble des processus.
- Sur Process Explorer, cliquez sur le menu « Option », « VirusTotal.com » et « Check VirusTotal.com »
- Les conditions d’utilisation du service VirusTotal vont s’ouvrir.
- Cliquez sur « Yes » sur Process Explorer pour les accepter.
- Ci-dessous, un exemple d’une capture d’écran de Process Explorer.
- La détection est de 0 sur tous les processus, la machine n’est pas infectée
- En cliquant sur le score de détection, vous avez l’analyse sur votre navigateur.
A
Rapidement, on voit les processus malicieux affichés.
Les détections sont nombreuses, Windows est donc infecté
« WinScp » est à 2 de détection alors qu’il n’est pas malicieux.
Un probable faux-positif, c’est comme ça, tout n’est pas simple.
La limitation de cette vérification sont les infections de type fichier DLL qui s’injecte dans un processus système.
Le Trojan Bedep fonctionne de cette manière.
Le fichier DLL ne sera pas analysée puisque ce n’est pas un processus apparant.
Autorun
Autorun qui est un logiciel qui permet de vérifier les points de chargement de Windows, c’est à dire les emplacements systèmes qui permettent à un logiciel de se lancer au démarrage de Windows.Les logiciels malveillants se servent de ces points de chargement pour rester résident et se charger au démarrage de Windows pour se rendre actif.
Autoruns énumèrent tous les points de chargements et programmes.
Le but est d’y déceler des programmes malicieux. Autorun permet aussi de soumettre les éléments sur VirusTotal.
Pour aider, il existe un tuto sur le site, ce dernier explique comment activer l’analyse VirusTotal : Tutoriel Autoruns
Ci-dessous, un exemple d’élément malicieux détecté dans Autoruns, les scans VirusTotal sont en rouges.
FRST
FRST est un programme qui analyse l’ordinateur, énumère tous les points de chargement et les processus en cours d’exécution.C’est donc un programme idéal pour vérifier son ordinateur.
Pjjoint est un service gratuit d’analyse de rapport HijackThis et FRST.
Ce dernier peut vous indiquer si des éléments malicieux sont présents sur votre Windows.
- Lancez un scan FRST par exemple afin d’obtenir le rapport FRST.txt
- Une fois le rapport FRST.txt obtenu
- Rendez-vous sur http://pjjoint.malekal.com
- Cliquez sur le bouton Parcourir et sélectionnez le fichier FRST.txt
- puis cliquez sur Envoyer
Voici un exemple de rapport propre, aucune ligne rouge.
Windows infecté par Abengine / Shopperz, on retrouve des lignes rouges un peu partout.
En vidéo :
Vérifier les connexions réseaux
Les trojans communiquent avec des serveurs et émettent des connexions sortantes.Glasswire est une application très pratique pour traquer les connexions.
Vous pouvez aussi lire ce tuto : Lister les connexions réseau sur Windows
Le site propose un tutoriel : Tutoriel Glasswire
Le moniteur de ressources système de Windows permet aussi de visualiser les connexions par processus Windows.
Là aussi quelques limites, si le Trojan est sophistiqué et utilise un processus système, vous risquez d’avoir des difficultés pour faire le tri entre les connexions légitimes et malveillantes.
De plus, vous n’aurez pas le détail sur les connexion d’application (notamment les connexions HTTP), vous ne verrez que les adresses IPs sortantes et les ports.
Plus d’informations de côté là : La notion de port ouvert et la sécurité