Powered By Blogger

Rechercher sur ce blogue

samedi 29 avril 2017

Les règles d’or de la sécurité dans le cloud




Sécurité : À l’heure de migrer vos données vers le cloud, examinez avec attention l’environnement proposé par votre fournisseur. Pour éviter les mauvaises surprises, quelques bonnes pratiques de sécurité doivent immanquablement figurer dans le cahier des charges.


Le cloud a pendant longtemps été perçu comme un risque pour les données. Après des années de maturation, et poussés par une demande accrue du marché, les principaux CSP (Cloud Service Provider) ont donc bâti des plateformes plus solides que ce que la plupart des entreprises peuvent se targuer de posséder en interne. Malgré tout, face à la multitude de solutions disponibles, les responsables IT peinent parfois à identifier le partenaire le plus à même d’héberger leurs données en toute sécurité. Pour y voir plus clair, voici 5 règles d’or que tout bon prestataire se doit de respecter.

Règle n°1 : centralisation

Après l’âge d’or du mainframe, l’informatique s’est tournée vers un modèle essentiellement distribué et décentralisé. Une transformation qui a permis aux utilisateurs de gagner en productivité mais qui a généré de véritables défis en termes de sécurité. Il suffit pour s’en convaincre de considérer le nombre de DSI qui bataillent quotidiennement pour sécuriser l’utilisation des appareils mobiles ou limiter le shadow IT. Une plateforme de gestion de contenus dans le cloud, comme celle que peut proposer Box, permet de recentraliser l’information, de façon à mieux la contrôler et à réduire au maximum la surface d’attaque à protéger. Tout l’arsenal de défense contre les intrusions (DLP, SIEM, chiffrement…) peut être concentré sur ce périmètre. Les utilisateurs et terminaux accédant à la plateforme peuvent également être facilement authentifiés et l’utilisation des données maîtrisée grâce à l’importante granularité des autorisations.

Règle n°2 : confidentialité

Si l’accès non autorisé aux données de l’entreprise doit évidemment être parfaitement verrouillé, l’utilisation des informations par le fournisseur doit lui aussi être strictement encadré. Pour assurer le bon fonctionnement de la solution, celui-ci doit accéder à certaines informations, qu’il s’agisse de renseignements fournis par le client pour la création de comptes ou à des fins de communication par exemple, comme d’informations collectées automatiquement pour surveiller l’état du service. La collecte, l’utilisation, le stockage ou encore le transfert à des tiers de ces informations ne peut se faire qu’en toute transparence vis-à-vis de l’utilisateur et avec son consentement. Pour s’en assurer, un examen attentif de la politique de confidentialité et des BCR (Binding Corporate Rules) permettent de vérifier le caractère « privacy by design » de l’offre.

Règle n°3 : conformité

Chaque entreprise évolue dans un environnement réglementaire qui lui est propre et qui associe des contraintes de différents niveaux : politique interne, règlementation sectorielle, légalisation nationale, droit international… Concrètement, une banque n’évolue pas dans le même cadre qu’un établissement de santé, qui lui-même diffèrera d’une université. C’est pourquoi il existe certains référentiels fondamentaux sur lesquels les entreprises, selon la nature des données qu’elles manipulent, peuvent s’appuyer pour vérifier la conformité d’un service cloud. Pour une société comme Box, qui vise à centraliser toute la gestion des contenus d’une entreprise, la certification PCI DSS garantit par exemple sa capacité à stocker des données de cartes bancaires, de même que la norme HIPAA démontre son aptitude à traiter des données de santé. Les normes ISO 27001 et ISO 27018 sont quant à elles des standards en matière de protection des données et des informations personnelles. Avant d’aller vers le cloud, les entreprises doivent donc s’assurer que le fournisseur dispose de certifications en adéquation avec leur activité mais aussi qu’il assure une veille continue sur les évolutions réglementaires. En mai 2018 entrera notamment en vigueur le nouveau Règlement Général sur la Protection des Données (RGPD/GDPR) de l’Union Européenne. Autant s’assurer dès maintenant que le service désiré en respectera les principes.

Règle n°4 : gouvernance

La sécurité des données dans le cloud passe par une gouvernance efficace et cohérente. La mise à disposition de données de n’importe où et à partir de n’importe quel device ne doit pas être synonyme de prise de contrôle anarchique sur le patrimoine informationnel de la société. Le fournisseur doit pouvoir donner à l’administrateur principal la capacité de réguler les droits d’accès, d’édition ou de suppression des documents, de déléguer certains pouvoirs, d’automatiser l’application de politiques de sécurité ou encore de journaliser les évènements. L’objectif pour le DSI est de conserver la main sur l’intégralité du cycle de vie d’un contenu, au moment de sa création (allocation d’espaces de stockage, localisation des données, etc.), lors de son utilisation (authentification des utilisateurs, intégration aux applications métier, etc.), et jusqu’à son retrait (planning de conservation, suppression automatique, etc.).

Règle n°5 : écosystème

L’imagination des pirates pour s’introduire dans un système d’information est sans limite. De nouvelles techniques font constamment leur apparition et obligent les fournisseurs à proposer des contre-mesures adaptées. Mais face à la diversité des risques, la combinaison de différentes solutions s’impose. Plus que des fonctionnalités de protection, c’est un véritable écosystème de sécurité que doit offrir une solution cloud, particulièrement lorsque celle-ci vise à permettre à tous les collaborateurs d’une entreprise de collaborer autour de fichiers parfois critiques pour le business. La plateforme Box peut ainsi renforcer sa sécurité en s’associant à un DLP comme celui de Symantec, en analysant ses logs via une solution SIEM comme Sumo Logic, Domo ou Splunk, ou encore en s’intégrant dans les outils de gestion de la mobilité comme AirWatch ou MobileIron. La solution cloud a beau être externalisée, elle est ainsi pleinement intégrée à la stratégie de sécurité globale de l’entreprise.
 
 
 
Source.:

Applications GPS Coyote, Waze... : la police veut rendre ses radars et contrôles invisibles ?



Coyote, Waze... : la police veut rendre ses radars et contrôles invisibles

 Réglementation : Si le ministère de l'Intérieur arrive à ses fins, l'attractivité des boîtiers et des applications GPS pourrait en prendre un coup et même leur être fatales.

 

 

Si les applications et les boîtiers GPS sont bien pratiques pour ses itinéraires en voiture, ils sont aujourd'hui également très utilisés pour anticiper les radars notamment mobiles déployés par les forces de l'ordre ou encore les contrôles routiers. Mais pour le ministère de l'Intérieur, cette fonction "constitue une difficulté supplémentaire (car les radars et les contrôles sont) signalés dans les quelques minutes qui suivent leur mise en place".
"Si le signalement des forces de l'ordre peut contribuer à faire baisser la vitesse, il a en revanche un impact très négatif en cas d'alcoolémie, de consommation de drogues, de recherche d'individus, notamment terroristes, criminels ou évadés de prison", poursuit le ministère qui entend donc limiter cette possibilité.
Ses services ont donc "entamé des travaux, associant notamment les principaux fabricants de ces applications, afin de mettre en place un système qui permette de rendre invisibles les forces de l'ordre, à leur demande, lors de certains contrôles sensibles". Il s'agirait donc de ne pas interdire cette fonction mais de la limiter en fonction des demandes des autorités.
Mais un projet de décret a également été transmis à la Commission européenne et il semble aller plus loin puisque il prévoit "l'interdiction de diffuser par l’intermédiaire des services électroniques d’aide à la conduite ou à la navigation tout message de nature à signaler les opérations de police dans certains périmètres".
Si le ministère de l'Intérieur arrive à ses fins, l'attractivité des boîtiers type Tom Tom et des applications dédiées type Waze ou Coyote pourrait en prendre un coup."C'est la mort certaine de ces applications communautaires que le gouvernement vient de signer", assure la Ligue de défense des conducteurs, citée par les Echos. Selon elle, les applis et les réseaux sociaux seront "dans l'impossibilité de connaître les périmètres définis en question" et donc se verront "dans l'obligation de cesser purement et simplement tout signalement".

TEST de Watch Dogs 2 : Le roi du hacking ? (MàJ)


Après un premier épisode qui avait laissé les joueurs sur leur faim, Watch Dogs 2 arrive avec la promesse d'un univers plus dense, un gameplay plus riche et surtout une liberté accrue. Marcus Holloway remplace Aiden Pearce dans cette nouvelle expérience sous le signe de la technologie, qui propose un ton résolument plus léger mais aussi pas mal de nouveautés. Déverrouillage de la clef de sécurité... scan... Voici mon avis sur ce deuxième épisode tant attendu !
Watch Dogs 2 dispose d'une mise à jour de compatibilité PS4 Pro. Retrouvez ci-dessous les spécificités du jeu lorsqu'il tourne sur ce support.

J'ai un écran 4K :
  • Résolution : 1800p upscalé en 3840 x 2160p
  • Framerate : 30 images/seconde
  • Support HDR : Non

J'ai un écran 1080p :
  • Résolution : 1080p
  • Framerate : 30 images/seconde

Notre avis : Déjà très beau sur PS4 standard, Watch Dogs 2 est plus propre sur PS4 Pro. Il n'affiche aucun aliasing mais n'utilise pas le HDR. À noter que l'affichage proposé est du 1800p upscalé en 4K (via checkerboard) et non de la 4K native. On remarquera néanmoins quelques baisses de frame rate avec un 30 images/seconde inconstant. À noter que ces problèmes de stabilité sont moins présents sur PS4 standard, hormis dans quelques lieux précis.

Marcus Holloway est le roi du hack. Forcément, on n'a pas pris le plus mauvais. Notre histoire avec lui débute alors qu'il tente de s'infiltrer dans les locaux du système ctOS de San Francisco, toujours plus puissant puisque qu'il contrôle désormais tous le pays s'immisçant dans la vie de chacun, capturant des données et des informations privées... Au delà du fait que le sujet nous parle forcément, à une époque où nous sommes tous connectés, il y a un problème plus épineux pour notre héros des temps modernes (technologiques) : Blume, la société à l'origine du programme CtOS 2.0, veut faire porter le chapeau à Marcus concernant des actes criminels qu'il n'a pas commis. Alors qu'il quitte les lieux après avoir effectué quelques bidouillages, il se fait alpaguer par un homme. Celui-ci fait partie d'un groupe de hackers à la recherche d'un idéal tout autre que la réalité dans laquelle nous vivons : DedSec. Evidemment, ça parle à notre hacker fan de hip-hop, qui va rejoindre l'organisation dans l'idée de faire tomber Blume...


Une juste cause

Si l'on pouvait reprocher à Aiden Pearce de manquer de charisme, de mon point de vue, il est assez difficile d'en dire autant de notre nouveau protagoniste. Bien sûr il est jeune, il est un peu fou et surtout il parle mal, mais au fur et à mesure que l'histoire s'écrit, manette en main, je le trouve de plus en plus attachant. Tout comme ses copains un peu dingues que je prenais simplement pour des punks un peu écervelés, avec un peu trop de piercing sur le nez et les oreilles. Que ce soit Wrench, le bidouilleur de la bande, Sitara, artiste dans l'âme, ou encore Joshua, au verbe rare, tous ces gamins épris de liberté et de justice ont quelque chose à raconter. Mieux, ils ont quelque chose de nous. Des dialogues bien écrits dans lesquels l'humour est omniprésents offrent cette densité à ces drôles de personnalités tournant autour de Marcus, qui semble être le seul vraiment capable de mettre leur projet à exécution.
Si le but du jeu est d'arrêter Blume, cela passe surtout par de la propagande. Le principe est simple : il s'agit de faire gagner des followers à DedSec pour faire grimper sa cote de popularité et donner de la puissance à sa voix, dans le but d'ouvrir les yeux des gens sur l'espèce de toile d'araignée gigantesque que Blume est en train de tisser autour d'eux, dans le but de les utiliser à des fins abjectes. Fraudes diverses et variées, espionnage, manipulation, sans parler des autres groupes de hackers qui vont se mettre sur son chemin, DedSec a du pain sur la planche et Marcus est le chef d'orchestre de ce grand spectacle technologique. Cet angle parait peut-être classique, mais j'avoue que lutter contre ce système intrusif pour le mettre à plat m'a réellement séduite, d'autant que le terrain de jeu et les outils proposés pour le faire sont bien plus plaisants que dans Watch Dogs premier du nom.
Et puis la cause est juste : on se sent assez vite concerné par le problème, celui-ci envoyant comme un étrange reflet de notre réalité. Même si le ton est résolument plus léger que celui de son aîné, ce deuxième opus offre un scénario avec du fond, bien raconté, surfant sur quelques références à des affaires existantes. On peut d'ailleurs croiser quelques têtes connues comme celle de Martin Shkreli, qui est l'acteur principal d'une séquence assez amusante...


Hack comme tu veux

Soyons honnêtes : le système de piratage de ce deuxième opus a été clairement affiné, notamment avec l'utilisation du "Jumper" et du "Quadricoptère". Ce dernier pourra être acheté à votre Q.G (via une imprimante 3D) et croyez-moi, si vous souhaitez vous le procurer, il va falloir bosser dur, mais nous y reviendrons plus bas. Quoi qu'il en soit, le système se décline en quatre choix par piratage, ces choix n'étant pas toujours les mêmes selon la cible. Lorsqu'il croise des civils, Marcus a en effet plusieurs options : il peut les distraire en faisant sonner leur téléphone, lire leurs textos, prendre leur argent ou empêcher les appels aux urgences et les demandes de renforts. Plus subtil, il est possible d'attribuer une cible à un gang ou encore d'envoyer un gang ou même la police sur celle-ci. À noter que mis à part les hacks de base, toutes les options citées précédemment peuvent se débloquer au fil de votre progression grâce aux Points de recherche alimentant l'arbre de compétences.
Celui-ci propose d'améliorer les aptitudes de Marcus dans 7 aspects : Adresse au tir, Contrôle à Distance, Piratage de véhicules, Relationnel, Perturbation, Bricolage et enfin Botnets. Cette dernière section vous permet d'améliorer votre capacité de piratage, étant donné que les Botnets sont les ressources dont vous avez besoin pour hacker. Notez que ces dernières peuvent être récupérées sur les civils, mais leur jauge se rechargera automatiquement.
Ainsi, de nombreuses possibilités sont offertes, des plus classiques aux nouvelles : assommer les gens, utiliser des robots pour créer une diversion, causer un plantage de masse ou encore utiliser le piratage de véhicule... C'est une grande nouveauté de cet épisode, et elle apporte un peu de piment dans les choix. En effet, notre héros peut piloter des voitures à distance (plusieurs à la fois si vous débloquez la capacité adéquate), toujours avec quatre options (avancer, reculer, tourner à droite ou à gauche). Cet ajout est intéressant dans le cas de courses poursuites, durant lesquelles je me suis bien amusée en prenant le contrôle des voitures de police qui me poursuivaient... Créer un accident pour détourner l'attention ou écraser un ennemi font partie de mes options préférées dans la palette de choix offerte par cette nouveauté. Il est également possible de pirater des hélicos pour les faire battre en retraite, mais aussi de sur-alimenter votre véhicule pour lui donner de la vitesse.
À ce propos, point important, la conduite a été grandement améliorée sur cet épisode, et on se rapproche totalement d'une maniabilité à la GTA, très agréable à prendre en mains. Un bon point une fois de plus !
Bien sûr, feux de signalisation et autres systèmes électriques sont à la disposition du hacker, partout dans la ville, et il ne faut pas oublier que celle-ci offre un terrain de jeu deux fois plus grand que celui de Chicago. Il y a donc de quoi faire, croyez-moi. Pas une seule fois je ne me suis ennuyée, bien au contraire !


Jumper & Cie

Mais revenons à notre système de piratage. Evidemment, les mécaniques de jeu du premier épisode sont toujours de la partie : à chaque mission, il faudra s'infiltrer dans le système de surveillance et passer de caméra en caméra pour inspecter les lieux et désactiver des clefs de sécurité pour ouvrir des portes. Si ces actions peuvent paraître trop génériques, à mon sens elles font l'ADN du jeu. De plus, les missions proposent des objectifs et des lieux variés, ce qui permet de ne pas avoir la désagréable impression (comme c'était peut-être le cas dans le premier volet) de faire toujours la même chose. Et puis comme je le soulignais plus haut, les nouveaux joujoux technologiques de Marcus ajoutent du piment à la recette... Me voici à devoir entrer dans une villa sous haute surveillance, ce qui me permet de rebondir sur un des défauts du titre d'Ubisoft avant de décrire la scène : le déséquilibre de la difficulté.
L'IA des ennemis est parfois carrément aux fraises, lorsque je fais exploser le téléphone d'un agent de police et que ses collègues ne réagissent pas vraiment par exemple, ou souvent trop corsée, quand je veux pénétrer dans un lieu surveillé et qu'on m'attaque sans hésitation en me tirant dessus alors que je n'ai même pas sorti mon arme... Je disais que San Francisco était chaleureuse ? Si vous tentez de pirater toute la ville, elle le sera certes un peu moins... De plus, deux balles suffiront à vous dégommer, il vaut donc mieux la jouer discrétos. D'ailleurs, si vous êtes de ceux qui préfèrent y aller bien bourrin, à coup de Thunderball (l'arme fétiche de Marcus) ou au fusil a pompe, je vous souhaite bien du courage. Très clairement, le jeu est pensé pour faire de l'infiltration. Même si l'on retrouve un système de combat amélioré avec cette fameuse Thunderball qui dynamise les rencontres, le gunfigh reste moins efficace que les autres méthodes plus fines. D'ailleurs, Marcus peut se servir de son Nethack, une sorte de sixième sens qui permet de scanner les lieux et marquer les ennemis ainsi que les points clef, histoire d'avancer dans la joie et la prudence. Une nouveauté pratique étoffant encore un peu le gameplay de Watch Dogs 2. Mais revenons à ma villa sous haute surveillance...
Ici, je décide d'utiliser mon Jumper, histoire de rester à l'abri tandis qu'il règle quelques soucis techniques. Je pirate une petite grille d'aération dans un coin de la maison et passe en vue subjective (notez que trois vues sont disponibles lorsqu'on utilise le Jumper) avec ma petite voiturette. Cette dernière a les mêmes aptitudes que Marcus, à de rares exceptions près, lorsque celui-ci est dans l'obligation de pirater manuellement. Elle peut même être améliorée avec un haut-parleur interne, afin de provoquer les ennemis notamment. Je m'approche donc du boitier pare-feu avec elle, le désactive et ouvre les portes pour que Marcus puisse pénétrer à l'intérieur. Trop de monde autour du point d'intérêt cependant, je continue donc mon oeuvre via le Jumper. Je dois maintenant résoudre un de ces puzzles circuits qui ont fait le succès du premier épisode. Il s'agit de remettre le système électrique en marche en faisant correspondre les jonctions. Il faut souligner que ces puzzles ont été brillamment affinés, puisqu'ils font désormais partie des décors et s'étendent parfois sur l'intégralité d'un lieu, ce qui corse délicieusement la difficulté. Bref, j'y suis presque, mais un garde arrive soudain... Toujours via le Jumper, je fais sonner son téléphone le temps de terminer. Ça marche. Je peux reprendre la main avec Marcus et désactiver le dernier système afin de descendre dans un sous-sol très particulier...
Ces séquences avec le Jumper et/ou le Quadricoptère apportent réellement quelque chose à l'expérience, la rendant plus stratégique, plus subtile. Et si vous pensez qu'elle facilite trop la tâche, détrompez-vous ! En effet, j'ai pu constater par exemple que si les deux gadgets étaient trop éloignés de Marcus, la transmission de données ne fonctionnait plus. À de nombreuses reprises, j'ai donc dû me rapprocher de l'objet pour continuer le transfert. Eh oui, c'est pas la teuf !
Enfin, si vous souhaitez utiliser le drone, grand bien vous fasse, il est en effet très utile, mais comme écrit plus haut, son coût est très élevé et il va falloir bosser pour l'acheter. Pour gagner de l'argent rapidement, je vous conseille de faire un maximum d'activités (les courses sont un bon moyen de gagner de l'argent), d'avancer dans les missions bien sûr, mais aussi de ramasser des sacs d'argent disséminés un peu partout sur la carte, ou d'aller faire un tour chez le préteur sur gage qui arrondira les fins de missions difficiles en rachetant les objets de valeur. Pirater les comptes en banque des PNJ reste une option confortable, puisqu'elle peut se pratiquer en se baladant tranquillement dans la ville et vous vous rendrez compte que ça peut très vite rapporter, surtout si vous utilisez la capacité "Profiler amélioré", permettant de localiser les habitants qui gagnent bien leur vie.


If you're going to San Francisco

Si les Hackerspace disséminés ça et là dans San Francisco permettent de discuter avec de nombreux hackers et de s'alimenter en matos, c'est dans les rues de la célèbre ville que ça se passe... et le décor est splendide ! Malgré un aliasing tenace (qui disparaît miraculeusement sur PS4 Pro), le rendu global est de qualité, offrant un San Francisco magique, beaucoup plus chaleureux que Chicago, que ce soit en termes d'ambiance ou de couleurs. Ceux qui connaissent bien la ville surnommée "The City By Bay" reconnaîtront d'ailleurs de nombreux lieux célèbres comme le Golden Gate, Alcatraz et son île ou encore le Fisherman's Wharf, tous fidèlement modélisés. Quel bonheur d'arpenter les rues colorées de la ville, bien plus vivante que celle du premier opus (même si on n'est pas encore au niveau de l'effervescence de Los Santos), de visiter les locaux de "Nuddle" (ou Google si vous préférez) dans la Silicon Valley, ou de se payer une balade en voilier histoire d'admirer le coucher de soleil dans la baie de SF. Il faut dire que les jeux de lumière offrent des tableaux subtils, notamment à la tombée du jour, tandis que la nuit habille la ville de mille scintillements rendant la promenade magique.
Si vous avez l'âme d'un touriste, je conseille notamment l'activité ScoutX qui, en plus de vous faire gagner des followers, vous obligera à faire le tour de la ville pour prendre les plus belles photos de tous les monuments dignes d'intérêt. L'activité Driver SF n'est pas mal non plus, puisqu'elle consiste à jouer au taxi, ce qui permet également de visiter San Francisco en bonne et due forme.


Du multi dans le solo

Enfin, Watch Dogs 2 permet de jouer à plusieurs en toute transparence. En effet le multijoueur est totalement intégré à la campagne et vous croiserez de nombreux joueurs durant vos parties. Ces derniers pourront vous accompagner dans de nombreuses opérations annexes sans aucun temps de chargement. Les missions en coop (marquées en violet sur la carte) peuvent êtres jouées en solo bien sûr, mais à deux vous aurez une bonne dose de fun en plus.
J'ai notamment pu participer à une mission dans laquelle il fallait s'infiltrer dans une sorte de planque pour détruire des caisses. N'ayant pas encore assez d'argent pour m'offrir le fameux Quadricoptère, je fus heureuse de constater que mon partenaire possédait déjà le drone, très utile à ce moment précis pour scanner la zone et agir ensuite en bonne intelligence...
Côté PvP, si le mode Invasion par Piratage est très sympa, c'est le mode Chasseur de Primes qui m'aura le plus séduite. Celui-ci  propose de chasser une cible ou d'être la cible. Dans ce dernier cas, lorsque vous y jouez avec un ami, celui-ci aura la lourde tâche de vous protéger. En effet, en plus d'autres joueurs, la Police sera également à vos trousses et cette fuite à deux peut devenir extrêmement amusante. Et comme on peut hacker tout un tas d'élément au passage, cela dynamise grandement l'ensemble.
En bref, entre les opérations ponctuelles DedSec et les activités citées plus haut, il y a de quoi s'amuser joyeusement pendant des heures. Cette expérience multijoueur s'avère efficace et fun à souhait.

Source.:

lundi 3 avril 2017

La liste des familles de trojan



Index des menaces et programmes malveillants/Malwares



    Message par Malekal_morte » 31 janv. 2009 19:32
    Voici une liste des différents catégories de malwares et virus et détections des menaces des antivirus.
    Le but de cette page étant de vous aider à mieux comprendre les types de menaces qui existent et de mieux comprendre à quoi vous avez à faire lors d'une éventuelle détection par votre antivirus.

    A lire aussi : Un dossier plus récent est présent sur la page : Les botnets : réseau de machines infectées.

    En espérant que cette page vous aidera à y voir plus clair lors d'une détection éventuelle par votre antivirus ou lors de l'utilisation de VirusTotal

    Notez que les termes Trojans et Virus désignent n'importe quelle menace, même si à la base, les virus sont censés être une type d'infection se propageant en infectant les exécutables.
    Même chose, à la base, les trojans sont censés être des infections qui sont contenus dans des fichiers se faisant passer pour être légitime.

    Pour le pourquoi des infections, se reporter à la page : Business malwares : le Pourquoi des infections informatique.

    Catégorie de menaces

    Adware : Logiciel publicitaire qui ouvre des publicités, le plus souvent sous forme de popups. Des adwares peuvent être installés par des programmes dits gratuits pour rémunérer les auteurs.
    Malheureusement, très souvent, certains éditeurs ont tendance à abuser. Des programmes gratuits développés assez vite ou des programmes libres sont repris pour ajouter des adwares. La partie programme gratuit est souvent un prétexte pour refiler des adwares.
    Se reporter au dossier Programmes parasites / PUPs / LPIs et Adwares
    et aussi Prévention : Logiciels et sources de téléchargements

    Backdoor (ou porte dérobée) : Malware permettant le contrôle à distance d'un PC par un pirate. Un réseau de PC infectés est un botnet.
    Il existe ensuite des sous familles Backdoor.SDBot / Backdoor.IRC
    Se reporter à PC Zombi

    Stealer et Trojan Banker : Trojan de catégorie Stealer qui comme son nom l'indique a pour but de dérober des informations.
    Les trojans peuvent être déclinés en Trojan-PWS dans le cas où le but est simplement de voler des mots de passe.
    Les moyens pour se faire peuvent être divers (sniffer le réseau ou capacité de keylogger ou injecter des pages dans le cas de sites de banques [le nom peut-être alors être Trojan-Banker, etc).

    Les plus répandus sont :
    Famille plus ancienne :
    .

    Trojan (ou Cheval de Troie): Malware conçu pour effectuer divers tâches à l'insu de l'utilisateur. Cela peut aller d'installer d'autres malwares, à désactiver certains logiciels de protections (antivirus, pare-feu etc), envoyer des mails de SPAM ou bien d'autres fonctionnalités.
    De nos jours, le terme a tendance à désigner n'importe quelle menace.

    Keylogger : Malware enregistrant les frappes claviers afin de dérober des mots de passe ou autres informations suceptibles d'être reccueillies par un pirate pour les revendre (adresse email, CB etc), obtenir un accès sur un serveur etc.

    Spyware : Malware conçu pour dérober/collecter des informations/données. Un spyware peut avoir des fonctionnalités de keylogger.

    Ransomware : Malware qui a pour but d’empêcher l'accès aux documents à l'utilisateur du PC (en général en encryptant les documents), une somme est en suite demander à l'utilisateur pour lui donner à nouveau accès à ses documents.
    Exemple d'un ransomware qui chiffre les documents et demande une rançon pour débloquer : https://www.malekal.com/tag/ransomware/
    Dernièrement, on trouve aussi les ransomware de type Police : Ransomware Winlock (Fake Police / Virus Gendarmerie)
    puis les crypto-ransomwares : ransomwares chiffreurs de fichiers

    RiskTool/HackTool : Outils qui peuvent être utilisés par des pirates pour infecter ou accéder à l'ordinateur.
    Le "peuvent" est important, un RistkTool en français outils à risque n'est pas forcément néfaste tout dépend de l'utilisation que l'on en fait.
    Par exemple un RiskTool peut être un programme qui permet de redémarrer l'ordinateur ou arreter un processus tiers. Un pirate peut utiliser ce programme pour arreter le processus d'un antivirus mais le programme peut aussi être utilisé pour arreter un processus néfaste dans le cas d'un fix.
    Lors d'une détection d'un RiskTool, c'est à l'utilisateur d'évaluer si ce dernier est néfaste ou pas.

    PUP (Potentially Unwanted Programs) / LPI (Logiciels Potentiellement Indésirables) :
    Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installé par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barre d’outils qui sont bundles avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voir pour certains ouvrir des popups de publicités pour rémunérer l’éditeur.
    Malwarebytes détectent ces derniers en PUP.Optional.
    Plus d'informations : Programmes parasites / PUPs / LPIs et Adwares

    Les malwares dit "fileless" c'est à dire qui n'installent pas de fichiers sur le disque regroupe divers autres familles de malwares comme PoweLiks, Gootkit, Kovter etc, plus d'informations sur la page : Malware 'FileLess' : PoweLiks, Kovter, Gootkit

    Détections par type / nom générique

    Il existe des familles de malwares qui se propagent depuis plusieurs années.
    Lorsque votre antivirus détecte une menace, ils tendent d'indiquer la famille auquel la menace appartient.
    Mais ce n'est pas toujours le cas.
    Il existe des détections génériques, l'antivirus détecte un code relatif à un type de malware (spambot, stealer) ou à une famille de malware connu.
    Certains antivirus utilisent des . pour séparer les informations dans les détections, d'autres des /
    Parfois, il y a aucune indication quant à la famille.

    Une détection généric comporte souvent la notation .gen ou generic dans la détection ou une signature.

    Les différentes détections par signature ajoutées sont mentionnées par une suite de lettre ou des chiffres.
    Par exemple chez Kaspersky, c'est une suite de lettre à la fin Trojan-Downloader.Win32.Agent.bfyq, le prochain Trojan-Downloader.Win32.Agent ajouté sera donc .bfyr etc.
    Dr.Web lui utilise des chiffres BackDoor.IRC.Sdbot.4591
    Avira utilise aussi des suites de lettres mais par exemple dans le cas de SDBot, ce dernier utilise la taille de fichiers : DR/Sdbot.97792

    Comme mentionné plus haut, certains type de malwares peuvent être détectés sans pour autant que la famille soit indiquée.
    Par exemple, un malware peut se propager par MSN (IM-Worm) mais aussi par disques amovibles (Worm.Autorun), dans le cas d'un scan VirusTotal, on peux donc obtenir sur les antivirus des noms/types différents.

    Voici quelques types connus :
    Exploit.HTML - Bloodhound.Exploit.196 (Symantec) : Exploit en HTML, la pluspart du temps se trouve dans le cache internet. Sert donc de tremplin pour infecter un PC en exploitant une faille sur le système ou un logiciel tiers.
    Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés

    Exploit.PDF / Exploit.Win32.Pdf.G / EXP/PDF / Mal/PDFEx-X (Sophos) : Exploit sous la forme d'un PDF exploit une vulnérabilité sur editeur PDF (souvent celui d'Adobe Reader car le plus répandu).
    Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
    L'exploit peut être sous la forme d'un JS contenu dans le stream du PDF, dans ce cas l'exploit peut prendre le nom : Exploit.Win32.Pdfjsc.G / Exploit.PDF-JS.Gen

    Exploit.SWF : Exploit sous la forme d'un SWF (Flash) exploitant une vulnérabilité sur un player Flash (souvent celui d'Adobe car le plus répandu).
    Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.

    HTML.IFrame / Trojan.IFrame.HTML / HTML/Infected.WebPage.Gen : IFrame ou Javascript infection contenu sur une page WEB (HTML) infectieuse.
    L'iframe peut rediriger vers un exploit (donc Exploit.HTML) pour infecter l'ordinateur.
    Elle peut etre de la forme Trojan-Clicker.HTML bouclant sur des publicités/ouvrant de multiples popups de pubs, etc.
    Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés

    IM-Worm.xxx Vers se propage par messagerie instannée.

    Rootkit.Agent : Désigne un rootkit au sens large du terme. Notation chez Dr.Web : Trojan.NtRootKit.xxx

    SpamTool.Win32.xxxx / Trojan.Spambot / Email-Worm.Win32.xxx (Kaspersky) : Trojan qui a pour but d'envoyer des mails de SPAM. Exemple : Win32/SpamTool.Agent.NAJ SpamTool.Win32.Agent.n

    Sdbot / Rbot / Spybot : : Désigne un type de malware se propageant via des failles systèmes à distance RPC etc. (comme le faisait Blaster dans le temps).
    Un Sdbot / Rbot / Spybot peut aussi être une Backdoor.IRC puisque ce dernier peut se connecter à un réseau IRC afin que le PC puisse être contrôlé par le pirate.

    Trojan.Agent : Désigne un trojan au sens large du terme. Le trojan peut avoir divers buts. Exemple : TR/Agent.NWI.1 (Antivir),

    Trojan.BHO : Trojan installé en BHO sur le système.

    Trojan.BOT : Trojan qui permet de prendre le contrôle du PC en le faisant joindre un botnet. Le PC est alors transformé en PC en PC Zombi.
    Exemple :
    Il existe divers types comme SDBot/RBot, SpamBot, IRCBot etc.
    ou familles : Backdoor.Win32.VanBot.cg

    Trojan-Clicker : Trojan qui surfe à l'insu de l'utilisateur. Ce dernier peut faire des requetes sur des moteurs de recherches pour augmenter le ranking de certains sites.
    Surfer sur des sites pour augmenter les hits, revenus pubs etc.

    Trojan.Delf : Désigne un trojan en Delphi.

    Trojan.Dropper : Trojan droppant un malware sur le système. Exemple : Win32/TrojanDropper.Delf.NFK - Trojan Dropper écrit en Delphi.
    Si le dropper installe une famille de malware spécifique, le nom de la famille peut apparaître. Exemple : Trojan-Dropper.Win32.BeJoin.c

    Trojan.Downloader : Trojan qui télécharge d'autres malwares. Le Trojan.Downloader peut être décliné avec divers autres infos comme par exemple Trojan.Downloader.Small (Trojan Downloader de petite taille), Trojan-Downloader.JS : Trojan Downloader en JavaScript.

    FraudTool.Win32.RogueSecurity / Win32/RogueSecurity!generic / Trojan.FakeAV / Mal/FakeAV-AD /Trojan:Win32
    /Winwebsec :

    diverses détections pour les Rogues/Scarewares - ex avec Security Tool.

    Note dans le cas de Trojan:Win32/Winwebsec (Microsoft) cela peut désigner une sous famille de rogue. Winwebsec étant à la base le rogue Winweb Security qui a été décliné en plein d'autres familles, voir : https://forum.malekal.com/est-que-les-r ... -t589.html
    Ces familles étant mis en avant par des infections spécifiques et très présentes.

    Enfin Trojan-Downloader.Win32.FraudLoad - Désigne un Trojan qui télécharge un rogue - ex : advanced-virus-remover-t19613.html

    Trojan.Inject ou Trojan.Injector : Malware capable d'injecter des données dans des processus en mémoire. Par exemple, cela peut être utilisé pour manipuler svchost.exe afin de télécharger des codes malveillants.
    suivre le dossier : Injection de code (PE/DLL injection) et dropper

    Les Trojan.Injector en vidéo :


    Trojan.JS: Trojan au format JavaScript, ce dernier peut-être utilisé dans des campagnes d'emails malicieux ou via des Web Exploit. Dans ce dernier cas, on souvent la mention Trojan.JS.Redir.
    Voir : Trojan.JS
    et : Ransomware JavaScript et JS/TrojanDownloader.Nemucod : Ransomware
    Plus globalement : Scripts malicieux : JavaScript, VBS, PowerShell, Macros

    Les JavaScript utilisés en pièce jointe dans les campagnes d'emails malicieux peuvent être détectés par Microsoft TrojanDropper:JS/Swabfex
    TrojanDropper:JS/Nemucod
    TrojanDropper:JS/Zlader


    Image

    Trojan.MSIL : Trojans écrits en langage Microsoft intermediate language (MSIL).
    Souvent ce sont des Trojan de type RATs (Remote Access Tools).
    Voir :Trojan MSIL.

    Trojan.OnlineGames ou W32/OnlineGames ou Trojan.PSWLineage ou Trojan-GameThief : Désigne une catégorie de trojans qui ont pour but de voler les informations de connexions de jeu en ligne. Le but étant de revendre les objets etc pour faire de l'argent.


    Trojan.Patched / Trojan.Win32.Patched : Fichiers systèmes Windows légitimes patchés par une infection. Les fichiers peuvent être winlogon.exe, svchost.exe ou des drivers ndis.sys etc.

    Trojan.Proxy : Trojan permet l'utilisation du PC infecté comme proxy. Le pirate peut se connecter ou effectuer divers actions (scans etc) en utilisant le PC infecté pour se cacher.

    Trojan.PWS / Trojan.PSW : Désigne un trojan qui a pour but de voler des informations/données, PWS voulant dire password (mot de passe). Le nom derrière peut être suivant d'une informations supplémentaire par exemple Trojan-PSW:W32/OnlineGames vole les informations des comptes de jeu en ligne, Trojan.PWS.Banker est axé sur les informations de comptes de banque. Le nom derrière peut désigner une famille de malware

    Trojan.Ransom : Trojan Ransom est un type de trojan qui encrype les fichiers documents et demande une "rançon" à l'utilisateur afin que ce dernier puisse à nouveau accéder à ses documents.

    Trojan.Small : Désigne un trojan de petite taille de fichiers.

    Trojan.Tiny : Désigne un trojan de petite taille de fichiers.

    Trojan.VB : Désigne un trojan écrit en Visual Basic. Exemple : Trojan.Win32.VB.xxx / W32/VB.BFB

    Trojan.Winlock : Malware qui bloque le chargement de Windows et l'utilisation du PC.
    Une rançon est demandée soit par envoie, soit par SMS afin de débloquer Windows.
    C'est donc une version "spéciale" d'un Trojan.Ransomware.
    Exemple :
    sms-ransomware-trojan-winlock-t21772.html
    https://www.malekal.com/ransomware-plugi ... x00874324/
    flash-player-exe-ransomware-t26652.html
    http-mms2u-info-exe-php-6067178d6665bcf ... ml#p216584

    Dernièrement des versions "Fake.Police" ont vu le jour, le message d'alerte est soit disant envoyer par la Police.
    Différentes versions existent selon le pays.
    Se reporter à la page : Virus Gendarmerie / Police - Trojan Fake Police.

    VBS/Agent : Scripts malicieux écrits en VBS, il peut s'agit d'un VBS.Downloader envoyé en pièce jointe d'un mail malicieux pour pousser un malware ou un vers autoruns qui se propage donc par médias amovibles.
    Exemple : Virus.VBS.Crypt (Virus USB Raccourcis).
    Plus général, se reporter à la page : Malware par VBS / WSH

    Worms.Autorun : Désigne un ver ayant la possibilité de se propager par disques amovibles (création de fichiers autorun.inf)
    ou encore Worm.Autorun sur supprimer-virus.com.

    Quelques détections heuristiques/génériques selon les antivirus.
    Ces détections permettent de détecter un code malveillant mais ne donne aucune indication quant aux types de menaces auquels on a affaire. Il se peut aussi que la menace n'en soit pas une!
    Mal/Heuri-xxx (Sophos)
    Heuristic.Malware (Prevx)
    HEUR/Malware (Antivir)
    Win32:Trojan-gen. {Other} (Avast!)
    VIPRE.Suspicious (Sunbelt)
    Malware Generic ou Suspicious file (Panda)
    Generic.Malware.SYBddld!.xxxxxxx (BitDefender)
    New Malware.xxx (McAfee)
    Heuristic. (Kaspersky)

    Quelques détections de packers :
    TR/Crypt.XPACK.Gen - PCK/FSG - TR/Crypt.Morphine.Gen (Antivir)
    Trojan.Win32.Pakes.xxxx (F-Secure / Kaspersky)
    VirTool:Win32/Obfuscator.x (Microsoft)
    Packed.Win32.CryptExe (F-Secure / Kaspersky)
    Cryp_Morphine (Trend-Micro)
    Trojan.Packed.xxx (Dr-Web)

    Famille de malwares

    Quelques familles de malware... ce sont les plus courantes.

    Adware:Win32/AdRotator - Adware/TrafficSol - Spyware.Adssit.A : Adware ouvrant des popups de publicités.
    Ce dernier était très courant via des download sur P2P et notamment Limwire (une formidable poubelle à virus) : voir Ads served by Dcads (Adware Fotomoto).
    Cet adware peut aussi être installé par des infections tiers afin de gagner des $ sur les popups de publicités, c'était notamment le cas passé un moment de certains variantes de faux codecs : voir Renos/Zlob : "you have a security problem" : codec.xxx.exe

    Backdoor.Win32.Goolbot - Bot permettant le contrôle de l'ordinateur - souvent présent sous le nom de fichier C:\WINDOWS\system32\msxslt3.exe - voir : restorer64-exe-backdoor-win32-harebot-t21539.html#p177654

    Qakbot/QuakBot : Famille de type Stealer, vole des données (mot de passe, adresse email etc).

    Backdoor.Win32.HareBot : Bot permettant le contrôle de l'ordinateur et télécharge d'autres malwares - ouvent présent sous le nom de fichier C:\WINDOWS\system32\restorer64_a.exe è voir : restorer64-exe-backdoor-win32-harebot-t21539.html#p177654

    Backdoor/Win32.Cycbot : Malware ajoutant un proxy qui permet d'effectuer des redirections Google et de voler des informations transistant par le WEB (mot de passe, cookie de session etc).
    Voir : https://www.malekal.com/2010/11/15/svcho ... gomeo-etc/

    Navipromo / Magic.Control : Adware installé via des programmes gratuits, ce dernier est très implanté en France.
    Les programmes installant cet adware sont proposés via bannières publicitaires, vous trouverez la liste des programmes et plus d'informations sur cette infection sur la page : [url=ttp://www.malekal.com/Adware.Magic_Control.html]Supprimer Navipromo / Magic.Control[/url]

    Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft) / Trojan.Botnetlog.x (Dr.Web) / Backdoor.Win32.Zdoogu (Kaspersky) : créé le fichier C:\Windows\System32\digeste.dll.
    Voir la page : digeste.dll : Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft) / Trojan.Botnetlog.x (Dr.Web) Malware

    Trojan.Cidrex / Trojan.Win32.Jorik.Totem : Famille de Stealer comme Spyeye ou Zbot/Zeus.
    Très propagé par des campagnes de mails.
    => https://www.malekal.com/wormwin32cridext ... -par-mail/

    Trojan.Carberp : : Famille de Stealer et Banker comme Spyeye ou Zbot/Zeus.
    => https://www.malekal.com/trojan-carberp-s ... t-rootkit/


    Trojan.DNSChanger : Trojan.DNSChanger est un malware modifiant les adresses DNS afin d'effectuer des redirections lors des recherches Google.
    La variante se propageant par disques amovibles est détecté en Win32:Fabot par Avast!

    Pandex / CutWail / Trojan.Kobcka (BitDefender) /
    Backdoor.Win32.HareBot :
    Rootkit Cutwail destiné à spammer. Voir la page Trojan.Cutwail/Trojan.Srizbi

    Trojan-Downloader.Win32.Karagany : Trojan qui se fait passer pour Adobe Reader.
    Plus d'infos : https://www.malekal.com/tag/trojan-karagany/

    Trojan.Slenfbot : Slenfbot est une famille de Backdoor IRC qui se propage par MSN et disques amovibles.

    SpyEye – Trojan.Pincav : stealer, vole de données (mot de passe, adresse email etc).

    Le malware intègre divers mécanismes de protections pour empêcher sa détection/désinfection.
    Il empèche entre autre les antivirus et empêche leurs mises à jour en bloquant les adresses via le fichier HOSTS de Windows
    Voir : Protections Malwares : rendre la désinfection plus difficile.

    Voir : https://www.malekal.com/2010/12/07/slenf ... r-irc-bot/

    TrojanSpy:Win32/Ambler / Trojan-Spy.Win32.Banker : Trojan destiné à voler les informations de connexion aux comptes de banque en ligne.
    La majorité des variantes viennent du Brésil.

    Trojan.Banload : Trojan installant un Trojan.Banker

    Trojan Bedep : Trojan AdFraud, se reporter à la page : Trojan Bedep.

    Trojan.Goldun/Haxdoor : Malware souvent sous la forme d'un rootkit accompagné d'une DLL ayant des fonctionnalités de keylogger qui a pour but de voler des données (mot de passe, accès banque etc).
    Voir Backdoor/Rootkit Haxdoor / Goldun

    Win32/Tedroo / Win32:Walivun : %windir%\services.exe / Email-Worm.Win32.Joleee.xx (Kaspersky) : Trojan envoyant des mails de SPAM (spambot), ce dernier créé un fichier %windir%\services.exe
    Il se propage bcp via des exploits sur site WEB :
    win32-tedroo-email-worm-win32-joleee-wi ... 19192.html

    Email-Worm.Win32.Iksmas : se copie en C:\WINDOWS\Temp\_ex-08.exe
    Voir : Security Tool.

    Email-Worm.Win32.Gibon : se copie en
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
    peux deux fichiers exécutables dont le nom peut changer, ex : wininet.exe/winint.exe
    Voir : trojan-win32-scar-email-worm-win32-gibo ... 21726.html

    Trojan.Sasfis / Trojan:Win32/Oficla.A / Backdoor.Bredavi :
    voir la page suivante : trojan-sasfis-trojan-win32-oficla-troja ... 19649.html

    Trojan.Tdss / Trojan.Alueron : Désigne un trojan qui a des fonctionnalités de rootkit très sophistiqués :
    trojan-alureon-trojan-tdss-t21456.html
    rootkit-tdss-tmp-tmp-atapi-sys-patch-t22604.html

    Trojan:Win32/Opachki : Malware qui se charge via des DLL et qui provoque des redirections lors des recherches Google
    Voir la fiche Trojan:Win32/Opachki

    Trojan.Win32.Rabbit aka Dropper.Cutwail : Drop le malware CutWail
    Mi-2009 Kaspersky a ajouté une détection sur le packer de ce malware répondant au nom de Packed.Win32.Katusha.b

    Ajoute la clef Run :
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    * {User Name} = "%User Profile%\{User Name}.exe /i"
    Si votre nom d'utilisateur est Malekal_morte, le fichier portera alors le nom Malekal_morte.

    Une vidéo démontrative est visualisable avec le processus Malekal_morte et CutWail en action sur ce lien : les-pc-zombis-botnet-t1020.html#p153175

    Trojan.Win32.Buzus / Worm.Win32.Rimecud : Ce sont les vers qui se propagent par MSN ou disques amovibles.
    Se reporter à la page MSN du forum : virus-msn.html

    Trojan.Vundo / Virtumonde : Adware ouvrant des popups de publicités et pouvant effectuer des redirections lors des recherches Google.
    Voir la page Trojan.vundo

    Trojan.Tofsee : Trojan.Tofsee est un malware conçu pour spammer. Ce dernier créé des fichiers avec des lettres aléatoires, très souvent dans la clef du registre ajoutée pour démarrer le processus, on retrouve à la fin du fichier un paramètre \s \u

    Trojan.ZBot / Zeus / Trojan-Banker.Win32.Bancos : Trojan qui a pour but de voler des données/informations personnelles (numéro de tel, CB, mot de passe, etc).
    Se reporter à la page Supprimer Trojan.Zbot

    Win32:Daonol / Gumblar : Infection provoquant des redirections lors des recherches Google.
    Se charge à partir de la clef aux de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
    avec des fichiers de type sysaudio.sys, wdmaud.sys
    Se reporter au sujet : Trojan.Daonol et redirections Google

    Trojan-Downloader.Win32.CodecPack.dg / TR/Dldr.CodecPa.CU / TrojanDownloader:Win32/Renos : Trojan téléchargent de faux codec faisant la promotion de rogues.

    Trojan.Downloader.Swizzor : Adware affichant des popups de pubs, connus aussi sous nom Lop.com

    Trojan.Downloader.WMA.Wimad : Malware sous forme de fichiers multimédia, ce dernier est en général destiné à ouvrir des popups ou faire télécharge des ffaux codec.
    Voir par exemple le sujet Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec

    Trojan.Win32.Scar : Trojan Downloader qui se copie en C:\WINDOWS\system32\msxslt3.exe, voir : trojan-win32-scar-email-worm-win32-gibo ... 21726.html

    Win32/Taterf : Vers se propageant par disques amovibles.
    Ce dernier a pour but de voler les informations de connexions au jeu en ligne (dont World Of Warcraft), il peut donc avoir des noms génériques tels que :
    Win32/PSW.OnLineGames.xxxx
    TrojanGameThief.Magania.aukf
    Worm.AutoRun.xxx
    .

    Voir :
    TrojanTofsee : autres familles de SpamBot - voir : trojan-tofsee-spambot-t23007.html

    Trojan.Furi / Trojan:Win32/Bohmin : Trojan ouvrant des popups de publicité.
    Peut-être installé via des bannières publicitaires infectieuses ou intallé par des infections tiers afin de gagner des $ sur les popups ouvertes.
    Voir https://www.malekal.com/Trojan.Furi_Trojan_Bohmin.php

    Win32/Hoax.Renos.NCN / TrojanDownloader:Win32/Renos / Fake Alert : Trojan affichant de fausses alertes de sécurité faisant la promotion de rogues.

    Trojan-Downloader.Win32.Bagle.bx : Trojan se propagent par des cracks sur P2P (Emule en général).
    Voir la page Bagle/Beagle/Trojan.Tooso.R

    Sinowal : Sinowal est un type de malware connu pour voler les données relatives aux comptes bancaires.
    Une des dernières variantes de cette famille est le Rootkit MBR

    Rustock : Rootkit destiné à Spammer.
    Voir la page : Rustock et Rustock sur le forum

    Backdoor.Bifrose : famille de backdoor permetant le contrôle du PC infecté par un pirate. Le PC devient donc un PC Zombi.
    Se reporter à la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls.

    Win32/Pushbot : famille de backdoor qui utilise les IM comme moyen de propagation (voir Virus MSN : explications, fonctionnement et parade), ces dernier sont souvent type Backdoor.IRC / SDbot ou Spybot.

    Win32/Sality : est un virus au sens litterale du terme puisqu'il infecte les fichiers exécutables (.exe et .scr). Ce dernier peut agir en tant que keylogger.

    Worm:AutoIt/Sohanad : ver se propagent par IM (voir Virus MSN : explications, fonctionnement et parade) et par disques amovibles.

    ZeroAccess / Sirefef : Malware très évolué qui a pris le relai de TDSS et est donc du même type.
    Des modules additionnels peuvent être ajoutés (stealer, spambot etc). Il permet le contrôle du PC infecté.
    Plus d'informations : https://www.malekal.com/sirefef-b-rootki ... ccess-max/

    Vous trouverez d'autres informations sur d'autres menaces sur la page du site : Guide de suppression des spywares/malwares.

    Spécificité selon les éditeurs d'antivirus

    Quelques spécificités selon les éditeurs d'antivirus.
    Kaspersky classe toute menace n'étant pas des trojans dans la catégorie 'not-a-virus'
    Par exemple, un adware de la famille SoftPulse peut être catégorisé en not-a-virus:Adware.win32.softPulse

    Ensuite, vous avez les détections du type Crypt, qui peuvent désigner des packers, c'est à dire la couche qui permet de cacher le contenu du fichier.
    Les developpeurs de malwares créés de multiples packers pour empêcher au moteur d'antivirus de 'lire' le malware et donc de le détecter.
    Dès lors, les antivirus peuvent créer des détections directement sur ces packers.

    AVG peut émettre des détections du type Cheval de troie : Crypt

    Image

    Avira Antivirus lui peut afficher des détections : TR/CRYPT.ZPACK.

    Image

    Prévention et sécurité informatique

    Les tutorials du site sur la sécurité informatique :
    A lire aussi : Un dossier plus récent est présent sur la page : Les botnets : réseau de machines infectées.
    Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

    Sécuriser son ordinateur (version courte)

    Tutoriels Logiciels - Tutoriel Windows - Windows 10

    Stop publicités - popups intempestives
    supprimer-trojan.com : guide de suppression de malwares

    Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
    Avatar de l’utilisateur
    Malekal_morte
    Site Admin
    Site Admin
    Messages : 84303
    Inscription : 10 sept. 2005 13:57
    Contact :

    Re: Index des menaces et programmes malveillants/Malwares

    Message par Malekal_morte » 11 sept. 2015 15:05
    Pour la nomenclature des détections de l'antivirus Malwarebytes Anti-Malware, vous pouvez vous reporter à la page : Détections Malwarebytes Anti-Malware

    Image
    Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

    Sécuriser son ordinateur (version courte)

    Tutoriels Logiciels - Tutoriel Windows - Windows 10

    Stop publicités - popups intempestives
    supprimer-trojan.com : guide de suppression de malwares

    dimanche 2 avril 2017

    Comment vérifier si ordinateur a été hacké ou piraté ?







    Comment ordinateur a été hacké ou piraté ? Comment savoir si un Trojan ou virus a infecté Windows ?
    Est-ce que Windows est infecté par un virus, logiciels malveillants ou trojan ?
    Ce dossier donne quelques explications sur les éléments à vérifier et bonnes attitudes à avoir face à ces menaces informatiques.


    Hack et virus

    Avant de commencer, il faut bien comprendre de quoi on parle.
    Hacker ou pirater signifie généralement dans la tête des internautes : des virus.

    Il faut bien comprendre deux choses, il est tout à fait possible que Windows soit infecté par des logiciels malveillant et le faire entrer dans un botnet (réseau d’ordinateurs infectés).
    Le botmaster cherche alors à monétiser ce dernier, par le vol de données (mot de passe/accès, adresse email, vol de données bancaires), en louant son réseau pour effectuer des attaques DoS ou encore en chargeant des ransomwares ou adwares.
    Ici donc le but est de garder un accès frauduleux permanent sur l’ordinateur afin de contrôler ce dernier.
    Mais un piratage peut être un accès temporaire, quelques minutes ou autres afin de parvenir au but final (voler tel ou tel information).
    Ainsi, un trojan peut se lancer, voler des informations et les transmettre à un serveur et se fermer.
    Par exemple, il peut tenter de voler des comptes en ligne (Compte Google, Compte Microsoft), les mots de passe étant enregistrés dans le navigateur WEB.
    Le trojan ne tente pas de rester en permanence et au démarrage de Windows.
    Ainsi, si aucune alerte antivirus n’est émise, l’attaque est invisible.
    Sachez d’autre part, que l’utilisation d’un virus n’est pas forcément obligatoire.
    Une personne peut faire installer un logiciel de prise en main à distance légitime mais utilisé à des fins d’espionnage pour « pirater » l’ordinateur.
    Parmi les logiciel malveillant les plus utilisés pour le piratage, vous pouvez lire les dossiers : les keylogger et Trojan RAT.

    Détection de virus

    Une des mauvaises habitudes, lorsqu’un internaute pense que son ordinateur est infecté et de scanner ce dernier avec toute sorte d’utilitaire : ZHPDiag, ZHPCleaner, RogueKiller, AdwCleaner etc.
    Ces outils de désinfection vont très certainement « détectés » des éléments… vous allez alors penser que votre ordinateur est infecté.
    Ce n’est pas forcément le cas.
    Il faut bien comprendre qu’il y a des infections actives, c’est à dire que le programme malveillant se charge et effectue les actions malveillantes pour lequel il a été conçu et des détections d’éléments orphelines comme un fichier isolé, une clé du registre Windows inutilisée etc.
    Parfois même il peut s’agir d’un dossier vide… ces outils confortent l’internaute dans l’idée que son ordinateur est infecté, ce dernier va multiplier le nettoyage avec des outils, qui au final, peuvent endommager Windows.
    Ce n’est pas parce qu’un élément est détecté que l’ordinateur est forcément infecté.
    Pour mieux comprendre, vous pouvez lire le dossier : AdwCleaner, RogueKiller, ZHPCleaner : mauvaises habitudes
    Pour toute aide pour interpréter un rapport, rendez-vous sur le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack).

    Comment voir si j’ai été hacké?

    Deux approches possibles.
    • Effectuer des analyses antivirus.
    • Surveiller Windows mais cela demande quelques connaissances.

    Analyses antivirus

    Cette approche ne sera pas trop détaillé, il s’agit d’une indication générique que l’on retrouve sur la plupart des tutos de vérification de virus.
    Des scans antivirus.
    L’autre approche est de surveiller Windows, bien sûr, cela nécessite des connaissances.
    Il existe toutefois des programmes assez pratique qui permettent d’effectuer quelques analyses.
    La limitation sera la capacité à l’antivirus de détecter la menace, si sophistiqué, il peut passer à côté.
    L’autre limite est votre connaissance et comment vous allez interpréter le rapport de scan antivirus.
    Là aussi des éléments isolés peuvent être détectés… cela ne veut pas forcément signifier que Windows est infecté.
    Pour toute aide pour interpréter un rapport, rendez-vous sur le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack).

    Surveiller Windows

    La surveillance de Windows consiste à vérifier les processus Windows en cours d’exécution pour faire le tri entre des programmes légitimes et malicieux.
    La vérification des points de chargement de Windows permet aussi de s’assurer qu’aucun virus tentent de se charger au démarrage de Windows.
    Vous serez limité par vos connaissances systèmes. Vous pouvez lire en parallèle les conseils de la page : Les processus systèmes de Windows

    Process Explorer

    Process Explorer est un gestionnaire de tâches avancé qui permet de surveiller les processus en cours d’exécution.
    Process Explorer offre surtout la possibilité de faire analyser ses processus en cours d’exécution sur VirusTotal.com (un site qui permet de faire analyser un fichier à une trentaine d’antivirus).
    • Téléchargez Process Explorer sur votre Bureau. Pour vous assister, suivre le tutoriel Process Explorer.
    • Sur l’icône de Process Explorer, faites un clic droit puis « Propriétés. » Cliquez ensuite sur le bouton « Avancé » en bas à droite puis cochez l’option qui lance le programme en tant qu’Administrateur. Cette action est obligatoire afin de pouvoir lister et accéder à l’ensemble des processus.
    • Sur Process Explorer, cliquez sur le menu « Option », « VirusTotal.com » et « Check VirusTotal.com »
    • Les conditions d’utilisation du service VirusTotal vont s’ouvrir.
    • Cliquez sur « Yes » sur Process Explorer pour les accepter.
    • Ci-dessous, un exemple d’une capture d’écran de Process Explorer.
    • La détection est de 0 sur tous les processus, la machine n’est pas infectée
    • En cliquant sur le score de détection, vous avez l’analyse sur votre navigateur.

    A
    Ci-dessous, un exemple d’une infection d’adwares (Abengine / Shopperz)
    Rapidement, on voit les processus malicieux affichés.
    Les détections sont nombreuses, Windows est donc infecté
    « WinScp » est à 2 de détection alors qu’il n’est pas malicieux.
    Un probable faux-positif, c’est comme ça, tout n’est pas simple.

    La limitation de cette vérification sont les infections de type fichier DLL qui s’injecte dans un processus système.
    Le Trojan Bedep fonctionne de cette manière.
    Le fichier DLL ne sera pas analysée puisque ce n’est pas un processus apparant.

    Autorun

    Autorun qui est un logiciel qui permet de vérifier les points de chargement de Windows, c’est à dire les emplacements systèmes qui permettent à un logiciel de se lancer au démarrage de Windows.
    Les logiciels malveillants se servent de ces points de chargement pour rester résident et se charger au démarrage de Windows pour se rendre actif.
    Autoruns énumèrent tous les points de chargements et programmes.
    Le but est d’y déceler des programmes malicieux. Autorun permet aussi de soumettre les éléments sur VirusTotal.
    Pour aider, il existe un tuto sur le site, ce dernier explique comment activer l’analyse VirusTotal : Tutoriel Autoruns
    Ci-dessous, un exemple d’élément malicieux détecté dans Autoruns, les scans VirusTotal sont en rouges.

    FRST

    FRST est un programme qui analyse l’ordinateur, énumère tous les points de chargement et les processus en cours d’exécution.
    C’est donc un programme idéal pour vérifier son ordinateur.
    Pjjoint est un service gratuit d’analyse de rapport HijackThis et FRST.
    Ce dernier peut vous indiquer si des éléments malicieux sont présents sur votre Windows.
    • Lancez un scan FRST par exemple afin d’obtenir le rapport FRST.txt
    • Une fois le rapport FRST.txt obtenu
    • Rendez-vous sur http://pjjoint.malekal.com
    • Cliquez sur le bouton Parcourir et sélectionnez le fichier FRST.txt
    • puis cliquez sur Envoyer
    Lancez l’analyse du rapport, cela peut prendre quelques minutes.

    Voici un exemple de rapport propre, aucune ligne rouge.

    Windows infecté par Abengine / Shopperz, on retrouve des lignes rouges un peu partout.

    En vidéo :

    Vérifier les connexions réseaux

    Les trojans communiquent avec des serveurs et émettent des connexions sortantes.
    Glasswire est une application très pratique pour traquer les connexions.
    Vous pouvez aussi lire ce tuto : Lister les connexions réseau sur Windows
    Le site propose un tutoriel : Tutoriel Glasswire

    Le moniteur de ressources système de Windows permet aussi de visualiser les connexions par processus Windows.
    Là aussi quelques limites, si le Trojan est sophistiqué et utilise un processus système, vous risquez d’avoir des difficultés pour faire le tri entre les connexions légitimes et malveillantes.
    De plus, vous n’aurez pas le détail sur les connexion d’application (notamment les connexions HTTP), vous ne verrez que les adresses IPs sortantes et les ports.
    Plus d’informations de côté là : La notion de port ouvert et la sécurité

    En vidéo

    illustration de ce tuto en vidéo, avec un trojan actif :

    Source.:

    Côté désinfection :