Virus, Spyware, Trojan Et Tutti Quanti

Virus, spyware et tutti quanti et les mille et une manières de s’en prémunir peut-être. Introduction Il existe une quantité phénoménale de programmes indésirables. Tous ces programmes portent le nom générique de "malware". Mais sous cette appellation se cache des familles bien différentes les unes des autres. Nous allons les détailler afin d'y voir un peu plus clair dans cette jungle.

Spywares Les Spywares ou Espiogiciels permettent de connaître votre activité sur l'ordinateur infecté. On y retrouve deux grandes familles : Les Keyloggeurs et les Adwares. Les espiogiciels et spywares : logiciels espions

A chaque connexion internet, un utilisateur laisse derrière lui très grand nombre d'informations. Ces traces sont généralement intéressantes mais non suffisantes à un public de professionnels ou d'espions cherchant à obtenir d'autres éléments que ceux techniques laissés en standard. Les professionnels d'un secteur déterminé cherchent à connaître les habitudes de téléchargement de leurs clients, leurs modes de consommations, leurs centres d'intérêts, ou la périodicité de leurs achats par exemple. Les pirates ou espions seront, eux, plus intéressés par le contenu des machines connectées, la réception de ces informations etc .... Qu'est-ce qu'un espiogiciel ? Pour faciliter la récolte de ce type de renseignements, il existe des "espiogiciels", en anglais Spywares. Ils se trouvent généralement dans le code d'un programme que l'utilisateur téléchargera innocemment sur internet. Dans la plupart des cas, ces espiogiciels sont des "petits morceaux de codes parasite" (routines) intégrés dans le code principal du programme. Dans un même programme, il peut y avoir plusieurs routines parasites différentes, ayant chacune une fonction déterminée. Dans le cas d'un logiciel de messagerie par exemple, il est possible de trouver une routine faisant qu'une copie de chaque email sera envoyée à une adresse déterminée sans laisser de trace dans la boîte éléments envoyés de l'email dupliqué. La détection de ces routines est très difficile. En effet, plus le logiciel initialement téléchargé est volumineux, plus les chances de trouver les routines éventuelles seront faibles. Il est impossible par exemple à un développeur seul, ou à une équipe d'analyser le code source

d'un navigateur internet. Sans vouloir sembler paranoïaque, il est donc important de garder en mémoire que tout exécutable est potentiellement infecté d'un espiogiciel. En outre, dans certains pays, il n'est pas toujours légal de désassembler un logiciel, (rendre le code source du programme lisible et donc modifiable). Impossible donc en respectant la loi de valider l'intégrité des programmes utilisés. Dans tous les cas, l'espiogiciel aura besoin d'une connexion internet pour la transmission des données. C'est pourquoi ces routines se trouvent majoritairement dans des exécutables prévus pour fonctionner avec internet (logiciels de téléchargement de MP3, films, traducteurs, browsers etc.). Généralement les logiciels libres (freewares) et logiciels d'évaluation (sharewares) sont les principaux vecteurs d'espiogiciels. Un outil infecté par un spyware peut représenter une très grande menace pour la sécurité du système d'information infecté. En effet plusieurs routines successives peuvent permettre la détection de mots de passe encrypté et le crackage de ces informations. Il suffit pour cela d'indiquer dans une routine à l'ordinateur de mettre à profit le temps CPU disponible pour cracker le mot de passe à l'insu de l'utilisateur. Comment s'en protéger ? Se protéger des spywares n'est pas chose facile. En effet, un anti virus ne les détectera pas puisqu'il ne détaille pas l'ensemble du code des programmes mais reconnaît des signatures au préalable identifiées. De plus, un espiogiciel n'est pas un virus. Les éditeurs d'antivirus ne travaillent donc pas sur ce "marché". En outre, l'utilisation d'un firewall ne permettra généralement pas non plus la détection des espiogiciels. En effet, même si la routine provoque l'envoi d'un fichier par email à un destinataire non désiré la configuration du firewall, sauf exception, n'a pas pour but d'analyser ce qui sort du PC mais à l'inverse ce qu'il rentre. Le firewall n'a donc pas de moyen de savoir qu'un email est émis volontairement ou à l'insu de l'utilisateur. De plus, un firewall ne s'intéresse pas à la nature des fichiers qui transitent mais aux paquets qui voyagent sur le réseau. Il n'y a donc pas de moyen simple pour le firewall d'identifier comme des menaces l'exécution des routines et la passation d'informations. Cependant, l'un des moyens existants pour suspecter un spyware sur une machine est de voir un flux de paquets nettement supérieur aux flux habituel passer via le firewall ou le modem. Mais là encore, c'est très difficile à détecter. Il existe sur le net de nombreux sites référençant des spywares. Cependant aucun ne peut prétendre avoir une liste exhaustive des espiogiciels existants. De même certains outils permettent la détection de logiciels identifiés comme ayant des spywares mais les utiliser ne garantit pas une sécurisation à 100% du PC. En conclusion, il est impossible à l'heure actuelle de surfer en étant certain que nos informations ne sont pas transmises. Il n'existe aucun moyen de s'assurer qu'un ordinateur connecté à internet ne soit pas à même d'envoyer à notre insu des éléments non désirés. C'est pourquoi il est parfois préférable d'utiliser un P.C. public, (cybercafé, université etc ...) si l'on veut surfer en paix sans donner d'informations. Une autre solution peut être dans le cadre d'un réseau d'avoir une machine par service internet utilisé. C'est à dire par exemple un PC dédié à la messagerie, l'autre pour le surf et un troisième pour l'utilisation des

services FTP par exemple. Les risques sont toujours présents mais limités à chaque fois aux informations disponibles sur une machine seulement.

Keyloggeurs Les "Enregisteurs de touches" stockent dans un fichier toutes les touches que vous frappez sur le clavier. Le fichier en question, souvent crypté, est ensuite envoyé à ou rapatrié par la personne malveillante qui a installé le dispositif. Les Keyloggers : des enregisteurs de touches

Qu'est ce que c'est ? Les keyloggers sont des enregistreurs de touches et par extension des enregistreurs d'activités informatiques permettant d'enregistrer les touches utilisées par un utilisateur sur son clavier et tous les évènements déclenchés. Dangereux, ils ne sont pourtant pas répertoriés parmi les virus, vers, ou chevaux de Troie car ils n'ont pas pour objectif de modifier quoi que se soit dans la machine cible et permettent simplement l'enregistrement d'informations. Ils sont donc très utiles par exemple en cas d'espionnage industriel. Objectif : L'objectif des keyloggers est d'enregistrer et de restituer tout le travail qui a été réalisé par un utilisateur. Les touches enregistrées permettent effectivement de retracer non seulement le travail courant, mais aussi de récupérer tous les identifiants et mots de passe. Un espion peut alors connaître vos moindres faits et gestes sur votre machine de bureau. Mode d'action : Le mode opératoire des keyloggers est identique, même s'il existe une multitude de keyloggers différents. Ils sont installés directement par le pirate sur la machine visée, si l'ordinateur n'a pas de connexion internet permettant une installation à distance via un cheval de Troie. En général, les keyloggers se lancent directement au démarrage de la machine hôte. Une fois le keyloggers lancé, il enregistre au fur et à mesure tout ce qui est frappé sur le clavier. Dans la plupart des cas, si la machine cible est pourvue d'une connexion internet, le keylogger enverra discrètement, à une adresse mail ou à un serveur internet, un fichier, généralement crypté, contenant tous les renseignements collectés. Ainsi l'espion aura tout le

temps nécessaire pour retracer votre activité et sélectionner les éléments qui lui semblent utiles. En fonction du keylogger sélectionné différents types d'écran de configuration existent.

Dans cet écran, vous pouvez constater qu'en fonction des informations qui intéressent le pirate, il est possible de choisir quel type de touches seront enregistrées dans le fichier log. Ici, nous avons choisi d'enregistrer toutes les touches du clavier pour vous donner une copie écran plus explicite de ce qu'enregistrera le fichier de traces.

En complément des touches enregistrées vous pouvez constater ici que des éléments importants comme la date, les applications ouvertes et le choix ou non du cryptage du fichier de trace sont possibles. Le password réclamé par le keylogger permet d'assurer au pirate que lui seul pourra décrypter le fichier. Même si un utilisateur découvrait un fichier crypté il ne saurait reconnaître les éléments contenus à l'intérieur. En effet il n'est pas évident de comprendre l'extrait crypté d'un fichier log comme : "#tJ|{/gir}olT"YbuR\"ZQfy~"K`haxZ"OR]"K`tsar}//t]"Zgro|~gnon"K`xar/tJ|koa"Zal/"\z}"K`" L'option de planification de l'activité du keylogger peut être très utile au pirate. En effet, il peut planifier les jours

et moments auxquels le keylogger doit se mettre en fonction. Cela permet de n'avoir que les informations désirées et favorise une plus grande discrétion puisque la mémoire dans laquelle le keylogger s'installe généralement n'est sollicitée qu'à des moments bien précis.

Selon le keylogger choisi, il est possible de paramétrer l'option "auto-destruction". Dès lors impossible à l'utilisateur ou à l'administrateur du parc informatique de remonter au programme et à l'espion qui se cache derrière. Il suffit de déterminer la plage en nombre de jours pendant laquelle le keylogger doit rester actif sur la machine cible pour qu'automatiquement le logiciel se détruise une fois le délai passé..

Contre-mesures : Les keyloggers ne sont pas toujours identifés par les anti-virus. Il n'est donc pas évident de les remarquer. En outre, dans la plupart des cas des options permettant l'invisibilité du programme exécuté existent.

Par contre, les keyloggers s'exécutent au démarrage de la machine. Tout ralentissement du système au lancement doit sembler suspect. Cependant, avec les nouvelles générations d'ordinateurs il est de moins en moins simple de noter ces ralentissements machines. En général les fichiers de récupération, cryptés ou non sont stockés avec des noms très peu parlant dans c:/windows/temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus dans ce répertoire. Pour ouvrir ces fichiers, cliquer en même temps sur "Shift" et le bouton droit de la souris. Parmi le menu qui s'offre vous verrez l'option "ouvrir avec". Le plus simple est alors de choisir "Note Pad" qui affichera les éléments en mode texte seulement. Vous pouvez, si le fichier n'est pas ou mal crypté retrouver des éléments qui doivent immédiatement vous alerter. Dans le cas ou vous trouveriez un fichier suspect le plus simple est de commencer par faire travailler votre machine uniquement en local. Déconnectez-vous de votre réseau et stoppez toute connexion internet. Cela empêchera aux fichiers de parvenir à l'espion. Prévenez votre administrateur qui recherchera via le serveur les échanges de mail et tentera de retrouver l'adresse du destinaire. Une inspection des tâches qui sont en train d'être exécutées par votre ordinateur s'impose. En effet un simple "Ctrl" "Alt" "Suppr" n'affichera pas les keyloggers alors qu'un programme comme Procdump vous les signalera. En parallèle, recherchez sur votre pc tous les fichiers créés le jour ou vous découvrez ce soucis. Dans le pire des cas, il sera peut être nécessaire que vous sauvegardiez tous vos fichiers de données pour ensuite reformater votre disque dur.

Conclusion Les keyloggers sont des outils particulièrement utiles pour les pirates, puisqu'ils permettent en autre de récupérer comme nous l'avons dit les mots de passe et les login des utilisateurs. Cependant, ils peuvent aussi être un outil de "surveillance" pour les entreprises. En interne, cela pourrait permettre de vérifier les activités réalisées par les salariés pendant les heures de bureau. Attention, l'utilisation d'un keylogger ne saurait être légale sans consentement préalable du salarié. Sur un poste non connecté à internet, l'installation d'un tel outil implique le passage du pirate sur la machine cible. Le meilleur moyen de prévention reste donc la vigilance, ne pas quitter son poste sans avoir au minimum verrouillé son écran, et bien ne pas diffuser son mot de passe de session à quiconque. Il faut aussi que le mot de passe soit robuste. Quelques conseils sur les mots de passe sont disponibles ici

Adware Le terme « Adware » est utilisé pour désigner une application qui affiche de la publicité sur votre ordinateur. Cette publicité est invasive et récurrente. Elle peut aussi bien apparaître sous forme de pop-up, de bannière, du changement de votre page de garde dans votre navigateur internet pour ne nommer que ces méthodes. Ces publicités peuvent être associées à des produits ou services offerts par le créateur du Adware ou d’une tierce partie. Bien que la plupart des infections par Adware soient faites à l’insu de l’utilisateur, il est possible de les installer en connaissance de cause. Cette famille n'est généralement par très agressive. Elle se contente de modifier la page de démarrage de votre navigateur internet, ou d'installer un plug-in de recherche sur Internet. Son but ? Vous faire venir sur un site web, vous montrer de la publicité (ce qui rémunère l'auteur de l'Adware), et éventuellement de vous voler des informations concernant votre vie privée (comme par exemple connaître les sites que vous visitez le plus souvent ou les mots clés de recherche que vous utilisez).

Cookie Un Cookie est un petit fichier texte qui est enregistré dans la mémoire du navigateur Web que vous utilisez. Chaque fois que vous ouvrez un nouveau site Web, un nouveau cookie se crée. L’information recueillie par les cookies peut-être utilisés pour :

Pe rs on na lis er les pa ge s W eb qu e l’o n vi sit e sel on vo s pr éf ér en ce s. Po ur re cu eil lir de s do nn ée s dé m og ra ph iq ue s

Même si l’utilisation de cookies n’est pas malicieuse de prime abord, rappelez-vous que vos informations personnelles (cartes de crédit ou autre) que vous avez saisies sur une page Web peuvent être enregistrées dans un cookie. Le fameux cookie peut être également utilisé pour créer des profils d’utilisateurs qui seront acheminés à des tierces parties. Plusieurs agences de publicité ou autre compagnie s’approprie achète cette information et ainsi commentent une sévère violation à la vie privée des individus.

Dialers Un Dialer est un programme qui est capable d'établir, à votre insu, une connexion avec votre modem. Ce type de malware compose donc un numéro de téléphone surtaxé (cas d'un modem analogique) ou établit une connexion vers un site web déterminé (cas d'un modem adsl). Dans les deux cas, le seul but de ce malware est de rémunérer son auteur au travers des communications téléphoniques que la victime paie sans le savoir.

Downloaders Ce malware se présente en général sous la forme d'un petit exécutable. Une fois exécuté sur votre machine celui-ci va se connecter sur un site web, FTP, IRC, etc. De ce site, il va télécharger un autre programme, en général beaucoup plus agressif, tel un Ver ou un Rootkit.

Droppers Les Droppers sont des fichiers exécutables qui paraissent anodins mais qui, en fait, installent un ou plusieurs malwares. Techniquement, ils en profitent par exemple pour lancer le malware au démarrage de la machine, ou à l'ouverture d'un navigateur Internet.

Virus Un virus est un programme qui s'auto-reproduit en infectant d'autres programmes. Très populaires sous MS-DOS et Windows 3.1, ils sont en nette perte de vitesse comparés aux autres malwares.

Virus Les virus sont un fléau majeur de l'informatique, et pas seulement sur internet : un simple échange de disquettes entre copains ou collègues de travail peut contaminer votre disque dur, sans même éveiller vos soupçons. Car la bestiole est souvent rusée. Autopsie. Qu'est-ce qu'un virus?

Un virus est un petit programme conçu pour se cacher dans votre ordinateur, puis se multiplier, se répandre de par le monde et enfin déclencher une action (message, destruction, petite musique, etc.). On dénombre plusieurs catégories de virus, en fonction de la cible visée dans l'ordinateur. Les différentes familles de virus La première catégorie regroupe les virus de secteur d'amorce (= virus de "boot sector", c'est-à-dire affectant la zone du disque qui est lue en premier au démarrage) tels que Form, jack the ripper, french boot, parity boot... Ces virus remplacent le secteur d'amorce du disque infecté par une copie d'eux-mêmes, puis déplacent le secteur original vers une autre portion du disque. Le virus est ainsi chargé en mémoire bien avant que l'utilisateur ou un logiciel ne prenne le contrôle de l'ordinateur. Les virus d'applications infectent les fichiers exécutables, c'est-à-dire les programmes (.exe, .com ou .sys). Pour simplifier, disons que le virus remplace l'amorce du fichier, de manière à ce qu'il soit exécuté avant le programme infecté, puis il lui rend la main, camouflant ainsi son exécution aux yeux de l’utilisateur. Les virus macro sont des virus qui infectent uniquement des documents (Word, Excel...), en utilisant le langage Visual Basic pour Application. Ces virus se propagent actuellement dans de fortes proportions et peuvent malheureusement causer de grands dégâts (formatage du disque dur par exemple). Enfin, il y a les virus de mail, également appelés vers. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à tout ou partie des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrives pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé. A noter que certains virus sont des virus polymorphes. A chaque fois que l'un d'eux infecte un fichier, il se crypte différemment. Résultat, il faut que l'antivirus analyse la technique d'encryptage de chaque virus pour déceler, dans les fichiers contaminés, une sorte de "manie" caractéristique, une constante. Il ne faut pas confondre les virus avec les troyens ou les emails bombs. Contrairement à son cousin le virus, qui profite de toute occasion pour se multiplier, le troyen véritable ne se reproduit pas (pour plus d'informations, consultez le dossier Secuser.com sur les troyens). Par ailleurs, plusieurs vulnérabilités dans les logiciels Internet Explorer / Outlook font que certains virus peuvent infecter votre ordinateur à la simple ouverture du message ou lors de sa lecture dans la fenêtre de visualisation voire en consultant une page web si Internet Explorer n'a pas été patché contre cette vulnérabilité. Fonctionnement d'un virus Quel que soit le type de virus, aucun ne contamine - pour l'instant - les fichiers compressés. Cela ne garantit pas qu'un fichier compressé soit exempt de virus : il peut très bien avoir été

infecté avant compression, et se révélera donc dangereux une fois décompressé. Pour bien comprendre le mode de fonctionnement d'un virus, il faut se souvenir de l'analogie avec le virus biologique. Comme lui, le virus informatique essaie de contaminer tout ce qu'il peut, de se dissimuler aux yeux de l'organisme infecté, et de se répandre le plus largement possible. Les virus infectent un maximum de fichiers puisqu'ils demeurent en mémoire dès le démarrage de l'ordinateur. Ils interceptent les commandes du Bios, et agissent ainsi selon leur humeur... Règles générales de protection La prévention paie toujours. Quelques règles simples peuvent être appliquées : • •

•

• •

•

ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être proposés sur des sites persos ou des chats eux-mêmes plus ou moins douteux; méfiez-vous des fichiers joints aux messages que vous recevez : analysez avec un antivirus à jour tout fichier avant de l'ouvrir, et préférez détruire un mail douteux plutôt que d'infecter votre machine, même si l'expéditeur est connu; fuyez les disquettes d'origine douteuse (ou ayant transité dans des lieux publics vulnérables comme les salles de cours ou TP des écoles ou universités), et protégez les vôtres en écriture; créez dès maintenant, si ce n'est pas déjà fait, une disquette de boot saine contenant un antivirus (la plupart des antivirus le proposent) pour une désinfection d'urgence; procédez régulièrement à des sauvegardes du contenu important de votre disque dur après avoir vérifié l'absence de virus : cela peut paraître fastidieux, mais en cas d'infection (ou même simplement en cas de crash de disque dur), ça vous sauvera la mise... tenez-vous au courant des apparitions de nouveaux virus. Secuser.com vous offre ce service en émettant des alertes lorsqu'un virus connaît une diffusion importante. Les informations (nom du virus, mode de transmission connu, etc.) sont alors consultables en ligne dans sur le site, ou par abonnement gratuit à la lettre hebdomadaire Secuser News, ou encore en temps réel via la liste Secuser Alerte. Connaître l'existence du virus, c'est déjà le tuer à moitié...

En complément de ces règles de prévention, la meilleure protection - et le principal remède en cas de contamination - consiste à installer un antivirus (certains sont gratuits, voir les liens utiles en fin d'article). Une solution qui reste toute relative, car aucun produit ne détecte 100% des virus, 100% du temps : d'où l'importance de la prévention. Par ailleurs, de nouveaux virus apparaissant chaque jour, il faut veiller à régulièrement actualiser la base de données virales du logiciel : la plupart des éditeurs proposent une mise à jour au minimum mensuelle, mais pas toujours gratuite... Comment savoir si mon ordinateur est contaminé ? Tout comme les troyens, les virus sont le plus souvent repérés trop tard, par les conséquences potentiellement désastreuses de leur activité : affichage de messages intempestifs, émission de sons ou de musiques inattendus, mais aussi plantage de l'ordinateur, formatage du disque dur, etc. Pourtant, de nombreux indices peuvent mettre la puce à l'oreille de l'internaute vigilant :

mémoire système disponible inférieure à ce qu'elle devrait être, changement du nom de volume d'un disque, programmes ou fichiers subitement absents, apparition de programmes ou de fichiers inconnus, ou encore comportement anormal de certains programmes ou fichiers. Si vous êtes sous Windows 95 ou 98 et que vous avez un doute sur votre micro, vous pouvez vérifier vous-même le niveau de la mémoire système : ouvrez une fenêtre DOS, tapez la commande CHKDSK puis la touche Entrée, et examinez le contenu des informations listées. Un message semblable au texte suivant devrait apparaître, avec cependant les caractéristiques propres à votre machine (nom de volume, espace disque, etc.) : Le numéro de série du volume est 1827-00E6 446 190 080 octets d'espace disque total 862 758 400 octets disponibles sur le disque 4 096 octets dans chaque unité d'allocation 841 355 unités d'allocation sur le disque 454 775 unités d'allocation disponibles sur le disque 655 360 octets de mémoire totale 590 528 octets libres

Au lieu d'utiliser CHKDSK, essayez la commande SCANDISK. SCANDISK peut détecter et corriger un plus grand éventail de problèmes de disque. Normalement vous devriez avoir 655 360 octets de mémoire totale. Ce test n’est malheureusement pas sûr à 100 %, mais si le chiffre est différent sur une configuration standard, cela sent le virus de boot... Que faire en cas de contamination ? La solution la plus simple reste de vous procurer un logiciel antivirus. La plupart propose une procédure permettant de désinfecter le contenu du disque avant d'installer le logiciel, mais le mieux est d'installer l'antivirus avant toute contamination afin de bénéficier de l'ensemble de ses fonctionnalités (surveillance des transferts de fichiers ou de l'accès aux fichiers sensibles, inoculation des fichiers pour repérer tout changement de taille suspect, etc.). Vous pouvez également utiliser un antivirus gratuit en ligne pour procéder immédiatement à l'analyse ainsi qu'à l'éradication de virus éventuellement présents sur vos disques. Pour ceux qui sont très à l'aise au niveau technique En cas de contamination par un virus de boot ou un virus de fichier : 1. Si votre machine n'est pas configurée en multi-boot, allez sous DOS et entrez fdisk/mbr pour supprimer le Master Boot Record (= secteur d'amorce du PC, automatiquement régénéré au prochain démarrage); 2. Eteignez l'ordinateur (pas reset, ni redémarrage); 3. Démarrez à partir d'une disquette de boot saine, protégée en écriture, et contenant un antivirus; 4. Lancez l'antivirus (le reste dépend de l'antivirus). Pour les virus macro, je conseille de rechercher le fichier normal.dot et de le supprimer, puis ensuite de détruire tous vos documents. Cette méthode supprime les virus macro

définitivement, mais aussi malheureusement votre travail. Une solution consiste à utiliser un "bloqueur" lorsque vous chargez un document inconnu : ce type de programme empêche le transfert de nouveaux virus dans vos autres documents. Essayez donc Stealth Protect : en plus, il est gratuit. Déjà vu Certains virus ne font qu'effacer la partition, ce qui fait que l'utilisateur débutant (ou le technicien incompétent ou malhonnête) n'arrive plus à reformater son disque dur et par conséquent le change, alors qu'il suffit d'exécuter la commande fdisk (avec une disquette de boot saine) et de recréer une partition. Attention cependant : si vous êtes un complet débutant, faites-vous aider par un ami ou un collègue plus expérimenté, sans quoi vous risqueriez de faire pire que le virus...

Vers Ceux-ci, plus faciles à programmer qu'un virus, utilisent Internet sous toutes ses formes pour se propager. Ils utilisent des supports comme les mails, les sites web, les serveurs FTP, mais aussi le protocole Netbios, etc...

Les chevaux de Troie (Trojan) et portes dérobées (Backdoor) Ces programmes n'ont qu'un seul but : faire profiter à un tiers les ressources de votre ordinateur. Comme par exemple, donner un shell ou manipuler les périphériques. Malware en fichiers BAT (Windows) ou Shell (Unix/Linux) Ces petits exécutables au format texte ont l'avantage de la simplicité de création. En effet, ils ne nécessitent pas de connaître un langage évolué tel le C ou Delphi. Leur taille n'est généralement que quelques centaines d'octets. Par contre, leur dégâts peuvent être considérables. De plus, un fichier BAT est compatible quelque soit la version du système d'exploitation de Microsoft de la version DOS 6.0 à Windows XP.

Les chevaux de Troie

Qu'est-ce que c'est ? Les chevaux de Troie ("Trojan horses" ou "Trojans" en anglais) tirent leur nom de la célèbre légende mythologique. Comme dans cette dernière, les troyens utilisent une ruse pour agir de façon invisible, le plus souvent en se greffant sur un programme anodin. Ils font partie des grandes menaces que l'on peut rencontrer sur le web, parmi les virus et autres vers. Pourtant, contrairement à ceux-ci, les chevaux de Troie ne se reproduisent pas (en tout cas, ce n'est pas leur objectif premier). Ce sont à la base de simples programmes destinés à être exécutés à l'insu de l'utilisateur. Objectifs Leur objectif est le plus souvent d'ouvrir une porte dérobée ("backdoor") sur le système cible, permettant par la suite à l'attaquant de revenir à loisir épier, collecter des données, les corrompre, contrôler voire même détruire le système. Certains chevaux de Troie sont d'ailleurs tellement évolués qu'ils sont devenus de véritables outils de prise en main et d'administration à distance. Mode d'action Leur mode opératoire est souvent le même; ils doivent tout d'abord être introduits dans le système cible le plus discrètement possible. Les moyens sont variés et exploitent le vaste éventail des failles de sécurité, du simple économiseur d'écran piégé (envoyé par mail ou autre, du type cadeau.exe, snow.exe, etc.) jusqu'à l'exploitation plus complexe d'un buffer overflow. Après leur introduction dans le système, ils se cachent dans des répertoires système ou se lient à des exécutables. Ils modifient le système d'exploitation cible (sous Windows, la base des registres) pour pouvoir démarrer en même temps que la machine. De plus, ils sont actifs en permanence (car un cheval de Troie est un véritable serveur, il reste à l'écoute des connections provenant de l'attaquant pour recevoir des instructions) mais ils restent furtifs et sont rarement détectables par l'utilisateur. Ainsi, un listing des tâches courantes ne fournira pas d'indication suffisante : soit le cheval de Troie y sera invisible, soit son nom sera tout ce qu'il y a de plus banal ("Patch.exe", ".exe", "winamp34.exe", "winrar.exe", "setup.exe", "rundlls"). Contre-mesures

Du fait qu'ils ne se répliquent pas (contrairement aux virus), ils ne possèdent pas de signature de réplication et ne sont donc pas détectables par les anti-virus, en tout cas à ce niveau là. De plus, les chevaux de Troie n'altèrent en général pas les données vitales de la cible (MBR...) qui sont protégées. Par contre, comme ils restent des programmes assez répandus sur internet et qu'ils sont rarement modifiés par les apprentis hackers, il est assez facile de les détecter avec les anti-virus actuels qui connaissent très précisément leur empreinte ou leur code. Le problème est un peu plus compliqué lorsqu'il s'agit de programmes dont les sources sont disponibles librement sur internet. Il devient alors aisé de modifier le code et de le recompiler afin d'obtenir un cheval de Troie dont l'empreinte sera unique et donc inconnue des anti-virus. Si l'on ne peut pas détecter leur présence, on peut essayer de détecter leur activité : un cheval de Troie est obligé d'ouvrir des voies d'accès pour pouvoir communiquer avec l'extérieur. Ainsi, plusieurs ports de la machine risquent de le trahir (par exemple 12345, 31337, etc.) surtout s'ils sont habituellement inutilisés. D'autres chevaux de Troie ont détourné cette faiblesse en utilisant des ports plus communs (relatifs aux services ftp, irc...). Là encore, un utilisateur capable de voir ces ports ouverts doit se poser la question de savoir pourquoi tel service est actif. => Rappelons que la commande netstat permet d'obtenir de telles informations sous Linux et Windows. Du point de vue réseau, il est également possible de détecter ce trafic (services/ports inhabituels) ou l'activité secondaire du cheval de Troie. En effet, il arrive que la cible infectée serve de point d'entrée à l'attaquant pour se propager dans tout le réseau. Pour cela, il devra effectuer différentes tâches dont certaines sont aisément détectables (scan de machines et de ports...). Dans la majorité des cas, de telles données trahissent non seulement la présence du cheval de Troie mais fournissent également des informations sur son identité, permettant ainsi de mieux l'éradiquer. Il est même possible d'installer par la suite des leurres qui garderont des traces des tentatives de connections externes (trahissant l'attaquant). Cas concrets Voici les fonctionnalités d'un des chevaux de Troie les plus répandus : •

Accès Telnet permet de lancer une application en mode texte type "Ms-Dos" ou "Invite de commande" de façon invisible et de rediriger l'entrée/sortie standard vers un port particulier. L'attaquant n'a plus qu'à s'y connecter (via telnet) pour communiquer directement avec l'application.

•

Accès HTTP avec un navigateur, supporte le téléchargement et l'envoi de fichiers permet de créer un serveur web basique dont la racine est celle du disque dur (défaut). Ainsi, un simple navigateur web permet de naviguer dans l'arborescence des fichiers, d'en télécharger et même d'en rajouter.

•

Information sur le système distant

•

Récupère tous les mots de passe permet d'accéder aux fichiers mots de passe Windows (pwl et autres) et d'en afficher le contenu. A noter que les mots de passe utilisés pour des connections distantes, partages de documents, etc, sont également récupérés.

•

Envoi de boite de dialogue (version Windows) avec réponse de l'utilisateur permet de communiquer avec l'utilisateur.

•

Télécharger/Envoyer/Supprimer/Créer des fichiers permet d'accéder au système de fichiers dans sa totalité.

•

Ouverture/Fermeture des fenêtres actives permet d'interagir avec le système cible.

• • • • • • • • •

Accès a la base de registre Augmenter/Diminuer le volume sonore Ajouter des plugins Démarrage d'application Jouer des fichiers .wav Afficher des images Ouvrir des documents Imprimer Fonction keylogger permet d'enregistrer toute frappe au clavier pour récupération et traitement ultérieur (mots de passe sur le web, mails, etc..). Cette fonctionnalité existe également en version temps-réel : affichage des frappes clavier en direct chez l'attaquant.

•

Capture d'écran permet de visualiser le poste de travail et les actions de l'utilisateur tout en économisant la bande-passante (par rapport au streaming video)

•

Capture d'image si l'ordinateur est équipé d'une webcam opération basée sur l'utilisation détournée des librairies système (COM) qui supportent les webcams. Le résultat est complètement indétectable pour l'utilisateur.

• • • • •

Capture du son si l'ordinateur/Serveur est équipé d'un microphone Eteindre l'ordinateur Redémarrer l'ordinateur Déconnecter l'ordinateur du réseau Dialogue avec l'utilisateur

• • • •

Ouverture/Fermeture du CD-ROM Inversion des boutons de la souris Envoyer l'utilisateur a une URL choisie Blocage du clavier

Une capture de l'interface de configuration d'un cheval de Troie :

Cette interface permet de modifier le cheval de Troie avant de l'envoyer à la cible : quel port doitil écouter, quelle méthode de démarrage utiliser... Il est même possible de protéger l'accès au futur cheval de Troie par login/password ce qui évitera que d'autres attaquants ne s'y connectent.

Une capture du client d'un cheval de Troie :

La partie cliente d'un cheval de Troie est l'application utilisée par l'attaquant pour se connecter au serveur, c'est-à-dire au programme installé sur la cible. Ce client permet d'automatiser et de simplifier nombre de tâches, et même de gérer plusieurs serveurs ! On y retrouve les fonctionnalités citées précédemment (telnet, capture d'écran, etc.) et quelques autres comme la redirection de ports qui permet de récupérer tout le trafic que reçoit la cible sur des ports donnés, et donc de l'utiliser pour rebondir (le but étant de ne pas compromettre l'adresse IP de l'attaquant). Back Orifice 2000 Back Orifice ("BO") est sans doute le cheval de Troie le plus connu. Il a été créé par The Cult Of The Dead Cow (cDc), un groupe de hackers formé en 1984. Sa version actuelle est la version 2000 (BO2k), et ses sources sont maintenant disponibles sur internet en license GPL. Cela a sensiblement changé son statut puisqu'il autorise toute personne à vérifier le contenu de l'application pour en être sûr (en effet, nombre de logiciels commerciaux sont accusés de receler une porte dérobée sous prétexte que leur code source n'est pas libre). Cela assure également son évolution et sa pérennité futures. Un autre point concernant BO2k est son extrême efficacité et ingéniosité. De nombreux bugs ont été corrigés par rapport aux versions précédentes et il possède un grand nombre d'extensions ou "plugins" qui lui donnent une modularité sans limites. Ainsi, il est possible de visualiser en temps réel les déplacements de la souris sur la machine cible :

Tout comme il est possible de diriger cette souris et de contrôler le clavier :

Il existe également des plugins supportant le cryptage de manière à protéger les communications client-serveur; les algorithmes supportés sont nombreux : RC6 384, IDEA 128, CAST 256; Back Orifice 2000 supporte même le tunneling SSH !

Regardons de plus près l'interface de configuration de BO2k :

Il y a 3 zones principales : la première où l'on spécifie le fichier du serveur que nous allons configurer (l'exécutable sera modifié), la seconde où nous définissons les extensions que nous allons utiliser plus tard (qui seront rajoutées à l'exécutable). La dernière zone concerne les paramètres de chaque fonctionnalité, y compris les extensions que nous venons d'ajouter. Ici nous pouvons voir que l'option de connexion par TCP a été choisie et que le port à utiliser est le 31337. C'est à partir de cette interface de configuration que l'on peut modifier si l'on veut le nom du cheval de Troie. Une fois lancé, BO2k s'installe dans \Windows\System\ ou \WinNT\System32\ sous ce nom là (par défaut UMGR32.EXE). Après il modifie la base des registre. •

Sous Windows 95/98, la commande d'exécution du serveur est écrite dans : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

•

Sous Windows NT, la commande d'exécution du serveur est écrite dans : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Le fichier initial peut ensuite être effacé (ou s'auto-effacer si spécifié). BO2k devient ensuite actif à chaque démarrage du système et reste en mémoire. Sous NT, le cheval de Troie utilise une astuce pour éviter d'être tué par le Gestionnaire de Tâches. Il change son PID constamment et créé des processus fils qui lui permettent de rester actif si l'un d'entre eux est tué. De plus, son nom comporte un grand nombre d'espaces et de 'e', ce qui a pour effet de renvoyer une erreur lorsqu'on tente de le tuer à partir de Windows (tout en n'affectant en rien son fonctionnement). Seule solution : le tuer à partir du DOS ! Sous Windows 9x, le fichier se renomme ".exe" (c'est-à-dire sans nom), ce qui le rend invisible dans le gestionnaire de tâches.

Back Orifice 2000 : fiche technique Toutes les versions comportent au minimum : un client un serveur un application graphique de configuration du serveur Le serveur ne marche que sous Windows (les dernières versions supportent Windows NT). Le client était disponible pour Windows ou Unix dans ses versions précédentes. La version 2000 est réservée aux plateformes Win32. Le serveur est totalement configurable (numero de port, type de liaison TCP/UDP...) Les fonctionnalités disponibles (de base) comprennent : o o o

• • • •

Liste de serveurs (style Address Book) Extensibilité via plugins Connections serveurs multiples (concurrentes possibles) Connections de plusieurs clients possible Journalisation de sessions Journalisation de frappes clavier Supporte HTTP pour navigation dans le système de fichiers (chargements possibles) Gestion du partage de fichiers Microsoft (ajout/suppression de partages, monitoring) Gestion directe de la Base de Registres Navigation directe dans le système de fichiers (transferts TCP, gestion...) Mises à jour à distance, ainsi que installation/désinstallation Redirection de connections TCP/IP Redirection d'applications texte pour accès via Telnet Support multimedia, capture audio/video, lecture audio Récupération de mots de passe stockés dans la SAM (NT registry) et économiseurs d'écran sous Win9x Contrôle/arrêt/lancement/listing des processus Affichage de message à l'écran Compression de fichiers propriétaire Redémarrage de la machine à distance Locking de la machine à distance Récupération d'informations système Résolution de noms DNS

Macros Les malwares sous forme de macros s'insèrent dans des documents de type "suites bureautiques". Ce qui font d'eux de redoutables agents infectieux, notamment dans le cadre des entreprises.

Les Rootkits Ces programmes sont de véritables couteaux suisses de "l'exploit". Une fois installés sur votre système, ils permettent de gagner en privilèges (passer "root" sous Unix/Linux ou "administrateur" sous Windows"), détecter des failles d'un système non patché, et de les exploiter à des fins diverses (prise en main à distance, propagation ...). Très connus dans le monde Unix/Linux, ils commencent à arriver sous Windows...

Les Flooders Ceux-ci n'ont qu'un seul but : inonder une cible (un site web par exemple) afin de l'empêcher de fonctionner. Partie intégrante des Denis de Service Distribués (DDOS), ces programmes passent souvent par une phase de contamination (installation sur le plus de machines possibles) avant la phase d'attaque proprement dite.

Le Déni de Service Distribué (DDoS)

Background Le "Distributed denial-of-service" ou déni de service distribué est un type d'attaque très évolué visant à faire planter ou à rendre muette une machine en la submergeant de trafic

inutile (voir fiche DoS). Plusieurs machines à la fois sont à l'origine de cette attaque (c'est une attaque distribuée) qui vise à anéantir des serveurs, des sous-réseaux, etc. D'autre part, elle reste très difficile à contrer ou à éviter. C'est pour cela que cette attaque représente une menace que beaucoup craignent.

Les outils Pour mieux comprendre le phénomène, il parait impossible de ne pas étudier les outils les plus importants dans ce domaine, qui doivent leur notoriété à des célèbres attaques ayant visé des grands sites sur le net. Un réseau typique se compose donc d'un maître (point central) et de nombreux hôtes distants, encore appelés démons. Pendant le déroulement de l'attaque, le hacker se connecte au maître qui envoie alors un ordre à tout les hôtes distants (via UDP, TCP ou ICMP). Ces communications peuvent également dans certains cas être chiffrées. Ensuite, les hôtes distants vont attaquer la cible finale suivant la technique choisie par le hacker. Ils vont par exemple se mettre à envoyer un maximum de paquets UDP sur des ports spécifiés de la machine cible. Cette masse de paquets va submerger la cible qui ne pourra plus répondre à aucune autre requête (d'où le terme de déni de service). D'autres attaques existent, tel que l'ICMP flood, le SYN flood (TCP), les attaques de type smurf, les attaques dites furtives, les attaques de déni de service dites agressives (dont le but est bel et bien de faire crasher complètement la cible), ou encore des attaques de type "stream attack" (TCP ACK sur des ports au hasard)... Certains outils se sont même inspiré des chevaux de Troie qui installent de petits serveurs irc permettant au hacker de les commander via cette interface.

Mode opératoire Les DDoS se sont démocratisées depuis 2-3 ans. En effet dans les premiers temps, cette attaque restait assez compliquée et nécessitait de bonnes connaissances de la part des attaquants; mais ceux-ci ont alors développé des outils pour organiser et mettre en place l'attaque. Ainsi le processus de recherche des hôtes secondaires (ou zombies) a été automatisé. On cherche en général des failles courantes (buffer overflows sur wu-ftpd, les RPCs...) sur un grand nombre de machines sur Internet et l'attaquant finit par se rendre maître (accès administrateur) de centaines voir de milliers de machines non protégées. Il installe ensuite les clients pour l'attaque secondaire et essaye également d'effacer ses traces (corruption des fichiers logs, installation de rootkits). Une fois le réseau en place, il n'y a plus qu'à donner l'ordre pour inonder la victime finale de paquets inutiles. Il est intéressant de noter que les victimes dans ce type d'attaques ne sont pas que celles qui subissent le déni de service; tous les hôtes secondaires sont également des machines compromises jusqu'au plus haut niveau (accès root), tout comme l'hôte maître. La menace provient du fait que les outils automatisant le processus ont été très largement diffusés sur Internet. Il n'y a plus besoin d'avoir des connaissances pointues pour la mettre en place, il suffit de "cliquer" sur le bouton.

Contre-mesures Il n'est pas évident de se prémunir contre ces attaques par déni de service, car la mise en place du réseau offensif par l'attaquant repose sur le fait que beaucoup de machines sont peu ou pas sécurisée et présentent des failles. Ces failles sont tellement nombreuses et d'autre part il existe tellement de machines vulnérables sur Internet qu'il devient impossible d'empêcher de telles attaques. Ainsi, si un outil de DDoS est détecté sur un système, cela signifie sûrement que il a été installé sur de nombreux autres systèmes sans être décelé. D'autre part, la présence de cet outil signifie également que le système a été intégralement compromis, qu'il présente sûrement des backdoors et qu'on y a peut-être installé un rootkit (type Adore). Il est donc urgent et nécessaire de retirer complètement cette machine du réseau et de l'inspecter pour éventuellement la réinstaller. Pour détecter un tel outil, on pourra chercher des noms évocateurs parmi les processus système s'il n'y a pas de rootkit installé et si l'attaquant a laissé un nom par défaut. Ces noms peuvent être regroupés dans la liste suivante (non exhaustive): Trinoo maître: master Broadcast: ns TFN client: tfn Démon: td Stacheldraht Handler: mserv Agent: td Shaft Handler: shaftmaster Agent: shaftnode mstream Handler: master Agent: server Trinity Agent: /usr/lib/idle.so Portshell: /var/spool/uucp/uucico Alt. Portshell: /var/spool/uucp/fsflush Il peut être également fort utile de connaître les outils (au nombre de 4, principalement) utilisés par les hackers. Des analyses sont disponibles pour 3 d'entres eux : • • •

http://staff.washington.edu/dittrich/misc/trinoo.analysis http://staff.washington.edu/dittrich/misc/tfn.analysis http://staff.washington.edu/dittrich/misc/stacheldraht.analysis

Il existe également un compte-rendu de congrès scientifique sur le sujet qui apporte beaucoup d'idées pour se défendre et récupérer après de tels incidents : •

http://www.cert.org/reports/dsit_workshop.pdf

Le Pushback : une contre-mesure en développement Face aux menaces grandissantes provoquées par ce type d'attaques, les scientifiques se penchent de plus en plus sur des techniques capables de les contrer; une des plus récentes est la technique du Pushback. Nous ne rentrerons pas dans les détails ici, tous les papiers étant disponibles sur le site ACC and Pushback.

Aggregate-Based Congestion Control (ACC) and Pushback Papers: •

Controlling High Bandwidth Aggregates in the Network (Extended Version). Ratul Manajan, Steven M. Bellovin, Sally Floyd, John Ioannidis, Vern Paxson, and Scott Shenker. July, 2001 (postscript, PDF). The shorter CCR version: CCR, V.32 N.3, July 2002. (CCR, local postscript, local PDF). Poster at SIGCOMM 2001 (postscript, PDF, abstract). Simulation scripts for the papers. README. The Slashdot note.

IETF Documents: •

Pushback Messages for Controlling Aggregates in the Network Sally Floyd, Steven M. Bellovin, John Ioannidis, Kireeti Kompella, Ratul Manajan, and Vern Paxson. draft-floyd-pushback-messages-00.txt, internet-draft, work in progress, July 2001. Expired draft. Local copy: (text, postscript)

Talks: •

•

•

•

•

Distributed Denial of Service Attacks. Steve Bellovin, February 18, 2000. This talk discusses traffic volume monitoring, and the need for enhanced congestion control for high-volume aggregates. Viewgraphs (postscript, PDF) from Vern Paxson, Panel on The DDoS Attacks. RAID 2000, October 2000. Theses viewgraphs give a quick overview of controlling high volume aggregates using Pushback. Talk on Controlling High Bandwidth Aggregates (postscript, PDF). Sally Floyd, November 29-30, 2000, E2E Research Group. - Or the revised version talking about Bullies, Mobs, and Crooks (postscript, PDF): December 4, 2000. This talk discusses controlling high-bandwidth flows, aggregate-based congestion control (for flash crowds), and DoS attacks at the congested router, and the use of Pushback to "push" packet drops upstream. Steve Bellovin, DDoS Attacks and Pushback, December 5, 2000 (postscript, PDF). These viewgraphs describe Pushback, and show a number of simulation results. - Also the February 18, 2001, version of the talk, at NANOG: (postscript, PDF). Ratul Mahajan, Aggregate Based Congestion: Detection and Control, April 2001 (postscript). Seminar, University of Washington. This talk discusses the motivation and mechanisms for aggregate-based congestion

Très brièvement, cette technique a pour but d'identifier les attaques de DoS et surtout de DDoS grâce à des heuristiques, de les contrer en remontant à leur source, enfin de maintenir et de protéger le bon trafic qui souffre également la plupart du temps des congestions engendrées par de telles attaques. Cette méthode utilise un contrôle de congestion basé sur des agrégats, un agrégat étant défini comme un sous-ensemble du trafic présentant une propriété identifiable. Exemples de propriétés : • • • •

Paquets TCP SYN Paquets à destination de X Paquets IP dont les checksums sont incorrects ...

Le but est d'identifier les aggrégats responsables de la congestion et de les éliminer pour rétablir un trafic normal. Une fois la signature (c'est-à-dire la propriété identifiante, le trait caractéristique de l'attaque) établie, le flux est comparé en temps réel dans le routeur le plus proche de la cible du DDoS. Ce routeur commence à rejeter (drop) les paquets correspondants à la signature et envoie également un message d'alerte aux routeurs en amont sur les brins d'où lui parvient le trafic incriminé. Ce message d'alerte contient entre autres choses la signature qui va permettre à ces routeurs d'éliminer à leur tour les paquets correspondants à l'attaque. Et ces routeurs vont également envoyer des messages d'alerte aux routeurs situés en amont. Cette technique récursive a pour avantage de pouvoir remonter jusqu'aux sources de l'attaque; elle permet également de décongestionner le cœur même du réseau, ce qui était impossible avec les techniques centrées sur la protection pure de la cible. Enfin, même si une partie du trafic légitime est tout de même perdue, les résultats finaux sont plutôt positifs.

Conclusion Plusieurs dizaines de milliers de malwares sont ainsi recensés. La plupart affectent le monde Windows. Depuis quelques années, nous observons que la majorité des malwares récents sont en fait une combinaison des différentes familles. Par exemple, le malware "Kelvir.B" se propage par MSN, télécharge et installe une variante du Virus SpyBot qui, lui, permet de prendre la main à distance de votre poste et se propage par mail. Cette multiplicité des agents infectieux qui se répandent par tous les protocoles possibles, fait des malwares un facteur de risque élevé pour tout ordinateur ayant accès à Internet.

Identification et nettoyage des malwares Un proverbe dit : " Il vaut mieux prévenir que guérir " et le mythe de l’informatique parfaite n’a jamais existé, surtout à notre époque, depuis que l’ADSL existe, nos PC sont beaucoup plus exposés qu’auparavant. En respectant les quelques règles ci-dessous, vous serez quasi immunisé: •

Chaque PC doit être équipé d’un firewall bien configuré et d’un anti-virus à jour. Un anti-spyware est le bienvenu aussi.

•

Pendant votre surf sur internet, réfléchissez avant de cliquer sur certains liens.

•

Quand vous recevez des mails de personnes inconnues, surtout s’ils contiennent des fichiers joints, supprimez-les sans les ouvrir. Utilisez les filtres de courriers et l’antispam.

•

Quand vous installez un programme, soyez attentif sur ce qu’il propose comme options à cocher ou décocher, parfois des choses complètement inutiles s’installent à l’insu de votre plein gré.

•

Utilisez Windows Update pour maintenir votre système à jour.

•

En résumé, servez-vous de votre bon sens.

Si vous constatez un comportement bizarre et inhabituel de votre Windows, il est peut être infecté par un de ces malwares. Il faut donc le rechercher, l’identifier et l’éliminer. Les antivirus gratuits, en ligne, et professionnels Avoir un antivirus, c'est une bonne résolution. C'est même plus que cela, c'est tout à fait indispensable, de même il est absolument nécessaire de le mettre régulièrement à jour. Pouvoir en passer plusieurs régulièrement sur ses fichiers, c'est encore plus rassurant ! En effet, aucun antivirus ne peut garantir de protéger contre tous les virus, c'est pourquoi il est recommandé de passer ponctuellement un autre antivirus en complément de l'habituel. Les antivirus suivants sont disponibles pour une utilisation privée, mais généralement pas autorisées pour une utilisation professionnelle (bien lire les conditions d'utilisation avant l'installation du produit). Les antivirus en ligne gratuits Ces antivirus sont en ligne sur internet. Il n'y a donc qu'une petite partie de l'antivirus à installer. Attention, certains antivirus online n'acceptent de fonctionner qu'avec Internet Explorer. Voici les principaux antivirus disponibles : • • • • • • • •

Kaspersky Trend Micro Bit Defender 8.0 Mac Afee Panda Antivirus F-Secure 3.2 Eset NOD32 Microsoft OneCare

Difficile de dire quel est le meilleur antivirus, il est intéressant d'alterner les scans en ligne avec des solutions différentes. Scan multiple d'antivirus

Ces services ont une particularité : on ne peut scanner qu'un fichier à la fois. En revanche, ce fichier est soumis en même temps à plusieurs antivirus (en général plus d'une dizaine). Cette solution est très utile pour vérifier un fichier suspect que vous avez reçu dans votre boîte aux lettres, ou tout simplement, pour comparer les produits antivirus du marché. •

•

•

•

Jotti : scanne avec A2-Squared, Antivir, Arcabit, Avast, AVG, Bitdefender, Clamav, Dr Web, F-Prot, F-Secure, Fortinet, Kespersky, NOD32, Norman, Panda, Rising, Sophos, VirusBuster, VBA32, Bit9 Virus total : scanne avec AhnLab-V3, AntiVir, Authentium, BitDefender, Avast, AVG, CAT-QuickHeal, ClamAV, DrWeb, eSafe, eTrust-Vet, Ewido, FileAdvisor, Fortinet, FProt, F-Secure, Ikarus, Kaspersky, McAfee, Microsoft, NOD32v2, Norman, Panda, Sophos, Sunbelt, Symantec, TheHacker, VBA32, VirusBuster, Webwasher-Gateway Virus.org : scanne avec Clamav, Norman, Bitdefnder, AVG, F-Prot, Arcabit, Sophos, Antivir, DrWeb, Avast, VirusBuster, McAfee, Nod32, VBA32, F-Secure, CAT, Trend Micro, Panda Virscan.org : scanne avec Antivir, Arcavir, Avast, AVG, Bitdefender, Clamav, DrWeb, F-Prot, F-Secure, Ikarus, Kaspersky, KingSoft, McAfee, Mks_vir, NOD32, Norman, Panda, Sophos, Symantec, Trend Micro, VBA32, VirusBuster

Les antivirus gratuits Actuellement, un particulier n'a aucune raison de ne pas avoir d'antivirus sur son ordinateur. Voici la liste des antivirus gratuits disponibles pour une utilisation personnelle : • • • • • • • • • • • •

F-Prot 6.0 pour Linux et pour une utilisation personnelle Comodo Antivirus pour Windows AVG Antivirus pour Windows Avast pour Windows Antivir pour Windows et Linux Clamav pour Linux. L'antivirus open source. ClamXav pour Mac. Le portage sous Mac de Clamav. Bitdefender 10 pour Windows Avast pour Linux Panda pour Linux MoonSecure Antivirus basé sur ClamAV et capable de faire de la protection en temps réel. ClamWin est le portage de Clamav sous Windows en utilisant Cygwin. Un peu buggé (ClamWin n'a pas le même ratio de détection que Clamav à cause du portage Cygwin) et ne contient pas de protection en temps réel.

Les antivirus gratuits ne nécessitant pas d'installation Ces antivirus ne nécessitent aucune installation. Pratique pour une exécution en mode sans échec, dans le cadre d'une infection ponctuelle.

• • •

Dr Web CureIt ne nécessite pas d'installation. Il ne contient pas de module de mise à jour ni de protection permanente. MicroWorld Antivirus Toolkit ne nécessite pas d'installation. Il ne contient pas de module de mise à jour ni de protection permanente. Inside Security Rescue Toolkit est un live CD comportant Clamav et supporte l'accès en écriture au système de fichiers NTFS. C'est un projet open source.

• UTILITAIRES DE DESINFECTION

Pour que la désinfection soit complète, les utilisateurs de Windows Me ou XP doivent désactiver la restauration du système avant de scanner leur disque dur

•

FixMebroot ( 168Ko) : détecte et élimine le cheval de Troie Mebroot (cet utilitaire n'est plus proposé en libre téléchargement par Symantec. Pour obtenir la version la plus récente, contacter leur support technique). •

FixSchoeb-Haxdoor ( 702Ko) : détecte et élimine les troyens Backdoor.Haxdoor.S et Trojan.Schoeberl.E.

•

FxSpANDM ( 163Ko) : détecte et élimine le virus Spybot.ANDM.

•

FixSpybot ( 148Ko) : détecte et élimine le virus W32.Spybot.ACYR.

•

FxRajump ( 166Ko) : détecte et élimine le virus Rjump.A/Adober.

•

FixPasbr ( 166Ko) : détecte et élimine le virus W32.Pasobir.

•

FixLinkopt ( 177Ko) : détecte et élimine le troyen Trojan.Linkoptimizer/Small.

•

FixBacalid ( 312Ko) : détecte et élimine le virus W32.Bacalid.

•

FxAntiny ( 175Ko) : détecte et élimine les virus HLLW.Antinny, HLLW.Antinny.E, HLLW.Antinny.G, Antinny.K, Antinny.Q, Antinny.AX ainsi que les troyens Sientok et Exponny.

•

FixAbwiz ( 168Ko) : détecte et élimine le troyen Trojan.Abwiz.F.

•

FixDavs ( 2 Mo) : détecte et élimine le virus W32.Davs.

•

FixKiman ( 167Ko) : détecte et élimine les virus Kiman.A et Kiman.B.

•

FixBmalE ( 169Ko) : détecte et élimine le virus Blackmal.E.

•

FxSecefa ( 172Ko) : détecte et élimine les virus Secefa.A, Secefa.B, Secefa.C et le troyen Gamqowi.

•

FixRyknos ( 170Ko) : détecte et élimine Backdoor.Ryknos, Backdoor.Ryknos.B et SecurityRisk.First4DRM.

•

FxLodear ( 175Ko) : détecte et élimine les troyens Lodear.B, Lodear.C, Lodear.D, Lodav.A et Lodav.B.

•

Fxpexmor ( 682Ko) : détecte et élimine le virus Pexmor.

•

FixBobax ( 2,1Mo) : détecte et élimine les virus Bobax.AH et Bobax.Z.

•

FixEsbot ( 169Ko) : détecte et élimine les virus Esbot.A, Esbot.B et Esbot.C.

•

FixZotob ( 172Ko) : détecte et élimine les virus Zotob.A, Zotob.B, Zotob.C, Zotob.D, Zotob.E et Zotob.F.

•

FixReatle ( 158Ko) : détecte et élimine le virus Reatle.C.

•

FxJasbom ( 158Ko) : détecte et élimine Trojan.Jasbom.

•

Restore_GpcodeB ( 72Ko) : utilitaire permettant de décrypter gratuitement les documents cryptés par le troyen Pgpcoder.

•

F-vmonde ( 32Ko) : détecte et élimine l'adware Vundo/Virtumonde (double-cliquer sur le fichier f-vmonde.zip pour ouvrir l'archive, exécuter le fichier f-vmonde.exe, puis redémarrer l'ordinateur).

•

FxVundoB ( 170Ko) : détecte et élimine l'adware Vundo.B/Virtumonde.B.

•

FixVundo ( 158Ko) : détecte et élimine Trojan.Vundo.

•

FixSflog ( 168Ko) : détecte et élimine les virus Serflog.A et Serflog.C (copie de l'utilitaire ici pour les utilisateurs ne pouvant plus accéder au site officiel)

•

FixMytob ( 174Ko) : détecte et élimine les virus Mytob.A, Mytob.B, Mytob.L, Mytob.M, Mytob.R, Mytob.U, Mytob.AG, Mytob.AH et Mytob.AS, Mytob.BV, Mytob.CF, Mytob.CH, Mytob.CU, Mytob.CY, Mytob.DA, Mytob.DB, Mytob.DF, Mytob.DJ, Mytob.DL, Mytob.DP, Mytob.DV, Mytob.EB, Mytob.EC, Mytob.ED, Mytob.EE et Mytob.EG.

•

FxMytbar ( 166Ko) : détecte et élimine le virus W32.Mytob.AR@mm.

•

FxBropia ( 151Ko) : détecte et élimine les virus Bropria.A, Bropia.J et Bropia.N et Bropia.P.

•

FixEnvid ( 158Ko) : détecte et élimine les virus W32.Envid.B@mm and W32.Envid.C@mm.

•

FxErkez ( 155Ko) : détecte et élimine le virus Zafi.D / Erkez.D.

•

FxErkezB ( 155Ko) : détecte et élimine le virus Zafi.B / Erkez.B.

•

FixBofra ( 153Ko) : détecte et élimine les virus Bofra.A, Bofra.B, Bofra.C et Bofra.D.

•

FxEvaman.exe ( 155Ko) : détecte et élimine le virus W32.Evaman.C.

•

AntiMabutu.exe ( 61Ko) : détecte et élimine le virus Mabutu.A.

•

CabirFix ( 21Ko) : détecte et élimine le virus Cabir.

•

Antizafi.exe ( 61Ko) : détecte et élimine le virus Zafi.B.

•

FxSasser ( 150Ko) : détecte et élimine les virus Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E et Sasser.G.

•

KB 873018 ( 118Ko) : cet utilitaire pour détecter et supprimer Scob a été remplacé par l'utilitaire MSRT.

•

FixKorgo ( 144Ko) : détecte et élimine les virus Korgo.F, Korgo.H, Korgo.I, .Korgo.L, Korgo.P, Korgo.R, Korgo.S, Korgo.T, Korgo.U, Korgo.V et Korgo.Z.

•

FixDonk ( 144Ko) : détecte et élimine le virus W32.Donk.Q.

•

FixOpasa ( 148Ko) : détecte et élimine le virus W32.Opasa@mm.

•

FxErkez ( 153Ko) : détecte et élimine le virus Erkez.A (= Zafi.A).

•

FxBkmalB ( 150Ko) : détecte et élimine le virus Blackmal.B.

•

FxBgleMO ( 2,6 Mo) : détecte et élimine les virus Bagle.M/N, Bagle.P/N et BagleQ/O.

•

FXNetsky ( 148Ko) : détecte et élimine les virus Netsky.B, Netsky.C, Netsky.D, Netsky.E, Netsky.J/K, Netsky.P, Netsky.Q, Netsky.S, Netsky.T, Netsky.X et Netsky.Y, Netsky.Z et Netsky.AB.

•

FxMydoom ( 156Ko) : détecte et élimine les virus Mydoom.A, Mydoom.B, Mydoom.F, Mydoom.G, Mydoom.H, Mydoom.L, Mydoom.M, Mydoom.Q/S, Mydoom.AM, Mydoom.AX, Mydoom.AZ, Mydoom.BA, Mydoom.BN, Mydoom.BO@mm, Mydoom.BQ, Mydoom.BT, Mydoom.BU, Zincite.A, Zindos.A, Nemog, Nemog.D.

•

FxDumaru ( 159Ko) : détecte et élimine les virus Dumaru.Y et Dumaru.Z.

•

FxBeagle ( 1,3Mo) : détecte et élimine notamment les virus Bagle.A, Bagle.B, Bagle.C, Bagle.E, Bagle.F, Bagle.G, Bagle.H, Bagle.I, Bagle.J, Bagle.K, Bagle.U, Bagle.W/X/Y/Z, Bagle.X/Y/Z/AA, Bagle.Y/AD, Bagle.Z/AE, Bagle.AB/AF, Bagle.AG/AI, Bagle.AO/AL, Bagle.AR/AS, Bagle.AT/AV, Bagle.AU/AW, Bagle.AX/AY, Bagle.AY/AZ et Bagle.BA.

•

FxAnig ( 150Ko) : détecte et élimine le virus Anig.

•

FixSbr ( 179Ko) : détecte et élimine les virus Sober.A, Sober.B, Sober.C, Sober.D, Sober.E, Sober.F, Sober.G, Sober.I, Sober.L, Sober.N et Sober.O, Sober.Q, Sober.V, Sober.W et Sober.X.

•

FxGaobot ( 151Ko) : détecte et élimine les virus Gaobot.AG, Gaobot.AO, Gaobot.SY, Gaobot.ZX, Gaobot.ADX, Gaobot.AJD et Gaobot.Gen.

•

FxGaobotUJ ( 157Ko) : détecte et élimine le virus Gaobot.UJ.

•

FixQhost ( 178Ko) : détecte et élimine le troyen Qhosts.

•

AntiIvrol ( 57Ko) : détecte et élimine le virus Torvil / Torvel / Ivrol (ne dispense pas d'installer le correctif Internet Explorer).

•

FixSwen ( 191Ko) : détecte et élimine le virus Swen.A.

•

AntiNeroma ( 55Ko) : détecte et élimine les virus Neroma.A et .B.

•

FxDumaru ( 165Ko) : détecte et élimine le virus Dumaru.

•

FixSbigF ( 172Ko) : détecte et élimine le virus Sobig.F.

•

FixWelch ( 165Ko) : détecte et élimine les virus Nachi.A / Welchia.A, Nachi.B / Welchia.B et Nachi.C / Welchia.C et Welchia.D.

•

FxDumaru ( 165Ko) : détecte et élimine le virus Dumaru.

•

FixBlast ( 140Ko) : détecte et élimine le virus Lovsan/Blaster et ses variantes Blaster.B, Blaster.C, Blaster.D, Blaster.E et Blaster.F.

•

FixWinsh ( 166Ko) : détecte et élimine la porte dérobée Backdoor.Winshell.50 (= BackDoor-TC) et le troyen Trojan.Stealther.B.

•

AntiMimail ( 59Ko) : détecte et élimine les virus Mimail.N, Mimail.Q et Mimail.T.

•

FxMimail ( 159Ko) : détecte et élimine le virus Mimail.A, ainsi que ses variantes C, D, E, F, G, I, J, L et M.

•

FixSbigE ( 165Ko) : détecte et élimine le virus Sobig.E.

•

FixFemot ( 165Ko) : détecte et élimine le virus Femot/Mofei.A.

•

FixBugb ( 160Ko) : détecte et élimine le virus Bugbear.B.

•

FixSbigC ( 160Ko) : détecte et élimine le virus Sobig.C.

•

AntiHolar ( 56Ko) : détecte et élimine le virus Holar.H.

•

KillAuric ( 35Ko) : détecte et élimine le virus Auric.A/Magold.A.

•

FxSobigB ( 165Ko) : détecte et élimine le virus Sobig.B/Palyh.

•

FixFiz ( 165Ko) : détecte et élimine le virus Fizzer.A.

•

AntiGanda ( 34Ko) : détecte et élimine le virus Ganda.A.

•

FixLGate ( 167Ko) : détecte et élimine le virus Lovgate (toutes les variantes de A à L, ainsi que W32.Lovgate.R, W32.Lovgate.W, W32.Lovgate.X, W32.Lovgate.Y, W32.Lovgate.Z et W32.Lovgate.AD).

•

FixSQLex ( 115Ko) : détecte et élimine le virus SQLSlammer de la mémoire (ne dispense pas d'installer le correctif MS SQL Server).

•

FixSobig ( 161Ko) : détecte et élimine le virus Sobig.

•

FixLirva ( 167Ko) : détecte et élimine les virus Lirva.A et Lirva.C.

•

FixYaha ( 167Ko) : recherche et élimine les virus Yaha.E/F, Yaha.F/G, Yaha.K et Yaha.J.

•

FixWEvar ( 140Ko) : détecte et élimine le virus Winevar.

•

FixBrid ( 598Ko) : détecte et élimine le virus Brid.

•

FixOpsrv ( 155Ko) : détecte et élimine le virus Opaserv et ses variantes connues.

•

FxBgbear ( 175Ko) : recherche et élimine le virus BugBear (en cas de problème, vous pouvez aussi utiliser AntiBugBear).

•

RMSlapper ( 25Ko) : détecte les virus Slapper.A (Bugtraq), Slapper.B (Cinik) et Slapper.C

(Unlock), et élimine les variantes A et B. Exécutable permettant de désinfecter une machine sous Linux en spécifiant son adresse IP. •

FixFreth ( 175Ko) : recherche et élimine toutes les variantes connues du virus Frethem, dont Frethem.E et Frethem.K.

•

AntiDatom ( 54Ko) : recherche et élimine le virus Datom.

•

AntiK0wbot ( 101Ko) : recherche et élimine le troyen K0wbot.1.3.B.

•

AntiBenjamin ( 41Ko) : recherche et élimine le virus Benjamin.

•

FixAutoupder ( 160Ko) : recherche et élimine le troyen Backdoor.Autoupder (= Backdoor.Trojan ou Downloader.Trojan).

•

FixKlez ( 135 Ko) : recherche et élimine toutes les variantes du virus Klez (notamment .E et .H) et leur virus associé Elkern (lire les consignes d'utilisation en anglais ou une traduction en français).

•

FixMLifeCEF ( 76Ko) : recherche et élimine les virus Mylife.C, Mylife.E et Mylife.F.

•

FixMLife ( 170Ko) : recherche et élimine les virus Mylife.A et Mylife.B.

•

FixMyparty ( 88Ko) : recherche et élimine le virus Myparty.

•

FixGigger ( 48Ko) : recherche et élimine le virus Gigger.

•

FixZoher ( 80Ko) : recherche et élimine le virus Zoher.

•

FixShoho ( 96Ko) : recherche et élimine le virus Shoho (alias Welyah).

•

FixDlDer ( 143Ko) : recherche et élimine le troyen DlDer.

•

FixGokar ( 40Ko) : recherche et élimine le virus Gokar.

•

FixGoner ( 406Ko) : recherche et élimine le virus Goner.

•

FixBadtrans.B ( 122Ko) : recherche et élimine le virus Badtrans.B.

•

FixBadtrans.A ( 36Ko) : recherche et élimine le virus Badtrans.A.

•

FixNimda ( 454Ko) : recherche et élimine le virus Nimda.A (à utiliser plusieurs fois jusqu'à ce que l'analyse ne détecte plus de virus, lire les consignes d'utilisation en anglais ou une traduction en français).

•

FixNimdaE ( 450Ko) : recherche et élimine le virus Nimda.E (lire les consignes d'utilisation en anglais ou une traduction en français).

•

FixMagistrB ( 60Ko) : recherche et élimine le virus Magistr.B (lire les consignes d'utilisation en anglais ou une traduction en français).

•

FixMagistr ( 60Ko) : recherche et élimine le virus Magistr.A (lire les consignes d'utilisation en anglais ou une traduction en français).

•

FixHybris ( 24Ko) : recherche et élimine le virus Hybris.

•

FixPotok ( 71Ko) : recherche et élimine le virus Potok (lire les consignes d'utilisation en anglais ou une traduction en français).

•

FixSirc ( 74Ko) : recherche et élimine le virus SirCam (lire les consignes d'utilisation en anglais ou une traduction en français).

•

FixBlebla ( 36Ko) : recherche et élimine le virus Blebla.B.

•

FixHaptime ( 70Ko) : recherche et élimine le virus Haptime.

•

FixNavi (36 Ko) : élimine les virus Navidad et Emmanuel (consulter les fiches correspondantes pour avoir la procédure complète de désinfection).

•

FixQaz9x et FixQazNT (40 Ko) : élimine le virus Qaz en cas d'infection d'un ordinateur respectivement sous Windows 95/98 ou sous NT.

•

AntiSpaces (148 Ko) : élimine le virus Win95.Spaces en cas d'infection.

•

FixFun (30 Ko) : élimine le virus FunLove en cas d'infection (lire les consignes d'utilisation en anglais ou une traduction en français).

•

FixLife (216 Ko) : élimine le virus Stages en cas d'infection.

•

AntiLove (24 Ko) : élimine le virus ILOVEYOU en cas d'infection.

•

AntiKak (391 Ko) : élimine le virus Kak et sa variante Kak.B.

•

FixHappy (213 Ko) : élimine le virus Happy99.

•

FixExzip (164 Ko, anciennement appelé Kill_EZ) : élimine le virus ZippedFiles (alias ExploreZip).

•

Stinger ( 0,7 Mo) : recherche et élimine les virus et troyens les plus fréquemment rencontrés (dont BackDoor-AQJ, BackDoor-JZ, Bat/Mumu.worm, IPCScan, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, PWS-Narod, PWS-Sincom.dll, W32/Deborm.worm.gen, W32/Doomjuice.worm, W32/MoFei.worm, W32/Mumu.b.worm, W32/Pate, W32/Sdbot.worm.gen , BackDoor-CFB, Backdoor.Agent.B ; voir la liste complète).

•

Malicious Software Removal Tool (0,3 Mo) : utilitaire de désinfection de Microsoft permettant de rechercher et de supprimer les principaux virus (dont Win32/Berbew, Win32/Doomjuice, Win32/Gaobot, Win32/MSBlast, Win32/Mydoom, Win32/Nachi, Win32/Sasser, Win32/Zindos ; voir la liste complète).

•

a² free ( 3,1 Mo) : recherche et élimine une grande variété de troyens, dialers, spywares et virus (dont TrojanDownloader.Win32.Dyfuca, TrojanDownloader.Win32.IstBar, TrojanDownloader.Win32.Wintrim.a, Trojan.Win32.KillReg.d, Trojan.Win32.StartPage; voir la liste).

•

Symantec Mobile Threats Removal Tool (23 Ko) : utilitaire de désinfection gratuit pour

téléphones mobiles SymbianOS (détecte et élimine les virus Cabir, Cabir.B, Commwarrior.A et Commwarrior.B, voir la liste). Pour que la désinfection soit complète, les utilisateurs de Windows Me ou XP doivent désactiver la restauration du système avant de scanner leur disque dur

Antispywares gratuit ( d’après le site inoculer.com) La plupart des possesseurs de PC pensent qu'il suffit d'avoir un antivirus (voire un firewall) pour être à l'abri des problèmes. Une grande majorité d'entre eux sont pourtant victimes de spywares, ces petits programmes qui s'installent souvent à notre insu, ou suite à l'acceptation d'un message quelconque qui apparaît a l'écran. Certains ignorent même leur présence sur leur machine, et d'autres les voient sans pour autant se demander comment il est possible de les enlever, et du coup ils vivent avec... Un peu comme un chien vit avec des tics et des puces... Les antispywares gratuits vous permettent de protéger votre pc contre les logiciels espions, et cela sans débourser un copec! Voici une liste de ces antispywares à télécharger. •

# A-squared Free A-squared analyse votre disque dur à la recherche de spywares, troyens, backdoors, dialers et vers, d'après une liste de programmes malveillants et vous permet de les éliminer. Cette version gratuite est utilisable sans limitation dans le temps, mais ne dispose pas de toutes les fonctionnalités de la version payante. procédure : Visitez le site, téléchargez la dernière version dans la section "Téléchargement" et installez-la. programme à télécharger : 4.4 Mo. nature : gratuit, programme exécutable Windows. langue : anglais, français, allemand. note : • •

• •

# Ad-Aware Free Ad-aware scanne la mémoire, les disques durs/optiques/démontables ainsi que le registre de votre système à la recherche de spywares (collecte de données, publicité agressive, tracking) et fournit les résultats ainsi que la possibilité de les mettre en quarantaine ou de les supprimer définitivement. La liste des spywares est assez complète, et peut être mise à jour régulièrement. Lire attentivement la documentation fournie, car supprimer certains spywares peut rendre impossible l'exécution des programmes dont ils font partie. Existe aussi en version Plus et Pro (payantes toutes les deux). procédure : Visitez la page, téléchargez la dernière version dans la section "Download" et installez-la. programme à télécharger : 17.3 Mo. nature : gratuit, programme exécutable Win. langue : anglais. note : # Bazooka Petit et rapide, ce programme scanne votre système à la

recherche de plus de 460 spywares et adwares connus, et fournit pour chaque logiciel indésirable un lien vers une encyclopédie en ligne. Bazooka ne vous propose pas de supprimer les spywares, mais vous fournira les instructions nécessaires ou des liens vers des désinstallateurs (le cas échéant). De prime abord limité, Bazooka est rapide et fournit des informations régulièrement mises à jour. Pour ceux qui ne veulent pas se prendre la tête. procédure : Visitez le site, téléchargez la dernière version dans la section "Download" et installez-la. programme à télécharger : 718 Kb. nature : gratuit, programme exécutable Win. langue : anglais. note : • •

• •

• •

# BHO Demon BHO Demon permet de détecter les BHO's (Browser Helper Objects), petits programmes pouvant abriter des spywares et de les désactiver. Actuellement il n'est plus tenu à jour par son éditeur. procédure : Visitez le site, téléchargez la dernière version dans la section "Download >> BHO Demon" et installez-la. programme à télécharger : 127Ko. nature : gratuit, programme exécutable Win. langue : anglais. note : # eTrust PestScan Computer Associates met gratuitement à votre disposition la version en ligne de son antispyware PestScan. Cette version ne fait cependant que détecter les menaces, sans pouvoir les supprimer. procédure : Visitez le site. Presser le bouton "START" pour commencer l'analsye. note : nécessite que activex soit activé sur votre navigateur. nature : gratuit, antispyware en ligne. langue : anglais. # KL-Detector Le principe de ce détecteur de keylogger se base sur le fait que la plupart des keyloggers crée un fichier caché .LOG sur votre système. Il vous propose donc d'utiliser votre clavier pendant quelques instants, le temps qu'il vérifie toute activité suspecte. A ne pas utiliser de manière permanente, il risquerait dans ce cas de détecter des faux positifs (détection d'un keylogger là où il n'en existe pas) occasionné par l'utilisation normale d'un PC. N'étant pas totalement au point, il est à réserver aux experts, qui sauront trier le bon grain de l'ivraie. procédure : Visitez le site, dans la rubrique "Download", téléchargez la dernière version et installez-la. programme à télécharger : 35 Kb. nature : gratuit, programme windows. langue : anglais. note :

• •

• •

• •

• •

# Perfect Process Perfect Process offre à votre ordinateur une protection temps réel contre plus de 1'000 programmes potentiellement malveillants. Il peut aussi effectuer un scan à distance (avec des droits administrateurs) et un visionneur donnant beaucoup d'informations sur les process tournant sur votre machine. Moins sophistiqué que d'autres antispywares mais apprécié des utilisateurs avancés. procédure : Visitez le site, téléchargez la dernière version dans la section "Download" et installez-la. programme à télécharger : 4 Mb. nature : gratuit (pour 5 ordinateurs ou moins), programme windows. langue : anglais. note : # Spybot Search & Destroy Un must ! Il supprime spywares et autres logiciels mouchards, permet de gérer les cookies et les BHO's (Browser Helper Objects); il permet aussi d'obtenir des renseignements sur tout intrus détecté sur le système. Il possède aussi une fonction de sauvegarde permettant de revenir sur des modifications (au cas où un de vos logiciels ne marche plus, suite à la suppression d'un spyware). Simple, facile et efficace. Un must, on vous dit ! procédure : Visitez le site, téléchargez la dernière version et installez-la. configuration: Windows. programme à télécharger : 3.5 Mo. nature : gratuit, programme exécutable Windows. langue : fran&cidil;ais, anglais, allemand, espagnol, italien... note : # SpySites SpySites dispose d'une liste de sites (plus de 1500), connus pour leur utilisation des logiciels de tracking ou pour leur tentative d'installation de logiciels de tierce partie. Vous sélectionnez ceux que vous désirez, voire tous, voire seulement les plus "agressifs", et SpySites ajoutera les URLs correspondant à la Zone Restreinte de Internet Explorer, bloquant l'accès à ces sites. Ensuite, à moins de vouloir changer la configuration, il n'est plus nécessaire de lancer SpySites. procédure Visitez le site, téléchargez la dernière version dans la section "Download>>Internet" et installez-la. configuration: Windows. programme à télécharger : 570 Kb. nature : gratuit, programme exécutable Windows. note : # Spyware Blaster "Mieux vaut prévenir que guérir !" Telle est la devise de Spyware Blaster. Il désactive certains contrôles ActiveX si populaires sur le net et trop souvent porteurs de spywares. En faisant ceci, il empêche un grand nombre de spywares de venir s'installer sur votre ordinateur. Il permet aussi de prendre une "photo" des paramètres et d'éventuellement y revenir en cas de modifications survenues à cause de

spywares et autres invasions. procédure : Visitez le site, téléchargez la dernière version dans la section "Download" et installez-la. programme à télécharger : 2.2 Mo. nature : gratuit, programme exécutable Windows. langue : anglais. note : • •

• •

• •

• •

# SpyWare Guard Spyware Guard propose une protection en temps réel contre les spywares. Il fonctionne comme un anti-virus, scannant les fichiers .EXE et .CAB lorsque vous y accédez et vous alertant s'il y trouve un spyware. Le cas échéant, il bloque l'accès à ce fichier et propose alors un choix d'actions à effectuer. Il propose plusieurs types de scan (d'après liste, par méthode heuristique, scan rapide) et un outil de mise à jour en ligne. Attention, ce logiciel n'est pas un anti-virus, il ne s'occupe que des spywares. procédure : Visitez le site, téléchargez la dernière version dans la section "Download" et installez-la. programme à télécharger : 913 Kb. nature : gratuit, programme exécutable Windows. langue : anglais. note : # Trend Micro HijackThis HijackThis liste tous les add-ons installés par votre browser Internet et vous permet de les vérifier et d'éventuellement les enlever. Ce logiciel crée une sauvegarde de votre configuration avant changement, propose des options telle la mise à jour automatique et autres. Réservé aux initiés. procédure : Visitez cette page, téléchargez la dernière version et installez-la. programme à télécharger : 392 Ko. nature : gratuit, programme. langue : anglais. note : # Webroot SpyAudit SpyAudit est un petit outil qui permet de scanner rapidement votre disque dur. Toutefois, il ne fournit aucun moyen de le nettoyer: il permet simplement de vérifier que tout va bien. procédure : Visitez la page, cliquez sur "start spy audit" pour effectuer la vérification. nature : gratuit, programme en ligne. langue : anglais. note : # Windows Defender Windows Defender (anciennement appelé Giant AntiSpyware) est l'antispyware proposé par Microsoft pour protéger son système d'exploitation Wndows. Il est encore en version bêta (version de test

pouvant comporter des bogues de programmation). procédure : Visitez la page, cliquez sur "Téléchargez-le ici", sélectionnez la langue puis pressez le bouton "Change", et suivez les instructions pour télécharger la dernière version et l'installer. programme à télécharger : 4,9 Mo. nature : gratuit pendant une durée limitée, programme exécutable Windows. langue : anglais. note : • •

# XP-AntiSpy Ce tout petit logiciel permet de gérer les failles de sécurité présentes dans Windows XP. Toutes les modifications proposées par XP-AntiSpy peuvent être faites manuellement, mais il vous permettra de le faire plus facilement, plus rapidement, que ce soit quand vous désactiver certaines options ou que vous souhaitez les réactiver. procédure : Visitez la page, téléchargez la dernière version dans la section "Download" et installez-la. programme à télécharger : 29 Kb. nature : gratuit, programme exécutable Windows. langue : anglais. note :

•

On peut aussi ajouter à cette liste les nouveaux outils dans leurs forme gratuite : • • •

Logiciel AVG Anti-Spyware 7.5 site officiel grisoft.com. (anciennement ewido anti-spyware 4.0)

Grisoft propose depuis longtemps une version gratuite de son antivirus, AVG. L'éditeur propose également un anti spyware qui bénéficie lui aussi d'une version gratuite. Par rapport à la version payante, plusieurs fonctionnalités sont manquantes, notamment la protection en temps réel et les mises à jour automatiques, ce qui est également le cas de concurrents comme Ad-Aware SE Personal. Limitations de la version gratuite : le bouclier résident et les mises à jour automatiques sont limitées à 30 jours d'évaluation. Le logiciel conserve toutes ses autres fonctionnalités. •

Télécharger AVG Anti-Spyware 7.5 sur clubic.com avec language français Configuration compatible: Windows 98/Vista/XP

Anti-rootkit

•

McAfee Rootkit Detective Beta (1,7 Mo) : utilitaire gratuit permettant la détection et la suppression des rootkits (programmes malicieux furtifs) sous Windows XP et 2000, par l'éditeur d'antivirus Mc Afee.

•

F-Secure.com Blacklight Beta (0,9 Mo) : autre utilitaire gratuit (mais pendant une durée limitée) permettant la détection et la suppression des rootkits sous Windows, par l'éditeur d'antivirus F-Secure.

•

AVG Anti-Rootkit Free (0,4 Mo) : cet utilitaire n'est plus disponible gratuitement.

Réparer son PC agressé avec l’outil HijackThis (Attention ce petit tutoriel traduit par el-Diablo est réservé aux utilisateurs avertis) HijackThis est un anti hijack, il est capable de: • •

Détecter les composants ajoutés à votre navigateur. Détecter les programmes lancés au démarrage du système, etc.

HijackThis vous permet également de consulter tous les éléments et éventuellement de les retirer de l'ordinateur. A titre d'exemple HijackThis est en mesure de forcer le changement de la page d'accueil de IE. HijackThis ne nécessite pas d'installation. Téléchargement : HijackThis version 1.98.2 Téléchargement : HijackThis patch FR A savoir avant d'utiliser HijackThis 1) La Base de Registre (BDR) Cliquer sur: Démarrer > Exécuter, dans la zone de texte, taper: regedit et valider la boîte. Dans l'éditeur de la base de registre (regedit.exe) vous apercevez cinq clés principales, dans cet ordre :

Voici quelques précisions sur ces différentes clés : HKEY_CLASSES_ROOT (nommé HKCR) Elle contient toutes les associations de fichiers. Le nom des premières clés correspond à l'extension de fichier à laquelle on s'intéresse. Plus bas dans l'arborescence sont indiquées des clés correspondant aux noms des types de

fichiers auxquels sont attribuées : L’icône par défaut (DefaultIcon) Le type d'action associée (shell) : ouvrir, exécuter, etc. HKEY_CURRENT_USER (nommé HKCU) Elle définit les paramètres relatifs à l'utilisateur, ils sont classés en six sous-catégories : Control panel : c'est le panneau de configuration Software : relatifs aux logiciels installés AppEvents : ce sont les sons systèmes Keyboard layout : les paramètres du clavier Remote Access : relatifs aux accès réseau à distance Network : Configuration du réseau HKEY_LOCAL_MACHINE (nommé HKLM) Elle contient toutes les informations, Concernant votre machine : Hardware : processeur et carte-mère Enum : matériel Network : réseau, Internet Software : les configurations des logiciels communes à tous les utilisateurs. HKEY_USERS (nommé HKU) Elle contient les paramètres relatifsà chacun des utilisateurs, classés séparément. HKEY_CURRENT_CONFIG (nommé HKCC) C'est un raccourci vers la configuration actuellement utilisée dans HKLM\Config. Elle contient les paramètres relatifs à la configuration courante de l'ordinateur.

2) Comment lancer Regedit Cliquer sur le menu Démarrer > Exécuter > tapez regedit et ENTER.

3) Comment sauvegarder une clé de registre Dans la BDR, faite un clique droit sur celle-ci et sélectionnez Exporter. Indiquez lui un nom à votre convenance. 4) Voici quelques captures afin d'avoir un aperçu de HijackThis Le programme Lancé :

Après avoir effectué un Scan :

Accès au Panneau Configuration / Menu :

Accés Panneau de Configuration / Ignorés :

Accès au Panneau Configuration / Sauver :

Accès Panneau de Configuration / Outils :

IMPORTANT Les opérations de réparations effectuées par HijackThis se font dans la Base de Registre, il s'agit donc d'une zone sensible de votre système. Pensez à faire une sauvegarde avant de faire vos manipulations (onglet Config > Sauver). Enfin, ce tutorial est là pour vous aider à comprendre comment fonctionne HijackThis. Description : Un rapport HijackThis est divisé en plusieurs parties bien distinctes. Voici les principales données que l'on peut y trouver : R0, R1, R2, R3-Démarrage Internet Explorer/Search pages URLs F0, F1-Programmes qui démarrent automatiquement au démarrage N1, N2, N3, N4-Netscape/Mozilla Start/Search pages URLs O1-Hosts file redirection O2-Browser Helper Objects O3-Barres d'outils Internet Explorer O4-Démarrage automatique de programmes à partir du registre ou de la Startup List. O5-Options Internet non visibles dans le panneau de configuration O6-Accès aux options Internet refusées O7-Accès à l'éditeur de registre refusé O8-Menu contextuel IE (clique-droit) modifié O9-Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils" O10-Winsock hijacker O11-Groupe supplémentaire dans les "options avancées" de IE O12-IE plugins O13-IE DefaultPrefix hijack O14-'Reset Web Settings' hijack O15-Sites non souhaités dans la zone de confiance O16-ActiveX Objects (aka Downloaded Program Files)

O17-Lop.com domain hijackers O18-Extra protocols and protocol hijackers O19-User style sheet hijack R0, R1, R2, R3-Démarrage Internet Explorer/Search pages URLs Voici quelques exemples et recommandations: R0-HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com R1-HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com R2-(this type is not used by HijackThis yet) R3-Default URLSearchHook is missing Si vous reconnaissez l'adresse comme étant votre page de démarrage, ou celle de votre moteur de recherche, pas de problème! Sinon, FIXER!!! Pour la section R3, supprimez toujours à moins que cela ne mentionne, un programme que vous reconnaissiez, comme COPERNIC... F0, F1, F2, F3-Programmes qui démarrent automatiquement depuis des fichiers *.INI F0-System.ini: Shell=Explorer.exe Openme.exe F1-Win.ini: run=hpfsched Les entrée F0 sont toujours mauvaises, donc FIXER!!. En F1, vous trouverez généralement de vieux programmes qui sont "sains", Vous devriez donc chercher des informations pour vérifier si le fichier est sain ou non. N1, N2, N3, N4-Pages de recherche et de démarrage Netscape/Mozilla N1-Netscape 4:user_pref("browser.startup.homepage","www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2-Netscape6:user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2-Netscape6:user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape %206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) De manière générale, les pages de démarrage de Mozilla et Netscape sont saines. Il est très rare qu'elles soient hijackées, il n'y a en effet que lop.com (en anglais) qui a ce savoir. Là encore si vous voyez quelque chose qui ne vous est pas familier, FIXER!!! O1-Hostsfile redirections O1-Hosts: 216.177.73.139 auto.search.msn.com O1-Hosts: 216.177.73.139 search.netscape.com O1-Hosts: 216.177.73.139 ieautosearch O1-Hosts file is located at C:\Windows\Help\hosts Ce code vous redirigera tout droit vers l'adresse IP de gauche. Si cette adresse IP n'appartient à aucun site, vous serez redirigé vers un site non voulu à chaque fois que vous entrerez l'adresse. Vous pouvez supprimer ces entrées à moins qu'elles ne soient laissées en connaissance de causes. La dernière entrée agit parfois sous Windows 2000/XP par une infection de type Coolwebsearch (description complète, en anglais). FIXER !!! Ou téléchargez CWShredder

(en anglais) qui résoudra le problème automatiquement. O2-Objets Aide Browser O2-BHO:Yahoo!CompanionBHO-{13F537F0-AF09-11d6-9029-0002B31F9E59}C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O2-BHO:(noname)-{1A214F62-47A7-4CA3-9D00-95A3965A8B4A}C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing) O2-BHO:MediaLoadsEnhanced-{85A702BA-EA8F-4B83-AA07-07A5186ACD7E} C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL Si vous ne reconnaissez pas directement le nom d'un tel objet, allez voir TonyK's BHO & Toolbar List Pour voir s'il est sain ou non: Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche, Dans la liste: 'X'=spyware et 'L'=sain. O3-Barres d'outils Internet Explorer O3-Toolbar:&Yahoo!Companion-{EF99BD32-C1FB-11D2-892F-0090271D4F88}C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O3-Toolbar:Popup Eliminator-{86BCA93E-457B-4054-AFB0-E428DA1563E1}C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) O3-Toolbar: rzillcgthjx-{5996aaf3-5c08-44a9-ac12-1843fd03df0a}C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL Si vous ne reconnaissez pas directement le nom d'une barre d'outil, utilisez TonyK's BHO & Toolbar List Pour voir s'il est sain ou non: Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche, dans la liste: 'X'=spyware et 'L'=sain. S'il n'apparaît pas dans la liste, que le nom semble être une chaîne de caractères "au hasard" et que le fichier se trouve dans le dossier "Application Data" (comme le dernier exemple dans la liste un peu plus haut), il s'agit peut être de lop.com (description en anglais). Donc FIXER!!! O4-Démarrage automatique de programmes à partir du registre ou de la Startup List. O4-HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4-HKLM\..\Run: [SystemTray] SysTray.Exe O4-HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4-Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4-Global Startup: winlogon.exe Utilisez ici PacMan's Startup List pour voir si l'entrée est saine ou malsaine. Si l'entrée montre un programme demeurant dans un Startup Group (comme le dernier exemple), HijackThis ne peut pas le réparer directement, vous devrez utiliser le Gestionnaire des Tâches de Windows "Ctrl+Alt+Suppr" (TASKMGR.EXE) pour fermer le processus gênant. Ce n'est qu'après cette opération que vous pourrez supprimer le spyware. O5-Options Internet non visibles dans le panneau de configuration O5-Control.ini: inetcpl.cpl=no A moins que l'administrateur n'ait volontairement caché l'icône, FIXER!!! O6-Accès aux Options Internet limitées par Administrateur O6-HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present Si l'option "verrouiller la page de démarrage" de Spybot Search & Destroy n'est pas activée ou si l'administrateur n'est pas à l'origine de la modification, FIXER!!!

O7-Accès à l'éditeur de registre refusé O7-HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Toujours supprimée cette entrée, sauf si l'administrateur est à l'origine de la modification. O8-Menu contextuel IE (clique-droit) modifié O8-Extra context menu item: & Google Search-res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html O8-Extra context menu item: Yahoo! Search-file:///C:\Program Files\Yahoo!\Common/ycsrch.htm O8-Extra context menu item: Zoom & In-C:\WINDOWS\WEB\zoomin.htm O8-Extra context menu item: Zoom O&ut-C:\WINDOWS\WEB\zoomout.htm Si vous ne reconnaissez pas le nom de l'item dans le menu, FIXER!!! O9-Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils" O9-Extra button: Messenger (HKLM) O9-Extra 'Tools' menu item Messenger (HKLM) O9-Extra button: AIM (HKLM) Si vous ne reconnaissez pas le bouton ou l'item du menu, FIXER!!! O10-Winsock hijackers O10-Hijacked Internet access by New.Net O10-Broken Internet access because of LSP provider C:\progra~1\common~2\toolbar\cnmib.dll' missing O10-Unknown file in Winsock LSP: C:\Program Files\Newton knows\vmain.dll, Il est mieux dans ce cas d'utiliser Spybot Search & Destroy. Noter que tous les fichiers 'unknown' de la liste LSP ne seront pas supprimé par HijackThis et ce pour des raisons de sécurité. O11-Groupe supplémentaire dans les "options avancées" de IE O11-Options group: [CommonName] CommonName Le seul hijacker connu capable d'une telle action est CommonName. FIXER!!! O12-IE plugins O12-Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12-Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll La plupart du temps, celles-ci sont saines. Il n'y que OnFlow qui ajoute un plugin non voulu (*.ofb). O13-IE DefaultPrefix hijack O13-DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl'url= O13-www Prefix: http://prolivation.com/cgi-bin/r.cgi' O13-www. Prefix: http://ehttp.cc/' FIXER!!! Ils sont TOUJOURS malsains. O14-'Reset Web Settings' hijack O14-IERESET.INF: START_PAGE_URL=http://www.searchalot.com Si l'URL n'est pas celle de votre FAI ou celle de votre ISP, FIXER!!! O15-Sites indésirables dans la "Zone de confiance" O15-Trusted Zone: http://free.aol.com

O15-Trusted Zone: *.coolwebsearch.com O15-Trusted Zone: *.msn.com La plupart du temps, AOL et Coolwebsearch s'insèrent silencieusement dans la zone de confiance. Si vous découvrez un site dans cette zone de confiance, et que vous n'avez pas vous-même ajouté, FIXER!!! O16-ActiveX Objects (alias Downloaded Program Files) O16-DPF:Yahoo! Chat-http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16-DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(ShockwaveFlashObject) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Si vous ne reconnaissez pas le nom de l'objet, ou de l'URL de laquelle cela a été téléchargé, FIXER!!! Si l'URL contient de mots comme 'dialer', 'casino', 'free_plugin' etc, FIXER!!! O17-Lop.com domain hijacks O17-HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17-HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17-HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17-HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com O17-HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk O17-HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIXER!!! Idem pour les entrées de type 'SearchList'. Pour les entrées de type 'NameServer' (DNS servers), recherche des IP dans GOOGLE et vous serez tout de suite renseigné ! O18-Extra protocols and protocol hijackers O18-Protocol:relatedlinks-{5AB65DD4-01FB-44D5-9537-3767AB80F790}C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18-Protocol: mctp-{d7b95390-b1c5-11d0-b111-0080c712fe82} O18-Protocol hijack: http-{66993893-61B8-47DC-B10D-21E0C86DD9C8} Un faible nombre de hijackers sont capables de cela. Les plus connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), FIXER!!! Tout ce qui apparaît et n'est pas sûr d'être sain, FIXER!!! O19-User style sheet hijack O19-User style sheet: C:\WINDOWS\Java\my.css Dans le cas ou votre explorateur est fortement ralenti ou envahi par des popups, FIXER!!! Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder. FIXER!!! On peut évaluer votre log créé par HijackThis. Pour l'utiliser, effectuez un scan avec HijackThis. Ensuite sélectionnez Save log. Enfin pour évaluer votre log, rendez-vous sur le lien ci dessus. Sélectionnez "Parcourir" et indiquez l'emplacement de celui-ci sur votre disque dur. Chaque clé sera affectée à une catégorie: Bon, Inconnu, Eventuellement Méchant, etc.... Il ne vous reste plus qu’à suivre les recommandations, avec précaution tout de même.....

Le phishing Qu'est-ce que le phishing? Le phishing (en français "hameçonnage") est une technique de fraude mélangeant spamming (envoi en masse de messages à des adresses électroniques collectées illégalement ou composées automatiquement) et ingénierie sociale (usurpation d'identité) dans le but de subtiliser des informations sensibles aux victimes (identité complète, numéro de carte bancaire, identifiants d'accès à un site Internet, etc.). Au lieu de tenter de piéger une après l'autre des personnes choisies pour leur naïveté ou leur vulnérabilité, l'escroc contacte simultanément plusieurs milliers voire dizaines de milliers de victimes potentielles en tentant de se faire passer pour leur banque ou n'importe quel autre organisme ou site Internet, comptant sur ce grand nombre pour trouver des destinataires crédules ou imprudents. Une attaque par phishing se présente souvent en deux temps : l'internaute reçoit en général un message de sa banque ou d'une autre société (voir deux exemples visant la banque LCL et le site eBay) qui l'informe d'un problème de sécurité ou d'une autre action nécessitant qu'il se rende sur le site concerné et qui l'invite pour cela à cliquer sur un lien hypertexte. Or ce dernier ne conduit pas au site officiel mais vers une imitation souvent identique à l'original contrôlée par un individu malveillant, aussi si l'internaute clique sur le lien et saisit des informations elles seront transmises directement à l'escroc. D'autres variantes existent cependant, comme un formulaire à remplir intégré dans le message ou une demande de réponse par retour du courriel (voir exemple visant Windows Live).

D'où vient le terme "phishing"? Le mot "phishing" proviendrait de la contraction des mots "phreaking" (piratage des lignes téléphoniques) et "fishing" (pêche). En d'autres termes, le phishing est une sorte de pêche aux victimes via les réseaux de communication.

Que faire en cas de phishing? Si vous n'avez pas fourni les informations demandées dans le message frauduleux, il n'y a rien à faire de particulier à part supprimer le message concerné. Si par contre vous avez été abusé et avez communiqué ces renseignements à l'auteur du phishing, connectez-vous immédiatement au véritable site de la société dont l'identité a été usurpée en saisissant manuellement son adresse dans votre navigateur, puis changez votre mot de passe afin d'empêcher le détournement de votre compte. En fonction des informations transmises, il peut être nécessaire d'entreprendre d'autres actions, notamment faire opposition si vous avez communiqué votre numéro de carte bancaire.

Les logiciels antiphishing sont-ils efficaces? Les fonctions ou logiciels antiphishing se proposant d'alerter l'utilisateur lorsqu'il accède à une imitation d'un site officiel utilisée dans le cadre d'une attaque par phishing peuvent être utiles mais ne sont en aucun cas suffisants car il arrive trop fréquemment qu'un site douteux ne soit pas détecté. La meilleure protection est encore l'utilisation et le respect d'un conseil

simple : il ne faut ne jamais cliquer sur les liens hypertextes contenus dans un message non sollicité demandant au destinataire de fournir des données sensibles ou confidentielles, même s'il semble provenir d'un expéditeur connu. En cas de doute, préférez vérifier la réalité de la demande par téléphone auprès de la société concernée ou vous rendre sur le site de cette société en saisissant manuellement son adresse dans votre navigateur, afin de ne pas risquer de cliquer sur un lien piégé ou conduisant vers une page web piégée. ALERTES PHISHING

Alertes phishing Voici la liste des principales alertes phishing (hameçonnage). Pour être informé par courrier électronique de leur diffusion, vous pouvez vous abonner gratuitement aux lettres d'information Secuser Alerte ou Secuser Info. Enfin, n'hésitez pas à nous informer de l'existence d'un nouveau phishing, particulièrement s'il cible les internautes francophones. Cible

Type

Apparition Statut

ING Direct

faux site

07/10/08

vert

LCL

faux site

23/09/08

vert

BNP Paribas

faux site

22/09/08

vert

1euro.com

faux site

12/09/08

vert

OVH

faux site

10/09/08

vert

Paypal France

faux site

08/09/08

vert

Amazon France

faux site

07/09/08

vert

réponse courriel

30/08/08

rouge

Banque Desjardins

faux site

24/08/08

vert

Orange

faux site

20/08/08

vert

CIC

faux site

17/08/08

vert

Société Générale

fax

16/08/08

rouge

Banque Populaire

faux site

11/08/08

vert

Neuf Telecom

faux site

09/08/08

vert

BNP Paribas

faux site

02/08/08

vert

eBay France

faux site

23/07/08

vert

CIC

faux site

21/07/08

vert

Orange

faux site

13/07/08

vert

CIC

faux site

09/06/08

vert

Banque Desjardins

faux site

07/06/08

vert

Orange

faux site

02/06/08

vert

Free

faux site

01/06/08

vert

CIC

faux site

27/05/08

vert

Orange

Amazon France

faux site

24/05/08

vert

Alapage

faux site

21/05/08

vert

Orange

faux site

03/05/08

vert

Orange

faux site

20/04/08

vert

Paypal France

faux site

12/04/08

vert

Paypal France

faux site

11/04/08

vert

Skype

faux site

11/04/08

vert

Banque Populaire

faux site

04/04/08

vert

La Banque Postale

faux site

01/04/08

vert

eBay France

faux site

01/04/08

vert

Paypal France

faux site

01/04/08

vert

BNP Paribas

faux site

26/03/08

vert

Google AdWords

faux site

26/03/08

vert

eBay France

faux site

24/03/08

vert

Paypal France

faux site

23/03/08

vert

Orange

faux site

23/03/08

vert

Paypal France

faux site

22/03/08

vert

eBay France

faux site

19/03/08

vert

Paypal France

faux site

19/03/08

vert

Paypal France

faux site

16/03/08

vert

Free

faux site

15/03/08

vert

eBay France

faux site

15/03/08

vert

eBay France

faux site

07/03/08

vert

Orange

faux site

07/03/08

vert

réponse courriel

07/03/08

rouge

Paypal France

faux site

06/03/08

vert

Paypal France

faux site

03/03/08

vert

Paypal France

faux site

01/03/08

vert

Paypal France

faux site

29/02/08

vert

Alapage

faux site

28/02/08

vert

eBay France

faux site

28/02/08

vert

Paypal France

faux site

28/02/08

vert

réponse courriel

27/02/08

rouge

Alapage

faux site

26/02/08

vert

Alapage

faux site

25/02/08

vert

Visa France

Chello/Numericable

Paypal France

faux site

23/02/08

vert

eBay France

faux site

23/02/08

vert

Banque Desjardins

faux site

22/02/08

vert

Paypal France

faux site

22/02/08

vert

eBay France

faux site

21/02/08

vert

eBay France

faux site

21/02/08

vert

réponse courriel

20/02/08

rouge

Paypal France

faux site

19/02/08

vert

Paypal France

faux site

11/02/08

vert

eBay France

faux site

08/02/08

vert

Paypal France

faux site

03/02/08

vert

Paypal France

faux site

03/02/08

vert

Citibank Belgique

faux site

01/02/08

vert

Crédit Mutuel de Bretagne

faux site

01/02/08

vert

eBay France

faux site

31/01/08

vert

Paypal France

faux site

26/01/08

vert

Paypal France

faux site

25/01/08

vert

Paypal France

faux site

20/01/08

vert

HSBC France

faux site

18/01/08

vert

Paypal France

faux site

18/01/08

vert

Paypal France

faux site

16/01/08

vert

Paypal France

faux site

10/01/08

vert

Paypal US

faux site

07/01/08

vert

Paypal France

faux site

05/01/08

vert

Banque Desjardins

faux site

04/01/08

vert

Paypal France

faux site

02/01/08

vert

Paypal France

faux site

24/12/07

vert

Banque Nationale du Canada

faux site

20/12/07

vert

Paypal France

faux site

18/12/07

vert

eBay France

faux site

18/12/07

vert

Paypal France

faux site

16/12/07

vert

Banque Desjardins

faux site

15/12/07

vert

Paypal France

faux site

13/12/07

vert

eBay France

faux site

05/12/07

vert

réponse courriel

30/11/07

vert

Gmail

Windows Live Hotmail

Banque Desjardins

faux site

28/11/07

vert

Paypal France

faux site

23/11/07

vert

Banque Desjardins

faux site

15/11/07

vert

LCL

faux site

14/11/07

vert

eBay France

faux site

11/11/07

vert

Banque Postale

faux site

02/11/07

vert

eBay France

faux site

01/11/07

vert

eBay France

faux site

18/10/07

vert

Paypal France

faux site

10/10/07

vert

Amazon France

faux site

08/10/07

vert

Paypal France

faux site

23/09/07

vert

Amazon France

faux site

17/09/07

vert

Paypal France

faux site

16/09/07

vert

Paypal France

faux site

09/09/07

vert

Paypal France

faux site

05/09/07

vert

Free

faux site

05/09/07

vert

LCL

faux site

04/09/07

vert

Paypal France

faux site

03/09/07

vert

Free

faux site

01/09/07

vert

PostFinance

faux site

31/08/07

vert

Paypal France

faux site

29/08/07

vert

LCL

faux site

28/08/07

vert

LCL

faux site

23/08/07

vert

réponse courriel

20/08/07

vert

faux site

13/08/07

vert

vulnérabilité

29/07/07

rouge

Visa et Mastercard

faux site

20/07/07

vert

Paypal France

faux site

15/07/07

vert

Free

faux site

15/07/07

vert

Paypal France

faux site

29/05/07

vert

LCL

faux site

29/03/07

vert

Crédit Agricole

faux site

01/03/07

vert

Paypal France

faux site

22/02/07

vert

Paypal France

faux site

05/02/07

vert

SNCF

faux site

15/01/07

vert

Yahoo! Paypal France eBay France

Paypal France

faux site

18/12/06

vert

AXA Banque

faux site

18/12/06

vert

Caisse d'Epargne

faux site

16/12/06

vert

Paypal France

faux site

25/11/06

vert

Crédit Mutuel

faux site

18/11/06

vert

LCL

faux site

21/03/06

vert

Société Générale

faux site

20/03/06

vert

BNP Paribas

faux site

19/03/06

vert

LCL

faux site

07/03/06

vert

Visa

faux site

24/02/06

vert

LCL

faux site

01/02/06

vert

LCL

faux site

27/01/06

vert

Fournisseurs d'accès français et belges

faux site

09/11/05

vert

Banque AGF

faux site

13/09/05

vert

Crédit Lyonnais et Crédit Mutuel

faux site

14/08/05

vert

faux site

27/05/05

vert

Société Générale, BNP Paribas, CIC et CCF : actif

: inconnu

: inactif

Les attaques par phishing étant de plus en plus ciblées, cette page ne prétend pas recenser les attaques de manière exhaustive, mais donne un aperçu des sociétés et organisations visées, ainsi que des techniques utilisées par les cybercriminels. Le statut est donné à titre indicatif, un faux site neutralisé pouvant par exemple être réactivé.