Vous êtes sur la page 1sur 58

Virus, spyware et tutti quanti et les mille et une

manières de s’en prémunir peut-être.


Introduction
Il existe une quantité phénoménale de programmes indésirables. Tous ces programmes portent
le nom générique de "malware". Mais sous cette appellation se cache des familles bien
différentes les unes des autres. Nous allons les détailler afin d'y voir un peu plus clair dans
cette jungle.

Spywares
Les Spywares ou Espiogiciels permettent de connaître votre activité sur l'ordinateur infecté.
On y retrouve deux grandes familles : Les Keyloggeurs et les Adwares.

Les espiogiciels et spywares : logiciels


espions

A chaque connexion internet, un utilisateur laisse derrière lui très grand nombre
d'informations. Ces traces sont généralement intéressantes mais non suffisantes à un public
de professionnels ou d'espions cherchant à obtenir d'autres éléments que ceux techniques
laissés en standard. Les professionnels d'un secteur déterminé cherchent à connaître les
habitudes de téléchargement de leurs clients, leurs modes de consommations, leurs centres
d'intérêts, ou la périodicité de leurs achats par exemple. Les pirates ou espions seront, eux,
plus intéressés par le contenu des machines connectées, la réception de ces informations etc
....

Qu'est-ce qu'un espiogiciel ?

Pour faciliter la récolte de ce type de renseignements, il existe des "espiogiciels", en anglais


Spywares. Ils se trouvent généralement dans le code d'un programme que l'utilisateur
téléchargera innocemment sur internet. Dans la plupart des cas, ces espiogiciels sont des
"petits morceaux de codes parasite" (routines) intégrés dans le code principal du
programme. Dans un même programme, il peut y avoir plusieurs routines parasites
différentes, ayant chacune une fonction déterminée. Dans le cas d'un logiciel de messagerie
par exemple, il est possible de trouver une routine faisant qu'une copie de chaque email sera
envoyée à une adresse déterminée sans laisser de trace dans la boîte éléments envoyés de
l'email dupliqué.

La détection de ces routines est très difficile. En effet, plus le logiciel initialement téléchargé
est volumineux, plus les chances de trouver les routines éventuelles seront faibles. Il est
impossible par exemple à un développeur seul, ou à une équipe d'analyser le code source
d'un navigateur internet. Sans vouloir sembler paranoïaque, il est donc important de garder
en mémoire que tout exécutable est potentiellement infecté d'un espiogiciel. En outre, dans
certains pays, il n'est pas toujours légal de désassembler un logiciel, (rendre le code source
du programme lisible et donc modifiable). Impossible donc en respectant la loi de valider
l'intégrité des programmes utilisés.

Dans tous les cas, l'espiogiciel aura besoin d'une connexion internet pour la transmission
des données. C'est pourquoi ces routines se trouvent majoritairement dans des exécutables
prévus pour fonctionner avec internet (logiciels de téléchargement de MP3, films,
traducteurs, browsers etc.). Généralement les logiciels libres (freewares) et logiciels
d'évaluation (sharewares) sont les principaux vecteurs d'espiogiciels.

Un outil infecté par un spyware peut représenter une très grande menace pour la sécurité du
système d'information infecté. En effet plusieurs routines successives peuvent permettre la
détection de mots de passe encrypté et le crackage de ces informations. Il suffit pour cela
d'indiquer dans une routine à l'ordinateur de mettre à profit le temps CPU disponible pour
cracker le mot de passe à l'insu de l'utilisateur.

Comment s'en protéger ?

Se protéger des spywares n'est pas chose facile. En effet, un anti virus ne les détectera pas
puisqu'il ne détaille pas l'ensemble du code des programmes mais reconnaît des signatures
au préalable identifiées. De plus, un espiogiciel n'est pas un virus. Les éditeurs d'antivirus ne
travaillent donc pas sur ce "marché".

En outre, l'utilisation d'un firewall ne permettra généralement pas non plus la détection des
espiogiciels. En effet, même si la routine provoque l'envoi d'un fichier par email à un
destinataire non désiré la configuration du firewall, sauf exception, n'a pas pour but
d'analyser ce qui sort du PC mais à l'inverse ce qu'il rentre. Le firewall n'a donc pas de
moyen de savoir qu'un email est émis volontairement ou à l'insu de l'utilisateur. De plus, un
firewall ne s'intéresse pas à la nature des fichiers qui transitent mais aux paquets qui
voyagent sur le réseau. Il n'y a donc pas de moyen simple pour le firewall d'identifier comme
des menaces l'exécution des routines et la passation d'informations. Cependant, l'un des
moyens existants pour suspecter un spyware sur une machine est de voir un flux de paquets
nettement supérieur aux flux habituel passer via le firewall ou le modem. Mais là encore,
c'est très difficile à détecter.

Il existe sur le net de nombreux sites référençant des spywares. Cependant aucun ne peut
prétendre avoir une liste exhaustive des espiogiciels existants. De même certains outils
permettent la détection de logiciels identifiés comme ayant des spywares mais les utiliser ne
garantit pas une sécurisation à 100% du PC.

En conclusion, il est impossible à l'heure actuelle de surfer en étant certain que nos
informations ne sont pas transmises. Il n'existe aucun moyen de s'assurer qu'un ordinateur
connecté à internet ne soit pas à même d'envoyer à notre insu des éléments non désirés. C'est
pourquoi il est parfois préférable d'utiliser un P.C. public, (cybercafé, université etc ...) si
l'on veut surfer en paix sans donner d'informations. Une autre solution peut être dans le
cadre d'un réseau d'avoir une machine par service internet utilisé. C'est à dire par exemple
un PC dédié à la messagerie, l'autre pour le surf et un troisième pour l'utilisation des
services FTP par exemple. Les risques sont toujours présents mais limités à chaque fois aux
informations disponibles sur une machine seulement.

Keyloggeurs
Les "Enregisteurs de touches" stockent dans un fichier toutes les touches que vous frappez sur
le clavier. Le fichier en question, souvent crypté, est ensuite envoyé à ou rapatrié par la
personne malveillante qui a installé le dispositif.

Les Keyloggers : des enregisteurs de touches

Qu'est ce que c'est ?

Les keyloggers sont des enregistreurs de touches et par extension des enregistreurs d'activités informatiques
permettant d'enregistrer les touches utilisées par un utilisateur sur son clavier et tous les évènements déclenchés.

Dangereux, ils ne sont pourtant pas répertoriés parmi les virus, vers, ou chevaux de Troie car ils n'ont pas pour
objectif de modifier quoi que se soit dans la machine cible et permettent simplement l'enregistrement
d'informations. Ils sont donc très utiles par exemple en cas d'espionnage industriel.

Objectif :

L'objectif des keyloggers est d'enregistrer et de restituer tout le travail qui a été réalisé par un utilisateur. Les
touches enregistrées permettent effectivement de retracer non seulement le travail courant, mais aussi de
récupérer tous les identifiants et mots de passe. Un espion peut alors connaître vos moindres faits et gestes sur
votre machine de bureau.

Mode d'action :

Le mode opératoire des keyloggers est identique, même s'il existe une multitude de keyloggers différents. Ils
sont installés directement par le pirate sur la machine visée, si l'ordinateur n'a pas de connexion internet
permettant une installation à distance via un cheval de Troie.

En général, les keyloggers se lancent directement au démarrage de la machine hôte. Une fois le keyloggers
lancé, il enregistre au fur et à mesure tout ce qui est frappé sur le clavier. Dans la plupart des cas, si la machine
cible est pourvue d'une connexion internet, le keylogger enverra discrètement, à une adresse mail ou à un serveur
internet, un fichier, généralement crypté, contenant tous les renseignements collectés. Ainsi l'espion aura tout le
temps nécessaire pour retracer votre activité et sélectionner les éléments qui lui semblent utiles. En fonction du
keylogger sélectionné différents types d'écran de configuration existent.

Dans cet écran, vous pouvez constater qu'en fonction des informations qui intéressent le pirate, il est possible de
choisir quel type de touches seront enregistrées dans le fichier log. Ici, nous avons choisi d'enregistrer toutes les
touches du clavier pour vous donner une copie écran plus explicite de ce qu'enregistrera le fichier de traces.

En complément des touches enregistrées vous pouvez constater ici que des éléments importants comme la date,
les applications ouvertes et le choix ou non du cryptage du fichier de trace sont possibles. Le password réclamé
par le keylogger permet d'assurer au pirate que lui seul pourra décrypter le fichier. Même si un utilisateur
découvrait un fichier crypté il ne saurait reconnaître les éléments contenus à l'intérieur. En effet il n'est pas
évident de comprendre l'extrait crypté d'un fichier log comme :
"#tJ|{/gir}olT"YbuR\"ZQfy~"K`haxZ"OR]"K`tsar}//t]"Zgro|~gnon"K`xar/tJ|koa"Zal/"\z}"K`"

L'option de planification de l'activité du keylogger peut être très utile au pirate. En effet, il peut planifier les jours
et moments auxquels le keylogger doit se mettre en fonction. Cela permet de n'avoir que les informations
désirées et favorise une plus grande discrétion puisque la mémoire dans laquelle le keylogger s'installe
généralement n'est sollicitée qu'à des moments bien précis.

Selon le keylogger choisi, il est possible de paramétrer l'option "auto-destruction". Dès lors impossible à
l'utilisateur ou à l'administrateur du parc informatique de remonter au programme et à l'espion qui se cache
derrière. Il suffit de déterminer la plage en nombre de jours pendant laquelle le keylogger doit rester actif sur la
machine cible pour qu'automatiquement le logiciel se détruise une fois le délai passé..
Contre-mesures :

Les keyloggers ne sont pas toujours identifés par les anti-virus. Il n'est donc pas évident de les remarquer. En
outre, dans la plupart des cas des options permettant l'invisibilité du programme exécuté existent.

Par contre, les keyloggers s'exécutent au démarrage de la machine. Tout ralentissement du système au lancement
doit sembler suspect. Cependant, avec les nouvelles générations d'ordinateurs il est de moins en moins simple de
noter ces ralentissements machines.

En général les fichiers de récupération, cryptés ou non sont stockés avec des noms très peu parlant dans
c:/windows/temp. Il est intéressant d'aller tenter d'ouvrir les fichiers contenus dans ce répertoire. Pour ouvrir ces
fichiers, cliquer en même temps sur "Shift" et le bouton droit de la souris. Parmi le menu qui s'offre vous verrez
l'option "ouvrir avec". Le plus simple est alors de choisir "Note Pad" qui affichera les éléments en mode texte
seulement. Vous pouvez, si le fichier n'est pas ou mal crypté retrouver des éléments qui doivent immédiatement
vous alerter.

Dans le cas ou vous trouveriez un fichier suspect le plus simple est de commencer par faire travailler votre
machine uniquement en local. Déconnectez-vous de votre réseau et stoppez toute connexion internet. Cela
empêchera aux fichiers de parvenir à l'espion. Prévenez votre administrateur qui recherchera via le serveur les
échanges de mail et tentera de retrouver l'adresse du destinaire.

Une inspection des tâches qui sont en train d'être exécutées par votre ordinateur s'impose. En effet un simple
"Ctrl" "Alt" "Suppr" n'affichera pas les keyloggers alors qu'un programme comme Procdump vous les signalera.
En parallèle, recherchez sur votre pc tous les fichiers créés le jour ou vous découvrez ce soucis. Dans le pire des
cas, il sera peut être nécessaire que vous sauvegardiez tous vos fichiers de données pour ensuite reformater votre
disque dur.
Conclusion

Les keyloggers sont des outils particulièrement utiles pour les pirates, puisqu'ils permettent en autre de récupérer
comme nous l'avons dit les mots de passe et les login des utilisateurs. Cependant, ils peuvent aussi être un outil
de "surveillance" pour les entreprises. En interne, cela pourrait permettre de vérifier les activités réalisées par les
salariés pendant les heures de bureau. Attention, l'utilisation d'un keylogger ne saurait être légale sans
consentement préalable du salarié. Sur un poste non connecté à internet, l'installation d'un tel outil implique le
passage du pirate sur la machine cible. Le meilleur moyen de prévention reste donc la vigilance, ne pas quitter
son poste sans avoir au minimum verrouillé son écran, et bien ne pas diffuser son mot de passe de session à
quiconque. Il faut aussi que le mot de passe soit robuste. Quelques conseils sur les mots de passe sont
disponibles ici

Adware
Le terme « Adware » est utilisé pour désigner une application qui affiche de la publicité sur
votre ordinateur. Cette publicité est invasive et récurrente. Elle peut aussi bien apparaître sous
forme de pop-up, de bannière, du changement de votre page de garde dans votre navigateur
internet pour ne nommer que ces méthodes. Ces publicités peuvent être associées à des
produits ou services offerts par le créateur du Adware ou d’une tierce partie. Bien que la
plupart des infections par Adware soient faites à l’insu de l’utilisateur, il est possible de les
installer en connaissance de cause.
Cette famille n'est généralement par très agressive. Elle se contente de modifier la page de
démarrage de votre navigateur internet, ou d'installer un plug-in de recherche sur Internet. Son
but ? Vous faire venir sur un site web, vous montrer de la publicité (ce qui rémunère l'auteur
de l'Adware), et éventuellement de vous voler des informations concernant votre vie privée
(comme par exemple connaître les sites que vous visitez le plus souvent ou les mots clés de
recherche que vous utilisez).

Cookie
Un Cookie est un petit fichier texte qui est enregistré dans la mémoire du navigateur Web que
vous utilisez. Chaque fois que vous ouvrez un nouveau site Web, un nouveau cookie se crée.

L’information recueillie par les cookies peut-être utilisés pour :


Pe
rs
on
na
lis
er
les
pa
ge
s
W
eb
qu
e
l’o
n
vi
sit
e
sel
on
vo
s
pr
éf
ér
en
ce
s.

Po
ur
re
cu
eil
lir
de
s
do
nn
ée
s

m
og
ra
ph
iq
ue
s
Même si l’utilisation de cookies n’est pas malicieuse de prime abord, rappelez-vous que vos
informations personnelles (cartes de crédit ou autre) que vous avez saisies sur une page Web
peuvent être enregistrées dans un cookie.

Le fameux cookie peut être également utilisé pour créer des profils d’utilisateurs qui seront
acheminés à des tierces parties. Plusieurs agences de publicité ou autre compagnie s’approprie
achète cette information et ainsi commentent une sévère violation à la vie privée des
individus.

Dialers
Un Dialer est un programme qui est capable d'établir, à votre insu, une connexion avec votre
modem. Ce type de malware compose donc un numéro de téléphone surtaxé (cas d'un modem
analogique) ou établit une connexion vers un site web déterminé (cas d'un modem adsl). Dans
les deux cas, le seul but de ce malware est de rémunérer son auteur au travers des
communications téléphoniques que la victime paie sans le savoir.

Downloaders
Ce malware se présente en général sous la forme d'un petit exécutable. Une fois exécuté sur
votre machine celui-ci va se connecter sur un site web, FTP, IRC, etc. De ce site, il va
télécharger un autre programme, en général beaucoup plus agressif, tel un Ver ou un Rootkit.

Droppers
Les Droppers sont des fichiers exécutables qui paraissent anodins mais qui, en fait, installent
un ou plusieurs malwares. Techniquement, ils en profitent par exemple pour lancer le malware
au démarrage de la machine, ou à l'ouverture d'un navigateur Internet.

Virus
Un virus est un programme qui s'auto-reproduit en infectant d'autres programmes. Très
populaires sous MS-DOS et Windows 3.1, ils sont en nette perte de vitesse comparés aux
autres malwares.

Virus
Les virus sont un fléau majeur de l'informatique, et pas seulement sur internet : un simple
échange de disquettes entre copains ou collègues de travail peut contaminer votre disque dur,
sans même éveiller vos soupçons. Car la bestiole est souvent rusée. Autopsie.

Qu'est-ce qu'un virus?


Un virus est un petit programme conçu pour se cacher dans votre ordinateur, puis se
multiplier, se répandre de par le monde et enfin déclencher une action (message, destruction,
petite musique, etc.). On dénombre plusieurs catégories de virus, en fonction de la cible visée
dans l'ordinateur.

Les différentes familles de virus

La première catégorie regroupe les virus de secteur d'amorce (= virus de "boot sector",
c'est-à-dire affectant la zone du disque qui est lue en premier au démarrage) tels que Form,
jack the ripper, french boot, parity boot... Ces virus remplacent le secteur d'amorce du disque
infecté par une copie d'eux-mêmes, puis déplacent le secteur original vers une autre portion
du disque. Le virus est ainsi chargé en mémoire bien avant que l'utilisateur ou un logiciel ne
prenne le contrôle de l'ordinateur.

Les virus d'applications infectent les fichiers exécutables, c'est-à-dire les programmes (.exe,
.com ou .sys). Pour simplifier, disons que le virus remplace l'amorce du fichier, de manière à
ce qu'il soit exécuté avant le programme infecté, puis il lui rend la main, camouflant ainsi son
exécution aux yeux de l’utilisateur.

Les virus macro sont des virus qui infectent uniquement des documents (Word, Excel...), en
utilisant le langage Visual Basic pour Application. Ces virus se propagent actuellement dans
de fortes proportions et peuvent malheureusement causer de grands dégâts (formatage du
disque dur par exemple).

Enfin, il y a les virus de mail, également appelés vers. Ces virus se servent des programmes
de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en
s'envoyant automatiquement à tout ou partie des personnes présentent dans le carnet
d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent
également avoir des actions destructrives pour les ordinateurs contaminés. Ils sont
particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue
la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.

A noter que certains virus sont des virus polymorphes. A chaque fois que l'un d'eux infecte un
fichier, il se crypte différemment. Résultat, il faut que l'antivirus analyse la technique
d'encryptage de chaque virus pour déceler, dans les fichiers contaminés, une sorte de "manie"
caractéristique, une constante.

Il ne faut pas confondre les virus avec les troyens ou les emails bombs. Contrairement à son
cousin le virus, qui profite de toute occasion pour se multiplier, le troyen véritable ne se
reproduit pas (pour plus d'informations, consultez le dossier Secuser.com sur les troyens). Par
ailleurs, plusieurs vulnérabilités dans les logiciels Internet Explorer / Outlook font que
certains virus peuvent infecter votre ordinateur à la simple ouverture du message ou lors de
sa lecture dans la fenêtre de visualisation voire en consultant une page web si Internet
Explorer n'a pas été patché contre cette vulnérabilité.

Fonctionnement d'un virus

Quel que soit le type de virus, aucun ne contamine - pour l'instant - les fichiers compressés.
Cela ne garantit pas qu'un fichier compressé soit exempt de virus : il peut très bien avoir été
infecté avant compression, et se révélera donc dangereux une fois décompressé.

Pour bien comprendre le mode de fonctionnement d'un virus, il faut se souvenir de l'analogie
avec le virus biologique. Comme lui, le virus informatique essaie de contaminer tout ce qu'il
peut, de se dissimuler aux yeux de l'organisme infecté, et de se répandre le plus largement
possible. Les virus infectent un maximum de fichiers puisqu'ils demeurent en mémoire dès le
démarrage de l'ordinateur. Ils interceptent les commandes du Bios, et agissent ainsi selon leur
humeur...

Règles générales de protection

La prévention paie toujours. Quelques règles simples peuvent être appliquées :

• ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être
proposés sur des sites persos ou des chats eux-mêmes plus ou moins douteux;
• méfiez-vous des fichiers joints aux messages que vous recevez : analysez avec un
antivirus à jour tout fichier avant de l'ouvrir, et préférez détruire un mail douteux
plutôt que d'infecter votre machine, même si l'expéditeur est connu;
• fuyez les disquettes d'origine douteuse (ou ayant transité dans des lieux publics
vulnérables comme les salles de cours ou TP des écoles ou universités), et protégez
les vôtres en écriture;
• créez dès maintenant, si ce n'est pas déjà fait, une disquette de boot saine contenant un
antivirus (la plupart des antivirus le proposent) pour une désinfection d'urgence;
• procédez régulièrement à des sauvegardes du contenu important de votre disque dur
après avoir vérifié l'absence de virus : cela peut paraître fastidieux, mais en cas
d'infection (ou même simplement en cas de crash de disque dur), ça vous sauvera la
mise...
• tenez-vous au courant des apparitions de nouveaux virus. Secuser.com vous offre ce
service en émettant des alertes lorsqu'un virus connaît une diffusion importante. Les
informations (nom du virus, mode de transmission connu, etc.) sont alors consultables
en ligne dans sur le site, ou par abonnement gratuit à la lettre hebdomadaire Secuser
News, ou encore en temps réel via la liste Secuser Alerte. Connaître l'existence du
virus, c'est déjà le tuer à moitié...

En complément de ces règles de prévention, la meilleure protection - et le principal remède


en cas de contamination - consiste à installer un antivirus (certains sont gratuits, voir les liens
utiles en fin d'article). Une solution qui reste toute relative, car aucun produit ne détecte
100% des virus, 100% du temps : d'où l'importance de la prévention. Par ailleurs, de
nouveaux virus apparaissant chaque jour, il faut veiller à régulièrement actualiser la base de
données virales du logiciel : la plupart des éditeurs proposent une mise à jour au minimum
mensuelle, mais pas toujours gratuite...
Comment savoir si mon ordinateur est contaminé ?

Tout comme les troyens, les virus sont le plus souvent repérés trop tard, par les conséquences
potentiellement désastreuses de leur activité : affichage de messages intempestifs, émission
de sons ou de musiques inattendus, mais aussi plantage de l'ordinateur, formatage du disque
dur, etc.

Pourtant, de nombreux indices peuvent mettre la puce à l'oreille de l'internaute vigilant :


mémoire système disponible inférieure à ce qu'elle devrait être, changement du nom de
volume d'un disque, programmes ou fichiers subitement absents, apparition de programmes
ou de fichiers inconnus, ou encore comportement anormal de certains programmes ou
fichiers.

Si vous êtes sous Windows 95 ou 98 et que vous avez un doute sur votre micro, vous pouvez
vérifier vous-même le niveau de la mémoire système : ouvrez une fenêtre DOS, tapez la
commande CHKDSK puis la touche Entrée, et examinez le contenu des informations listées.
Un message semblable au texte suivant devrait apparaître, avec cependant les caractéristiques
propres à votre machine (nom de volume, espace disque, etc.) :
Le numéro de série du volume est 1827-00E6
446 190 080 octets d'espace disque total
862 758 400 octets disponibles sur le disque
4 096 octets dans chaque unité d'allocation
841 355 unités d'allocation sur le disque
454 775 unités d'allocation disponibles sur le disque
655 360 octets de mémoire totale
590 528 octets libres

Au lieu d'utiliser CHKDSK, essayez la commande SCANDISK. SCANDISK peut détecter et


corriger un plus grand éventail de problèmes de disque.

Normalement vous devriez avoir 655 360 octets de mémoire totale. Ce test n’est
malheureusement pas sûr à 100 %, mais si le chiffre est différent sur une configuration
standard, cela sent le virus de boot...

Que faire en cas de contamination ?

La solution la plus simple reste de vous procurer un logiciel antivirus. La plupart propose une
procédure permettant de désinfecter le contenu du disque avant d'installer le logiciel, mais le
mieux est d'installer l'antivirus avant toute contamination afin de bénéficier de l'ensemble de
ses fonctionnalités (surveillance des transferts de fichiers ou de l'accès aux fichiers sensibles,
inoculation des fichiers pour repérer tout changement de taille suspect, etc.).

Vous pouvez également utiliser un antivirus gratuit en ligne pour procéder immédiatement à
l'analyse ainsi qu'à l'éradication de virus éventuellement présents sur vos disques.

Pour ceux qui sont très à l'aise au niveau technique

En cas de contamination par un virus de boot ou un virus de fichier :

1. Si votre machine n'est pas configurée en multi-boot, allez sous DOS et entrez
fdisk/mbr pour supprimer le Master Boot Record (= secteur d'amorce du PC,
automatiquement régénéré au prochain démarrage);
2. Eteignez l'ordinateur (pas reset, ni redémarrage);
3. Démarrez à partir d'une disquette de boot saine, protégée en écriture, et contenant un
antivirus;
4. Lancez l'antivirus (le reste dépend de l'antivirus).

Pour les virus macro, je conseille de rechercher le fichier normal.dot et de le supprimer, puis
ensuite de détruire tous vos documents. Cette méthode supprime les virus macro
définitivement, mais aussi malheureusement votre travail. Une solution consiste à utiliser un
"bloqueur" lorsque vous chargez un document inconnu : ce type de programme empêche le
transfert de nouveaux virus dans vos autres documents. Essayez donc Stealth Protect : en
plus, il est gratuit.

Déjà vu
Certains virus ne font qu'effacer la partition, ce qui fait que l'utilisateur débutant (ou le
technicien incompétent ou malhonnête) n'arrive plus à reformater son disque dur et par
conséquent le change, alors qu'il suffit d'exécuter la commande fdisk (avec une disquette de
boot saine) et de recréer une partition. Attention cependant : si vous êtes un complet débutant,
faites-vous aider par un ami ou un collègue plus expérimenté, sans quoi vous risqueriez de
faire pire que le virus...

Vers
Ceux-ci, plus faciles à programmer qu'un virus, utilisent Internet sous toutes ses formes pour
se propager. Ils utilisent des supports comme les mails, les sites web, les serveurs FTP, mais
aussi le protocole Netbios, etc...

Les chevaux de Troie (Trojan) et portes dérobées


(Backdoor)
Ces programmes n'ont qu'un seul but : faire profiter à un tiers les ressources de votre
ordinateur. Comme par exemple, donner un shell ou manipuler les périphériques.

Malware en fichiers BAT (Windows) ou Shell (Unix/Linux)

Ces petits exécutables au format texte ont l'avantage de la simplicité de création. En effet, ils
ne nécessitent pas de connaître un langage évolué tel le C ou Delphi. Leur taille n'est
généralement que quelques centaines d'octets. Par contre, leur dégâts peuvent être
considérables. De plus, un fichier BAT est compatible quelque soit la version du système
d'exploitation de Microsoft de la version DOS 6.0 à Windows XP.
Les chevaux de
Troie

Qu'est-ce que c'est ?

Les chevaux de Troie ("Trojan horses" ou "Trojans" en anglais) tirent leur nom de la célèbre
légende mythologique. Comme dans cette dernière, les troyens utilisent une ruse pour agir de
façon invisible, le plus souvent en se greffant sur un programme anodin.

Ils font partie des grandes menaces que l'on peut rencontrer sur le web, parmi les virus et autres
vers. Pourtant, contrairement à ceux-ci, les chevaux de Troie ne se reproduisent pas (en tout cas,
ce n'est pas leur objectif premier). Ce sont à la base de simples programmes destinés à être
exécutés à l'insu de l'utilisateur.

Objectifs

Leur objectif est le plus souvent d'ouvrir une porte dérobée ("backdoor") sur le système cible,
permettant par la suite à l'attaquant de revenir à loisir épier, collecter des données, les corrompre,
contrôler voire même détruire le système. Certains chevaux de Troie sont d'ailleurs tellement
évolués qu'ils sont devenus de véritables outils de prise en main et d'administration à distance.

Mode d'action

Leur mode opératoire est souvent le même; ils doivent tout d'abord être introduits dans le système
cible le plus discrètement possible. Les moyens sont variés et exploitent le vaste éventail des
failles de sécurité, du simple économiseur d'écran piégé (envoyé par mail ou autre, du type
cadeau.exe, snow.exe, etc.) jusqu'à l'exploitation plus complexe d'un buffer overflow.
Après leur introduction dans le système, ils se cachent dans des répertoires système ou se lient à
des exécutables. Ils modifient le système d'exploitation cible (sous Windows, la base des
registres) pour pouvoir démarrer en même temps que la machine. De plus, ils sont actifs en
permanence (car un cheval de Troie est un véritable serveur, il reste à l'écoute des connections
provenant de l'attaquant pour recevoir des instructions) mais ils restent furtifs et sont rarement
détectables par l'utilisateur. Ainsi, un listing des tâches courantes ne fournira pas d'indication
suffisante : soit le cheval de Troie y sera invisible, soit son nom sera tout ce qu'il y a de plus banal
("Patch.exe", ".exe", "winamp34.exe", "winrar.exe", "setup.exe", "rundlls").

Contre-mesures
Du fait qu'ils ne se répliquent pas (contrairement aux virus), ils ne possèdent pas de signature de
réplication et ne sont donc pas détectables par les anti-virus, en tout cas à ce niveau là. De plus,
les chevaux de Troie n'altèrent en général pas les données vitales de la cible (MBR...) qui sont
protégées.
Par contre, comme ils restent des programmes assez répandus sur internet et qu'ils sont rarement
modifiés par les apprentis hackers, il est assez facile de les détecter avec les anti-virus actuels qui
connaissent très précisément leur empreinte ou leur code. Le problème est un peu plus compliqué
lorsqu'il s'agit de programmes dont les sources sont disponibles librement sur internet. Il devient
alors aisé de modifier le code et de le recompiler afin d'obtenir un cheval de Troie dont
l'empreinte sera unique et donc inconnue des anti-virus.

Si l'on ne peut pas détecter leur présence, on peut essayer de détecter leur activité : un cheval de
Troie est obligé d'ouvrir des voies d'accès pour pouvoir communiquer avec l'extérieur. Ainsi,
plusieurs ports de la machine risquent de le trahir (par exemple 12345, 31337, etc.) surtout s'ils
sont habituellement inutilisés. D'autres chevaux de Troie ont détourné cette faiblesse en utilisant
des ports plus communs (relatifs aux services ftp, irc...). Là encore, un utilisateur capable de voir
ces ports ouverts doit se poser la question de savoir pourquoi tel service est actif.
=> Rappelons que la commande netstat permet d'obtenir de telles informations sous Linux et
Windows.

Du point de vue réseau, il est également possible de détecter ce trafic (services/ports inhabituels)
ou l'activité secondaire du cheval de Troie. En effet, il arrive que la cible infectée serve de point
d'entrée à l'attaquant pour se propager dans tout le réseau. Pour cela, il devra effectuer différentes
tâches dont certaines sont aisément détectables (scan de machines et de ports...).

Dans la majorité des cas, de telles données trahissent non seulement la présence du cheval de
Troie mais fournissent également des informations sur son identité, permettant ainsi de mieux
l'éradiquer. Il est même possible d'installer par la suite des leurres qui garderont des traces des
tentatives de connections externes (trahissant l'attaquant).

Cas concrets

Voici les fonctionnalités d'un des chevaux de Troie les plus répandus :

• Accès Telnet

permet de lancer une application en mode texte type "Ms-Dos" ou "Invite de


commande" de façon invisible et de rediriger l'entrée/sortie standard vers un port
particulier. L'attaquant n'a plus qu'à s'y connecter (via telnet) pour communiquer
directement avec l'application.

• Accès HTTP avec un navigateur, supporte le téléchargement et l'envoi de fichiers

permet de créer un serveur web basique dont la racine est celle du disque dur
(défaut). Ainsi, un simple navigateur web permet de naviguer dans l'arborescence
des fichiers, d'en télécharger et même d'en rajouter.

• Information sur le système distant


• Récupère tous les mots de passe

permet d'accéder aux fichiers mots de passe Windows (pwl et autres) et d'en
afficher le contenu. A noter que les mots de passe utilisés pour des connections
distantes, partages de documents, etc, sont également récupérés.

• Envoi de boite de dialogue (version Windows) avec réponse de l'utilisateur

permet de communiquer avec l'utilisateur.

• Télécharger/Envoyer/Supprimer/Créer des fichiers

permet d'accéder au système de fichiers dans sa totalité.

• Ouverture/Fermeture des fenêtres actives

permet d'interagir avec le système cible.

• Accès a la base de registre


• Augmenter/Diminuer le volume sonore
• Ajouter des plugins
• Démarrage d'application
• Jouer des fichiers .wav
• Afficher des images
• Ouvrir des documents
• Imprimer
• Fonction keylogger

permet d'enregistrer toute frappe au clavier pour récupération et traitement


ultérieur (mots de passe sur le web, mails, etc..). Cette fonctionnalité existe
également en version temps-réel : affichage des frappes clavier en direct chez
l'attaquant.

• Capture d'écran

permet de visualiser le poste de travail et les actions de l'utilisateur tout en


économisant la bande-passante (par rapport au streaming video)

• Capture d'image si l'ordinateur est équipé d'une webcam

opération basée sur l'utilisation détournée des librairies système (COM) qui
supportent les webcams. Le résultat est complètement indétectable pour
l'utilisateur.

• Capture du son si l'ordinateur/Serveur est équipé d'un microphone


• Eteindre l'ordinateur
• Redémarrer l'ordinateur
• Déconnecter l'ordinateur du réseau
• Dialogue avec l'utilisateur
• Ouverture/Fermeture du CD-ROM
• Inversion des boutons de la souris
• Envoyer l'utilisateur a une URL choisie
• Blocage du clavier

Une capture de l'interface de configuration d'un cheval de Troie :

Cette interface permet de modifier le cheval de Troie avant de l'envoyer à la cible : quel port doit-
il écouter, quelle méthode de démarrage utiliser...
Il est même possible de protéger l'accès au futur cheval de Troie par login/password ce qui évitera
que d'autres attaquants ne s'y connectent.
Une capture du client d'un cheval de Troie :

La partie cliente d'un cheval de Troie est l'application utilisée par l'attaquant pour se connecter au
serveur, c'est-à-dire au programme installé sur la cible. Ce client permet d'automatiser et de
simplifier nombre de tâches, et même de gérer plusieurs serveurs ! On y retrouve les
fonctionnalités citées précédemment (telnet, capture d'écran, etc.) et quelques autres comme la
redirection de ports qui permet de récupérer tout le trafic que reçoit la cible sur des ports donnés,
et donc de l'utiliser pour rebondir (le but étant de ne pas compromettre l'adresse IP de l'attaquant).

Back Orifice 2000

Back Orifice ("BO") est sans doute le cheval de Troie le plus connu. Il a été créé par The Cult Of
The Dead Cow (cDc), un groupe de hackers formé en 1984. Sa version actuelle est la version
2000 (BO2k), et ses sources sont maintenant disponibles sur internet en license GPL. Cela a
sensiblement changé son statut puisqu'il autorise toute personne à vérifier le contenu de
l'application pour en être sûr (en effet, nombre de logiciels commerciaux sont accusés de receler
une porte dérobée sous prétexte que leur code source n'est pas libre). Cela assure également son
évolution et sa pérennité futures.
Un autre point concernant BO2k est son extrême efficacité et ingéniosité. De nombreux bugs ont
été corrigés par rapport aux versions précédentes et il possède un grand nombre d'extensions ou
"plugins" qui lui donnent une modularité sans limites.

Ainsi, il est possible de visualiser en temps réel les déplacements de la souris sur la machine cible
:
Tout comme il est possible de diriger cette souris et de contrôler le clavier :

Il existe également des plugins supportant le cryptage de manière à protéger les communications
client-serveur; les algorithmes supportés sont nombreux : RC6 384, IDEA 128, CAST 256; Back
Orifice 2000 supporte même le tunneling SSH !
Regardons de plus près l'interface de configuration de BO2k :

Il y a 3 zones principales : la première où l'on spécifie le fichier du serveur que nous allons
configurer (l'exécutable sera modifié), la seconde où nous définissons les extensions que nous
allons utiliser plus tard (qui seront rajoutées à l'exécutable). La dernière zone concerne les
paramètres de chaque fonctionnalité, y compris les extensions que nous venons d'ajouter. Ici nous
pouvons voir que l'option de connexion par TCP a été choisie et que le port à utiliser est le 31337.

C'est à partir de cette interface de configuration que l'on peut modifier si l'on veut le nom du
cheval de Troie. Une fois lancé, BO2k s'installe dans \Windows\System\ ou \WinNT\System32\
sous ce nom là (par défaut UMGR32.EXE). Après il modifie la base des registre.

• Sous Windows 95/98, la commande d'exécution du serveur est écrite dans :


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

• Sous Windows NT, la commande d'exécution du serveur est écrite dans :


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Le fichier initial peut ensuite être effacé (ou s'auto-effacer si spécifié). BO2k devient ensuite actif
à chaque démarrage du système et reste en mémoire. Sous NT, le cheval de Troie utilise une
astuce pour éviter d'être tué par le Gestionnaire de Tâches. Il change son PID constamment et créé
des processus fils qui lui permettent de rester actif si l'un d'entre eux est tué. De plus, son nom
comporte un grand nombre d'espaces et de 'e', ce qui a pour effet de renvoyer une erreur lorsqu'on
tente de le tuer à partir de Windows (tout en n'affectant en rien son fonctionnement). Seule
solution : le tuer à partir du DOS !
Sous Windows 9x, le fichier se renomme ".exe" (c'est-à-dire sans nom), ce qui le rend invisible
dans le gestionnaire de tâches.
Back Orifice 2000 : fiche technique

Toutes les versions comportent au minimum :

o un client
o un serveur
o un application graphique de configuration du serveur
• Le serveur ne marche que sous Windows (les dernières versions supportent Windows NT).
• Le client était disponible pour Windows ou Unix dans ses versions précédentes. La
version 2000 est réservée aux plateformes Win32.
• Le serveur est totalement configurable (numero de port, type de liaison TCP/UDP...)
• Les fonctionnalités disponibles (de base) comprennent :
Liste de serveurs (style Address Book)

Extensibilité via plugins

Connections serveurs multiples (concurrentes possibles)

Connections de plusieurs clients possible

Journalisation de sessions

Journalisation de frappes clavier

Supporte HTTP pour navigation dans le système de fichiers (chargements possibles)

Gestion du partage de fichiers Microsoft (ajout/suppression de partages, monitoring)

Gestion directe de la Base de Registres

Navigation directe dans le système de fichiers (transferts TCP, gestion...)

Mises à jour à distance, ainsi que installation/désinstallation

Redirection de connections TCP/IP

Redirection d'applications texte pour accès via Telnet

Support multimedia, capture audio/video, lecture audio

Récupération de mots de passe stockés dans la SAM (NT registry) et économiseurs d'écran sous
Win9x

Contrôle/arrêt/lancement/listing des processus

Affichage de message à l'écran

Compression de fichiers propriétaire

Redémarrage de la machine à distance

Locking de la machine à distance

Récupération d'informations système

Résolution de noms DNS


Macros
Les malwares sous forme de macros s'insèrent dans des documents de type "suites
bureautiques". Ce qui font d'eux de redoutables agents infectieux, notamment dans le cadre
des entreprises.

Les Rootkits
Ces programmes sont de véritables couteaux suisses de "l'exploit". Une fois installés sur votre
système, ils permettent de gagner en privilèges (passer "root" sous Unix/Linux ou
"administrateur" sous Windows"), détecter des failles d'un système non patché, et de les
exploiter à des fins diverses (prise en main à distance, propagation ...). Très connus dans le
monde Unix/Linux, ils commencent à arriver sous Windows...

Les Flooders
Ceux-ci n'ont qu'un seul but : inonder une cible (un site web par exemple) afin de l'empêcher
de fonctionner. Partie intégrante des Denis de Service Distribués (DDOS), ces programmes
passent souvent par une phase de contamination (installation sur le plus de machines
possibles) avant la phase d'attaque proprement dite.

Le Déni de Service Distribué


(DDoS)

Background
Le "Distributed denial-of-service" ou déni de service distribué est un type d'attaque très
évolué visant à faire planter ou à rendre muette une machine en la submergeant de trafic
inutile (voir fiche DoS). Plusieurs machines à la fois sont à l'origine de cette attaque (c'est
une attaque distribuée) qui vise à anéantir des serveurs, des sous-réseaux, etc. D'autre part,
elle reste très difficile à contrer ou à éviter. C'est pour cela que cette attaque représente une
menace que beaucoup craignent.

Les outils

Pour mieux comprendre le phénomène, il parait impossible de ne pas étudier les outils les
plus importants dans ce domaine, qui doivent leur notoriété à des célèbres attaques ayant visé
des grands sites sur le net.

Un réseau typique se compose donc d'un maître (point central) et de nombreux hôtes distants,
encore appelés démons. Pendant le déroulement de l'attaque, le hacker se connecte au maître
qui envoie alors un ordre à tout les hôtes distants (via UDP, TCP ou ICMP). Ces
communications peuvent également dans certains cas être chiffrées. Ensuite, les hôtes
distants vont attaquer la cible finale suivant la technique choisie par le hacker. Ils vont par
exemple se mettre à envoyer un maximum de paquets UDP sur des ports spécifiés de la
machine cible. Cette masse de paquets va submerger la cible qui ne pourra plus répondre à
aucune autre requête (d'où le terme de déni de service). D'autres attaques existent, tel que
l'ICMP flood, le SYN flood (TCP), les attaques de type smurf, les attaques dites furtives, les
attaques de déni de service dites agressives (dont le but est bel et bien de faire crasher
complètement la cible), ou encore des attaques de type "stream attack" (TCP ACK sur des
ports au hasard)...
Certains outils se sont même inspiré des chevaux de Troie qui installent de petits serveurs irc
permettant au hacker de les commander via cette interface.

Mode opératoire
Les DDoS se sont démocratisées depuis 2-3 ans. En effet dans les premiers temps, cette
attaque restait assez compliquée et nécessitait de bonnes connaissances de la part des
attaquants; mais ceux-ci ont alors développé des outils pour organiser et mettre en place
l'attaque. Ainsi le processus de recherche des hôtes secondaires (ou zombies) a été
automatisé. On cherche en général des failles courantes (buffer overflows sur wu-ftpd, les
RPCs...) sur un grand nombre de machines sur Internet et l'attaquant finit par se rendre maître
(accès administrateur) de centaines voir de milliers de machines non protégées. Il installe
ensuite les clients pour l'attaque secondaire et essaye également d'effacer ses traces
(corruption des fichiers logs, installation de rootkits). Une fois le réseau en place, il n'y a plus
qu'à donner l'ordre pour inonder la victime finale de paquets inutiles.
Il est intéressant de noter que les victimes dans ce type d'attaques ne sont pas que celles qui
subissent le déni de service; tous les hôtes secondaires sont également des machines
compromises jusqu'au plus haut niveau (accès root), tout comme l'hôte maître.
La menace provient du fait que les outils automatisant le processus ont été très largement
diffusés sur Internet. Il n'y a plus besoin d'avoir des connaissances pointues pour la mettre en
place, il suffit de "cliquer" sur le bouton.
Contre-mesures
Il n'est pas évident de se prémunir contre ces attaques par déni de service, car la mise en
place du réseau offensif par l'attaquant repose sur le fait que beaucoup de machines sont peu
ou pas sécurisée et présentent des failles. Ces failles sont tellement nombreuses et d'autre part
il existe tellement de machines vulnérables sur Internet qu'il devient impossible d'empêcher
de telles attaques.
Ainsi, si un outil de DDoS est détecté sur un système, cela signifie sûrement que il a été
installé sur de nombreux autres systèmes sans être décelé. D'autre part, la présence de cet
outil signifie également que le système a été intégralement compromis, qu'il présente
sûrement des backdoors et qu'on y a peut-être installé un rootkit (type Adore). Il est donc
urgent et nécessaire de retirer complètement cette machine du réseau et de l'inspecter pour
éventuellement la réinstaller.

Pour détecter un tel outil, on pourra chercher des noms évocateurs parmi les processus
système s'il n'y a pas de rootkit installé et si l'attaquant a laissé un nom par défaut. Ces noms
peuvent être regroupés dans la liste suivante (non exhaustive):
Trinoo maître: master
Broadcast: ns

TFN client: tfn


Démon: td

Stacheldraht Handler: mserv


Agent: td

Shaft Handler: shaftmaster


Agent: shaftnode

mstream Handler: master


Agent: server

Trinity Agent: /usr/lib/idle.so


Portshell: /var/spool/uucp/uucico
Alt. Portshell: /var/spool/uucp/fsflush

Il peut être également fort utile de connaître les outils (au nombre de 4, principalement)
utilisés par les hackers. Des analyses sont disponibles pour 3 d'entres eux :

• http://staff.washington.edu/dittrich/misc/trinoo.analysis
• http://staff.washington.edu/dittrich/misc/tfn.analysis
• http://staff.washington.edu/dittrich/misc/stacheldraht.analysis

Il existe également un compte-rendu de congrès scientifique sur le sujet qui apporte beaucoup
d'idées pour se défendre et récupérer après de tels incidents :

• http://www.cert.org/reports/dsit_workshop.pdf
Le Pushback : une contre-mesure en
développement
Face aux menaces grandissantes provoquées par ce type d'attaques, les scientifiques se
penchent de plus en plus sur des techniques capables de les contrer; une des plus récentes est
la technique du Pushback. Nous ne rentrerons pas dans les détails ici, tous les papiers étant
disponibles sur le site ACC and Pushback.
Aggregate-Based Congestion Control (ACC) and
Pushback
Papers:

• Controlling High Bandwidth Aggregates in the Network (Extended Version).


Ratul Manajan, Steven M. Bellovin, Sally Floyd, John Ioannidis, Vern Paxson, and
Scott Shenker.
July, 2001 (postscript, PDF).
The shorter CCR version: CCR, V.32 N.3, July 2002. (CCR, local postscript, local
PDF).

Poster at SIGCOMM 2001 (postscript, PDF, abstract).


Simulation scripts for the papers. README.
The Slashdot note.

IETF Documents:

• Pushback Messages for Controlling Aggregates in the Network


Sally Floyd, Steven M. Bellovin, John Ioannidis, Kireeti Kompella, Ratul Manajan,
and Vern Paxson.
draft-floyd-pushback-messages-00.txt, internet-draft, work in progress, July 2001.
Expired draft.
Local copy: (text, postscript)

Talks:

• Distributed Denial of Service Attacks.


Steve Bellovin, February 18, 2000.
This talk discusses traffic volume monitoring, and the need for enhanced congestion
control for high-volume aggregates.
• Viewgraphs (postscript, PDF) from Vern Paxson, Panel on The DDoS Attacks.
RAID 2000, October 2000.
Theses viewgraphs give a quick overview of controlling high volume aggregates
using Pushback.
• Talk on Controlling High Bandwidth Aggregates (postscript, PDF).
Sally Floyd, November 29-30, 2000, E2E Research Group.
- Or the revised version talking about Bullies, Mobs, and Crooks (postscript, PDF):
December 4, 2000.
This talk discusses controlling high-bandwidth flows, aggregate-based congestion
control (for flash crowds), and DoS attacks at the congested router, and the use of
Pushback to "push" packet drops upstream.
• Steve Bellovin, DDoS Attacks and Pushback, December 5, 2000 (postscript, PDF).
These viewgraphs describe Pushback, and show a number of simulation results.
- Also the February 18, 2001, version of the talk, at NANOG: (postscript, PDF).
• Ratul Mahajan, Aggregate Based Congestion: Detection and Control, April 2001
(postscript).
Seminar, University of Washington.
This talk discusses the motivation and mechanisms for aggregate-based congestion
Très brièvement, cette technique a pour but d'identifier les attaques de DoS et surtout de
DDoS grâce à des heuristiques, de les contrer en remontant à leur source, enfin de maintenir
et de protéger le bon trafic qui souffre également la plupart du temps des congestions
engendrées par de telles attaques.
Cette méthode utilise un contrôle de congestion basé sur des agrégats, un agrégat étant défini
comme un sous-ensemble du trafic présentant une propriété identifiable. Exemples de
propriétés :

• Paquets TCP SYN


• Paquets à destination de X
• Paquets IP dont les checksums sont incorrects
• ...

Le but est d'identifier les aggrégats responsables de la congestion et de les éliminer pour
rétablir un trafic normal. Une fois la signature (c'est-à-dire la propriété identifiante, le trait
caractéristique de l'attaque) établie, le flux est comparé en temps réel dans le routeur le plus
proche de la cible du DDoS. Ce routeur commence à rejeter (drop) les paquets correspondants
à la signature et envoie également un message d'alerte aux routeurs en amont sur les brins d'où
lui parvient le trafic incriminé. Ce message d'alerte contient entre autres choses la signature
qui va permettre à ces routeurs d'éliminer à leur tour les paquets correspondants à l'attaque. Et
ces routeurs vont également envoyer des messages d'alerte aux routeurs situés en amont.
Cette technique récursive a pour avantage de pouvoir remonter jusqu'aux sources de l'attaque;
elle permet également de décongestionner le cœur même du réseau, ce qui était impossible
avec les techniques centrées sur la protection pure de la cible. Enfin, même si une partie du
trafic légitime est tout de même perdue, les résultats finaux sont plutôt positifs.

Conclusion
Plusieurs dizaines de milliers de malwares sont ainsi recensés. La plupart affectent le monde
Windows.
Depuis quelques années, nous observons que la majorité des malwares récents sont en fait une
combinaison des différentes familles. Par exemple, le malware "Kelvir.B" se propage par
MSN, télécharge et installe une variante du Virus SpyBot qui, lui, permet de prendre la main à
distance de votre poste et se propage par mail.
Cette multiplicité des agents infectieux qui se répandent par tous les protocoles possibles, fait
des malwares un facteur de risque élevé pour tout ordinateur ayant accès à Internet.

Identification et nettoyage des malwares

Un proverbe dit : " Il vaut mieux prévenir que guérir " et le mythe de l’informatique
parfaite n’a jamais existé, surtout à notre époque, depuis que l’ADSL existe, nos PC
sont beaucoup plus exposés qu’auparavant.

En respectant les quelques règles ci-dessous, vous serez quasi immunisé:

• Chaque PC doit être équipé d’un firewall bien configuré et d’un anti-virus à jour. Un
anti-spyware est le bienvenu aussi.
• Pendant votre surf sur internet, réfléchissez avant de cliquer sur certains liens.

• Quand vous recevez des mails de personnes inconnues, surtout s’ils contiennent des
fichiers joints, supprimez-les sans les ouvrir. Utilisez les filtres de courriers et l’anti-
spam.

• Quand vous installez un programme, soyez attentif sur ce qu’il propose comme
options à cocher ou décocher, parfois des choses complètement inutiles s’installent à
l’insu de votre plein gré.

• Utilisez Windows Update pour maintenir votre système à jour.

• En résumé, servez-vous de votre bon sens.

Si vous constatez un comportement bizarre et inhabituel de votre Windows, il est peut être
infecté par un de ces malwares. Il faut donc le rechercher, l’identifier et l’éliminer.

Les antivirus gratuits, en ligne, et professionnels

Avoir un antivirus, c'est une bonne résolution. C'est même plus que cela, c'est tout à fait
indispensable, de même il est absolument nécessaire de le mettre régulièrement à jour.
Pouvoir en passer plusieurs régulièrement sur ses fichiers, c'est encore plus rassurant ! En
effet, aucun antivirus ne peut garantir de protéger contre tous les virus, c'est pourquoi il est
recommandé de passer ponctuellement un autre antivirus en complément de l'habituel.

Les antivirus suivants sont disponibles pour une utilisation privée, mais généralement pas
autorisées pour une utilisation professionnelle (bien lire les conditions d'utilisation avant
l'installation du produit).
Les antivirus en ligne gratuits

Ces antivirus sont en ligne sur internet. Il n'y a donc qu'une petite partie de l'antivirus à
installer.
Attention, certains antivirus online n'acceptent de fonctionner qu'avec Internet Explorer.
Voici les principaux antivirus disponibles :

• Kaspersky
• Trend Micro
• Bit Defender 8.0
• Mac Afee
• Panda Antivirus
• F-Secure 3.2
• Eset NOD32
• Microsoft OneCare

Difficile de dire quel est le meilleur antivirus, il est intéressant d'alterner les scans en ligne
avec des solutions différentes.

Scan multiple d'antivirus


Ces services ont une particularité : on ne peut scanner qu'un fichier à la fois. En revanche, ce
fichier est soumis en même temps à plusieurs antivirus (en général plus d'une dizaine). Cette
solution est très utile pour vérifier un fichier suspect que vous avez reçu dans votre boîte aux
lettres, ou tout simplement, pour comparer les produits antivirus du marché.

• Jotti : scanne avec A2-Squared, Antivir, Arcabit, Avast, AVG, Bitdefender, Clamav, Dr
Web, F-Prot, F-Secure, Fortinet, Kespersky, NOD32, Norman, Panda, Rising, Sophos,
VirusBuster, VBA32, Bit9
• Virus total : scanne avec AhnLab-V3, AntiVir, Authentium, BitDefender, Avast, AVG,
CAT-QuickHeal, ClamAV, DrWeb, eSafe, eTrust-Vet, Ewido, FileAdvisor, Fortinet, F-
Prot, F-Secure, Ikarus, Kaspersky, McAfee, Microsoft, NOD32v2, Norman, Panda,
Sophos, Sunbelt, Symantec, TheHacker, VBA32, VirusBuster, Webwasher-Gateway
• Virus.org : scanne avec Clamav, Norman, Bitdefnder, AVG, F-Prot, Arcabit, Sophos,
Antivir, DrWeb, Avast, VirusBuster, McAfee, Nod32, VBA32, F-Secure, CAT, Trend
Micro, Panda
• Virscan.org : scanne avec Antivir, Arcavir, Avast, AVG, Bitdefender, Clamav, DrWeb,
F-Prot, F-Secure, Ikarus, Kaspersky, KingSoft, McAfee, Mks_vir, NOD32, Norman,
Panda, Sophos, Symantec, Trend Micro, VBA32, VirusBuster

Les antivirus gratuits

Actuellement, un particulier n'a aucune raison de ne pas avoir d'antivirus sur son ordinateur.
Voici la liste des antivirus gratuits disponibles pour une utilisation personnelle :

• F-Prot 6.0 pour Linux et pour une utilisation personnelle


• Comodo Antivirus pour Windows
• AVG Antivirus pour Windows
• Avast pour Windows
• Antivir pour Windows et Linux
• Clamav pour Linux. L'antivirus open source.
• ClamXav pour Mac. Le portage sous Mac de Clamav.
• Bitdefender 10 pour Windows
• Avast pour Linux
• Panda pour Linux
• MoonSecure Antivirus basé sur ClamAV et capable de faire de la protection en temps
réel.
• ClamWin est le portage de Clamav sous Windows en utilisant Cygwin. Un peu buggé
(ClamWin n'a pas le même ratio de détection que Clamav à cause du portage Cygwin)
et ne contient pas de protection en temps réel.

Les antivirus gratuits ne nécessitant pas d'installation

Ces antivirus ne nécessitent aucune installation. Pratique pour une exécution en mode sans
échec, dans le cadre d'une infection ponctuelle.
• Dr Web CureIt ne nécessite pas d'installation. Il ne contient pas de module de mise à
jour ni de protection permanente.
• MicroWorld Antivirus Toolkit ne nécessite pas d'installation. Il ne contient pas de
module de mise à jour ni de protection permanente.
• Inside Security Rescue Toolkit est un live CD comportant Clamav et supporte l'accès
en écriture au système de fichiers NTFS. C'est un projet open source.

UTILITAIRES DE DESINFECTION
Pour que la désinfection soit complète, les utilisateurs de Windows Me ou XP
doivent désactiver la restauration du système avant de scanner leur disque
dur

FixMebroot ( 168Ko) : détecte et élimine le cheval de Troie Mebroot (cet utilitaire n'est
plus proposé en libre téléchargement par Symantec. Pour obtenir la version la plus récente,
contacter leur support technique).
• FixSchoeb-Haxdoor ( 702Ko) : détecte et élimine les troyens Backdoor.Haxdoor.S et
Trojan.Schoeberl.E.
• FxSpANDM ( 163Ko) : détecte et élimine le virus Spybot.ANDM.
• FixSpybot ( 148Ko) : détecte et élimine le virus W32.Spybot.ACYR.
• FxRajump ( 166Ko) : détecte et élimine le virus Rjump.A/Adober.
• FixPasbr ( 166Ko) : détecte et élimine le virus W32.Pasobir.
• FixLinkopt ( 177Ko) : détecte et élimine le troyen Trojan.Linkoptimizer/Small.
• FixBacalid ( 312Ko) : détecte et élimine le virus W32.Bacalid.
• FxAntiny ( 175Ko) : détecte et élimine les virus HLLW.Antinny, HLLW.Antinny.E,
HLLW.Antinny.G, Antinny.K, Antinny.Q, Antinny.AX ainsi que les troyens Sientok et
Exponny.
• FixAbwiz ( 168Ko) : détecte et élimine le troyen Trojan.Abwiz.F.
• FixDavs ( 2 Mo) : détecte et élimine le virus W32.Davs.
• FixKiman ( 167Ko) : détecte et élimine les virus Kiman.A et Kiman.B.
• FixBmalE ( 169Ko) : détecte et élimine le virus Blackmal.E.
• FxSecefa ( 172Ko) : détecte et élimine les virus Secefa.A, Secefa.B, Secefa.C et le troyen
Gamqowi.
• FixRyknos ( 170Ko) : détecte et élimine Backdoor.Ryknos, Backdoor.Ryknos.B et
SecurityRisk.First4DRM.
• FxLodear ( 175Ko) : détecte et élimine les troyens Lodear.B, Lodear.C, Lodear.D, Lodav.A
et Lodav.B.
• Fxpexmor ( 682Ko) : détecte et élimine le virus Pexmor.
• FixBobax ( 2,1Mo) : détecte et élimine les virus Bobax.AH et Bobax.Z.
• FixEsbot ( 169Ko) : détecte et élimine les virus Esbot.A, Esbot.B et Esbot.C.
• FixZotob ( 172Ko) : détecte et élimine les virus Zotob.A, Zotob.B, Zotob.C, Zotob.D,
Zotob.E et Zotob.F.
• FixReatle ( 158Ko) : détecte et élimine le virus Reatle.C.
• FxJasbom ( 158Ko) : détecte et élimine Trojan.Jasbom.
• Restore_GpcodeB ( 72Ko) : utilitaire permettant de décrypter gratuitement les documents
cryptés par le troyen Pgpcoder.
• F-vmonde ( 32Ko) : détecte et élimine l'adware Vundo/Virtumonde (double-cliquer sur le
fichier f-vmonde.zip pour ouvrir l'archive, exécuter le fichier f-vmonde.exe, puis
redémarrer l'ordinateur).
• FxVundoB ( 170Ko) : détecte et élimine l'adware Vundo.B/Virtumonde.B.
• FixVundo ( 158Ko) : détecte et élimine Trojan.Vundo.
• FixSflog ( 168Ko) : détecte et élimine les virus Serflog.A et Serflog.C (copie de l'utilitaire ici pour les
utilisateurs ne pouvant plus accéder au site officiel)

• FixMytob ( 174Ko) : détecte et élimine les virus Mytob.A, Mytob.B, Mytob.L, Mytob.M,
Mytob.R, Mytob.U, Mytob.AG, Mytob.AH et Mytob.AS, Mytob.BV, Mytob.CF,
Mytob.CH, Mytob.CU, Mytob.CY, Mytob.DA, Mytob.DB, Mytob.DF, Mytob.DJ,
Mytob.DL, Mytob.DP, Mytob.DV, Mytob.EB, Mytob.EC, Mytob.ED, Mytob.EE et
Mytob.EG.
• FxMytbar ( 166Ko) : détecte et élimine le virus W32.Mytob.AR@mm.
• FxBropia ( 151Ko) : détecte et élimine les virus Bropria.A, Bropia.J et Bropia.N et
Bropia.P.
• FixEnvid ( 158Ko) : détecte et élimine les virus W32.Envid.B@mm and
W32.Envid.C@mm.
• FxErkez ( 155Ko) : détecte et élimine le virus Zafi.D / Erkez.D.
• FxErkezB ( 155Ko) : détecte et élimine le virus Zafi.B / Erkez.B.
• FixBofra ( 153Ko) : détecte et élimine les virus Bofra.A, Bofra.B, Bofra.C et Bofra.D.
• FxEvaman.exe ( 155Ko) : détecte et élimine le virus W32.Evaman.C.
• AntiMabutu.exe ( 61Ko) : détecte et élimine le virus Mabutu.A.
• CabirFix ( 21Ko) : détecte et élimine le virus Cabir.
• Antizafi.exe ( 61Ko) : détecte et élimine le virus Zafi.B.
• FxSasser ( 150Ko) : détecte et élimine les virus Sasser.A, Sasser.B, Sasser.C, Sasser.D,
Sasser.E et Sasser.G.
• KB 873018 ( 118Ko) : cet utilitaire pour détecter et supprimer Scob a été remplacé par
l'utilitaire MSRT.
• FixKorgo ( 144Ko) : détecte et élimine les virus Korgo.F, Korgo.H, Korgo.I, .Korgo.L,
Korgo.P, Korgo.R, Korgo.S, Korgo.T, Korgo.U, Korgo.V et Korgo.Z.
• FixDonk ( 144Ko) : détecte et élimine le virus W32.Donk.Q.
• FixOpasa ( 148Ko) : détecte et élimine le virus W32.Opasa@mm.
• FxErkez ( 153Ko) : détecte et élimine le virus Erkez.A (= Zafi.A).
• FxBkmalB ( 150Ko) : détecte et élimine le virus Blackmal.B.
• FxBgleMO ( 2,6 Mo) : détecte et élimine les virus Bagle.M/N, Bagle.P/N et BagleQ/O.
• FXNetsky ( 148Ko) : détecte et élimine les virus Netsky.B, Netsky.C, Netsky.D, Netsky.E,
Netsky.J/K, Netsky.P, Netsky.Q, Netsky.S, Netsky.T, Netsky.X et Netsky.Y, Netsky.Z et
Netsky.AB.
• FxMydoom ( 156Ko) : détecte et élimine les virus Mydoom.A, Mydoom.B, Mydoom.F,
Mydoom.G, Mydoom.H, Mydoom.L, Mydoom.M, Mydoom.Q/S, Mydoom.AM,
Mydoom.AX, Mydoom.AZ, Mydoom.BA, Mydoom.BN, Mydoom.BO@mm,
Mydoom.BQ, Mydoom.BT, Mydoom.BU, Zincite.A, Zindos.A, Nemog, Nemog.D.
• FxDumaru ( 159Ko) : détecte et élimine les virus Dumaru.Y et Dumaru.Z.
• FxBeagle ( 1,3Mo) : détecte et élimine notamment les virus Bagle.A, Bagle.B, Bagle.C,
Bagle.E, Bagle.F, Bagle.G, Bagle.H, Bagle.I, Bagle.J, Bagle.K, Bagle.U, Bagle.W/X/Y/Z,
Bagle.X/Y/Z/AA, Bagle.Y/AD, Bagle.Z/AE, Bagle.AB/AF, Bagle.AG/AI, Bagle.AO/AL,
Bagle.AR/AS, Bagle.AT/AV, Bagle.AU/AW, Bagle.AX/AY, Bagle.AY/AZ et Bagle.BA.
• FxAnig ( 150Ko) : détecte et élimine le virus Anig.
• FixSbr ( 179Ko) : détecte et élimine les virus Sober.A, Sober.B, Sober.C, Sober.D, Sober.E,
Sober.F, Sober.G, Sober.I, Sober.L, Sober.N et Sober.O, Sober.Q, Sober.V, Sober.W et
Sober.X.
• FxGaobot ( 151Ko) : détecte et élimine les virus Gaobot.AG, Gaobot.AO, Gaobot.SY,
Gaobot.ZX, Gaobot.ADX, Gaobot.AJD et Gaobot.Gen.
• FxGaobotUJ ( 157Ko) : détecte et élimine le virus Gaobot.UJ.
• FixQhost ( 178Ko) : détecte et élimine le troyen Qhosts.
• AntiIvrol ( 57Ko) : détecte et élimine le virus Torvil / Torvel / Ivrol (ne dispense pas
d'installer le correctif Internet Explorer).
• FixSwen ( 191Ko) : détecte et élimine le virus Swen.A.
• AntiNeroma ( 55Ko) : détecte et élimine les virus Neroma.A et .B.
• FxDumaru ( 165Ko) : détecte et élimine le virus Dumaru.
• FixSbigF ( 172Ko) : détecte et élimine le virus Sobig.F.
• FixWelch ( 165Ko) : détecte et élimine les virus Nachi.A / Welchia.A, Nachi.B / Welchia.B
et Nachi.C / Welchia.C et Welchia.D.
• FxDumaru ( 165Ko) : détecte et élimine le virus Dumaru.
• FixBlast ( 140Ko) : détecte et élimine le virus Lovsan/Blaster et ses variantes Blaster.B,
Blaster.C, Blaster.D, Blaster.E et Blaster.F.
• FixWinsh ( 166Ko) : détecte et élimine la porte dérobée Backdoor.Winshell.50
(= BackDoor-TC) et le troyen Trojan.Stealther.B.
• AntiMimail ( 59Ko) : détecte et élimine les virus Mimail.N, Mimail.Q et Mimail.T.
• FxMimail ( 159Ko) : détecte et élimine le virus Mimail.A, ainsi que ses variantes C, D, E,
F, G, I, J, L et M.
• FixSbigE ( 165Ko) : détecte et élimine le virus Sobig.E.
• FixFemot ( 165Ko) : détecte et élimine le virus Femot/Mofei.A.
• FixBugb ( 160Ko) : détecte et élimine le virus Bugbear.B.
• FixSbigC ( 160Ko) : détecte et élimine le virus Sobig.C.
• AntiHolar ( 56Ko) : détecte et élimine le virus Holar.H.
• KillAuric ( 35Ko) : détecte et élimine le virus Auric.A/Magold.A.
• FxSobigB ( 165Ko) : détecte et élimine le virus Sobig.B/Palyh.
• FixFiz ( 165Ko) : détecte et élimine le virus Fizzer.A.
• AntiGanda ( 34Ko) : détecte et élimine le virus Ganda.A.
• FixLGate ( 167Ko) : détecte et élimine le virus Lovgate (toutes les variantes de A à L, ainsi
que W32.Lovgate.R, W32.Lovgate.W, W32.Lovgate.X, W32.Lovgate.Y, W32.Lovgate.Z et
W32.Lovgate.AD).
• FixSQLex ( 115Ko) : détecte et élimine le virus SQLSlammer de la mémoire (ne dispense
pas d'installer le correctif MS SQL Server).
• FixSobig ( 161Ko) : détecte et élimine le virus Sobig.
• FixLirva ( 167Ko) : détecte et élimine les virus Lirva.A et Lirva.C.
• FixYaha ( 167Ko) : recherche et élimine les virus Yaha.E/F, Yaha.F/G, Yaha.K et Yaha.J.
• FixWEvar ( 140Ko) : détecte et élimine le virus Winevar.
• FixBrid ( 598Ko) : détecte et élimine le virus Brid.
• FixOpsrv ( 155Ko) : détecte et élimine le virus Opaserv et ses variantes connues.
• FxBgbear ( 175Ko) : recherche et élimine le virus BugBear (en cas de problème, vous
pouvez aussi utiliser AntiBugBear).
• RMSlapper ( 25Ko) : détecte les virus Slapper.A (Bugtraq), Slapper.B (Cinik) et Slapper.C
(Unlock), et élimine les variantes A et B. Exécutable permettant de désinfecter une
machine sous Linux en spécifiant son adresse IP.
• FixFreth ( 175Ko) : recherche et élimine toutes les variantes connues du virus Frethem,
dont Frethem.E et Frethem.K.
• AntiDatom ( 54Ko) : recherche et élimine le virus Datom.
• AntiK0wbot ( 101Ko) : recherche et élimine le troyen K0wbot.1.3.B.
• AntiBenjamin ( 41Ko) : recherche et élimine le virus Benjamin.
• FixAutoupder ( 160Ko) : recherche et élimine le troyen Backdoor.Autoupder (=
Backdoor.Trojan ou Downloader.Trojan).
• FixKlez ( 135 Ko) : recherche et élimine toutes les variantes du virus Klez (notamment .E
et .H) et leur virus associé Elkern (lire les consignes d'utilisation en anglais ou une
traduction en français).
• FixMLifeCEF ( 76Ko) : recherche et élimine les virus Mylife.C, Mylife.E et Mylife.F.
• FixMLife ( 170Ko) : recherche et élimine les virus Mylife.A et Mylife.B.
• FixMyparty ( 88Ko) : recherche et élimine le virus Myparty.
• FixGigger ( 48Ko) : recherche et élimine le virus Gigger.
• FixZoher ( 80Ko) : recherche et élimine le virus Zoher.
• FixShoho ( 96Ko) : recherche et élimine le virus Shoho (alias Welyah).
• FixDlDer ( 143Ko) : recherche et élimine le troyen DlDer.
• FixGokar ( 40Ko) : recherche et élimine le virus Gokar.
• FixGoner ( 406Ko) : recherche et élimine le virus Goner.
• FixBadtrans.B ( 122Ko) : recherche et élimine le virus Badtrans.B.
• FixBadtrans.A ( 36Ko) : recherche et élimine le virus Badtrans.A.
• FixNimda ( 454Ko) : recherche et élimine le virus Nimda.A (à utiliser plusieurs fois
jusqu'à ce que l'analyse ne détecte plus de virus, lire les consignes d'utilisation en anglais
ou une traduction en français).
• FixNimdaE ( 450Ko) : recherche et élimine le virus Nimda.E (lire les consignes
d'utilisation en anglais ou une traduction en français).
• FixMagistrB ( 60Ko) : recherche et élimine le virus Magistr.B (lire les consignes
d'utilisation en anglais ou une traduction en français).
• FixMagistr ( 60Ko) : recherche et élimine le virus Magistr.A (lire les consignes d'utilisation
en anglais ou une traduction en français).
• FixHybris ( 24Ko) : recherche et élimine le virus Hybris.
• FixPotok ( 71Ko) : recherche et élimine le virus Potok (lire les consignes d'utilisation en
anglais ou une traduction en français).
• FixSirc ( 74Ko) : recherche et élimine le virus SirCam (lire les consignes d'utilisation en
anglais ou une traduction en français).
• FixBlebla ( 36Ko) : recherche et élimine le virus Blebla.B.
• FixHaptime ( 70Ko) : recherche et élimine le virus Haptime.
• FixNavi (36 Ko) : élimine les virus Navidad et Emmanuel (consulter les fiches
correspondantes pour avoir la procédure complète de désinfection).
• FixQaz9x et FixQazNT (40 Ko) : élimine le virus Qaz en cas d'infection d'un ordinateur
respectivement sous Windows 95/98 ou sous NT.
• AntiSpaces (148 Ko) : élimine le virus Win95.Spaces en cas d'infection.
• FixFun (30 Ko) : élimine le virus FunLove en cas d'infection (lire les consignes
d'utilisation en anglais ou une traduction en français).
• FixLife (216 Ko) : élimine le virus Stages en cas d'infection.
• AntiLove (24 Ko) : élimine le virus ILOVEYOU en cas d'infection.
• AntiKak (391 Ko) : élimine le virus Kak et sa variante Kak.B.
• FixHappy (213 Ko) : élimine le virus Happy99.
• FixExzip (164 Ko, anciennement appelé Kill_EZ) : élimine le virus ZippedFiles (alias
ExploreZip).
• Stinger ( 0,7 Mo) : recherche et élimine les virus et troyens les plus fréquemment
rencontrés (dont BackDoor-AQJ, BackDoor-JZ, Bat/Mumu.worm, IPCScan, IRC/Flood.ap,
IRC/Flood.bi, IRC/Flood.cd, PWS-Narod, PWS-Sincom.dll, W32/Deborm.worm.gen,
W32/Doomjuice.worm, W32/MoFei.worm, W32/Mumu.b.worm, W32/Pate,
W32/Sdbot.worm.gen , BackDoor-CFB, Backdoor.Agent.B ; voir la liste complète).
• Malicious Software Removal Tool (0,3 Mo) : utilitaire de désinfection de Microsoft
permettant de rechercher et de supprimer les principaux virus (dont Win32/Berbew,
Win32/Doomjuice, Win32/Gaobot, Win32/MSBlast, Win32/Mydoom, Win32/Nachi,
Win32/Sasser, Win32/Zindos ; voir la liste complète).
• a² free ( 3,1 Mo) : recherche et élimine une grande variété de troyens, dialers, spywares et
virus (dont TrojanDownloader.Win32.Dyfuca, TrojanDownloader.Win32.IstBar,
TrojanDownloader.Win32.Wintrim.a, Trojan.Win32.KillReg.d, Trojan.Win32.StartPage;
voir la liste).
• Symantec Mobile Threats Removal Tool (23 Ko) : utilitaire de désinfection gratuit pour
téléphones mobiles SymbianOS (détecte et élimine les virus Cabir, Cabir.B,
Commwarrior.A et Commwarrior.B, voir la liste).

Pour que la désinfection soit complète, les utilisateurs de Windows Me ou XP


doivent désactiver la restauration du système avant de scanner leur disque
dur
Antispywares gratuit ( d’après le site
inoculer.com)
La plupart des possesseurs de PC pensent qu'il suffit d'avoir un antivirus (voire un firewall)
pour être à l'abri des problèmes. Une grande majorité d'entre eux sont pourtant victimes de
spywares, ces petits programmes qui s'installent souvent à notre insu, ou suite à l'acceptation
d'un message quelconque qui apparaît a l'écran.
Certains ignorent même leur présence sur leur machine, et d'autres les voient sans pour autant
se demander comment il est possible de les enlever, et du coup ils vivent avec... Un peu
comme un chien vit avec des tics et des puces...

Les antispywares gratuits vous permettent de protéger votre pc contre les logiciels espions, et
cela sans débourser un copec! Voici une liste de ces antispywares à télécharger.

# A-squared Free
A-squared analyse votre disque dur à la recherche de spywares, troyens,
backdoors, dialers et vers, d'après une liste de programmes malveillants et
vous permet de les éliminer. Cette version gratuite est utilisable sans
limitation dans le temps, mais ne dispose pas de toutes les fonctionnalités de la version
payante.
procédure : Visitez le site, téléchargez la dernière version dans la section
"Téléchargement" et installez-la.
programme à télécharger : 4.4 Mo.
nature : gratuit, programme exécutable Windows.
langue : anglais, français, allemand.
note :


• # Ad-Aware Free
Ad-aware scanne la mémoire, les disques
durs/optiques/démontables ainsi que le registre de votre système à la recherche de
spywares (collecte de données, publicité agressive, tracking) et fournit les résultats
ainsi que la possibilité de les mettre en quarantaine ou de les supprimer
définitivement. La liste des spywares est assez complète, et peut être mise à jour
régulièrement. Lire attentivement la documentation fournie, car supprimer certains
spywares peut rendre impossible l'exécution des programmes dont ils font partie.
Existe aussi en version Plus et Pro (payantes toutes les deux).
procédure : Visitez la page, téléchargez la dernière version dans la section "Download"
et installez-la.
programme à télécharger : 17.3 Mo.
nature : gratuit, programme exécutable Win.
langue : anglais.
note :


• # Bazooka
Petit et rapide, ce programme scanne votre système à la
recherche de plus de 460 spywares et adwares connus, et fournit pour chaque logiciel
indésirable un lien vers une encyclopédie en ligne. Bazooka ne vous propose pas de
supprimer les spywares, mais vous fournira les instructions nécessaires ou des liens
vers des désinstallateurs (le cas échéant). De prime abord limité, Bazooka est rapide et
fournit des informations régulièrement mises à jour. Pour ceux qui ne veulent pas se
prendre la tête.
procédure : Visitez le site, téléchargez la dernière version dans la section "Download"
et installez-la.
programme à télécharger : 718 Kb.
nature : gratuit, programme exécutable Win.
langue : anglais.
note :


• # BHO Demon
BHO Demon permet de détecter les BHO's (Browser Helper Objects), petits
programmes pouvant abriter des spywares et de les désactiver. Actuellement il n'est
plus tenu à jour par son éditeur.
procédure : Visitez le site, téléchargez la dernière version dans la section "Download
>> BHO Demon" et installez-la.
programme à télécharger : 127Ko.
nature : gratuit, programme exécutable Win.
langue : anglais.
note :


• # eTrust PestScan
Computer Associates met gratuitement à votre disposition la version en
ligne de son antispyware PestScan. Cette version ne fait cependant que
détecter les menaces, sans pouvoir les supprimer.
procédure : Visitez le site. Presser le bouton "START" pour commencer l'analsye.
note : nécessite que activex soit activé sur votre navigateur.
nature : gratuit, antispyware en ligne.
langue : anglais.


• # KL-Detector
Le principe de ce détecteur de keylogger se base sur le fait que la plupart des
keyloggers crée un fichier caché .LOG sur votre système. Il vous propose donc
d'utiliser votre clavier pendant quelques instants, le temps qu'il vérifie toute activité
suspecte. A ne pas utiliser de manière permanente, il risquerait dans ce cas de détecter
des faux positifs (détection d'un keylogger là où il n'en existe pas) occasionné par
l'utilisation normale d'un PC. N'étant pas totalement au point, il est à réserver aux
experts, qui sauront trier le bon grain de l'ivraie.
procédure : Visitez le site, dans la rubrique "Download", téléchargez la dernière
version et installez-la.
programme à télécharger : 35 Kb.
nature : gratuit, programme windows.
langue : anglais.
note :

• # Perfect Process
Perfect Process offre à votre ordinateur une protection temps réel contre plus
de 1'000 programmes potentiellement malveillants. Il peut aussi effectuer un
scan à distance (avec des droits administrateurs) et un visionneur donnant
beaucoup d'informations sur les process tournant sur votre machine. Moins
sophistiqué que d'autres antispywares mais apprécié des utilisateurs avancés.
procédure : Visitez le site, téléchargez la dernière version dans la section "Download"
et installez-la.
programme à télécharger : 4 Mb.
nature : gratuit (pour 5 ordinateurs ou moins), programme windows.
langue : anglais.
note :


• # Spybot Search & Destroy
Un must ! Il supprime spywares et autres logiciels mouchards,
permet de gérer les cookies et les BHO's (Browser Helper Objects); il permet aussi
d'obtenir des renseignements sur tout intrus détecté sur le système. Il possède aussi
une fonction de sauvegarde permettant de revenir sur des modifications (au cas où un
de vos logiciels ne marche plus, suite à la suppression d'un spyware). Simple, facile et
efficace. Un must, on vous dit !
procédure : Visitez le site, téléchargez la dernière version et installez-la.
configuration: Windows.
programme à télécharger : 3.5 Mo.
nature : gratuit, programme exécutable Windows.
langue : fran&cidil;ais, anglais, allemand, espagnol, italien...
note :


• # SpySites
SpySites dispose d'une liste de sites (plus de 1500), connus pour leur utilisation des
logiciels de tracking ou pour leur tentative d'installation de logiciels de tierce partie.
Vous sélectionnez ceux que vous désirez, voire tous, voire seulement les plus
"agressifs", et SpySites ajoutera les URLs correspondant à la Zone Restreinte de
Internet Explorer, bloquant l'accès à ces sites. Ensuite, à moins de vouloir changer la
configuration, il n'est plus nécessaire de lancer SpySites.
procédure Visitez le site, téléchargez la dernière version dans la section
"Download>>Internet" et installez-la.
configuration: Windows.
programme à télécharger : 570 Kb.
nature : gratuit, programme exécutable Windows.
note :


• # Spyware Blaster
"Mieux vaut prévenir que guérir !" Telle est la devise de Spyware Blaster. Il
désactive certains contrôles ActiveX si populaires sur le net et trop souvent
porteurs de spywares. En faisant ceci, il empêche un grand nombre de spywares de
venir s'installer sur votre ordinateur. Il permet aussi de prendre une "photo" des
paramètres et d'éventuellement y revenir en cas de modifications survenues à cause de
spywares et autres invasions.
procédure : Visitez le site, téléchargez la dernière version dans la section "Download"
et installez-la.
programme à télécharger : 2.2 Mo.
nature : gratuit, programme exécutable Windows.
langue : anglais.
note :


• # SpyWare Guard
Spyware Guard propose une protection en temps réel contre les spywares. Il
fonctionne comme un anti-virus, scannant les fichiers .EXE et .CAB lorsque
vous y accédez et vous alertant s'il y trouve un spyware. Le cas échéant, il bloque
l'accès à ce fichier et propose alors un choix d'actions à effectuer. Il propose plusieurs
types de scan (d'après liste, par méthode heuristique, scan rapide) et un outil de mise à
jour en ligne. Attention, ce logiciel n'est pas un anti-virus, il ne s'occupe que des
spywares.
procédure : Visitez le site, téléchargez la dernière version dans la section "Download"
et installez-la.
programme à télécharger : 913 Kb.
nature : gratuit, programme exécutable Windows.
langue : anglais.
note :


• # Trend Micro HijackThis
HijackThis liste tous les add-ons installés par votre browser Internet
et vous permet de les vérifier et d'éventuellement les enlever. Ce
logiciel crée une sauvegarde de votre configuration avant changement, propose des
options telle la mise à jour automatique et autres. Réservé aux initiés.
procédure : Visitez cette page, téléchargez la dernière version et installez-la.
programme à télécharger : 392 Ko.
nature : gratuit, programme.
langue : anglais.
note :


• # Webroot SpyAudit
SpyAudit est un petit outil qui permet de scanner rapidement votre
disque dur. Toutefois, il ne fournit aucun moyen de le nettoyer: il
permet simplement de vérifier que tout va bien.
procédure : Visitez la page, cliquez sur "start spy audit" pour effectuer la vérification.
nature : gratuit, programme en ligne.
langue : anglais.
note :


• # Windows Defender
Windows Defender (anciennement appelé Giant AntiSpyware) est
l'antispyware proposé par Microsoft pour protéger son système
d'exploitation Wndows. Il est encore en version bêta (version de test
pouvant comporter des bogues de programmation).
procédure : Visitez la page, cliquez sur "Téléchargez-le ici", sélectionnez la langue
puis pressez le bouton "Change", et suivez les instructions pour télécharger la dernière
version et l'installer.
programme à télécharger : 4,9 Mo.
nature : gratuit pendant une durée limitée, programme exécutable Windows.
langue : anglais.
note :


• # XP-AntiSpy
Ce tout petit logiciel permet de gérer les failles de sécurité
présentes dans Windows XP. Toutes les modifications proposées
par XP-AntiSpy peuvent être faites manuellement, mais il vous
permettra de le faire plus facilement, plus rapidement, que ce soit quand vous
désactiver certaines options ou que vous souhaitez les réactiver.
procédure : Visitez la page, téléchargez la dernière version dans la section "Download"
et installez-la.
programme à télécharger : 29 Kb.
nature : gratuit, programme exécutable Windows.
langue : anglais.
note :

On peut aussi ajouter à cette liste les nouveaux outils dans leurs forme gratuite :

• Logiciel AVG Anti-Spyware 7.5 site officiel grisoft.com.
• (anciennement ewido anti-spyware 4.0)

Grisoft propose depuis longtemps une version gratuite de son


antivirus, AVG. L'éditeur propose également un anti spyware qui bénéficie lui aussi
d'une version gratuite. Par rapport à la version payante, plusieurs fonctionnalités sont
manquantes, notamment la protection en temps réel et les mises à jour automatiques,
ce qui est également le cas de concurrents comme Ad-Aware SE Personal.
Limitations de la version gratuite : le bouclier résident et les mises à jour
automatiques sont limitées à 30 jours d'évaluation. Le logiciel conserve toutes ses
autres fonctionnalités.

Télécharger AVG Anti-Spyware 7.5 sur clubic.com avec language français

Configuration compatible: Windows 98/Vista/XP

Anti-rootkit
• McAfee Rootkit Detective Beta (1,7 Mo) : utilitaire gratuit permettant la détection et
la suppression des rootkits (programmes malicieux furtifs) sous Windows XP et 2000,
par l'éditeur d'antivirus Mc Afee.
• F-Secure.com Blacklight Beta (0,9 Mo) : autre utilitaire gratuit (mais pendant une
durée limitée) permettant la détection et la suppression des rootkits sous Windows, par
l'éditeur d'antivirus F-Secure.
• AVG Anti-Rootkit Free (0,4 Mo) : cet utilitaire n'est plus disponible gratuitement.

Réparer son PC agressé avec l’outil HijackThis


(Attention ce petit tutoriel traduit par el-Diablo est réservé aux utilisateurs avertis)
HijackThis est un anti hijack, il est capable de:

• Détecter les composants ajoutés à votre navigateur.


• Détecter les programmes lancés au démarrage du système, etc.

HijackThis vous permet également de consulter tous les éléments et éventuellement de les
retirer de l'ordinateur. A titre d'exemple HijackThis est en mesure de forcer le changement de
la page d'accueil de IE.

HijackThis ne nécessite pas d'installation.


Téléchargement : HijackThis version 1.98.2
Téléchargement : HijackThis patch FR

A savoir avant d'utiliser HijackThis

1) La Base de Registre (BDR)

Cliquer sur: Démarrer > Exécuter, dans la zone de texte, taper: regedit et valider la boîte.

Dans l'éditeur de la base de registre (regedit.exe) vous apercevez cinq clés principales, dans
cet ordre :

Voici quelques précisions sur ces différentes clés :

HKEY_CLASSES_ROOT (nommé HKCR)

Elle contient toutes les associations de fichiers.


Le nom des premières clés correspond à l'extension de fichier à laquelle on s'intéresse.
Plus bas dans l'arborescence sont indiquées des clés correspondant aux noms des types de
fichiers auxquels sont attribuées :
L’icône par défaut (DefaultIcon)
Le type d'action associée (shell) : ouvrir, exécuter, etc.

HKEY_CURRENT_USER (nommé HKCU)

Elle définit les paramètres relatifs à l'utilisateur, ils sont classés en six sous-catégories :
Control panel : c'est le panneau de configuration
Software : relatifs aux logiciels installés
AppEvents : ce sont les sons systèmes
Keyboard layout : les paramètres du clavier
Remote Access : relatifs aux accès réseau à distance
Network : Configuration du réseau

HKEY_LOCAL_MACHINE (nommé HKLM)

Elle contient toutes les informations, Concernant votre machine :


Hardware : processeur et carte-mère
Enum : matériel
Network : réseau, Internet
Software : les configurations des logiciels communes à tous les utilisateurs.

HKEY_USERS (nommé HKU)

Elle contient les paramètres relatifsà chacun des utilisateurs, classés séparément.

HKEY_CURRENT_CONFIG (nommé HKCC)

C'est un raccourci vers la configuration actuellement utilisée dans HKLM\Config.


Elle contient les paramètres relatifs à la configuration courante de l'ordinateur.

2) Comment lancer Regedit

Cliquer sur le menu Démarrer > Exécuter > tapez regedit et ENTER.
3) Comment sauvegarder une clé de registre

Dans la BDR, faite un clique droit sur celle-ci et sélectionnez Exporter. Indiquez lui un nom à
votre convenance.

4) Voici quelques captures afin d'avoir un aperçu de HijackThis

Le programme Lancé :

Après avoir effectué un Scan :

Accès au Panneau Configuration / Menu :


Accés Panneau de Configuration / Ignorés :

Accès au Panneau Configuration / Sauver :

Accès Panneau de Configuration / Outils :


IMPORTANT

Les opérations de réparations effectuées par HijackThis se font dans la Base de Registre, il
s'agit donc d'une zone sensible de votre système.

Pensez à faire une sauvegarde avant de faire vos manipulations (onglet Config >
Sauver).

Enfin, ce tutorial est là pour vous aider à comprendre comment fonctionne HijackThis.

Description :

Un rapport HijackThis est divisé en plusieurs parties bien distinctes.

Voici les principales données que l'on peut y trouver :

R0, R1, R2, R3-Démarrage Internet Explorer/Search pages URLs


F0, F1-Programmes qui démarrent automatiquement au démarrage
N1, N2, N3, N4-Netscape/Mozilla Start/Search pages URLs
O1-Hosts file redirection
O2-Browser Helper Objects
O3-Barres d'outils Internet Explorer
O4-Démarrage automatique de programmes à partir du registre ou de la Startup List.
O5-Options Internet non visibles dans le panneau de configuration
O6-Accès aux options Internet refusées
O7-Accès à l'éditeur de registre refusé
O8-Menu contextuel IE (clique-droit) modifié
O9-Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu
"Outils"
O10-Winsock hijacker
O11-Groupe supplémentaire dans les "options avancées" de IE
O12-IE plugins
O13-IE DefaultPrefix hijack
O14-'Reset Web Settings' hijack
O15-Sites non souhaités dans la zone de confiance
O16-ActiveX Objects (aka Downloaded Program Files)
O17-Lop.com domain hijackers
O18-Extra protocols and protocol hijackers
O19-User style sheet hijack
R0, R1, R2, R3-Démarrage Internet Explorer/Search pages URLs

Voici quelques exemples et recommandations:

R0-HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com


R1-HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.google.com
R2-(this type is not used by HijackThis yet)
R3-Default URLSearchHook is missing
Si vous reconnaissez l'adresse comme étant votre page de démarrage, ou celle de votre moteur
de recherche, pas de problème! Sinon, FIXER!!!
Pour la section R3, supprimez toujours à moins que cela ne mentionne, un programme que
vous reconnaissiez, comme COPERNIC...

F0, F1, F2, F3-Programmes qui démarrent automatiquement depuis des fichiers *.INI
F0-System.ini: Shell=Explorer.exe Openme.exe
F1-Win.ini: run=hpfsched
Les entrée F0 sont toujours mauvaises, donc FIXER!!.
En F1, vous trouverez généralement de vieux programmes qui sont "sains", Vous devriez
donc chercher des informations pour vérifier si le fichier est sain ou non.

N1, N2, N3, N4-Pages de recherche et de démarrage Netscape/Mozilla


N1-Netscape 4:user_pref("browser.startup.homepage","www.google.com"); (C:\Program
Files\Netscape\Users\default\prefs.js)
N2-Netscape6:user_pref("browser.startup.homepage", "http://www.google.com");
(C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2-Netscape6:user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape
%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
De manière générale, les pages de démarrage de Mozilla et Netscape sont saines.
Il est très rare qu'elles soient hijackées, il n'y a en effet que lop.com (en anglais) qui a ce
savoir. Là encore si vous voyez quelque chose qui ne vous est pas familier, FIXER!!!

O1-Hostsfile redirections
O1-Hosts: 216.177.73.139 auto.search.msn.com
O1-Hosts: 216.177.73.139 search.netscape.com
O1-Hosts: 216.177.73.139 ieautosearch
O1-Hosts file is located at C:\Windows\Help\hosts
Ce code vous redirigera tout droit vers l'adresse IP de gauche. Si cette adresse IP n'appartient à
aucun site, vous serez redirigé vers un site non voulu à chaque fois que vous entrerez
l'adresse.
Vous pouvez supprimer ces entrées à moins qu'elles ne soient laissées en connaissance de
causes. La dernière entrée agit parfois sous Windows 2000/XP par une infection de type
Coolwebsearch (description complète, en anglais). FIXER !!! Ou téléchargez CWShredder
(en anglais) qui résoudra le problème automatiquement.

O2-Objets Aide Browser


O2-BHO:Yahoo!CompanionBHO-{13F537F0-AF09-11d6-9029-0002B31F9E59}-
C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2-BHO:(noname)-{1A214F62-47A7-4CA3-9D00-95A3965A8B4A}-
C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2-BHO:MediaLoadsEnhanced-{85A702BA-EA8F-4B83-AA07-07A5186ACD7E}
C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Si vous ne reconnaissez pas directement le nom d'un tel objet, allez voir TonyK's BHO &
Toolbar List
Pour voir s'il est sain ou non:
Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche,
Dans la liste: 'X'=spyware et 'L'=sain.

O3-Barres d'outils Internet Explorer


O3-Toolbar:&Yahoo!Companion-{EF99BD32-C1FB-11D2-892F-0090271D4F88}-
C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3-Toolbar:Popup Eliminator-{86BCA93E-457B-4054-AFB0-E428DA1563E1}-
C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3-Toolbar: rzillcgthjx-{5996aaf3-5c08-44a9-ac12-1843fd03df0a}-
C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Si vous ne reconnaissez pas directement le nom d'une barre d'outil, utilisez TonyK's BHO &
Toolbar List
Pour voir s'il est sain ou non:
Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche,
dans la liste: 'X'=spyware et 'L'=sain.
S'il n'apparaît pas dans la liste, que le nom semble être une chaîne de caractères "au hasard" et
que le fichier se trouve dans le dossier "Application Data" (comme le dernier exemple dans la
liste un peu plus haut), il s'agit peut être de lop.com (description en anglais). Donc FIXER!!!
O4-Démarrage automatique de programmes à partir du registre ou de la Startup List.
O4-HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4-HKLM\..\Run: [SystemTray] SysTray.Exe
O4-HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4-Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4-Global Startup: winlogon.exe
Utilisez ici PacMan's Startup List pour voir si l'entrée est saine ou malsaine. Si l'entrée montre
un programme demeurant dans un Startup Group (comme le dernier exemple), HijackThis ne
peut pas le réparer directement, vous devrez utiliser le Gestionnaire des Tâches de Windows
"Ctrl+Alt+Suppr" (TASKMGR.EXE) pour fermer le processus gênant. Ce n'est qu'après cette
opération que vous pourrez supprimer le spyware.

O5-Options Internet non visibles dans le panneau de configuration


O5-Control.ini: inetcpl.cpl=no
A moins que l'administrateur n'ait volontairement caché l'icône, FIXER!!!

O6-Accès aux Options Internet limitées par Administrateur


O6-HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Si l'option "verrouiller la page de démarrage" de Spybot Search & Destroy n'est pas activée
ou si l'administrateur n'est pas à l'origine de la modification, FIXER!!!
O7-Accès à l'éditeur de registre refusé
O7-HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Toujours supprimée cette entrée, sauf si l'administrateur est à l'origine de la modification.

O8-Menu contextuel IE (clique-droit) modifié


O8-Extra context menu item: & Google Search-res://C:\WINDOWS\DOWNLOADED
PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8-Extra context menu item: Yahoo! Search-file:///C:\Program
Files\Yahoo!\Common/ycsrch.htm
O8-Extra context menu item: Zoom & In-C:\WINDOWS\WEB\zoomin.htm
O8-Extra context menu item: Zoom O&ut-C:\WINDOWS\WEB\zoomout.htm
Si vous ne reconnaissez pas le nom de l'item dans le menu, FIXER!!!

O9-Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu
"Outils"
O9-Extra button: Messenger (HKLM)
O9-Extra 'Tools' menu item Messenger (HKLM)
O9-Extra button: AIM (HKLM)
Si vous ne reconnaissez pas le bouton ou l'item du menu, FIXER!!!

O10-Winsock hijackers
O10-Hijacked Internet access by New.Net
O10-Broken Internet access because of LSP provider
C:\progra~1\common~2\toolbar\cnmib.dll' missing
O10-Unknown file in Winsock LSP: C:\Program Files\Newton knows\vmain.dll, Il est mieux
dans ce cas d'utiliser Spybot Search & Destroy. Noter que tous les fichiers 'unknown' de la
liste LSP ne seront pas supprimé par HijackThis et ce pour des raisons de sécurité.

O11-Groupe supplémentaire dans les "options avancées" de IE


O11-Options group: [CommonName] CommonName
Le seul hijacker connu capable d'une telle action est CommonName. FIXER!!!

O12-IE plugins
O12-Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12-Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
La plupart du temps, celles-ci sont saines. Il n'y que OnFlow qui ajoute un plugin non voulu
(*.ofb).

O13-IE DefaultPrefix hijack


O13-DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl'url=
O13-www Prefix: http://prolivation.com/cgi-bin/r.cgi'
O13-www. Prefix: http://ehttp.cc/'
FIXER!!! Ils sont TOUJOURS malsains.

O14-'Reset Web Settings' hijack


O14-IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Si l'URL n'est pas celle de votre FAI ou celle de votre ISP, FIXER!!!
O15-Sites indésirables dans la "Zone de confiance"
O15-Trusted Zone: http://free.aol.com
O15-Trusted Zone: *.coolwebsearch.com
O15-Trusted Zone: *.msn.com
La plupart du temps, AOL et Coolwebsearch s'insèrent silencieusement dans la zone de
confiance. Si vous découvrez un site dans cette zone de confiance, et que vous n'avez pas
vous-même ajouté, FIXER!!!

O16-ActiveX Objects (alias Downloaded Program Files)


O16-DPF:Yahoo! Chat-http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16-DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(ShockwaveFlashObject)
-http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Si vous ne reconnaissez pas le nom de l'objet, ou de l'URL de laquelle cela a été téléchargé,
FIXER!!!
Si l'URL contient de mots comme 'dialer', 'casino', 'free_plugin' etc, FIXER!!!

O17-Lop.com domain hijacks


O17-HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17-HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17-HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17-HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}:
Domain = W21944.find-quick.com
O17-HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17-HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIXER!!!
Idem pour les entrées de type 'SearchList'. Pour les entrées de type 'NameServer' (DNS
servers), recherche des IP dans GOOGLE et vous serez tout de suite renseigné !

O18-Extra protocols and protocol hijackers


O18-Protocol:relatedlinks-{5AB65DD4-01FB-44D5-9537-3767AB80F790}-
C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18-Protocol: mctp-{d7b95390-b1c5-11d0-b111-0080c712fe82}
O18-Protocol hijack: http-{66993893-61B8-47DC-B10D-21E0C86DD9C8}
Un faible nombre de hijackers sont capables de cela. Les plus connus sont 'cn'
(CommonName), 'ayb'
(Lop.com) et 'relatedlinks' (Huntbar), FIXER!!!
Tout ce qui apparaît et n'est pas sûr d'être sain, FIXER!!!

O19-User style sheet hijack


O19-User style sheet: C:\WINDOWS\Java\my.css
Dans le cas ou votre explorateur est fortement ralenti ou envahi par des popups, FIXER!!!
Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux
de réparer ce problème avec CWShredder. FIXER!!!

On peut évaluer votre log créé par HijackThis.


Pour l'utiliser, effectuez un scan avec HijackThis.
Ensuite sélectionnez Save log. Enfin pour évaluer votre log, rendez-vous sur le lien ci dessus.
Sélectionnez "Parcourir" et indiquez l'emplacement de celui-ci sur votre disque dur.
Chaque clé sera affectée à une catégorie: Bon, Inconnu, Eventuellement Méchant, etc....
Il ne vous reste plus qu’à suivre les recommandations, avec précaution tout de même.....
Le phishing

Qu'est-ce que le phishing?


Le phishing (en français "hameçonnage") est une technique de fraude mélangeant spamming
(envoi en masse de messages à des adresses électroniques collectées illégalement ou
composées automatiquement) et ingénierie sociale (usurpation d'identité) dans le but de
subtiliser des informations sensibles aux victimes (identité complète, numéro de carte
bancaire, identifiants d'accès à un site Internet, etc.). Au lieu de tenter de piéger une après
l'autre des personnes choisies pour leur naïveté ou leur vulnérabilité, l'escroc contacte
simultanément plusieurs milliers voire dizaines de milliers de victimes potentielles en tentant
de se faire passer pour leur banque ou n'importe quel autre organisme ou site Internet,
comptant sur ce grand nombre pour trouver des destinataires crédules ou imprudents.

Une attaque par phishing se présente souvent en deux temps : l'internaute reçoit en général un
message de sa banque ou d'une autre société (voir deux exemples visant la banque LCL et le
site eBay) qui l'informe d'un problème de sécurité ou d'une autre action nécessitant qu'il se
rende sur le site concerné et qui l'invite pour cela à cliquer sur un lien hypertexte. Or ce
dernier ne conduit pas au site officiel mais vers une imitation souvent identique à l'original
contrôlée par un individu malveillant, aussi si l'internaute clique sur le lien et saisit des
informations elles seront transmises directement à l'escroc. D'autres variantes existent
cependant, comme un formulaire à remplir intégré dans le message ou une demande de
réponse par retour du courriel (voir exemple visant Windows Live).

D'où vient le terme "phishing"?


Le mot "phishing" proviendrait de la contraction des mots "phreaking" (piratage des lignes
téléphoniques) et "fishing" (pêche). En d'autres termes, le phishing est une sorte de pêche aux
victimes via les réseaux de communication.

Que faire en cas de phishing?


Si vous n'avez pas fourni les informations demandées dans le message frauduleux, il n'y a rien
à faire de particulier à part supprimer le message concerné. Si par contre vous avez été abusé
et avez communiqué ces renseignements à l'auteur du phishing, connectez-vous
immédiatement au véritable site de la société dont l'identité a été usurpée en saisissant
manuellement son adresse dans votre navigateur, puis changez votre mot de passe afin
d'empêcher le détournement de votre compte. En fonction des informations transmises, il peut
être nécessaire d'entreprendre d'autres actions, notamment faire opposition si vous avez
communiqué votre numéro de carte bancaire.

Les logiciels antiphishing sont-ils efficaces?


Les fonctions ou logiciels antiphishing se proposant d'alerter l'utilisateur lorsqu'il accède à
une imitation d'un site officiel utilisée dans le cadre d'une attaque par phishing peuvent être
utiles mais ne sont en aucun cas suffisants car il arrive trop fréquemment qu'un site douteux
ne soit pas détecté. La meilleure protection est encore l'utilisation et le respect d'un conseil
simple : il ne faut ne jamais cliquer sur les liens hypertextes contenus dans un message non
sollicité demandant au destinataire de fournir des données sensibles ou confidentielles, même
s'il semble provenir d'un expéditeur connu. En cas de doute, préférez vérifier la réalité de la
demande par téléphone auprès de la société concernée ou vous rendre sur le site de cette
société en saisissant manuellement son adresse dans votre navigateur, afin de ne pas risquer
de cliquer sur un lien piégé ou conduisant vers une page web piégée.

ALERTES PHISHING

Alertes phishing
Voici la liste des principales alertes phishing (hameçonnage). Pour être informé par courrier
électronique de leur diffusion, vous pouvez vous abonner gratuitement aux lettres
d'information Secuser Alerte ou Secuser Info. Enfin, n'hésitez pas à nous informer de
l'existence d'un nouveau phishing, particulièrement s'il cible les internautes francophones.

Cible Type Apparition Statut


ING Direct faux site 07/10/08 vert
LCL faux site 23/09/08 vert
BNP Paribas faux site 22/09/08 vert
1euro.com faux site 12/09/08 vert
OVH faux site 10/09/08 vert
Paypal France faux site 08/09/08 vert
Amazon France faux site 07/09/08 vert
Orange réponse courriel 30/08/08 rouge
Banque Desjardins faux site 24/08/08 vert
Orange faux site 20/08/08 vert
CIC faux site 17/08/08 vert
Société Générale fax 16/08/08 rouge
Banque Populaire faux site 11/08/08 vert
Neuf Telecom faux site 09/08/08 vert
BNP Paribas faux site 02/08/08 vert
eBay France faux site 23/07/08 vert
CIC faux site 21/07/08 vert
Orange faux site 13/07/08 vert
CIC faux site 09/06/08 vert
Banque Desjardins faux site 07/06/08 vert
Orange faux site 02/06/08 vert
Free faux site 01/06/08 vert
CIC faux site 27/05/08 vert
Amazon France faux site 24/05/08 vert
Alapage faux site 21/05/08 vert
Orange faux site 03/05/08 vert
Orange faux site 20/04/08 vert
Paypal France faux site 12/04/08 vert
Paypal France faux site 11/04/08 vert
Skype faux site 11/04/08 vert
Banque Populaire faux site 04/04/08 vert
La Banque Postale faux site 01/04/08 vert
eBay France faux site 01/04/08 vert
Paypal France faux site 01/04/08 vert
BNP Paribas faux site 26/03/08 vert
Google AdWords faux site 26/03/08 vert
eBay France faux site 24/03/08 vert
Paypal France faux site 23/03/08 vert
Orange faux site 23/03/08 vert
Paypal France faux site 22/03/08 vert
eBay France faux site 19/03/08 vert
Paypal France faux site 19/03/08 vert
Paypal France faux site 16/03/08 vert
Free faux site 15/03/08 vert
eBay France faux site 15/03/08 vert
eBay France faux site 07/03/08 vert
Orange faux site 07/03/08 vert
Visa France réponse courriel 07/03/08 rouge
Paypal France faux site 06/03/08 vert
Paypal France faux site 03/03/08 vert
Paypal France faux site 01/03/08 vert
Paypal France faux site 29/02/08 vert
Alapage faux site 28/02/08 vert
eBay France faux site 28/02/08 vert
Paypal France faux site 28/02/08 vert
Chello/Numericable réponse courriel 27/02/08 rouge
Alapage faux site 26/02/08 vert
Alapage faux site 25/02/08 vert
Paypal France faux site 23/02/08 vert
eBay France faux site 23/02/08 vert
Banque Desjardins faux site 22/02/08 vert
Paypal France faux site 22/02/08 vert
eBay France faux site 21/02/08 vert
eBay France faux site 21/02/08 vert
Gmail réponse courriel 20/02/08 rouge
Paypal France faux site 19/02/08 vert
Paypal France faux site 11/02/08 vert
eBay France faux site 08/02/08 vert
Paypal France faux site 03/02/08 vert
Paypal France faux site 03/02/08 vert
Citibank Belgique faux site 01/02/08 vert
Crédit Mutuel de Bretagne faux site 01/02/08 vert
eBay France faux site 31/01/08 vert
Paypal France faux site 26/01/08 vert
Paypal France faux site 25/01/08 vert
Paypal France faux site 20/01/08 vert
HSBC France faux site 18/01/08 vert
Paypal France faux site 18/01/08 vert
Paypal France faux site 16/01/08 vert
Paypal France faux site 10/01/08 vert
Paypal US faux site 07/01/08 vert
Paypal France faux site 05/01/08 vert
Banque Desjardins faux site 04/01/08 vert
Paypal France faux site 02/01/08 vert
Paypal France faux site 24/12/07 vert
Banque Nationale du Canada faux site 20/12/07 vert
Paypal France faux site 18/12/07 vert
eBay France faux site 18/12/07 vert
Paypal France faux site 16/12/07 vert
Banque Desjardins faux site 15/12/07 vert
Paypal France faux site 13/12/07 vert
eBay France faux site 05/12/07 vert
Windows Live Hotmail réponse courriel 30/11/07 vert
Banque Desjardins faux site 28/11/07 vert
Paypal France faux site 23/11/07 vert
Banque Desjardins faux site 15/11/07 vert
LCL faux site 14/11/07 vert
eBay France faux site 11/11/07 vert
Banque Postale faux site 02/11/07 vert
eBay France faux site 01/11/07 vert
eBay France faux site 18/10/07 vert
Paypal France faux site 10/10/07 vert
Amazon France faux site 08/10/07 vert
Paypal France faux site 23/09/07 vert
Amazon France faux site 17/09/07 vert
Paypal France faux site 16/09/07 vert
Paypal France faux site 09/09/07 vert
Paypal France faux site 05/09/07 vert
Free faux site 05/09/07 vert
LCL faux site 04/09/07 vert
Paypal France faux site 03/09/07 vert
Free faux site 01/09/07 vert
PostFinance faux site 31/08/07 vert
Paypal France faux site 29/08/07 vert
LCL faux site 28/08/07 vert
LCL faux site 23/08/07 vert
Yahoo! réponse courriel 20/08/07 vert
Paypal France faux site 13/08/07 vert
eBay France vulnérabilité 29/07/07 rouge
Visa et Mastercard faux site 20/07/07 vert
Paypal France faux site 15/07/07 vert
Free faux site 15/07/07 vert
Paypal France faux site 29/05/07 vert
LCL faux site 29/03/07 vert
Crédit Agricole faux site 01/03/07 vert
Paypal France faux site 22/02/07 vert
Paypal France faux site 05/02/07 vert
SNCF faux site 15/01/07 vert
Paypal France faux site 18/12/06 vert
AXA Banque faux site 18/12/06 vert
Caisse d'Epargne faux site 16/12/06 vert
Paypal France faux site 25/11/06 vert
Crédit Mutuel faux site 18/11/06 vert
LCL faux site 21/03/06 vert
Société Générale faux site 20/03/06 vert
BNP Paribas faux site 19/03/06 vert
LCL faux site 07/03/06 vert
Visa faux site 24/02/06 vert
LCL faux site 01/02/06 vert
LCL faux site 27/01/06 vert
Fournisseurs d'accès français et belges faux site 09/11/05 vert
Banque AGF faux site 13/09/05 vert
Crédit Lyonnais et Crédit Mutuel faux site 14/08/05 vert
Société Générale, BNP Paribas, CIC et faux site 27/05/05 vert
CCF

: actif : inconnu : inactif

Les attaques par phishing étant de plus en plus ciblées, cette page ne prétend pas recenser les
attaques de manière exhaustive, mais donne un aperçu des sociétés et organisations visées,
ainsi que des techniques utilisées par les cybercriminels. Le statut est donné à titre indicatif,
un faux site neutralisé pouvant par exemple être réactivé.