Comment résoudre
un problème de virus, cheval de
Troie ou spyware ?
Dernière mise à jour : 05/04/2006
-
Supprimer un virus :
Voici une méthode générique
qui fonctionne dans pratiquement tous les cas :
1) Procédez à une mise à jour des définitions
de virus.
Si d'aventure vous n'avez plus accès à Internet,
téléchargez à partir d'une autre machine
le dernier fichier de définition de virus afin de pouvoir
procéder manuellement à la mise à jour.
- Désactivez le processus de restauration système
sur tous les lecteurs :
2) Avec le bouton droit de la souris cliquez sur l'icône
Poste de travail puis sur Propriétés.
3) Cliquez sur l'onglet Restauration, du système puis décochez
la case Désactiver la restauration système sur
tous les lecteurs.
4) Coupez physiquement votre connexion Internet en débranchant
le câble USB ou Ethernet.
- Redémarrez en mode sans échec :
5) Avant la fin du déroulement du Setup tapotez sur la
touche F8 afin d'obtenir le menu de démarrage de Windows.
6) Sélectionnez la commande Mode sans échec.
7) Procédez à une vérification complète
de tous les lecteurs.
8) Si le virus est clairement identifié supprimez tous
les fichiers infectés.
9) Redémarrez en mode normal.
Cette procédure peut ne pas suffire…
10) Dans n'importe quel moteur de recherche lancez une requête
en saisissant simplement le nom du virus ou cheval de Troie.
De nombreuses pages provenant des sites des éditeurs d'antivirus
vous expliqueront les entrées dans le Registre ou les
fichiers que vous devez manuellement supprimer.
11) Une fois cette procédure terminée activez de
nouveau la fonctionnalité de restauration système.
- Impossible de lancer un fichier exécutable
:
1) Redémarrez votre ordinateur en tapotant sur la touche
F8.
2) Dans le menu des options avancées sélectionnez
le mode Sans échec avec invite de commandes.
3) Saisissez ces deux commandes :
ftype exefile="%1" %*
assoc .exe=exefile
Si les commandes échouent servez-vous d'un disque BartPE
afin de modifier directement le Registre Windows (il vous suffit
de charger la ruche système) :
Voici la valeur à corriger :
* HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
* Valeur chaîne (par défaut) : "\"%1\" %*"
Notez qu'il y a un espace entre les groupes de caractères "\"%1\" et
%*"
Si cela ne suffit pas inspirez-vous des valeurs qui sont listés
dans les fichiers de Registre que l'ont peut télécharger à partir
de cette adresse : http://www.dougknox.com. Cliquez sur le liens
Win XP Fixes/File Association Fixes puis choisissez le correctif
en fonction de l'extension de fichiers qui est endommagée.
- Antivirus en ligne
:
Les adresses suivantes vous permettent de faire une analyse en
ligne. Cela ne remplacera jamais l'installation d'un antivirus
parfaitement à jour, mais peut vous aider à déceler
un problème dû à la présence d'un virus,
ver, cheval de Troie ou autre parasite.
* http://security.symantec.com/sscv6/default.asp?langid=fr&venid=sym
* http://housecall.trendmicro.com/housecall/start_corp.asp
* http://us.mcafee.com/root/mfs/default.asp?cid=9059
* www.kaspersky.com/fr/remoteviruschk.html
* www.secuser.com/antivirus
* www.ravantivirus.com
* www.bitdefender.com/scan/licence.php
* www.pandasoftware.com/activescan/fr/activescan_principal.htm
- Trouver un outil spécialisé
:
Ce sont de simples fichiers exécutables qui vous permettront
de supprimer un virus en particulier. L'avantage immédiat
est que cela peut vous permettre de sauver les meubles si vous
ne disposez pas d'antivirus à jour.
* www.symantec.fr/avcenter/tools.list.html
* www.grisoft.com/us/us_ts_removers.php
* www.pandasoftware.com/download/utilities
* www.sophos.com/support/disinfection
* www.ravantivirus.com
* www.bitdefender.com/html/free_tools.php
- Un inventaire des
dangers qui vous guettent :
Voici une liste des principales sources de problèmes possibles
:
Adware : un "Adware" traque vos habitudes sur Internet
et va afficher des fenêtres publicitaires en fonction du
profil qui a été défini. Il y a de nombreux
sites Web qui peuvent à votre insu installer ce type de
logiciel espion.
"Drive-by download" : désigne un programme qui
se télécharge sans votre consentement en général
quand l'utilisateur clique simplement pour fermer une boîte
de dialogue.
"Redirecteur de page" : désigne un programme
qui va rediriger une partie ou l'ensemble des pages prédéfinies
(page d'accueil, de recherche, etc.) vers un site malveillant
ou "Adulte".
"Spam" : désigne un email commercial qui n'est
pas sollicité.
"Spyware" ou "Logiciel espion" : désigne
un programme qui espionne puis transmet des informations confidentielles
à une tierce personne.
"BHOs" ou "Browser Helper Objects" : désigne
un programme qui permet de personnaliser et de contrôler
certains paramètres d'un navigateur comme Internet Explorer.
Il peut donc être proposé soit à des fins
"pacifiques" ou malveillantes.
"Dialer" ou "Webdialer" : désigne un
programme qui va établir en plus de votre connexion par
défaut une connexion d'accès à distance à
un tarif surfacturé.
"Trojan" ou "Cheval de Troie" : désigne
un programme qui contient des fonctions cachées pouvant
s'exécuter en arrière-plan à l'insu de l'utilisateur.
Ils donnent un accès à la machine sur laquelle il
est exécuté en ouvrant une porte dérobée
("Backdoor").
- Trojan Remover :
Ce logiciel est spécialisé dans l'éradication
des chevaux de Troie et des vers. Il se montre souvent plus efficace
qu'un antivirus classique. Il existe une version de démonstration
valable 30 jours, qui peut servir là où un antivirus
classique ne détectera pas l'envahisseur ou sera incapable
de le supprimer. Il se télécharge à cette
adresse : www.innosetup.com.
Le fichier téléchargé est une archive autoextractible
nommée trjsetup.exe. Double-cliquez dessus afin de lancer
l'installation proprement dite. Le programme sera accessible en
cliquant sur Démarrer/Tous les programmes/Trojan Remover/Trojan
Remover. Cliquez sur le bouton Scan puis sur Yes afin de lancer
une vérification de votre système.
Les mises à jour s'effectuent en cliquant sur le bouton
Update. Le programme ne semble pas très compatible avec
un éventuel antivirus. Aussi, avant de lancer une opération
de vérification du système, je vous conseille de
désactiver temporairement votre antivirus.
De plus, il me paraît plus sûr de désactiver
le démarrage automatique du programme. Pour cela, cliquez
sur le menu Options puis sur la commande Disable Boot-time scan.
Pour terminer, le programme se désinstalle en cliquant
sur le sous-menu Uninstall Trojan Remover.
- Déceler la
présence d'un cheval de Troie :
1) Téléchargez le fichier Apm.exe à partir
de cette adresse : www.diamondcs.com.au/index.php?page=products.
2) Il vous suffit de cliquer sur ce lien : Advanced Process manipulation.
3) Double cliquez sur le fichier téléchargé
afin de procéder à l'installation du programme.
Par défaut un dossier nommé APM sera créé
à la racine de votre disque dur.
4) Ouvrez ce dossier puis double-cliquez sur l'exécutable
Apm.exe.
Quelques explications préalables : ce qui rend si difficile
de supprimer un cheval de Troie de votre ordinateur est que ce
dernier injecte dans un processus un certain nombre de fichiers
.dll qui lui sont propres. En bref, le cheval de Troie n'apparaît
pas dans la liste des processus qui sera affichée en accédant
au gestionnaire de tâches. Il se cache dans un processus
comme, par exemple, explorer.exe. Vous pouvez toujours supprimer
un processus mais en faisant cela il ne vous est pas possible
de le désinfecter. L'intérêt de ce petit freeware
est de vous aider à décortiquer un processus en
montant les fichiers .dll qui permettent son exécution
et de localiser puis de désactiver un à un les fichiers
.dll qui ont été placées par le "trojan".
Prenons un exemple simple :
5) Sélectionnez ce processus : \windows\explorer.exe.
A droite est indiqué le PID du processus Explorer.exe.
6) Avec le bouton droit de la souris cliquez sur le nom du processus
puis sur Get Command Line.
* Le chemin de l'exécutable s'affichera dans une boîte
de dialogue.
* La commande Exit Process vous permet de terminer le processus.
* Les autres commandes sont plus utiles aux programmeurs.
Dans le volet d'en bas sera listé l'ensemble des fichiers
.dll ou .exe qui permettent l'exécution de ce processus.
Nous trouvons par exemple cette information : ERASER.dll.
7) Avec le bouton droit de la souris cliquez dessus puis sur Unload
DLL.
8) Dans les boîtes de dialogue qui apparaissent validez
à chaque fois par OK.
L'intégration de ce programme au processus Explorer.exe
sera supprimée.
Il ne nous reste plus qu'à désinstaller le programme
puis à supprimer manuellement les fichiers .dll. Cela ne
posera pas de problème puisque maintenant les fichiers
.dll ne seront plus signalés comme étant "en
cours d'utilisation". Il y a sur le site un exemple de détection
d'un cheval de Troie nommé Cold Fusion stealth. Quand on
sélectionne le processus explorer.exe on remarque qu'il
pointe, entre autre, sur le fichier .dll suivant : \LOCALS~1\Temp\DP1.dll.
Il vous suffit alors de fermer le fichier .dll puis de le supprimer
manuellement en utilisant l'Explorateur Windows (qui lui sera
toujours opérationnel).
- Forcer la suppression
d'un processus :
Un autre freeware propose un méthode vraiment radicale
!
1) Téléchargez cet utilitaire à partir de
cette adresse www.diamondcs.com.au/index.php?page=products
et en cliquant sur ce lien Advanced Process Termination.
2) Décompressez le fichier archive puis double-cliquez
sur cet exécutable : Apt.exe.
3) Sélectionnez un nom de processus puis essayez les différentes
méthodes permettant de supprimer le processus sélectionné
en cliquant successivement sur les boutons numérotés
Kill 1, Kill 2, etc.
Oui, c'est comme à la foire du Trône sauf que là
vous gagnez à tous les coups !
Le bouton suspend vous permet de le désactiver temporairement.
Le bouton Resume permet de réactiver le processus sélectionné.
- Utiliser HijackThis
:
Vous constatez des ralentissements inexplicables sur Internet,
des fenêtres vous invitant à visiter des sites adultes
apparaissent brusquement, certaines fonctionnalités ne
sont plus accessibles ? Un outil très simple va vous permettre
d'identifier l'empêcheur de surfer en rond et vous aider
à l'éradiquer. HijackThis peut se télécharger
à partir de cette page web : http://www.spywareinfo.com/~merijn/downloads.html.
1) Décompressez l'archive ZIP obtenue puis double-cliquez
sur le fichier exécutable nommé HijackThis.exe.
2) Cliquez sur un de ces deux boutons Do a system scan and save
a logfile ou Do a system scan only.
Dans ce dernier cas un fichier journal sera généré.
Il vous sera ainsi possible de le soumettre dans un forum d'entraide
spécialisé.
* À chaque action de votre part une sauvegarde sera créée.
* Afin de supprimer une ligne cochez la case correspondante puis
cliquez sur le bouton Fix checked.
De prime abord les rapports générés peuvent
paraître un peu déroutant aussi quelques mots d'explications
sont nécessaires. Voici les familles de problèmes
possibles et leur signification :
* R0 : changement dans une valeur du Registre
* R1 : création d'une valeur dans le Registre
* R2 : création d'une clé dans le Registre
* R3 : création d'une valeur supplémentaire dans
le Registre alors qu'une seule devrait être présente.
Ces codes énumèrent les modifications faites dans
les adresses des pages de démarrage et de recherche d'Internet
Explorer.
* F0 : changement dans un fichier .ini
* F1 : création d'une valeur dans un fichier INI.
* F2 : changement d'une valeur d'un fichier ini avec répercussion
dans le Registre
* F3 : création d'une valeur dans un fichier .ini avec
répercussion dans le Registre.
Les codes commençant par la lettre N énumèrent
les changement dans le Registre des clés et des entrées
concernant Netscape et Mozilla. Ce sont notamment les changements
des Url principales.
* O1 : modification du fichier Hosts afin d'empêcher l'accès
à certains fichiers ou d'opérer des redirections
d'Url.
* O2 : énumération des BHO (Brower Help Objects).
Ce terme regroupe toutes les fonctionnalités supplémentaires
sensées faciliter votre navigation sur Internet.
* O3 : énumération des barres d'outils supplémentaires.
* O4 : énumération des entrées du Registre
suspectes (et qui se chargent automatiquement).
* O5 : blocage de certaines commandes dans les options d'Internet
Explorer
* O6 : désactivation de l'onglet Général
dans les options Internet et ce grâce à des stratégies
restrictives.
* O7 : désactivation des outils du Registre à l'aide
de stratégies restrictives.
* O8 : commandes supplémentaires dans le menu contextuel
dans Internet Explorer.
* O9 : boutons et outils supplémentaires dans Internet
explorer.
* O10 : modification de la pile Winsock.
* O11 : options supplémentaires dans le menu Avancé
d'Internet Explorer.
* O12 : pluggins MSIE pour certaines extensions de fichiers ou
des types MIME.
* O13 : modification non autorisée dans le préfixe
des URL.
* O14 : modification du fichier IERESET.INF.
* O15 : ajout de site dans la zone Sites de confiance
* O16 : objets ActiveX qui ont été téléchargés.
* O17 : Ajout de nom de domaine.
* O18 : ajout de protocoles et de filtres.
* O19 : Modification non autorisée des feuilles de style.
* O20 : entrées dans le Registre appelant automatiquement
la fonction "AppInit_DLL" ou modification de la valeur
"Winlogon".
* O21 : entrées du Registre "ShellServiceObjectDelayLoad"
(SSODL).
* O22 : entrées du Registre utilisant la fonction "SharedTaskScheduler".
* O23 : énumération des services non Microsoft.
Signalons qu'en début de chaque fichier journal les processus
actifs sont énumérés.
- Analyser en profondeur un fichier journal
: Nous
allons maintenant expliquer les entrées qui sont le plus
sujettes à interprétation :
* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
= http://home.free.fr/ : dans cet exemple la page par défaut
est défini sur le site de Free à la place de celle
définie originellement par Microsoft. Bien évidemment,
cela peut être normal ou non !
* F0 - system.ini: Shell=LancezMoi.exe
Dans tous les cas cela dénote une infection virale !
* O1 : Hosts: 216.177.73.139 auto.search.msn.com
Le fichier Hosts se trouve dans \Windows\Help\hosts. Soit certains
sites seront inaccessibles soit une redirection sera faite à
votre insu. Là encore, toutes les lignes supplémentaires
qui sont présentes dans ce fichier doivent être supprimées.
* O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
Si vous ne reconnaissez un nom de BHO (dans cet exemple, c'est
un contrôle ActiveX installé par "Adobe systems")
ou s'il renvoie à un fichier inexistant vous pouvez le
supprimer en toue quiétude.
* O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}
- C:\Program Files\Norton AntiVirus\NavShExt.dll
Cet item recense les barres d'outils supplémentaires. Nous
pouvons faire la même remarque que précédemment…
* O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
Ce code regroupe toutes les commandes qui sont exécutées
à chaque démarrage du système. Elles sont
placées dans les clés RUN ou dans le répertoire
démarrage de votre compte d'utilisateur ou du groupe All
users. Avec un minimum de bon sens il est relativement simple
de séparer le bon grain de l'ivraie.
* O5 - control.ini: inetcpl.cpl=no
C'est une manière classique de supprimer certains modules
du Panneau de configuration. Dans ce exemple l'applet Options
Internet ne sera plus visible.
* O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions,NoSearchCustomization=1
Dans ce exemple, il ne vous sera pas possible de personnaliser
vos paramètres de recherche. Là encore, cela dénote
une infection virale.
* O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1
Dans ce exemple l'accès au Registre est interdit. Vous
devez désactiver de toute urgence cette restriction.
* O8 - Extra context menu item: Recherche &Google - res://c:\program
files\google\GoogleToolbar2.dll/cmsearch.html
Ce code recense toutes les commandes ajoutées au menu contextuel
d'Internet Explorer. À vous de procéder à
un tri rigoureux.
* O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55}
- (no file)
Même remarque que précédemment mais cette
fois-ci ce sont les boutons supplémentaires placés
dans la barre d'outils.
* O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
Un programme a endommagé la pile Winsock. Vous devez utiliser
un outil spécialisé afin de la réparer.
* O11 - Options group: [JAVA_IBM] Java (IBM) ou [CommonName] CommonName
C'est extrêmement rare mais il arrive qu'un programme intrus
ajoute ses propres options dans l'onglet Avancé d'Internet
Explorer.
* O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll
Un plugin désigne un logiciel tiers qui vient se greffer
sur le logiciel principal. C'est généralement inoffensif.
* O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
Cette attaque force systématiquement l'ouverture de la
même page quelque soit le site auquel vous souhaitez accéder.
À supprimer de toute urgence !
* O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
C'est une manière de forcer l'inscription d'une page à
chaque fois que vous cliquerez sur le bouton Page par défaut.
Si cela ne correspond pas à une modification faite par
votre fournisseur d'accès Internet vous devez la supprimer.
* O15 - Trusted Zone: *.db105.com
Le principe de cette attaque consiste à ajouter des sites
présentant un risque certain de sécurité
dans la zone Sites de confiance. Il suffit de faire le tri…
* O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
ou {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class)
Ce code énumère les contrôles ActiveX que
vous avez téléchargé "à votre
insu de votre plein gré". Vous pouvez n'avoir que
la clé CLSID qui est énumérée. Procédez
alors à une recherche dans le Registre sur ce nom de clé
afin de vérifier à quel éditeur ou site correspond
ce programme.
* O17 - HKLM\System\CCS\Services\Tcpip ::Parameters: Domain =
W21944.find-quick.com
Si le domaine mentionné n'est pas votre fournisseur d'accès
Internet corrigez toutes les entrées trouvées.
* O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790}
- C:\PROGRA~1\COMMON~1\MSIETS\MSIELINK.DLL (file missing)
Cette section désigne des protocoles supplémentaires
permettant, par exemple, de fournir des fonctionnalités
supplémentaires à certains sites web. Procédez
avec prudence quand vous corriger un des items qui sont listés.
* O19 - User stylesheet: (file missing)
Si vous avez de fréquents ralentissements ou des fenêtres
popups qui apparaissent à tout bout de champ corrigez cette
commande.
* O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll
sockspy.dll sockspy.dll
L'entrée du Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs charge en mémoire
un certain nombre de fichiers DLL et ce jusqu'à ce que
l'utilisateur ferme sa session utilisateur. Cela dénote
la plupart du temps la présence d'un cheval de Troie ou
d'un BHO.
* O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546}
C'est une manière de charger des programmes en mémoire
en utilisant cette entrée du registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad.
Ces fonctions seront chargées par le processus Explorer
à chaque démarrage du système. Le logiciel
utilise une liste blanche d'applications et donc, a priori, une
entrée énumérée dans cette section
est suspecte.
* O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F}
- c:\windows\system32\mtwirl32.dll
Dans le cas rare où le système serait infecté
par un cheval de Troie nommé "CWS.Smartfinder",
vous devez corriger le problème.
- Les autres outils disponibles dans HijackThis
: Cliquez
sur le bouton Open the Misc Tools section. Les fonctions suivantes
sont accessibles :
* Open process manager : permet de visualiser les processus actifs
et, éventuellement, de les terminer en cliquant sur le
bouton Kill.
* Open hosts file manager : ce bouton permet d'éditer le
fichier Hosts. A priori, hormis les lignes commençant par
une astérisque, il ne doit contenir que cette mention :
127.0.0.1 localhost
* Delete a file on reboot : permet de supprimer au prochain redémarrage
du système un fichier qui serait verrouillé par
un processus.
* Delete an NT service… : permet de supprimer un service.
Cette fonctionnalité est à manier avec précaution
!
* Open ADS Spy : cet outil vous permet de visualiser les "flux
de données additionnel" ("Alternate Data Streams
ou "ADS") créés sur votre système.
* Open Uninstall Manager… : permet soit de désinstaller
soit de supprimer certains programmes présents dans le
module Ajout/Suppression de programmes du Panneau de configuration.
- CWShredder :
C'est un petit utilitaire développé par un passionné
et qui permet de supprimer tous les parasites de la famille CoolWebSearch.
Il est régulièrement mis à jour en fonction
des évolutions et des nouvelles stratégies développées
par son principal ennemi. Les principales batailles livrées
sont expliquées sur cette page : www.spywareinfo.com/~merijn/cwschronicles.html.
Le fichier exécutable est également disponible à
cette même adresse.
- Détecter les
logiciels espions :
Un excellent freeware, Ad-aware, se télécharge à
cette adresse :
http://lavasoft.element5.com/default.shtml.fr. Il suffit de
double-cliquer sur l'archive autoextractible aaw6.exe pour installer
le programme. Il existe un patch permettant d'installer le programme
avec une interface en français, mais la simplicité
de l'ensemble la rend peut-être inutile.
Une fois l'installation terminée, lancez le logiciel et
mettez-le à jour en cliquant sur l'icône OpenWebUpdate.
1) Afin de démarrer une vérification, cliquez sur
les boutons Scan now et Next.
Dans la rubrique Select scan mode, vous pouvez paramétrer
finement votre vérification, mais pour un début
vous pouvez laisser les options par défaut. Les processus,
les entrées du Registre, les fichiers et les dossiers seront
soigneusement analysés.
Là aussi l'interprétation des résultats demande
une certaine expérience… Les clés du Registre
sont placées en début de liste. Si vous double-cliquez
sur une de ces entrées, vous pouvez afficher le détail
de la vulnérabilité repérée, ainsi
que la branche complète du Registre qui a été
modifiée.
2) Cochez toutes les cases mentionnant ce nom : SysWebSoft, puis
cliquez sur le bouton Next.
La suppression de l'intrus va se faire de manière automatique.
Dans la catégorie Data Miner, les cases Tracking Cookie
listent les cookies espions qui sont placés sur votre système
afin de surveiller vos faits et gestes.
3) Là encore, il vous suffit de cocher les cases voulues,
puis de cliquer sur le bouton Next et sur OK.
Les objets que vous avez sélectionnés ne seront
pas supprimés définitivement mais juste placés
en quarantaine.
4) Cliquez sur cette icône pour les visualiser et, éventuellement,
les supprimer en cliquant sur le bouton Delete.
Bien entendu, le bouton Restore vous permet, en cas de mauvaise
manipulation, de revenir aux paramètres précédents.
- Microsoft AntiSpyware
: Vous aider à protéger votre ordinateur :
1) Rendez-vous sur cette page : www.microsoft.com/athome/security/spyware/software/default.mspx.
2) Cliquez sur ce lien Download the beta of our new anti-spyware
software today.
3) Dans la rubrique Validation recommended cliquez sur le bouton
Continue.
4) Cochez le bouton radio No, do not validate Windows at this
time, but take me to the download.
5) Cliquez sur les boutons Continue puis Download.
Il vous suffit de double-cliquer sur le fichier que vous aurez
téléchargé MicrosoftAntiSpywareInstall.exe
afin de lancer l'installation du programme proprement dite.
1) Cliquez sur Démarrer/Tous les programmes/Microsoft Antispyware/Microsoft
Antispyware.
2) Cliquez sur le bouton Run Quick Scan Now ou sur le lien Spyware
scan options.
Dans ce dernier cas il vous sera possible de choisir entre un
vérification rapide ou complète.
Rappelons qu'il est plus prudent de procéder au préalable
à une mise à jour de la liste de définition
des virus et de la version du logiciel (la version téléchargée
n'étant pas forcément parfaitement à jour).
Par ailleurs, si un intrus est détecté prenez la
précaution de créer un point de restauration système
avant de le supprimer définitivement en cochant la case
Create restore point.
Remarque : Certaines applications comme Edonkey
ou KaZaa sont détectées comme étant des "spywares".
Dans la liste déroulante choisissez alors l'option Ignore
Always bien que si votre version est à jour le choix Ignore
sera le plus souvent sélectionné par défaut.
J'ajoute que le temps de lancer une vérification il est
plus sûr de désactiver votre antivirus.
De nombreux paramètres sont accessibles en cliquant sur
Options/Settings :
1) AutoUpdater : La case à cocher Enable automatic updates
vous permet de programmer un système de mise à jour
automatique.
* La case à cocher Definition update notifications vous
permet de désactiver tout message d'alerte quand une mise
à jour va être effectuée.
* La case à cocher Software update notifications virus
permet de désactiver toute notification quand une mise
à jour est disponible.
2) Real-time Protection : vous pouvez choir d'activer la protection
en temps réel en cochant la case Enable the Microsoft AntiSpyware
Security Agents on startup.
* La case à cocher Enable real-time spyware threat protection
fait que non seulement les changements dans les fichiers système
seront détectés mais les logiciels espions seront
empêchés d'être installés ou exécutés.
* Enfin, la rubrique Script-Blocking Security Agent options empêche
toute exécution des fichiers de scripts (.reg, .vbs, etc.).
Dans ce cas, une boîte de dialogue apparaîtra : "An
Unknown Script file Attempting to Run Requires Approval...".
À vous de cliquer sur le bouton Allow ou Block.
Si vous n'êtes pas sûr de vous, décochez la
case Remember this action.
3) Alerts : les options présentes vous permettre de paramétrer
le niveau d'alerte quand le programme a détecté
un changement autorisé ou interdit.
4) SpyNet Antispyware Community : là, il vous est proposé
de rejoindre les rangs d'une armée de l'ombre et d'envoyer
vos rapports d'alerte afin que la communauté dont vous
faites partie soit elle aussi protégée.
5) General : il est possible de toujours masquer l'icône
de notification du programme en cochant la case Hide the Microsoft
AntiSpyware icon on the system tray.
Examinons maintenant les paramètres de la protection en
temps réel. Il y a trois branches :
* Internet Agents :
1) Cliquez sur les liens Internet Agents et Manage Internet Agent
Settings.
Toute tentative de connexion en provenance de votre ordinateur
sera surveillée... Il y a différents types d'attaques
listées. Pour chaque item spécifié il est
possible d'en activer ou d'en désactiver la surveillance
en cliquant sur le lien Activate checkpoint ou Decativate checkpoint.
* System Agents : Les points de surveillance sont vraiment très
nombreux et prévoient toute modifications non autorisée
des fichiers systèmes, de démarrage, des dossiers,
du fichier responsable de du lancement du "Shell" (explorer.exe),
etc.
* Application Agents : Même chose sauf que là sont
passé en revue les processus, les entrées du Registre,
les contrôles ActiveX, etc.
Pas de doute, toute la gamme des bobos que l'on peut attraper
sur Internet a été prévue ! Et ce n'est pas
terminé...
1) Cliquez sur le bouton Advanced Tools.
Par cette rubrique vous accédez à un éventail
de mini outils qui vous aideront à faire le point sur l'état
de votre système.
2) Cliquez sur l'icône System explorers.
* Dans la branche Networking, le lien Winsock LSPs liste les "LSP"
("Layered Service Provider"). Un "LSP" est
un pilote qui fait le lien entre les sockets Windows et la couche
réseau et qui permet la connexion à d'autres ordinateurs
distants en filtrant les données reçues et envoyées.
De nombreux "spywares" installent leur propres LSPs
afin de rediriger votre activité Internet vers des sites
"malveillants".
* Dans la branche System, le lien Shell Execute Hooks liste les
programmes qui sont chargés en même temps que le
processus Explorer.exe responsable du "Shell". À
droite, dans la rubrique Shell Execute Hooks Details, vous obtenez
en autre la clé CLSID qui peut vous permettre d'identifier
plus précisément le nom du programme qui a été
"injecté" dans le processus Explorer.exe. Si
un programme vous semble suspect il est possible de cliquer sur
le lien Block this shell execute hook. Dans ce cas un redémarrage
est nécessaire.
* L'icône Browser Hijack restore vous permet de restaurer
l'ensemble de paramètres d'Internet Explorer : page de
démarrage, de recherche, etc. Cochez dans ce cas la ou
les cases correspondant aux pages dont l'adresse a été
modifiée puis cliquez sur le bouton Restore.
* Enfin, l'icône Tracks Eraser vous permet de supprimer
listes MRU des fichiers ouverts récemment dans un large
choix d'applications. Le lien Show only available erasable tracks
permet de ne lister que les applications effectivement installées
sur votre ordinateur.
- Désactiver
ou supprimer un "BHO" :
Ce "Freeware" vient compléter avantageusement
le précédent.
1) Téléchargez puis décompressez cette archive
ZIP à partir de cette adresse : www.mvps.org/sramesh2k/toolbarcop.htm.
2) Double-cliquez sur cet utilitaire : ToolbarCop.exe.
La rubrique centrale vous montre les clés CLSID pour chacune
des arborescences du Registre (Current User et All Users).
Il suffit de sélectionner une clé CLSID pour que
s'affiche une description.
La rubrique Internet Explorer Toolbar Buttons liste trois sortes
d'objets :
* Les boutons présents dans la barre d'outils d'Internet
Explorer.
* Le texte de ces commandes apparaissant quand on veut personnaliser
les boutons de la Barre d'outils.
* Le chemin de la commande qui sera activée quand on cliquera
sur ce bouton.
La rubrique Internet Explorer Toolbars affiche les barres d'outils
et le nom des fichiers .dll qui les gèrent.
La rubrique Internet Explorer Context Menu Extensions gère
les commandes présentes dans les menus contextuels.
La rubrique Browser Helper Objects (BHO) liste les "aides
à la navigation" installées ou non à
votre insu.
Le bouton Disable the selected item vous permet de désactiver
chacun des items listés.
Vous pouvez également cliquer sur le bouton Delete the
selected item.
Par ailleurs, le bouton Prevent loading with Windows Explorer
vous permet de désactiver une application tierce de l'Explorateur
Windows tout en la conservant dans Internet Explorer.
Dans tous les cas, il vous sera proposer de créer une sauvegarde
sous la forme d'un simple fichier .reg.
Le menu Options contient deux commandes utiles :
* Reset Internet Explorer Toolbar Layout : vous permet de réinitialiser
tous les paramètres de la barre d'outils d'Internet Explorer.
* Eliminate Download Hooks and Protocol Handlers : cette commande
vous permet de supprimer toutes les extensions ou applications
tierce partie encore présentes dans le Registre. Utile
notamment si par exemple la désinstallation d'un programme
de téléchargement a endommagé le Registre
de votre système. Dans ce dernier cas, les symptômes
peuvent être les suivants : rien ne se passe quand vous
cliquez sur Enregistrer sous, il ne vous est pas possible de télécharger
un fichier, une croix rouge remplace vos images.
Prenons maintenant un exemple de résolution (simple !)
en mode "manuel" :
Dans Internet Explorer, nous nous apercevons que si nous cliquons
sur Affichage/Volet d'exploration, une nouvelle commande s'est
glissée dans ce menu : My Search Bar Quick View. Voici
une solution :
1) Dans le Registre Windows, lancez une recherche sur cette expression
: quick
Ne cochez que la case Données et décochez tout le
reste. Le principe étant de retrouver la clé CLSID
qui a permis de créer ce volet d'exploration et qui doit
forcément contenir, comme données de la valeur,
cette expression ou un des mots formant l'intitulé de la
commande.
La première entrée trouvée celle-ci : HKEY_CLASSES_ROOT\CLSID\{0494D0DE-F8E0-41ad-92A3-14154ECE70AC}.
2) Renommez cette clé CLSID en plaçant le signe
- devant son nom : -{0494D0DE-F8E0-41ad-92A3-14154ECE70AC}
Nous n'avons fait que la désactiver, sans la supprimer.
Signalons que la valeur (par défaut) de la clé InprocServer32
contient ces données de la valeur : C:\WINDOWS\system32\shdocvw.dll.
C'est donc ce fichier .dll qui est responsable de l'installation
du volet d'exploitation.
Le fichier shdocvw.dll faisant partie du système d'exploitation,
il n'est donc pas possible de l'effacer. Nous pouvons toujours
imaginer qu'il serait utile de supprimer les enregistrements dans
le Registre en utilisant la commande regsvr32 (regsvr32 /u shdocvw.dll),
mais cela risque de compromettre d'autres fonctionnalités
de Windows. Cette méthode est tout à fait possible
si le fichier .dll n'est pas répertorié comme faisant
partie de manière "native" du système
d'exploitation.
En faisant une recherche sur le nom de la clé CLSID, nous
pouvons constater qu'elle est aussi présente dans cette
arborescence "miroir" : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\-{0494D0DE-F8E0-41ad-92A3-14154ECE70AC}.
3) Ouvrez de nouveau Internet Explorer.
Le volet d'exploration My Search Bar Quick View aura disparu.
- Autoruns : Tout savoir
sur le démarrage de votre ordinateur :
C'est une autre manière de déceler la présence
d'un cheval de Troie ou autre envahisseur. Autoruns se télécharge
à partir de cette adresse : www.sysinternals.com/ntw2k/freeware/autoruns.shtml.
Décompressez une archive nommée autoruns.zip puis
double-cliquez sur le fichier autoruns.exe.
Généralement les entrées listées ("Autorun
Entry") sont présentes dans :
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell.
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
* C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage.
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
* C:\WINDOWS\Tasks.
La colonne Image Path détaille l'emplacement et le nom
du fichier exécutable responsable du lancement de cette
application.
Si vous cliquez avec le bouton droit sur une des entrées
il vous est possible d'ouvrir directement le Registre ou l'Explorateur
Windows en choisissant la commande Jump to... ou de lancer une
recherche dans Google ("Google...").
Dans le même menu contextuel la commande Propriétés
ouvre les propriétés du fichier exécutable.
Soit vous décochez la case afin de désactiver le
lancement automatique de l'application soit - toujours en vous
servant du menu contextuel - vous pouvez supprimez l'entrée
présente dans le Registre ou l'Explorateur Windows ("Delete").
Le menu User permet de choisir entre les différents utilisateurs
déclarés dans votre système d'exploitation.
Le menu Views offre d'autres possibilités :
1) Show Appinit DLLs : c'est l'option par défaut.
2) Show Explorer Addons : le contenu de ces différentes
clés est examiné :
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed
Components :
Les fonctionnalités "Active Setup" permettent
aux applications de réagir de manière autonome quand,
par exemple, une mise à jour du programme est disponible.
En d'autres termes, les applications qui sont listées dans
cette branche communiquent sur Internet sans que vous vous en
rendiez toujours compte. Cette porte de sortie dérobée
a fait l'objet de différentes mises à jour de sécurité
et c'est aussi là que se loge pas mal de virus en tout
genre. "Backdoor.Beasty" en est un exemple : http://securityresponse.symantec.com/avcenter/venc/data/backdoor.beasty.html.
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
:
Cette branche énumère un certain nombre d'application
qui vont se charger en même temps que l'Explorateur Windows.
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
:
Cette branche énumère les applications qui vont
se lancer après l'apparition de l'interface graphique du
système d'exploitation.
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects :
Cette branche énumère tous les programmes qui sont
sensé apporter des fonctionnalités supplémentaires
à votre navigateur.
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
:
Cette branche énumère les fichiers .dll qui ont
été injectés dans l'Explorateur Windows ou
votre navigateur. Un cheval de Troie peut par exemple lancer de
multiples instances d'Internet Explorer ("Iexplore.exe")
en plaçant des fichiers .dll dans cette arborescence.
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell
Extensions\Approved :
Cette branche liste les extensions pour l'Explorateur Windows.
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
:
Cette branche énumère les barres d'outils supplémentaires
qui sont disponibles dans l'Explorateur Windows et Internet Explorer.
* Show Services : ce menu permet de lister les services actifs
et dont le démarrage est paramétré sur le
mode automatique.
* Show Winlogon Notifications : Les fichiers .dll qui sont listés
permettent au processus Winlogon.exe ("LogOn Process"
: "Ouverture de session Windows") d'exécuter
les différentes tâches nécessaires à
l'ouverture et la fermeture de session. Troj/Haxdoor-G utilise
ce type de porte dérobée : www.sophos.fr/virusinfo/analyses/trojhaxdoorg.html.
Enfin, trois filtres sont à votre disposition :
* Include Empty Locations : si les entrées présentes
sont vides, il vous est néanmoins permis de visualiser
l'ensemble des entrées du Registre qui permettent l'exécution
automatique d'un programme au démarrage de l'ordinateur.
* Hide Microsoft Entries : ce menu permet de masquer les entrées
qui normalement sont installés par Microsoft afin de visualiser
sans effort celles créés par les applications provenant
d'éditeurs tiers.
* Verify Code Signatures : les programmes n'ayant pas reçus
l'approbation d'une autorité de confiance seront signalés.
Le critère est rarement pertinent dans le sens qu'une multitude
de programmes connus ne sont pas "signés".
- "RootkitRevealer" : Détecter
un "Rootkit" :
Ce terme désigne un ensemble de techniques permettant à
un virus, malware ou cheval de Troie de ne pas être détectée
par votre antivirus.
On distingue les rootkits agissant au niveau utilisateur des rootkits
actifs en mode noyau.
Dans ce premier cas, le programme interceptera tous les appels
vers les Api Windows de telle sorte que les fichiers actifs ne
seront pas visibles en ouvrant l'Explorateur Windows.
Dans le second cas, l'ensemble des processus gérés
par le programme resteront cachés et donc n'apparaîtront
pas dans le gestionnaire de tâches ou les outils classiques
d'exploration des processus.
Un logiciel comme "RootkitRevealer" compare les résultats
affichés par les Api Windows de ceux obtenus en scannant
les données brutes (au format RAW) présentes sur
le disque.
Une différence trouvée peut alors être le
signe de la présence d'un "Rootkit".
Attention, la méthode n'est pas parfaite. Idéalement,
il faudrait comparer le résultat obtenu par une vérification
"en ligne" avec celui généré en
démarrant à partir d'un Cd-Rom "Bootable".
Ce logiciel se télécharge à partir de cette
adresse :
http://www.sysinternals.com/utilities/rootkitrevealer.html.
Une fois l'archive ZIP décompressée il vous suffit
de double-cliquer sur ce fichier exécutable : RootkitRevealer.exe.
Cliquez alors sur le bouton File/Scan.
L'interprétation des résultats se fait comme suit
:
* Hidden from Windows API :
Si vous avez décoché l'option Hide NTFS metadata
files vous obtiendrez un grand nombre d'entrées de ce type
puisque certains systèmes NTFS cache les fichiers de méta
données.
* Visible in Windows API, directory index, but not in MFT.
Visible in Windows API, but not in MFT or directory index.
Visible in Windows API, MFT, but not in directory index.
Visible in directory index, but not Windows API or MFT :
Une analyse des données porte sur les API Windows, la table
des fichiers principales ("Master File Table" ou MFT)
et l'index des répertoires. Ce type d'information indique
qu'un fichier a disparu d'une des étapes de la vérification.
* Windows API length not consistent with raw hive data : indique
une tentative d'un "Rootkit" consistant à tricher
sur la taille de l'entrée du Registre créée
de telle manière à la rendre invisible.
* Type mismatch between Windows API and raw hive data : indique
une différence dans le type de valeur présente.
Un "Rootkit" peut ainsi faire croire qu'une valeur binaire
est simplement une valeur chaîne empêchant par là-même
aux API Windows d'accéder à cette entrée.
* Key name contains embedded nulls : indique qu'une clé
est terminée par un caractère null afin de cacher
partiellement son contenu dans l'éditeur du Registre.
* Data mismatch between Windows API and raw hive data : indique
qu'une valeur du Registre a été modifiée
pendant la vérification du Registre. Nous avons donnée
là quelques pistes d'investigation vous permettant de vous
aider à identifier un problème dû à
une infection virale. Par la suite, il vous faudra plonger dans
le Net afin de connaître la procédure d'éradication
complète. En voici un exemple visible à cette adresse
: http://support.microsoft.com/?scid=kb;fr;894278.
Notez qu'il est possible de télécharger une version
bêta de "F-Secure BlackLight" à cette adresse
: http://www.europe.f-secure.com/exclude/blacklight/index.shtml.
Double-cliquez sur un fichier nommé blbeta.exe puis sur
le bouton Scan.
Une fois la vérification terminée, cliquez sur le
bouton Show all processes afin d'être sûr qu'aucun
processus suspect n'a été détecté.
Si vous souhaitez une vérification plus complète,
saisissez à la suite du fichier exécutable ce commutateur
: /expert
Dans ce mode la case Scan through Windows Explorer sera automatiquement
cochée. C'est aussi la méthode la plus sûre
puisque, dans ce cas, l'exploration des fichiers est initiée
à travers le processus Explorer.exe.
|
|
