Dans le monde de la sécurité informatique, il y a encore de plus en plus de discussions fortement animées sur l'utilité du nettoyage des ordinateurs infectés. De plus, des questions viennent à l'esprit tel, puis-je toujours utiliser un ordinateur qui a été déjà infecté et ne plus jamais lui faire confiance ? ou existe-t-il une technique possible de nettoyage complet et faisable au premier plan ?.
Comment fonctionne une infection par des Logiciels Malveillants ?
Premièrement pour pouvoir répondre à cette question, il faut tout d'abord analyser différents types individuels de logiciels malveillants :
Virus
Il n'y a pas encore si longtemps, la plus grande partie de tous les programmes viraux était déjà connu. Les virus ont la propriété d'utiliser une application comme hôte, afin d'être fonctionnels. Un virus s'accroche toujours à un programme légitime, en installant son code malicieux dans le fichier exécutable. Aussitôt que le programme légitime est chargé, le virus peut commencer sa routine de dévastation, et se reproduire sur d'autres applications. Aujourd'hui, les virus ne jouent qu'un petit rôle négligeable sur le secteur des logiciels malveillants.
Chevaux de Troie, Porte dérobée, Agent logiciel (Bot), Vers
Aujourd'hui, la plupart des nouveaux logiciels malveillants sont de loin les chevaux de Troie et les Bots. Ils n'ont pas besoin d'un hôte pour fonctionner, car ils sont eux-mêmes des programmes indépendants. Les Bots essayent, si possible, d'être discret et se cachent le plus souvent enfin bien camouflé dans les profondeurs du système d'exploitation. Parmi ses tâches figurent tout d'abord l'ouverture d'un port du PC pour que désormais l'attaquant puisse prendre le plein contrôle du PC, pour le trafic d'envoi en masse de pourriels ou de la coordination de surcharge de différents sites Web en passant par de nombreuses demandes manipulées (Dos). Un ordinateur ne peut être considéré comme infecté que si un tel logiciel malveillant est actif. Des fichiers non démarrés ne constituent aucun danger. Cheval de Troie et Bots disposent toutefois d'un grand nombre de fonctions qui s'assurent qu'à chaque initialisation du système que le programme démarre automatiquement. Dans le registre, vous trouverez des clés de démarrage automatique qui ont été créées dans différents endroits du système et des associations d'extensions de fichiers de données qui sont redirigés vers d'autres lieux ou bien, également des astuces raffinées qui sont appliquées, l'existence d'outils de sécurité les plus courants possible ne nous sont pas encore connus à l'heure actuelle.
Comment fonctionne une infection par des Espions, Adwares, faux logiciels de sécurité ?
Une nouvelle tendance pour les logiciels malveillants est la manipulation des composants importants du système, pour que les fichiers malveillants ne soient dorénavant plus simplement supprimés. Ainsi, certains logiciels espions lancent en parallèle plusieurs processus actifs (instances de programmes), qui se surveillent mutuellement. À chaque fois qu'un processus sera terminé, l'autre se lancera immédiatement de nouveau derrière, etc.. Faux logiciels de sécurité, les soi-disant outils Rogue antivirus et anti spywares s'injectent essentiellement dans les processus du système comme par exzmple : dans le fichier winlogon.exe. Lorsque l'on essaye de se débarrasser des logiciels malveillants, en essayant de terminer le processus hôte pour ensuite supprimer le fichier nuisible, l'action se termine avec un écran bleu (Blue screen) redouté et le système reste sans réaction.
Rootkits
Allons encore un pas plus loin, les Rootkits. Ils manipulent le système d'exploitation afin que les fichiers du rootkit ne soient simplement plus affichés et par conséquent de ne plus être trouvés par les logiciels antivirus. De même, les entrées dans le registre, les ports ouverts et les processus actifs se font invisibles afin de ne pas laisser de traces qui révèleraient la présence d'un rootkit. La description des types d'infection représente les logiciels malveillants les plus courants dans ces secteurs. De plus, il existe bien sûr diverses combinaisons.
Est-ce qu'un nettoyage est toujours possible et utile ?
Un simple logiciel malveillant qui est incrusté dans le système se laisse supprimer complètement le plus souvent de votre système avec une relative haute sécurité. Avec des types les plus complexes apparaissent néanmoins, différents types de problèmes : La désinfection des virus, Étant donné que les virus accrochent leur code à d'autres programmes, il faut pour nettoyer l'ordinateur simplement supprimer le code rajouté. Tout cela semble relativement simple, mais elle a ses difficultés. Si un virus ne joint pas que son code, mais encore qu'il manipule également le fichier d'origine de l'application, par exemple par la compression ou le cryptage, une désinfection est alors à peine possible. Par l'évolution du redéveloppement des virus, les fabricants d'antivirus ont procédé déjà depuis des années à autre chose, les fichiers infectés à supprimer complètement ou à mettre en quarantaine. Cela évite également que l'échec d'une désinfection ne détruise un fichier. La désinfection de virus est aussi techniquement très coûteuse et est donc généralement mise à disposition pour un maximum des virus les plus répandus.
Nettoyage après l'attaque d'un cheval de Troie
Pour libérer le PC de chevaux de Troie ou de robots, il suffit en règle générale, de supprimer les processus malveillants en court, puis pour finir il suffit de supprimer les fichiers exécutables du cheval de Troie. À peu près tous les antivirus et les Anti-Malware utilisent ce genre de méthodes pour les suppressions. Certains recherchent dans le système, et par la même occasion des entrées de clés de démarrage automatique ou des modules supplémentaires de logiciels malveillants, pour également les détruire (même si ceux-ci ne représentent plus aucun risque pour votre ordinateur).
Suppression de Spyware et Adware
Le terme de logiciel espion englobe entre-temps un assez large éventail d'applications. Certains sont considérés comme des logiciels indésirables, car ils collectent des données et perturbent la vie privée. Sinon, ces programmes n'entreprennent aucun effort contre une suppression. Dans le meilleur des cas, on peut donc via le Panneau de configuration/ Programmes ajouter/supprimer, supprimer ce programme avec sa propre fonction de désinstallation pour désinstaller celui-ci. Toutefois, il en va autrement avec les adware ou également avec les faux logiciels antivirus. Ces programmes essayent avec agressivité d'inviter l'utilisateur à dépenser l'argent. La créativité de ces programmeurs n'a aucune limite. Souvent, le seul moyen de se débarrasser de ces programmes est, avec des outils spécifiques dont les fichiers exécutables sont à supprimer encore avant le processus de démarrage. La plupart de ces programmes de sécurité sont actuellement en mesure de contrer ces infections.
Suppression des Rootkits
Les rootkits possèdent des caractéristiques de camouflage presque parfaites. Afin de pouvoir les supprimer, il faut donc d'abord savoir si un rootkit est vraiment présent. Et ici nous sommes déjà dans le problème principal de cette thématique : Toutes les technologies de scanneur de Rootkit ne peuvent jamais dire ou vous fournir la garantie, si un éventuel Rootkit actif ne trompe lui-même le scanneur et dissimule ainsi son existence. Ici encore nous retrouvons le typique jeu du chat et de la souris : Les pirates informatiques trouvent toujours de nouvelles voies d'intrusion pour se camoufler. Les fabricants d'Anti rootkit les reconnaissent et développent de plus belle leur détection, jusqu'à ce que des pirates trouvent de nouvelles voies.
Une fois le PC infecté, Nouvelle installion ? ? ?
Plus le logiciel malveillant est complexe, plus la suppression sera difficile. Le vrai problème est que l'on ne peut jamais partir du principe, que le nettoyage complet soit réussi. Dans de nombreux cas, des fonctions de nettoyage de produits de sécurité comme placebo, qui ne feront que masquer la vérité : La conclusion logique est que l'ordinateur n'est plus digne de confiance, dès qu'il a été une fois infecté par des logiciels malveillants.
Pourquoi ? :
Il se pourrait qu'après un nettoyage un Rookit soit encore caché sur votre ordinateur, qui n'a pas encore été détecté par la technologie d'Anti-Rootkit. En voyant encore un peu plus vaste la probabilité, qui par l'infection de composants importants du système d'exploitation ait été manipulée. Par exemple, les droits ont pu être activés, qui donnent à l'attaquant le droit d'ouvrir un port sur l'ordinateur, ou des logiciels qui ont été manipulés de façon à ce que les routines nuisibles créées soient incorporées dans des fichiers. Le SEUL moyen est par conséquent de rendre de nouveau l'ordinateur utilisable, de formater le disque dur et de recréer le système d'exploitation !.
Comment Éviter les infections ?
Ne faites jamais confiance au nettoyage seul. Protéger l'ordinateur à l'avance contre les infections des logiciels malveillants est toujours mieux que par la suite d'éliminer le chaos considérable laissé. L'important est donc un système de protection existant à plusieurs niveaux : Tenir ses logiciels à jour.
Une partie considérable de tous les logiciels malveillants arrivent sur l'ordinateur par des failles de sécurité. Gardez toujours votre système d'exploitation à jour. La mise à jour automatique de Windows doit être toujours activée, car de plus en plus souvent seuls quelques jours séparent la connaissance d'une faille et de la première exploitation en masse par les vers. De même, il est nécessaire que tous les logiciels avec des données qui hantent l'Internet soient également tenus d'être à jour. Il s'agit notamment du navigateur, lecteur PDF, lecteur MP3, visualisateur d'images, etc., parce que ces fichiers doivent être traités, car ils peuvent contenir des codes malveillants.
Protection de navigation Internet
Évitez si possible de naviguer sur des sites douteux, où vous pouvez vous attraper un logiciel malveillant. Ceci peut-être réalisé avec l'aide du bloqueur d'hôtes ou pare-feu avec les fonctions adéquates.
Premier grand obstacle : Scanneur de définitions de signatures. Si par malheur, il vous arrivait une fois de télécharger et d'exécuter un fichier dangereux, il y aurait une probabilité de plus de 99 % qu'un gardien d'arrière-plan de scanneur de signatures de logiciels malveillants détecte et l'empêcherait de démarrer.
Deuxième grand obstacle : Analyse comportementale (ou proactive). Si vous deviez cependant une fois un fichier dangereux d'un nouveau logiciel malveillant ou autre qui est créé pour des attaques particulières, ils ne peuvent dans ce cas être détectés seulement par des bloqueurs de logiciels malveillants basés sur la surveillance comportementale et qui empêcheront leur démarrage.