Suppression des logiciels malveillants - Guide rapide

Ces dernières années, nous avons entendu parler de nombreuses personnes et grandes entreprises perdant leurs précieuses données ou se trouvant dans une situation où leurs systèmes sont piratés. Ces activités indésirables sont causées, dans la plupart des cas, à l'aide d'un logiciel inséré dans un système de réseau, un serveur ou un ordinateur personnel. Ce logiciel est connu sous le nom demalware.

Un logiciel malveillant peut directement endommager un système ou un réseau, ou les empêcher d'être utilisé par d'autres, plutôt que comme prévu par leurs propriétaires. C'est une combinaison de deux mots:Mal sens Bad et Ware sens Software.

Basé sur www.av-test.org , les statistiques augmentent énormément. Veuillez consulter le graphique suivant pour comprendre la croissance des logiciels malveillants.

Comme vous pouvez le voir, plus de 600000000 de malwares ont été détectés rien qu'en 2016. Basé sursecurelist.com, les pays qui ont infecté des ordinateurs par rapport aux plus propres sont -

Risque maximum (plus de 60%) 22 pays dont
Kirghizistan (60,77%) Afghanistan (60,54%).
Risque élevé (41-60%): 98 pays dont
Inde (59,7%) Égypte (57,3%) Biélorussie (56,7%)
Turquie (56,2%) Brésil (53,9%) Chine (53,4%)
EAU (52,7%) Serbie (50,1%) Bulgarie (47,7%)
Argentine (47,4%) Israël (47,3%) Lettonie (45,9%)
Espagne (44,6%) Pologne (44,3%) Allemagne (44%)
Grèce (42,8%) France (42,6%) Corée (41,7%),
Autriche (41,7%)
Taux d'infection locale modéré (21-40,99%): 45 pays dont
Roumanie (40%) Italie (39,3%) Canada (39,2%)
Australie (38,5%) Hongrie (38,2%) Suisse (37,2%)
États-Unis (36,7%) Royaume-Uni (34,7%) Irlande (32,7%)
Pays-Bas (32,1%), République tchèque (31,5%) Singapour (31,4%)
Norvège (30,5%) Finlande (27,4%) Suède (27,4%),
Danemark (25,8%), Japon (25,6%).

Les logiciels malveillants peuvent être conçus à partir des pirates à des fins différentes, telles que la destruction des données, l'envoi automatique des données à un autre endroit, la modification des données ou peuvent continuer à les surveiller jusqu'à la période spécifiée. Désactivez les mesures de sécurité, endommagez le système d'information ou affectez d'une autre manière les données et l'intégrité du système.

Ils se présentent également sous différents types et formes, dont nous discuterons en détail dans les prochains chapitres de ce didacticiel.

Pour comprendre le fonctionnement des logiciels malveillants, nous devons d'abord voir l'anatomie d'une attaque de logiciels malveillants, qui est séparée en cinq étapes, comme indiqué ci-dessous -

  • Point d'accès
  • Distribution
  • Exploit
  • Infection
  • Execution

Comprenons en détail les points mentionnés ci-dessus.

Point d'accès

Un malware peut pénétrer dans le système de plusieurs manières -

  • L'utilisateur visite son site Web préféré qui a été infecté récemment. Cela peut être un point d'entrée pour un malware.

  • Si un utilisateur clique sur une URL fournie dans un e-mail, il détournera ce navigateur.

  • Les logiciels malveillants peuvent également pénétrer via n'importe quel support externe infecté, tel qu'une clé USB ou un disque dur externe.

Distribution

Le malware lance un processus qui redirige le trafic vers un serveur d'exploit qui vérifie le système d'exploitation et les applications telles que le navigateur, Java, Flash Player, etc.

Exploit

Dans cette phase, le exploit essaiera de s'exécuter en fonction du système d'exploitation et trouvera un moyen d'élever le privilège.

Infection

Maintenant, l'exploit qui a été installé avec succès téléchargera une charge utile pour maintenir l'accès et gérer la victime comme l'accès à distance, le téléchargement / téléchargement de fichiers, etc.

Exécution

Dans cette phase, le pirate informatique qui gère le Malware commencera à voler vos données, à crypter vos fichiers, etc.

Les malwares sont divers; ils proviennent de fonctions différentes et se comportent différemment dans diverses situations. Certains des types de malwares les plus infâmes et les plus dangereux sont donnés ci-dessous:

  • Virus
  • Adware
  • Spyware
  • Trojan
  • Rootkits
  • Botnets
  • Articles de rançon

Comprenons chacun de ces éléments en détail.

Virus

Le virus est un programme malveillant qui agit de manière intéressante. Ce programme s'exécute ou se réplique en insérant des copies de lui-même dans d'autres programmes informatiques, secteur de démarrage, fichiers de données, disque dur, etc. Lorsque le processus de réplication est terminé, les zones affectées sont dites infectées .

Les virus sont conçus pour effectuer certaines des activités les plus nuisibles sur les hôtes lorsqu'ils sont infectés. Ils peuvent voler le temps CPU ou même l'espace sur le disque dur. Ils peuvent également corrompre les données et mettre des messages amusants sur l'écran du système.

Adware

Ce logiciel est principalement le logiciel de support publicitaire. Un package qui vient automatiquement avec les publicités à l'intérieur. Par conséquent, il peut générer de bons revenus pour le propriétaire.

Spyware

Un logiciel espion est un logiciel principalement utilisé pour collecter des informations sur une organisation ou une personne. Cette information est recueillie sans que personne ne sache que l'information est produite à partir de son système.

troyen

Le cheval de Troie est un type de malware non auto-répliquant. Il contient du code malveillant, qui exécute certaines actions déterminées par la nature de ce cheval de Troie spécifique. Cela se produit uniquement lors de l'exécution. Le résultat de l'action est normalement la perte de données et peut également endommager le système de plusieurs manières.

Les rootkits

Les rootkits sont le type de malware furtif. Ils sont conçus d'une manière spéciale pour qu'ils puissent très bien se cacher et il est assez difficile de les détecter dans un système. Les méthodes normales de détection ne fonctionnent pas sur eux.

Botnets

Botnet est un logiciel installé sur un ordinateur connecté via Internet et il peut aider l'un à communiquer avec l'autre même type de programmes, de sorte que certaines actions puissent être effectuées. Ils peuvent être identiques au contrôle de certains IRC, qui sont des graphiques liés à Internet. De plus, il peut être utilisé pour envoyer des courriers indésirables ou pour participer à une distribution d'attaques par déni de services.

Articles de rançon

La rançon est un logiciel qui crypte les fichiers qui se trouvent sur les disques durs. Certains d'entre eux peuvent même finir par montrer simplement un message sur le paiement de l'argent à la personne qui a mis en œuvre ce programme.

En règle générale, si un ordinateur est infecté, il existe des symptômes que les utilisateurs les plus simples peuvent remarquer.

Techniques courantes de détection des logiciels malveillants

Certaines des techniques de détection de logiciels malveillants les plus couramment utilisées sont répertoriées ci-dessous.

  • Votre ordinateur affiche une fenêtre contextuelle et un message d'erreur.

  • Votre ordinateur se bloque fréquemment et vous ne parvenez pas à travailler dessus.

  • L'ordinateur ralentit lorsqu'un programme ou un processus démarre. Cela peut être remarqué dans le gestionnaire de tâches que le processus du logiciel a commencé, mais qu'il ne s'est pas encore ouvert pour fonctionner.

  • Des tiers se plaignent de recevoir une invitation sur les réseaux sociaux ou par e-mail de votre part.

  • Les modifications des extensions de fichiers apparaissent ou des fichiers sont ajoutés à votre système sans votre consentement.

  • Internet Explorer se fige trop souvent même si votre vitesse Internet est très bonne.

  • Votre disque dur est accessible la plupart du temps, ce que vous pouvez voir à partir du voyant LED clignotant de votre ordinateur.

  • Les fichiers du système d'exploitation sont corrompus ou manquants.

  • Si votre ordinateur consomme trop de bande passante ou de ressources réseau, c'est le cas d'un ver informatique.

  • L'espace du disque dur est occupé en permanence, même si vous n'effectuez aucune action. Par exemple, une installation du programme Mew.

  • Les fichiers et la taille des programmes changent par rapport à leur version d'origine.

Erreurs non liées aux logiciels malveillants

Les erreurs suivantes sont not related to Malware Activités -

  • Erreur lors du démarrage du système dans la phase Bios, comme l'affichage des cellules de la batterie du Bios, l'affichage des erreurs de la minuterie.

  • Erreurs matérielles telles que les bips, la gravure de RAM, le disque dur, etc.

  • Si un document ne démarre pas normalement comme un fichier corrompu, mais que les autres fichiers peuvent être ouverts en conséquence.

  • Le clavier ou la souris ne répond pas à vos commandes; vous devez vérifier les plug-ins.

  • Le moniteur s'allume et s'éteint trop souvent, comme un clignotement ou une vibration, il s'agit d'un défaut matériel.

Dans le chapitre suivant, nous allons comprendre comment préparer la suppression des logiciels malveillants.

Les malwares s'attachent aux programmes et les transmettent à d'autres programmes en utilisant certains événements. Ils ont besoin que ces événements se produisent car ils ne peuvent pas démarrer par eux-mêmes, se transmettre à l'aide de fichiers non exécutables et infecter d'autres réseaux ou un ordinateur.

Pour préparer la phase de suppression, nous devons d'abord comprendre quels processus informatiques sont utilisés par le malware afin de les tuer. Quels ports de trafic sont utilisés par eux pour les bloquer? Quels sont les fichiers liés à ces malwares, afin que nous puissions avoir la chance de les réparer ou de les supprimer. Tout cela comprend un ensemble d'outils qui nous aideront à recueillir ces informations.

Processus d'enquête

D'après les conclusions susmentionnées, nous devons savoir que lorsque certains processus ou services inhabituels s'exécutent seuls, nous devons approfondir leurs relations avec un éventuel virus. Le processus d'enquête est le suivant -

Pour étudier les processus, nous devons commencer par utiliser les outils suivants -

  • fport.exe
  • pslist.exe
  • handle.exe
  • netstat.exe

le Listdll.exe montre tous les dll filesqui sont utilisés. lenetstat.exeavec ses variables montre tous les processus en cours d'exécution avec leurs ports respectifs. L'exemple suivant montre comment un processus deKaspersky Antivirusest mappé à une commande netstat-ano pour voir les numéros de processus. Pour vérifier à quel numéro de processus il appartient, nous utiliserons le gestionnaire de tâches.

Pour Listdll.exe, nous l'avons téléchargé à partir du lien suivant - https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx et nous pouvons l'exécuter pour vérifier quels processus sont connectés à la DLL utilisée.

Nous ouvrons CMD et allons au chemin de Listdll.exe comme indiqué dans la capture d'écran suivante, puis l'exécutons.

Nous obtiendrons le résultat comme indiqué dans la capture d'écran suivante.

Par exemple, le PID 16320 est utilisé par le dllhost.exe, qui a une description COM Surrogateet à gauche. Il a montré toutes les DLL affichées par ce processus, que nous pouvons rechercher et vérifier.

Nous allons maintenant utiliser le Fport, qui peut être téléchargé à partir du lien suivant - https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# pour mapper les services et le PID avec les ports.

Un autre outil pour surveiller les services et voir combien de ressources ils consomment est appelé «Process Explorer», qui peut être téléchargé à partir du lien suivant - https://download.sysinternals.com/files/ProcessExplorer.zip et après l'avoir téléchargé, vous devez exécuter le fichier exe et vous verrez le résultat suivant -

Dans ce chapitre, nous allons comprendre comment passer par le processus de nettoyage d'un ordinateur qui a été infecté par tout type de malware. Suivez les étapes ci-dessous.

Step 1- Pour commencer, nous devons déconnecter l'ordinateur du réseau, qui peut être une connexion par câble ou une connexion sans fil. Ceci est fait pour que le processus de piratage perde la connexion avec le pirate informatique, de sorte qu'aucune autre donnée ne puisse continuer à fuir.

Step 2 - Démarrez l'ordinateur en Safe Mode, seuls les programmes et services minimum requis sont chargés. Si un logiciel malveillant est configuré pour se charger automatiquement au démarrage de Windows, entrer dans ce mode peut l'empêcher de le faire. Ceci est important car cela permet de supprimer les fichiers plus facilement, car ils ne sont pas réellement en cours d'exécution ou actifs.

Démarrage d'un ordinateur en mode sans échec

Le démarrage d'un ordinateur en mode sans échec peut varier de Windows 7 à Windows 10. Pour le système d'exploitation Windows 10, les étapes sont les suivantes:

Step 1 - Appuyez sur le Windows logo key + Isur votre clavier pour ouvrir les paramètres. Si cela ne fonctionne pas, sélectionnez le bouton Démarrer dans le coin inférieur gauche de votre écran, puis sélectionnez Paramètres. Sélectionnez Mise à jour et sécurité → Récupération.

Step 2 - Dans la section Démarrage avancé, sélectionnez Redémarrer maintenant.

Step 3 - Une fois que votre PC a redémarré sur l'écran Choisir une option, sélectionnez Dépannage → Options avancées → Paramètres de démarrage → Redémarrer.

Step 4- Après le redémarrage de votre PC, vous verrez une liste d'options. Sélectionnez 4 ou F4 pour démarrer votre PC en mode sans échec. Si vous devez utiliser Internet, sélectionnez 5 ou F5 pour Mode sans échec avec réseau.

Supprimer les fichiers temporaires

Supprimez vos fichiers temporaires. Cela accélérera l'analyse antivirus, libérera de l'espace disque et éliminera même certains logiciels malveillants. Pour utiliser leDisk Cleanup Utility, inclus avec Windows 10, tapez simplement Disk Cleanup dans la barre de recherche ou après avoir appuyé sur le bouton Démarrer et sélectionnez l'outil qui apparaît - Nettoyage de disque.

Arrêtez le processus malveillant qui pourrait y être lié

Nous tenterons de mettre fin à tous les processus malveillants associés. Pour ce faire, nous utiliserons Rkill, qui peut être facilement téléchargé à partir du lien suivant - www.bleepingcomputer.com/download/rkill/

Téléchargez Malware Scanner et lancez une analyse

Si vous avez déjà un programme antivirus actif sur votre ordinateur, vous devez utiliser un autre scanner pour cette vérification des logiciels malveillants, car votre logiciel antivirus actuel n'a peut-être pas détecté le logiciel malveillant. La plupart des logiciels antivirus connus sont présentés dans la capture d'écran suivante.

Nous devons comprendre que les virus n'infectent les machines extérieures qu'avec l'aide d'un utilisateur d'ordinateur, ce qui peut être comme cliquer sur un fichier joint à un e-mail d'une personne inconnue, brancher une clé USB sans scanner, ouvrir des URL non sécurisées, etc. Pour de telles raisons , en tant qu'administrateurs système, nous devons supprimer les autorisations d'administrateur des utilisateurs sur leurs ordinateurs.

Voici quelques-unes des choses à ne pas faire les plus courantes pour laisser les logiciels malveillants entrer dans un système:

  • N'ouvrez pas de pièces jointes provenant de personnes inconnues ou même de personnes connues contenant du texte suspect.

  • N'acceptez aucune invitation de personnes inconnues sur les réseaux sociaux.

  • N'ouvrez aucune URL envoyée par des inconnus ou des personnes connues sous une forme étrange.

Voici quelques autres conseils importants pour garder votre système à jour:

  • Continuez à mettre à jour le système d'exploitation à intervalles réguliers.

  • Installez et mettez à jour le logiciel antivirus.

Tout stockage amovible provenant de tiers doit être analysé avec un logiciel antivirus mis à jour. N'oubliez pas non plus de vérifier les aspects suivants.

  • Vérifiez si votre moniteur utilise un économiseur d'écran.

  • Vérifiez si le pare-feu de l'ordinateur est activé.

  • Vérifiez si vous effectuez régulièrement des sauvegardes.

  • Vérifiez s'il y a des partages qui ne sont pas utiles.

  • Vérifiez si votre compte a tous les droits ou s'il est restreint.

  • Mettez à jour d'autres logiciels tiers.

Gestion des risques de malwares

La gestion des risques de logiciels malveillants concerne principalement les entreprises qui ne se conforment pas aux utilisateurs d'un seul ordinateur. Pour gérer le risque lié aux malwares, il y a des facteurs clés qui acceptent les technologies utilisées, il y a aussi un facteur humain. La gestion des risques concerne l'analyse qui identifie les risques liés aux logiciels malveillants et les hiérarchise en fonction de l'impact qu'ils peuvent avoir sur les processus métier.

Pour réduire les risques de logiciels malveillants dans un environnement professionnel de taille moyenne, nous devons tenir compte des points suivants:

  • Actifs communs du système d'information
  • Menaces courantes
  • Vulnerabilities
  • Formation des utilisateurs
  • Équilibrer la gestion des risques et les besoins commerciaux

Dans le chapitre suivant, nous découvrirons quelques outils de suppression de logiciels malveillants importants.

Dans les chapitres précédents, nous avons discuté de ce que sont les malwares, comment ils fonctionnent et comment les nettoyer. Cependant, dans ce chapitre, nous verrons l'autre côté de la protection automatisée, qui est classée comme anti-malwares ou antivirus. L'utilisation de ce logiciel est très importante de nos jours car comme nous l'avons vu dans les chapitres précédents, le nombre de malwares augmente de façon exponentielle en conséquence, il est impossible de les détecter.

Chaque producteur d'anti-malwares a ses propres technologies et techniques sur la façon de détecter les malwares, mais il convient de mentionner qu'ils sont très rapides à détecter car ils prennent des mises à jour presque tous les jours avec les nouvelles détections de malware.

Certains des anti-malware ou antivirus les plus connus et les plus efficaces au monde sont mentionnés ci-dessous -

  • McAfee Stinger

  • HijackThis

  • Malwarebytes

  • Kaspersky Endpoint Security 10

  • Antivirus gratuit Panda

  • Recherche et destruction de Spybot

  • Antivirus gratuit Ad-Aware +

  • AVG Antivirus 2016

  • SUPERAntiSpyware

  • Microsoft Security Essentials