Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Hôtes indésirables

Незваные гости

D'autres publications de cette rubrique (31)
  • Ajouter aux favoris
    Ajouter aux favoris

Virus, le retour …

Lu par: 3057 Commentaires: 3 Cote de popularité: 44

vendredi 21 octobre 2016

Il arrive qu’un même virus ou Trojan soit détecté périodiquement par l’antivirus même si l'utilisateur lui a demandé de le supprimer. Des questions sur les causes de ce phénomène sont posées par les utilisateurs sur des sites Internet ou au support technique de Doctor Web. Il peut y avoir plusieurs raisons à cela. Commençons par les raisons traditionnelles.

  • Un fichier malveillant peut être présent sur un support amovible, dans un dossier ou sur un disque dur qui sont exclus de l'analyse par l'utilisateur. Pour résoudre ce problème, vous devez vérifier tous les disques et supports amovibles avec le scanner antivirus ou l'utilitaire Dr.Web CureIt ! A l’aide du disque de démarrage Dr.Web LiveDisk.
  • Un fichier malveillant pourrait se trouver sur un autre ordinateur sur le réseau local et pénétrer via les dossiers ouverts en écriture. Pour remédier au problème, il est recommandé, dans le cas où un malware est de nouveau détecté sur le même ordinateur, de scanner avec un antivirus tous les ordinateurs réunis dans le réseau.
  • Le fichier malveillant est automatiquement restauré de la sauvegarde. Le système d’exploitation Windows est doté d'un système de récupération automatique, mais aucune procédure de scan antivirus n'est prévue lors de la création des archives. Si un fichier malveillant précédemment supprimé a pu contaminer un composant important de l'OS, le système peut essayer de le restaurer, et ce virus sera détecté par un antivirus lors de la restauration. Dans ce cas, le problème peut être résolu si on lance l'analyse complète du système avec un scanner antivirus.
  • Des erreurs dans la configuration de la protection antivirus. Le cas le plus fréquent est que l'internaute n'utilise qu'un scanner antivirus pour la protection. Dans ce cas, les fichiers désinfectés peuvent être contaminés par le virus actif au cours de l'analyse antivirus.

Très souvent la réinfection de l'ordinateur se produit par les virus d’amorçage dits bootkits, qui sont capables de modifier l’enregistrement de démarrage sur le disque dur de votre ordinateur. Par exemple, le Trojan.GBPBoot.1 comprend plusieurs modules. Le premier d'entre eux modifie le master boot record (MBR) sur le disque dur de votre ordinateur puis écrit à la fin de la section appropriée (à l’extérieur du système de fichiers) un module de l'installateur viral, un module de restauration du Trojan, une archive contenant le fichier explorer.exe et un secteur contenant des données de configuration. Puis, il place l'installateur de virus dans le dossier système, le lance et supprime son propre fichier.

Si pour une raison quelconque, le fichier d'un programme malveillant est supprimé (par exemple, avec un logiciel antivirus au cours de l'analyse), le mécanisme d’auto-restauration se met en marche. En utilisant le MBR modifié par le Trojan, au démarrage de l'ordinateur, la procédure de vérification de la présence du fichier de ce programme malveillant se lance. S'il n'est pas présent, le Trojan.GBPBoot.1 réécrit le fichier standard explorer.exe, en le remplaçant par son propre fichier contenant un outil d'auto restauration, puis il démarre en même temps que l'OS Windows. Une fois le contrôle repris, l'exemplaire malveillant explorer.exe lance la procédure de contamination puis il récupère et lance le fichier original explorer.exe.

http://news.drweb.fr/show/?i=6804&c=5&lng=fr&p=30

  • L'antivirus détecte le fichier malveillant mais il ne peut pas le supprimer puisqu'il lui manque des privilèges nécessaires pour accéder au fichier (pour plus d'information, consultez l'article "Le poisson pourrit par la tête, mais le Smartphone par la racine (root en anglais)»), les erreurs survenues lors du traitement dont l'utilisateur a ignoré les notifications peuvent également empêcher la suppression d’un tel fichier.

Des situations similaires se produisent non seulement sur les ordinateurs fonctionnant sous Windows, mais également sur les appareils mobiles. Puisque les Trojans de la famille Android.Loki placent une partie de leurs composants dans les dossiers système de l'OS Android auxquels le logiciel antivirus n’a pas accès, le moyen le plus efficace de neutraliser l'infection est de réactualiser le firmware en utilisant l'image originale de l'OS.

https://news.drweb.fr/show/?c=5&i=9822&lng=fr

Le projet Lumières sur la sécurité recommande

  • Malheureusement, l’antivirus n'est pas en mesure de détecter tous (100 %) les programmes malveillants modernes. C’est pourquoi, afin de réduire la probabilité d’infection, il est nécessaire de limiter les droits des utilisateurs de l’ordinateur. L'utilisateur qui ne dispose pas des droits d'administrateur ne sera pas en mesure de lancer tous les programmes qu'il souhaite, et le seul moyen qui restera pour lancer un Trojan sera d'exploiter les éventuelles vulnérabilités. La limitation des droits utilisateur réduit le risque d’infection suite à des attaques de phishing.
  • Il est nécessaire d'effectuer régulièrement une analyse antivirus complète et d'installer les mises à jour critiques pour tous les programmes utilisés (et non seulement pour le logiciel antivirus !).

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs

Commentaires sur d'autres publication | Mes commentaires