Projet AntiMalware

Vérifier la légitimité des programmes

Ce tutorial va vous guider dans l'identification des programmes installés sur votre ordinateur.
Le but étant que vous soyez autonome afin de reconnaitre si un programme est légitime ou non (spyware, adware etc)

Lorsque vous voulez vérifier la légitimité d'un programme, il est conseillé de vous fier à plusieurs sources différentes !
Un antivirus n'est pas infaillible, de même pour les sites et forums (on peut dire des bétises dans des discussions!). Pour certains programmes, les avis peuvent aussi diverger, à vous de vous faire votre propre opinion.

Il existe une multitude de programmes piégés à télécharger sur internet :
Si vous partagez votre ordinateur avec des membres de votre famille, il convient parfois de vérifier ce qui est installé sur votre ordinateur.

Scanner les fichiers et programmes de votre ordinateur automatiquement

Les BHO

Les BHO sont des plugins (entendez programmes) qui se greffent sur votre navigateur WEB.
Il en existe des sains comme par exemple GoogleToolBar ou YahooToolBar et des malsains comme Hbtools (Hotbar), MyWebSearch qui enregistrent les sites que vous consultez afin de les transmettre à des serveurs.
D'autres sont utilisés pour vous afficher des popups de pub.

Pour plus d'informations sur le fonctionnement des BHO, se reporter à la page : BHO, plugins & add-ons sur Internet Explorer

BHODemon est un programme qui vous permet de manière automatique d'identifier les BHO installés sur votre ordinateur

Une fois le programme installé, vous devez mettre à jour la base de données des BHO afin que ce dernier reconnaisse bien les derniers programmes.

Identifier les programmes & processus

Les BHO légitimes apparaissent en vert.
Les BHO en cours d'investigation (l'auteur n'a pas encore déterminé si le programme est valide ou non) apparaissent en jaune.
Enfin les BHO non valides (spywares, adwares et autres) apparaissent en rouge.

Identifier les programmes & processus

BHODemon détecte aussi tout changement (BHO ajouté) et vous prévient lorsqu'un BHO tente de s'installer, ceci afin de protéger votre système de toute installation non autorisée.
Process Scanner

Process Scanner est un programme qui va recenser les programmes installés sur votre ordinateur et vous donner des informations sur ces derniers.
Le programme se connecte à Internet pour comparer les programmes installés à une base de données.
Une fois la comparaison terminée, un rapport est généré avec sous forme de liste les programmes légitimes & non légitimes.

Vous pouvez télécharger Process Scanner à partir de ce lien : http://www.processlibrary.com/processscan/

Identifier les programmes & processusIdentifier les programmes & processus

Le rapport s'ouvre sur votre navigateur WEB.
Vous pouvez consulter plusieurs rapports :
  • All processus : tous les processus en cours d'execution sur l'ordinateur,
  • AutoStart : programmes au démarrage de Windows,
  • Security : les éléments dangereux détectés,
  • Performance : les éléments triés selon les ressources utilisés.

Les éléments en cours d'exécution sur votre ordinateur apparaissent sous forme de liste.
  • L'onglet Security vous informe de la légitimité ou non des fichiers 
    • Safe signifie que le fichier est légitime
    • Les éléments à risque sont classés selon leur degré de dangerosité : Medium signifie Moyen et High signifie à haut risque.
  • L'onglet Performance vous informe sur l'utilisation mémoire du fichier.

Identifier les programmes & processus

Dans la seconde partie de la fenêtre, les éléments sur les fichiers scannés non légitimes sont disponibles.
ici on voit que le fichier mwsoemon.exe classé comme Medium appartient à la toolbar MyWebSearch.
Identifier les programmes & processus 

L'onglet Security vous donne la liste des éléments à risque.
On voit ici un fichier hook.dll à risque High et le fichier mwsoemon.exe à risque Medium.
Notez que le fichier mwsoemon.exe est marqué comme Autostart dans la colonne source, ce qui signifie qu'il se lance au démarrage de l'ordinateur.
Identifier les programmes & processus
Dans la partie basse de la fenêtre.. un petit descriptif du fichier est donné.
On peut lire que le fichier permet de voler des informations comme les mots de passe.

On peut voir aussi que le fichier se trouve dans le dossier VMWare.
VMware est un programme légitime qui permet d'émuler un ordinateur virtuel sur un ordinateur physique. Ce fichier est utilisé pour effectuer des copier/coller entre la machine hôte et la machine virtuelle. Néanmoins ce fichier hook.dll peut être utilisé par d'autres programmes malveillants de type KeyLogger.

Il convient de bien analyser les rapports avant d'effectuer toute opération de suppression.
Identifier les programmes & processus

Identification manuelle

Moteur de recherche
Dans un premier temps, vous pouvez utiliser les moteurs de recherche.
Soit vous tapez le nom du programme soit mieux le nom du fichier.
En général, vous tombez sur des sites informatifs ou sur des forum discussions sur le dit programme.

Vous pouvez alors avoir une idée de la légitimité ou non du programme.
Il est tout de même conseillé de soumettre le fichier à un antivirus (voir plus bas).

Pour plus d'informations sur l'utilisation des moteurs de recherche, reportez-vous à l'article Mieux utilier les moteurs de recherches
Site base de données de programmes

Il existe beaucoup de sites qui contiennent des bases de données sur les programmes et fichiers existants. Des descriptions informatives sur ces fichiers sont généralement proposées, malheureusement ces sites sont en majorité en anglais.
Process Scanner n'est en fait qu'un programme qui automatique cette recherche dans un de ces sites.

Voici une liste de sites regroupant une base de données d'applications/fichiers :
CastleCops regroupe une très grande base de données par catégorie (processus, CLSID, ActiveX) - Cette base de données est destinée à l'aide à la lecture des rapports HijackThis (voir plus bas).

En français : http://www.generation-nt.com/processus/

Recherchez alors simplement le nom de l'application ou du fichier dans la base de données de ces sites pour obtenir une description et les informations concernant la légitimité du programme.
Scanner votre ordinateur en ligne
Les scans en ligne permettent d'examiner le contenu de votre ordinateur avec des antivirus de manière gratuite.
Ils peuvent révéler des infections ! N'hésitez donc pas à faire un scan en ligne
Vous trouverez sur ce post une liste de sites proposant des scan en ligne : http://forum.malekal.com/sutra12261.php#12261
Suivez les instructions de la page suivante pour effectuer un scan en ligne : Scanner votre ordinateur en ligne avec un antivirus en ligne

Notes : si le scan notamment celui de panda révèle une quantité faramineuse de spywares, ce sont sont probablement des cookies, n'ayez crainte, si vous les supprimer, ils reviendront ! Ces derniers viennent en outre avec les pubs que vous recevez sur les sites WEB, pour plus d'informations reportez-vous à la page suivante : Le Danger des cookies
Vérifier la légitimité d'un fichier avec un multi-scan
Dans le doute, vous pouvez soumettre un fichier à un multi-scan. Le fichier va être scanné avec plusieurs antivirus (environ 10).. cela permet d'avoir plusieurs avis.
En effet, un antivirus est incapable de détecter toutes les menaces, le fait de scanner avec plusieurs antivirus augmente les chances de détecter un malware.

Il existe trois sites de scan multiples, parmis les plus utilisés :

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)