Menu Fermer

Comment analyser un fichier téléchargé : virus ou sain ?

Dans un précédent article nous avions vu Comment vérifier un lien internet : malveillant ou sain ?
Voici maintenant les mêmes vérifications et analyser un fichier téléchargé.
Le but est de pouvoir déterminer s’il s’agit d’un fichier sain ou d’un fichier malveillant.
En effet, vos téléchargements peuvent être sûr d’attaques et permettent de pirater votre PC.

Vous venez de télécharger un fichier ou programme sur internet mais vous avez un doute.
En effet, vous pensez que ce dernier est malveillant et contient un virus, trojan ou autre malware.

Cet article vous donne la bonne marche à suivre afin de vérifier si un fichier téléchargé est un virus et comment l’analyser.

Comment vérifier si un téléchargement contient un virus

Introduction au téléchargement de fichiers

Sur Internet, on peut surfer mais aussi télécharger des fichiers.
Et là on peut télécharger toutes sortes de fichiers, des vidéos, images et autres.
Les malwares se diffusent à travers des exécutables, souvent sous la forme de fichier .exe.
Toutefois, les pirates peuvent utiliser d’autres formats comme des scripts VBS ou tenter de dissimuler qu’il s’agit d’un exécutable.
Par exemple ils peuvent vous faire croire que vous avez affaire à une image alors qu’il s’agit d’un exécutable.
Plus d’infos : Les extensions de fichiers et la sécurité

Le type de fichiers est donc important. Un fichier image ou son ne pose aucun problème de sécurité alors qu’un exécutable ou script peut permettre de compromettre votre PC.

Ainsi télécharger un fichier ne pose aucun problème, c’est son exécution qui installe le malware sur votre PC.
De même lorsque vous recevez un mail, il faut ouvrir la pièce jointe et double-cliquer sur le fichier pour l’exécuter.

Tant que vous n’avez pas ouvert (double-cliquez) sur le fichier, votre PC est sain.

Avant de l’exécuter, on peut donc analyser ce fichier avec son antivirus et effectuer d’autres actions.

Source de téléchargement

La source du téléchargement reste importante.

En effet, vous avez moins de chance de tomber sur un malware en téléchargeant depuis un site de téléchargement connu.
Des malwares peuvent être dissimulés dans des mods MineCraft, sur des sites de cracks ou encore dans des vidéos Youtube.
De même les téléchargements depuis MediaFire, Mega.nz sont à prendre avec des pincettes.
Ainsi en prenant le premier site venu sur Google, vous avez de grande chances que ce soit un logiciel malveillant.

Si vous ne voulez pas prendre de risque, il faut télécharger que depuis des sites connus. Vous avez alors moins de chance de télécharger un fichier malveillant.

Enfin les deux principales menaces via les téléchargements sont les PUPs et Trojan.

Comment vérifier un téléchargement ?

Comment vérifier si un fichier téléchargé est un virus ou sain ?
Voici trois étapes à respecter afin d’éviter les risques d’infection de votre PC.

VirusTotal : analyser un fichier avec plusieurs antivirus

VirusTotal est un service gratuit qui permet d’analyser un fichier avec plusieurs antivirus.
Grâce à ce service on peut avoir une idée de la dangerosité d’un fichier téléchargé.

Un tutoriel complet existe sur le site qui vous guide dans l’utilisation de VirusTotal.

Si on reprend uTorrent, plusieurs résultats positifs.
Ici on voit surtout une certaine logique puisque plusieurs antivirus donnent une même détection WebCompanion ou OfferGenerator.

VirusTotal est la détection de malware

Par contre si on prend FRST qui est sain.
On voit des détections générique ou suspicieuse.

VirusTotal est la détection de malware
VirusTotal est la détection de malware

Ici VirusTotal donne une indication et idée.
Certains antivirus utilisés comme Antiy-AVL, Trapmine sont très sensibles.
Dans ces deux exemples, cela vient du fait que les fichiers ne sont pas signés numériquement.

En général, si aucun antivirus “connus” ne détecte rien alors il y a de forte chance que le fichier soit sain.

La signature numérique et fichier inconnu

L’autre élément à vérifier est la signature numérique.
En effet, lorsqu’un éditeur créé un fichier, il peut le signer.
Cela permet d’assurer que le fichier provient de cette société.
Ainsi lorsque vous téléchargez un fichier, vous pouvez vérifier et analyser afin de s’assurer de la provenant.

Pour vérifier la signature numérique d’un fichier téléchargé, il suffit :

  • De faire un clic droit puis propriété sur le fichier
  • Cliquez ensuite sur l’onglet Signatures numériques.
  • Vérifiez le nom de la société.

Si l’onglet n’est pas disponible alors le fichier n’est pas signé.
On considère alors qu’il s’agit d’un fichier inconnu.
Dans 99% les malwares utilisent des fichiers non signés dites inconnus.

Vérifier la signature d'un fichier téléchargé

VirusTotal vérifie aussi la signature numérique du fichier.
Pour cela, cliquez sur l’onglet Détail puis cherchez Signature info.
Ci-dessous un malware où VirusTotal indique que le fichier est non signé : File is not signed.

Vérifier la signature d'un fichier téléchargé sur VirusTotal
Il est fortement déconseillé d’exécuter un fichier non signé sur son PC. Il y a de grandes chances que ce soit un logiciel malveillant (trojan, logiciel espion, etc).

D’ailleurs, lorsqu’un fichier d’un éditeur inconnu demande à obtenir des droits administrateurs, Windows vous prévient.
En effet le contrôle des comptes de Windows (UAC) demande confirmation.

Il faut absolument interdire et ne pas donner les accès administrateur à un fichier inconnu.

Plus d’informations sur la page :

Lors de l’exécution d’un fichier téléchargé

Enfin la seconde méthode est de suivre le comportement du fichier lors de son exécution.
En effet, le but est de vérifier que le fichier téléchargé n’installe pas de malware.

On utilise alors Process Explorer et on active la détection VirusTotal.
Cela permet de vérifier la détection des processus et applications en cours de fonctionnement.

  • Télécharger Processus Explorer
  • Lancer ce dernier, de préférences par un clic droit puis exécuter en tant qu’administrateur
  • Cliquez sur le menu Options puis Virustotal
  • Acceptez les conditions d’utilisation
  • Une colonne VirusTotal apparaît avec la détection antivirus de chaque processus.

Il suffit ensuite de s’assurer qu’aucun processus avec des détections n’apparaît.
Par exemple ci-dessous, une machine saine avec des détections VirusTotal en bleu à 0.

Vérifier si un fichier téléchargé installe des malwares avec Process Explorer

Ici des détections positives sont en rouge.
En cliquant sur la détection, cela ouvre VirusTotal avec l’analyse.
Cela permet d’obtenir des informations sur le type de malware, etc.

Vérifier si un fichier téléchargé installe des malwares avec Process Explorer

Process Explorer permet aussi comme le gestionnaire de tâcher d’interrompre un fichier en cours d’exécution.
Pour cela, faites un clic droit puis terminate.

Pour aller plus loin avec cette méthode, lire notre article :

Sécuriser et protéger son PC des virus

En cas de doute, n’hésitez pas à venir sur le forum pour demander de l’aide.
De même après une attaque, on peut vous aider à désinfecter votre PC.
Reportez-vous alors à la page : Supprimer les virus et désinfecter son PC : le dossier

Si vous avez subi une attaque, pensez à changer vos mots de passe.
C’est le minimum à suivre.
Pour le reste des recommandations, lire :

Enfin du côté de la prévention contre les malwares.
Voici quelques liens et conseils à suivre.

Pour éviter les virus, il faut savoir comment les pirates s’y prennent pour infecter les ordinateurs :

Enfin pour sécuriser son PC et Windows contre les logiciels malveillants :