Antivirus : le fonctionnent (détection, protection)

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

Les protections des antivirus

Protection en temps réel

La protection en temps réel est un module important de l'antivirus qui va scanner les fichiers qui vont transiter sur l'ordinateur.

Lors de la copie ou ouverture d'un fichiers la protection en temps réel analyse ces derniers afin de détecter des virus.

Les antivirus : utilisation et fonctionnement

La détection FileRepMalware d'Avast!! correspond au Cloud Antivirus qui se nomme CyberCapture :

Les antivirus : utilisation et fonctionnement

La protection en temps réel va faire de même avec la protection WEB qui va bloquer toute adresse malveillante.
Si l'antivirus détecte une connexion vers adresse connue pour être malveillante alors il va émettre une alerte et bloquer celle-ci.
Deux cas de figure se présentent :

  • Vous surfez et le site sur lequel vous vous connectez contacte une adresse malicieuse
    • soit parce qu'il a été piraté ou une publicité malicieuse tente de rediriger vers un Web Exploit.
    • Une régie publicitaire est blacklistée par l'antivirus. Certaines régies publicitaires sur les sites de streaming illégaux, P2P etc peuvent l'être.

Notez que Google fait un peu la même chose à travers son Google SafeBrowsing.

En outre, le cloud antivirus permet aussi lors des recherches WEB de noter les sites et prévenir si ces derniers sont malicieux et bloquer l'accès des sites malveillants.

Ci-dessous des recherches Google avec les notes sur chaque résultat (coche verte ou étoile verte) :

Les antivirus : utilisation et fonctionnement
Les antivirus : utilisation et fonctionnement
Les antivirus : utilisation et fonctionnement

et une adresse WEB bloquée par Avast! avec la détection URL:MAL

Les antivirus : utilisation et fonctionnement

La protection WEB

Elle bloque l'accès aux sites ou pages malveillantes et fonctionne comme la protection en temps réel.
En effet celle-ci analyse les les sites visitées :

Plus d'informations sur la page :

Enfin un exemple de protection WEB dans la vidéo suivante :

Protection Mail

Ce module de protection vise à détecter les emails dangereux, qui la plupart du temps embarquent des pièces jointes malveillantes.
Les virus par email restent toujours actifs et ont repris du poil de la bête depuis fin 2015 avec des campagnes de ransomwares.
Certaines protections mails peuvent aussi incorporer un antispam (souvent dans les suites de sécurité).

Les antivirus : utilisation et fonctionnement

Cela permet donc de protéger l'ordinateur en amont de la réception des mails puisque l'antivirus intercepte les mails malveillant.
Lorsque des emails passent, la protection en temps réel peut bloquer le virus durant la tentative d'ouverture de la pièce jointe vérolée.

Analyse et désinfection antivirus

L'analyse ou le scan

L'analyse antivirus ou scan antivirus consiste à analyser l'ordinateur afin de déceler la présence d'un malware.
Dans le cas de détection positive et nettoyer ce dernier.
L'antivirus va :

  • Analyser les processus en cours d'exécution et leurs dépendances
  • Analyser les éléments qui se chargent au démarrage de Windows comme des Clef Run, Services Windows, etc
  • Les fichiers sur le disque, deux cas se présentent alors :
    • vous avez demandé une analyse complète : tous les fichiers du disque vont être analysés. C'est la plus longue des analyses puisque chaque fichier est passé en revue.
    • vous avez demandé une analyse "intelligente". On analyse les fichiers des dossiers connue pour contenir des malwares. Par exemple le profil utilisateur, Program files et le dossier Windows.

Exemple des différents type d'analyse antivirus d'Avast! :

Les antivirus : utilisation et fonctionnement

Le scan antivirus s'avère utile à la suite d'une alerte de la protection en temps réel ou en cas de doute afin de contrôler ce dernier.
Pensez aussi qu'un malware peut s'introduire dans l'ordinateur, car pas détecté par l'antivirus au moment de l'attaque.
Nous conseillons d'effectuer une mise à jour de la définition virale avant d'effectuer une analyse complète de l'ordinateur.

Voici un exemple de détection à la suite d'une analyse par Malwarebytes Anti-Malware :

Les antivirus : utilisation et fonctionnement

Désinfection antivirales

Les antivirus dans leurs arsenal possèdent des fonctions pour supprimer les malwares.
Ainsi lorsqu'il détecte un malware, plusieurs actions s'offrent à vous :

  • Supprimer le fichier : Cette option est de moins en moins présente pour ne pas poser des problèmes en cas de faux positif.
  • Accès refusé : cette option n'est pas présente sur tous les antivirus, Antivir propose notamment celle-ci. Le fichier malicieux reste à son emplacement d'origine mais l'antivirus empêche son accès.
  • Mise en quarantaine : l'antivirus déplace le fichier dans une zone contrôle par l'antivirus. Ce dernier ne peut plus interagir avec le système et causer des dégâts. Le gros avantage de cette solution est qu'il permet de restaurer le fichier en cas faux positif.
  • Désinfection : Cela vise les "vrai" virus et l'antivirus tente de supprimer le code malveillant de l'exécutable. Si cela fonctionne l'exécutable devient à nouveau sûr. Parfois cela cause des dommages et une corruption de l'exécutable.

Enfin pensez que parfois il est trop tard.
Par exemple un trojan qui vole les mots de passe aura le temps de les transmettre.
Un ransomware qui chiffre les données aura le temps de faire des dégâts.

Certaines menaces sont parfois complexes et l'antivirus ne peut l'éradiquer de l'ordinateur.
Dans ces cas là, les éditeurs d'antivirus proposent des outils de désinfection spécifiques.
Vous pouvez les télécharger depuis les sites de l'éditeur.
Ensuite suivez les instructions afin d'éradiquer ce dernier de l'ordinateur.

Enfin certains éditeurs proposent aussi des outils de désinfection.
Le but est souvent de montrer qu'ils sont efficaces afin de faire acheter l'antivirus.
Par exemple Kaspersky propose l'outil Kaspersky Virus Removal Tool.
La page suivante en parle : Désinfecter Windows avec Kaspersky

Enfin sur le site existe des articles pour supprimer les virus :

La quarantaine antivirus

Tous les antivirus offrent un menu Quarantaine qui permet en autre de restaurer un fichier malicieux.
Parfois d'autres options existent comme la possibilité de soumettre le fichier à l'analyse du laboratoire de l'éditeur de l'antivirus.
Dans le cas d'un fichier positif alors vous pouvez placer ce dernier en quarantaine.
Ainsi si vous avez un doute sur la véracité de la menace, vous pouvez envoyer l'échantillon à l'éditeur de sécurité qui vous donnera le statut du fichier.
Si le fichier s'avère sain alors vous pourrez alors restaurer ce dernier.

Pour toutes les interrogations autour de la quarantaine antivirus, lire :

La zone de quarantaine de NOD32 :

Les antivirus : utilisation et fonctionnement

La zone de quarantaine de l'antivirus Avast!

Les antivirus : utilisation et fonctionnement

Les parades des malwares pour contrer les antivirus

L'arsenal des antivirus s’élargit mais les malwares ne sont pas en restent.
En effet ces derniers s'adaptent pour passer inaperçu et ainsi infecter les ordinateurs.
Quelques méthodes utilisées pour cela.

Par exemple, l'auteur de malware va gonfler la taille du fichier de manière artificielle.
Au lieu d'avoir un fichier de 4k, ce dernier peut faire 100 Mo.
Le but est simplement que le client antivirus ne remonte pas le fichier au Cloud.
Ainsi aucune analyse par le cloud pour ce dernier.

Les auteurs de malwares cherchent à utiliser des fichiers signés.
Ainsi ces derniers ont plus de chance de passer inaperçu.
En effet, les analyses visent en priorité les fichiers non signés.
Pour bien comprendre, se reporter à la page : Signature numérique des fichiers sur Windows et sécurité

Liens

Enfin les liens connexes aux antivirus et malwares sur le site.

Questions et fonctionnement sur les antivirus de manière plus large :

Vous trouverez beaucoup d'articles avec des explications et conseils pour sécuriser votre PC :

Accédez aux autres articles de ce dossier :
Les antivirus : le dossier COMPLETLa protection Web antivirus : bloquer les sites malveillants
Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Antivirus : le fonctionnent (détection, protection) mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum