Menu Fermer

Antivirus : le fonctionnent (détection, protection)

Cette entrée fait partie d'une série de 2 sur 12 dans la série Les antivirus : le dossier complet

Les protections des antivirus

Les antivirus possèdent plusieurs protections qui agissent comme des boucliers afin de prévenir d’intrusion de malware sur le système.

La protection en temps réel

La protection en temps réel analyse tous les fichiers qui entrent dans votre ordinateur ou sont susceptibles d’être ouverts ou exécutés par l’utilisateur.
Pour cela, l’antivirus utilise les routines de Windows, comme l’ouverture de fichiers, l’exécution de fichier afin d’analyse le fichier en amont.
Si aucun code malveillant n’est détecté, l’antivirus laisse le fichier s’ouvrir ou s’exécuter.
Par contre, si un malware est présent, l’antivirus va bloquer l’accès aux données.
Le but de cette protection est donc de prévenir toute exécution de malware avant qu’il ne puisse se rendre actif dans le système.

La protection WEB

Elle bloque l’accès aux sites ou pages malveillantes et fonctionne comme la protection en temps réel.
En effet celle-ci analyse les les sites visitées :

Plus d’informations sur la page :

Enfin un exemple de protection WEB dans la vidéo suivante :

La protection mail

Ce module de protection vise à détecter les emails dangereux, qui la plupart du temps embarquent des pièces jointes malveillantes.
Les virus par email restent toujours actifs et ont repris du poil de la bête depuis fin 2015 avec des campagnes de ransomwares.
Certaines protections mails peuvent aussi incorporer un antispam (souvent dans les suites de sécurité).

Les virus par email

Cela permet donc de protéger l’ordinateur en amont de la réception des mails puisque l’antivirus intercepte les mails malveillant.
Lorsque des emails passent, la protection en temps réel peut bloquer le virus durant la tentative d’ouverture de la pièce jointe vérolée.

Analyse et désinfection antivirus

L’analyse ou le scan

L’analyse antivirus ou scan antivirus consiste à analyser l’ordinateur afin de déceler la présence d’un malware.
Dans le cas de détection positive et nettoyer ce dernier.
L’antivirus va :

  • Analyse rapide ou Analyse intelligent : L’antivirus analyse des emplacements du système connus pour être utilisés par les logiciels malveillants
  • Analyse des éléments du démarrage : Seuls les programmes qui s’exécute au démarrage sont analysés (soit donc les autoruns). le but est de trouver un malware dans un des points de chargement du système
  • Analyse complète : tous les fichiers de tous les lecteurs de disques sont analysés. On parle aussi d’analyse minutieuse
  • Analyser les processus en cours d’exécution et leurs dépendances

Exemple des différents type d’analyse antivirus d’Avast! :

Les antivirus : utilisation et fonctionnement

On retrouve le même type de scan sur l’antivirus Windows Defender :

Les options d'analyses de Windows Defender

Le scan antivirus s’avère utile à la suite d’une alerte de la protection en temps réel ou en cas de doute afin de contrôler ce dernier.
Pensez aussi qu’un malware peut s’introduire dans l’ordinateur, car pas détecté par l’antivirus au moment de l’attaque.
Nous conseillons d’effectuer une mise à jour de la définition virale avant d’effectuer une analyse complète de l’ordinateur.

Voici un exemple de détection à la suite d’une analyse par Malwarebytes Anti-Malware :

Les antivirus : utilisation et fonctionnement

Supprimer des virus – désinfection antivirus

Les antivirus dans leurs arsenal possèdent des fonctions pour supprimer les malwares.
Ainsi lorsqu’il détecte un malware, plusieurs actions s’offrent à vous :

  • Supprimer le fichier : Cette option est de moins en moins présente pour ne pas poser des problèmes en cas de faux positif.
  • Accès refusé : cette option n’est pas présente sur tous les antivirus, Antivir propose notamment celle-ci. Le fichier malicieux reste à son emplacement d’origine mais l’antivirus empêche son accès.
  • Mise en quarantaine : l’antivirus déplace le fichier dans une zone contrôle par l’antivirus. Ce dernier ne peut plus interagir avec le système et causer des dégâts. Le gros avantage de cette solution est qu’il permet de restaurer le fichier en cas faux positif.
  • Désinfection : Cela vise les “vrai” virus et l’antivirus tente de supprimer le code malveillant de l’exécutable. Si cela fonctionne l’exécutable devient à nouveau sûr. Parfois cela cause des dommages et une corruption de l’exécutable.

Enfin pensez que parfois il est trop tard.
Par exemple un trojan qui vole les mots de passe aura le temps de les transmettre.
Un ransomware qui chiffre les données aura le temps de faire des dégâts.

Certaines menaces sont parfois complexes et l’antivirus ne peut l’éradiquer de l’ordinateur.
Dans ces cas là, les éditeurs d’antivirus proposent des outils de désinfection spécifiques.
Vous pouvez les télécharger depuis les sites de l’éditeur.
Ensuite suivez les instructions afin d’éradiquer ce dernier de l’ordinateur.

Enfin certains éditeurs proposent aussi des outils de désinfection.
Le but est souvent de montrer qu’ils sont efficaces afin de faire acheter l’antivirus.
Par exemple Kaspersky propose l’outil Kaspersky Virus Removal Tool.
La page suivante en parle : Désinfecter Windows avec Kaspersky

Enfin sur le site existe des articles pour supprimer les virus :

La quarantaine antivirus

Tous les antivirus offrent un menu Quarantaine qui permet en autre de restaurer un fichier malicieux.
Parfois d’autres options existent comme la possibilité de soumettre le fichier à l’analyse du laboratoire de l’éditeur de l’antivirus.
Dans le cas d’un fichier positif alors vous pouvez placer ce dernier en quarantaine.
Ainsi si vous avez un doute sur la véracité de la menace, vous pouvez envoyer l’échantillon à l’éditeur de sécurité qui vous donnera le statut du fichier.
Si le fichier s’avère sain alors vous pourrez alors restaurer ce dernier.

Pour toutes les interrogations autour de la quarantaine antivirus, lire :

La zone de quarantaine de NOD32 :

Les antivirus : utilisation et fonctionnement

La zone de quarantaine de l’antivirus Avast!

Les antivirus : utilisation et fonctionnement

Les parades des malwares pour contrer les antivirus

L’arsenal des antivirus s’élargit mais les malwares ne sont pas en restent.
En effet ces derniers s’adaptent pour passer inaperçu et ainsi infecter les ordinateurs.
Quelques méthodes utilisées pour cela.

Par exemple, l’auteur de malware va gonfler la taille du fichier de manière artificielle.
Au lieu d’avoir un fichier de 4k, ce dernier peut faire 100 Mo.
Le but est simplement que le client antivirus ne remonte pas le fichier au Cloud.
Ainsi aucune analyse par le cloud pour ce dernier.

Les auteurs de malwares cherchent à utiliser des fichiers signés.
Ainsi ces derniers ont plus de chance de passer inaperçu.
En effet, les analyses visent en priorité les fichiers non signés.
Pour bien comprendre, se reporter à la page : Signature numérique des fichiers sur Windows et sécurité

Naviguer dans la série<< Les antivirus : le dossier COMPLETLa protection Web antivirus : bloquer les sites malveillants >>