Comment vérifier si ordinateur a été hacké ou piraté ?

Comment vérifier si son ordinateur a été hacké ou piraté ?
Comment savoir si un Trojan, logiciel espion ou virus est présent dans Windows ?
Est-ce que Windows est infecté par un virus, logiciels malveillants ou trojan ?

Ce dossier donne quelques explications sur les éléments à vérifier et bonnes attitudes à avoir face à ces menaces informatiques.
Il s’agit d’un guide complet avec toutes les astuces pour détecter et trouver un spyware sur son PC.

Définitions : Hack, piratage et virus

Avant de commencer, il faut bien comprendre de quoi on parle.
Hacker ou pirater signifie généralement dans la tête des internautes : des virus.

Il faut bien comprendre deux choses, il est tout à fait possible que Windows soit infecté par des logiciels malveillant et le faire entrer dans un botnet (réseau d’ordinateurs infectés).
Le botmaster cherche alors à monétiser ce dernier :

• par le vol de données (mot de passe/accès, adresse email, vol de données bancaires),
• en louant son réseau pour effectuer des attaques DoS ou encore en chargeant des ransomwares ou adwares.

Ici donc le but est de garder un accès frauduleux permanent sur l’ordinateur afin de contrôler ce dernier.

Mais un piratage peut être un accès temporaire, quelques minutes ou autres afin de parvenir au but final (voler tel ou tel information).
Ainsi, un trojan peut se lancer, voler des informations et les transmettre à un serveur et se fermer.
Par exemple, il peut tenter de voler des comptes en ligne (Compte Google, Compte Microsoft), les mots de passe étant enregistrés dans le navigateur WEB.
Le trojan ne tente pas de rester en permanence et au démarrage de Windows.
Ainsi, si aucune alerte antivirus n’est émise, l’attaque est invisible.

Sachez d’autre part, que l’utilisation d’un virus n’est pas forcément obligatoire.
Une personne peut faire installer un logiciel de prise en main à distance légitime mais utilisé à des fins d’espionnage pour “pirater” l’ordinateur.

Parmi les logiciel malveillant les plus utilisés pour le piratage, vous pouvez lire les dossiers : les keylogger et Trojan RAT.

Détection de virus : comment ça fonctionne

Une des mauvaises habitudes, lorsqu’un internaute pense que son ordinateur est infecté et de scanner ce dernier avec toute sorte d’utilitaire : ZHPDiag, ZHPCleaner, RogueKiller, AdwCleaner etc.

Ces outils de désinfection vont très certainement “détectés” des éléments… vous allez alors penser que votre ordinateur est infecté.
En réalité, ce n’est pas forcément le cas car on peut distinguer deux cas :

• des infections actives, c’est à dire le programme malveillant est actif dans le système pour effectuer les actions malveillantes pour lequel il a été conçu.
• Les détections d’élément orphelin comme un fichier isolé dans un dossier de téléchargement, une clé du registre Windows inutilisée, etc.

Dans les deux cas, ces outils vont donner des détections positifs.Or le premier clair, clairement le PC est infecté alors dans le deuxième cas, il ne l’est pas.

Parfois même, la détection positif vide un dossier vide.
Ces outils de désinfection confortent l’internaute dans l’idée que son ordinateur est infecté alors qu’il ne l’est pas.
A partir de là, l’utilisateur multiplie le nettoyage avec d’autres outils, qui au final, peuvent endommager Windows.

Pour mieux comprendre, vous pouvez lire le dossier : 

Pour toute aide pour interpréter un rapport, rendez-vous sur le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack).

Les méthodes pour vérifier si votre PC est hacké

Deux approches possibles.

• Effectuer des analyses antivirus.
• Surveiller Windows pour détecter des comportements et éléments anormaux. Mais cela demande quelques connaissances.

Analyses antivirus

Cette approche ne sera pas trop détaillé, il s’agit d’une indication générique que l’on retrouve sur la plupart des tutos de vérification de virus.

Des scans antivirus.

• Scanner votre ordinateur avec un antivirus en ligne avec NOD32 ou BitDefender en plus de votre antivirus installé peut donner une indication.
• Un scan Malwarebytes Anti-Malware (MBAM)

L’autre approche est de surveiller Windows, bien sûr, cela nécessite des connaissances.
Il existe toutefois des programmes assez pratique qui permettent d’effectuer quelques analyses et produire des rapports.

La limite de cette méthode est la capacité à l’antivirus de détecter la menace, si trop sophistiquée, il peut passer à côté.
L’autre limite est votre connaissance et comment vous allez interpréter le rapport de scan antivirus.
Là aussi des éléments isolés peuvent être détectés… cela ne veut pas forcément signifier que Windows est infecté.

Pour toute aide pour interpréter un rapport, rendez-vous sur le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack).

Surveiller Windows

La surveillance de Windows consiste à vérifier les processus Windows en cours d’exécution pour faire le tri entre des programmes légitimes et malicieux.
La vérification des points de chargement de Windows permet aussi de s’assurer qu’aucun virus tentent de se charger au démarrage de Windows.

Vous serez limité par vos connaissances systèmes. Vous pouvez lire en parallèle les conseils de la page : 

Comment savoir si j’ai été hacké

Process Explorer : les virus en processus

Process Explorer est un gestionnaire de tâches avancé qui permet de surveiller les processus en cours d’exécution.
Cet utilitaire offre surtout la possibilité de faire analyser ses processus en cours d’exécution sur VirusTotal.com (un site qui permet de faire analyser un fichier à une trentaine d’antivirus).

• Téléchargez Process Explorer sur votre Bureau. Pour vous assister, suivre le tutoriel Process Explorer.
• Sur l’icône de Process Explorer, faites un clic droit puis “Propriétés.”
• Cliquez ensuite sur le bouton “Avancé” en bas à droite puis cochez l’option qui lance le programme en tant qu’Administrateur. Cette action est obligatoire afin de pouvoir lister et accéder à l’ensemble des processus.
• Sur Process Explorer, cliquez sur le menu “Option”, “VirusTotal.com” et “Check VirusTotal.com”

• Les conditions d’utilisation du service VirusTotal vont s’ouvrir.
• Cliquez sur “Yes” sur Process Explorer pour les accepter.

• Ci-dessous, un exemple d’une capture d’écran de Process Explorer.
• La détection est de 0 sur tous les processus, la machine n’est pas infectée
• En cliquant sur le score de détection, vous avez l’analyse sur votre navigateur.

Ci-dessous, un exemple d’une infection d’adwares (Abengine / Shopperz)
Rapidement, on voit les processus malicieux affichés.
Les détections sont nombreuses, Windows est donc infecté 🙁

“WinScp” est à 2 de détection alors qu’il n’est pas malicieux.
Un probable faux-positif, c’est comme ça, tout n’est pas simple.

La limitation de cette vérification sont les infections de type fichier DLL qui s’injecte dans un processus système.
Le Trojan Bedep fonctionne de cette manière.
Le fichier DLL ne sera pas analysée puisque ce n’est pas un processus apparant.

Autorun : trouver les spywares au démarrage de Windows

Autorun qui est un logiciel qui permet de vérifier les points de chargement de Windows, c’est à dire les emplacements systèmes qui permettent à un logiciel de se lancer au démarrage de Windows.
Les logiciels malveillants se servent de ces points de chargement pour rester résident et se charger au démarrage de Windows pour se rendre actif.

Autoruns énumèrent tous les points de chargements et programmes de Windows.
Le but est d’y déceler des programmes malicieux. Autorun permet aussi de soumettre les éléments sur VirusTotal.

Pour aider, il existe un tuto sur le site, ce dernier explique comment activer l’analyse VirusTotal : Tutoriel Autoruns

Ci-dessous, un exemple d’élément malicieux détecté dans Autoruns, les scans VirusTotal sont en rouges.

FRST : vérifier son PC face aux logiciels malveillants

FRST est un programme qui analyse l’ordinateur, énumère tous les points de chargement et les processus en cours d’exécution.
C’est donc un programme idéal pour vérifier son ordinateur.

Pjjoint est un service gratuit d’analyse de rapport HijackThis et FRST.
Ce dernier peut vous indiquer si des éléments malicieux sont présents sur votre Windows.

• Lancez un scan FRST par exemple afin d’obtenir le rapport FRST.txt
• Une fois le rapport FRST.txt obtenu
• Rendez-vous sur http://pjjoint.malekal.com
• Cliquez sur le bouton Parcourir et sélectionnez le fichier FRST.txt
• puis cliquez sur Envoyer

Lancez l’analyse du rapport, cela peut prendre quelques minutes.

Voici un exemple de rapport propre, aucune ligne rouge.

Windows infecté par Abengine / Shopperz, on retrouve des lignes rouges un peu partout.

En vidéo :

Vérifier les connexions réseaux

Les trojan communiquent avec des serveurs et émettent des connexions sortantes.
Glasswire est une application très pratique pour traquer les connexions.
Vous pouvez aussi lire ce tuto : Lister les connexions réseau sur Windows

Le site propose un tutoriel : Tutoriel Glasswire

Le moniteur de ressources système de Windows permet aussi de visualiser les connexions par processus Windows.
Là aussi quelques limites, si le Trojan est sophistiqué et utilise un processus système, vous risquez d’avoir des difficultés pour faire le tri entre les connexions légitimes et malveillantes.
De plus, vous n’aurez pas le détail sur les connexion d’application (notamment les connexions HTTP), vous ne verrez que les adresses IPs sortantes et les ports.

Plus d’informations de côté là : La notion de port ouvert et la sécurité

Vérifier si Windows a été piraté en vidéo

Voici une illustration de ce tuto en vidéo, avec un trojan actif :

Naviguer dans la série

<< Supprimer les virus avec KasperskyLes outils de désinfection et de suppression de virus >>