Menu Fermer

Le mode sans échec et les malwares et virus

Dans cet article, nous allons aborder le mode sans échec et les malwares.
En effet, vous pouvez vous poser quelques questions.
Par exemple :

  • Un virus peut-il fonctionner en mode sans échec ?
  • Peut-on supprimer à coup sûr un virus en MSE ?

Cet article répond à toutes ces interrogations.

Le mode sans échec et les malwares

Qu’est-ce que le mode sans échec ?

Le mode sans échec de Windows est un mode de démarrage.
Contrairement au mode normal, certains composants et application ne se chargent pas.
En clair c’est un mode de démarrage restreint.
Le but est d’obtenir un Windows minimal afin de pouvoir démarrer lorsque ce dernier plante.
On peut alors tenter de corriger et réparer Windows.
Enfin il aide à effectuer certaines actions qui ne fonctionnent en mode normal.

On peut alors se demander qu’en est-il des malwares ?
Peuvent-il fonctionner en mode sans échec ?
Se chargent-ils du fait que Windows est en mode minimal ?

Un malware peut-il fonctionner en mode sans échec ?

Oui un malware peut fonctionner en mode sans échec.
Mais va-t-il se charger en mode sans échec puisque la plupart des composants ne se chargent pas.

Et bien cela dépend du point de chargement utilisé par le malware.
En effet Windows possède beaucoup de points de chargement.
C’est à dire des entrées qui permettent à un exécutable de se lancer au démarrage de Windows.
Les malwares en sont friands et en utilisent souvent des peux connus afin de se rendre discret.
Plus d’informations : Les points de chargement ou autoruns de Windows

Ainsi si un malware simple qui utilise une clé Run pour se charger ne fonctionnera pasen mode sans échec
De même pour un service à moins qu’ils soient configurés pour se charger en mode sans échec : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

Mais certains points de chargement fonctionnent en mode sans échec, c’est le cas par exemple de shell:startup ou la clé Shell.

Par exemple par le passé les Trojan Winlock s’y chargeait.
Ces derniers cherchaient à bloquer l’accès de Windows en affichant un faux messages d’amende.
Afin de complètement bloquer Windows, il se rendait actif aussi dans ce mode restreint.
Pour ce faire, il remplaçait la clé Shell.

Pour conclure, il est tout à fait possible qu’un malware puisse s’exécuter en mode sans échec.

Le mode sans échec et les malwares

Les désavantages pour le malware

Ainsi si le malware n’est pas conçu pour y fonctionner, il offre un avantage pour la désinfection.
En effet, vous pourrez plus facilement le supprimer soit manuellement soit en utilisant un logiciel de désinfection.

C’est pour cela, que l’on peut parfois recommander de démarrer en mode sans échec pour désinfecter son PC.

Les avantages pour le malware

A l’inverse, le MSE peut aussi offrir des avantages aux malwares.
En effet, votre antivirus ne sera pas actif.

Enfin dernièrement le ransomware Snatch s’amuse à forcer le démarrage en MSE.
Après exécution, il créé un service actif dans ce mode.
Puis il va forcer le démarrage dessus.
Enfin il chiffre les fichiers de la victime et supprime toutes les protection.

Le ransomware Snatch tire avantage de ce mode car l’antivirus et ses protections ne sont pas actives.
Il est alors très facile de supprimer les fichiers de l’antivirus.
source BleepingComputer

Enfin ce malware s’attaque aux serveurs via des vulnérabilités ou mauvaises configurations VNC ou RDP.
Pour ce dernier, lire l’article : Piratage de serveur Windows par Terminal Server

Comment supprimer les virus en mode sans échec

Les antivirus peuvent s’exécuter en mode sans échec, afin d’opérer une analyse et suppression de malware.
Il peut être nécessaire de démarrer en mode sans échec avec prise en charge du réseau afin qu’internet soit actif.
Cela vous permet de mettre à jour les définitions de virus.

Par exemple, ci-dessous, une analyse Malwarebytes Anti-Malware en mode sans échec.

Faire un scan MBAM en mode sans échec