Menu Fermer

Les proxys et malwares et virus

Les serveurs proxy sont des intermédiaires qui permettent de partager la connexion internet, mettre en cache les pages WEB.
Dans les entreprises, on les utilise pour gagner en bande passante.

Mais Les proxys sont aussi utilisés par les logiciels malveillants et notamment les Adwares et PUPs.
En effet, ils peuvent manipuler les pages WEB et donc injecter des publicités.

Dans cette page, vous trouverez quelques exemples de logiciels malveillants utilisant les proxys et les explications pour supprimer ces derniers.

Les proxys et malwares et virus

Les proxys et malwares et virus

Afin de bien comprendre de quoi nous parlons, il faut savoir ce qu’est un proxy.
Vous pouvez lire notre dossier consacré à ces derniers : 

Rapidement, un proxy est un serveur intermédiaire qui travaille au niveau des protocoles applicatifs et notamment HTTP.
En entreprise, les ordinateurs du réseau peuvent se connecter à un proxy pour bénéficier d’internet, utiliser le cache de ce dernier et des filtrages mises en place par les administrateurs.
Comme ce dernier fonctionne au niveau HTTP, il peut manipuler les pages internet.
C’est dans cet intérêt que les adwares peuvent utiliser les proxys pour injecter des publicités sur les pages visitées, effectuer des redirections et toutes sortes de choses.
Enfin, un proxy peut être utilisé pour voler des informations comme des mots de passe dans le cas où ces derniers passent en clair.
Cela est possible sur un identification sur Site non sécurisé (HTTP) à travers des attaques MITM).

Proxy et Adwares

Les proxys ont très vite été utilisés par les adwares afin de faire passer le trafic WEB de l’ordinateur infecté par ce dernier et pouvoir le contrôler.
Pour cela, un logiciel faisant office de proxy est utilisé sur l’ordinateur pour forcer le trafic WEB dessus.
Le proxy est configuré pour modifier les pages internet et changer les adresses des serveurs de publicités des sites visités afin de les remplacer.
Les logiciels de proxy utilisés peuvent être des logiciels écrits par les auteurs d’adwares ou des logiciels de proxy connus et modifiés.

Par exemple le programme ProxyGate est utilisé actuellement par l’adware Wajam et Social2search afin de charger des publicités.
Ci-dessous une détection PUP.Optional.ProxyGate par AdwCleaner.
La détection PUP.Optional.PrxySvrRST correspond à un autre proxy installé par une infection se diffusant par de faux sites KMSpico.
Plus de détails sur la page : Kmspico / KMSAuto et les trojans

PUP.Optional.ProxyGate détecté par Malwarebytes (MBAM)

L’un des avantages en plus d’injecter des publicités, comme le proxy permet de contrôler les pages visitées et de bloquer l’accès à certaines pages.
Ainsi, le malware peut bloquer le téléchargement de logiciels de sécurité. Ainsi, on obtient une erreur ERR_CONNECTION_CLOSED.

ERR_CONNECTION_CLOSED sur Google Chrome à cause d'un proxy installé par un malware

Comment connaitre la configuration proxy dans Windows

Il est assez simple de vérifier si un proxy est configuré sur votre PC à votre insu.
Pour vérifier la présence d’un proxy deux méthodes.

La première en graphique :

  • Vous pouvez vous rendre dans le Panneau de configuration > Options Internet.
  • Onglet Connexion et en bas Paramètres réseau.
  • L’option Serveur Proxy est alors coché, si ce dernier est configuré, l’adresse est indiquée.
  • Dans le cas d’un malware, l’adresse configurée est 127.0.0.1

La seconde par l’invite de commandes :

netsh winhttp show proxy
  • Si cela indique accès direct, alors aucun proxy n’est configuré. Sinon un proxy est installé.

Supprimer les proxys installés par adwares

La page suivante explique comment supprimer et désactiver les réglages de proxy sur les navigateurs internet : 

Toutefois,  pour s’assurer que le proxy est bien actif, les malwares forcent les paramètres au redémarrage, donc parfois, il peut-être assez difficile pour un utilisateur de se débarrasser de ces menaces informatiques et réglages de proxy.

Les applications de désinfection et suppression de virus gratuits suivantes visent ce type d’infection (adwares et PUPs) :

Une désinfection AdwCleaner + MBAM est largement suffisant dans la majorité des cas
Nous vous conseillons de suivre cette page de désinfection : 

AdwCleaner est censé détecté le malware qui utilise un proxy et réinitialiser les réglages de proxy de Windows.
Toutefois depuis les paramètres vous pouvez forcer la réinitialisation des proxys.

Enfin bien entendu, si vous avez besoin d’aide ou une désinfection personnalisée, rendez-vous sur le forum du site : forum entraide du site.