Les proxys et malwares et virus

Les proxys sont assez utilisés par les logiciels malveillants et notamment les Adwares et PUPs.
Dans cette page, vous trouverez quelques exemples de logiciels malveillants utilisant les proxys et les explications pour supprimer ces derniers.

Les proxys et malwares et virus

Afin de bien comprendre de quoi nous parlons, il faut savoir ce qu’est un proxy.
Vous pouvez lire notre dossier consacré à ces derniers : Les proxys : définition, anonymat et utilisation par les malwares

Rapidement, un proxy est un serveur intermédiaire qui travaille au niveau des protocoles applicatifs et notamment HTTP.
En entreprise, les ordinateurs du réseau peuvent se connecter à un proxy pour bénéficier d’internet, utiliser le cache de ce dernier et des filtrages mises en place par les administrateurs.
Comme ce dernier fonctionne au niveau HTTP, il peut manipuler les pages internet.
C’est dans cet intérêt que les adwares peuvent utiliser les proxys pour injecter des publicités sur les pages visitées, effectuer des redirections et toutes sortes de choses.
Enfin, un proxy peut être utilisé pour voler des informations comme des mots de passe dans le cas où ces derniers passent en clair (site non HTTP à travers des attaques MITM), toutefois des techniques plus évoluées sont plutôt utilisées dans ce cadre.

Proxy et Adwares

Les proxys ont très vite été utilisés par les adwares afin de faire passer le trafic WEB de l’ordinateur infecté par ce dernier et pouvoir le contrôler.
Pour cela, un logiciel faisant office de proxy est utilisé sur l’ordinateur pour forcer le trafic WEB dessus.
Le proxy est configuré pour modifier les pages internet et changer les adresses des serveurs de publicités des sites visités afin de les remplacer.
Les logiciels de proxy utilisés peuvent être des logiciels écrits par les auteurs d’adwares ou des logiciels de proxy connus et modifiés.

Par exemple le programme ProxyGate est utilisé actuellement par l’adware Wajam et Social2search afin de charger des publicités.
Ci-dessous une détection d’AdwCleaner détectant PUP.Optional.ProxyGate.
La détection PUP.Optional.PrxySvrRST correspondant à un autre proxy installé par une infection se diffusant par de faux sites KMSpico (voir la page : Kmspico / KMSAuto et les trojans)

Les proxys et malwares et virus

L’un des avantages en plus d’injecter des publicités, comme le proxy permet de contrôler les pages visitées et de bloquer l’accès à certaines pages.
Ainsi, le malware peut bloquer le téléchargement de logiciels de sécurité. Ainsi, on obtient une erreur ERR_CONNECTION_CLOSED

Les proxys et malwares et virus

Vérifier la configuration proxy

Pour vérifier la présence d’un proxy, vous pouvez vous rendre dans le Panneau de configuration > Options Internet.
Onglet Connexion et en bas Paramètres réseau.
L’option Serveur Proxy est alors coché, si ce dernier est configuré, l’adresse est indiquée.
Dans le cas d’un malware, l’adresse configurée est 127.0.0.1

Une autre vérification est possible depuis une invite de commande, vous pouvez utiliser la commande suivante pour afficher la configuration proxy de Windows :

netsh winhttp show proxy

Les proxys et malwares et virus

Supprimer les adwares avec proxy

La page suivante explique comment supprimer et désactiver les réglages de proxy sur les navigateurs internet : Désactiver Proxy sur les navigateurs WEB
Toutefois,  pour s’assurer que le proxy est bien actif, les malwares forcent les paramètres au redémarrage, donc parfois, il peut-être assez difficile pour un utilisateur de se débarrasser de ces menaces informatiques et réglages de proxy.

Les applications de désinfection et suppression de virus gratuits suivantes visent ce type d’infection (adwares et PUPs) :

Une désinfection AdwCleaner + MBAM est largement suffisant dans la majorité des cas
Nous vous conseillons de suivre cette page de désinfection : Supprimer les popups de publicités / Adware

AdwCleaner est censé détecté le malware qui utilise un proxy et réinitialiser les réglages de proxy de Windows.
Toutefois depuis les paramètres vous pouvez forcer la réinitialisation des proxys.

Enfin bien entendu, si vous avez besoin d’aide ou une désinfection personnalisée, rendez-vous sur le forum du site : forum entraide du site.

(Visité 264 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet