Lorsque votre PC est infecté, un logiciel malveillant copie ses fichiers à divers emplacements de votre disque et du système.
Ensuite lorsque Windows démarre, il s’exécute à partir de ces derniers.
Quels dossiers de Windows et emplacements systèmes les virus utilisent-ils ?
Où les virus se cachent dans Windows ?
Dans cet article, vous trouverez les emplacements fréquents utilisés par les malwares toute distinction confondue : adwares, rootkits, spywares, trojan, backdoor, etc.
C’est en général dans ces emplacements et dossiers que les analyses rapides des antivirus cherchent des malwares.
Table des matières
Introduction aux dossiers systèmes utilisés par les virus
Les antivirus proposent différentes analyses, souvent :
- L’analyse rapides qui scannent les emplacements systèmes où les virus se cachent
- Les analyses complètes qui scanne tous les fichiers présents dans vos disques
- Les analyses personnalisés, vous analysez ce que vous souhaitez
L’analyse rapide vérifie certains emplacements connus pour être très utilisés par les logiciels malveillants et malwares.
En effet, je rappelle que les virus sont des programmes.
Ils fonctionnent exactement de la même manière, ainsi pour une persistance dans le système, le malware doit :
- s’installer dans un emplacement du système que l’utilisateur ne verra pas
- se confondre dans le système, souvent le nom du fichier utilisé par le malware reprend celui d’un processus et fichier système : svchost.exe, smss.exe, etc
- se charger à chaque démarrage de Windows. Il faut donc une clé du registre qui permet de lancer l’exécutable du malware
Ainsi les malwares ont tendance à utiliser les mêmes « recettes ».
C’est à dire utiliser les mêmes dossiers systèmes, clé du registre pour s’exécuter, etc.
Si le sujet vous intéresse, lire :
Virus : les emplacements systèmes de Windows à surveiller
Liste des dossiers systèmes à surveiller dans Windows contre les virus
Ce tableau récapitule les dossiers systèmes très souvent utilisés par les malwares.
| Dossiers systèmes | Descriptions |
| C:\Windows C:\Windows\system C:\Windows\system32 | Très souvent utilisé par tout type de malware |
| C:\Program Files C:\Program Data | Souvent utilisé par les PUP et PUA et parfois par des Trojan |
| Dossiers temporaires | Impossible de statuer sans analyse supplémentaire. Par exemple : faire une analyse Virustotal complémentaire |
| Dossier de téléchargement C:\Users\XXX\Downloads | On y trouve les téléchargements vérolés comme : – soit un crack – soit un setup de PUP / PUA Ce ne sont pas des menaces actives |
| AppData et Roaming C:\Users\XXX\AppData C:\Users\XXX\AppData\Roaming | Beaucoup de trojan peuvent se placer dans ces emplacements |
| C:\Users\XXXX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup | Permet au malware de lancer au démarrage de Windows |
Les clés du registre Windows à surveiller contre les virus
Ensuite il existe les clés du registre qui permettent de charger un exécutable au démarrage de Windows.
On les nommes AutoRun.
Et là, il y en a vraiment.
Voici les principales :
| Emplacements dans le registre Windows | Description |
| \Software\Microsoft\Windows\CurrentVersion\RunOnce \Software\Microsoft\Windows\CurrentVersion\RunOnceEx | Les clés RunOnce sont supprimées automatiquement pour lancer le programmes une fois. Mais le malware peut la recréer. |
| \Software\Microsoft\Windows\CurrentVersion\Run | Ce sont les clés visibles dans la liste des programmes du gestionnaire de tâches |
| \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce \Software\Microsoft\Windows\CurrentVersion\RunServices | |
| Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell | Shell remplace le bureau de Windows. Plutôt utiliser par des Trojan Winlocker ou ransomware |
| \SOFTWARE\Wow6432Node\Microsoft\Windows\ CurrentVersion\Run \SOFTWARE\Microsoft\Active Setup\Installed Components \SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components. | |
| \Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls \Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDlls | Permet de charger une DLL. Donc plutôt pour les keylogger pour injecter tous les processus. Ou Trojan sophistiqués |
| Sous clé HKLM\System\CurrentControlSet\Services | Le malware agit alors en tant que service Windows |
Enfin je rappelle que ces clés sont dupliquées à deux endroits :
- HKEY_LOCAL_MACHINE (HKLM) : elle agit alors pour tous les utilisateurs Windows.
- HKEY_CURRENT_USER (HKCU) : la clé du registre est alors active que pour l’utilisateur courant.
Ainsi cela ne facilite pas la surveillance des clés du registre de Windows contre les logiciels malveillants.
Quels programmes pour surveiller les emplacements de Virus ?
Outre l’analyse antivirus qui permet d’effectuer un contrôle des emplacements utilisés par les malwares, on peut les épauler avec des outils spécifiques.
Ces derniers aident à surveiller certains composants du systèmes.
Process Explorer
Process Explorer est un gestionnaire de tâches avancé qui vous permet d’obtenir énormément d’informations systèmes.
L’outil liste les processus et permet d’obtenir des informations (emplacement, DLL utilisées, etc).
En outre, vous pouvez soumettre les processus à VirusTotal.
Autoruns
Autoruns est outil idéal pour surveiller les programmes et processus qui se lancent au démarrage de Windows.
Il permet de lister la plupart des autoruns de Windows mais aussi les tâches planifiées ainsi que les éléments qui se chargent dans explorer.exe.
Analyser un fichier potentiellement malveillant
Vous avez un doute sur un fichier mais votre antivirus ne détecte rien ?
VirusTotal vous permet de scanner votre PC avec plusieurs antivirus.
De quoi donc dégager un avis, à savoir si le fichier est sain et légitime ou s’il s’agit d’un fichier malveillant.