Menu Fermer

Virus : les emplacements systèmes de Windows à surveiller

Lorsque votre PC est infecté, un logiciel malveillant copie ses fichiers à divers emplacements de votre disque et du système.
Ensuite lorsque Windows démarre, il s’exécute à partir de ces derniers.

Quels dossiers de Windows et emplacements systèmes les virus utilisent-ils ?
Où les virus se cachent dans Windows ?

Dans cet article, vous trouverez les emplacements fréquents utilisés par les malwares toute distinction confondue : adwares, rootkits, spywares, trojan, backdoor, etc.
C’est en général dans ces emplacements et dossiers que les analyses rapides des antivirus cherchent des malwares.

Virus : les emplacements systèmes de Windows à surveiller

Introduction aux dossiers systèmes utilisés par les virus

Les antivirus proposent différentes analyses, souvent :

  • L’analyse rapides qui scannent les emplacements systèmes où les virus se cachent
  • Les analyses complètes qui scanne tous les fichiers présents dans vos disques
  • Les analyses personnalisés, vous analysez ce que vous souhaitez

L’analyse rapide vérifie certains emplacements connus pour être très utilisés par les logiciels malveillants et malwares.

En effet, je rappelle que les virus sont des programmes.
Ils fonctionnent exactement de la même manière, ainsi pour une persistance dans le système, le malware doit :

  • s’installer dans un emplacement du système que l’utilisateur ne verra pas
  • se confondre dans le système, souvent le nom du fichier utilisé par le malware reprend celui d’un processus et fichier système : svchost.exe, smss.exe, etc
  • se charger à chaque démarrage de Windows. Il faut donc une clé du registre qui permet de lancer l’exécutable du malware

Ainsi les malwares ont tendance à utiliser les mêmes “recettes”.
C’est à dire utiliser les mêmes dossiers systèmes, clé du registre pour s’exécuter, etc.

Si le sujet vous intéresse, lire :

Virus : les emplacements systèmes de Windows à surveiller

Liste des dossiers systèmes à surveiller dans Windows contre les virus

Ce tableau récapitule les dossiers systèmes très souvent utilisés par les malwares.

Dossiers systèmesDescriptions
C:\Windows
C:\Windows\system
C:\Windows\system32
Très souvent utilisé par tout type de malware
C:\Program Files
C:\Program Data
Souvent utilisé par les PUP et PUA et parfois par des Trojan
Dossiers temporairesImpossible de statuer sans analyse supplémentaire.
Par exemple : faire une analyse Virustotal complémentaire
Dossier de téléchargement
C:\Users\XXX\Downloads
On y trouve les téléchargements vérolés comme :
– soit un crack
– soit un setup de PUP / PUA
Ce ne sont pas des menaces actives
AppData et Roaming
C:\Users\XXX\AppData
C:\Users\XXX\AppData\Roaming
Beaucoup de trojan peuvent se placer dans ces emplacements
C:\Users\XXXX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartupPermet au malware de lancer au démarrage de Windows
Les dossiers systèmes à surveiller dans Windows

Les clés du registre Windows à surveiller contre les virus

Ensuite il existe les clés du registre qui permettent de charger un exécutable au démarrage de Windows.
On les nommes AutoRun.
Et là, il y en a vraiment.
Voici les principales :

Emplacements dans le registre WindowsDescription
\Software\Microsoft\Windows\CurrentVersion\RunOnce
\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Les clés RunOnce sont supprimées automatiquement pour lancer le programmes une fois.
Mais le malware peut la recréer.
\Software\Microsoft\Windows\CurrentVersion\RunCe sont les clés visibles dans la liste des programmes du gestionnaire de tâches
\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
\Software\Microsoft\Windows\CurrentVersion\RunServices
Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\ShellShell remplace le bureau de Windows.
Plutôt utiliser par des Trojan Winlocker ou ransomware
\SOFTWARE\Wow6432Node\Microsoft\Windows\ CurrentVersion\Run
\SOFTWARE\Microsoft\Active Setup\Installed Components
\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components.
\Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls \Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDllsPermet de charger une DLL.
Donc plutôt pour les keylogger pour injecter tous les processus.
Ou Trojan sophistiqués
Sous clé HKLM\System\CurrentControlSet\ServicesLe malware agit alors en tant que service Windows
Les clés du registre Windows à surveiller contre les virus

Enfin je rappelle que ces clés sont dupliquées à deux endroits :

  • HKEY_LOCAL_MACHINE (HKLM) : elle agit alors pour tous les utilisateurs Windows.
  • HKEY_CURRENT_USER (HKCU) : la clé du registre est alors active que pour l’utilisateur courant.

Ainsi cela ne facilite pas la surveillance des clés du registre de Windows contre les logiciels malveillants.

Quels programmes pour surveiller les emplacements de Virus ?

Outre l’analyse antivirus qui permet d’effectuer un contrôle des emplacements utilisés par les malwares, on peut les épauler avec des outils spécifiques.
Ces derniers aident à surveiller certains composants du systèmes.

Process Explorer

Process Explorer est un gestionnaire de tâches avancé qui vous permet d’obtenir énormément d’informations systèmes.
L’outil liste les processus et permet d’obtenir des informations (emplacement, DLL utilisées, etc).
En outre, vous pouvez soumettre les processus à VirusTotal.

Autoruns

Autoruns est outil idéal pour surveiller les programmes et processus qui se lancent au démarrage de Windows.
Il permet de lister la plupart des autoruns de Windows mais aussi les tâches planifiées ainsi que les éléments qui se chargent dans explorer.exe.

Analyser un fichier potentiellement malveillant

Vous avez un doute sur un fichier mais votre antivirus ne détecte rien ?
VirusTotal vous permet de scanner votre PC avec plusieurs antivirus.
De quoi donc dégager un avis, à savoir si le fichier est sain et légitime ou s’il s’agit d’un fichier malveillant.

Comment vérifier si ordinateur a été hacké ou piraté ?