Types d'objets détectés

Quelle que soit la configuration des paramètres de Kaspersky Endpoint Security, l'application détecte et bloque toujours les virus, les vers et les chevaux de Troie. Ces programmes peuvent provoquer des dégâts considérables à votre ordinateur.

• Virus et vers

  Sous-catégorie : virus et vers (Viruses_and_Worms)

  Niveau de menace : élevé

  Les virus et les vers classiques exécutent sur l'ordinateur des actions qui n'ont pas été autorisées par l'utilisateur. Ils peuvent créer leurs propres copies qui possèdent la capacité d'auto-reproduction.

  Virus classique

  Une fois que le virus classique s'est introduit dans un système, il infecte un fichier quelconque, s'y active, exécute son action malveillante, puis ajoute sa copie à d'autres fichiers.

  Le virus classique se multiplie uniquement sur les ressources locales de l'ordinateur et il est incapable de s'introduire lui-même dans un autre ordinateur. Il peut pénétrer dans d'autres systèmes uniquement s'il ajoute sa copie dans un fichier enregistré dans un dossier partagé, sur un cédérom d'installation ou si l'utilisateur envoie un email avec le fichier infecté en pièce jointe.

  Le code du virus classique peut s'introduire dans divers secteurs de l'ordinateur, du système d'exploitation ou de l'application. En fonction de l'environnement dans lequel ils évoluent, on parle de virus de fichiers, virus de démarrage, virus de script et virus de macro.

  Les virus peuvent infecter des fichiers de diverses manières. Les virus écraseurs (overwriting) remplacent le code du fichier infecté par leur propre code et suppriment ainsi le contenu du fichier. Le fichier infecté cesse de fonctionner et il ne peut être restauré. Les virus parasites (Parasitic) modifient les fichiers, mais ceux-ci demeurent totalement ou partiellement fonctionnels. Les virus compagnons (Companion) ne modifient pas les fichiers mais créent des copies. Lorsque le fichier infecté est exécuté, son double est lancé, à savoir le virus. Il existe également des virus-liens (Link), des virus qui infectent les modules objets (OBJ), des virus qui infectent les bibliothèques de compilateur (LIB), les virus qui infectent les textes source des programmes et d'autres.

  Ver

  Le code du ver, à l'instar de celui du virus classique, s'active et exécute son action malveillante dès qu'il s'est introduit dans le système. Le ver doit son nom à sa capacité à "ramper" d'ordinateur en ordinateur, sans que l'utilisateur n'autorise cette diffusion des copies via divers canaux d'informations.

  La principale caractéristique qui distingue les vers entre eux est leur mode de diffusion. Le tableau suivant reprend une description des différents types de vers en fonction du mode de diffusion.

  Mode de diffusion des vers

   

   

  Type	Nom	Description
  Email-Worm	Email-Worm	Ils se diffusent via email. L'email infecté contient un fichier joint avec la copie du ver ou un lien vers ce fichier sur un site compromis ou créé spécialement à cette fin. Lorsque vous ouvrez le fichier joint, le ver est activé. Lorsque vous cliquez sur le lien, téléchargez le fichier, puis ouvrez celui-ci, le ver commence également à exécuter ses actions malveillantes. Ensuite, il continue à diffuser ses copies après avoir trouvé d'autres adresses email auxquelles il envoie des messages infectés.
  IM-Worm	Vers de client IM	Ils se propagent via les clients IM. En règle générale, ce ver envoie aux contacts un message contenant un lien vers la copie du ver sur un site. Quand l'utilisateur télécharge le fichier et l'ouvre, le ver s'active.
  IRC-Worm	Vers de chats	Ils se diffusent via les canaux IRC (Internet Relay Chats), ces systèmes qui permettent de discuter en temps réel avec d'autres personnes. Ce ver publie un fichier avec sa copie ou un lien vers celle-ci dans le chat. Quand l'utilisateur télécharge le fichier et l'ouvre, le ver s'active.
  Net-Worm	Vers de réseau (vers de réseaux informatiques)	Ils se diffusent via les réseaux informatiques. À la différence des autres types de vers, le ver de réseau se propage sans l'intervention de l'utilisateur. Il recherche une application vulnérable sur les ordinateurs du réseau local. Pour ce faire, il envoie un paquet réseau spécial (un exploit) qui contient le code du ver ou une partie de celui-ci. Si le réseau abrite un ordinateur "vulnérable", celui-ci acceptera le paquet. Une fois qu'il s'est complètement introduit dans cet ordinateur, le ver s'active.
  P2P-Worm	Vers de réseau d'échange de fichiers	Ils se propagent via les réseaux d'échange de fichiers pair à pair. Afin d'infiltrer le réseau d'échange de fichiers, le ver se copie dans le dossier d'échange de fichiers qui se trouve normalement sur l'ordinateur de l'utilisateur. Le réseau d'échange de fichiers affiche les informations relatives à ce fichier et l'utilisateur peut "trouver" le fichier infecté comme n'importe quel autre fichier, le télécharger puis l'ouvrir. Les vers plus sophistiqués imitent le protocole d'un réseau d'échange de fichiers en particulier : ils répondent positivement aux recherches et proposent leur copie pour le téléchargement.
  Ver	Autres vers	Parmi ces autres vers, citons : Les vers qui diffusent leur copie via les ressources réseau. А̀ l'aide des fonctions du système d'exploitation, ils consultent les répertoires réseau accessibles, se connectent aux ordinateurs du réseau mondial et tentent d'ouvrir leur disque en libre accès. À la différence des types de vers décrits ci-dessus, ces autres vers ne peuvent pas s'activer de manière autonome, mais uniquement lorsque l'utilisateur ouvre le fichier contenant la copie du ver. Les vers qui n'adoptent aucun des modes de diffusion décrits dans ce tableau (par exemple, ceux qui se propagent via les téléphones portables).

   

• Chevaux de Troie (y compris les ransomwares)

  Sous-catégories : chevaux de Troie (Trojan_programs)

  Niveau de menace : élevé

  À la différence des vers et des virus, les chevaux de Troie ne créent pas leur propre copie. Ils s'infiltrent sur les ordinateurs via email ou via le navigateur lorsque l'internaute visite un site infecté. Les chevaux de Troie sont exécutés sur intervention de l'utilisateur. Ils entament leur action malveillante directement après l'exécution.

  Le comportement des chevaux de Troie sur l'ordinateur infecté varie. Parmi les fonctions principales des chevaux de Troie, citons le blocage, la modification ou la suppression d'informations ainsi que la perturbation du fonctionnement des ordinateurs ou des réseaux. De plus, les chevaux de Troie peuvent recevoir ou envoyer des fichiers, les exécuter, afficher des messages, contacter des pages Internet, télécharger des applications et les installer et redémarrer l'ordinateur.

  Les individus malintentionnés utilisent souvent des "sélections" composées de divers chevaux de Troie.

  Les types de comportement des chevaux de Troie sont décrits dans le tableau suivant.

  Types de comportement des chevaux de Troie sur l'ordinateur infecté

   

  Type	Nom	Description
  Trojan-ArcBomb	Chevaux de Troie (bombes dans les archives)	Il s'agit d'archives qui, au moment de la décompression, atteignent un tel poids qu'elles perturbent le fonctionnement de l'ordinateur. Lorsque l'utilisateur tente de décompresser une archive de ce genre, l'ordinateur peut commencer à ralentir, voire à s'arrêter et le disque peut se remplir de données "vides". Ces "bombes" sont particulièrement dangereuses pour les serveurs de fichiers et de messagerie. Si le serveur utilise un système de traitement automatique des données entrantes, ce genre de "bombe d'archive" peut entraîner l'arrêt du serveur.
  Backdoor	Chevaux de Troie pour l'administration à distance	Considérés comme les chevaux de Troie les plus dangereux. Leurs fonctions rappellent celles des programmes d'administration à distance installés sur les ordinateurs. Ces programmes s'installent à l'insu de l'utilisateur sur l'ordinateur et permettent à l'individu malintentionné d'administrer l'ordinateur à distance.
  Trojan	Chevaux de Troie	Cette catégorie reprend les programmes malveillants suivants : Chevaux de Troie traditionnels. Ils exécutent uniquement les fonctions fondamentales des chevaux de Troie : le blocage, la modification ou la suppression d'informations, la perturbation du fonctionnement des ordinateurs ou des réseaux. Ils ne possèdent pas les fonctions complémentaires caractéristiques d'autres chevaux de Troie décrits dans ce tableau. Chevaux de Troie "multicibles". Ils possèdent des fonctions complémentaires appartenant à divers types de chevaux de Troie.
  Trojan-Ransom	Chevaux de Troie exigeant le versement d'une rançon	Ces programmes "prennent en otage" les données de l'ordinateur après les avoir modifiées ou bloquées ou perturbent le fonctionnement de l'ordinateur de telle manière que l'utilisateur n'est plus en mesure d'exploiter les données. L'individu malintentionné exige le versement d'une somme d'argent en échange de l'envoi d'un programme qui rétablira le fonctionnement de l'ordinateur et les données qu'il abrite.
  Trojan-Clicker	Chevaux de Troie qui cliquent	Ils accèdent à des pages Internet depuis l'ordinateur de la victime : ils envoient des instructions au navigateur ou remplacent les adresses Internet conservées dans les fichiers système. Grâce à ces programmes malveillants, les individus malintentionnés organisent des attaques réseau ou augmentent le nombre de visites sur le site afin d'accroître le nombre d'affichages de bannières publicitaires.
  Trojan-Downloader	Chevaux de Troie qui téléchargent	Ils accèdent à la page Internet de l'intrus, y téléchargent d'autres applications malveillantes et les installent sur l'ordinateur de l'utilisateur. Ils peuvent contenir le nom du fichier de l'application malveillante à télécharger ou le recevoir à partir de la page Internet consultée.
  Trojan-Dropper	Chevaux de Troie qui procèdent à des installations	Ils enregistrent sur le disque, puis installent d'autres chevaux de Troie présents dans le corps de ces programmes. Les individus malintentionnés peuvent utiliser ce genre de chevaux de Troie pour : Installer un programme malveillant à l'insu de l'utilisateur : ces chevaux de Troie n'affichent aucun message réel ou fictif (par exemple, messages relatifs à une erreur dans une archive ou à la version incorrecte du système d'exploitation) ; Protéger un autre programme malveillant connu : tous les antivirus ne sont pas en mesure d'identifier un programme malveillant au sein d'un cheval de Troie qui réalise des installations.
  Trojan-Notifier	Chevaux de Troie qui envoient des notifications	Ils signalent à l'individu malintentionné que la communication avec l'ordinateur infecté est établie et transmettent des informations relatives à l'ordinateur : adresse IP, numéro du port ouvert ou adresse email. Ils contactent l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens. Ces programmes sont souvent utilisés dans les sélections de différents chevaux de Troie. Ils indiquent à l'individu malintentionné que les autres chevaux de Troie ont bien été installés sur l'ordinateur de l'utilisateur.
  Trojan-Proxy	Chevaux de Troie faisant office de proxy	Ils permettent à l'individu malintentionné de contacter anonymement des pages Internet via l'ordinateur de la victime ; le plus souvent, ils sont utilisés pour diffuser du spam.
  Trojan-PSW	Chevaux de Troie qui volent des mots de passe	Il s'agit de chevaux de Troie qui volent des mots de passe (Password Stealing Ware) ; ils volent les données des comptes des utilisateurs, les données d'enregistrement d'un logiciel. Ils recherchent les données confidentielles dans les fichiers système et dans la base de registre et les transmettent à leur « attaquant » via email ou via FTP sur la page Internet de l'individu malintentionné ou par d'autres méthodes. Certains de ces programmes appartiennent à des groupes particuliers décrits dans ce tableau. Il s'agit des chevaux de Troie qui volent les comptes bancaires (Trojan‑Banker), des chevaux de Troie qui volent les données des utilisateurs des clients IM (Trojan‑IM) et des chevaux de Troie qui volent les données des adeptes de jeux en ligne (Trojan‑GameThief).
  Trojan-Spy	Chevaux de Troie espions	Ils espionnent l'utilisateur et collectent des informations sur les actions qu'il effectue lorsqu'il travaille sur son ordinateur. Ils peuvent intercepter les données que l'utilisateur saisit au clavier, faire des captures d'écran ou collecter des listes d'applications actives. Une fois qu'ils ont obtenu ces informations, ils les transmettent à l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens.
  Trojan-DDoS	Chevaux de Troie pour attaques réseau	Ils envoient de nombreuses requêtes vers un serveur distant au départ de l'ordinateur de la victime. Le serveur ne dispose pas de ressources suffisantes pour traiter les requêtes et il arrête de fonctionner (Denial-of-service (DoS), déni de service). Ces programmes infectent généralement plusieurs ordinateurs pour attaquer simultanément un serveur. Les programmes de type DoS lancent l'attaque depuis un ordinateur avec l'accord de l'utilisateur. Les programmes de type DDoS (Distributed DoS) lancent des attaques distribuées depuis plusieurs ordinateurs, à l'insu de l'utilisateur de l'ordinateur infecté.
  Trojan-IM	Chevaux de Troie qui volent les données des utilisateurs de clients IM	Ils volent les numéros et les mots de passe des utilisateurs des clients IM. Ils transmettent ces informations à l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens.
  Rootkit	Rootkits	Ils masquent d'autres applications malveillantes et leur activité, et prolongent ainsi la persistance de ces applications dans le système d'exploitation. Ils peuvent également dissimuler des fichiers, des processus dans la mémoire d'un ordinateur infecté ou des clés de registre qui exécutent des applications malveillantes. Les rootkits peuvent masquer l'échange de données entre les applications sur l'ordinateur de l'utilisateur et les autres ordinateurs du réseau.
  Trojan-SMS	Chevaux de Troie qui envoient des messages SMS	Ils infectent des téléphones mobiles et les utilisent pour envoyer des messages SMS vers des numéros payants.
  Trojan-GameThief	Chevaux de Troie qui volent les données des adeptes de jeux en ligne	Ils volent les comptes des adeptes de jeux en ligne ; ils transmettent les données à l'individu malveillant par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens.
  Trojan-Banker	Chevaux de Troie qui volent les données de comptes bancaires.	Ils volent les données des comptes bancaires ou les données des comptes de système de porte-monnaie électronique ; ils transmettent les données à l'individu malveillant par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens.
  Trojan-Mailfinder des adresses email	Chevaux de Troie qui récoltent des adresses email	Ils recueillent les adresses email sur l'ordinateur et les envoient à l'individu malintentionné par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens. Les individus malintentionnés utilisent ensuite ces adresses pour diffuser du spam.

   

• Outils malveillants

  Sous-catégories : outils malveillants (Malicious_tools)

  Niveau de danger : moyen

  Contrairement aux autres types de logiciels malveillants, les outils malveillants n'exécutent pas leurs actions immédiatement après leur démarrage. Elles peuvent être stockées et lancées en toute sécurité sur l'ordinateur de l'utilisateur. Les individus malintentionnés utilisent les fonctions de ces programmes pour développer des virus, des vers et des chevaux de Troie, organiser des attaques réseau contre des serveurs distants, s'introduire dans des ordinateurs ou exécuter d'autres actions malveillantes.

  Les différentes fonctionnalités des outils malveillants sont regroupées en types présentés dans le tableau suivant.

  Fonctionnalités des outils malveillants

   

  Type	Nom	Description
  Constructor	Constructeurs	Ils permettent de créer de nouveaux virus, vers ou chevaux de Troie. Certains constructeurs sont dotés d'une interface standard à base de fenêtres qui permet, à l'aide de menus, de sélectionner le type de programme malveillant à créer, son mode de résistance face aux débogueurs ainsi que d'autres propriétés.
  Dos	Attaques réseau	Ils envoient de nombreuses requêtes vers un serveur distant au départ de l'ordinateur de la victime. Le serveur ne dispose pas de ressources suffisantes pour traiter les requêtes et il arrête de fonctionner (Denial-of-service (DoS), déni de service).
  Exploit	Exploits	L'exploit est un ensemble de données ou de code qui exploite une vulnérabilité de l'application dans laquelle il est exécuté afin de réaliser une action malveillante quelconque sur l'ordinateur. Par exemple, un exploit peut écrire ou lire des fichiers ou contacter des pages Internet "infectées". Divers exploits exploitent les vulnérabilités de diverses applications et services réseau. L'exploit sous la forme d'un paquet réseau se transmet via le réseau vers de nombreux ordinateurs à la recherche d'ordinateurs possédant des services réseau vulnérables. L'exploit d'un fichier DOC utilise la vulnérabilité de l'éditeur de test. Il peut commencer à exécuter les fonctions intégrées par l'individu malintentionné lorsque l'utilisateur ouvre le fichier infecté. L'exploit intégré à un email recherche les vulnérabilités dans un client de messagerie quelconque. Il peut commencer à exécuter l'action malveillante dès que l'utilisateur ouvre le message infecté dans le client de messagerie. Les vers de réseau (Net-Worm) se diffusent grâce aux exploits. Les exploites de type Nuker sont des paquets réseau qui mettent l'ordinateur hors service.
  FileCryptor	Encodeurs	Ils encodent d'autres programmes malveillants afin de les cacher pour les logiciels antivirus.
  Flooder	Programmes de "pollution" du réseau	Ils envoient une multitude de messages via les canaux réseau. Les programmes utilisés pour polluer les canaux IRC (Internet Relay Chats) appartiennent à cette catégorie. La catégorie Flooder ne reprend pas les applications qui "polluent" l'email, les clients IM et les systèmes mobiles. Ces programmes sont regroupés dans des catégories distinctes décrites dans ce tableau (Email-Flooder, IM-Flooder et SMS-Flooder).
  HackTool	Outils de piratage	Ils permettent de s'emparer de l'ordinateur sur lequel ils sont installés ou d'attaquer un autre ordinateur (par exemple, ajout d'autres utilisateurs au système sans l'autorisation de la victime ; purge des journaux du système afin de dissimuler les traces de leur présence dans le système). Il s'agit de quelques sniffers qui possèdent des fonctions malveillantes telles que l'interception des mots de passe. Les sniffers sont des programmes qui permettent de consulter le trafic réseau.
  Hoax	Canulars	Ils effraient l'utilisateur à l'aide de messages semblables à ceux que pourrait produire un virus : ils peuvent découvrir un virus dans un fichier sain ou annoncer le formatage du disque alors qu'il n'aura pas lieu.
  Spoofer	Utilitaires d'imitation	Ils envoient des messages et des requêtes réseau au départ d'adresses fictives. Les individus malintentionnés les utilisent pour se faire passer pour l'expéditeur.
  VirTool	Instruments pour la modification des programmes malveillants	Ils permettent de modifier d'autres programmes malveillants afin de les rendre invisibles pour les logiciels antivirus.
  Email-Flooder	Programmes qui "inondent" l'email.	Ils envoient de nombreux messages aux adresses email du carnet d'adresses ("pollution du courrier"). Ce flux important de messages empêche l'utilisateur de lire le courrier utile.
  IM-Flooder	Programmes de "pollution" des clients IM	Ils envoient de nombreux messages aux utilisateurs de clients IM. Ce flux important de messages empêche l'utilisateur de lire les messages utiles.
  SMS-Flooder	Programmes de "pollution" des messages SMS	Ils envoient de nombreux messages SMS vers les téléphones portables.

   

• Logiciel publicitaire

  Sous-catégorie : logiciels publicitaires (Adware)

  Niveau de menace : moyen

  Les logiciels publicitaires montrent des publicités à l'utilisateur. Elles affichent des bannières publicitaires dans l'interface d'autres programmes ou réorientent les demandes vers les sites dont la publicité est assurée. Certains d'entre elles recueillent également des informations marketing sur l'utilisateur qu'elles renvoient à l'auteur : par exemple, catégorie de sites Internet visités, mots clés utilisés dans les recherches. А̀ la différence des chevaux de Troie espions, elles transmettent ces informations avec l'autorisation de l'utilisateur.

• Numéroteurs automatiques

  Sous-catégorie : programmes légitimes pouvant être exploités par un individu malintentionné afin de nuire à l'ordinateur ou à vos données.

  Niveau de danger : moyen

  La majorité de ces applications est utile et bon nombre d'utilisateurs les emploient. Parmi ceux-ci, nous retrouvons les clients IRC, les numéroteurs automatiques (dialers), les programmes pour le chargement des fichiers, les dispositifs de surveillance de l'activité des systèmes informatiques, les utilitaires de manipulation de mots de passe, les serveurs Internet de services FTP, HTTP ou Telnet.

  Toutefois, si les individus malintentionnés mettent la main sur de tels programmes ou les infiltrent dans l'ordinateur de l'utilisateur, ils peuvent exploiter certaines de leur fonction pour compromettre la sécurité.

  Ces programmes se distinguent par leurs fonctions dont les types sont décrits dans le tableau ci-dessous :

   

  Type	Nom	Description
  Client-IRC	Clients de chats	Les utilisateurs installent ces programmes afin de pouvoir communiquer dans les canaux IRC (Internet Relay Chats). Les individus malintentionnés les utilisent pour diffuser des programmes malveillants.
  Dialer	Numéroteurs automatiques	Ils peuvent établir des connexions téléphoniques par modem à l'insu de l'utilisateur.
  Downloader	Programmes de téléchargement	Ils peuvent télécharger des fichiers depuis des pages Internet en mode caché.
  Monitor	Programmes de surveillance	Ils permettent de surveiller l'activité sur l'ordinateur sur lequel ils sont installée (observent les applications exécutées et les échangent de données avec les applications sur d'autres ordinateurs).
  PSWTool	Récupérateur de mots de passe	Ils permettent de consulter et de récupérer les mots de passe oubliés. C'est à cette fin que les individus malintentionnés les installent à l'insu des utilisateurs.
  RemoteAdmin	Programmes d'administration à distance	Ils sont largement utilisés par les administrateurs de système. Ces programmes permettent d'accéder à l'interface de l'ordinateur distant afin de l'observer et de l'administrer. Les individus malintentionnés les installent dans ce même but à l'insu des utilisateurs afin d'observer les ordinateurs distants et de les administrer. Les applications légitimes d'administration à distance se distinguent des Backdoors. Les chevaux de Troie possèdent des fonctions qui leur permettent de s'introduire dans un système et de s'y installer. Les applications légitimes ne possèdent pas de telles fonctions.
  Server-FTP	Serveurs FTP	Ils remplissent les fonctions d'un serveur FTP. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole FTP.
  Server-Proxy	Serveurs proxy	Ils remplissent les fonctions d'un serveur proxy. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom.
  Server-Telnet	Serveurs Telnet	Ils remplissent les fonctions d'un serveur Telnet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole Telnet.
  Server-Web	Serveurs Internet	Ils remplissent les fonctions d'un serveur Internet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole HTTP.
  RiskTool	Outils utilisés sur l'ordinateur local	Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille sur son propre ordinateur. Ces outils permettent à l'utilisateur de masquer des fichiers ou des fenêtres d'applications actives et de mettre fin à des processus actifs.
  NetTool	Outils réseau	Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille avec d'autres ordinateurs sur le réseau. Ces outils permettent à l'utilisateur de les redémarrer, de détecter les ports ouverts et de lancer des applications installées sur les ordinateurs.
  Client-P2P	Clients de réseaux d'échange de fichiers	Ils permettent d'utiliser les réseaux P2P. Les individus malintentionnés peuvent les utiliser pour diffuser des programmes malveillants.
  Client-SMTP	Clients SMTP	Envoient les emails en mode caché. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom.
  WebToolbar	Barre d'outils Internet	Ils ajoutent une barre d'outils dans l'interface d'autres applications en vue d'une utilisation de systèmes de recherche.
  FraudTool	Pseudo-programmes	Ils se font passer pour d'autres programmes. Par exemple, il existe des pseudo-programmes antivirus qui affichent des messages signalant la détection de logiciels malveillants. Or, en réalité, ils ne trouvent ni ne désinfectent rien.

   

• Détecter d'autres programmes qui peuvent être utilisés par des intrus pour nuire à votre ordinateur ou à vos données personnelles

  Sous-catégorie : programmes légitimes pouvant être exploités par un individu malintentionné afin de nuire à l'ordinateur ou à vos données.

  Niveau de danger : moyen

  La majorité de ces applications est utile et bon nombre d'utilisateurs les emploient. Parmi ceux-ci, nous retrouvons les clients IRC, les numéroteurs automatiques (dialers), les programmes pour le chargement des fichiers, les dispositifs de surveillance de l'activité des systèmes informatiques, les utilitaires de manipulation de mots de passe, les serveurs Internet de services FTP, HTTP ou Telnet.

  Toutefois, si les individus malintentionnés mettent la main sur de tels programmes ou les infiltrent dans l'ordinateur de l'utilisateur, ils peuvent exploiter certaines de leur fonction pour compromettre la sécurité.

  Ces programmes se distinguent par leurs fonctions dont les types sont décrits dans le tableau ci-dessous :

   

  Type	Nom	Description
  Client-IRC	Clients de chats	Les utilisateurs installent ces programmes afin de pouvoir communiquer dans les canaux IRC (Internet Relay Chats). Les individus malintentionnés les utilisent pour diffuser des programmes malveillants.
  Dialer	Numéroteurs automatiques	Ils peuvent établir des connexions téléphoniques par modem à l'insu de l'utilisateur.
  Downloader	Programmes de téléchargement	Ils peuvent télécharger des fichiers depuis des pages Internet en mode caché.
  Monitor	Programmes de surveillance	Ils permettent de surveiller l'activité sur l'ordinateur sur lequel ils sont installée (observent les applications exécutées et les échangent de données avec les applications sur d'autres ordinateurs).
  PSWTool	Récupérateur de mots de passe	Ils permettent de consulter et de récupérer les mots de passe oubliés. C'est à cette fin que les individus malintentionnés les installent à l'insu des utilisateurs.
  RemoteAdmin	Programmes d'administration à distance	Ils sont largement utilisés par les administrateurs de système. Ces programmes permettent d'accéder à l'interface de l'ordinateur distant afin de l'observer et de l'administrer. Les individus malintentionnés les installent dans ce même but à l'insu des utilisateurs afin d'observer les ordinateurs distants et de les administrer. Les applications légitimes d'administration à distance se distinguent des Backdoors. Les chevaux de Troie possèdent des fonctions qui leur permettent de s'introduire dans un système et de s'y installer. Les applications légitimes ne possèdent pas de telles fonctions.
  Server-FTP	Serveurs FTP	Ils remplissent les fonctions d'un serveur FTP. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole FTP.
  Server-Proxy	Serveurs proxy	Ils remplissent les fonctions d'un serveur proxy. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom.
  Server-Telnet	Serveurs Telnet	Ils remplissent les fonctions d'un serveur Telnet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole Telnet.
  Server-Web	Serveurs Internet	Ils remplissent les fonctions d'un serveur Internet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole HTTP.
  RiskTool	Outils utilisés sur l'ordinateur local	Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille sur son propre ordinateur. Ces outils permettent à l'utilisateur de masquer des fichiers ou des fenêtres d'applications actives et de mettre fin à des processus actifs.
  NetTool	Outils réseau	Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille avec d'autres ordinateurs sur le réseau. Ces outils permettent à l'utilisateur de les redémarrer, de détecter les ports ouverts et de lancer des applications installées sur les ordinateurs.
  Client-P2P	Clients de réseaux d'échange de fichiers	Ils permettent d'utiliser les réseaux P2P. Les individus malintentionnés peuvent les utiliser pour diffuser des programmes malveillants.
  Client-SMTP	Clients SMTP	Envoient les emails en mode caché. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom.
  WebToolbar	Barre d'outils Internet	Ils ajoutent une barre d'outils dans l'interface d'autres applications en vue d'une utilisation de systèmes de recherche.
  FraudTool	Pseudo-programmes	Ils se font passer pour d'autres programmes. Par exemple, il existe des pseudo-programmes antivirus qui affichent des messages signalant la détection de logiciels malveillants. Or, en réalité, ils ne trouvent ni ne désinfectent rien.

   

• Fichiers compressés pouvant dissimuler un programme malveillant

  Kaspersky Endpoint Security analyse les objets compressés et le module de décompression dans les archives autoextractibles SFX.

  Pour masquer les applications dangereuses et empêcher leur découverte par les logiciels antivirus, les individus malintentionnés les compressent à l'aide de programmes spéciaux ou compressent le même objet plusieurs fois.

  Les experts antivirus de Kaspersky ont identifié les outils de compression que les individus malintentionnés utilisent le plus souvent.

  Si Kaspersky Endpoint Security découvre un de ces compresseurs dans un objet, celui-ci contient probablement un programme malveillant ou une application qui pourrait être utilisée par l'individu malintentionné pour nuire à l'ordinateur ou aux données de l'utilisateur.

  Kaspersky Endpoint Security identifie les programmes suivants :

  • Les fichiers compressés qui peuvent nuire : ils servent à compresser des programmes malveillants, des virus, des vers ou des chevaux de Troie.
  • Fichiers compressés à plusieurs reprises (niveau de menace moyen) : l'objet est compressé à trois reprises par un ou plusieurs outils de compression.
• Objets compressés à plusieurs reprises

  Kaspersky Endpoint Security analyse les objets compressés et le module de décompression dans les archives autoextractibles SFX.

  Pour masquer les applications dangereuses et empêcher leur découverte par les logiciels antivirus, les individus malintentionnés les compressent à l'aide de programmes spéciaux ou compressent le même objet plusieurs fois.

  Les experts antivirus de Kaspersky ont identifié les outils de compression que les individus malintentionnés utilisent le plus souvent.

  Si Kaspersky Endpoint Security découvre un de ces compresseurs dans un objet, celui-ci contient probablement un programme malveillant ou une application qui pourrait être utilisée par l'individu malintentionné pour nuire à l'ordinateur ou aux données de l'utilisateur.

  Kaspersky Endpoint Security identifie les programmes suivants :

  • Les fichiers compressés qui peuvent nuire : ils servent à compresser des programmes malveillants, des virus, des vers ou des chevaux de Troie.
  • Fichiers compressés à plusieurs reprises (niveau de menace moyen) : l'objet est compressé à trois reprises par un ou plusieurs outils de compression.

Exclusions

Tableau contenant les informations relatives aux exclusions de l'analyse.

Vous pouvez exclure de l'analyse des objets à l'aide des méthodes suivantes :

• Indiquez le chemin d'accès au fichier ou au dossier.
• Saisissez l'hachage de l'objet.
• Utilisez des masques :
  • Le caractère * remplace n'importe quelle combinaison de caractères, y compris l'absence de caractères, sauf les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\*\*.txt inclura tous les chemins vers les fichiers avec l'extension TXT situés dans des dossiers sur le lecteur C:, mais pas dans des sous-dossiers.
  • Deux caractères * qui se suivent remplacent n'importe quelle combinaison de caractères, y compris des espaces, dans le nom du fichier ou de dossier, y compris les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\Dossier\**\*.txt inclura tous les chemins d'accès aux fichiers avec l'extension TXT situés dans le dossier joint nommé Dossier, sauf pour le Dossier lui-même. Le masque doit comprendre au moins un niveau d'imbrication. Le masque C:\**\*.txt n'est pas un masque valide.
  • Le caractère ? remplace n'importe quel caractère unique, sauf les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\Dossier\???.txt inclura les chemins d'accès à tous les fichiers résidant dans le dossier nommé Dossier qui ont l'extension TXT et un nom composé de trois caractères.

    Vous pouvez utiliser des masques n'importe où dans un chemin de fichier ou de dossier. Par exemple, si vous souhaitez que la zone d'analyse inclue le dossier Téléchargements pour tous les comptes sur l'ordinateur, saisissez le masque C:\Users\*\Downloads\.

    Kaspersky Endpoint Security prend en charge les variables d'environnement

    Kaspersky Endpoint Security ne prend pas en charge la variable d'environnement %userprofile% lors de la génération d'une liste d'exclusions à l'aide de la console Kaspersky Security Center. Pour appliquer l'entrée à tous les comptes utilisateur, vous pouvez utiliser le caractère * (par exemple, C:\Users\*\Documents\File.exe). Chaque fois que vous ajoutez une nouvelle variable d'environnement, vous devez redémarrer l'application.

• Saisissez le nom du type d'objet en fonction de la classification de l'Encyclopédie Kaspersky (par exemple, Vers de courrier, Rootkit ou RemoteAdmin). Vous pouvez utiliser des masques avec le caractère ? (remplace n'importe quel caractère unique) et le caractère * (remplace n'importe quel nombre de caractères). Par exemple, si le masque Client* est spécifié, l'application exclut les objets Client-IRC, Client-P2P et Client-SMTP des analyses.

Applications de confiance

Tableau des applications de confiance dont l'activité n'est pas analysée par Kaspersky Endpoint Security.

Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères * et ? lors de la saisie d'un masque.

Kaspersky Endpoint Security ne prend pas en charge la variable d'environnement %userprofile% lors de la génération d'une liste d'applications de confiance sur la console Kaspersky Security Center. Pour appliquer l'entrée à tous les comptes utilisateur, vous pouvez utiliser le caractère * (par exemple, C:\Users\*\Documents\File.exe). Chaque fois que vous ajoutez une nouvelle variable d'environnement, vous devez redémarrer l'application.

Le module Contrôle des applications régit le lancement de chacune des applications, que cette application figure ou pas dans le table des applications de confiance.

Regrouper les valeurs après l'héritage

(disponible uniquement dans Kaspersky Security Center Console)

Ce paramètre permet de fusionner la liste des exclusions d'analyse et des applications de confiance dans les stratégies parents et enfant de Kaspersky Security Center. Pour fusionner des listes, la stratégie enfant doit être configurée de manière à hériter les paramètres de la stratégie parente de Kaspersky Security Center.

Si la case est cochée, la liste des éléments de la stratégie parente de Kaspersky Security Center est affichée dans les stratégies enfant. Ainsi, vous pouvez, par exemple, créer une liste d'applications de confiance commune pour l'ensemble de l'organisation.

Les éléments de liste hérités dans une stratégie enfant ne peuvent pas être supprimés ni modifiés. Les éléments de la liste des exclusions d'analyse et de la liste des applications de confiance qui sont fusionnés lors de l'héritage ne peuvent pas être supprimés ni modifiés, sauf dans la stratégie parente. Vous pouvez ajouter, modifier ou supprimer des éléments de la liste dans les stratégies de niveau inférieur.

Si des éléments des listes de la stratégie enfant et de la stratégie parente correspondent, ces éléments sont affichés comme étant le même élément de la stratégie parente.

Si la case n'est pas cochée, les éléments des listes ne sont pas fusionnés lors de l'héritage des paramètres des stratégies de Kaspersky Security Center.

Autoriser l'utilisation des exclusions locales/Autoriser l'utilisation des applications de confiance

(disponible uniquement dans Kaspersky Security Center Console)

Exclusions locales et applications locales de confiance (zone locale de confiance) : liste d'objets et d'applications définie par l'utilisateur dans Kaspersky Endpoint Security pour un ordinateur particulier. Kaspersky Endpoint Security ne surveille pas les objets ni les applications de la zone de confiance locale. De cette façon, les utilisateurs peuvent créer leurs propres listes locales d'exclusions et d'applications de confiance en plus de la zone de confiance générale proposée par une stratégie.

Si la case est cochée, un utilisateur peut créer une liste locale d'exclusions d'analyse et une liste locale d'applications de confiance. Un administrateur peut utiliser Kaspersky Security Center pour afficher, ajouter, modifier ou supprimer des éléments de la liste dans les propriétés de l'ordinateur.

Si la case est décochée, un utilisateur ne peut accéder qu'aux listes générales des exclusions d'analyse et des applications de confiance créées dans le cadre de la stratégie. Si des listes locales ont été créées, une fois cette fonctionnalité a été désactivée, Kaspersky Endpoint Security continue d'exclure des analyses les objets figurant dans la liste.

Boutique des certificats système de confiance

Si l'une des boutiques de certificats système de confiance est sélectionnée, Kaspersky Endpoint Security exclut les applications signées avec une signature de confiance numérique des analyses. Kaspersky Endpoint Security attribue automatiquement ces applications au groupe De confiance.

Si Ne pas utiliser est sélectionné, Kaspersky Endpoint Security analyse les applications, qu'elles aient ou non une signature numérique. Kaspersky Endpoint Security place l'application dans un groupe de confiance en fonction du niveau de danger que cette application peut représenter pour l'ordinateur.