Sélection des types d'objets à détecter
Pour sélectionner les types d'objets à identifier, procédez comme suit :
- Dans la fenêtre principale de l'application, cliquez sur le bouton .
- Dans la fenêtre des paramètres de l'application, sélectionnez Paramètres généraux → Menaces et exclusions.
- Dans le groupe Types d'objets détectés, cochez les cases pour les types d'objets que Kaspersky Endpoint Security doit détecter :
- Virus et vers ;
Sous-catégorie : virus et vers (Viruses_and_Worms)
Niveau de menace : élevé
Les virus et les vers classiques exécutent sur l'ordinateur des actions qui n'ont pas été autorisées par l'utilisateur. Ils peuvent créer leurs propres copies qui possèdent la capacité d'auto-reproduction.
Virus classique
Une fois que le virus classique s'est introduit dans un système, il infecte un fichier quelconque, s'y active, exécute son action malveillante, puis ajoute sa copie à d'autres fichiers.
Le virus classique se multiplie uniquement sur les ressources locales de l'ordinateur et il est incapable de s'introduire lui-même dans un autre ordinateur. Il peut pénétrer dans d'autres systèmes uniquement s'il ajoute sa copie dans un fichier enregistré dans un dossier partagé, sur un cédérom d'installation ou si l'utilisateur envoie un email avec le fichier infecté en pièce jointe.
Le code du virus classique peut s'introduire dans divers secteurs de l'ordinateur, du système d'exploitation ou de l'application. En fonction de l'environnement dans lequel ils évoluent, on parle de virus de fichiers, virus de démarrage, virus de script et virus de macro.
Les virus peuvent infecter des fichiers de diverses manières. Les virus écraseurs (overwriting) remplacent le code du fichier infecté par leur propre code et suppriment ainsi le contenu du fichier. Le fichier infecté cesse de fonctionner et il ne peut être restauré. Les virus parasites (Parasitic) modifient les fichiers, mais ceux-ci demeurent totalement ou partiellement fonctionnels. Les virus compagnons (Companion) ne modifient pas les fichiers mais créent des copies. Lorsque le fichier infecté est exécuté, son double est lancé, à savoir le virus. Il existe également des virus-liens (Link), des virus qui infectent les modules objets (OBJ), des virus qui infectent les bibliothèques de compilateur (LIB), les virus qui infectent les textes source des programmes et d'autres.
Ver
Le code du ver, à l'instar de celui du virus classique, s'active et exécute son action malveillante dès qu'il s'est introduit dans le système. Le ver doit son nom à sa capacité à "ramper" d'ordinateur en ordinateur, sans que l'utilisateur n'autorise cette diffusion des copies via divers canaux d'informations.
La principale caractéristique qui distingue les vers entre eux est leur mode de diffusion. Le tableau suivant reprend une description des différents types de vers en fonction du mode de diffusion.
Mode de diffusion des vers
Type
Nom
Description
Email-Worm
Email-Worm
Ils se diffusent via email.
L'email infecté contient un fichier joint avec la copie du ver ou un lien vers ce fichier sur un site compromis ou créé spécialement à cette fin. Lorsque vous ouvrez le fichier joint, le ver est activé. Lorsque vous cliquez sur le lien, téléchargez le fichier, puis ouvrez celui-ci, le ver commence également à exécuter ses actions malveillantes. Ensuite, il continue à diffuser ses copies après avoir trouvé d'autres adresses email auxquelles il envoie des messages infectés.
IRC-Worm
Vers de client IM
Ils se propagent via les clients IM.
En règle générale, ce ver envoie aux contacts un message contenant un lien vers la copie du ver sur un site. Quand l'utilisateur télécharge le fichier et l'ouvre, le ver s'active.
IRC-Worm
Vers de chats
Ils se diffusent via les canaux IRC (Internet Relay Chats), ces systèmes qui permettent de discuter en temps réel avec d'autres personnes.
Ce ver publie un fichier avec sa copie ou un lien vers celle-ci dans le chat. Quand l'utilisateur télécharge le fichier et l'ouvre, le ver s'active.
Net-Worm
Vers de réseau (vers de réseaux informatiques)
Ils se diffusent via les réseaux informatiques.
À la différence des autres types de vers, le ver de réseau se propage sans l'intervention de l'utilisateur. Il recherche une application vulnérable sur les ordinateurs du réseau local. Pour ce faire, il envoie un paquet réseau spécial (un exploit) qui contient le code du ver ou une partie de celui-ci. Si le réseau abrite un ordinateur "vulnérable", celui-ci acceptera le paquet. Une fois qu'il s'est complètement introduit dans cet ordinateur, le ver s'active.
P2P-Worm
Vers de réseau d'échange de fichiers
Ils se propagent via les réseaux d'échange de fichiers pair à pair.
Afin d'infiltrer le réseau d'échange de fichiers, le ver se copie dans le dossier d'échange de fichiers qui se trouve normalement sur l'ordinateur de l'utilisateur. Le réseau d'échange de fichiers affiche les informations relatives à ce fichier et l'utilisateur peut "trouver" le fichier infecté comme n'importe quel autre fichier, le télécharger puis l'ouvrir.
Les vers plus sophistiqués imitent le protocole d'un réseau d'échange de fichiers en particulier : ils répondent positivement aux recherches et proposent leur copie pour le téléchargement.
Ver
Autres vers
Parmi ces autres vers, citons :
- Les vers qui diffusent leur copie via les ressources réseau. А̀ l'aide des fonctions du système d'exploitation, ils consultent les répertoires réseau accessibles, se connectent aux ordinateurs du réseau mondial et tentent d'ouvrir leur disque en libre accès. À la différence des types de vers décrits ci-dessus, ces autres vers ne peuvent pas s'activer de manière autonome, mais uniquement lorsque l'utilisateur ouvre le fichier contenant la copie du ver.
- Les vers qui n'adoptent aucun des modes de diffusion décrits dans ce tableau (par exemple, ceux qui se propagent via les téléphones portables).
- Chevaux de Troie (y compris les ransomwares) ;
Sous-catégories : chevaux de Troie (Trojan_programs)
Niveau de menace : élevé
À la différence des vers et des virus, les chevaux de Troie ne créent pas leur propre copie. Ils s'infiltrent sur les ordinateurs via email ou via le navigateur lorsque l'internaute visite un site infecté. Les chevaux de Troie sont exécutés sur intervention de l'utilisateur. Ils entament leur action malveillante directement après l'exécution.
Le comportement des chevaux de Troie sur l'ordinateur infecté varie. Parmi les fonctions principales des chevaux de Troie, citons le blocage, la modification ou la suppression d'informations ainsi que la perturbation du fonctionnement des ordinateurs ou des réseaux. De plus, les chevaux de Troie peuvent recevoir ou envoyer des fichiers, les exécuter, afficher des messages, contacter des pages Internet, télécharger des applications et les installer et redémarrer l'ordinateur.
Les individus malintentionnés utilisent souvent des "sélections" composées de divers chevaux de Troie.
Les types de comportement des chevaux de Troie sont décrits dans le tableau suivant.
Types de comportement des chevaux de Troie sur l'ordinateur infecté
Type
Nom
Description
Trojan-ArcBomb
Chevaux de Troie (bombes dans les archives)
Il s'agit d'archives qui, au moment de la décompression, atteignent un tel poids qu'elles perturbent le fonctionnement de l'ordinateur.
Lorsque l'utilisateur tente de décompresser une archive de ce genre, l'ordinateur peut commencer à ralentir, voire à s'arrêter et le disque peut se remplir de données "vides". Ces "bombes" sont particulièrement dangereuses pour les serveurs de fichiers et de messagerie. Si le serveur utilise un système de traitement automatique des données entrantes, ce genre de "bombe d'archive" peut entraîner l'arrêt du serveur.
Backdoor
Chevaux de Troie pour l'administration à distance
Considérés comme les chevaux de Troie les plus dangereux. Leurs fonctions rappellent celles des programmes d'administration à distance installés sur les ordinateurs.
Ces programmes s'installent à l'insu de l'utilisateur sur l'ordinateur et permettent à l'individu malintentionné d'administrer l'ordinateur à distance.
Trojan
Chevaux de Troie
Cette catégorie reprend les programmes malveillants suivants :
- Chevaux de Troie traditionnels. Ils exécutent uniquement les fonctions fondamentales des chevaux de Troie : le blocage, la modification ou la suppression d'informations, la perturbation du fonctionnement des ordinateurs ou des réseaux. Ils ne possèdent pas les fonctions complémentaires caractéristiques d'autres chevaux de Troie décrits dans ce tableau.
- Chevaux de Troie "multicibles". Ils possèdent des fonctions complémentaires appartenant à divers types de chevaux de Troie.
Trojan-Ransom
Chevaux de Troie exigeant le versement d'une rançon
Ces programmes "prennent en otage" les données de l'ordinateur après les avoir modifiées ou bloquées ou perturbent le fonctionnement de l'ordinateur de telle manière que l'utilisateur n'est plus en mesure d'exploiter les données. L'individu malintentionné exige le versement d'une somme d'argent en échange de l'envoi d'un programme qui rétablira le fonctionnement de l'ordinateur et les données qu'il abrite.
Trojan-Clicker
Chevaux de Troie qui cliquent
Ils accèdent à des pages Internet depuis l'ordinateur de la victime : ils envoient des instructions au navigateur ou remplacent les adresses Internet conservées dans les fichiers système.
Grâce à ces programmes malveillants, les individus malintentionnés organisent des attaques réseau ou augmentent le nombre de visites sur le site afin d'accroître le nombre d'affichages de bannières publicitaires.
Trojan-Downloader
Chevaux de Troie qui téléchargent
Ils accèdent à la page Internet de l'intrus, y téléchargent d'autres applications malveillantes et les installent sur l'ordinateur de l'utilisateur. Ils peuvent contenir le nom du fichier de l'application malveillante à télécharger ou le recevoir à partir de la page Internet consultée.
Trojan-Dropper
Chevaux de Troie qui procèdent à des installations
Ils enregistrent sur le disque, puis installent d'autres chevaux de Troie présents dans le corps de ces programmes.
Les individus malintentionnés peuvent utiliser ce genre de chevaux de Troie pour :
- Installer un programme malveillant à l'insu de l'utilisateur : ces chevaux de Troie n'affichent aucun message réel ou fictif (par exemple, messages relatifs à une erreur dans une archive ou à la version incorrecte du système d'exploitation) ;
- Protéger un autre programme malveillant connu : tous les antivirus ne sont pas en mesure d'identifier un programme malveillant au sein d'un cheval de Troie qui réalise des installations.
Trojan-Notifier
Chevaux de Troie qui envoient des notifications
Ils signalent à l'individu malintentionné que la communication avec l'ordinateur infecté est établie et transmettent des informations relatives à l'ordinateur : adresse IP, numéro du port ouvert ou adresse email. Ils contactent l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens.
Ces programmes sont souvent utilisés dans les sélections de différents chevaux de Troie. Ils indiquent à l'individu malintentionné que les autres chevaux de Troie ont bien été installés sur l'ordinateur de l'utilisateur.
Trojan-Proxy
Chevaux de Troie faisant office de proxy
Ils permettent à l'individu malintentionné de contacter anonymement des pages Internet via l'ordinateur de la victime ; le plus souvent, ils sont utilisés pour diffuser du spam.
Trojan-SMS
Chevaux de Troie qui volent des mots de passe
Il s'agit de chevaux de Troie qui volent des mots de passe (Password Stealing Ware) ; ils volent les données des comptes des utilisateurs, les données d'enregistrement d'un logiciel. Ils recherchent les données confidentielles dans les fichiers système et dans la base de registre et les transmettent à leur « attaquant » via email ou via FTP sur la page Internet de l'individu malintentionné ou par d'autres méthodes.
Certains de ces programmes appartiennent à des groupes particuliers décrits dans ce tableau. Il s'agit des chevaux de Troie qui volent les comptes bancaires (Trojan‑Banker), des chevaux de Troie qui volent les données des utilisateurs des clients IM (Trojan‑IM) et des chevaux de Troie qui volent les données des adeptes de jeux en ligne (Trojan‑GameThief).
Trojan-Spy
Chevaux de Troie espions
Ils espionnent l'utilisateur et collectent des informations sur les actions qu'il effectue lorsqu'il travaille sur son ordinateur. Ils peuvent intercepter les données que l'utilisateur saisit au clavier, faire des captures d'écran ou collecter des listes d'applications actives. Une fois qu'ils ont obtenu ces informations, ils les transmettent à l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens.
Trojan-DDoS
Chevaux de Troie pour attaques réseau
Ils envoient de nombreuses requêtes vers un serveur distant au départ de l'ordinateur de la victime. Le serveur ne dispose pas de ressources suffisantes pour traiter les requêtes et il arrête de fonctionner (Denial-of-service (DoS), déni de service). Ces programmes infectent généralement plusieurs ordinateurs pour attaquer simultanément un serveur.
Les programmes de type DoS lancent l'attaque depuis un ordinateur avec l'accord de l'utilisateur. Les programmes de type DDoS (Distributed DoS) lancent des attaques distribuées depuis plusieurs ordinateurs, à l'insu de l'utilisateur de l'ordinateur infecté.
Trojan-IM
Chevaux de Troie qui volent les données des utilisateurs de clients IM
Ils volent les numéros et les mots de passe des utilisateurs des clients IM. Ils transmettent ces informations à l'individu malintentionné par email ou via FTP (vers le site de ce dernier) ou par d'autres moyens.
Rootkit
Rootkits
Ils masquent d'autres applications malveillantes et leur activité, et prolongent ainsi la persistance de ces applications dans le système d'exploitation. Ils peuvent également dissimuler des fichiers, des processus dans la mémoire d'un ordinateur infecté ou des clés de registre qui exécutent des applications malveillantes. Les rootkits peuvent masquer l'échange de données entre les applications sur l'ordinateur de l'utilisateur et les autres ordinateurs du réseau.
Trojan-SMS
Chevaux de Troie qui envoient des messages SMS
Ils infectent des téléphones mobiles et les utilisent pour envoyer des messages SMS vers des numéros payants.
Trojan-GameThief
Chevaux de Troie qui volent les données des adeptes de jeux en ligne
Ils volent les comptes des adeptes de jeux en ligne ; ils transmettent les données à l'individu malveillant par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens.
Trojan-Banker
Chevaux de Troie qui volent les données de comptes bancaires.
Ils volent les données des comptes bancaires ou les données des comptes de système de porte-monnaie électronique ; ils transmettent les données à l'individu malveillant par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens.
Trojan-Mailfinder des adresses email
Chevaux de Troie qui récoltent des adresses email
Ils recueillent les adresses email sur l'ordinateur et les envoient à l'individu malintentionné par email, via FTP (sur le site de l'individu malintentionné) ou via d'autres moyens. Les individus malintentionnés utilisent ensuite ces adresses pour diffuser du spam.
- Outils malveillants ;
Sous-catégories : outils malveillants (Malicious_tools)
Niveau de danger : moyen
Contrairement aux autres types de logiciels malveillants, les outils malveillants n'exécutent pas leurs actions immédiatement après leur démarrage. Elles peuvent être stockées et lancées en toute sécurité sur l'ordinateur de l'utilisateur. Les individus malintentionnés utilisent les fonctions de ces programmes pour développer des virus, des vers et des chevaux de Troie, organiser des attaques réseau contre des serveurs distants, s'introduire dans des ordinateurs ou exécuter d'autres actions malveillantes.
Les différentes fonctionnalités des outils malveillants sont regroupées en types présentés dans le tableau suivant.
Fonctionnalités des outils malveillants
Type
Nom
Description
Constructor
Constructeurs
Ils permettent de créer de nouveaux virus, vers ou chevaux de Troie. Certains constructeurs sont dotés d'une interface standard à base de fenêtres qui permet, à l'aide de menus, de sélectionner le type de programme malveillant à créer, son mode de résistance face aux débogueurs ainsi que d'autres propriétés.
Dos
Attaques réseau
Ils envoient de nombreuses requêtes vers un serveur distant au départ de l'ordinateur de la victime. Le serveur ne dispose pas de ressources suffisantes pour traiter les requêtes et il arrête de fonctionner (Denial-of-service (DoS), déni de service).
Exploit
Exploits
L'exploit est un ensemble de données ou de code qui exploite une vulnérabilité de l'application dans laquelle il est exécuté afin de réaliser une action malveillante quelconque sur l'ordinateur. Par exemple, un exploit peut écrire ou lire des fichiers ou contacter des pages Internet "infectées".
Divers exploits exploitent les vulnérabilités de diverses applications et services réseau. L'exploit sous la forme d'un paquet réseau se transmet via le réseau vers de nombreux ordinateurs à la recherche d'ordinateurs possédant des services réseau vulnérables. L'exploit d'un fichier DOC utilise la vulnérabilité de l'éditeur de test. Il peut commencer à exécuter les fonctions intégrées par l'individu malintentionné lorsque l'utilisateur ouvre le fichier infecté. L'exploit intégré à un email recherche les vulnérabilités dans un client de messagerie quelconque. Il peut commencer à exécuter l'action malveillante dès que l'utilisateur ouvre le message infecté dans le client de messagerie.
Les vers de réseau (Net-Worm) se diffusent grâce aux exploits. Les exploites de type Nuker sont des paquets réseau qui mettent l'ordinateur hors service.
FileCryptor
Encodeurs
Ils encodent d'autres programmes malveillants afin de les cacher pour les logiciels antivirus.
Flooder
Programmes de "pollution" du réseau
Ils envoient une multitude de messages via les canaux réseau. Les programmes utilisés pour polluer les canaux IRC (Internet Relay Chats) appartiennent à cette catégorie.
La catégorie Flooder ne reprend pas les applications qui "polluent" l'email, les clients IM et les systèmes mobiles. Ces programmes sont regroupés dans des catégories distinctes décrites dans ce tableau (Email-Flooder, IM-Flooder et SMS-Flooder).
HackTool
Outils de piratage
Ils permettent de s'emparer de l'ordinateur sur lequel ils sont installés ou d'attaquer un autre ordinateur (par exemple, ajout d'autres utilisateurs au système sans l'autorisation de la victime ; purge des journaux du système afin de dissimuler les traces de leur présence dans le système). Il s'agit de quelques sniffers qui possèdent des fonctions malveillantes telles que l'interception des mots de passe. Les sniffers sont des programmes qui permettent de consulter le trafic réseau.
Hoax
Canulars
Ils effraient l'utilisateur à l'aide de messages semblables à ceux que pourrait produire un virus : ils peuvent découvrir un virus dans un fichier sain ou annoncer le formatage du disque alors qu'il n'aura pas lieu.
Spoofer
Utilitaires d'imitation
Ils envoient des messages et des requêtes réseau au départ d'adresses fictives. Les individus malintentionnés les utilisent pour se faire passer pour l'expéditeur.
VirTool
Instruments pour la modification des programmes malveillants
Ils permettent de modifier d'autres programmes malveillants afin de les rendre invisibles pour les logiciels antivirus.
Email-Flooder
Programmes qui "inondent" l'email.
Ils envoient de nombreux messages aux adresses email du carnet d'adresses ("pollution du courrier"). Ce flux important de messages empêche l'utilisateur de lire le courrier utile.
SMS-Flooder
Programmes de "pollution" des clients IM
Ils envoient de nombreux messages aux utilisateurs de clients IM. Ce flux important de messages empêche l'utilisateur de lire les messages utiles.
SMS-Flooder
Programmes de "pollution" des messages SMS
Ils envoient de nombreux messages SMS vers les téléphones portables.
- Logiciel publicitaire ;
Sous-catégorie : logiciels publicitaires (Adware)
Niveau de menace : moyen
Les logiciels publicitaires montrent des publicités à l'utilisateur. Elles affichent des bannières publicitaires dans l'interface d'autres programmes ou réorientent les demandes vers les sites dont la publicité est assurée. Certains d'entre elles recueillent également des informations marketing sur l'utilisateur qu'elles renvoient à l'auteur : par exemple, catégorie de sites Internet visités, mots clés utilisés dans les recherches. А̀ la différence des chevaux de Troie espions, elles transmettent ces informations avec l'autorisation de l'utilisateur.
- Numéroteurs automatiques ;
Sous-catégorie : programmes légitimes pouvant être exploités par un individu malintentionné afin de nuire à l'ordinateur ou à vos données.
Niveau de danger : moyen
La majorité de ces applications est utile et bon nombre d'utilisateurs les emploient. Parmi ceux-ci, nous retrouvons les clients IRC, les numéroteurs automatiques (dialers), les programmes pour le chargement des fichiers, les dispositifs de surveillance de l'activité des systèmes informatiques, les utilitaires de manipulation de mots de passe, les serveurs Internet de services FTP, HTTP ou Telnet.
Toutefois, si les individus malintentionnés mettent la main sur de tels programmes ou les infiltrent dans l'ordinateur de l'utilisateur, ils peuvent exploiter certaines de leur fonction pour compromettre la sécurité.
Ces programmes se distinguent par leurs fonctions dont les types sont décrits dans le tableau ci-dessous :
Type
Nom
Description
Client-IRC
Clients de chats
Les utilisateurs installent ces programmes afin de pouvoir communiquer dans les canaux IRC (Internet Relay Chats). Les individus malintentionnés les utilisent pour diffuser des programmes malveillants.
Dialer
Numéroteurs automatiques
Ils peuvent établir des connexions téléphoniques par modem à l'insu de l'utilisateur.
Downloader
Programmes de téléchargement
Ils peuvent télécharger des fichiers depuis des pages Internet en mode caché.
Monitor
Programmes de surveillance
Ils permettent de surveiller l'activité sur l'ordinateur sur lequel ils sont installée (observent les applications exécutées et les échangent de données avec les applications sur d'autres ordinateurs).
PSWTool
Récupérateur de mots de passe
Ils permettent de consulter et de récupérer les mots de passe oubliés. C'est à cette fin que les individus malintentionnés les installent à l'insu des utilisateurs.
RemoteAdmin
Programmes d'administration à distance
Ils sont largement utilisés par les administrateurs de système. Ces programmes permettent d'accéder à l'interface de l'ordinateur distant afin de l'observer et de l'administrer. Les individus malintentionnés les installent dans ce même but à l'insu des utilisateurs afin d'observer les ordinateurs distants et de les administrer.
Les applications légitimes d'administration à distance se distinguent des Backdoors. Les chevaux de Troie possèdent des fonctions qui leur permettent de s'introduire dans un système et de s'y installer. Les applications légitimes ne possèdent pas de telles fonctions.
Server-FTP
Serveurs FTP
Ils remplissent les fonctions d'un serveur FTP. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole FTP.
Server-Proxy
Serveurs proxy
Ils remplissent les fonctions d'un serveur proxy. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom.
Server-Telnet
Serveurs Telnet
Ils remplissent les fonctions d'un serveur Telnet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole Telnet.
Server-Web
Serveurs Internet
Ils remplissent les fonctions d'un serveur Internet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole HTTP.
RiskTool
Outils utilisés sur l'ordinateur local
Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille sur son propre ordinateur. Ces outils permettent à l'utilisateur de masquer des fichiers ou des fenêtres d'applications actives et de mettre fin à des processus actifs.
NetTool
Outils réseau
Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille avec d'autres ordinateurs sur le réseau. Ces outils permettent à l'utilisateur de les redémarrer, de détecter les ports ouverts et de lancer des applications installées sur les ordinateurs.
Client-P2P
Clients de réseaux d'échange de fichiers
Ils permettent d'utiliser les réseaux P2P. Les individus malintentionnés peuvent les utiliser pour diffuser des programmes malveillants.
Client-SMTP
Clients SMTP
Envoient les emails en mode caché. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom.
WebToolbar
Barre d'outils Internet
Ils ajoutent une barre d'outils dans l'interface d'autres applications en vue d'une utilisation de systèmes de recherche.
FraudTool
Pseudo-programmes
Ils se font passer pour d'autres programmes. Par exemple, il existe des pseudo-programmes antivirus qui affichent des messages signalant la détection de logiciels malveillants. Or, en réalité, ils ne trouvent ni ne désinfectent rien.
- Détecter d'autres programmes qui peuvent être utilisés par des intrus pour nuire à votre ordinateur ou à vos données personnelles ;
Sous-catégorie : programmes légitimes pouvant être exploités par un individu malintentionné afin de nuire à l'ordinateur ou à vos données.
Niveau de danger : moyen
La majorité de ces applications est utile et bon nombre d'utilisateurs les emploient. Parmi ceux-ci, nous retrouvons les clients IRC, les numéroteurs automatiques (dialers), les programmes pour le chargement des fichiers, les dispositifs de surveillance de l'activité des systèmes informatiques, les utilitaires de manipulation de mots de passe, les serveurs Internet de services FTP, HTTP ou Telnet.
Toutefois, si les individus malintentionnés mettent la main sur de tels programmes ou les infiltrent dans l'ordinateur de l'utilisateur, ils peuvent exploiter certaines de leur fonction pour compromettre la sécurité.
Ces programmes se distinguent par leurs fonctions dont les types sont décrits dans le tableau ci-dessous :
Type
Nom
Description
Client-IRC
Clients de chats
Les utilisateurs installent ces programmes afin de pouvoir communiquer dans les canaux IRC (Internet Relay Chats). Les individus malintentionnés les utilisent pour diffuser des programmes malveillants.
Dialer
Numéroteurs automatiques
Ils peuvent établir des connexions téléphoniques par modem à l'insu de l'utilisateur.
Downloader
Programmes de téléchargement
Ils peuvent télécharger des fichiers depuis des pages Internet en mode caché.
Monitor
Programmes de surveillance
Ils permettent de surveiller l'activité sur l'ordinateur sur lequel ils sont installée (observent les applications exécutées et les échangent de données avec les applications sur d'autres ordinateurs).
PSWTool
Récupérateur de mots de passe
Ils permettent de consulter et de récupérer les mots de passe oubliés. C'est à cette fin que les individus malintentionnés les installent à l'insu des utilisateurs.
RemoteAdmin
Programmes d'administration à distance
Ils sont largement utilisés par les administrateurs de système. Ces programmes permettent d'accéder à l'interface de l'ordinateur distant afin de l'observer et de l'administrer. Les individus malintentionnés les installent dans ce même but à l'insu des utilisateurs afin d'observer les ordinateurs distants et de les administrer.
Les applications légitimes d'administration à distance se distinguent des Backdoors. Les chevaux de Troie possèdent des fonctions qui leur permettent de s'introduire dans un système et de s'y installer. Les applications légitimes ne possèdent pas de telles fonctions.
Server-FTP
Serveurs FTP
Ils remplissent les fonctions d'un serveur FTP. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole FTP.
Server-Proxy
Serveurs proxy
Ils remplissent les fonctions d'un serveur proxy. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom.
Server-Telnet
Serveurs Telnet
Ils remplissent les fonctions d'un serveur Telnet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole Telnet.
Server-Web
Serveurs Internet
Ils remplissent les fonctions d'un serveur Internet. Les individus malintentionnés les introduisent sur l'ordinateur de la victime afin d'ouvrir l'accès à distance via le protocole HTTP.
RiskTool
Outils utilisés sur l'ordinateur local
Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille sur son propre ordinateur. Ces outils permettent à l'utilisateur de masquer des fichiers ou des fenêtres d'applications actives et de mettre fin à des processus actifs.
NetTool
Outils réseau
Ils offrent à l'utilisateur des options supplémentaires lorsqu'il travaille avec d'autres ordinateurs sur le réseau. Ces outils permettent à l'utilisateur de les redémarrer, de détecter les ports ouverts et de lancer des applications installées sur les ordinateurs.
Client-P2P
Clients de réseaux d'échange de fichiers
Ils permettent d'utiliser les réseaux P2P. Les individus malintentionnés peuvent les utiliser pour diffuser des programmes malveillants.
Client-SMTP
Clients SMTP
Envoient les emails en mode caché. Les individus malintentionnés les introduisent sur l'ordinateur des victimes afin de diffuser du spam en leur nom.
WebToolbar
Barre d'outils Internet
Ils ajoutent une barre d'outils dans l'interface d'autres applications en vue d'une utilisation de systèmes de recherche.
FraudTool
Pseudo-programmes
Ils se font passer pour d'autres programmes. Par exemple, il existe des pseudo-programmes antivirus qui affichent des messages signalant la détection de logiciels malveillants. Or, en réalité, ils ne trouvent ni ne désinfectent rien.
- Fichiers compressés pouvant dissimuler un programme malveillant ;
Kaspersky Endpoint Security analyse les objets compressés et le module de décompression dans les archives autoextractibles SFX.
Pour masquer les applications dangereuses et empêcher leur découverte par les logiciels antivirus, les individus malintentionnés les compressent à l'aide de programmes spéciaux ou compressent le même objet plusieurs fois.
Les experts antivirus de Kaspersky ont identifié les outils de compression que les individus malintentionnés utilisent le plus souvent.
Si Kaspersky Endpoint Security découvre un de ces compresseurs dans un objet, celui-ci contient probablement un programme malveillant ou une application qui pourrait être utilisée par l'individu malintentionné pour nuire à l'ordinateur ou aux données de l'utilisateur.
Kaspersky Endpoint Security identifie les programmes suivants :
- Les fichiers compressés qui peuvent nuire : ils servent à compresser des programmes malveillants, des virus, des vers ou des chevaux de Troie.
- Fichiers compressés à plusieurs reprises (niveau de menace moyen) : l'objet est compressé à trois reprises par un ou plusieurs outils de compression.
- Objets compressés à plusieurs reprises.
Kaspersky Endpoint Security analyse les objets compressés et le module de décompression dans les archives autoextractibles SFX.
Pour masquer les applications dangereuses et empêcher leur découverte par les logiciels antivirus, les individus malintentionnés les compressent à l'aide de programmes spéciaux ou compressent le même objet plusieurs fois.
Les experts antivirus de Kaspersky ont identifié les outils de compression que les individus malintentionnés utilisent le plus souvent.
Si Kaspersky Endpoint Security découvre un de ces compresseurs dans un objet, celui-ci contient probablement un programme malveillant ou une application qui pourrait être utilisée par l'individu malintentionné pour nuire à l'ordinateur ou aux données de l'utilisateur.
Kaspersky Endpoint Security identifie les programmes suivants :
- Les fichiers compressés qui peuvent nuire : ils servent à compresser des programmes malveillants, des virus, des vers ou des chevaux de Troie.
- Fichiers compressés à plusieurs reprises (niveau de menace moyen) : l'objet est compressé à trois reprises par un ou plusieurs outils de compression.
- Virus et vers ;
- Enregistrez vos modifications.
Types d'objets à détecter