Adwares/Spywares : Comment NE PAS désinfecter son PC ?

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Messages : 116259
Inscription : 10 sept. 2005 13:57

Adwares/Spywares : Comment NE PAS désinfecter son PC ?

par Malekal_morte »

Pour la majorité des internautes, la protection d'un PC passe par l'installation d'un antivirus, d'un antispyware et parfois d'un pare-feu et cela s'arrête en général là.
La plupart du temps, on retrouve proposé Avast!, SpyBot et/ou Ad-Aware 2007, dû au fait que SpyBot et Ad-Aware ont été les premiers antispywares gratuits utilisés et qu'ils ont une bonne réputation. Ces conseils sont renforcés et alimentés, à l'heure actuelle, par des articles sur des magazines ou des sites WEB de grandes audiences.

Il est conseillé de lire en complément Antispyware gratuit : ça sert à rien!

Les forums de désinfection ou le thermomètre des infections

Très peu d'internautes connaissent les forums de désinfections, du fait que leur contenu reste assez incompréhensible : longues séries de rapport.
Ce sont pourtant de formidables thermomètres quotidiens d'activités virales, ils permettront de recueillir des fichiers d'infections, qui pourront être remis aux éditeurs d'antivirus; enfin ils permettent aussi de voir ce qui se fait de mieux en matière de désinfections.
Voici quelques uns des plus gros forums de désinfections : Petit apparté :
Comme vous pouvez le voir 4 forums à eux seuls obtiennent un total de 607290 ce qui vous laisse une idée du nombre de désinfections réalisées sur la toile par ces forums.
Quand je vois les comparatifs antivirus sur divers sites/magazines français où des dizaines d'antivirus obtiennent des scores de + 96% de détections... on voit bien le décalage entre la réalité (le nombre de désinfection réalisée) et ces comparatifs.


Pour en revenir à l'objectif initial de cet article, vous verrez aussi que dans ces forums de désinfections, personne n'utilise Ad-Aware ou SpyBot... Pourtant, ce sont les deux antispywares que les grands sites ou magazines conseillent à tout bout de champs ou des forums quelconques dès qu'on a un problème d'infection : encore un décallage entre ce qu'on peut lire partout et la réalité!

Moi même, je fais des désinfections et je ne le fais pas utiliser ces antispywares. Je peux vous garantir que si vous voulez perdre votre temps dans le cas où vous êtes infecté, c'est bien de passer Avast!, SpyBot ou Ad-Aware, chose que je vais essayer de vous démontrer dans le prochain paragraphe.


Comment ne pas désinfecter son PC

Voici une série de tests de désinfections par SpyBot et Ad-Aware sur infections de type adwares/spywares plus que courantes.
Ce sont les infections que l'on retrouve dans "top 10 des adwares" données dernièrement par Panda (voir : panda-top-des-adwares-t8006.html), et que l'on rencontre tous les deux posts sur les forums de désinfections.

A savoir :

Voici le rapport HijackThis de la machine non infectée, pour rappel HijackThis liste des points clefs du système, il permet entre autre de voir les programmes chargés etc.. Les infections étant du programmes, on peut visualiser ces dernières sur les rapports HijackThis pour éventuellement nettoyer (pour les curieux, se reporter à la page HijackThis & localisation des malwares sur le système).

Le but de ce rapport initial est que vous puissiez comparer les rapport HijackThis entre la machine propre et infectée pour en déduire les lignes infectieux. Je ferai apparaître tout de même les lignes infectieuses en rouge.

Rien d'extraordinaire dans ce rapport, SpyBot, Avast! et Ad-aware 2007.
Image

Pour chaque infection, je vous montrerai le rapport HijackThis issue de l'infection, s'en suivra un nettoyage Ad-aware + SpyBot et les résultats/conséquences du nettoyage sur HijackThis.


NOTE IMPORTANTE : Ces infections ne sont pas du ressort de l'antivirus, car Adwares/Spywares, on ne peut donc pas pleinement jeter la pierre à Avast! dans ce test. Bien que certaines infections installent des trojans et sont traités par certains antivirus.
Pour rappel, un antivirus vise les trojans/backdoor/rootkits/virus, un antispyware les spywares/adwares/éventuellement Trojan.Cliker.
Note : depuis la v4.8 Avast! détecte les spywares/adwares.


Adware/VideoAddon

Cette infection se propage via de faux codecs, le but est d'afficher de fausses alertes de sécurités afin de vous faire télécharger et surtout acheter des rogues

J'ai gagné une nouvelle barre d'outils sur Internet Explorer qui me rediriger vers des sites d'alertes.
Image

Exemple de popups d'alertes :
Image

Le bureau défiguré avec des alertes...
Image

Voici le rapport HijackThis de l'infection :
Image

Ont donc été ajoutées, une ligne ligne O2 relatives à une BHO, une ligne O3 toolbar (la barre d'outils mentionnée au dessus) et deux lignes O21. Nous avons donc gagné 4 nouveaux fichiers infectieux.

Vous trouverez les scans VirusTotal des fichiers depuis ce lien : https://www.malekal.com/fichiers/spybot_ ... s_scan.txt
On est donc loin des 96% de détection que l'on voit sur les comparatifs antivirales.

C'est parti pour le nettoyage :
  • Exceptionnellement, je scanne avec Avast! car cette infection est détectée par certains antivirus : détecté le fichier bqxomdo.dll, c'est à dire 1 sur les 4 fichiers.
    Image
  • SpyBot détecte plusieurs éléments, en majorité des éléments du registre, des cookies et une DLL (elfwgps.dll)
    Image
  • Ad-Aware n'a rien détecté (ormis des cookies).
Voici le nouveau rapport HijackThis à l'issu de la désinfection.
Une ligne O21 a été supprimée, et la ligne O2 une BHO elfwgps.dll est marquée comme "file missing", c'est à dire que le fichier n'est plus présent donc nettoyé.
Image

Il reste encore deux fichiers actifs, l'infection n'a donc été que partiellement nettoyée.
Le fond d'écran est revenu à la normale mais certains désagréments sont encores présents (fausses alertes, redirections etc..).

Le contrat n'a pas été rempli.


Adware.Lop/Swizzor

Adware.Lop/Swizzor s'installe aussi avec certains programmes dits gratuits, toujours afin de rémunérer les auteurs via des popups de publicités.
Les programmes les plus courants qui installent ce sponsor sont des programmes de P2P type torrent : BitDownload etc.. ou par exemple Messenger 3 Plus!

L'infection ouvre des popups avec comme titre "CiD"
Image

J'ai donc installé un programme piégé BitDownload...
Sur HijackThis, on retrouve une ligne O4 BitDownload + deux autres lignes 04 avec des noms anglais aléatoires.
Une des lignes pointent sur le répertoire C:\Documents and Settings\All Users\Application Data\<mot anglais aléatoires>.
La second ligne, elle pointe vers C:\Documents and Settings\Malekal_morte\Application Data\<mot anglais aléatoires>.

Ces fichiers chargent une instance invisibles d'Internet Explorer qui ouvre des popups, cette infection peut donc ouvrir plusieurs Internet Explorer à l'insu de l'utilisateur qui peuvent conduire à des ralentissements de l'ordinateur.
Image

Let's go pour le nettoyage...
  • Pas de scan Avast! : ce n'est pas de son ressort
  • SpyBot détecte bien Swizzor mais seulement le répertoire C:\Documents and Settings\All Users\Application Data\<mot anglais aléatoires>.
  • Ad-Aware détecte enfin quelque chose de néfaste, à savoir la même chose que SpyBot : le répertoire C:\Documents and Settings\All Users\Application Data\<mot anglais aléatoires>.
    Image
    https://www.malekal.com/fichiers/spybot_ ... SpyBot.png
Ad-Aware n'a pas réussi à nettoyer ce qu'il a détecté, par contre SpyBot oui...
Un seul des deux répertoires infectieux qui ont été ajoutés a été nettoyé. Cela est suffisant tout de même pour ne plus recevoir de popups publicités.
Par contre, des instances d'Internet Explorer continuent de se lancer. Cela bouffe des ressources systèmes mais conduit aussi à des problèmes, j'ai constaté que parfois lorsque l'on cliquait sur un lien, cela ouvrait une fenêtre Internet Explorer vide.

Encore une fois la désinfection n'a été que partielle. On notera que l'utilisation de deux antispywares reste du pile ou face et ne donne pas forcément de meilleurs résultats, puisque SpyBot et Ad-Aware ont détecté les mêmes composants de l'infection et laisser passer les mêmes.



Zlob/Renos/Trojan.FakeAlert

Cette infection se propage aussi via de faux codecs, le but est aussi d'afficher de fausses alertes de sécurités afin de vous faire télécharger et surtout acheter des rogues

On voit une icône bulle d'alerte en bas à droite à côté de l'horloge... l'installation à notre insu d'un rogue VirusProtect.. qui soit disant détecte des éléments infectieux mais bien entendu, il faut payer pour nettoyer.
En autre, l'infection opère des redirections lors des recherches Googles vers des sites affichant de fausses alertes de sécurités.

Image

Voici le rapport HijackThis de cette infection.
On gagne une ligne O2 BHO avec 1201403935.dll responsable des redirections lors des recherches Google.
une ligne O22 responsable de l'icône d'alerte.
Image

Go pour le nettoyage...
  • Avast! ne trouve rien :
    Image
  • Ad-Aware trouve des clefs du registre mais qui n'aident pas dans la résolution du problème.
    Image
  • SpyBot détecte une bonne partie de l'infection.
    Image
    Image
A l'issu du nettoyage de SpyBot, on se retrouve avec ce rapport HijackThis :
Beaucoup de nouvelles lignes "SpyBot Deleting", ce sont en fait des ajouts effectués par SpyBot afin de tenter de supprimer certains fichiers de l'infection au redémarrage de l'ordinateur.
Image

Au redémarrage, on obtient le rapport HijackThis suivant :
Image

Il reste trois lignes infectieuses dans le rapport HijackThis, deux sont mentionnées "file missing", ce qui signifie que les fichiers ont bien été supprimés.
La ligne O4 relative au rogue VirusProtect est une clef orpheline (des restes dans le registre), SpyBot a bien supprimé le rogue qui n'apparaît plus.
Plus aucune alerte et redirection lorsque l'on surfe.
SpyBot a nettoyé l'infection à lui tout seul.



Vundo/Virtumonde & Adwares Zango

Maintenant une infection Virtumonde/Vundo
Cette infection apparue en 2005 est l'un des adwares les plus répandus.

Voici le rapport HijackThis :
La ligne O20 (fichier avec nom aléatoire opnoolj.dll) est l'infection Vundo/Virtumonde (voir le scan VirusTotal de opnoolj.dll).
La majorité des lignes O4 sont des adwares de types Zango qui ouvrent des rond.stardoors.com (Wintouch, InetGet2, Router, OuterInfo etc.).

On a donc Virtumonde + d'autres adwares de la même familles suceptibles d'ouvrir des popups de publicités à l'insu de l'utilisateur.

Image

Lançons la désinfection :
  • Avast! a détecté 4 fichiers infectieux... mais pas
    Image
  • Ad-Aware 2007 détecte des éléments :
    Image
    Ce sont beaucoup d'éléments du registre...
    Image
  • SpyBot détecte lui aussi plusieurs éléments qui restent en général, des éléments du registre :
    Image
    Image
Aucune mention du fichier opnoolj.dll, ce qui est mauvais signe.

Voici le rapport HijackThis après désinfection.
Les lignes Vundo/Virtumonde (opnoolj.dll) sont encore présentes, les popups de publicités vont donc continuer à apparaître.
On notera que les adwares types Zango (Router, Wintouch etc.) ont été supprimés du rapport HijackThis et ne sont donc plus actifs.

L'infection n'a été que partiellement supprimée, le gros du boulot de l'éradication a été effectué par SpyBot.

Image


Adware/NaviPromo/Magic.Control

Adware/NaviPromo/Magic.Control est une infection qui se propage via des programmes dits gratuits.
Ces programmes installent un composant qui ouvre des popups de pubs afin de rémunérer les auteurs de ces programmes dits gratuits. Cet aspect est en général flouté.

Cet adware utilise la technologie rootkit (pour plus d'informations, se reporter à la page Le danger et fonctionnement des rootkits. Pour faire bref, un rootkit est capable de se cacher dans le système des autres programmes dont les antivirus, antispywares sauf s'ils sont pourvus d'un scanneur rootkit.
Vous allez voir, ça fait une sacré différence :)

J'ai installé un des programmes piégés à savoir MessengerSkinner.
C'est parti pour le nettoyage :
  • Pas de scan Avast! : ce n'est pas de son ressort
  • SpyBot détecte plusieurs éléments de MessengerSkinner, des cookies (dû aux popups de pubs).
    Image
    Image
  • Ad-Aware n'a rien détecté (hormis des cookies : 34 objets privés).
    Image
A l'issue de la désinfection, la partie adware n'a pas été supprimé.
Si on regarde le rapport HijackThis, on voit bien la ligne MessengerSkinner, mais aussi une ligne avec un fichier tilyfsfsfm.exe qui est en fait l'adware.
La technologie rootkit a bien rempli son rôle en masquant les fichiers aux antispywares qui n'ont vu que du feu.
Image

Encore une fois le contrat de désinfection n'est pas rempli.


Trojan-DNS/Trojan.DNSChanger

Trojan-DNS/Trojan.DNSChanger se propage aussi via de faux codecs aussi mais aussi via des exploits sur des sites WEB (en général pornographique).

Ce trojan modifie la configuration de l'ordinateur afin d'effectuer des redirections lors des recherches Googles vers des sites d'alertes ou vers des publicités.

J'ai donc pris un faux codec que j'ai installé..

Sur HijackThis, on constate la modification des lignes O17.. l'infection modifie la configuration DNS vers des adresses se trouvant en Ukraine afin de pouvoir effectuer les redirections.

Image

Un scan avec le scanneur rootkit catchme montre la présence d'un fichier caché kdlvb.exe qui est le Trojan-DNS/Trojan.DNSChanger.
L'infection utilise donc aussi la technlogie rookit pour se dissimuler dans le système.
Voici le lien du scan du programme d'installation du faux codec et du fichier kdlvb.exe sur VirusTotal : https://www.malekal.com/fichiers/spybot_ ... DNS_VT.txt

Image

C'est parti.. pour la désinfection.
  • Avast! : tout est OK... rien détecté :
    Image
  • Ad-Aware : même chose.. rien détecté :
    Image
  • SpyBot détecté des éléments.. SpyBot détecte en fait les modifications des adresses DNS par l'infection (ligne TCPIP ci-dessous).
    En outre.. il détecte aussi le point de chargement du Trojan kdlvb.exe dans le système (ligne CurrentVersion\Winlogon\System\).

    Fixons et regardons ce qui se passe.
    Image

    Au redémarrage, nous constatons que les lignes O17 pointent maintenant vers des adresses 208.67. Ce sont les serveurs DNS du service OpenDNS (http://www.opendns.com/).
    SpyBot remplace les adresses DNS Ukrainiennes néfastes 85.255 par le système OpenDNS, ce qui est une bonne chose.

    Image

    Malheureusement, les redirections continuent.. SpyBot a pourtant tenter de fixer le point de chargement du Trojan pour qu'il ne se lance plus au démarrage de l'ordinateur.
    Seulement, quand on fix, le Trojan en mémoire reinsère la clef du registre pour s'assurer d'être lancer au démarrage de l'ordinateur.

    L'éradiction n'est donc que partielle et les désagréments continuent à se faire.
    Image





    Conclusion

    La conclusion est sans appel, deux antispywares passés sur six infections courantes, une seule infection éradiquée dans son intégralité.
    Dans la majorité des cas, les signes et désagréments dûes à l'infection sont encore présents, ceci montre donc deux choses :
    • Ad-Aware & SpyBot ne règlent pas tous les problèmes comme on peut le lire dans 90% des cas sur les problèmes d'infections.
    • Le passage de plusieurs antispywares n'est pas forcément la solution puisqu'il y a redondances dans les détections. Passer plusieurs antispywares c'est pile ou face.
    Tout ce qu'on l'on constate sur les forums de désinfection!

    En cas d'infection, je ne saurai vous recommander de lire la page Je suis infecté, que faire? et si vous ne vous en sortez pas de créer un sujet dans la partie VIRUS du forum.

    Pour ce qui est de la prévention, même chose, la multiplication des antispywares n'offrent pas une meilleur protection et peut conduire à un ralentissement certains du PC (voir l'article Phénomène de sur-multiplication des logiciels de protection), surtout que dans la majorité des cas, l'utilisateur ne suit pas le reste des recommandations minimales de sécurité : maintenir Windows/logiciels à jour, attention à ce qu'ils téléchargent etc..

    Pour plus d'informations sur la sécurité de votre ordinateur, voir : Sécuriser son ordinateur (version courte)


    Encore une fois, bannissons les idées reçues :

Remarques Personnelles :
Aucune surprise dans ces tests qui sont à l'image de ce que l'on voit sur les forums de désinfections.

J'ai été particulièrement surpris par inefficacité d'Ad-Aware 2007.
Pour rappel, la version gratuite n'intègre pas de protection en temps réel, il reste donc un scanner de nettoyage et quand on voit son inefficacité, on se demande l'interêt de l'installer.
D'autant plus que, pour un simple scanneur, il laisse tourner des éléments dans le système qui sont assez gourmand. Pour ma part, Ad-Aware 2007, il tend même à devenir une usine à gaz.
Pour terminer, il semblerait que la barre d'outils Ask.com soit bientôt proposée lors de l'installation d'Ad-Aware 2007 : ask-toolbar-spysweeper-zonealarm-autres-t6879.html#p58152

Très franchement, je ne recommande pas l'utilisation d'Ad-Aware 2007, s'il est installé chez vous, je vous recommanderai même de le désinstaller.

A contrario, SpyBot s'en tire assez bien dans l'ensemble. il n'est pas la solution miracle attendue mais il est en tout cas très largement supérieur à Ad-Aware 2007.
SpyBot offre une protection en temps rééel qui dans l'ensemble reste acceptable.
Je vous le recommande comme protection (si vous n'avez pas déjà une alternative), une bonne attitude utilisateur fera la différence.

Ha oui, autre chose, je vous vois venir avec vos gros sabots "wow, pourri Ad-Aware 2007 etc... c'est normal, sont gratuits!" ... réponse, la version payante fera à mon avis pas mieux, les autres antispywares payants pour ce qui est de désinfecter, non plus !

Voir aussi la page Test d'éradication : 10 logiciels de sécurité sur le grill pour se rendre compte que la multiplication des antispywares surtout dans l'éradication n'est pas forcément la solution.

La meilleur protection reste une connaissance minimale des infections et leurs méthodes de propagation, voir : Securiser son ordinateur et connaître les menaces

Lire en complément : Antispyware gratuit : ça sert à rien!

EDIT - 2011/2012

2011 - Se reporter à la page : SuperAntispyware et Spybot VS Malwarebyte

2012 : Spybot ne que bloque casi aucun PUPs/Adwares.
Au niveau de la désinfection, des suppression partielles, sauf SweetIM a sauté, Boxore, PCTuto et d'autres PUPs n'ont pas été supprimés.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116259
Inscription : 10 sept. 2005 13:57

Re: Adwares/Spywares : Comment NE PAS désinfecter son PC ?

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116259
Inscription : 10 sept. 2005 13:57

Re: Adwares/Spywares : Comment NE PAS désinfecter son PC ?

par Malekal_morte »

Pour faire suite au SuperAntispyware et Spybot VS Malwarebyte de 2011...

Un nouveau petit test rapide : Dans le pack d'adwares testé, on trouve en autre, du vieux comme : et divers autres Adwares dontabengine en version FastSearch et aussi des publicités PhraseProfessor.

L'analyse du rapport FRST sur http://pjjoint.malekal.com
On voit les éléments malicieux en rouge :

Image

Image

Les liens :
Les détections Spybot :
Image

Image

A l'issu du scan, la majorité des adwares sont encore présents : http://pjjoint.malekal.com/files.php?re ... 12y12x8m10
Adware.Boxore et Adware.Eorozo sont encore là, les popups continuent de s'ouvrir ainsi que les publicités par mots soulignés PhraseProcessor
Je suis vraiment étonné qu'Eorezo et Boxore ne soient pas détectés alors qu'ils sont hyper courant.

Voici le rapport de scan de Spybot, au final Bubble Dock est supprimé, beaucoup d'éléments dans le registre et de Tracking Cookies.

Le pire étant le nombre d'éléments détectés, cela peut rassurer les utilisateurs ce nombre assez énormes... mais au final, on a quasi rien supprimé.
15-08-17 19:07:27 Errors while cleaning 0
15-08-17 19:07:27 Files moved into quarantine 9
15-08-17 19:07:27 Files successfully cleaned 721


Ensuite, j'ai passé SuperAntispyware,
le premier scan consiste à lister les programmes installés et proposer de lancer la désinstallation.
Notamment Bubble Dock est présent.
Image
Au niveau des détections, on trouve beacoup de fichiers dans la corbeille.... youpi...

Image

289 éléments détectés...

Image

Le rapport pjjoint après le nettoyage SuperAntispyware : http://pjjoint.malekal.com/files.php?re ... 11s11u7q10
Presque tous les antispywares sont présents.

Encore une fois, le nombre de détections peut faire dire que le programme est extraordinaire... mais la plupart des adwares sont encore présents.

On termine par Malwarebytes Anti-Malware - 681 éléments détectés.

Image
Le rapport après nettoyage Malwarebytes : http://pjjoint.malekal.com/files.php?re ... 7c5m5c14b9
La pluspart des adwares ont été supprimés, plus de publicité intempestives.

Seul bémol, Malwarebytes Anti-Malware bloquait durant la suppression des adwares, du coup, 73 détections sont restés.
Je n'ai du coup pas de rapport à donner, puisqu'il n'a rien supprimé et donc pas créé le rapport.

Conclusion

Rien n'a changé en 4 ans.
Je suis particulièrement étonné par la très mauvaise performance de Spybot notamment sur des adwares très anciens et connus. La version 2 de Spybot ne change rien.
SuperAntispyware est très moyen.
Malwarebytes Anti-Malware est le seul à avoir donné quelque chose.
C'est pour cela, que Malwarebytes Anti-Malware est le seul utilisé sur les forums de désinfection.

Pour ma part, je continue à faire désinstaller Spybot, qui reste plébiscité certainement car des sites continuent de le recommander et que lors des scans, des détections ont lieu.
Les utilisateurs imaginent qu'il est donc utile.

En plus de Malwarebytes Anti-Malware,
HitMan Pro est relativement efficace.
A voir aussi pour : Emsisoft Anti-Malware

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »