Hé les utilisateurs de Windows : Voici comment bénéficier de la puissance incroyable de 67 moteurs antivirus sans impact sur les performances de votre ordinateur.

Il ne se passe pas une semaine sans que je nettoie l'ordinateur de quelqu'un et que je détecte et éradique des logiciels malveillants. Il n'est pas rare que je trouve des dizaines d'infections, chacune faisant de son mieux pour inciter l'utilisateur à installer plusieurs faux programmes antivirus ou, pire, à se préparer à verrouiller ses données dans une attaque de ransomware.

Tous ces utilisateurs se plaignent à juste titre que leur programme antivirus (AV) est imprécis et passe à côté de logiciels malveillants évidents qui apparaissent sous leurs yeux. C'est particulièrement ennuyeux lorsque ce logiciel réduit les performances en échange de la "protection" de l'utilisateur.

(Notez que si le terme "antivirus" n'est pas exactement un terme inapproprié, il n'est pas non plus le plus précis pour ce type de logiciel puisque les virus informatiques ne représentent qu'un très faible pourcentage des détections de nos jours. "Antimalware" est plus précis et est mon terme préféré, mais puisque le monde le connaît sous le nom d'"antivirus", c'est le terme que j'utiliserai ici).

Tous les logiciels antivirus passent à côté d'un pourcentage important de logiciels malveillants. Cela s'explique par le fait que les auteurs de logiciels malveillants professionnels conçoivent leurs écosystèmes de logiciels malveillants et de réseaux de zombies de manière à ce qu'ils s'auto-actualisent dès qu'ils commencent à être détectés. Si les moteurs antivirus finissent par détecter des millions de variantes de logiciels malveillants, ils ont toujours une génération de retard et ne parviennent pas à repérer les logiciels qui se sont auto-modifiés pour éviter d'être découverts.

Les taux de précision globaux augmentent et diminuent constamment, bien que certains produits soient meilleurs que d'autres... pendant un certain temps. Mais encore une fois, aucun produit audiovisuel n'est précis à 100 %. Aucun produit ne sera super précis au cours d'une année entière.

Une détection maximale des logiciels malveillants pour tous

Voici ce que vous devez faire : Installez un produit antivirus qui fait du bon travail, qui a une longue histoire de stabilité et de succès, et qui ne ralentit pas votre système (à moins que vous n'acceptiez un peu de lenteur). Utilisez ensuite Windows Sysinternals Process Explorer ou Autoruns pour tester les exécutables en cours d'exécution par rapport aux 67 moteurs antivirus de VirusTotal, ce qui offre la meilleure précision possible (avec un faible pourcentage de faux positifs).

Étape par étape, faites-le maintenant pour tous les ordinateurs Windows :

Assurez-vous que votre ordinateur dispose d'une connexion active à Internet.
Allez sur Sysinternals.com. C'est un site Microsoft.
Téléchargez Process Explorer et Autoruns. Les deux sont gratuits, comme tout ce qui se trouve sur le site.
Décompressez ces programmes. Si vous utilisez Process Explorer, utilisez procexp.exe. Si vous utilisez Autoruns, utilisez autoruns.exe (autorunsc.exe est la version en ligne de commande).
Cliquez avec le bouton droit de la souris et exécutez l'exécutable du programme en tant qu'administrateur, afin qu'il s'exécute dans le contexte de sécurité de l'administrateur.
Exécutez d'abord Process Explorer (je vous expliquerai Autoruns plus tard). Sélectionnez le menu Options en haut de l'écran.
Choisissez VirusTotals.com et Check VirusTotals.com.
Cela soumettra tous les exécutables en cours d'exécution au site VirusTotal, qui est géré et entretenu par Google. Vous recevrez un message vous demandant d'accepter la licence ; répondez Oui. Vous pouvez fermer le site VirusTotal qui s'affiche et retourner à l'Explorateur de processus.
Dans Process Explorer, vous verrez une colonne intitulée Virus Total. Elle indique soit Hash Submitted (pendant les premières secondes), soit un ratio, comme 0/67, 1/67/ 14/66, etc.

Explorateur de processus

Exemple de ratios de Process Explorer et VirusTotal

Comme vous l'avez probablement deviné, le ratio VirusTotal affiché indique combien de moteurs antivirus de VirusTotal ont signalé l'exécutable (hash) soumis comme malveillant. Actuellement, la liste des moteurs antivirus est de 67, mais elle augmente et diminue constamment. Je ne sais pas pourquoi certains exécutables sont inspectés par tous les moteurs antivirus et pas d'autres, mais quel que soit le dénominateur (chiffre inférieur), si le numérateur (au-dessus de la ligne) est supérieur à zéro, vous pourriez avoir un malware.

En revanche, s'il est indiqué 1/57 ou 2/57, il ne s'agit probablement pas d'un logiciel malveillant, mais plutôt d'un faux positif. D'autre part, j'ai vu au moins un vrai programme malveillant qui n'a été détecté que par un seul des moteurs, alors vérifiez si le nom et le fournisseur qui a créé le programme vous semblent familiers. Si ce n'est pas le cas, il pourrait être malveillant. Mais en général, si le numérateur est égal à 1, je me détends. Si c'est 2, j'enquête un peu plus. Mais même la plupart des 2 finissent par être des faux positifs.

Blog

 

Exemple de faux positifs de VirusTotal

Si vous n'êtes pas sûr, il vous suffit de cliquer sur le rapport signalé pour accéder à la page de VirusTotal indiquant les moteurs AV qui l'ont signalé comme malware et ceux qui ne l'ont pas signalé. VirusTotal affiche également deux symboles en haut de la page, l'un représentant un diable rouge et l'autre un smiley vert portant une auréole. Si la flèche est dirigée vers le smiley vert, ce qui est généralement le cas, cela signifie que l'expérience de VirusTotal l'amène à classer le fichier comme non malveillant. Dans l'exemple de capture d'écran ci-dessous, même si le seul programme AV "malveillant" (dans ce cas, eGambit) affirme avoir 99 % de certitude que le fichier est malveillant, aucun des 65 autres programmes AV n'est d'accord, et VirusTotal lui-même (comme en témoigne le smiley vert sélectionné) n'est pas d'accord.

Alors pourquoi recommander un programme qui présente souvent des faux positifs ? Tout d'abord, c'est un problème inhérent à VirusTotal et non à Process Explorer. En général, les faux positifs sont éliminés en quelques heures, lorsque le fournisseur d'antivirus effectue ses recherches et son nettoyage. Et si vous pouvez ignorer les éventuels faux positifs mineurs qui sont faciles à écarter, il n'existe pas de moteur antivirus unique qui soit aussi précis que VirusTotal. Il peut commettre quelques erreurs mineures en privilégiant la prudence, mais il se rattrape largement en détectant les éléments que de nombreux autres antivirus ne détectent pas. Il utilise la puissance de 67 moteurs AV différents contre les auteurs de logiciels malveillants. Votre produit antivirus peut manquer quelque chose, mais VirusTotal ne le fait pas.

La plupart des programmes malveillants sont capturés à un ratio dont le numérateur est de 3 ou plus (ex. 13/67). En fait, je n'ai jamais eu de faux positif lorsque le numérateur était de 3 ou plus. Lorsque je vois quelque chose à ce numérateur ou plus, je clique avec le bouton droit de la souris dans l'Explorateur de processus, je note le chemin d'accès au fichier et je tue le processus si je ne reconnais pas absolument le fichier du programme et ne lui fais pas confiance.

Ensuite, je supprime manuellement les fichiers associés à l'exécutable - mais procédez à vos risques et périls ! Soyez prévenu : Il y a toujours une chance que vous supprimiez accidentellement quelque chose dont vous avez besoin pour qu'une application ou un pilote fonctionne. Si vous êtes inquiet, renommez plutôt le fichier. Cela suffit à empêcher le programme malveillant de se relancer en utilisant ce même fichier. Je le renomme généralement en quelque chose dont l'extension se termine par "thisismalware" afin de me souvenir de ce que j'ai fait si je le revois. En général, si je ne suis pas sûr que le fichier que je veux supprimer est malveillant, je renomme le fichier, j'attends une semaine, puis je supprime le fichier lorsque je suis plus sûr de n'avoir rien touché de légitime.

Il arrive parfois qu'un logiciel malveillant se " batte " avec vous et ne vous laisse pas tuer le processus. Si c'est le cas, répétez le processus ci-dessus, mais utilisez Autoruns à la place. Utilisez Autoruns pour désélectionner le programme afin qu'il ne se charge pas au démarrage. Redémarrez et exécutez à nouveau Process Explorer. En général, le programme malveillant ne sera pas exécuté et vous pourrez le supprimer. Si l'utilisation d'Autoruns ne fonctionne pas et que le fichier continue à vous résister, vous devrez démarrer en mode sans échec, trouver l'exécutable, puis le supprimer ou le renommer. Cela fait des années que je ne suis pas tombé sur un exécutable qui me résiste au-delà de cette étape, mais c'est possible. Si cela se produit, utilisez VirusTotal pour identifier les produits antivirus qui détectent le fichier cible comme malveillant, téléchargez-le, puis exécutez-le sur votre ordinateur pour vous débarrasser du fichier. C'est peut-être la première étape de l'éradication si vous n'êtes pas à l'aise avec l'élimination et la suppression manuelles des fichiers.

Placez un raccourci de Process Explorer sur votre bureau. Toujours "Exécuter en tant qu'administrateur". En général, je clique avec le bouton droit de la souris sur l'exécutable (pas sur le raccourci du bureau), je choisis Propriétés, puis l'onglet Compatibilité, je sélectionne Modifier les paramètres pour tous les utilisateurs, puis je choisis Exécuter ce programme en tant qu'administrateur. Veillez à exécuter la version 64 bits si vous utilisez une version 64 bits de Windows. C'est très courant de nos jours. Je recommande à chacun de télécharger et d'exécuter Process Explorer ou Autoruns au moins une fois par semaine. Si c'est trop, veillez au moins à l'exécuter si votre ordinateur présente un comportement suspect.

Aucune détection de logiciels malveillants ne fonctionne à tous les coups

Pour être clair, même cette méthode de détection n'est pas parfaite. Certains logiciels malveillants peuvent échapper à ce type de détection, même si pour l'instant, c'est rare. Bien sûr, à l'avenir, les auteurs de logiciels malveillants pourraient faire tout leur possible pour échapper aux griffes de Process Explorer ou Autoruns. Ce n'est pas encore le cas, et la méthode ci-dessus est donc l'une des meilleures méthodes de protection que vous puissiez utiliser.

 

Les meilleurs conseils à long terme pour éviter les infections vous sembleront familiers si vous lisez régulièrement mon blog : Veillez à ce que vos logiciels soient entièrement corrigés, en particulier les navigateurs et les logiciels complémentaires. Surtout, ne vous faites pas avoir en installant quelque chose que vous ne devriez pas. Enfin, ne partagez pas vos mots de passe entre différents sites - ou utilisez une authentification à deux facteurs - et vous deviendrez un défenseur hors pair de la sécurité. Ces trois conseils l'emportent sur tous les conseils en matière de logiciels anti-malware que vous pourrez recevoir.

Si votre ordinateur est connecté à Internet, aucune défense n'est parfaite, et vous vous devez d'appliquer le meilleur régime de détection disponible. N'hésitez pas à transmettre ma recette de détection à tous vos amis et collègues de travail. Il est difficile de battre 67 programmes antivirus en matière de précision.