Vidéo: Sécurité physique et sécurité de l'information : 2 univers aux paradigmes différents. (Novembre 2024)
Pour mon test de suppression des logiciels malveillants, j'installe un produit antivirus sur une douzaine de machines virtuelles infestées par des logiciels malveillants (toujours le même instantané de machine virtuelle) et le mets au défi de nettoyer le gâchis. L'antivirus d'Emsisoft a signalé son incapacité à nettoyer complètement dix de ces douze systèmes. Dans certains cas, un virus avait infecté des fichiers Windows essentiels et, dans un cas, le fichier infecté appartenait à Emsisoft lui-même. Il a également signalé que la suppression de rootkits aurait besoin de l'aide du support technique.
En chiffres
Quand j'ai commencé ce projet, je ne savais pas du tout que cela prendrait plus de 30 heures de temps, impliquait plus d'une centaine de courriers électroniques et nécessitait l'échange de plus de 150 journaux et scripts de diagnostic. Quand tout fut fini, j’ai passé au peigne fin les conversations par courriel pour analyser ce qui s’était passé.
Au cours de la semaine, sur les instructions de mon contact du support technique, j'ai utilisé quinze outils de diagnostic et de nettoyage différents, dont un seul était un produit Emsisoft. J'ai soumis 120 journaux de diagnostic et exécuté plus de 30 scripts de nettoyage. Dans quelques cas, j'ai dû télécharger la mise à jour Windows XP SP3 pour récupérer les fichiers système corrompus.
J'ai fini par utiliser 11 des 15 outils sur les deux systèmes présentant les problèmes les plus persistants. Afin de nettoyer le pire, j'ai soumis 30 journaux de diagnostic et 10 scripts de nettoyage. J'ai réussi à suivre mon courrier électronique et à avancer sur quelques autres projets au cours des rares moments où tous les systèmes de test actifs étaient en train d'exécuter une analyse, mais je passais la plupart de mon temps à télécharger des outils et à échanger des fichiers avec le support technique.
Outils utilisés par les experts
Alors, quels sont les outils utilisés par un expert en nettoyage de programmes malveillants? Je suis sûr que chaque expert a ses favoris, mais je peux faire un compte-rendu de mes observations. Les voici par ordre décroissant du nombre de fois où ils ont été nécessaires.
List-It, ou OTL, de OldTimer était de loin l'outil de sécurité le plus utilisé. J'ai soumis plus de 50 journaux OTL à mon expert technique et j'ai exécuté plus de 25 scripts de nettoyage fournis après l'analyse des journaux. Sur un système de test, je devais exécuter OTL une douzaine de fois, en utilisant d’autres outils.
L'outil ComboFix extrêmement puissant bénéficie également d'une séance d'entraînement. ComboFix n'est pas pour les faibles de cœur. Vous ne pouvez pas utiliser l'ordinateur pendant son fonctionnement et il est fourni "tel quel" pour une utilisation par des experts uniquement. La création d'un script de réparation basé sur les fichiers journaux de l'utilitaire nécessite une formation et une expertise. J'ai fourni 28 journaux ComboFix au cours de ma semaine épuisante et exécuté six fois des scripts de réparation.
Comme je l'ai mentionné, Emsisoft Anti-Malware s'est avéré incapable de supprimer automatiquement les programmes malveillants qui utilisent la technologie de rootkit pour masquer leurs activités. Le TDSSKiller de Kaspersky existe dans le seul but de supprimer certains rootkits, et le support technique m'a fait l'utiliser neuf fois. Ils ont également fait appel à Panda Anti-Rootkit à trois reprises.
Emsisoft dispose de son propre outil de nettoyage de programmes malveillants ciblé, Emsisoft Emergency Kit. Le support technique m'a fait exécuter cet outil cinq fois, vers le début de la semaine, mais apparemment, il a décidé de ne pas faire le travail. Ils ne m'ont jamais demandé de le réexécuter après le premier jour de travail sur le problème.
McAfee met constamment à jour l'utilitaire Stinger pour faire face à des infestations difficiles à éliminer. Stinger de McAfee a eu l'occasion de réparer quatre des systèmes de test, et un outil moins connu appelé Avenger a eu un coup à trois.
En ce qui concerne les outils restants, il m'a été demandé de les utiliser une ou deux fois. Ceux-ci incluaient: aswMBR d’Avast!, La boîte à outils AVZ AntiViral de Kaspersky, l’analyseur de service Farbar, Windows Repair de Tweaking.com, AdwCleaner de xPlode, l’outil de suppression de Junkware et RunScanner. J'ai également fourni des journaux à partir de l'outil Windows SIGVERIF intégré à quelques reprises.
Manipuler avec soin
Donc, si vous rencontrez des logiciels malveillants que votre antivirus ne peut pas supprimer, devriez-vous commencer à télécharger cette collection d'outils? Probablement pas, en fin de compte. Presque tous sont destinés à être utilisés par des experts et certains requièrent l’intervention d’un technicien qualifié, capable d’analyser les journaux et d’écrire manuellement les scripts de nettoyage.
En utilisant ces outils sans bonne compréhension, vous pouvez faire plus de mal que de bien. Même en suivant scrupuleusement les instructions d'un expert en sécurité, j'ai réussi à "tuer" deux systèmes, en les rendant non amorçables. La récupération système de mes systèmes de test est désactivée pour économiser de l'espace et je n'ai pas de disque Windows XP SP3. La seule façon de sauver ces deux-là aurait été de créer un outil mystérieux appelé disque de secours BartPE. Je ne pense pas que l'utilisateur moyen puisse gérer cela, alors j'ai abandonné, avec un certain soulagement.
Alors, que pouvez- vous faire si votre antivirus ne parvient pas à nettoyer complètement une infestation de malware? Votre pari le plus sûr serait d’exécuter Malwarebytes, notre choix de l'éditeur, avec un antivirus gratuit pour le nettoyage uniquement. Lors de nos propres tests, Malwarebytes a battu tous les autres produits, qu'ils soient gratuits ou payants. Pour protéger les bretelles et la ceinture, lancez également Comodo Cleaning Essentials.
Une question de confiance
Lors d’une récente étude de Kaspersky PURE 3.0 Total Security, j’ai eu du mal à faire installer le produit sur des systèmes infestés. Le support technique a mis au point une panoplie d'outils pour résoudre le problème: disque Kaspersky Rescue, Kaspersky TDSSKiller, Kaspersky NetTest, Kaspersky Anti-Viral Toolkit, Kaspersky ReportMaker, etc. Cela semblait juste; Les outils de Kaspersky résolvent un problème de Kaspersky.
Je suis immensément impressionné par la persévérance et le dévouement de l'agent de support Emsisoft qui a suivi le processus ardu du nettoyage des dix systèmes non traités automatiquement par l'antivirus Emsisoft. Cependant, le fait que presque tous les outils utilisés proviennent d'autres fournisseurs ne me remplit pas avec confiance, pas plus que le fait que beaucoup d'entre eux ont dû être appliqués encore et encore.
Un programme antivirus doit identifier tous les logiciels malveillants présents, désinfecter les fichiers valides qui ont été corrompus par un virus et mettre en quarantaine tous les logiciels malveillants autres que des virus. Si l'aide du support technique est nécessaire, une réponse définitive utilisant les propres outils du fournisseur et ne nécessitant pas une participation excessive de l'utilisateur inspirera certainement le degré de confiance le plus élevé.