Questions-réponses sur les malwares : épisode 3

1.       Mon PC ne me permet plus de télécharger, par exemple, CCleaner etc. – Question posée par Barry Northan

Vérifiez d’abord que les fichiers que vous téléchargez sur le site web ne sont pas corrompus. Certains éditeurs de logiciels indiquent la somme de contrôle MD5 de leurs kits sur leur page de téléchargement.  Si le fichier que vous souhaitez télécharger a une somme de contrôle MD5 connue, vous pouvez la comparer avec ce que le fichier affiche réellement. S’il y a des différences entre les empreintes numériques, alors  ces fichiers ont probablement été corrompus pendant leur téléchargement. Si les empreintes numériques sont identiques, nous vous recommandons de lancer une analyse du système pour voir si vous n’êtes pas infecté par un malware empêchant l’exécution de certaines applications afin d’éviter d’être détecté. Vérifiez également que vous n’essayez pas d’exécuter une application pour systèmes 64 bits sur un ordinateur 32 bits.

2.       Que se passe t-il entre le moment où un malware est détecté et celui où la définition correspondante est publiée ? Comment sont nommés les malwares et pourquoi tous les éditeurs n’utilisent-ils pas un système d’attribution de noms standardisé ? – Question posée par MM

Dès qu’un malware est transmis à BitDefender, il est analysé par les chercheurs BitDefender à la fois statiquement (en « disséquant » le malware et en étudiant la moindre de ses instructions) et dynamiquement (par exemple, en l’exécutant dans un environnement virtualisé). S’il s’avère que le fichier a un comportement malveillant, il est nommé à l’aide du système d’attribution de noms BitDefender, une variante de la convention CARO. Si le fichier malveillant est déjà connu et détecté par d’autres éditeurs, il sera, dans un souci de cohérence, nommé de la même façon. Sinon, un nom respectant le système d’attribution de noms CARO lui sera attribué. Il est vrai qu’un malware peut être détecté par divers éditeurs avec différents noms : cela se produit notamment lorsque des antivirus publient des signatures à peu près au même moment. Puisqu’il n’existe pas de nom connu pour le malware, il est nommé différemment par chaque éditeur. D’autres fois, les éditeurs classent le même malware dans différentes catégories : certains considèrent qu’il s’agit d’un cheval de Troie alors que pour d’autres, c’est un backdoor ou un ver. Cela s’explique par le fait que certains malwares disposent d’un ver ainsi que d’un cheval de Troie qui peut, par exemple, ouvrir une backdoor.