Détections heuristiques et proactives

Définir les objets détectés par l’analyseur heuristique ou le module de défense proactive

Les bases de données de Kaspersky Lab antivirus contiennent un nombre énorme d’heuristiques (aucun préfixe n’est utilisé dans le nom de ces dernières). De plus, en 2007, la société a introduit un module d’heuristique séparé qui contient tous les derniers développements technologiques. Quand un objet est détecté par ce module, le nom de l’objet comment par le préfixe « HEUR : ».

Le module de défense proactive est un module qui surveille la séquence d’actions conduites par une application sur le système et si une activité suspecte est détectée, l’application sera bloquée afin d’éviter qu’elle ne puisse conduire d’autres activités. Si un objet est détecté par le PDM, le nom de l’objet commencera par le préfixe « PDM: ».

Les deux modules analysent l’activité (ou la séquence d’activités) d’un objet. Si l’activité est similaire à celle d’un logiciel malveillant, alors l’objet sera détecté par l’analyseur heuristique ou le PDM.

La famille des malwares inclut les objets détectés suivants :

HEUR:Worm.[Platform].Generic

Les objets qui font partie de cette catégorie lance une recherche à distance sur les ordinateurs et tentent de se copier pour lire ou écrire des répertoires accessibles, rechercher des répertoires de réseaux accessibles en utilisant des fonctionnalités du système d’exploitation, et/ou conduire une recherche aléatoire afin de détecter des ordinateurs.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Virus.[Platform].Generic

Les objets inclus dans cette catégorie créent des copies d’eux-mêmes sur les ressources locales de l’ordinateur de la victime.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Email-Worm.[Platform].Generic

Les objets qui font partie de cette catégorie tentent d’envoyer des copies d’eux-mêmes sous la forme d’une pièce jointe de courrier électronique ou sous la forme d’un lien vers leurs propres fichiers situés sur une ressource du réseau.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Virus.[Platform].Infector

Les objets inclus dans cette catégorie recherchent des fichiers sur l’ordinateur infecté et écrivent toute une série d’informations sur ces fichiers. Un tel objet peut par exemple, écrire le corps d’un fichier exécutable ou écrire un code HTML qui contient un lien vers de fichiers .html, .php, .asp et autres extensions.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

PDM:Worm.Win32.Generic

Les objets qui font partie de cette catégorie lance une recherche à distance sur les ordinateurs et tentent de se copier pour lire ou écrire des répertoires accessibles, rechercher des répertoires de réseaux accessibles en utilisant des fonctionnalités du système d’exploitation, et/ou conduire une recherche aléatoire afin de détecter des ordinateurs.

PDM:P2P-Worm.Win32.Generic

Les objets appartenant à cette catégorie se copient eux-mêmes dans des fichiers communément associés à des clients P2P, modifient des clés de registre associées à des clients P2P, etc.

HEUR:Trojan.[Platform].Generic

Les objets de cette catégorie suppriment, bloquent, modifient ou copient des informations et perturbent les performances des ordinateurs ou de réseaux d’ordinateurs.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Trojan.Win32.Invader

Les objets de cette catégorie injectent leur code dans l’adresse d’autres procédés.

Cette tactique est souvent utilisée par les créateurs de virus afin de réaliser une variété d’actions comme si elles étaient réalisées par une application de confiance.

HEUR:Trojan.[Platform].AntiAV

Les objets de cette catégorie empêchent les programmes antivirus et les firewalls de fonctionner.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Trojan.[Platform].KillFiles

Les objets appartenant à cette catégorie suppriment les fichiers de l’utilisateur et/ou les fichiers du système d’exploitation.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Trojan.[Platform].StartPage

Les objets de cette catégorie modifient les pages d’accueil, les pages de recherche et autres paramètres du navigateur Web.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Trojan.Script.Iframer

Les objets appartenant à cette catégorie accèdent aux ressources Internet à l’insu de l’utilisateur en utilisant des étiquettes <IFRAME> cachées.

HEUR:Trojan.[Platform].Cryptic

Les objets de cette catégorie sont extrêmement chiffrés ou obscurs.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Backdoor.[Platform].Generic

Les objets appartenant à cette catégorie sont capables de permettre à un utilisateur malveillant de contrôler à distance l’ordinateur de la victime.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Trojan-Downloader.[Platform].Generic

Les objets de cette catégorie sont conçus pour télécharger et installer de nouvelles versions de logiciels malveillants sur les ordinateurs des victimes.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Trojan-PSW.[Platform].Generic

Les objets de cette catégorie sont conçus pour voler les informations de compte des utilisateurs (identifiants et mots de passé).

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Trojan-Dropper.[Platform].Generic

Les objets appartenant à cette catégorie installent secrètement d’autres logiciels malveillants à partir du logiciel malveillant d’origine sur la machine de la victime.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

HEUR:Exploit.[Platform].Generic

Les objets appartenant à cette catégorie exploitent une ou plusieurs vulnérabilités de logiciel sur un ordinateur local ou à distance.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

PDM:Trojan.Win32.Generic

Les objets de cette catégorie suppriment, bloquent, modifient, copient des informations ou perturbent les performances des ordinateurs et/ou des réseaux d’ordinateurs.

PDM:Rootkit.Win32.Generic

Les objets de cette catégorie dissimulent certains objets ou activités du système. Ces logiciels conçus pour secrètement installer des pilotes ayant un comportement similaire à celui des rootkits sur l’ordinateur de la victime appartiennent également à cette catégorie.

La catégorie des adwares inclut HEUR:Adware.[Platform].Generic:

HEUR:Adware.[Platform].Generic

Les objets de cette catégorie redirigent les demandes de recherche.

Dans le champ [Platform] on trouvera « Script » ou « Win32 ».

Les riskwares incluent PDM:Monitor.Win32.Keylogger:

PDM:Monitor.Win32.Keylogger

Les objets appartenant à cette catégorie enregistrent les touches que vous pressez sur le clavier de votre ordinateur.

Si l’utilisateur ou l’administrateur réseaux installe ce type de logiciel sur un ordinateur, alors il ne s’agit pas d’une menace.