Les riskwares sont des programmes légitimes (certains d’entre eux sont vendus publiquement et utilisés à des fins légitimes) qui peuvent causer des dégâts quand ils tombent entre de mauvaises mains (et sont utilisés pour supprimer, bloquer, modifier, copier des données ou perturber les performances des ordinateurs ou des réseaux).

Les programmes de ce genre comprennent les utilitaires d’administration, les clients IRC, les programmes composeurs, les téléchargeurs de fichiers, les logiciels de surveillance de l’activité des ordinateurs, les utilitaires de gestion de mots de passe et bien d’autres services de serveur Internet tels que FTP, le Web, proxy et telnet.

Ces programmes ne sont pas malveillants mais ils disposent de fonctionnalités qui peuvent être utilisées à des fins malveillantes.

Par exemple, un programme d’administration à distance tel que WinVNC donne accès à l’interface d’un ordinateur à distance et utilise une machine à distance pour le contrôler ou le surveiller. Voici comment ses fonctions sont décrites sur le site officiel du développeur :

VNC signifie « Virtual Network Computing ». Il s’agit d’un logiciel de contrôle à distance qui vous permet de voir et d’interagir avec un autre ordinateur (le « serveur ») en utilisant un simple programme (« l’observateur ») sur un autre ordinateur n’importe où dans le monde via Internet. Les deux ordinateurs n’ont même pas besoin d’être du même type, vous pouvez donc utiliser VNC pour voir un document sur un ordinateur Linux à votre bureau depuis votre PC Windows à la maison. VNC est gratuit et disponible au grand public et est utilisé par des millions de personne que ça soit dans le monde industriel, académique ou à titre personnel.

Il s’agit d’un logiciel légitime disponible au grand public : il est essentiel aux administrateurs systèmes et à de nombreux autres spécialistes techniques.

Néanmoins, aux yeux des utilisateurs malveillants, ce programme est capable d’endommager les données de l’utilisateur : notre laboratoire de virus a enregistré des incidents dans lesquels WinVNC était secrètement installé afin d’obtenir un accès complet à l’ordinateur de quelqu’un d’autre.

L’utilitaire mIRC est un autre exemple. Il s’agit d’un client de réseau IRC et d’un programme légitime :

mIRC est un client IRC de type shareware pour Windows. Il est développé et protégé par Khaled Mardam-Bey. mIRC est un client IRC extrêmement configurable qui dispose de toutes les options que d’autres clients offrent sur UNIX, Macintosh et même Windows, le tout dans une interface utilisateur simple et épurée. mIRC offre des lignes de texte en couleur, des communications DDC, des options Get, des alias programmables, des commandes et un gestionnaire d’événements à distance, des menus pop-up, le support de World Wide Web ainsi que du son et … bien d’autres choses. mIRC est un shareware mais il est loin d’être limité.

Les fonctionnalités variées de mIRC peuvent également être utilisées par des utilisateurs malveillants – notre laboratoire de virus identifie régulièrement des chevaux de Troie (surtout des backdoors) qui utilisent des fonctionnalités mIRC.

N’importe quelle backdoor IRC est capable d’écrire ses propres scripts sur les fichiers de configuration de mIRC et d’exécuter ses fonctionnalités malveillantes à l’insu de l’utilisateur. L’utilisateur de mIRC ne saura même pas qu’il a un cheval de Troie sur son ordinateur.

Les programmes malveillants installent souvent le client mIRC eux-mêmes pour l’utiliser à des fins malveillantes. Dans ce cas, mIRC est normalement sauvegardé dans un dossier Windows ainsi que dans ses sous dossiers. Si mIRC est détecté dans ces dossiers, cela signifie presque tout le temps que l’ordinateur est infecté par une sorte de logiciel malveillant.

L’option de détecter les riskwares est désactivée par défaut sur les produits Kaspersky Lab. Néanmoins, l’utilisateur peut toujours activer cette option. Nous pensons que c’est à l’utilisateur de décider s’il souhaite l’activer ou non.

Cette catégorie inclut les comportements suivants :

This class includes the following behaviours:

Client-IRC

Client P2P

Client STMP

Dialer

Downloader

FraudTool

Monitor

NetTool

PSWTool

RemoteAdmin

RiskTool

Serveur-FTP

Serveur-Proxy

Serveur-Telnet

Serveur-Web

WebToolBar