Légitimité d'un fichier ou processus douteux ?

Noms de fichiers douteux dans la liste des processus, message d'alerte du pare-feu vous informant qu'un processus inconnu souhaite s'exécuter, processus probablement infectés apparaissant dans un rapport de scan d'antivirus... autant de noms de fichiers d'exécutables suspects dont il est difficile à première vue de déterminer la légitimité... Comment savoir s'il n'y a pas un trojan qui se cache là-dessous ?

Deux cas de figure

• Soit le processus en question appartient bien à un malware, auquel cas il suffit simplement de le supprimer et/ou supprimer le dossier dans lequel il se situe (cas où le malware installe un dossier contenant plusieurs fichiers infectant le PC).
• Soit le fichier est légitime et a été infecté (plus rare), dans ce cas, la meilleure solution est de supprimer le fichier et de le remplacer par un même fichier sain, par exemple en le copiant à partir d'un autre PC, ou encore en effectuant une réparation des fichiers système (méthode à appliquer avec l'aide d'un utilisateur averti !).

Comment déterminer la légitimité de ces fichiers ?

Plusieurs solutions !

Le réflexe à avoir

Une première recherche sur un moteur de recherche comme Google doit être le premier réflexe à avoir, vous aurez une mine d'information avec de grandes chances de tomber sur des sites spécialisés décrivant la fonction du processus ainsi que le programme correspondant.

Remarque : si le moteur de recherche ne trouve rien, il est très probable que ce fichier soit un rogue, donc à supprimer !

Les bonnes adresses

• Si vos recherches ne sont pas concluantes ou si vous voulez plus de précisions, voici deux sites où vous pourrez faire analyser les fichiers suspects :
  • BleepingComputer : il suffit de copier/coller le nom du fichier.exe dans la barre de recherche et cliquer sur Search.
  • VirusTotal : ce site analyse plusieurs types d'extensions de fichiers (exe, dll, jpeg ...), très efficace, il associe les bases virales de plusieurs antivirus afin d'élargir ses recherches.

Faire analyser un fichier sur VirusTotal :

• Cliquez sur ce lien : http://www.virustotal.com/fr/
• Cliquez sur Parcourir... :

• Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :

• Cliquez ensuite sur Envoyez le fichier :

• Il faut patienter pendant l'analyse du fichier par les antivirus. A vous d'interpréter les résultats. Si vous ne savez pas le faire, vous pouvez demander sur le forum Virus/Sécurité en donnant l'adresse (le lien) de l'analyse. Exemple :

• Vous pouvez aussi installer VirusTotal Uploader qui permet d'envoyer un fichier par le menu contextuel :

Alternative à VirusTotal, si le site est surchargé :

• Novirusthanks
• VirusScan

A consulter

Autre méthode pour déterminer ou approfondir les recherches sur la légitimité d'un fichier suspect :

• Retracer l'activité du fichier au sein d'un système

Ce document intitulé « Légitimité d'un fichier ou processus douteux ? » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.