❌

Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraĂźchir la page.
Aujourd’hui — 17 juillet 2025Flux principal

John McAfee - Le génie de l'antivirus devenu le bad boy le plus dingue de la tech

Par : Korben
17 juillet 2025 Ă  13:37

Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Bon, j’ai une question pour vous : C’est quoi le point commun entre un crĂ©ateur d’antivirus multimillionnaire, un fugitif international recherchĂ© pour meurtre, un candidat Ă  la prĂ©sidentielle amĂ©ricaine et un prophĂšte auto-proclamĂ© du Bitcoin ? RĂ©ponse : c’est le mĂȘme mec ! John McAfee, et croyez-moi, mĂȘme si j’avais voulu inventer un personnage aussi barrĂ©, j’aurais pas rĂ©ussi.

À partir d’avant-hierFlux principal

Eugene Kaspersky - D'un virus informatique à un empire de la cybersécurité

Par : Korben
4 juillet 2025 Ă  13:37

Cet article fait partie de ma sĂ©rie de l’étĂ© spĂ©cial hackers. Bonne lecture !

Si vous avez dĂ©jĂ  vu sur l’écran de votre PC sous DOS, les lettres tomber comme des dominos en 1989, fĂ©licitations, vous avez rencontrĂ© le virus Cascade ! Ce petit malware rigolo allait devenir le point de dĂ©part de l’un des plus grands empires de la cybersĂ©curitĂ© mondiale. Eugene Kaspersky, alors jeune diplĂŽmĂ© russe de l’École supĂ©rieure du KGB, ne se doutait pas qu’en dĂ©cidant d’analyser ce virus, il allait drastiquement changer notre façon de nous protĂ©ger contre les menaces informatiques. Laissez-moi vous raconter cette histoire incroyable !

Windows va expulser les antivirus du noyau systÚme pour éviter les BSOD massifs

30 juin 2025 Ă  07:37

Windows 11 de MicrosoftMicrosoft décide de revoir en profondeur la maniÚre dont les logiciels de sécurité interagissent avec Windows

Cet article Windows va expulser les antivirus du noyau systÚme pour éviter les BSOD massifs a été publié en premier par GinjFo.

Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025)

Par : malekalmorte
25 juin 2025 Ă  09:39

Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflĂštent le type exact de menace dĂ©tectĂ©e, son comportement ou sa mĂ©thode d’infection. Chaque Ă©diteur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois gĂ©nĂ©rique, parfois trĂšs prĂ©cise.
Cela peut aussi ĂȘtre le cas Ă  la suite d’une analyse sur VirusTotal.

Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :

  • Trojans chevaux de Troie tĂ©lĂ©chargeurs et voleurs de donnĂ©es,
  • Backdoors Ă  accĂšs distant,
  • PUP/PUA (logiciels potentiellement indĂ©sirables),
  • Adwares injectant des publicitĂ©s ou des redirections,
  • Scripts malveillants (JavaScript, macros Office), etc.

L’objectif de cet article est de vous aider Ă  identifier rapidement la nature d’une alerte, comprendre si elle est sĂ©rieuse, et prendre les bonnes dĂ©cisions en cas de dĂ©tection.
Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrÚte des menaces détectées en 2025 par les principales solutions de sécurité.

En parallĂšle, vous pouvez lire ce guide pour mieux comprendre les types de menaces informatiques : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Détections de PUP/PUA (logiciels potentiellement indésirables)

Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux.
Il peut aussi s’agir de logiciel classĂ© comme indĂ©sirable (optimiseur systĂšme, collecte de donnĂ©es).
Ils ne sont pas toujours dangereux, mais peuvent nuire Ă  la performance ou manipuler la navigation.

Exemple de détectionExemplesAntivirus
PUA:Win32/XXXXXPUA:Win32/Presenoker
PUA:Win32/InstallCore
Microsoft Defender
PUP.Optional.XXXX
PUA.Optional.BundleInstaller
PUA.Optional.BundleInstaller
PUP.Optional.DriverUpdate
Malwarebytes
PUA.XXXXX
Generic.PUA.2FileDownload.A
PUA.systemcheckupBitdefender
Not-a-virus:HEUR:AdWare.Win32.XXXXNot-a-virus:HEUR:AdWare.Win32.SearcherKaspersky
Win32:XXXX-X [PUP]Win32:UnwRAP-X [PUP]Avast/AVG
PUA/XXXXXPUA/InstallCore.GenESET

Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement.
Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.

DĂ©tections d’adwares (publicitĂ© intrusive)

Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicitĂ© de maniĂšre intrusive sur votre systĂšme ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisĂ©s, ou l’injection de banniĂšres dans des pages web normales. Bien qu’ils ne soient pas nĂ©cessairement classĂ©s comme malveillants, leur prĂ©sence perturbe souvent l’expĂ©rience utilisateur, ralentit le systĂšme, et peut poser des risques de confidentialitĂ©.

DétectionExemple de détectionAntivirus
Adware:Win32/XXXX
Adware:JS/XXXXX.A
Adware:Win32/FusionCore
Adware:JS/Adposhel.A
Adware:JS/FakeAlert
Microsoft Defender
Adware.XXXXXAdware.SwiftBrowse
Adware.Elex
Malwarebytes
Adware.GenericKD.###Bitdefender
Adware.Win32.AgentAdware.Agent.BYIKaspersky
Adware.Generic.XXXXAdware.Generic.279974ESET

ScĂ©nario possible : identique au PUP, sauf dans le cas oĂč l’adware est dĂ©jĂ  actif dans le systĂšme.

Scripts JavaScript malveillants (injections, redirections, crypto-jacking)

Ces scripts sont souvent injectĂ©s dans des pages compromises ou des publicitĂ©s frauduleuses afin d’infecter les PC des internautes.
Ces scripts injectĂ©s dans des pages (publicitĂ©s, iframe, JavaScript Ă  distance) sont souvent bloquĂ©s par le filtrage web, avant mĂȘme que l’antivirus n’intervienne au niveau fichier.

DétectionExemple/DescriptionAntivirus
Trojan:HTML/Phish.XXX!YYY
Trojan:HTML/Redirector.XXX
Trojan:HTML/Phish.JA!MTB
Trojan:HTML/Redirector.NY
Microsoft Defender
JS:Downloader-XXX [Trj]
HTML:Script-Inf
Trojan.Script.Heuristic-JS

JS:ScriptPE-inf [Trj]
Script JavaScript d’obfuscation menant à une infectionAvast/AVG
JS:Miner-C [Trj]
HTML:CoinMiner-EM [Trj]

Script JavaScript injecté pour miner des cryptomonnaiesAvast/AVG
Trojan.JS.Redirector
Trojan.JS.Agent.XXXX
JS:Trojan.XXXX.YYYY
Trojan.JS.Miner.gen
JS:Trojan.Cryxos.4572
Trojan.JS.Agent.fpu
Bitdefender
HEUR:Trojan.Script.Generic
HEUR:Trojan.Script.Redirector
HEUR:Trojan.Script.Miner.gen
Kaspersky

ScĂ©nario possible : vous avez visitĂ© un site piratĂ© et l’antivirus bloque le script malveillant placĂ© par le cybercriminel. Autre cas, vous avez tĂ©lĂ©chargĂ© une piĂšce jointe malveillante depuis un email.
Dans le premier cas, la dĂ©tection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active.
VĂ©rifiez l’emplacement de la dĂ©tection. Vider le cache internet ou rĂ©initialiser son navigateur WEB peut aider Ă  arrĂȘter ces dĂ©tections.

Trojan Downloader (chargement de payload Ă  distance)

Cette dĂ©tection dĂ©signe un fichier malveillant conçu pour tĂ©lĂ©charger et installer d’autres malwares Ă  partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une dĂ©tection gĂ©nĂ©rique utilisĂ©e lorsqu’un comportement de type « downloader Â» est observĂ© (par exemple, un script ou exĂ©cutable qui Ă©tablit une connexion vers une URL externe et tente de rĂ©cupĂ©rer un second fichier malveillant).

DétectionExempleAntivirus
Trojan:Win32/XXXXXTrojan:Win32/Emotet.A
Trojan:Win32/Occamy.AA
Microsoft Defender
Trojan.Downloader.Generic
Trojan.Agent.Downloader
MalPack.Downloader.###
Malwarebytes
JS:Downloader-XXXJS:Downloader.PB
JS:Downloader-LQB [Trj]
Avast/AVG
Trojan.Downloader.Gen
Trojan.GenericKD.Downloader
Bitdefender
Downloader.Agent!gen2McAfee
Win32/TrojanDownloader.Agent
Trojan.Downloader.XXXX
Trojan.Downloader.Small.BMESET

ScĂ©nario possible : vous avez tĂ©lĂ©chargĂ© un crack et l’antivirus le bloque. Autre cas, un malware est dĂ©jĂ  actif dans le systĂšme ou vous avez exĂ©cutĂ© un fichier qui tente de l’installer.

Chevaux de Troie avec exfiltration ou backdoor (C2)

Ces menaces permettent un accĂšs distant, la surveillance.

Détection génériqueExempleAntivirus
Backdoor:Win32/XXXXXBladabindiBackdoor:Win32/BladabindiMicrosoft Defender
Backdoor.XXXX
Backdoor.Bot.Gen (détection générique)
Backdoor.Qbot
Backdoor.Agent.NOIP
Glupteba.Backdoor.Bruteforce.DDS
Malwarebytes
Backdoor.Win32.XXXX
Backdoor:Win32/Remcos.GZZ!MTB (Famille Remcos)
Backdoor.Win32.Agent.bla (plus générique)
Kaspersky
Backdoor.GenericKD.###Backdoor.GenericKD.64149272Bitdefender

Voici maintenant des détections de type Trojan.Stealer.
Soit donc en gĂ©nĂ©ral, un cheval de Troie capable de donner l’accĂšs Ă  distance courant, permettant aux attaquants de prendre le contrĂŽle, exfiltrer des donnĂ©es, dĂ©clencher des captures Ă©cran, des keyloggers, etc.
Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données systÚme, etc.

DétectionExempleAntivirus
TrojanSpy:Win32/Agent
(La mention Spy n’est pas obligatoire)
Trojan:Win32/RedLine!MSRMicrosoft Defender
Trojan.Agent.Stealer
Trojan.MalPack.Stealer
Trojan.Generic.MSILStealer
Spyware.PasswordStealer
Malwarebytes
Trojan.GenericKD.###ï»żBitdefender
Stealer.XXXXX
JS/Spy.Agent.XXX
Stealer.Agent/Gen
JS/Spy.Agent.AH
ESET
InfostealerInfostealer.Gampass – cible les jeux
Infostealer.RedLine (Famille RedLine)
Norton

Fichiers HTML/Office infectés (piÚces jointes ou pages piégées)

Ces fichiers exploitent souvent l’ingĂ©nierie sociale ou les vulnĂ©rabilitĂ©s Office.

Ces fichiers exploitent souvent l’ingĂ©nierie sociale ou les vulnĂ©rabilitĂ©s Office.
Exemple de détectionAntivirusDescription
Trojan:O97M/Agent.XXXMicrosoft DefenderMacro malveillante dans un document Word/Excel
HTML/Phishing.Agent.ABESETFichier HTML visant Ă  voler des identifiants
DOC:Exploit.CVE-2017-11882AvastExploitation d’une faille Office via fichier Word piĂ©gĂ©

Scénario possible : la détection porte sur une piÚce jointe malveillante.

Que signifient les noms de détection antivirus (Trojan.Agent, Generic, etc.)

Les noms de dĂ©tection antivirus varient selon les Ă©diteurs. Certains utilisent des appellations trĂšs gĂ©nĂ©rales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spĂ©cifiques, souvent basĂ©s sur la famille du malware ou son comportement.

Il faut Ă©galement savoir que les antivirus modernes adaptent leurs dĂ©tections en fonction du contexte et de l’analyse en temps rĂ©el. Un fichier peut d’abord ĂȘtre dĂ©tectĂ© de maniĂšre heuristique, puis reclassĂ© plus prĂ©cisĂ©ment aprĂšs passage en sandbox ou analyse via des systĂšmes d’intelligence cloud (Threat Intelligence).

Malwarebytes

Chez Malwarebytes, la nomenclature des dĂ©tections est gĂ©nĂ©ralement plus descriptive que hiĂ©rarchisĂ©e, mais elle suit nĂ©anmoins une logique basĂ©e sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.

Contrairement Ă  Microsoft Defender ou Kaspersky, Malwarebytes mise fortement sur l’analyse heuristique et comportementale, ce qui explique l’usage frĂ©quent de noms gĂ©nĂ©riques mais contextuels. Le moteur peut ainsi identifier une menace mĂȘme sans signature explicite.

Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####

Ce qui donne :

  • PrĂ©fixe : indique la catĂ©gorie de la menace
    Exemples :
    • Trojan. → cheval de Troie (accĂšs Ă  distance, stealer, downloader
)
    • Adware. → logiciel injectant de la publicitĂ© ou modifiant le navigateur
    • PUP. → programme potentiellement indĂ©sirable
    • Malware. ou MalPack. → dĂ©tection gĂ©nĂ©rique basĂ©e sur le comportement
  • Nom central : identifie le comportement ou la famille
    • Agent → dĂ©signation gĂ©nĂ©rique utilisĂ©e lorsqu’aucune famille prĂ©cise n’est reconnue, ou que le comportement est modulaire
    • Stealer → indique un voleur d’informations
    • Downloader → menace qui tĂ©lĂ©charge un autre malware
    • Injector → injection de code dans des processus lĂ©gitimes
  • Suffixe Ă©ventuel : identifiant numĂ©rique ou indication d’analyse comportementale
    • Generic, Heur, ou un numĂ©ro de variante (Trojan.Agent.EDX)
    • Peuvent aussi signaler une dĂ©tection basĂ©e sur un empaquetage (MalPack) ou une obfuscation avancĂ©e

Exemples concrets :

  • Trojan.Agent → fichier prĂ©sentant un comportement trojan, sans attribution de famille spĂ©cifique.
  • Trojan.MalPack.Downloader → fichier compressĂ©/obfusquĂ© qui agit comme un tĂ©lĂ©chargeur distant.
  • PUP.Optional.DriverUpdate → logiciel potentiellement indĂ©sirable proposant des mises Ă  jour de pilotes, souvent classĂ© comme trompeur.

Microsoft (Windows Defender)

Chez Microsoft Defender, les noms de dĂ©tection suivent une structure relativement standardisĂ©e, permettant de comprendre en un coup d’Ɠil le type de menace, sa plateforme cible et sa classification. Un nom de dĂ©tection typique se prĂ©sente sous la forme :

<type>:<plateforme>/<nom>.<variante>

Microsoft utilise aussi d’autres prĂ©fixes selon la nature de la menace :

  • Backdoor: pour les accĂšs Ă  distance non autorisĂ©s,
  • Ransom: pour les ransomwares,
  • PUA: pour les applications potentiellement indĂ©sirables (Potentially Unwanted Applications),
  • Exploit: pour les fichiers qui exploitent une vulnĂ©rabilitĂ© systĂšme,
  • HackTool: pour les outils lĂ©gitimes dĂ©tournĂ©s Ă  des fins malveillantes.

Par exemple : Trojan:Win32/Agent.WXYZ

  • Trojan dĂ©signe le type de menace (ici un cheval de Troie),
  • Win32 indique la plateforme ciblĂ©e, en l’occurrence Windows 32 bits (mĂȘme si cela s’applique aussi Ă  64 bits par compatibilitĂ©),
  • Agent est un nom gĂ©nĂ©rique de famille, souvent utilisĂ© lorsque la menace est modulaire, indĂ©terminĂ©e ou fait partie d’une classe connue de malwares,
  • WXYZ est une variante, une signature spĂ©cifique ou un identifiant unique interne.

Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :

  • !MTB → Machine-learned Threat Based (dĂ©tection par IA / modĂšle comportemental),
  • !ml → Machine Learning,
  • !bit → dĂ©tection basĂ©e sur une signature hash/statique.

Que faire aprÚs une détection

Pour neutraliser la menace :

  • Mettre en quarantaine et supprimer les menaces. ComplĂ©ter l’analyse de votre ordinateur avec MBAM. Plus de dĂ©tails :
  • Surveiller le comportement du systĂšme. Par exemple, vĂ©rifier les connexions rĂ©seau (via netstat / outils tiers)
  • RĂ©aliser une analyse secondaire avec VirusTotal ou un autre scanner
  • RĂ©initialiser les navigateurs si adware/PUP

Pour vous aider :

Une fois l’ordinateur dĂ©sinfectĂ© :

Liens

L’article Liste des dĂ©tections antivirus : exemples de malwares, trojans, PUP, adwares (2025) est apparu en premier sur malekal.com.

Surfshark One & One+ : la suite cybersécurité qui veut tout faire

Par : Korben
5 juin 2025 Ă  11:03

– Article en partenariat avec Surfshark –

Un VPN, c’est bien. Mais le VPN + tout le reste, c’est mieux. Soyons honnĂȘtes : Ă  force de voir des pubs pour des VPN partout, tu as fini par en installer un (ou alors tu fais partie de l’élite qui n’a jamais cliquĂ© sur “Regarde ce que ton FAI sait sur toi !”). Mais aujourd’hui, le VPN tout seul, c’est un peu comme une pizza sans fromage : ça dĂ©panne, mais tu sens qu’il manque un truc.

Comment les malwares se cachent des antivirus

Par : malekalmorte
19 mai 2025 Ă  09:37

Pour la majoritĂ© des utilisateurs, un antivirus scanne un fichier et dĂ©tecte la prĂ©sence de code malveillant grĂące aux signatures de dĂ©tection. Si cela fonctionne encore, aujourd’hui, la complexitĂ© des malwares fait que les antivirus doivent intĂ©grer plusieurs dĂ©fenses.

En effet, les techniques d’offuscation avancĂ©es utilisĂ©es par les trojans et autres malwares ont pour but de cacher le code malveillant, de retarder l’analyse par les antivirus ou les analystes, et de contourner les systĂšmes de dĂ©tection.
Le but est donc de se cacher des antivirus pour échapper aux détections.

Dans ce guide, je passe en revue les méthodes et techniques utilisées par les logiciels malveillants pour se dissimuler ou tromper les antivirus.

Chiffrement et encodage

Pour masquer les Ă©lĂ©ments les plus rĂ©vĂ©lateurs d’un malware, les attaquants chiffrent ou encodent massivement le code et les donnĂ©es embarquĂ©es. Les chaĂźnes de texte en clair sont rarissimes dans les malwares modernes : adresses URL de C2, noms d’API Windows, chemins de fichiers
 tout est souvent cachĂ© derriĂšre des encodages ou un chiffrement custom.
Le but est de brouiller le code afin qu’aucune partie rĂ©vĂ©latrice d’un code malveillant ne soit pas facilement dĂ©tectable.
Par exemple, un trojan comme Pikabot remplace les noms de fonctions et variables par des chaĂźnes alĂ©atoires ou codĂ©es, et chiffre ses chaĂźnes de caractĂšres sensibles (telles que les URLs de commande & contrĂŽle) qui ne sont dĂ©chiffrĂ©es qu’au moment de leur utilisation. De mĂȘme, les documents Office piĂ©gĂ©s (macros VBA) ou scripts malveillants insĂšrent des chaĂźnes hexadĂ©cimales ou du Base64 Ă  la place de commandes lisibles pour Ă©viter les dĂ©tections simples.

L’Encodage Base64 est une mĂ©thode trĂšs rĂ©pandue d’obfuscation de commandes script. Par exemple, PowerShell permet d’exĂ©cuter un code encodĂ© en Base64 via le paramĂštre -EncodedCommand.
Les malwares en abusent pour cacher des instructions malveillantes dans un long texte illisible. Plusieurs campagnes ont utilisĂ© des commandes PowerShell encodĂ©es en base64 pour dissimuler les charges utiles. Un cas courant : un downloader lance PowerShell avec une commande encodĂ©e qui va Ă  son tour tĂ©lĂ©charger et exĂ©cuter du code distant. Voici un exemple illustratif d’une commande PowerShell chiffrĂ©e en Base64.

Les virus ou trojan Powershell en base64

CĂŽtĂ© JavaScript, on retrouve des approches similaires. Le trojan Astaroth (vers 2019–2020, toujours actif en 2022) utilisait du code JScript obfusquĂ© et alĂ©atoire dans des fichiers XSL : son script malveillant construisait les chaĂźnes de caractĂšres critiques via String.fromCharCode au lieu de les Ă©crire en clair, Ă©vitant ainsi d’exposer des mots-clĂ©s suspects (noms de processus, commandes). De plus, Astaroth employait une fonction de randomisation pour modifier lĂ©gĂšrement son code Ă  chaque exĂ©cution, si bien que la structure du script variait constamment, bien que sa finalitĂ© reste la mĂȘme. Ces techniques combinĂ©es (gĂ©nĂ©ration dynamique de strings et permutation alĂ©atoire) rendaient le JScript malveillant unique Ă  chaque run, contournant les signatures et retardant l’analyse manuelle.

VBS avec code offusqué

Au-delĂ  de l’encodage, les malwares chiffrent leur charge utile binaire ou certaines portions de code avec des clĂ©s secrĂštes. Un schĂ©ma classique consiste Ă  XORer chaque octet du shellcode ou de la DLL malveillante avec une clĂ© d’un octet ou plus (parfois stockĂ©e dans le code, parfois dĂ©rivĂ©e de l’environnement du systĂšme infectĂ©).
Le XOR est trivial à implémenter et a un effet de masquer tout motif en clair dans le binaire.
D’autres utilisent des algorithmes symĂ©triques plus forts (RC4, AES) pour chiffrer leur payload, empĂȘchant toute analyse statique tant que le malware n’a pas effectuĂ© la dĂ©cryption en mĂ©moire.

À lire : Virus PowerShell

En somme, chiffrement et encodage sont devenus la norme dans les malwares rĂ©cents : les concepteurs ajoutent des couches de chiffrement sur les composants (configuration, charge finale, chaĂźnes, etc.) pour que les dĂ©fenses ne puissent y reconnaĂźtre ni motif ni signature tant que le malware n’est pas activement en train de s’exĂ©cuter.

Trojan.VBS offusqué dans un fichier HTA

Packers et Crypters

Les packers et crypters sont deux outils majeurs utilisĂ©s dans l’obfuscation des malwares, en particulier pour masquer le code binaire exĂ©cutable et ainsi tromper les antivirus.

Un crypter chiffre tout ou partie du code malveillant (souvent la « payload Â») Ă  l’aide d’un algorithme (XOR, AES, RC4, etc.) et l’encapsule dans un stub (petit programme) capable de le dĂ©chiffrer et de l’exĂ©cuter en mĂ©moire.
L’obhectif est de rendre le fichier indĂ©tectable statiquement, car ce dernier ne contient aucune chaĂźne suspecte, pas de signature reconnaissable.

Un packer compresse ou chiffre un exĂ©cutable, puis le combine avec un stub qui le dĂ©compresse ou dĂ©chiffre au moment de l’exĂ©cution.
Son objectif est d’empĂȘcher l’analyse statique et retarder la rĂ©tro-ingĂ©nierie.
Ils sont habituellement utilisĂ©s par les malwares pour se faire passer pour des logiciels lĂ©gitimes (mĂȘme hash modifiĂ© Ă  chaque fois).
Les antivirus tentent de les “dĂ©packer” ou de les dĂ©tecter via heuristiques comportementales.
FrĂ©quemment utilisĂ©s par les malwares pour se faire passer pour des logiciels lĂ©gitimes (mĂȘme hash modifiĂ© Ă  chaque fois).
Notez qu’il existe des packers lĂ©gitimes, par exemple, UPX (Ultimate Packer for eXecutables) est un packer open-source qui principalement vise Ă  compresser les exĂ©cutables pour en rĂ©duire la taille. Il est trĂšs utilisĂ© par les Setup des applications pour proposer exĂ©cutable auto-extractible.
PECompact est un packer commercial utilisĂ© aussi pour les Setup, car il embarque une fonctionnalitĂ© d’offuscation pour protĂ©ger la logique mĂ©tier.
Il est donc apprĂ©ciĂ© des concepteurs de malwares (notamment keyloggers, RATs) parce qu’il rend la rĂ©tro-ingĂ©nierie plus difficile ayant des fonctionnalitĂ©s intĂ©grĂ©es d’anti-debug.
Il s’agit souvent de version de PECompact modifiĂ©e.

Notez que dans l’écosystĂšme des logiciels malveillants, certains groupes sont spĂ©cialisĂ©s dans la vante de crypters et packers, dit FUD (Fully Undetectable).

Code polymorphe

Un malware polymorphe gĂ©nĂšre du code diffĂ©rent Ă  chaque infection ou exĂ©cution, tout en prĂ©servant sa logique malveillante d’origine. Cela se fait via un moteur polymorphique qui modifie certaines parties du programme (ex: clĂ©s de chiffrement, ordres des instructions, registres utilisĂ©s) de façon alĂ©atoire ou variable.
Chaque instance du malware possÚde ainsi une signature unique, rendant la détection par empreintes statiques trÚs difficile.

Un exemple classique est le ver Storm qui altĂ©rait son code Ă  chaque nouvelle infection pour tromper l’antivirus.
Plus rĂ©cemment, des trojans comme Pikabot intĂšgrent ce polymorphisme : Ă  chaque installation, Pikabot gĂ©nĂšre une nouvelle version de lui-mĂȘme en modifiant ses routines critiques (par ex. les fonctions de chiffrement ou de connexion rĂ©seau) afin de produire des empreintes diffĂ©rentes Ă  chaque fois.

Code métamorphe

Encore plus sophistiquĂ©s, les malwares mĂ©tamorphes réécrivent intĂ©gralement tout ou partie de leur code Ă  chaque propagation, sans mĂȘme conserver de dĂ©chiffreur polymorphe fixe.

Le virus Win32/Simile et le cĂ©lĂšbre virus Zmist (2000) illustrent ce concept extrĂȘme oĂč le code Ă©tait auto-rĂ©organisĂ© de maniĂšre quasi alĂ©atoire. Dans les annĂ©es 2020, peu de malwares grand public utilisent un mĂ©tamorphisme complet (coĂ»teux en ressources), mais on en retrouve des Ă©lĂ©ments. Par exemple, Pikabot est capable de transformer son propre code Ă  la volĂ©e en mĂ©moire : rĂ©ordonner les instructions, modifier les flux de contrĂŽle ou remplacer des algorithmes par des Ă©quivalents fonctionnels, rendant sa signature trĂšs mouvante. Ce bot intĂšgre Ă©galement des algorithmes de mutation de code qui réécrivent certaines parties Ă  chaque exĂ©cution (inversions de conditions, boucles, etc.), pour qu’aucun Ă©chantillon n’est identique Ă  un autre. De telles mutations dynamiques produisent un code statistiquement indĂ©tectable par des scanners basĂ©s sur des motifs fixes.

En résumé, polymorphisme et métamorphisme fournissent aux malwares un camouflage évolutif : chaque exemplaire devient une nouvelle créature inconnue des bases antivirales.

Injection en mémoire et attaques sans fichier

Le malware injecte du code dans des processus légitimes (ex: explorer.exe, svchost.exe) pour masquer son activité.
Cela est fortement utilisé notamment dans les trojans bancaires ou les RATs (Remote Access Trojans).
De plus, cela permet de contourner des protections firewall, car bien souvent, les processus légitimes de Windows ont des rÚgles moins restrictives.

ZAccess : Injection Processus

Mais, de plus en plus de malwares adoptent des attaques “fileless” (sans fichier), s’exĂ©cutant exclusivement en mĂ©moire pour Ă©chapper aux scans de fichiers sur disque.
PlutĂŽt que d’écrire un binaire malveillant identifiable sur le disque dur, ces malwares injectent leur code directement dans la mĂ©moire d’un processus lĂ©gitime du systĂšme. Cette technique permet de ne laisser que trĂšs peu de traces : pas de fichier malveillant Ă  analyser, et un code malveillant qui “vit” au sein d’un processus approuvĂ©, ce qui complique Ă©normĂ©ment la dĂ©tection. Par exemple, PyLoose (2023) est un malware fileless Ă©crit en Python qui a chargĂ© directement un mineur de cryptomonnaie (XMRig) en mĂ©moire sans jamais dĂ©poser d’exĂ©cutable sur le disque.

À lire :

Chargeurs multi-étapes et exécution de code à la volée

PlutĂŽt que de livrer tout le code malveillant en une fois, les attaquants prĂ©fĂšrent dĂ©sormais des infections en plusieurs Ă©tapes. Un loader (chargeur) initial relativement lĂ©ger est dĂ©posĂ© sur la machine victime ; son rĂŽle est de prĂ©parer l’exĂ©cution de la charge finale (payload) qui reste chiffrĂ©e, distante ou fragmentĂ©e tant que le loader n’a pas fait son travail. Cela permet de contourner nombre de dĂ©tections statiques, car le loader seul peut paraĂźtre anodin ou inconnu, tandis que la charge malveillante principale n’est dĂ©voilĂ©e qu’au dernier moment, souvent uniquement en mĂ©moire.

Le concept de “code Ă  la volĂ©e” recouvre aussi l’utilisation de langages de script et du code auto-modifiant. Par exemple, de nombreux malware en PowerShell, JavaScript ou VBA gĂ©nĂšrent ou tĂ©lĂ©chargent du code au moment de l’exĂ©cution plutĂŽt que de l’inclure en dur. PowerShell est notoirement utilisĂ© dans des attaques fileless : un document malveillant va lancer une commande PowerShell qui Ă  son tour tĂ©lĂ©charge du code distant en mĂ©moire et l’exĂ©cute immĂ©diatement.
Pour éviter la détection, ce code PowerShell est fortement obfusqué (variables nommées aléatoirement, concaténations bizarres, encodage en base64 comme vu précédemment, etc.) afin de ne pas révéler en clair les URL ou les commandes dangereuses.

Par exemple : Trojan LNK, Trojan.VBS et Malware PowerShell : Exemple d’une campagne visant la France

Trojan PowerShell

Stéganographie

La stĂ©ganographie, dans le contexte des malwares, est l’art de cacher du code malveillant ou des donnĂ©es utiles Ă  l’attaque Ă  l’intĂ©rieur de fichiers apparemment inoffensifs, souvent des images, vidĂ©os, audios ou mĂȘme documents bureautiques. Contrairement au chiffrement (qui cache le sens), la stĂ©ganographie cache l’existence mĂȘme des donnĂ©es.

L’objectif de l’attaquant est :

  • Éviter la dĂ©tection par antivirus (aucune charge utile visible dans les fichiers exĂ©cutables).
  • Passer les firewalls et filtres rĂ©seau (un fichier JPG passe mieux qu’un EXE ou un .dll).
  • Cacher des commandes (C2), des configurations, des chargeurs ou du code.
  • Contourner la surveillance des rĂ©seaux et des hĂŽtes.

Par exemple, des malwares reçoivent leurs instructions sous forme de fichiers « bĂ©nins Â» (mĂȘme publiĂ©s publiquement sur Reddit, GitHub, Twitter
) : Cela sert Ă  rĂ©cupĂ©rer des URL, des configurations, ou des scripts obfusquĂ©s.
Le botnet extrait une chaĂźne cachĂ©e dans l’image (texte invisible, exĂ©cution conditionnelle).

Les macros peuvent charger des images ou documents qui contiennent du code caché.
Le script PowerShell lit un fichier image téléchargé, extrait des données binaires depuis des pixels ou des métadonnées, les déchiffre, puis les injecte en mémoire.

Cela rend la détection de malware difficile pour plusieurs raisons :

Invisible à l’Ɠil nu et aux antivirus classiques.

  • Les outils de sĂ©curitĂ© traditionnels ne vĂ©rifient pas les images ligne par ligne pour y chercher du code.
  • La charge utile est dissociĂ©e du malware, donc la dĂ©tection du fichier malveillant ne permet pas de bloquer les commandes Ă  venir.
  • Combine souvent obfuscation + chiffrement + stĂ©ganographie pour maximiser la furtivitĂ©.

Conclusion

De 2020 Ă  2024, les techniques d’obfuscation des malwares ont atteint un niveau de complexitĂ© sans prĂ©cĂ©dent. Polymorphisme et mĂ©tamorphisme produisent des variantes inĂ©dites Ă  la volĂ©e, le chiffrement omniprĂ©sent des codes et donnĂ©es cache les intentions malveillantes, l’injection furtive en mĂ©moire permet d’opĂ©rer depuis l’ombre des processus lĂ©gitimes, et des loaders multi-Ă©tapes sophistiquĂ©s dĂ©ploient les charges utiles de façon conditionnelle et indĂ©tectable.
Du cĂŽtĂ© du dĂ©fenseur, cela implique de multiplier les couches de protection (analyse comportementale, dĂ©tection en mĂ©moire, sandbox Ă©vasion-aware, etc.) et de constamment mettre Ă  jour les outils d’analyse pour suivre l’évolution de ces menaces. En fin de compte, comprendre en profondeur ces techniques d’obfuscation avancĂ©es est indispensable pour anticiper les tactiques des malwares modernes et renforcer les mĂ©canismes de dĂ©tection et de rĂ©ponse. Les professionnels cybersĂ©curitĂ© doivent maintenir une veille continue sur ces ruses en constante mutation, car l’ingĂ©niositĂ© des attaquants ne cesse de repousser les limites de l’évasion.

Liens

L’article Comment les malwares se cachent des antivirus est apparu en premier sur malekal.com.

Surfshark One - Comment installer et maütriser l’antivirus

Par : Korben
8 mai 2025 Ă  09:00

– Article en partenariat avec Surfshark –

Comme je vous l’ai dĂ©jĂ  dit, Surfshark One n’est pas composĂ© que d’un simple VPN. C’est une vĂ©ritable suite de cybersĂ©curitĂ© conçue pour protĂ©ger vos appareils contre les menaces les plus modernes. Outre le cĂ©lĂšbre service de rĂ©seau privĂ© virtuel (VPN), Surfshark One inclut un antivirus puissant, une protection en temps rĂ©el contre les ransomwares, un bouclier webcam, et mĂȘme une fonctionnalitĂ© de surveillance des fuites de donnĂ©es sur le Dark Web. Bref, c’est un outil tout-en-un pour sĂ©curiser votre vie numĂ©rique.

DefenderUI : configurer Microsoft Defender Antivirus en quelques clics !

Par : Pierre Caer
8 mai 2025 Ă  09:40
Microsoft Defender Antivirus (anciennement Windows Defender) est l’antivirus intĂ©grĂ© par dĂ©faut Ă  Windows 11 et Windows 10. Il offre une bonne protection contre les menaces grĂące Ă  plusieurs fonctionnalitĂ©s comme la protection en temps rĂ©el, la protection basĂ©e sur le cloud, la surveillance des comportements ou encore la protection contre les ransomwares. Malheureusement, l’interface de 
 Lire la suite

Source

Microsoft Defender Antivirus : comment autoriser un programme ou un fichier bloqué ?

Par : Pierre Caer
5 mai 2025 Ă  17:03
Sur votre PC Windows, Microsoft Defender Antivirus (anciennement Windows Defender) protùge efficacement votre PC contre les virus, les logiciels malveillants et autres menaces. Mais il peut parfois faire du zùle en bloquant un programme ou un fichier pourtant inoffensif. Heureusement, l’antivirus de Windows permet de lever ce blocage en autorisant manuellement le programme ou le 
 Lire la suite

Source

Microsoft Defender Antivirus : comment faire une analyse hors connexion ?

Par : Pierre Caer
5 mai 2025 Ă  11:15
Microsoft Defender Antivirus (anciennement Windows Defender) – l’antivirus intĂ©grĂ© par dĂ©faut Ă  Windows 11 et Windows 10 – protĂ©ge votre ordinateur contre pratiquement tous les types de menaces : virus, logiciels espions, ransomwares, rootkits et autres logiciels malveillants. Mais dans certains cas, des malwares particuliĂšrement coriaces parviennent Ă  se cacher ou Ă  neutraliser les protections 
 Lire la suite

Source

Microsoft Defender Antivirus : comment faire une analyse (complùte, rapide
) ?

Par : Pierre Caer
4 mai 2025 Ă  08:00
Microsoft Defender Antivirus (anciennement Windows Defender) est l’application antivirus gratuite intĂ©grĂ©e par dĂ©faut sur tous les PC Windows 11 et Windows 10. En plus de protĂ©ger votre ordinateur en temps rĂ©el contre les virus, malwares et autres menaces, elle permet de lancer une analyse antivirus Ă  la demande. Elle offre le choix entre une analyse 
 Lire la suite

Source

Defender Control : activer/désactiver Microsoft Defender Antivirus en un clic

Par : Pierre Caer
2 mai 2025 Ă  08:00
Sur Windows, il n’est pas rare de devoir dĂ©sactiver temporairement Microsoft Defender Antivirus (anciennement Windows Defender). Par exemple, pour installer un programme dĂ©tectĂ© Ă  tort comme malveillant (faux positif), exĂ©cuter un script tĂ©lĂ©chargĂ© sur Internet, transfĂ©rer plus rapidement des fichiers vers un autre appareil
 Mais c’est une opĂ©ration plutĂŽt fastidieuse puisqu’il est nĂ©cessaire de passer 
 Lire la suite

Source

Microsoft Defender Antivirus : comment ajouter une exception (fichier, dossier ou programme) ?

Par : Pierre Caer
30 avril 2025 Ă  16:05
Microsoft Defender Antivirus, l’antivirus intĂ©grĂ© par dĂ©faut Ă  Windows 11 et Windows 10 et anciennement connu sous le nom de Windows Defender, est une application essentielle pour protĂ©ger votre ordinateur contre les virus, les logiciels malveillants et toutes les autres menaces. Mais il arrive parfois que Microsoft Defender Antivirus bloque un programme parfaitement sĂ»r ou dĂ©tecte 
 Lire la suite

Source

Windows 11 : comment désactiver Microsoft Defender Antivirus ?

Par : Pierre Caer
30 avril 2025 Ă  10:14
Microsoft Defender Antivirus, anciennement connu sous le nom de Windows Defender, est l’antivirus intĂ©grĂ© par dĂ©faut dans Windows 11. Depuis ses dĂ©buts en tant que simple logiciel anti-spyware sur Windows XP, il a beaucoup Ă©voluĂ© pour devenir un antivirus complet. Aujourd’hui, il propose une protection en temps rĂ©el contre les virus, logiciels malveillants, ransomwares et 
 Lire la suite

Source

Surfshark One s'attaque désormais aux périphériques de stockage externe

Par : Korben
17 avril 2025 Ă  07:31

– Article en partenariat avec Surfshark –

Si vous ĂȘtes un habituĂ© des solutions de cybersĂ©curitĂ©, vous avez probablement entendu parler de Surfshark One. L’outil tout-en-un numĂ©rique qui combine VPN, antivirus, moteur de recherche privĂ© et outil d’alerte pour les fuites de donnĂ©es. Mais aujourd’hui, on va se concentrer sur une nouveautĂ© qui va s’avĂ©rer plutĂŽt pratique : la possibilitĂ© de scanner les unitĂ©s de stockage externe avec l’antivirus intĂ©grĂ©. Oui, la clĂ© USB douteuse ou ce disque dur externe potentiellement infectĂ© qui traĂźnent dans un tiroir depuis des annĂ©es n’ont qu’à bien se tenir.

Cet antivirus de référence baisse de prix : fini les sueurs froides en cliquant sur les mails [Sponso]

Par : humanoid xp
24 mars 2025 Ă  16:05

Cet article a été réalisé en collaboration avec Avast

L’antivirus Avast, une rĂ©fĂ©rence dans le domaine de la cybersĂ©curitĂ©, voit le prix de ses abonnements premium baisser. Windows, MacOS, iPhone ou Android : il protĂšge tous les appareils trĂšs efficacement.

Cet article a été réalisé en collaboration avec Avast

Il s’agit d’un contenu créé par des rĂ©dacteurs indĂ©pendants au sein de l’entitĂ© Humanoid xp. L’équipe Ă©ditoriale de Numerama n’a pas participĂ© Ă  sa crĂ©ation. Nous nous engageons auprĂšs de nos lecteurs pour que ces contenus soient intĂ©ressants, qualitatifs et correspondent Ă  leurs intĂ©rĂȘts.

En savoir plus

❌
❌