Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.

Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.

Dans cet article, vous allez découvrir :

• Ce qu’est un Trojan Downloader et comment il fonctionne,
• Les exemples les plus connus ayant marqué l’actualité,
• Pourquoi il est si redouté par les spécialistes en cybersécurité,
• Et surtout, comment s’en protéger efficacement.

Qu’est-ce qu’un Trojan Downloader ?

Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).

Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.

Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.

Fonctionnement technique d’un Trojan Downloader

Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :

Infection initiale

Le Trojan Downloader est généralement distribué via des vecteurs classiques :

• Phishing : pièce jointe malveillante (les virus Office, archive ZIP),
• Téléchargement de logiciels piratés (cracks, keygens),
• Publicités piégées (malvertising) ou faux installateurs,
• Exécutables déguisés (fichier invoice.exe présenté comme une facture, par exemple).

→ Les Virus et Trojan : comment ils infectent les PC

Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.

Connexion au serveur distant

Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :

• en HTTP/HTTPS (requêtes classiques vers des URLs codées ou dynamiques),
• en protocole personnalisé (plus difficile à détecter),
• parfois via réseaux P2P pour éviter les coupures de serveur.

Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.

Téléchargement de la charge utile (payload)

Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :

• ransomware,
• spyware,
• keylogger,
• cheval de Troie bancaire,
• outil d’accès à distance (RAT),
• ou une nouvelle version de lui-même (mise à jour).

Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.

Exécution et installation

Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :

• des scripts temporaires (PowerShell, VBS…),
• l’injection dans un processus système,
• ou en copiant les fichiers dans des dossiers système avec un point de chargement (autorun) pour la persistance (Run/RunOnce, services, tâches planifiées…).

Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.

Exemples concrets de Trojan Downloaders connus

Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.

Upatre (2013–2016)

L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.

Gamarue / Andromeda (2011–2017)

Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.

Kovter (2014–2020)

Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.

Smoke Loader (depuis 2011 – actif en 2025)

Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).

Emotet (2014–2021, réapparu brièvement en 2022)

Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.

Trojan JavaScript / VBS : simple, discret, efficace

En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.

Comment ils fonctionnent :

• L’utilisateur reçoit un e-mail avec un objet générique du type « Facture », « Document important », ou « Relance de paiement ».
• La pièce jointe est souvent une archive .zip contenant un fichier document.js ou fichier.vbs.
• Dès l’ouverture, le script télécharge en arrière-plan un exécutable depuis un serveur distant (fréquemment via wget, bitsadmin, ou powershell Invoke-WebRequest).
• Il lance ensuite automatiquement l’exécutable téléchargé, qui peut être un ransomware, un RAT ou un autre downloader.

Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.

Pourquoi un Trojan Downloader est-il dangereux ?

Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.

Voici pourquoi il est particulièrement dangereux.

Il agit en toute discrétion :

Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).

Il installe des menaces bien plus graves :

Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :

• le vol de données confidentielles (mots de passe, fichiers),
• l’installation d’un ransomware qui chiffre tout le système,
• l’espionnage via un RAT (Remote Access Trojan),
• ou l’intégration à un botnet utilisé pour des attaques DDoS ou du spam massif.

Il peut réinjecter des malwares après nettoyage :

Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.

Il est difficile à détecter :

• Il utilise souvent des techniques de dissimulation : noms de fichiers trompeurs, répertoires système, extensions masquées…
• Il peut employer un chiffrement ou une obfuscation de son code ou de ses communications avec le serveur.
• Les antivirus ne le détectent pas toujours s’il est scripté (JavaScript, VBS) ou personnalisé pour une campagne ciblée.

Il peut adapter son comportement à la cible :

Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.

Comment se protéger d’un Trojan Downloader

Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.

• Vigilance face aux e-mails et pièces jointes :
  • Ne jamais ouvrir de pièce jointe inattendue, même si l’expéditeur semble connu.
  • Se méfier des fichiers .zip, .js, .vbs, .lnk, .docm, .xlsm : ce sont des formats classiques pour les malwares.
  • Désactiver l’exécution automatique des macros dans Microsoft Office.
  • Toujours afficher les extensions de fichiers dans l’Explorateur Windows pour repérer les noms trompeurs (Facture.pdf.exe, etc.).
• Filtrer les connexions sortantes suspectes :
  • Activer et configurer un pare-feu efficace (Windows Firewall ou solution tierce).
  • Surveiller les connexions sortantes anormales vers des domaines inconnus (à l’aide de logiciels comme GlassWire, TCPView ou Wireshark).
  • En entreprise : utiliser un proxy ou un filtre DNS (ex. NextDNS, Quad9, OpenDNS avec filtrage) pour bloquer les domaines C2 connus.
• Utiliser une protection antivirus/EDR à jour
• Maintenir le système et les logiciels à jour pour combler failles logicielles
• Faire une analyse complète du système avec votre antivirus une fois par semaine.

L’article Comprendre le Trojan Downloader : rôle, fonctionnement, exemples, protection est apparu en premier sur malekal.com.

Avec l’iPad, Apple a trouvé la formule gagnante pour une tablette, au point de dominer largement les ventes dans ce secteur. Aujourd’hui, l’iPad ne veut plus seulement être un iPhone en plus grand : Apple propose désormais une large gamme. Entre l’iPad Air, le Mini ou le Pro, le choix n’est pas toujours évident. Voici donc notre comparatif complet pour vous aider à trouver celui qui vous correspond le mieux.

[Deal du jour] Pour vous immerger dans vos jeux, rien de tel qu'un grand de 45″. LG propose un grand moniteur incurvé à un super prix pour les soldes.

Google publie une mise à jour d’urgence pour Chrome afin de corriger une vulnérabilité de type zero-day. Elle est activement exploitée.

Cet article Chrome, Google corrige en urgence une faille zéro-day critique a été publié en premier par GinjFo.

Authenticator va abandonner totalement les mots de passe d’ici août 2025. L’application mobile évolue vers un modèle sans mot de passe.

Cet article Authenticator, Microsoft supprime tous les mots de passe : que faire avant août 2025 ? a été publié en premier par GinjFo.

Microsoft décide de revoir en profondeur la manière dont les logiciels de sécurité interagissent avec Windows

Cet article Windows va expulser les antivirus du noyau système pour éviter les BSOD massifs a été publié en premier par GinjFo.

Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.

Dans cet article, nous allons vous expliquer :

• ce qu’est un bootkit et comment il fonctionne,
• pourquoi il est si difficile à détecter et à supprimer,
• quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
• et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.

J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.

Qu’est-ce qu’un bootkit ?

Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :

• le secteur de démarrage (MBR) sur les anciens systèmes,
• ou le bootloader UEFI (EFI/ESP) sur les machines modernes.

Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.

Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?

Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :

• injecter des composants malveillants dans le noyau (kernel),
• contourner les contrôles d’intégrité,
• cacher des fichiers, processus ou connexions réseau.

Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.

Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :

• les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
• certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
• ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.

Que peut faire un bootkit ?

Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :

• l’espionnage (keylogger, interception de trafic, vol d’identifiants),
• le contrôle total du système, y compris l’élévation de privilèges,
• la persistance extrême, même après un formatage classique,
• l’installation silencieuse d’autres malwares (trojans, ransomwares…),
• la manipulation de fonctions système, rendant la machine instable ou totalement compromise.

Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).

Exemples de bootkits connus

En MBR

Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :

• Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
• Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
• Pas de Secure Boot à l’époque du MBR

De ce fait, de nombreux boookits ont vu le jour à partir de 2010.

TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.

Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.

Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque.
Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.

En UEFI

L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile.
Toutefois, des bootkits UEFI existent.

LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie.
LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).

Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.

Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.

Comment s’en protéger ?

La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.

Activer Secure Boot

Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.

Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM).
Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated).
Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.

ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows.
Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects.
Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.

C’est une défense essentielle pour empêcher le chargement de code non autorisé au démarrage.
Cela fait partie de la stratégie de Microsoft pour rendre son OS plus sûr.
Plus de détails : Windows 11 et 10 : évolutions des protections de sécurité intégrées contre les virus et malwares
Enfin, à lire : Qu’est-ce que le Secure boot la protection des PC UEFI et comment ça marche ?

Maintenir le firmware à jour

Les fabricants de cartes mères publient régulièrement des mises à jour UEFI/BIOS pour corriger des failles exploitables par des bootkits.

Il est donc recommandé de :

• Maintenir à jour le BIOS est donc essentiel
• Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
• Installez les mises à jour proposées dans les outils des fabricants de PC OEM

Utiliser un antivirus avec protection UEFI

Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.

Éviter les ISO ou installeurs non vérifiés

Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés.
Le risque notamment est lorsque l’on installe une version modifiée de Windows.
Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.

Toujours utiliser des sources officielles.

Utiliser des outils spécialisés de détection

Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.

Comment supprimer un bootkit ?

La suppression d’un bootkit est complexe et dépend du type de système infecté :

• Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
• Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.

Dans certains cas, utilisez des outils de secours bootables, comme :

• Microsoft Defender Offline,
• ESET SysRescue Live,
• ou un LiveCD Linux spécialisé dans l’analyse firmware.

Rootkit et bootkit : quelle est la différence ?

Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows.
Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware.
De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.

Critère	Rootkit	Bootkit
Emplacement	Noyau de Windows, pilotes, services, registre	MBR, secteur de démarrage, firmware UEFI
Moment d’exécution	Après le démarrage du système (post-boot)	Avant ou pendant le démarrage du système (pre-boot)
Objectif principal	Cacher d’autres malwares, manipuler le système	Contrôler la phase de boot, injecter du code très tôt
Mode d’action	Injection dans des processus ou des pilotes	Remplacement ou modification du bootloader
Furtivité	Très élevée, mais dépend de la version de l’OS	Extrême : le malware agit avant que le système ne se charge
Persistance	Persistant jusqu’à nettoyage ou désactivation	Peut survivre à un formatage de disque
Détection	Possible avec outils avancés (antirootkits, EDR)	Très difficile sans analyse firmware ou scan UEFI

L’article Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger est apparu en premier sur malekal.com.

[Deal du jour]Sorti au printemps dernier, le MacBook Air M4 est le plus puissant de la gamme Air, mais aussi le premier à passer aussi rapidement sous la barre des quatre chiffres. Pour les soldes d'été, le laptop est affiché à un prix imbattable sur Amazon.

J’adore ces histoires de bidouille légale qui montrent à quel point les ingénieurs peuvent être créatifs quand il s’agit de contourner certaines limitations. Et celle que je vais vous raconter aujourd’hui, c’est du grand art, vous allez voir.

Ce n’est pas quelque chose de récent mais plutôt une astuce géniale qui date d’une époque où les fabricants de PC comme Dell savaient “transformer” des versions d’essai en logiciels complets, et tout ça parfaitement légalement !

Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise.
Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.

Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :

• Trojans chevaux de Troie téléchargeurs et voleurs de données,
• Backdoors à accès distant,
• PUP/PUA (logiciels potentiellement indésirables),
• Adwares injectant des publicités ou des redirections,
• Scripts malveillants (JavaScript, macros Office), etc.

L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection.
Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.

En parallèle, vous pouvez lire ce guide pour mieux comprendre les types de menaces informatiques : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Détections de PUP/PUA (logiciels potentiellement indésirables)

Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux.
Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données).
Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.

Exemple de détection	Exemples	Antivirus
PUA:Win32/XXXXX	PUA:Win32/Presenoker PUA:Win32/InstallCore	Microsoft Defender
PUP.Optional.XXXX PUA.Optional.BundleInstaller	PUA.Optional.BundleInstaller PUP.Optional.DriverUpdate	Malwarebytes
PUA.XXXXX Generic.PUA.2FileDownload.A	PUA.systemcheckup	Bitdefender
Not-a-virus:HEUR:AdWare.Win32.XXXX	Not-a-virus:HEUR:AdWare.Win32.Searcher	Kaspersky
Win32:XXXX-X [PUP]	Win32:UnwRAP-X [PUP]	Avast/AVG
PUA/XXXXX	PUA/InstallCore.Gen	ESET

Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement.
Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.

Détections d’adwares (publicité intrusive)

Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.

Détection	Exemple de détection	Antivirus
Adware:Win32/XXXX Adware:JS/XXXXX.A	Adware:Win32/FusionCore Adware:JS/Adposhel.A Adware:JS/FakeAlert	Microsoft Defender
Adware.XXXXX	Adware.SwiftBrowse Adware.Elex	Malwarebytes
Adware.GenericKD.###		Bitdefender
Adware.Win32.Agent	Adware.Agent.BYI	Kaspersky
Adware.Generic.XXXX	Adware.Generic.279974	ESET

Scénario possible : identique au PUP, sauf dans le cas où l’adware est déjà actif dans le système.

Scripts JavaScript malveillants (injections, redirections, crypto-jacking)

Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes.
Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.

Détection	Exemple/Description	Antivirus
Trojan:HTML/Phish.XXX!YYY Trojan:HTML/Redirector.XXX	Trojan:HTML/Phish.JA!MTB Trojan:HTML/Redirector.NY	Microsoft Defender
JS:Downloader-XXX [Trj] HTML:Script-Inf Trojan.Script.Heuristic-JS JS:ScriptPE-inf [Trj]	Script JavaScript d’obfuscation menant à une infection	Avast/AVG
JS:Miner-C [Trj] HTML:CoinMiner-EM [Trj]	Script JavaScript injecté pour miner des cryptomonnaies	Avast/AVG
Trojan.JS.Redirector Trojan.JS.Agent.XXXX JS:Trojan.XXXX.YYYY Trojan.JS.Miner.gen	JS:Trojan.Cryxos.4572 Trojan.JS.Agent.fpu	Bitdefender
HEUR:Trojan.Script.Generic HEUR:Trojan.Script.Redirector HEUR:Trojan.Script.Miner.gen		Kaspersky

Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email.
Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active.
Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.

Trojan Downloader (chargement de payload à distance)

Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).

Détection	Exemple	Antivirus
Trojan:Win32/XXXXX	Trojan:Win32/Emotet.A Trojan:Win32/Occamy.AA	Microsoft Defender
Trojan.Downloader.Generic Trojan.Agent.Downloader MalPack.Downloader.###		Malwarebytes
JS:Downloader-XXX	JS:Downloader.PB JS:Downloader-LQB [Trj]	Avast/AVG
Trojan.Downloader.Gen Trojan.GenericKD.Downloader		Bitdefender
Downloader.Agent!gen2		McAfee
Win32/TrojanDownloader.Agent Trojan.Downloader.XXXX	Trojan.Downloader.Small.BM	ESET

Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.

Chevaux de Troie avec exfiltration ou backdoor (C2)

Ces menaces permettent un accès distant, la surveillance.

Détection générique	Exemple	Antivirus
Backdoor:Win32/XXXXXBladabindi	Backdoor:Win32/Bladabindi	Microsoft Defender
Backdoor.XXXX Backdoor.Bot.Gen (détection générique)	Backdoor.Qbot Backdoor.Agent.NOIP Glupteba.Backdoor.Bruteforce.DDS	Malwarebytes
Backdoor.Win32.XXXX	Backdoor:Win32/Remcos.GZZ!MTB (Famille Remcos) Backdoor.Win32.Agent.bla (plus générique)	Kaspersky
Backdoor.GenericKD.###	Backdoor.GenericKD.64149272	Bitdefender

Voici maintenant des détections de type Trojan.Stealer.
Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc.
Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.

Détection	Exemple	Antivirus
TrojanSpy:Win32/Agent (La mention Spy n’est pas obligatoire)	Trojan:Win32/RedLine!MSR	Microsoft Defender
Trojan.Agent.Stealer Trojan.MalPack.Stealer Trojan.Generic.MSILStealer Spyware.PasswordStealer		Malwarebytes
Trojan.GenericKD.###		Bitdefender
Stealer.XXXXX JS/Spy.Agent.XXX	Stealer.Agent/Gen JS/Spy.Agent.AH	ESET
Infostealer	Infostealer.Gampass – cible les jeux Infostealer.RedLine (Famille RedLine)	Norton

Fichiers HTML/Office infectés (pièces jointes ou pages piégées)

Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.

Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
Exemple de détection	Antivirus	Description
Trojan:O97M/Agent.XXX	Microsoft Defender	Macro malveillante dans un document Word/Excel
HTML/Phishing.Agent.AB	ESET	Fichier HTML visant à voler des identifiants
DOC:Exploit.CVE-2017-11882	Avast	Exploitation d’une faille Office via fichier Word piégé

Scénario possible : la détection porte sur une pièce jointe malveillante.

Que signifient les noms de détection antivirus (Trojan.Agent, Generic, etc.)

Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.

Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).

Malwarebytes

Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.

Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####

Ce qui donne :

• Préfixe : indique la catégorie de la menace
  Exemples :
  • Trojan. → cheval de Troie (accès à distance, stealer, downloader…)
  • Adware. → logiciel injectant de la publicité ou modifiant le navigateur
  • PUP. → programme potentiellement indésirable
  • Malware. ou MalPack. → détection générique basée sur le comportement
• Nom central : identifie le comportement ou la famille
  • Agent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaire
  • Stealer → indique un voleur d’informations
  • Downloader → menace qui télécharge un autre malware
  • Injector → injection de code dans des processus légitimes
• Suffixe éventuel : identifiant numérique ou indication d’analyse comportementale
  • Generic, Heur, ou un numéro de variante (Trojan.Agent.EDX)
  • Peuvent aussi signaler une détection basée sur un empaquetage (MalPack) ou une obfuscation avancée

Exemples concrets :

• Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.
• Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.
• PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.

Microsoft (Windows Defender)

Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :

<type>:<plateforme>/<nom>.<variante>

Microsoft utilise aussi d’autres préfixes selon la nature de la menace :

• Backdoor: pour les accès à distance non autorisés,
• Ransom: pour les ransomwares,
• PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),
• Exploit: pour les fichiers qui exploitent une vulnérabilité système,
• HackTool: pour les outils légitimes détournés à des fins malveillantes.

Par exemple : Trojan:Win32/Agent.WXYZ

• Trojan désigne le type de menace (ici un cheval de Troie),
• Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),
• Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,
• WXYZ est une variante, une signature spécifique ou un identifiant unique interne.

Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :

• !MTB → Machine-learned Threat Based (détection par IA / modèle comportemental),
• !ml → Machine Learning,
• !bit → détection basée sur une signature hash/statique.

Que faire après une détection

Pour neutraliser la menace :

• Mettre en quarantaine et supprimer les menaces. Compléter l’analyse de votre ordinateur avec MBAM. Plus de détails :
• Surveiller le comportement du système. Par exemple, vérifier les connexions réseau (via netstat / outils tiers)
• Réaliser une analyse secondaire avec VirusTotal ou un autre scanner
• Réinitialiser les navigateurs si adware/PUP

Pour vous aider :

• Supprimer les virus et désinfecter son PC
• Menace détectée par Windows Defender : que faire ?
• Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender de Windows 10, 11
• Se faire désinfecter son PC gratuitement sur le forum : Comment demander de l’aide sur le forum

Une fois l’ordinateur désinfecté :

• Créer un point de restauration si non infecté
• Modifier vos mots de passe. À lire : Que faire après une attaque de virus informatique
• Sécuriser son PC, pour cela, aidez-vous de ce guide : Comment protéger son PC des virus et des pirates ?

L’article Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025) est apparu en premier sur malekal.com.

C’est une alerte mondiale. Une fuite massive de données a mis à nu 16 milliards d’identifiants de connexion. Ce nombre est gargantuesque

Cet article Fuite de données historique : 16 milliards d’identifiants piratés, Apple, Google et Facebook touchés a été publié en premier par GinjFo.

Microsoft impose une caméra couleur pour Windows Hello, empêchant la reconnaissance faciale dans le noir. Comment contourner le problème.

Cet article Windows Hello : pourquoi votre reconnaissance faciale ne fonctionne plus dans le noir ? a été publié en premier par GinjFo.

Le Patch Tuesday de juin 2025 débute. Microsoft déploie des mises à jour cumulatives dont certaines visent Windows 10 et Windows 11

Cet article Le Patch Tuesday de juin 2025 débute, tous les détails a été publié en premier par GinjFo.

Cet article a été réalisé en collaboration avec Synology

Lors du salon Computex 2025 qui se tenait à Taïwan il y a quelques jours, Synology a dévoilé une solution de surveillance, C2 Backup for Surveillance, à destination des entreprises. Ses points forts : elle est très simple à mettre en place, peu coûteuse et s’appuie sur l’expertise de Synology dans le stockage de données.

Cet article a été réalisé en collaboration avec Synology

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Le BSI lance une alerte de sécurité urgente. Une vulnérabilité critique dans Google Chrome est activement exploitée par des cybercriminels.

Cet article Chrome et Edge : une faille zero-day exploitée, mettez à jour sans attendre a été publié en premier par GinjFo.

OneDrive, le service de stockage en ligne de Microsoft est utilisé par des millions d’internautes. Une faille critique a été découverte.

Cet article OneDrive : une faille de sécurité expose tous vos fichiers stockés en ligne a été publié en premier par GinjFo.

Si vous songez à changer de routeur, le FBI vient d’alerter sur 13 modèles obsolètes activement exploités par des pirates.

Cet article Ne les achetez surtout pas ! Voici les 13 routeurs à bannir selon le FBI a été publié en premier par GinjFo.

À la recherche d'une unité centrale performante pour 2025 ? Découvrez les modèles innovants pour gaming, bureautique et création, optimisés pour vos projets.

L’article Choisir son unité centrale pour le gaming, la bureautique ou la création est apparu en premier sur Tom’s Hardware.

Le MacBook Air M4 sauve le premier trimestre d'Apple avec des ventes assez conséquentes, une augmentation de près de 7% en un an, poussant Apple à 10% de parts de marché.

L’article Le MacBook Air M4 cartonne et redresse les ventes de PC d’Apple est apparu en premier sur Tom’s Hardware.