329 menaces détectées, c’est le score qu’affiche Windows Defender quand vous téléchargez Kali Linux. C’est pas mal pour un simple fichier ISO, non ? D’après les discussions sur SuperUser , c’est parfaitement normal et ça arrive surtout avec les payloads Metasploit inclus dans la distribution. Mais le plus drôle dans cette histoire, c’est que ce “problème” existe depuis plus de 25 ans et touche toutes les distribs.
Jesse Smith de DistroWatch reçoit en effet régulièrement des messages paniqués de nouveaux utilisateurs Linux. Leur crime ? Avoir osé télécharger une distribution Linux pendant que Windows montait la garde. Et boom, l’antivirus s’affole comme si vous veniez de DL la peste bubonique. Le gars explique que sur 1000 alertes de ce genre, 999 sont des faux positifs donc autant dire que votre antivirus a plus de chances de se tromper que vous de gagner au loto.
Mais pourquoi cette paranoïa des antivirus Windows face aux ISOs Linux ?
La réponse est presque trop logique et simple pour être vraie. Un fichier ISO, c’est une archive qui contient du code exécutable. Du code qui peut modifier les partitions, installer un bootloader, toucher au kernel… Bref, exactement le genre de trucs qu’un malware adorerait faire sur Windows… sauf que dans le cas de Linux, c’est précisément ce qu’on veut qu’il fasse !
Et quand on réalise que les développeurs Linux bossent quasi exclusivement sur… Linux, les chances qu’un malware Windows se glisse accidentellement dans une ISO Linux sont à peu près aussi élevées que de voir Microsoft open-sourcer Windows demain matin. C’est techniquement possible, mais hautement improbable.
Le problème est particulièrement visible avec les distributions orientées sécurité, ce qui est normal, car elles embarquent des outils de pentest qui ressemblent furieusement à des malwares du point de vue d’un antivirus. Password crackers, frameworks d’exploitation, outils d’accès distant… Pour Windows Defender, c’est Noël tous les jours.
Ce qui devient vraiment problématique, c’est l’impact sur les nouveaux utilisateurs qui prennent peur. Il y a eu des cas où même des fichiers boot innocents comme memtest64.efi, bootia32.efi ou grubx64.efi sont flaggés comme suspects, alors je vous laisse imaginer la tête du débutant qui veut juste essayer Linux et qui se retrouve face à une avalanche d’alertes rouges.
La situation a même empiré récemment puisque selon les rapports de septembre 2025 sur Windows Forum , il y a eu une augmentation notable des signalements ces dernières semaines. Différentes distributions, différents antivirus, mais toujours le même refrain : “Attention, virus détecté !”
Donc pour vérifier que votre ISO n’est pas réellement infectée (spoiler : elle ne l’est pas), la procédure est simple. Téléchargez la depuis les sources officielles, vérifiez le hash SHA256 fourni sur le site, et si vous êtes vraiment parano, scannez la avec un autre antivirus. Si deux antivirus différents détectent exactement le même malware spécifique, là vous pouvez commencer à vous inquiéter. Sinon, c’est juste Windows qui fait sa drama queen.
Le côté pervers de ces fausses alertes répétées, c’est qu’elles poussent également les utilisateurs à désactiver leur protection ou à ignorer systématiquement les avertissements. Et ça c’est un vrai problème de sécurité car à force de crier au loup pour rien, les antivirus finissent par perdre un peu crédibilité.
Alors bien sûr, Microsoft pourrait facilement créer une liste blanche pour les ISOs des distributions Linux majeures, mais après 25 ans d’inaction, on peut raisonnablement penser que ce n’est pas leur priorité. Puis j’sais pas, peut-être qu’ils trouvent ça amusant de voir les nouveaux utilisateurs Linux flipper avant même d’avoir booté sur leur clé USB.
Voilà, donc attendant, si votre antivirus vous dit que votre ISO Ubuntu contient 42 virus, respirez un grand coup. C’est juste Windows qui ne comprend pas qu’on puisse vouloir utiliser autre chose que lui…
Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise.
Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.
Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :
L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection.
Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.
En parallèle, vous pouvez lire ce guide pour mieux comprendre les types de menaces informatiques : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc
Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux.
Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données).
Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.
| Exemple de détection | Exemples | Antivirus |
| PUA:Win32/XXXXX | PUA:Win32/Presenoker PUA:Win32/InstallCore | Microsoft Defender |
| PUP.Optional.XXXX PUA.Optional.BundleInstaller | PUA.Optional.BundleInstaller PUP.Optional.DriverUpdate | Malwarebytes |
| PUA.XXXXX Generic.PUA.2FileDownload.A | PUA.systemcheckup | Bitdefender |
| Not-a-virus:HEUR:AdWare.Win32.XXXX | Not-a-virus:HEUR:AdWare.Win32.Searcher | Kaspersky |
| Win32:XXXX-X [PUP] | Win32:UnwRAP-X [PUP] | Avast/AVG |
| PUA/XXXXX | PUA/InstallCore.Gen | ESET |
Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement.
Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.
Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.
| Détection | Exemple de détection | Antivirus |
| Adware:Win32/XXXX Adware:JS/XXXXX.A | Adware:Win32/FusionCore Adware:JS/Adposhel.A Adware:JS/FakeAlert | Microsoft Defender |
| Adware.XXXXX | Adware.SwiftBrowse Adware.Elex | Malwarebytes |
| Adware.GenericKD.### | Bitdefender | |
| Adware.Win32.Agent | Adware.Agent.BYI | Kaspersky |
| Adware.Generic.XXXX | Adware.Generic.279974 | ESET |
Scénario possible : identique au PUP, sauf dans le cas où l’adware est déjà actif dans le système.
Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes.
Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.
| Détection | Exemple/Description | Antivirus |
| Trojan:HTML/Phish.XXX!YYY Trojan:HTML/Redirector.XXX | Trojan:HTML/Phish.JA!MTB Trojan:HTML/Redirector.NY | Microsoft Defender |
| JS:Downloader-XXX [Trj] HTML:Script-Inf Trojan.Script.Heuristic-JS JS:ScriptPE-inf [Trj] | Script JavaScript d’obfuscation menant à une infection | Avast/AVG |
| JS:Miner-C [Trj] HTML:CoinMiner-EM [Trj] | Script JavaScript injecté pour miner des cryptomonnaies | Avast/AVG |
| Trojan.JS.Redirector Trojan.JS.Agent.XXXX JS:Trojan.XXXX.YYYY Trojan.JS.Miner.gen | JS:Trojan.Cryxos.4572 Trojan.JS.Agent.fpu | Bitdefender |
| HEUR:Trojan.Script.Generic HEUR:Trojan.Script.Redirector HEUR:Trojan.Script.Miner.gen | Kaspersky |
Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email.
Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active.
Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.
Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).
| Détection | Exemple | Antivirus |
| Trojan:Win32/XXXXX | Trojan:Win32/Emotet.A Trojan:Win32/Occamy.AA | Microsoft Defender |
| Trojan.Downloader.Generic Trojan.Agent.Downloader MalPack.Downloader.### | Malwarebytes | |
| JS:Downloader-XXX | JS:Downloader.PB JS:Downloader-LQB [Trj] | Avast/AVG |
| Trojan.Downloader.Gen Trojan.GenericKD.Downloader | Bitdefender | |
| Downloader.Agent!gen2 | McAfee | |
| Win32/TrojanDownloader.Agent Trojan.Downloader.XXXX | Trojan.Downloader.Small.BM | ESET |
Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.
Ces menaces permettent un accès distant, la surveillance.
| Détection générique | Exemple | Antivirus |
| Backdoor:Win32/XXXXXBladabindi | Backdoor:Win32/Bladabindi | Microsoft Defender |
| Backdoor.XXXX Backdoor.Bot.Gen (détection générique) | Backdoor.Qbot Backdoor.Agent.NOIP Glupteba.Backdoor.Bruteforce.DDS | Malwarebytes |
| Backdoor.Win32.XXXX | Backdoor:Win32/Remcos.GZZ!MTB (Famille Remcos) Backdoor.Win32.Agent.bla (plus générique) | Kaspersky |
| Backdoor.GenericKD.### | Backdoor.GenericKD.64149272 | Bitdefender |
Voici maintenant des détections de type Trojan.Stealer.
Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc.
Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.
| Détection | Exemple | Antivirus |
| TrojanSpy:Win32/Agent (La mention Spy n’est pas obligatoire) | Trojan:Win32/RedLine!MSR | Microsoft Defender |
| Trojan.Agent.Stealer Trojan.MalPack.Stealer Trojan.Generic.MSILStealer Spyware.PasswordStealer | Malwarebytes | |
| Trojan.GenericKD.### | | Bitdefender |
| Stealer.XXXXX JS/Spy.Agent.XXX | Stealer.Agent/Gen JS/Spy.Agent.AH | ESET |
| Infostealer | Infostealer.Gampass – cible les jeux Infostealer.RedLine (Famille RedLine) | Norton |
Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
| Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office. | ||
| Exemple de détection | Antivirus | Description |
| Trojan:O97M/Agent.XXX | Microsoft Defender | Macro malveillante dans un document Word/Excel |
| HTML/Phishing.Agent.AB | ESET | Fichier HTML visant à voler des identifiants |
| DOC:Exploit.CVE-2017-11882 | Avast | Exploitation d’une faille Office via fichier Word piégé |
Scénario possible : la détection porte sur une pièce jointe malveillante.
Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.
Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).
Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.
Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####
Ce qui donne :
Connexion
Trojan. → cheval de Troie (accès à distance, stealer, downloader…)Adware. → logiciel injectant de la publicité ou modifiant le navigateurPUP. → programme potentiellement indésirableMalware. ou MalPack. → détection générique basée sur le comportementAgent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaireStealer → indique un voleur d’informationsDownloader → menace qui télécharge un autre malwareInjector → injection de code dans des processus légitimesGeneric, Heur, ou un numéro de variante (Trojan.Agent.EDX)MalPack) ou une obfuscation avancéeExemples concrets :
Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :
<type>:<plateforme>/<nom>.<variante>
Microsoft utilise aussi d’autres préfixes selon la nature de la menace :
Backdoor: pour les accès à distance non autorisés,Ransom: pour les ransomwares,PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),Exploit: pour les fichiers qui exploitent une vulnérabilité système,HackTool: pour les outils légitimes détournés à des fins malveillantes.Par exemple : Trojan:Win32/Agent.WXYZ
Trojan désigne le type de menace (ici un cheval de Troie),Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,WXYZ est une variante, une signature spécifique ou un identifiant unique interne.Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :
!MTB → Machine-learned Threat Based (détection par IA / modèle comportemental),!ml → Machine Learning,!bit → détection basée sur une signature hash/statique.Pour neutraliser la menace :
netstat / outils tiers)Pour vous aider :
Une fois l’ordinateur désinfecté :
L’article Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025) est apparu en premier sur malekal.com.
