329 menaces détectées, c’est le score qu’affiche Windows Defender quand vous téléchargez Kali Linux. C’est pas mal pour un simple fichier ISO, non ? D’après les discussions sur SuperUser , c’est parfaitement normal et ça arrive surtout avec les payloads Metasploit inclus dans la distribution. Mais le plus drôle dans cette histoire, c’est que ce “problème” existe depuis plus de 25 ans et touche toutes les distribs.
Jesse Smith de DistroWatch reçoit en effet régulièrement des messages paniqués de nouveaux utilisateurs Linux. Leur crime ? Avoir osé télécharger une distribution Linux pendant que Windows montait la garde. Et boom, l’antivirus s’affole comme si vous veniez de DL la peste bubonique. Le gars explique que sur 1000 alertes de ce genre, 999 sont des faux positifs donc autant dire que votre antivirus a plus de chances de se tromper que vous de gagner au loto.
Mais pourquoi cette paranoïa des antivirus Windows face aux ISOs Linux ?
La réponse est presque trop logique et simple pour être vraie. Un fichier ISO, c’est une archive qui contient du code exécutable. Du code qui peut modifier les partitions, installer un bootloader, toucher au kernel… Bref, exactement le genre de trucs qu’un malware adorerait faire sur Windows… sauf que dans le cas de Linux, c’est précisément ce qu’on veut qu’il fasse !
Et quand on réalise que les développeurs Linux bossent quasi exclusivement sur… Linux, les chances qu’un malware Windows se glisse accidentellement dans une ISO Linux sont à peu près aussi élevées que de voir Microsoft open-sourcer Windows demain matin. C’est techniquement possible, mais hautement improbable.
Le problème est particulièrement visible avec les distributions orientées sécurité, ce qui est normal, car elles embarquent des outils de pentest qui ressemblent furieusement à des malwares du point de vue d’un antivirus. Password crackers, frameworks d’exploitation, outils d’accès distant… Pour Windows Defender, c’est Noël tous les jours.
Ce qui devient vraiment problématique, c’est l’impact sur les nouveaux utilisateurs qui prennent peur. Il y a eu des cas où même des fichiers boot innocents comme memtest64.efi, bootia32.efi ou grubx64.efi sont flaggés comme suspects, alors je vous laisse imaginer la tête du débutant qui veut juste essayer Linux et qui se retrouve face à une avalanche d’alertes rouges.
La situation a même empiré récemment puisque selon les rapports de septembre 2025 sur Windows Forum , il y a eu une augmentation notable des signalements ces dernières semaines. Différentes distributions, différents antivirus, mais toujours le même refrain : “Attention, virus détecté !”
Donc pour vérifier que votre ISO n’est pas réellement infectée (spoiler : elle ne l’est pas), la procédure est simple. Téléchargez la depuis les sources officielles, vérifiez le hash SHA256 fourni sur le site, et si vous êtes vraiment parano, scannez la avec un autre antivirus. Si deux antivirus différents détectent exactement le même malware spécifique, là vous pouvez commencer à vous inquiéter. Sinon, c’est juste Windows qui fait sa drama queen.
Le côté pervers de ces fausses alertes répétées, c’est qu’elles poussent également les utilisateurs à désactiver leur protection ou à ignorer systématiquement les avertissements. Et ça c’est un vrai problème de sécurité car à force de crier au loup pour rien, les antivirus finissent par perdre un peu crédibilité.
Alors bien sûr, Microsoft pourrait facilement créer une liste blanche pour les ISOs des distributions Linux majeures, mais après 25 ans d’inaction, on peut raisonnablement penser que ce n’est pas leur priorité. Puis j’sais pas, peut-être qu’ils trouvent ça amusant de voir les nouveaux utilisateurs Linux flipper avant même d’avoir booté sur leur clé USB.
Voilà, donc attendant, si votre antivirus vous dit que votre ISO Ubuntu contient 42 virus, respirez un grand coup. C’est juste Windows qui ne comprend pas qu’on puisse vouloir utiliser autre chose que lui…
Vous avez déjà tenté de brancher votre vieux NAS un dimanche matin, café à la main, en vous disant « deux minutes, je jette un œil aux logs » ? Résultat : 472 connexions SSH depuis le Kazakhstan en moins de trois heures, un mot de passe « admin2025 » qui traînait encore et un petit script russe en train de jouer à la roulette avec vos sauvegardes. Le pire ? Vous étiez encore en pyjama. Depuis, vous avez appris la leçon : les pirates ne font pas grasse mat’. Et comme ils bossent 24/7, votre protection non plus n’a pas le droit de roupiller. C’est là que Surfshark One entre en scène : pas une armure blindée façon entreprise, juste quatre potes qui montent la garde à tour de rôle, même quand vous ronflez.
Dans les lignes qui suivent, on va parler de la suite de sécurité de Surfshark comme si on causait autour d’un kebab à 2 h du mat : sans langue de bois, avec de vrais cas concrets et, surtout, avec la certitude que demain matin à 4 h 17, un bot quelque part tentera encore de se faufiler dans votre vie numérique.
On commence par l’élément que tout le monde connaît déjà : le VPN. Sauf que, chez Surfshark, il ne se contente pas de changer votre IP pour binge Netflix US. Il chiffre tout, tout le temps, et surtout sans nombre limite de connexions. Vous pouvez l’installer sur votre PC de boulot, votre téléphone, la tablette de votre ado, le Chromecast du salon et le vieux Linux qui sert de seedbox dans le garage. Résultat : même si un voisin mal intentionné sniff le Wi-Fi de l’immeuble, il récupère juste du charabia AES-256.
Le petit truc en plus vraiment cool, c’est le mode CleanWeb activé par défaut. Adios pubs YouTube, trackers Facebook et pop-ups de consentement cookies. Votre page charge plus vite, votre CPU respire, et vous économisez des Mo sur votre forfait 4G. Votre connexion se dope aux vitamines. Ensuite, y’a le multi-hop : vos données passent par deux serveurs VPN à la suite. C’est pas indispensable tous les jours, mais quand vous vous connectez depuis l’aéroport d’Istanbul et que vous ne voulez pas que Big Brother sache que vous aimez les vidéos de cuisine coréenne, c’est royal. Je passe en vitesse sur le mode camouflage (même votre FAI vous a perdu de vue), la possibilité de whitelister certains sites, etc.
Toujours à la pointe le VPN requin vient d’annoncer Surfshark Everlink. Grâce à ce dernier, même si le serveur sur lequel vous êtes tombe en panne ou passe en maintenance, Everlink recolle le lien en temps réel sans jamais vous faire attendre. Grâce à une infrastructure brevetée, Surfshark redirige automatiquement le tunnel vers un serveur sain ; vous ne remarquez même pas le changement, votre IP reste cachée, votre binge YouTube ne s’interrompt pas. Toujours en ligne, toujours invisible.
Contrairement au classique « kill switch » qui coupe la connexion quand le VPN lâche, Everlink guérit la connexion avant qu’elle ne meure. Résultat : zéro déconnexion, zéro exposition, même en pleine heure de pointe ou sur un Wi-Fi d’aéroport douteux.
Disponible par défaut avec le protocole WireGuard sur tous vos appareils, sans surcoût, c’est la sécurité qui roule en pilote automatique.
Surfshark One intègre aussi le moteur antivirus signé Avira (l’un des plus reconnus du marché). Rien de révolutionnaire, mais il ne râle jamais. Pas de pop-up toutes les dix minutes pour vous dire que le fichier setup.exe de 1998 est dangereux. Il scanne en arrière-plan, signale rapidement si un téléchargement sent mauvais, et hop, au suivant. Vous pouvez même planifier un scan complet tous les dimanches à 8 h du matin, histoire de vérifier que votre PC n’a pas chopé un cheval de Troie pendant votre binge de The Office. Par contre, ne cherchez pas la quarantaine manuelle ou l’analyse heuristique poussée : c’est volontairement minimaliste. Si vous voulez un antivirus façon Fort Knox, il faudra une autre solution. Mais si vous voulez juste stopper les saloperies sans vous prendre la tête, Surfshark suffit.
L’outil a obtenu un score de 17,5/18 chez AV-Test, ce qui veut dire que si un malware tente de se faufiler, il finira quasi à coup sûr en quarantaine. Pas mal pour une solution qui coûte 0.6€ de plus par mois (par rapport au VPN seul).
Google, c’est pratique, mais il vous suit partout. Surfshark Search, c’est l’inverse : pas d’historique, pas de pubs, pas de profilage. Les résultats sont fournis par une API tierce, donc pas de bulle de filtres. Vous tapez « meilleur VPN 2025 », vous tombez sur des comparatifs, pas sur des pubs déguisées. Ainsi, vous évitez les suggestions personnalisées qui vous font croire que tout le monde pense comme vous. C’est reposant, et ça évite les échos algorithmiques.
Vous souvenez-vous de la fois où votre mot de passe Pizza2023! est apparu sur Pastebin ? Non ? Surfshark Alert, lui, oui. Dès qu’une adresse mail ou un numéro de carte bancaire fuite dans une base de données, vous recevez une notif. Pas une alerte anxiogène façon « PANIQUEZ-VOUS », juste un petit message : « Ton mail est dans la nature, change le mdp ». Ensuite, il vous suffit de cliquer sur le lien fourni, vous changez le mot de passe, et vous archivez l’alerte. Votre pote insomniaque qui scrute le dark web pour vous et vous réveille en cas de pépin continuera à bosser. Pour aller plus loin, vous pouvez surveiller plusieurs adresses mails, vos cartes bancaires, et même votre numéro de sécu (US, Lituanie, Bulgarie uniquement pour l’instant). C’est gratuit avec l’abo, donc autant en profiter.
Alternative ID c’est la fonction bonus que personne n’attendait, mais que tout le monde finit par adorer. Surfshark génère une identité complète : nom, prénom, adresse, date de naissance, et mail. Vous pouvez même choisir le pays (US, Allemagne, Australie, etc.). C’est pratique pour s’inscrire sur un site douteux sans balancer votre vraie vie. Pourtant, ne vous faites pas d’illusion : c’est un alias, pas une carte d’identité officielle. Ça suffit pour éviter le spam, pas pour ouvrir un compte bancaire offshore.
Ajouter Surfshark One à votre abonnement VPN coûte 60 centimes. Pas 6€ … 60 centimes … par mois (2.38€/mois le VPN seul, 2.98€ pour la suite One en complément). Pour ce prix, vous obtenez un antivirus, un chasseur de leak, un moteur de recherche privé et un générateur d’alias. C’est moins cher que de passer de la petite à la grande frite sur votre menu kebab, pour avoir une équipe de sécurité 24/7.
En résumé, si vous cherchez une solution plug-and-play pour dormir sur vos deux oreilles (et vos deux yeux), Surfshark One fait le job. Pas de console d’admin complexe, pas de lignes de commande à taper à 3 h 14. Juste quatre services qui montent la garde pendant que vous rêvez de moi code et de conquête du monde. Donc, la prochaine fois qu’un bot tentera de se faufiler dans votre vie numérique à l’aube, vous serez déjà protégé. Et lui, il repartira bredouille.
Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise.
Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.
Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :
L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection.
Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.
En parallèle, vous pouvez lire ce guide pour mieux comprendre les types de menaces informatiques : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc
Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux.
Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données).
Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.
| Exemple de détection | Exemples | Antivirus |
| PUA:Win32/XXXXX | PUA:Win32/Presenoker PUA:Win32/InstallCore | Microsoft Defender |
| PUP.Optional.XXXX PUA.Optional.BundleInstaller | PUA.Optional.BundleInstaller PUP.Optional.DriverUpdate | Malwarebytes |
| PUA.XXXXX Generic.PUA.2FileDownload.A | PUA.systemcheckup | Bitdefender |
| Not-a-virus:HEUR:AdWare.Win32.XXXX | Not-a-virus:HEUR:AdWare.Win32.Searcher | Kaspersky |
| Win32:XXXX-X [PUP] | Win32:UnwRAP-X [PUP] | Avast/AVG |
| PUA/XXXXX | PUA/InstallCore.Gen | ESET |
Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement.
Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.
Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.
| Détection | Exemple de détection | Antivirus |
| Adware:Win32/XXXX Adware:JS/XXXXX.A | Adware:Win32/FusionCore Adware:JS/Adposhel.A Adware:JS/FakeAlert | Microsoft Defender |
| Adware.XXXXX | Adware.SwiftBrowse Adware.Elex | Malwarebytes |
| Adware.GenericKD.### | Bitdefender | |
| Adware.Win32.Agent | Adware.Agent.BYI | Kaspersky |
| Adware.Generic.XXXX | Adware.Generic.279974 | ESET |
Scénario possible : identique au PUP, sauf dans le cas où l’adware est déjà actif dans le système.
Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes.
Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.
| Détection | Exemple/Description | Antivirus |
| Trojan:HTML/Phish.XXX!YYY Trojan:HTML/Redirector.XXX | Trojan:HTML/Phish.JA!MTB Trojan:HTML/Redirector.NY | Microsoft Defender |
| JS:Downloader-XXX [Trj] HTML:Script-Inf Trojan.Script.Heuristic-JS JS:ScriptPE-inf [Trj] | Script JavaScript d’obfuscation menant à une infection | Avast/AVG |
| JS:Miner-C [Trj] HTML:CoinMiner-EM [Trj] | Script JavaScript injecté pour miner des cryptomonnaies | Avast/AVG |
| Trojan.JS.Redirector Trojan.JS.Agent.XXXX JS:Trojan.XXXX.YYYY Trojan.JS.Miner.gen | JS:Trojan.Cryxos.4572 Trojan.JS.Agent.fpu | Bitdefender |
| HEUR:Trojan.Script.Generic HEUR:Trojan.Script.Redirector HEUR:Trojan.Script.Miner.gen | Kaspersky |
Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email.
Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active.
Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.
Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).
| Détection | Exemple | Antivirus |
| Trojan:Win32/XXXXX | Trojan:Win32/Emotet.A Trojan:Win32/Occamy.AA | Microsoft Defender |
| Trojan.Downloader.Generic Trojan.Agent.Downloader MalPack.Downloader.### | Malwarebytes | |
| JS:Downloader-XXX | JS:Downloader.PB JS:Downloader-LQB [Trj] | Avast/AVG |
| Trojan.Downloader.Gen Trojan.GenericKD.Downloader | Bitdefender | |
| Downloader.Agent!gen2 | McAfee | |
| Win32/TrojanDownloader.Agent Trojan.Downloader.XXXX | Trojan.Downloader.Small.BM | ESET |
Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.
Ces menaces permettent un accès distant, la surveillance.
| Détection générique | Exemple | Antivirus |
| Backdoor:Win32/XXXXXBladabindi | Backdoor:Win32/Bladabindi | Microsoft Defender |
| Backdoor.XXXX Backdoor.Bot.Gen (détection générique) | Backdoor.Qbot Backdoor.Agent.NOIP Glupteba.Backdoor.Bruteforce.DDS | Malwarebytes |
| Backdoor.Win32.XXXX | Backdoor:Win32/Remcos.GZZ!MTB (Famille Remcos) Backdoor.Win32.Agent.bla (plus générique) | Kaspersky |
| Backdoor.GenericKD.### | Backdoor.GenericKD.64149272 | Bitdefender |
Voici maintenant des détections de type Trojan.Stealer.
Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc.
Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.
| Détection | Exemple | Antivirus |
| TrojanSpy:Win32/Agent (La mention Spy n’est pas obligatoire) | Trojan:Win32/RedLine!MSR | Microsoft Defender |
| Trojan.Agent.Stealer Trojan.MalPack.Stealer Trojan.Generic.MSILStealer Spyware.PasswordStealer | Malwarebytes | |
| Trojan.GenericKD.### | | Bitdefender |
| Stealer.XXXXX JS/Spy.Agent.XXX | Stealer.Agent/Gen JS/Spy.Agent.AH | ESET |
| Infostealer | Infostealer.Gampass – cible les jeux Infostealer.RedLine (Famille RedLine) | Norton |
Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
| Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office. | ||
| Exemple de détection | Antivirus | Description |
| Trojan:O97M/Agent.XXX | Microsoft Defender | Macro malveillante dans un document Word/Excel |
| HTML/Phishing.Agent.AB | ESET | Fichier HTML visant à voler des identifiants |
| DOC:Exploit.CVE-2017-11882 | Avast | Exploitation d’une faille Office via fichier Word piégé |
Scénario possible : la détection porte sur une pièce jointe malveillante.
Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.
Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).
Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.
Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####
Ce qui donne :
Connexion
Trojan. → cheval de Troie (accès à distance, stealer, downloader…)Adware. → logiciel injectant de la publicité ou modifiant le navigateurPUP. → programme potentiellement indésirableMalware. ou MalPack. → détection générique basée sur le comportementAgent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaireStealer → indique un voleur d’informationsDownloader → menace qui télécharge un autre malwareInjector → injection de code dans des processus légitimesGeneric, Heur, ou un numéro de variante (Trojan.Agent.EDX)MalPack) ou une obfuscation avancéeExemples concrets :
Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :
<type>:<plateforme>/<nom>.<variante>
Microsoft utilise aussi d’autres préfixes selon la nature de la menace :
Backdoor: pour les accès à distance non autorisés,Ransom: pour les ransomwares,PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),Exploit: pour les fichiers qui exploitent une vulnérabilité système,HackTool: pour les outils légitimes détournés à des fins malveillantes.Par exemple : Trojan:Win32/Agent.WXYZ
Trojan désigne le type de menace (ici un cheval de Troie),Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,WXYZ est une variante, une signature spécifique ou un identifiant unique interne.Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :
!MTB → Machine-learned Threat Based (détection par IA / modèle comportemental),!ml → Machine Learning,!bit → détection basée sur une signature hash/statique.Pour neutraliser la menace :
netstat / outils tiers)Pour vous aider :
Une fois l’ordinateur désinfecté :
L’article Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025) est apparu en premier sur malekal.com.
