329 menaces détectées, c’est le score qu’affiche Windows Defender quand vous téléchargez Kali Linux. C’est pas mal pour un simple fichier ISO, non ? D’après les discussions sur SuperUser , c’est parfaitement normal et ça arrive surtout avec les payloads Metasploit inclus dans la distribution. Mais le plus drôle dans cette histoire, c’est que ce “problème” existe depuis plus de 25 ans et touche toutes les distribs.
Jesse Smith de DistroWatch reçoit en effet régulièrement des messages paniqués de nouveaux utilisateurs Linux. Leur crime ? Avoir osé télécharger une distribution Linux pendant que Windows montait la garde. Et boom, l’antivirus s’affole comme si vous veniez de DL la peste bubonique. Le gars explique que sur 1000 alertes de ce genre, 999 sont des faux positifs donc autant dire que votre antivirus a plus de chances de se tromper que vous de gagner au loto.
Mais pourquoi cette paranoïa des antivirus Windows face aux ISOs Linux ?
La réponse est presque trop logique et simple pour être vraie. Un fichier ISO, c’est une archive qui contient du code exécutable. Du code qui peut modifier les partitions, installer un bootloader, toucher au kernel… Bref, exactement le genre de trucs qu’un malware adorerait faire sur Windows… sauf que dans le cas de Linux, c’est précisément ce qu’on veut qu’il fasse !
Et quand on réalise que les développeurs Linux bossent quasi exclusivement sur… Linux, les chances qu’un malware Windows se glisse accidentellement dans une ISO Linux sont à peu près aussi élevées que de voir Microsoft open-sourcer Windows demain matin. C’est techniquement possible, mais hautement improbable.
Le problème est particulièrement visible avec les distributions orientées sécurité, ce qui est normal, car elles embarquent des outils de pentest qui ressemblent furieusement à des malwares du point de vue d’un antivirus. Password crackers, frameworks d’exploitation, outils d’accès distant… Pour Windows Defender, c’est Noël tous les jours.
Ce qui devient vraiment problématique, c’est l’impact sur les nouveaux utilisateurs qui prennent peur. Il y a eu des cas où même des fichiers boot innocents comme memtest64.efi, bootia32.efi ou grubx64.efi sont flaggés comme suspects, alors je vous laisse imaginer la tête du débutant qui veut juste essayer Linux et qui se retrouve face à une avalanche d’alertes rouges.
La situation a même empiré récemment puisque selon les rapports de septembre 2025 sur Windows Forum , il y a eu une augmentation notable des signalements ces dernières semaines. Différentes distributions, différents antivirus, mais toujours le même refrain : “Attention, virus détecté !”
Donc pour vérifier que votre ISO n’est pas réellement infectée (spoiler : elle ne l’est pas), la procédure est simple. Téléchargez la depuis les sources officielles, vérifiez le hash SHA256 fourni sur le site, et si vous êtes vraiment parano, scannez la avec un autre antivirus. Si deux antivirus différents détectent exactement le même malware spécifique, là vous pouvez commencer à vous inquiéter. Sinon, c’est juste Windows qui fait sa drama queen.
Le côté pervers de ces fausses alertes répétées, c’est qu’elles poussent également les utilisateurs à désactiver leur protection ou à ignorer systématiquement les avertissements. Et ça c’est un vrai problème de sécurité car à force de crier au loup pour rien, les antivirus finissent par perdre un peu crédibilité.
Alors bien sûr, Microsoft pourrait facilement créer une liste blanche pour les ISOs des distributions Linux majeures, mais après 25 ans d’inaction, on peut raisonnablement penser que ce n’est pas leur priorité. Puis j’sais pas, peut-être qu’ils trouvent ça amusant de voir les nouveaux utilisateurs Linux flipper avant même d’avoir booté sur leur clé USB.
Voilà, donc attendant, si votre antivirus vous dit que votre ISO Ubuntu contient 42 virus, respirez un grand coup. C’est juste Windows qui ne comprend pas qu’on puisse vouloir utiliser autre chose que lui…
Connaissez-vous l’histoire du premier véritable virus mondial de l’ère Internet ? En fait c’est pas juste une histoire de code à la base, mais plutôt celle d’un étudiant philippin de 24 ans complètement fauché qui voulait juste surfer gratos sur le web… pour finir par mettre totalement à genoux le Pentagone, la CIA, le Parlement britannique et 45 millions d’ordinateurs à travers le monde.
Et tout ça avec un simple email qui disait “Je t’aime”.
On est le 4 mai 2000 à minuit, heure de Manille, Onel de Guzman lance son virus ILOVEYOU depuis son petit appartement du quartier de Pandacan. Il referme son ordinateur portable, sort boire des coups avec des potes et se réveille le lendemain avec la gueule de bois du siècle et la police à sa porte. Entre temps, son “bébé” a infecté Ford, AT&T, Microsoft, le Pentagone, et a fait trembler Wall Street. Son serveur censé récupérer les mots de passe volés a même complètement cramé sous l’afflux de données. Son plan génial pour démocratiser Internet est parti en fumée.
Son histoire commence donc dans les années 90. Dans son pays, Internet coûte une fortune, facturé à la minute en dial-up et pour un étudiant de l’AMA Computer College de Makati, comme Onel de Guzman, c’est totalement hors de prix. Le gamin est brillant en programmation mais n’a pas un rond. Il passe ses journées à apprendre le code, mais le soir, impossible de se connecter pour approfondir. Et cette frustration devient une obsession ! L’accès à Internet devrait être un droit, pas un privilège de riches.
Du coup, en février 2000, de Guzman présente sa thèse de fin d’études. Le titre ne fait pas dans la dentelle : “E-mail Password Sender Trojan”. L’objectif est clair comme de l’eau de roche… Il s’agit de créer un programme pour voler les identifiants Internet et permettre aux pauvres de surfer gratos. Dans son mémoire, il écrit carrément : “Le but de ce programme est d’obtenir les mots de passe Windows et de voler et récupérer les comptes Internet de l’ordinateur de la victime.”
La réaction de ses profs est immédiate et sans appel. Dans les marges du document, l’un d’eux gribouille : “Nous ne formons pas des cambrioleurs” et “C’est illégal !”. Sa thèse est rejetée. Même le doyen pète un câble. Comment un étudiant peut-il proposer du vol comme projet de fin d’études ?
Mais de Guzman ne capte pas ces retours car pour lui, partager des mots de passe Internet, c’est comme partager un bouquin ou un CD. Les “victimes” ne perdent rien puisqu’elles peuvent toujours se connecter… C’est juste du partage de ressources, non ? Bref, pour lui, ses profs sont des vieux cons qui ne pigent rien à la révolution numérique. Le mec abandonne alors ses études et rejoint GRAMMERSoft, un groupe underground d’étudiants qui vendent des devoirs tout faits à d’autres étudiants et squattent les labos informatiques de l’AMA College pour développer leurs trucs.
L’équipe de GRAMMERSoft
C’est là que de Guzman commence à coder son virus. Il reprend les idées de sa thèse rejetée et les améliore. Le concept c’est de créer un ver qui se propage par email en exploitant la curiosité humaine. Car franchement, qui pourrait résister à un message qui dit “Je t’aime” ? Le virus utilise Visual Basic Script, un langage simple mais puissant intégré à Windows et même si de Guzman n’est pas un génie du code (son script est même plutôt basique avec environ 300 lignes), il comprend parfaitement la psychologie humaine et les failles de Windows.
Son programme fait plusieurs trucs une fois activé. D’abord, il parcourt le disque dur et écrase certains types de fichiers. Les images JPEG sont remplacées par des copies du virus renommées avec l’extension .vbs. Les fichiers JavaScript, CSS, documents Word et j’en passe, subissent le même sort. Mais curieusement, les MP3 sont juste cachés, pas détruits… peut-être que de Guzman aimait trop la musique pour les bousiller. Le virus s’installe ensuite dans le système avec le nom MSKERNEL32.VBS et modifie la page d’accueil d’Internet Explorer pour télécharger un trojan voleur de mots de passe.
Mais le vrai génie du virus, c’est sa propagation car il s’envoie automatiquement à tous les contacts du carnet d’adresses Outlook de la victime. Le message a ainsi l’air de venir d’un ami ou d’un collègue, ce qui augmente drastiquement les chances qu’il soit ouvert. Le fichier joint s’appelle “LOVE-LETTER-FOR-YOU.TXT.vbs”. Sauf que Windows, dans sa grande sagesse, cache par défaut l’extension .vbs. Les utilisateurs voient alors juste “LOVE-LETTER-FOR-YOU.TXT” et pensent que c’est un simple fichier texte inoffensif.
Dans le code, on trouve des références à “spyder” et “Barok”. Barok est un logiciel de vol de mots de passe populaire dans l’underground philippin et “Spyder” est le pseudo que de Guzman utilise parfois, même si Reonel Ramones, son pote de GRAMMERSoft, l’utilise aussi. Le message dans le code dit : “Barok… e.mail.passwords.sender.Trojan-by spyder”. Les mots de passe volés devaient ensuite être envoyés à des comptes email chez Access Net, un FAI philippin. L’idée de de Guzman c’était de les redistribuer gratuitement à ceux qui pouvaient pas se payer Internet.
Sauf que de Guzman n’a jamais anticipé ce qui allait se passer. Il pensait infecter quelques centaines, peut-être quelques milliers d’ordinateurs aux Philippines. Récupérer assez de mots de passe pour lui et ses potes. Il avait initialement codé une restriction géographique pour limiter le virus à Manille, puis par curiosité, il l’enlève juste avant de lancer son bébé. Grosse erreur.
Le code de ILOVEYOU
Le virus commence alors sa propagation en Asie. Hong Kong se fait toucher en premier, car les bureaux ouvrent tôt là-bas. De là, ça se répand en Chine, au Japon, en Corée du Sud et chaque personne qui ouvre la pièce jointe infecte instantanément tous ses contacts. La croissance est exponentielle, complètement folle et en 10 jours, 45 millions de machines seront touchées.
Quand l’Europe se réveille, c’est déjà l’apocalypse. Les serveurs de messagerie saturent. BMW et Siemens en Allemagne déconnectent leurs systèmes. L’Oréal et BNP Paribas en France sont touchés. La BBC rapporte que le Parlement britannique ferme complètement son système de messagerie. Le virus modifie même la page d’accueil des navigateurs pour télécharger WIN-BUGSFIX.exe, un trojan supplémentaire.
Le virus arrive enfin aux États-Unis alors que la côte Est commence sa journée. À 6h45, les techniciens de Fort Bragg reçoivent des alertes puis le réseau de l’armée américaine avec ses 50 000 utilisateurs est touché. Le Pentagone prend alors une décision radicale à savoir couper complètement son système de messagerie. La CIA fait pareil. Le FBI, la Réserve fédérale… tous déconnectent. Du jamais vu. Ford Motor Company ferme son réseau email. Microsoft, ironie du sort, créateur du système d’exploitation vulnérable, doit aussi se déconnecter. Et Wall Street tremble.
Et les médias s’emballent… CNN, BBC, tous couvrent l’événement en direct. Pour la première fois, un virus informatique fait la une des JT. “Si vous recevez un email avec pour objet ILOVEYOU, ne l’ouvrez pas !” répètent les présentateurs. Les estimations des dégâts commencent à tomber. On parle de millions, puis de milliards. Le coût final sera estimé entre 5 et 15 milliards de dollars, en comptant les pertes de productivité et les fichiers détruits. Plus de 25 variantes du virus apparaissent alors rapidement, chacune causant différents types de dégâts.
Pendant ce temps à Manille, de Guzman cuve sa cuite monumentale. Il n’a aucune idée du chaos mondial qu’il vient de déclencher. C’est sa mère qui l’alerte : la police est à la porte. Les agents du National Bureau of Investigation ont des mandats… De Guzman panique et demande à sa famille de détruire tous ses ordinateurs.
Mais comment les autorités l’ont trouvé si vite ? Et bien Sky Internet, un FAI philippin, a reçu des plaintes de clients européens dès les premières heures. Darwin Bawasanta, un employé, analyse les logs et identifie des numéros de téléphone suspects. L’un mène en premier lieu à l’appartement de Reonel Ramones, arrêté le 8 mai. Là bas, les enquêteurs trouvent des disquettes avec des noms incluant Michael Buen et Onel de Guzman. Buen, 23 ans, avait écrit une thèse acceptée sur la duplication de fichiers. Les enquêteurs soupçonnent alors que ILOVEYOU combine leurs travaux… Puis rapidement, tous les indices pointent vers de Guzman.
Et le 11 mai 2000, de Guzman se présente à une conférence de presse. Lunettes de soleil, visage caché derrière un mouchoir. Il refuse de répondre. Son avocat parle : “Mon client n’avait pas l’intention de causer des dommages. Il voulait seulement démontrer les failles de sécurité.” La défense classique des hackers…
Onel de Guzman durant sa conférence de presse
Mais voilà le plus dingue : il n’y aura aucune poursuite. Pourquoi ? Et bien parce qu’en 2000, les Philippines n’ont aucune loi contre la création de virus informatiques. Écrire un malware n’est tout simplement pas illégal et le procureur est obligé d’abandonner toutes les charges. De Guzman et Ramones sont libérés.
Face au tollé international, le gouvernement philippin vote en urgence la Republic Act No. 8792 en juillet 2000, l’E-Commerce Law qui criminalise enfin les virus mais comme la Constitution interdit les lois rétroactives. Grâce à sa bonne étoile, de Guzman s’en sort totalement libre et après sa conférence de presse, il disparaît. Il devient alors un fantôme… Certains disent qu’il a quitté le pays, d’autres qu’il vit sous une fausse identité.
Jusqu’à ce que Geoff White le retrouve en 2019 pour son livre “Crime Dot Com”. De Guzman a maintenant 44 ans et répare des téléphones pour vivre. “Je ne voulais pas que ça arrive comme ça”, confie-t-il. “Je voulais juste avoir accès à Internet sans payer. Je ne pensais pas que ça deviendrait mondial.” Il lui raconte alors cette fameuse nuit : “J’ai bu, beaucoup bu. Je me suis réveillé avec une gueule de bois terrible et la police à ma porte.”
Le plus drôle c’est que de Guzman n’a jamais pu exploiter son virus car le serveur censé collecter les mots de passe a crashé immédiatement. “Le virus était trop efficace”, explique-t-il. “Il s’est propagé trop vite. Tout s’est effondré.” Des millions de mots de passe envoyés pour rien. ILOVEYOU est devenu un pur agent du chaos, détruisant des fichiers sans remplir sa fonction première.
De Guzman regrette tout cela profondément. “Parfois je vois ma photo sur Internet. Je suis quelqu’un de timide, je ne veux pas de cette attention. Si je pouvais revenir en arrière, je ne le ferais pas. J’étais jeune et stupide. Je pensais changer le monde, démocratiser Internet. J’ai juste causé de la souffrance.”
Onel de Guzman en 2019
L’impact d’ILOVEYOU a été colossal. Microsoft a dû repenser complètement la sécurité d’Outlook et Windows, et l’option de cacher les extensions, qui a permis au virus de tromper tant de gens, a été modifiée. Suite à cela, les entreprises ont investi massivement dans l’antivirus et la formation et le “social engineering” est devenu central dans la cybersécurité. Les gouvernements ont même adopté des lois contre le cybercrime. L’Europe a harmonisé sa législation, les États-Unis ont renforcé le Computer Fraud and Abuse Act.
Mais le plus grand changement est culturel car avant ILOVEYOU, les virus étaient un problème de geeks. Aujourd’hui, “Ne cliquez pas sur les pièces jointes suspectes” est devenu un mantra universel.
En 2012, le Smithsonian Institution a classé ILOVEYOU parmi les dix virus les plus virulents de l’histoire. C’est le seul à avoir touché 10% d’Internet en 24 heures, une performance jamais égalée.
Bref, que ce soit dans le monde numérique comme dans la vraie vie, il faut se méfier des déclarations d’amour un peu trop faciles. Surtout avec une extension .vbs.
Sources : BBC - Love Bug’s creator tracked down to repair shop in Manila, Computer Weekly - The man behind the first major computer virus pandemic, Geoff White - Crime Dot Com, Wikipedia - ILOVEYOU, CNN - How a badly-coded computer virus caused billions in damage, F-Secure Labs - Email-Worm:VBS/LoveLetter
Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.
Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.
Dans cet article, vous allez découvrir :
Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).
Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.
Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.
Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :
Le Trojan Downloader est généralement distribué via des vecteurs classiques :
Connexion
invoice.exe présenté comme une facture, par exemple).→ Les Virus et Trojan : comment ils infectent les PC
Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.
Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :
Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.
Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :
Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.
Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :
Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.
Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.
L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.
Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.
Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.
Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).
Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.
En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.
Comment ils fonctionnent :
.zip contenant un fichier document.js ou fichier.vbs.wget, bitsadmin, ou powershell Invoke-WebRequest).Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.
Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.
Voici pourquoi il est particulièrement dangereux.
Il agit en toute discrétion :
Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).
Il installe des menaces bien plus graves :
Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :
Il peut réinjecter des malwares après nettoyage :
Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.
Il est difficile à détecter :
Il peut adapter son comportement à la cible :
Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.
Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.
Facture.pdf.exe, etc.).L’article Comprendre le Trojan Downloader : rôle, fonctionnement, exemples, protection est apparu en premier sur malekal.com.
Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise.
Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.
Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :
L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection.
Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.
En parallèle, vous pouvez lire ce guide pour mieux comprendre les types de menaces informatiques : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc
Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux.
Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données).
Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.
| Exemple de détection | Exemples | Antivirus |
| PUA:Win32/XXXXX | PUA:Win32/Presenoker PUA:Win32/InstallCore | Microsoft Defender |
| PUP.Optional.XXXX PUA.Optional.BundleInstaller | PUA.Optional.BundleInstaller PUP.Optional.DriverUpdate | Malwarebytes |
| PUA.XXXXX Generic.PUA.2FileDownload.A | PUA.systemcheckup | Bitdefender |
| Not-a-virus:HEUR:AdWare.Win32.XXXX | Not-a-virus:HEUR:AdWare.Win32.Searcher | Kaspersky |
| Win32:XXXX-X [PUP] | Win32:UnwRAP-X [PUP] | Avast/AVG |
| PUA/XXXXX | PUA/InstallCore.Gen | ESET |
Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement.
Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.
Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.
| Détection | Exemple de détection | Antivirus |
| Adware:Win32/XXXX Adware:JS/XXXXX.A | Adware:Win32/FusionCore Adware:JS/Adposhel.A Adware:JS/FakeAlert | Microsoft Defender |
| Adware.XXXXX | Adware.SwiftBrowse Adware.Elex | Malwarebytes |
| Adware.GenericKD.### | Bitdefender | |
| Adware.Win32.Agent | Adware.Agent.BYI | Kaspersky |
| Adware.Generic.XXXX | Adware.Generic.279974 | ESET |
Scénario possible : identique au PUP, sauf dans le cas où l’adware est déjà actif dans le système.
Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes.
Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.
| Détection | Exemple/Description | Antivirus |
| Trojan:HTML/Phish.XXX!YYY Trojan:HTML/Redirector.XXX | Trojan:HTML/Phish.JA!MTB Trojan:HTML/Redirector.NY | Microsoft Defender |
| JS:Downloader-XXX [Trj] HTML:Script-Inf Trojan.Script.Heuristic-JS JS:ScriptPE-inf [Trj] | Script JavaScript d’obfuscation menant à une infection | Avast/AVG |
| JS:Miner-C [Trj] HTML:CoinMiner-EM [Trj] | Script JavaScript injecté pour miner des cryptomonnaies | Avast/AVG |
| Trojan.JS.Redirector Trojan.JS.Agent.XXXX JS:Trojan.XXXX.YYYY Trojan.JS.Miner.gen | JS:Trojan.Cryxos.4572 Trojan.JS.Agent.fpu | Bitdefender |
| HEUR:Trojan.Script.Generic HEUR:Trojan.Script.Redirector HEUR:Trojan.Script.Miner.gen | Kaspersky |
Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email.
Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active.
Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.
Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).
| Détection | Exemple | Antivirus |
| Trojan:Win32/XXXXX | Trojan:Win32/Emotet.A Trojan:Win32/Occamy.AA | Microsoft Defender |
| Trojan.Downloader.Generic Trojan.Agent.Downloader MalPack.Downloader.### | Malwarebytes | |
| JS:Downloader-XXX | JS:Downloader.PB JS:Downloader-LQB [Trj] | Avast/AVG |
| Trojan.Downloader.Gen Trojan.GenericKD.Downloader | Bitdefender | |
| Downloader.Agent!gen2 | McAfee | |
| Win32/TrojanDownloader.Agent Trojan.Downloader.XXXX | Trojan.Downloader.Small.BM | ESET |
Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.
Ces menaces permettent un accès distant, la surveillance.
| Détection générique | Exemple | Antivirus |
| Backdoor:Win32/XXXXXBladabindi | Backdoor:Win32/Bladabindi | Microsoft Defender |
| Backdoor.XXXX Backdoor.Bot.Gen (détection générique) | Backdoor.Qbot Backdoor.Agent.NOIP Glupteba.Backdoor.Bruteforce.DDS | Malwarebytes |
| Backdoor.Win32.XXXX | Backdoor:Win32/Remcos.GZZ!MTB (Famille Remcos) Backdoor.Win32.Agent.bla (plus générique) | Kaspersky |
| Backdoor.GenericKD.### | Backdoor.GenericKD.64149272 | Bitdefender |
Voici maintenant des détections de type Trojan.Stealer.
Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc.
Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.
| Détection | Exemple | Antivirus |
| TrojanSpy:Win32/Agent (La mention Spy n’est pas obligatoire) | Trojan:Win32/RedLine!MSR | Microsoft Defender |
| Trojan.Agent.Stealer Trojan.MalPack.Stealer Trojan.Generic.MSILStealer Spyware.PasswordStealer | Malwarebytes | |
| Trojan.GenericKD.### | | Bitdefender |
| Stealer.XXXXX JS/Spy.Agent.XXX | Stealer.Agent/Gen JS/Spy.Agent.AH | ESET |
| Infostealer | Infostealer.Gampass – cible les jeux Infostealer.RedLine (Famille RedLine) | Norton |
Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
| Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office. | ||
| Exemple de détection | Antivirus | Description |
| Trojan:O97M/Agent.XXX | Microsoft Defender | Macro malveillante dans un document Word/Excel |
| HTML/Phishing.Agent.AB | ESET | Fichier HTML visant à voler des identifiants |
| DOC:Exploit.CVE-2017-11882 | Avast | Exploitation d’une faille Office via fichier Word piégé |
Scénario possible : la détection porte sur une pièce jointe malveillante.
Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.
Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).
Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.
Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####
Ce qui donne :
Trojan. → cheval de Troie (accès à distance, stealer, downloader…)Adware. → logiciel injectant de la publicité ou modifiant le navigateurPUP. → programme potentiellement indésirableMalware. ou MalPack. → détection générique basée sur le comportementAgent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaireStealer → indique un voleur d’informationsDownloader → menace qui télécharge un autre malwareInjector → injection de code dans des processus légitimesGeneric, Heur, ou un numéro de variante (Trojan.Agent.EDX)MalPack) ou une obfuscation avancéeExemples concrets :
Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :
<type>:<plateforme>/<nom>.<variante>
Microsoft utilise aussi d’autres préfixes selon la nature de la menace :
Backdoor: pour les accès à distance non autorisés,Ransom: pour les ransomwares,PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),Exploit: pour les fichiers qui exploitent une vulnérabilité système,HackTool: pour les outils légitimes détournés à des fins malveillantes.Par exemple : Trojan:Win32/Agent.WXYZ
Trojan désigne le type de menace (ici un cheval de Troie),Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,WXYZ est une variante, une signature spécifique ou un identifiant unique interne.Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :
!MTB → Machine-learned Threat Based (détection par IA / modèle comportemental),!ml → Machine Learning,!bit → détection basée sur une signature hash/statique.Pour neutraliser la menace :
netstat / outils tiers)Pour vous aider :
Une fois l’ordinateur désinfecté :
L’article Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025) est apparu en premier sur malekal.com.
