Si vous avez déjà vu sur l’écran de votre PC sous DOS, les lettres tomber comme des dominos en 1989, félicitations, vous avez rencontré le virus Cascade ! Ce petit malware rigolo allait devenir le point de départ de l’un des plus grands empires de la cybersécurité mondiale. Eugene Kaspersky, alors jeune diplômé russe de l’École supérieure du KGB, ne se doutait pas qu’en décidant d’analyser ce virus, il allait drastiquement changer notre façon de nous protéger contre les menaces informatiques. Laissez-moi vous raconter cette histoire incroyable !
Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.
Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.
Dans cet article, vous allez découvrir :
Ce qu’est un Trojan Downloader et comment il fonctionne,
Les exemples les plus connus ayant marqué l’actualité,
Pourquoi il est si redouté par les spécialistes en cybersécurité,
Et surtout, comment s’en protéger efficacement.
Qu’est-ce qu’un Trojan Downloader ?
Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).
Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.
Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.
Fonctionnement technique d’un Trojan Downloader
Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :
Infection initiale
Le Trojan Downloader est généralement distribué via des vecteurs classiques :
Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.
Connexion au serveur distant
Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :
en HTTP/HTTPS (requêtes classiques vers des URLs codées ou dynamiques),
en protocole personnalisé (plus difficile à détecter),
parfois via réseaux P2P pour éviter les coupures de serveur.
Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.
Téléchargement de la charge utile (payload)
Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :
ransomware,
spyware,
keylogger,
cheval de Troie bancaire,
outil d’accès à distance (RAT),
ou une nouvelle version de lui-même (mise à jour).
Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.
Exécution et installation
Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :
des scripts temporaires (PowerShell, VBS…),
l’injection dans un processus système,
ou en copiant les fichiers dans des dossiers système avec un point de chargement (autorun) pour la persistance (Run/RunOnce, services, tâches planifiées…).
Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.
Exemples concrets de Trojan Downloaders connus
Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.
Upatre(2013–2016)
L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.
Gamarue / Andromeda(2011–2017)
Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.
Kovter(2014–2020)
Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.
Smoke Loader(depuis 2011 – actif en 2025)
Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).
Emotet(2014–2021, réapparu brièvement en 2022)
Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.
En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.
Comment ils fonctionnent :
L’utilisateur reçoit un e-mail avec un objet générique du type « Facture », « Document important », ou « Relance de paiement ».
La pièce jointe est souvent une archive .zip contenant un fichier document.js ou fichier.vbs.
Dès l’ouverture, le script télécharge en arrière-plan un exécutable depuis un serveur distant (fréquemment via wget, bitsadmin, ou powershell Invoke-WebRequest).
Il lance ensuite automatiquement l’exécutable téléchargé, qui peut être un ransomware, un RAT ou un autre downloader.
Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.
de nombreux antivirus ne détectent pas toujours ces scripts s’ils sont légèrement obfusqués ou modifiés. D’où l’importance de désactiver l’exécution des scripts inconnus, d’activer l’affichage des extensions dans l’Explorateur Windows, et d’éviter l’ouverture de pièces jointes douteuses.
Pourquoi un Trojan Downloader est-il dangereux ?
Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.
Voici pourquoi il est particulièrement dangereux.
Il agit en toute discrétion :
Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).
Il installe des menaces bien plus graves :
Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :
le vol de données confidentielles (mots de passe, fichiers),
l’installation d’un ransomware qui chiffre tout le système,
l’espionnage via un RAT (Remote Access Trojan),
ou l’intégration à un botnet utilisé pour des attaques DDoS ou du spam massif.
Il peut réinjecter des malwares après nettoyage :
Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.
Il est difficile à détecter :
Il utilise souvent des techniques de dissimulation : noms de fichiers trompeurs, répertoires système, extensions masquées…
Il peut employer un chiffrement ou une obfuscation de son code ou de ses communications avec le serveur.
Les antivirus ne le détectent pas toujours s’il est scripté (JavaScript, VBS) ou personnalisé pour une campagne ciblée.
Il peut adapter son comportement à la cible :
Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.
Comment se protéger d’un Trojan Downloader
Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.
Vigilance face aux e-mails et pièces jointes :
Ne jamais ouvrir de pièce jointe inattendue, même si l’expéditeur semble connu.
Se méfier des fichiers .zip, .js, .vbs, .lnk, .docm, .xlsm : ce sont des formats classiques pour les malwares.
Désactiver l’exécution automatique des macros dans Microsoft Office.
Toujours afficher les extensions de fichiers dans l’Explorateur Windows pour repérer les noms trompeurs (Facture.pdf.exe, etc.).
Filtrer les connexions sortantes suspectes :
Activer et configurer un pare-feu efficace (Windows Firewall ou solution tierce).
Surveiller les connexions sortantes anormales vers des domaines inconnus (à l’aide de logiciels comme GlassWire, TCPView ou Wireshark).
En entreprise : utiliser un proxy ou un filtre DNS (ex. NextDNS, Quad9, OpenDNS avec filtrage) pour bloquer les domaines C2 connus.
Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise. Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.
Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :
Trojans chevaux de Troie téléchargeurs et voleurs de données,
Backdoors à accès distant,
PUP/PUA (logiciels potentiellement indésirables),
Adwares injectant des publicités ou des redirections,
Scripts malveillants (JavaScript, macros Office), etc.
L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection. Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.
Détections de PUP/PUA (logiciels potentiellement indésirables)
Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux. Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données). Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.
Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement. Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.
Détections d’adwares (publicité intrusive)
Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.
Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes. Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.
Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email. Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active. Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.
Trojan Downloader (chargement de payload à distance)
Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).
Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.
Chevaux de Troie avec exfiltration ou backdoor (C2)
Ces menaces permettent un accès distant, la surveillance.
Voici maintenant des détections de type Trojan.Stealer. Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc. Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.
Détection
Exemple
Antivirus
TrojanSpy:Win32/Agent (La mention Spy n’est pas obligatoire)
Infostealer.Gampass – cible les jeux Infostealer.RedLine (Famille RedLine)
Norton
Fichiers HTML/Office infectés (pièces jointes ou pages piégées)
Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
Exemple de détection
Antivirus
Description
Trojan:O97M/Agent.XXX
Microsoft Defender
Macro malveillante dans un document Word/Excel
HTML/Phishing.Agent.AB
ESET
Fichier HTML visant à voler des identifiants
DOC:Exploit.CVE-2017-11882
Avast
Exploitation d’une faille Office via fichier Word piégé
Scénario possible : la détection porte sur une pièce jointe malveillante.
Que signifient les noms de détection antivirus (Trojan.Agent, Generic, etc.)
Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.
Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).
Malwarebytes
Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.
Contrairement à Microsoft Defender ou Kaspersky, Malwarebytes mise fortement sur l’analyse heuristique et comportementale, ce qui explique l’usage fréquent de noms génériques mais contextuels. Le moteur peut ainsi identifier une menace même sans signature explicite.
Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####
Ce qui donne :
Préfixe : indique la catégorie de la menace Exemples :
Trojan. → cheval de Troie (accès à distance, stealer, downloader…)
Adware. → logiciel injectant de la publicité ou modifiant le navigateur
PUP. → programme potentiellement indésirable
Malware. ou MalPack. → détection générique basée sur le comportement
Nom central : identifie le comportement ou la famille
Agent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaire
Stealer → indique un voleur d’informations
Downloader → menace qui télécharge un autre malware
Injector → injection de code dans des processus légitimes
Suffixe éventuel : identifiant numérique ou indication d’analyse comportementale
Generic, Heur, ou un numéro de variante (Trojan.Agent.EDX)
Peuvent aussi signaler une détection basée sur un empaquetage (MalPack) ou une obfuscation avancée
Exemples concrets :
Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.
Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.
PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.
Microsoft (Windows Defender)
Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :
<type>:<plateforme>/<nom>.<variante>
Microsoft utilise aussi d’autres préfixes selon la nature de la menace :
Backdoor: pour les accès à distance non autorisés,
Ransom: pour les ransomwares,
PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),
Exploit: pour les fichiers qui exploitent une vulnérabilité système,
HackTool: pour les outils légitimes détournés à des fins malveillantes.
Par exemple : Trojan:Win32/Agent.WXYZ
Trojan désigne le type de menace (ici un cheval de Troie),
Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),
Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,
WXYZ est une variante, une signature spécifique ou un identifiant unique interne.
Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :
!MTB → Machine-learned Threat Based (détection par IA / modèle comportemental),
!ml → Machine Learning,
!bit → détection basée sur une signature hash/statique.
Que faire après une détection
Pour neutraliser la menace :
Mettre en quarantaine et supprimer les menaces. Compléter l’analyse de votre ordinateur avec MBAM. Plus de détails :
Surveiller le comportement du système. Par exemple, vérifier les connexions réseau (via netstat / outils tiers)
Réaliser une analyse secondaire avec VirusTotal ou un autre scanner
Un VPN, c’est bien. Mais le VPN + tout le reste, c’est mieux. Soyons honnêtes : à force de voir des pubs pour des VPN partout, tu as fini par en installer un (ou alors tu fais partie de l’élite qui n’a jamais cliqué sur “Regarde ce que ton FAI sait sur toi !”). Mais aujourd’hui, le VPN tout seul, c’est un peu comme une pizza sans fromage : ça dépanne, mais tu sens qu’il manque un truc.
Pour la majorité des utilisateurs, un antivirus scanne un fichier et détecte la présence de code malveillant grâce aux signatures de détection. Si cela fonctionne encore, aujourd’hui, la complexité des malwares fait que les antivirus doivent intégrer plusieurs défenses.
En effet, les techniques d’offuscation avancées utilisées par les trojans et autres malwares ont pour but de cacher le code malveillant, de retarder l’analyse par les antivirus ou les analystes, et de contourner les systèmes de détection. Le but est donc de se cacher des antivirus pour échapper aux détections.
Dans ce guide, je passe en revue les méthodes et techniques utilisées par les logiciels malveillants pour se dissimuler ou tromper les antivirus.
Chiffrement et encodage
Pour masquer les éléments les plus révélateurs d’un malware, les attaquants chiffrent ou encodent massivement le code et les données embarquées. Les chaînes de texte en clair sont rarissimes dans les malwares modernes : adresses URL de C2, noms d’API Windows, chemins de fichiers… tout est souvent caché derrière des encodages ou un chiffrement custom. Le but est de brouiller le code afin qu’aucune partie révélatrice d’un code malveillant ne soit pas facilement détectable. Par exemple, un trojan comme Pikabot remplace les noms de fonctions et variables par des chaînes aléatoires ou codées, et chiffre ses chaînes de caractères sensibles (telles que les URLs de commande & contrôle) qui ne sont déchiffrées qu’au moment de leur utilisation. De même, les documents Office piégés (macros VBA) ou scripts malveillants insèrent des chaînes hexadécimales ou du Base64 à la place de commandes lisibles pour éviter les détections simples.
L’Encodage Base64 est une méthode très répandue d’obfuscation de commandes script. Par exemple, PowerShell permet d’exécuter un code encodé en Base64 via le paramètre -EncodedCommand. Les malwares en abusent pour cacher des instructions malveillantes dans un long texte illisible. Plusieurs campagnes ont utilisé des commandes PowerShell encodées en base64 pour dissimuler les charges utiles. Un cas courant : un downloader lance PowerShell avec une commande encodée qui va à son tour télécharger et exécuter du code distant. Voici un exemple illustratif d’une commande PowerShell chiffrée en Base64.
Côté JavaScript, on retrouve des approches similaires. Le trojan Astaroth (vers 2019–2020, toujours actif en 2022) utilisait du code JScript obfusqué et aléatoire dans des fichiers XSL : son script malveillant construisait les chaînes de caractères critiques via String.fromCharCode au lieu de les écrire en clair, évitant ainsi d’exposer des mots-clés suspects (noms de processus, commandes). De plus, Astaroth employait une fonction de randomisation pour modifier légèrement son code à chaque exécution, si bien que la structure du script variait constamment, bien que sa finalité reste la même. Ces techniques combinées (génération dynamique de strings et permutation aléatoire) rendaient le JScript malveillant unique à chaque run, contournant les signatures et retardant l’analyse manuelle.
Au-delà de l’encodage, les malwares chiffrent leur charge utile binaire ou certaines portions de code avec des clés secrètes. Un schéma classique consiste à XORer chaque octet du shellcode ou de la DLL malveillante avec une clé d’un octet ou plus (parfois stockée dans le code, parfois dérivée de l’environnement du système infecté). Le XOR est trivial à implémenter et a un effet de masquer tout motif en clair dans le binaire. D’autres utilisent des algorithmes symétriques plus forts (RC4, AES) pour chiffrer leur payload, empêchant toute analyse statique tant que le malware n’a pas effectué la décryption en mémoire.
En somme, chiffrement et encodage sont devenus la norme dans les malwares récents : les concepteurs ajoutent des couches de chiffrement sur les composants (configuration, charge finale, chaînes, etc.) pour que les défenses ne puissent y reconnaître ni motif ni signature tant que le malware n’est pas activement en train de s’exécuter.
Packers et Crypters
Les packers et crypters sont deux outils majeurs utilisés dans l’obfuscation des malwares, en particulier pour masquer le code binaire exécutable et ainsi tromper les antivirus.
Un crypter chiffre tout ou partie du code malveillant (souvent la « payload ») à l’aide d’un algorithme (XOR, AES, RC4, etc.) et l’encapsule dans un stub (petit programme) capable de le déchiffrer et de l’exécuter en mémoire. L’obhectif est de rendre le fichier indétectable statiquement, car ce dernier ne contient aucune chaîne suspecte, pas de signature reconnaissable.
Un packer compresse ou chiffre un exécutable, puis le combine avec un stub qui le décompresse ou déchiffre au moment de l’exécution. Son objectif est d’empêcher l’analyse statique et retarder la rétro-ingénierie. Ils sont habituellement utilisés par les malwares pour se faire passer pour des logiciels légitimes (même hash modifié à chaque fois). Les antivirus tentent de les “dépacker” ou de les détecter via heuristiques comportementales. Fréquemment utilisés par les malwares pour se faire passer pour des logiciels légitimes (même hash modifié à chaque fois). Notez qu’il existe des packers légitimes, par exemple, UPX (Ultimate Packer for eXecutables) est un packer open-source qui principalement vise à compresser les exécutables pour en réduire la taille. Il est très utilisé par les Setup des applications pour proposer exécutable auto-extractible. PECompact est un packer commercial utilisé aussi pour les Setup, car il embarque une fonctionnalité d’offuscation pour protéger la logique métier. Il est donc apprécié des concepteurs de malwares (notamment keyloggers, RATs) parce qu’il rend la rétro-ingénierie plus difficile ayant des fonctionnalités intégrées d’anti-debug. Il s’agit souvent de version de PECompact modifiée.
Notez que dans l’écosystème des logiciels malveillants, certains groupes sont spécialisés dans la vante de crypters et packers, dit FUD (Fully Undetectable).
Code polymorphe
Un malware polymorphe génère du code différent à chaque infection ou exécution, tout en préservant sa logique malveillante d’origine. Cela se fait via un moteur polymorphique qui modifie certaines parties du programme (ex: clés de chiffrement, ordres des instructions, registres utilisés) de façon aléatoire ou variable. Chaque instance du malware possède ainsi une signature unique, rendant la détection par empreintes statiques très difficile.
Un exemple classique est le ver Storm qui altérait son code à chaque nouvelle infection pour tromper l’antivirus. Plus récemment, des trojans comme Pikabot intègrent ce polymorphisme : à chaque installation, Pikabot génère une nouvelle version de lui-même en modifiant ses routines critiques (par ex. les fonctions de chiffrement ou de connexion réseau) afin de produire des empreintes différentes à chaque fois.
Code métamorphe
Encore plus sophistiqués, les malwares métamorphes réécrivent intégralement tout ou partie de leur code à chaque propagation, sans même conserver de déchiffreur polymorphe fixe.
Le virus Win32/Simile et le célèbre virus Zmist (2000) illustrent ce concept extrême où le code était auto-réorganisé de manière quasi aléatoire. Dans les années 2020, peu de malwares grand public utilisent un métamorphisme complet (coûteux en ressources), mais on en retrouve des éléments. Par exemple, Pikabot est capable de transformer son propre code à la volée en mémoire : réordonner les instructions, modifier les flux de contrôle ou remplacer des algorithmes par des équivalents fonctionnels, rendant sa signature très mouvante. Ce bot intègre également des algorithmes de mutation de code qui réécrivent certaines parties à chaque exécution (inversions de conditions, boucles, etc.), pour qu’aucun échantillon n’est identique à un autre. De telles mutations dynamiques produisent un code statistiquement indétectable par des scanners basés sur des motifs fixes.
En résumé, polymorphisme et métamorphisme fournissent aux malwares un camouflage évolutif : chaque exemplaire devient une nouvelle créature inconnue des bases antivirales.
Injection en mémoire et attaques sans fichier
Le malware injecte du code dans des processus légitimes (ex: explorer.exe, svchost.exe) pour masquer son activité. Cela est fortement utilisé notamment dans les trojans bancaires ou les RATs (Remote Access Trojans). De plus, cela permet de contourner des protections firewall, car bien souvent, les processus légitimes de Windows ont des règles moins restrictives.
Mais, de plus en plus de malwares adoptent des attaques “fileless” (sans fichier), s’exécutant exclusivement en mémoire pour échapper aux scans de fichiers sur disque. Plutôt que d’écrire un binaire malveillant identifiable sur le disque dur, ces malwares injectent leur code directement dans la mémoire d’un processus légitime du système. Cette technique permet de ne laisser que très peu de traces : pas de fichier malveillant à analyser, et un code malveillant qui “vit” au sein d’un processus approuvé, ce qui complique énormément la détection. Par exemple, PyLoose (2023) est un malware fileless écrit en Python qui a chargé directement un mineur de cryptomonnaie (XMRig) en mémoire sans jamais déposer d’exécutable sur le disque.
Chargeurs multi-étapes et exécution de code à la volée
Plutôt que de livrer tout le code malveillant en une fois, les attaquants préfèrent désormais des infections en plusieurs étapes. Un loader (chargeur) initial relativement léger est déposé sur la machine victime ; son rôle est de préparer l’exécution de la charge finale (payload) qui reste chiffrée, distante ou fragmentée tant que le loader n’a pas fait son travail. Cela permet de contourner nombre de détections statiques, car le loader seul peut paraître anodin ou inconnu, tandis que la charge malveillante principale n’est dévoilée qu’au dernier moment, souvent uniquement en mémoire.
Le concept de “code à la volée” recouvre aussi l’utilisation de langages de script et du code auto-modifiant. Par exemple, de nombreux malware en PowerShell, JavaScript ou VBA génèrent ou téléchargent du code au moment de l’exécution plutôt que de l’inclure en dur. PowerShell est notoirement utilisé dans des attaques fileless : un document malveillant va lancer une commande PowerShell qui à son tour télécharge du code distant en mémoire et l’exécute immédiatement. Pour éviter la détection, ce code PowerShell est fortement obfusqué (variables nommées aléatoirement, concaténations bizarres, encodage en base64 comme vu précédemment, etc.) afin de ne pas révéler en clair les URL ou les commandes dangereuses.
La stéganographie, dans le contexte des malwares, est l’art de cacher du code malveillant ou des données utiles à l’attaque à l’intérieur de fichiers apparemment inoffensifs, souvent des images, vidéos, audios ou même documents bureautiques. Contrairement au chiffrement (qui cache le sens), la stéganographie cache l’existence même des données.
L’objectif de l’attaquant est :
Éviter la détection par antivirus (aucune charge utile visible dans les fichiers exécutables).
Passer les firewalls et filtres réseau (un fichier JPG passe mieux qu’un EXE ou un .dll).
Cacher des commandes (C2), des configurations, des chargeurs ou du code.
Contourner la surveillance des réseaux et des hôtes.
Par exemple, des malwares reçoivent leurs instructions sous forme de fichiers « bénins » (même publiés publiquement sur Reddit, GitHub, Twitter…) : Cela sert à récupérer des URL, des configurations, ou des scripts obfusqués. Le botnet extrait une chaîne cachée dans l’image (texte invisible, exécution conditionnelle).
Les macros peuvent charger des images ou documents qui contiennent du code caché. Le script PowerShell lit un fichier image téléchargé, extrait des données binaires depuis des pixels ou des métadonnées, les déchiffre, puis les injecte en mémoire.
Cela rend la détection de malware difficile pour plusieurs raisons :
Invisible à l’œil nu et aux antivirus classiques.
Les outils de sécurité traditionnels ne vérifient pas les images ligne par ligne pour y chercher du code.
La charge utile est dissociée du malware, donc la détection du fichier malveillant ne permet pas de bloquer les commandes à venir.
Combine souvent obfuscation + chiffrement + stéganographie pour maximiser la furtivité.
Conclusion
De 2020 à 2024, les techniques d’obfuscation des malwares ont atteint un niveau de complexité sans précédent. Polymorphisme et métamorphisme produisent des variantes inédites à la volée, le chiffrement omniprésent des codes et données cache les intentions malveillantes, l’injection furtive en mémoire permet d’opérer depuis l’ombre des processus légitimes, et des loaders multi-étapes sophistiqués déploient les charges utiles de façon conditionnelle et indétectable. Du côté du défenseur, cela implique de multiplier les couches de protection (analyse comportementale, détection en mémoire, sandbox évasion-aware, etc.) et de constamment mettre à jour les outils d’analyse pour suivre l’évolution de ces menaces. En fin de compte, comprendre en profondeur ces techniques d’obfuscation avancées est indispensable pour anticiper les tactiques des malwares modernes et renforcer les mécanismes de détection et de réponse. Les professionnels cybersécurité doivent maintenir une veille continue sur ces ruses en constante mutation, car l’ingéniosité des attaquants ne cesse de repousser les limites de l’évasion.
Comme je vous l’ai déjà dit, Surfshark One n’est pas composé que d’un simple VPN. C’est une véritable suite de cybersécurité conçue pour protéger vos appareils contre les menaces les plus modernes. Outre le célèbre service de réseau privé virtuel (VPN), Surfshark One inclut un antivirus puissant, une protection en temps réel contre les ransomwares, un bouclier webcam, et même une fonctionnalité de surveillance des fuites de données sur le Dark Web. Bref, c’est un outil tout-en-un pour sécuriser votre vie numérique.
Microsoft Defender Antivirus (anciennement Windows Defender) est l’antivirus intégré par défaut à Windows 11 et Windows 10. Il offre une bonne protection contre les menaces grâce à plusieurs fonctionnalités comme la protection en temps réel, la protection basée sur le cloud, la surveillance des comportements ou encore la protection contre les ransomwares. Malheureusement, l’interface de … Lire la suite
Sur votre PC Windows, Microsoft Defender Antivirus (anciennement Windows Defender) protège efficacement votre PC contre les virus, les logiciels malveillants et autres menaces. Mais il peut parfois faire du zèle en bloquant un programme ou un fichier pourtant inoffensif. Heureusement, l’antivirus de Windows permet de lever ce blocage en autorisant manuellement le programme ou le … Lire la suite
Microsoft Defender Antivirus (anciennement Windows Defender) – l’antivirus intégré par défaut à Windows 11 et Windows 10 – protége votre ordinateur contre pratiquement tous les types de menaces : virus, logiciels espions, ransomwares, rootkits et autres logiciels malveillants. Mais dans certains cas, des malwares particulièrement coriaces parviennent à se cacher ou à neutraliser les protections … Lire la suite
Microsoft Defender Antivirus (anciennement Windows Defender) est l’application antivirus gratuite intégrée par défaut sur tous les PC Windows 11 et Windows 10. En plus de protéger votre ordinateur en temps réel contre les virus, malwares et autres menaces, elle permet de lancer une analyse antivirus à la demande. Elle offre le choix entre une analyse … Lire la suite
Sur Windows, il n’est pas rare de devoir désactiver temporairement Microsoft Defender Antivirus (anciennement Windows Defender). Par exemple, pour installer un programme détecté à tort comme malveillant (faux positif), exécuter un script téléchargé sur Internet, transférer plus rapidement des fichiers vers un autre appareil… Mais c’est une opération plutôt fastidieuse puisqu’il est nécessaire de passer … Lire la suite
Microsoft Defender Antivirus, l’antivirus intégré par défaut à Windows 11 et Windows 10 et anciennement connu sous le nom de Windows Defender, est une application essentielle pour protéger votre ordinateur contre les virus, les logiciels malveillants et toutes les autres menaces. Mais il arrive parfois que Microsoft Defender Antivirus bloque un programme parfaitement sûr ou détecte … Lire la suite
Microsoft Defender Antivirus, anciennement connu sous le nom de Windows Defender, est l’antivirus intégré par défaut dans Windows 11. Depuis ses débuts en tant que simple logiciel anti-spyware sur Windows XP, il a beaucoup évolué pour devenir un antivirus complet. Aujourd’hui, il propose une protection en temps réel contre les virus, logiciels malveillants, ransomwares et … Lire la suite
Si vous êtes un habitué des solutions de cybersécurité, vous avez probablement entendu parler de Surfshark One. L’outil tout-en-un numérique qui combine VPN, antivirus, moteur de recherche privé et outil d’alerte pour les fuites de données. Mais aujourd’hui, on va se concentrer sur une nouveauté qui va s’avérer plutôt pratique : la possibilité de scanner les unités de stockage externe avec l’antivirus intégré. Oui, la clé USB douteuse ou ce disque dur externe potentiellement infecté qui traînent dans un tiroir depuis des années n’ont qu’à bien se tenir.
Cet article a été réalisé en collaboration avec Avast
L’antivirus Avast, une référence dans le domaine de la cybersécurité, voit le prix de ses abonnements premium baisser. Windows, MacOS, iPhone ou Android : il protège tous les appareils très efficacement.
Cet article a été réalisé en collaboration avec Avast
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Connexion
