Événements
|
Description
|
---|---|
Fichier système dupliqué
|
Bon nombre de programmes malveillants créent des copies d'eux-mêmes ou d'autres programmes
malveillants en se servant de noms de fichiers utilisés par les fichiers système Windows.
Ceci a généralement pour but d'écraser ou de remplacer ces fichiers système, d'éviter
la détection ou de décourager les utilisateurs de supprimer les programmes malveillants.
|
Modification du fichier Hosts
|
Le fichier Hosts établit la correspondance entre les noms de domaine et les adresses
IP. De nombreux programmes malveillants modifient le fichier Hosts de telle sorte
que le navigateur Web soit redirigé vers des sites Web infectés, inexistants ou contrefaits.
|
Comportement suspect
|
Le comportement suspect peut être une action spécifique ou une série d'actions inhabituelles
de la part de programmes légitimes. Les programmes présentant un comportement suspect
doivent être employés avec la plus grande prudence.
|
Nouveau plug-in Internet Explorer
|
Les programmes malveillants de type spywares/graywares installent souvent des plug-ins
Internet Explorer indésirables, tels que des barres d'outils ou des outils d'aide
à la navigation (BHO - Browser Helper Objects).
|
Modification des paramètres d'Internet Explorer
|
De nombreux virus/programmes malveillants modifient les paramètres d'Internet Explorer,
notamment la page d'accueil, les sites Web de confiance, les paramètres de serveur
proxy et les extensions de menu.
|
Modification des stratégies de sécurité
|
La modification des stratégies de sécurité de Windows peut permettre à des applications
indésirables de s'exécuter puis de changer les paramètres du système.
|
Injection de bibliothèques de programmes
|
De nombreux programmes malveillants configurent Windows de telle sorte que toutes
les applications chargent automatiquement une bibliothèque de programmes (DLL). Ceci
permet aux routines malveillantes contenues dans cette DLL de s'exécuter chaque fois
qu'une de ces applications est lancée.
|
Modification du shell
|
De nombreux programmes malveillants modifient les paramètres du shell Windows de manière
à s'associer eux-mêmes à certains types de fichiers. Cette routine permet à des programmes
malveillants de se lancer automatiquement dès qu'un utilisateur ouvre les fichiers
associés dans l'Explorateur Windows. La modification des paramètres du shell Windows
peut aussi permettre à des programmes malveillants de suivre les programmes utilisés
et de s'exécuter conjointement avec les applications légitimes.
|
Nouveau service
|
Les services Windows sont des processus dotés de fonctions spéciales qui, généralement,
s'exécutent continuellement en arrière-plan et bénéficient d'un accès d'administration
complet. Certains programmes malveillants s'installent eux-mêmes en tant que services
afin de rester dissimulés.
|
Modification du système de fichiers
|
Certains fichiers système de Windows déterminent le comportement du système et notamment
les paramètres relatifs aux programmes de démarrage et aux économiseurs d'écran. De
nombreux programmes malveillants modifient les fichiers système de manière à s'exécuter
automatiquement au démarrage et contrôler le comportement du système.
|
Modification des stratégies de pare-feu
|
La stratégie de pare-feu Windows détermine quelles applications ont accès au réseau, quels ports sont ouverts à la communication et quelles adresses IP peuvent communiquer avec l'ordinateur. De nombreux programmes malveillants modifient la stratégie de manière à s'octroyer à eux-mêmes l'accès au réseau et à Internet. |
Modification des processus système
|
De nombreux programmes malveillants agissent de différentes façons sur les processus
Windows intégrés. Ces actions peuvent consister à interrompre ou à modifier les processus
en cours d'exécution.
|
Nouveau programme de démarrage
|
De nombreux programmes malveillants configurent Windows de telle sorte que toutes
les applications chargent automatiquement une bibliothèque de programmes (DLL). Ceci
permet aux routines malveillantes contenues dans cette DLL de s'exécuter chaque fois
qu'une de ces applications est lancée.
|
Action
|
Description
|
||
---|---|---|---|
Évaluer
|
OfficeScan autorise toujours les programmes associés à un événement, mais enregistre
cette action dans les journaux pour évaluation.
Il s'agit de l'action par défaut pour tous les événements du système surveillés.
|
||
Autoriser
|
OfficeScan autorise toujours les programmes associés à un événement.
|
||
Demander si nécessaire
|
OfficeScan invite les utilisateurs à autoriser ou refuser les programmes associés
à un événement et ajoute les programmes à la liste d'exceptions
Si l'utilisateur ne répond pas au cours d'une certaine période, OfficeScan autorise
automatiquement l'exécution du programme. La valeur par défaut de la période est 30 secondes.
Pour modifier la période, reportez-vous à Modification de la période avant l'autorisation de l'exécution d'un programme.
|
||
Refuser
|
OfficeScan bloque toujours les programmes associés à un événement et enregistre cette
action dans les journaux.
Lorsqu'un programme est bloqué et que les notifications sont activées, OfficeScan
affiche une notification sur l'ordinateur du client OfficeScan. Pour plus de détails sur les notifications, voir Notifications de surveillance des comportements pour les utilisateurs du client OfficeScan.
|