La surveillance des événements fournit une approche plus générique de la protection
contre les logiciels non autorisés et les attaques de programmes malveillants. Elle
surveille les zones du système pour certains événements, permettant aux administrateurs
de gérer les programmes qui déclenchent ces événements. Utilisez la surveillance des
événements si vous avez des exigences de protection du système spécifiques différentes
de la protection fournie par le blocage du comportement des programmes malveillants.
Événements du système surveillés
|
Événements
|
Description
|
|
Fichier système dupliqué
|
De nombreux programmes malveillants créent des copies d'eux-mêmes ou d'autres programmes
malveillants à l'aide de noms de fichiers utilisés par les fichiers système Windows.
Cette opération vise généralement à remplacer les fichiers système, à éviter la détection
ou à décourager les utilisateurs de supprimer les fichiers malveillants.
|
|
Modification du fichier d'hôtes
|
Le fichier d'hôtes fait correspondre les noms de domaines aux adresses IP. De nombreux
programmes malveillants modifient le fichier Hosts de telle sorte que le navigateur
Web soit redirigé vers des sites Web infectés, inexistants ou contrefaits.
|
|
Comportement suspect
|
Un comportement suspect peut être une action spécifique ou une série d'actions rarement
effectuées par des programmes légitimes. Les programmes présentant un comportement
suspect doivent être utilisés avec prudence.
|
|
Nouveau plug-in Internet Explorer
|
Les spywares/graywares installent souvent des plug-ins Internet Explorer indésirables
tels que des barres d'outils et des Browser Helper Objects.
|
|
Modification des paramètres d'Internet Explorer
|
Les programmes malveillants peuvent modifier les paramètres d'Internet Explorer, notamment
la page d'accueil, les sites Web de confiance, les paramètres de serveur proxy et
les extensions de menu.
|
|
Modification de la stratégie de sécurité
|
Les modifications de la stratégie de sécurité Windows peuvent permettre à des applications
indésirables de s'exécuter ou de modifier les paramètres système.
|
|
Injection de la bibliothèque de programmes
|
De nombreux programmes malveillants configurent Windows pour que toutes les applications
chargent automatiquement une bibliothèque de programmes (DLL). Les routines malveillantes
de la DLL peuvent ainsi s'exécuter à chaque fois qu'une application démarre.
|
|
Modification du shell
|
De nombreux programmes malveillants modifient les paramètres du shell Windows de manière
à s'associer eux-mêmes à certains types de fichiers. Cette routine leur permet de
se lancer automatiquement si les utilisateurs ouvrent les fichiers associés dans l'Explorateur
Windows. La modification des paramètres du shell Windows peut aussi permettre à des
programmes malveillants de suivre les programmes utilisés et de s'exécuter conjointement
avec les applications légitimes.
|
|
Nouveau service
|
Les services Windows sont des processus dotés de fonctions spéciales qui s'exécutent
généralement en continu à l'arrière-plan, avec un accès administratif total. Les programmes
malveillants s'installent parfois sous forme de services pour rester cachés.
|
|
Modification de fichiers système
|
Certains fichiers système de Windows déterminent le comportement du système et notamment
les paramètres relatifs aux programmes de démarrage et aux économiseurs d'écran. De
nombreux programmes malveillants modifient les fichiers système de manière à s'exécuter
automatiquement au démarrage et contrôler le comportement du système.
|
|
Modification de la stratégie de pare-feu
|
La stratégie de pare-feu Windows détermine quelles applications ont accès au réseau,
quels ports sont ouverts à la communication et quelles adresses IP peuvent communiquer
avec l'ordinateur. De nombreux programmes malveillants modifient la stratégie de manière
à s'octroyer à eux-mêmes l'accès au réseau et à Internet.
|
|
Modification de processus système
|
De nombreux programmes malveillants effectuent diverses actions sur les processus
intégrés à Windows Ces actions peuvent consister à interrompre ou modifier des processus
en cours d'exécution.
|
|
Nouveau programme de démarrage
|
En règle générale, les applications malveillantes ajoutent ou modifient les entrées
du démarrage automatique dans le registre Windows pour se lancer automatiquement à
chaque démarrage de l'ordinateur.
|
Le tableau suivant répertorie les événements du système surveillés.
Lorsque la surveillance des événements détecte un événement du système surveillé,
elle exécute l'action configurée pour l'événement.
Le tableau suivant répertorie les éventuelles mesures que les administrateurs peuvent
prendre sur les événements du système surveillés.
Actions sur les événements du système surveillés
|
Action
|
Description
|
||
|
Toujours autoriser
|
L'Agent de sécurité autorise toujours l’exécution des programmes associés à un événement.
|
||
|
Demander si nécessaire
|
L'Agent de sécurité invite les utilisateurs à autoriser ou refuser les programmes associés à un événement
et ajoute les programmes à la liste d'exceptions
Si l'utilisateur ne répond pas dans le délai imparti, l'Agent de sécurité autorise automatiquement l'exécution du programme. La valeur par défaut de la période
est 30 secondes.
|
||
|
Toujours bloquer
|
L'Agent de sécurité bloque toujours l’exécution des programmes associés à un événement et consigne l’événement.
Lorsqu'un programme est bloqué et que les alertes sont activées, Worry-Free Services affiche une notification sur l'ordinateur Worry-Free Services.
|
