So how did I get infected in the first place?

[ipl_001]

So how did I get infected in the first place?

 

C'est le titre d'un "document culte" de la communauté antimalware !

 

Ce document a été écrit en 2003, par TonyKlein, membre de Zebulon, expert mondial, maintenu jusqu'en novembre 2005 et repris sur tous les forums. Comme dit plus haut, c'est un document culte : je voudrais -par respect- reproduire la version d'origine avant de la traduire.

 

A la lecture attentive de ce document, vous pourrez vous rendre compte qu'il est issu de la collaboration de nombreux membres de la communauté antimalware mondiale ! Un grand merci à eux !

 

En interrogeant un moteur de recherche, on trouve les exemplaires suivants :

• CastleCops - Sun Nov 16, 2003 3:49 pm - So how did I get infected in the first place? par TonyKlein (version 13 points)
  ... complété par So how did I get infected in the first place?
  
• SpywareInfo - Nov 7 2005, 02:16 PM - So how did I get infected in the first place? par TonyKlein (version 13 points)
  
• GeeksToGo - article de base - How did I get infected in the first place? (version 11 points)
  
• Spybot Search and Destroy - 2005-11-08, 18:37 - So how did I get infected in the first place? par TonyKlein (version 11 points)
  
• BestTechie - Feb 12 2005, 11:07 AM - So How Did I Get Infected In The First Place? par tj416 (version 11 points)
  
• WhatTheHech - Feb 7 2006, 06:41 PM - So how did I get infected in the first place?, By Tony Klein par LDTate (version 11 points)
  
• SecurityCadets - May 18 2006, 08:25 PM - How did I get Infected in the First Place?, By Tony Klein par AndyAtHull (version 11 points)
  
• PCTechBytes - 01-15-2007, 01:42 PM - So how did I get infected in the first place? par roadrage (version 11 points)
  
• PCtorium - Mar 25 2004, 12:44 PM - How did I get infected in the first place? par NJ (version 9 points)
  
• WildersSecurity - April 14th, 2004, 01:34 PM - Why did I get infected in the first place par dvk01 (version reprise en 7 points)
  
• City-Data.com - 08-07-2007, 11:20 AM - How Did I Get Infected in the First Place? par southernlady5464 (version 7 points)
  
• AstaHost - May 18 2005, 07:12 PM - How Did I Get Infected In The First Place?, Answers here!! par Mentalsatan (version 7 points)
  
• Freeware Forum - Dec 9 2004, 06:30 PM - How did I get infected in the first place par southernlady (version 7 points)
  
• The Gazebo - 01-31-2006, 08:37 PM - How did I get infected in the first place par southernlady (version 7 points)
   
   
  
• TeMerc - article de base - How'd I Get Infected In The First Place?
  
• TheSpywarePros - article de base - How did my PC get infected in the first place?
  
• SpywareCleaning - article de base - How did I get infected in the first place?
  
• AntiOnline - May 22nd, 2003, 12:27 PM - So how did I get infected in the first place? par Und3ertak3r (référence à Net-Integration)
  

[ipl_001]

So how did I get infected in the first place?

 

~~~~ TonyKlein

(posted Sun Nov 16, 2003 3:49 pm, Last edited by TonyKlein on Sun Nov 06, 2005 9:15 pm, edited 8 times in total)

 

You usually get infected because your security settings are too low.

 

Here are a number of recommendations to help tighten them, which will hopefully make you a less likely victim:

 

 

Safe Computing Practices

 

 

1.) Keep your Windows updated!

• Go to Start > Windows Update or navigate to http://windowsupdate.microsoft.com, and install ALL Critical security updates listed (you will need to use Internet Explorer to do this). If you're running Windows XP, that of course includes Service Pack 2 (SP2)!
   
   
  
• If you suspect your computer is infected with Malware of any type, please do NOT install SP2 yet. Read the
  SpywareInfo FAQ and post a HijackThis log in our forums to get help cleaning your machine. Once you are sure you have a clean system, it is highly recommended to install SP2 to help prevent against future infections.
   
   
  
• It's important always to keep current with the latest security fixes from Microsoft. This can patch many of the security holes through which attackers can infect your computer.
  Please either enable Automatic Updates under Start > Control Panel > Automatic Updates, or get into the habit of checking for Windows updates regularly.
  

2.) Watch what you download!

• Many "freeware" programs come with an enormous amount of bundled spyware that will slow down your system, spawn pop-up advertisements, or just plain crash your browser or even Windows itself.
   
   
  
• Peer-to-peer (P2P) programs like Kazaa, BearShare, Grokster, Imesh, and others are amongst the most notorious. If you insist on using P2P software, please read this article written by Mike Healan of SpywareInfo. It is an updated and comprehensive article about which P2P programs are "safe" to use. Another good reference is here.
   
   
  
• Note also that even if the P2P software you are using is "clean", a large percentage of the files served on the P2P network are likely to be infected. Do not open any files without being certain of what they are!
  

3.) Avoid questionable web sites!

• Many disreputable sites will attempt to install malware on your system through "drive-by" exploits just by visiting the site in your browser. Lyrics sites, free software sites (especially ones that target young children), cracked software sites, and pornography sites are some of the worst offenders.
   
   
  
• Most of these drive-by attempts will be thwarted if you keep your Windows updated and your internet browser secured (see below). Nevertheless, it is very important only to visit web sites that are trustworthy and reputable.
   
   
  
• In addition, never give out personal information of any sort online. And never click "OK" to a pop-up unless it is signed by a reputable company and you know what it is!
   
   
  
• For more general information see the first section, "Educate yourself and be smart about where you visit and what you click on", in this tutorial by Grinler of BleepingComputer.
  

Must-Have Software

 

*NOTE*: Please only run one anti-virus program and one firewall on your system. Running more than one of these at a time can cause system crashes and/or conflicts with each other. The rest of the following programs can be run simultaneously and will work together in layers to protect your computer.

 

 

4.) Antivirus

• An Anti-Virus product is a necessity. There are many excellent programs that you can purchase. However, we choose to advocate the use of free programs whenever possible. Some very good and easy-to-use free antivirus programs are AVG, Avast, and AntiVir. Please run only one antivirus resident at a time!
   
   
  
• It's a good idea to set your antivirus to receive automatic updates so you are always as fully protected as possible from the newest threats.
  

5.) Internet Browser

• Many malware infections install themselves by exploiting security holes in Microsoft Internet Explorer. It is strongly suggested that you consider using an alternate browser.
   
   
  
• Both Mozilla Firefox and Opera are next-generation browsers that are more secure and faster than Internet Explorer, immune to most known browser hijackers, and outfitted with built-in pop-up blockers and other useful accessories.
  

6.) Firewall

• It is critical that you use a firewall to protect your computer from hackers. We don't recommend the firewall that comes built into Windows. It doesn't block everything that may try to get in, it doesn't block anything at all outbound, and the entire firewall is written to the registry. Since most malware accesses the registry and can disable the Windows firewall, it's preferable to install one of these excellent third party solutions.
   
   
  
• Two good free ones are ZoneAlarm and Outpost. The trial version of Sunbelt Kerio Personal Firewall will also work in "free mode" after the trial period expires. Please only use one firewall at a time!
  

7.) Install Javacool's SpywareBlaster

• This excellent program blocks installation of many known malicious ActiveX objects. Run the program, download the latest updates, "Enable All Protection" and you're done. Although it won't protect you from every form of spyware known to man, it is a very potent extra layer of protection.
   
   
  
• Don't forget to check for updates every week or so. Also see this tutorial by Grinler.
  

8.) HOSTS file and IE-SPYAD

• Another good program is MVPS HOSTS. This little program packs a powerful punch as it blocks ads, banners, 3rd party Cookies, 3rd party page counters, web bugs, and many hijackers.
  For information on how to download and install, please read this tutorial by WinHelp2002.
   
   
  
• IE-SPYAD puts over 5000 malicious sites in your restricted zone, so you'll be protected when you visit innocent-looking sites that aren't actually innocent at all. See this tutorial by Grinler.
  

Other Cleaning / Protection Software

 

 

9.) Ad-Aware and Spybot

• If you do not already have it, Lavasoft's Ad-Aware is a must-have free scanner. See this topic for instructions on how to configure and run Ad-Aware.
   
   
  
• Spybot Search & Destroy is another must-have free scanner. See this topic for instructions on how to run a scan with Spybot.
  Spybot has an "Immunize" feature which works roughly the same way as SpywareBlaster above.
  Another feature within Spybot is the "TeaTimer" option. TeaTimer detects when known malicious processes try to start and terminates them. It also detects when something wants to change critical registry keys and prompts you to allow this or not. See this tutorial by Grinler for more information.
  

10.) Ewido Anti-Spyware

• An outstanding all-purpose anti-malware scanner and cleaner is Ewido. Although this is commercial software, the 30-day trial version will continue to work after the trial period expires in "free mode", with automatic updates and real-time protection disabled. See this topic for instructions on how to run a scan with Ewido.
  

11.) Windows Defender

• Microsoft now offers their own free malicious software blocking and removal tool, Windows Defender (Not compatible with Windows 98 and ME.) It also features real-time protection.
  

12.) Lock down ActiveX in Internet Explorer

• Even if you plan to use an alternate browser, you will have to use Internet Explorer for tasks like updating Windows or visiting any other site that requires ActiveX. Also, since Internet Explorer is integrated into the Windows core, keeping it locked down is very important.
   
   
  
• Open IE and go to Internet Options > Security > Internet, then press "Default Level", then OK.
  • Now press "Custom Level"
    

  In the ActiveX section, set the first two options ("Download signed and unsigned ActiveX controls") to "Prompt", and ("Initialize and Script ActiveX controls not marked as safe") to "Disable".

   

   

  [*] Now you will be asked whether you want ActiveX objects to be executed and whether you want software to be installed. Sites that you know for sure are above suspicion can be moved to the Trusted Zone in Internet Option > Security.

   

   

  [*] So why is ActiveX so dangerous that you have to increase the security for it? When your browser runs an ActiveX control, it is running an executable program, no different from double-clicking an exe file on your hard drive. Would you run just any file downloaded off a web site without knowing what it is and what it does?

13.) Finally

• After following up on all these recommendations, why not run Jason Levine's Browser Security Tests
  They will provide you with an insight on how vulnerable you might still be to a number of common exploits.
  

Happy safe computing!

[ipl_001]

So how did I get infected in the first place? / Alors, comment ai-je pu être infecté ?

 

~~~~ TonyKlein

(posted Sun Nov 16, 2003 3:49 pm, Last edited by TonyKlein on Sun Nov 06, 2005 9:15 pm, edited 8 times in total)

 

Vous êtes en général infecté parce que votre niveau de sécurité est trop bas.

 

Voici quelques recommandations pour vous aider à le resserrer, ce qui espérons le, fera de vous une victime moins probable :

 

 

Pratiques informatiques sécuritaires

 

 

1.) Gardez votre Windows à jour !

• Allez à Démarrer > Windows Update ou naviguez sur http://windowsupdate.microsoft.com et installez TOUTES les mises à jour critiques de sécurité listées (vous devrez utiliser Internet Explorer pour faire ceci). Si vous avez Windows XP, ceci inclut, bien sûr, Service Pack 2 (SP2) !
   
   
  
• Si vous suspectez que votre ordinateur est infecté par un malware quel qu'il soit, s'il vous plaît, N'INSTALLEZ PAS SP2 maintenant. Lisez la FAQ de SpywareInfo et postez un rapport HijackThis sur votre forum pour obtenir de l'aide pour nettoyer votre machine. Une fois sûr d'avoir un système propre, il est vivement recommandé d'installer SP2 pour mieux vous protéger des futures infections.
   
   
  
• Il est important de toujours se tenir à jour des dernières mesures de sécurité de Microsoft. Ceci peut corriger beaucoup de failles de sécurité par lesquelles les pirates peuvent infecter votre ordinateur.
  Merci de, soit activer Mises à jour automatiques par Démarrer > Panneau de configuration > Mises à jour automatiques, soit prendre l'habitude de vérifier régulièrement les mises à jour de Windows.
  

2.) Faites attention à ce que vous téléchargez !

• Beaucoup de programes "freeware" viennent avec une énorme quantité de spywares associés qui ralentiront votre système, multiplieront les pop-ups publicitaires ou simplement planteront votre navigateur voire Windows lui-même.
   
   
  
• Les programmes Peer-to-peer (P2P) comme Kazaa, BearShare, Grokster, Imesh et autres sont parmi les plus connus. Si vous insistez pour utiliser des programmes P2P, veuillez lire cet article écrit par Mike Healan de SpywareInfo. C'est un article à jour et compréhensible sur les programmes P2P "sûrs" à utiliser. Une autre bonne référence est ici.
   
   
  
• Notez aussi que même si le programme P2P que vous utilisez est "propre", un grand pourcentage des fichiers proposés sur le réseau P2P a des chances d'être infecté. N'ouvez pas n'importe quel fichier sans être certain de ce que c'est !
  

3.) Evitez les sites web douteux !

• Beaucoup de sites à mauvaise réputation essaieront d'installer des malwares sur votre système par des exploits "drive-by", simplement en visitant le site dans votre navigateur. Les sites musicaux, les sites de programmes gratuits (spécialement ceux destinés aux jeunes enfants), les sites de programmes craqués et les sites pornographiques sont parmi les plus dangereux.
   
   
  
• La plupart de ces tentatives drive-by seront contrées si vous gardez votre Windows à jour et votre navigateur Internet sécurisé (voir ci-dessous). Néanmoins, il est très important de ne visiter que les sites web qui sont de confiance et de bonne réputation.
   
   
  
• De plus, ne distribuez jamais aucune information de quelque sorte en ligne. Et ne cliquez jamais sur le "OK" d'une pop-up à moins qu'elle ne vienne d'une société réputée et que vous sachiez ce que c'est !
   
   
  
• Pour des informations plus générales, voyez la première section, "Educate yourself and be smart about where you visit and what you click on", de ce tutorial par Grinler de BleepingComputer.
  

Les programmes que l'on doit avoir

 

*NOTE* : S'il vous plaît, n'utilisez qu'un seul programme anti-virus et un seul pare-feu dans votre système. En utiliser plus d'un en même temps cause des plantages du système et/ou des conflits entre eux. Les programmes qui suivent peuvent être utilisés simultanément et fonctionneront ensemble, en couche pour protéger votre ordinateur.

 

 

4.) Antivirus

• Un programme Anti-Virus est une nécessité. Il y a beaucoup d'excellents programmes que vous pouvez acheter. Cependant, nous plaidons pour l'utilisation de programmes gratuits chaque fois que c'est possible. Quelques programmes antivirus gratuits, très bons et faciles d'emploi sont AVG, Avast et AntiVir. S'il vous plaît, un seul résident antivirus à la fois !
   
   
  
• C'est une bonne idée de paramétrer votre antivirus pour recevoir les mises à jour automatiques afin de toujours être aussi bien protégé que possible des toutes dernières menaces.
  

5.) Navigateur Internet

• Beaucoup d'infections malwares s'installent en exploitant des failles de sécurité de Microsoft Internet Explorer. Il est vivement suggéré d'envisager un navigateur alternatif.
   
   
  
• Aussi bien Mozilla Firefox que Opera sont des navigateurs de nouvelle génération qui sont plus sécurisés et plus rapides que Internet Explorer, protégés de la plupart des piratages de navigateurs connus et fournis avec des bloqueurs de pop-ups intégrés et d'autres accessoires utiles.
  

6.) Pare-feu

• Il est capital d'utiliser un pare-feu pour protéger votre ordinateur des hackers. Nous ne recommandons pas le firewall fourni avec Windows. Il ne bloque pas tout ce qui pourrait essayer d'entrer, il ne bloque rien de ce qui sort et tout le paramétrage est inscrit dans la base de registre. Etant donné que la plupart des malwares accèdent à la base de registre et peuvent désactiver le pare-feu de Windows, il est préférable d'installer une de ces excellentes solutions tierce-parties.
   
   
  
• Deux bons gratuits sont ZoneAlarm et Outpost. La version d'essai de Sunbelt Kerio Personal Firewall fonctionnera aussi en "mode gratuit" après l'expiration de la période d'essai. S'il vous plaît, un seul pare-feu à la fois !
  

7.) Installez SpywareBlaster de Javacool

• Cet excellent programme bloque l'installation de beaucoup d'objets ActiveX malicieux connus. Lancez le programme, téléchargez les dernières mises à jour, "Enable All Protection (activer toutes les protections)" et c'est bon. Bien qu'il ne vous protège pas de toute forme de spywares connus par les hommes, c'est une couche supplémentaire de protection très puissante.
   
   
  
• N'oubliez pas de vérifier les mises à jour environ chaque semaine. Voyez également ce tutorial de Grinler.
  

8.) Fichier HOSTS et IE-SPYAD

• Un autre bon programme est MVPS HOSTS. Ce petit programme est merveilleusement efficace en ce qu'il bloque les pubs, les bannières, les cookies tierce-partie, les compteurs de page tierce-partie, les objets web et beaucoup de hijackers.
  Pour savoir comment télécharger et installer, merci de lire ce tutorial de WinHelp2002.
   
   
  
• IE-SPYAD envoie plus de 5000 sites malicieux dans votre zone de sites sensibles, et ainsi vous serez protégé quand vous visiterez des sites à l'aspect innocent qui ne sont pas innocents du tout. Voyez ce tutorial de Grinler.
  

Autres programmes de nettoyage / protection

 

 

9.) Ad-Aware et Spybot

• Si vous ne l'avez pas déjà, Ad-Aware de Lavasoft est un scanner gratuit que vous vous devez d'avoir. Voyez ce sujet pour les instructions pour configurer et lancer Ad-Aware.
   
   
  
• Spybot Search & Destroy est un autre scanner gratuit à avoir. Voyez ce sujet pour les instructions pour configurer et lancer Spybot.
  Spybot a une fonction "Immunize/Vaccination" qui fonctionne à peu près de la même manière que SpywareBlaster ci-dessus.
  Une autre fonction dans Spybot est l'option "TeaTimer". TeaTimer détecte des processus malicieux connus essayant de démarrer et les stoppe. Il détecte aussi quelque chose voulant changer les clés critiques du registre et vous demande d'autoriser ou pas. Voyez ce tutorial de Grinler pour plus d'information.
  

10.) Ewido Anti-Spyware/AVG Anti-Spyware

• Un scanner/nettoyeur anti-malware toutes fonctions remarquable est AVG-AS. Bien que ce soit un programme commercial, la version d'essai de 30 jours continuera à fonctionner à l'expiration de la période d'essai en "mode gratuit", avec la mise à jour automatique et la protection temps réel désactivées. Voyez ce sujet pour les instructions pour configurer et lancer un scan avec AVG-AS.
  

11.) Windows Defender

• Microsoft offre maintenant son propre outil gratuit de blocage et nettoyage de programmes malicieux, Windows Defender (non compatible avec Windows 98 et ME). Il a aussi une fonction de protection en temps réel.
  

12.) Verrouiller ActiveX dans Internet Explorer

• Même si vous prévoyez d'utiliser un navigateur alternatif, vous aurez à utiliser Internet Explorer pour des tâches comme la mise à jour de Windows ou la visite de tout autre site qui exige ActiveX. Aussi, puisque Internet Explorer est intégré au noyau de Windows, le garder verrouillé est très important.
   
   
  
• Ouvrez IE et allez à Outils > Options Internet > Sécurité > Internet, puis pressez "Niveau par défaut", puis OK.
  • Maintenant pressez "Personnaliser le niveau..."
    

  Dans la section ActiveX, établissez les deux premières options ("Télécharger les contrôles ActiveX signés" et "... non signés") à "Demander" et ("Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés") à "Désactivé".

   

   

  [*] Maintenant, on vous demandera si vous voulez que les objets ActiveX soient exécutés et si vous voulez que le programme soit installé. Les sites que vous connaissez à coup sûr comme au-dessus de tout soupçon peuvent être déplacés dans la zone de confiance dans Options Internet > Sécurité.

   

   

  [*] Alors, pourquoi ActiveX est-il si dangereux que vous ayez à accroître la sécurité pour lui ? Quand votre navigateur exécute un contrôle ActiveX, il fait fonctionner un programme exécutable, pas différent d'un double-clic sur un fichier exe sur votre disque dur. Exécuteriez-vous simplement n'importe quel fichier téléchargé d'un site web sans savoir ce qu'il est et ce qu'il fait ?

13.) Finalement

• Après avoir suivi toutes ces recommandations, pourquoi ne pas exécuter Jason Levine's Browser Security Tests ?
  Ils vous apportent un avis sur la vulnérabilité qu'il pourrait encore y avoir vis à vis de nombre d'exploits courants.
  

 

Appréciez une utilisation sécurisée de votre ordinateur !