|
RegistryProt:complément
à l'antivirus pour clé bdr
?(Réagir
sur le sujet)
Suite aux nombreux
messages de gens signalant la présence d'un virus malgré leur antivirus,
j'ai retrouvé un sujet que j'avais posté à mes débuts sur PCAstuces, il y
a bientôt deux ans. Entre-temps, les virus ont proliféré et cette solution
reste encore d'actualité.
En effet, les antivirus détectent beaucoup de
choses mais assez curieusement, rares sont ceux qui contrôlent les entrées
de la BdR que la plupart des virus/trojans/vers utilisent pour être lancés
au prochain démarrage.
Patator m'a signalé que
l'antivirus KAV a un contrôleur d'intégrité
dans sa version Pro: c'est un outil d'une puissance phénoménale
puisque qu'il peut théoriquement détecter 100% des virus (En gros,
c'est une comparaison entre les fichiers du disque et une table qui
indique les changements effectués). Cet outil est très puissant mais
pas grand monde ne l'utilise car il faut savoir interpréter ses
conclusions.
|
RegistryProt, kesaco ?
C'est une espèce de
chien de garde. Il tourne en permanence et s'occupe de voir si des clés
importantes de la BdR sont modifiées ou créées. Presque tous les virus et
autres Trojan écrivent dans la BdR afin d'être activés au démarrage.
RegistryProt signale lorsqu'une clé importante est modifiée ou créée et
demande ce qu'il faut faire.
Dans le cas d'une clé rajoutée, on peut
la supprimer ou accepter la création. J'ai installé un soft qui a créé une
clé dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run, RegistryProt
a affiché une boîte de dialogue immédiatement mais dans ce cas, il ne faut
pas la supprimer. Vous pouvez aussi faire le test avec MSConfig en cochant
une case dans l'onglet démarrage.
Il est évident que si c'est un
virus, le fait de supprimer la clé ne fera pas disparaître le virus mais
comme la clé créée montre également les valeurs écrites, on peut en
prendre note et agir en conséquence en allant sur Internet pour voir ce
qui est à faire afin d'éradiquer le virus. Presque tous les antivirus ne
détectent d'ailleurs pas un virus inconnu alors que RegistryProt
signalerait directement l'intrusion dans la BdR.
A la 1ère
utilisation, RegistryProt va demander pour chaque clé trouvée s'il faut la
laisser ou l'enlever. Si vous hésitez, répondez oui car vous pourriez
empêcher un programme vital de démarrer. Si vous avez un doute sur les
clés déjà présentes, vous pouvez toujours poster un nouveau sujet avec le
rapport de HijackThis qui lui, liste toutes les entrées ( voir mon sujet :
http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
)
Pour arrêter proprement RegistryProt, on peut utiliser le
programme Rpadmin.exe (qui se trouve dans le répertoire d'installation).
C'est d'ailleurs lui que vous voyez à la fin de l'installation.
Il
consomme 1 MB de RAM et 2% de ressources (Win9x/ME). Pas d'utilisation du
CPU tant qu'aucune clé n'est modifiée dans la BdR. A comparer avec la RAM
et les ressources nécessaires pour faire tourner un antivirus. Je l'ai
testé sous 98 et XP, il devrait fonctionner avec tous les
Win.
Voici ce qui se passe quand une clé est ajoutée dans la BdR à
l'endroit critique
Voici ce qui se passe quand une clé existante est
modifiée
Vous pouvez choisir Yes (autoriser le changement), No
(supprimer la clé) ou Cancel (revenir à la valeur originale).
Voici
la page d'accueil de RegistryProt 2.0
http://www.diamondcs.com.au/index.php?page=regprot
téléchargement
direct : http://216.118.111.212/rpsetup.exe
ou ici : http://www.diamondcs.com.au/downloads/rpsetup.exe
Rappelez-vous
que pour déterminer si la clé rajoutée est normale (installation d'un
logiciel, par exemple) ou anormale (vous n'avez rien installé et
subitement, une clé est rajoutée), il faut se poser la question avant de
répondre trop vite. Si vous refusez une création de clé, il ne se passera
rien en pratique suite à ce refus puisque c'est au prochain redémarrage de
Windows que cette clé est lue. Mais si vous avez installé un nouveau
logiciel nécessitant d'être activé au démarrage et que vous avez refusé
l'écriture de la clé, votre logiciel ne démarrera pas. C'est un peu comme
le rapport de HijackThis, ce n'est pas toujours simple de savoir si les
entrées décrites sont normales ou non.
Pour prendre l'exemple
concret de Blaster (qui n'a pas été détecté par la plupart des antivirus
et qui a été fatal à ceux qui n'avaient pas le patch de MS), RegistryProt
vous aurait immédiatement informé d'une écriture dans la BdR et comme
c'était à un moment où rien de spécial ne se passait sur le PC (je
rappelle qu'il a même infecté ceux qui n'utilisaient pas IE), vous auriez
eu l'attention attirée par cette clé sortant de nulle part.
En
résumé, RegistryProt est un bon chien de garde pour prévenir de
modifications dans les clés de démarrage de Win. Il est donc à utiliser en
parallèle avec un antivirus (ou sans antivirus pour ceux qui n'en ont pas,
comme moi). Mais attention, si vous craignez les virus, ne remplacez pas
votre antivirus par RegistryProt, il vaut mieux qu'ils travaillent en
parallèle.
En ce qui me concerne, je trouve que cette fonction devrait
être implémentée dans chaque antivirus avec possibilité de la désactiver
si on trouve que le chien de garde aboie trop souvent.
Si jamais vous
installez des logiciels fréquemment, vous pourriez être gênés par ses
boîtes de dialogue intempestives. Il faut alors le
désactiver.
N'hésitez pas à poser des questions, à commenter, à tester.
Faites éventuellement une sauvegarde de la BdR avant de jouer avec (un
point de restauration sous XP/2K, un petit coup de Sos3Win pour les
9X/ME).
Le fait que le
logiciel soit en anglais n'est pas un réel problème, vous le voyez sur les
copies d'écran. Et on peut tester soi-même s'il fonctionne, c'est plus dur
avec les antivirus.
|