Utiliser le nouveau panneau Analyse de comportement pour identifier rapidement de potentielles menaces

Une de améliorations majeures de la version 10 d’Emsisoft Anti-Malware et Emsisoft Internet Security est le nouveau panneau Analyse de comportement qui vous donne accès à tous les programmes en cours d’exécution. Si votre ordinateur semble fonctionner plus lentement ou de manière erratique, prenez le temps de regarder quels programmes sont exécutés sur votre système, d’en découvrir leur nature et d’agir en conséquence. Voici comment procéder.

Une analyse de comportement, ça sert à quoi ?

Pour bien comprendre comment fonctionne une analyse de comportement, représentons-la-nous comme un tampon entre votre système d’exploitation et les programmes sur votre ordinateur. Ce tampon cherche à détecter des comportements malveillants types des programmes se trouvant sur votre ordinateur. Si, par exemple, un programme ne comportant pas de signature numérique se lance sans qu’une fenêtre visible ne s’ouvre, crée une entrée dans le répertoire en exécution automatique ou envoie des données sur Internet, il y a de fortes chances que ledit programme soit un logiciel espion.

Qu’un programme malveillant soit chiffré ou complexe, il n’arrive toutefois pas à masquer son comportement. Et comme il ne peut se comporter que de façon bien précise (un virus, par exemple, va toujours infecter des fichiers), une analyse de comportement pourra détecter la quasi-totalité des logiciels malveillants, quel qu’en soit le genre.

BBpanelFrench1_152105

Analyse de comportement d’Emsisoft

Malheureusement, de nombreux programmes légitimes se comportent également d’une façon pouvant être considérée comme malveillante. Certains outils de mise à jour de logiciels, par exemple, fonctionnent en arrière-plan et envoient des données sur Internet. Grâce à l’ingéniosité du réseau Emsisoft Anti-Malware Network, Analyse de comportement utilise la base de données des logiciels malveillants publics afin d’identifier un programme comme bienveillant ou malveillant, de le bloquer ou l’autoriser, évitant ainsi de tirer la sonnette d’alarme intempestivement. L’Emsisoft Anti-Malware Network reconnaît plus de 163 million de menaces et nous en ajoutons quelque 200 000 autres quotidiennement !

Paramètres d’Analyse de comportement

Analyse de comportement propose plusieurs paramètres clés :

Activer ou désactiver la fonction

Vous pouvez choisir d’activer ou de désactiver Analyse de comportement en cochant la case dédiée en regard. Nous vous recommandons de ne pas la désactiver car, ce faisant, vous réduiriez la qualité de la protection que nous proposons contre les logiciels malveillants. Si vous n’aviez pas d’autre choix que de procéder à la désactivation, décochez simplement la case.

Afficher ou masquer les programmes fiables

Vous pouvez personnaliser la vue des programmes en cours d’exécution au moyen  de l’option « Cacher les applications 100% fiables ». Pour visualiser tous les processus en cours, décochez la case ; tous les processus, que leur statut soit bon, mauvais ou inconnu, s’afficheront alors. Cocher la case entraîne l’affichage uniquement des processus inconnus ou mauvais, les bons étant automatiquement masqués car reconnus comme sûrs.

Consulter en détail les processus actifs en cours d’exécution

Le nouveau panneau d’Analyse de comportement vous permet de consulter de nombreuses informations relatives aux programmes actifs en cours d’exécution. Les colonnes principales du tableau à consulter sont « Entreprise » et « Statut ». Si le nom d’une entreprise apparaît en vert, cela indique que le fichier comporte une signature numérique et que son certificat est valide. Cette donnée a son importance car toute information propre au fichier peut potentiellement avoir été falsifiée par des auteurs malveillants. Par conséquent, si « Microsoft Corporation » s’affiche en noir, cela ne signifie pas pour autant que le fichier provient bien de chez Microsoft. Il est également important de prendre connaissance du statut du programme dans la dernière colonne (bon mauvais, inconnu) car c’est ici que vous serez en mesure de distinguer les programmes bienveillants des malveillants.

Utiliser la liste des processus pour identifier les menaces potentielles

Maintenant que vous savez identifier les paramètres clés du panneau, vous pouvez utiliser la liste des processus pour identifier et supprimer les applications potentiellement malveillantes exécutées sur votre ordinateur. Si Analyse de comportement indique que le statut d’un programme est inconnu ou mauvais, cliquer avec le bouton droit de la souris mettra à votre disposition plusieurs options : créer une règle, recherche en ligne, terminer le processus, programme de quarantaine, ouvrir l’emplacement du fichier et propriétés du fichier.

ContextMenuFrench2_152105

Cliquez avec le bouton droit sur un processus pour consulter les options qui s’offrent à vous.

Les options de mise en quarantaine et de fin de processus ne sont disponibles que pour les processus nouveaux ou mauvais afin d’éviter de nuire à votre système en effectuant à tort l’une de ces actions sur une fenêtre de processus bienveillant ou essentiel. Chaque action vous permet d’en apprendre davantage sur un programme spécifique :

Créer une règle

Créer des règles de l’application pour les processus actifs en cours d’exécution est simple : cliquez avec le bouton droit sur un processus et sélectionnez l’option « Créer une règle » dans le menu contextuel. Ensuite, configurez la règle et définissez comment Analyse de comportement doit réagir selon vos préférences. Nous vous détaillerons comment procéder au paragraphe suivant.

Recherche en ligne

Utilisez cette fonction pour en apprendre davantage sur un fichier en consultant l’Emsisoft Anti-Malware Network. Après sélection du processus, vous serez redirigé vers page renseignant diverses propriétés du fichier et de nombreuses informations relatives au processus exécutable. Prenez le temps de les parcourir afin de prendre une décision avisée quant à la sécurité dudit fichier.

LookupOnlineFrench3_152105

Option « Recherche en ligne » de la liste des processus via l’Emsisoft Anti-Malware Network.

Si le statut d’un processus est reconnu comme inconnu ou mauvais, il vous sera proposé de mettre en quarantaine ou de terminer le processus. Si un fichier est réputé nouveau ou inconnu, soyez vigilant. Si un fichier est réputé mauvais, nous vous conseillons de le supprimer définitivement.

Programme de quarantaine

Utilisez l’option Programme de quarantaine pour mettre les programmes et processus inconnus ou malveillants en quarantaine, sous protection d’Emsisoft. La mise en quarantaine d’un programme ou d’un processus fait que vous ne pourrez plus y accéder ni l’utiliser car il sera placé dans un conteneur chiffré inaccessible. Si un fichier bienveillant venait à y être placé par inadvertance, restaurez-le à son emplacement originel à tout moment.

Terminer le processus

Utilisez l’option Terminer le processus pour mettre fin à un processus actif malveillant ou inconnu. Ce faisant, la menace ne pourra plus nuire à votre ordinateur car elle ne sera plus exécutée. Cette option est plus sûre que la mise en quarantaine quand vous n’êtes pas certain qu’un processus est malveillant mais que vous ne lui faites pas pour autant confiance ou si vous jugez que son comportement est plutôt suspect.

Ouvrir l’emplacement du fichier

Accédez à l’emplacement d’un fichier pour découvrir exactement où il se situe. Par exemple, un processus du système se trouve généralement dans le répertoire System32. S’il se trouve sous Documents, il est fort probable qu’il s’agisse d’un fichier malveillant. Les utilisateurs les plus expérimentés peuvent choisir cette option pour localiser et supprimer manuellement les menaces.

Propriétés du fichier

Les propriétés d’un fichier comportent des informations comme sa taille ou son type. Consulter les propriétés d’un fichier peut s’avérer utile au moment de déterminer s’il s’agit d’un fichier inoffensif ou malveillant. Les utilisateurs peuvent comparer l’empreinte MD5 d’un fichier donné avec son empreinte authentique, facilement consultable en ligne. L’empreinte MD5 d’un fichier est une séquence de 32 caractères contribuant à l’identification unique d’un fichier. Il est donc facile de découvrir ainsi si un fichier donné a été manipulé ou modifié. Si l’empreinte affichée diffère de l’empreinte originale, grandes sont les chances que le fichier soit malveillant. Les dates de première et dernière consultation doivent également être prises en considération car si un fichier est relativement récent et non classé, il est judicieux en théorie de s’en méfier.

Gérer les processus malveillants

BadProcessesFrench_152105Si un processus est jugé malveillant, il sera probablement bloqué en temps réel par Analyse de comportement d’Emsisoft. Vous pouvez toutefois utiliser la liste des processus pour mettre en quarantaine ou terminer un programme actif malveillant. S’il est classé comme tel, nous vous recommandons sa mise immédiate en quarantaine.

Si son statut affiche Inconnu, terminer le processus s’avère une option plus sûre car le programme pourrait être inoffensif. Procédez ensuite à une analyse de votre ordinateur avec un outil de sécurité afin de confirmer que ce dernier n’est menacé par une aucune autre infection potentielle. En cas de doute, n’hésitez pas à vous rendre sur le forum pour faire appel à nos experts en suppression de logiciels malveillants.

Configurer des règles de l’application

Configurez des règles de l’application si vous souhaitez personnaliser le fonctionnement d’Analyse de comportement d’Emsisoft en matière de traitement de programmes spécifiques. Si une règle existe déjà pour un programme donné, cliquez deux fois sur le processus pour ouvrir un encadré permettant de modifier la règle au lieu d’en créer une nouvelle. Pour configurer des règles de l’application, accédez à l’onglet Protection ou cliquez avec le bouton droit sur un programme repris dans la liste des processus. Les options suivantes s’offriront à vous :

AllAllowedRuleFrench5_152105

Configure une règle de l’application « Tous autorisés ».

Tous autorisés ne doit être utilisé que lorsqu’une application est 100 % fiable et que son statut est recommandé comme bon par un grand nombre d’utilisateurs.

CustomMonitorFrench6_152105

Configurer une règle de l’application « Surveillance personnalisée »

Surveiller cette application, mais autoriser/refuser des activités spécifiques ne doit être utilisé que lorsqu’une application fiable ou inconnue n’est pas nécessairement malveillante mais se comporte de façon assez suspecte pour qu’Analyse de comportement la signale régulièrement.

 

AlwaysBlockApplicationFrench7_152105

Configurer une règle d’application « Toujours refuser cette application »

Toujours refuser cette application ne doit être utilisé que si un programme spécifique se comporte de façon malveillante. Par exemple, si vous constatez qu’une application inconnue essaie d’enregistrer vos saisies sur le clavier ou d’injecter du code dans un autre processus.

Conclusion

Le panneau d’Analyse de comportement entièrement repensé vous permet désormais d’identifier des menaces potentielles de plusieurs façons. Utilisez la nouvelle liste de processus pour décimer les menaces détectées et en apprendre davantage sur les programmes exécutés sur votre ordinateur. Quand un processus malveillant est identifié, utilisez Programme de quarantaine ou Terminer le processus pour supprimer les menaces de la mémoire. En outre, vous pouvez créer des règles de l’application afin de contrôler la façon dont Analyse de comportement traite certaines applications et activités. Maîtrisez le nouveau panneau et optimisez ainsi la protection que vous offre Emsisoft.

Partagez avec nous vos commentaires sur le nouveau panneau Analyse de comportement, nous seront ravis de connaître votre opinion !

Nous vous souhaitons une excellente journée (sans logiciels malveillants) !

 

Fran Rajewski

What to read next

Reader Comments