ESET NOD32 Antivirus 4 Manuel utilisateur

Guide de l’utilisateur
Microsoft® Windows® 7 / Vista / XP / 2000 / 2003 / 2008
Sommaire
1.
ESET NOD32 Antivirus 4...........................4
1.1
1.2
Nouveautés................................................................... 4
Configuration minimale requise....................................... 4
2. Installation.............................................5
2.1
2.2
2.3
2.4
2.5
Installation typique........................................................ 5
Installation personnalisée............................................... 6
Utilisation des paramètres d’origine................................. 7
Entrée d’un nom d’utilisateur et d’un mot de passe............ 7
Analyse de l’ordinateur à la demande............................... 8
3. Guide du débutant..................................9
Copyright © 2009 by ESET, spol. s r. o.
ESET NOD32 Antivirus a été développé par ESET, spol. s r.o.
Pour plus d’information, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation
ne peut être reproduite, stockée dans un système d’archivage
ou transmise sous quelque forme ou par quelque moyen
que ce soit, y compris sous forme électronique, mécanique,
photocopie, enregistrement, numérisation ou autre sans
l’autorisation écrite de l’auteur.
ESET, spol. s r.o. se réserve le droit de changer les applications
décrites sans préavis.
Assistance à la clientèle Monde : www.eset.eu/support
Assistance à la clientèle Amérique du Nord : www.eset.com/
support
RÉV.20090127-001
3.1
3.2
3.3
3.4
Présentation de l’interface utilisateur : les modes.............. 9
3.1.1
Contrôle du fonctionnement du système..................9
3.1.2
Que faire lorsque le programme ne fonctionne pas
correctement...................................................................... 10
Configuration des mises à jour........................................10
Configuration du serveur mandataire..............................10
Protection des paramètres..............................................11
4. Utilisation d’ESET NOD32 Antivirus..........12
4.1
Protection antivirus et anti-logiciel espion....................... 12
4.1.1
Protection en temps réel du système de fichiers.......12
4.1.1.1
Configuration de la vérification...............................12
4.1.1.1.1
Supports à analyser ...............................................12
4.1.1.1.2
Date de l’analyse (analyse déclenchée par un
événement)..........................................................................12
4.1.1.1.3
Autres paramètres ThreatSense pour les fichiers
nouveaux et modifiés............................................................12
4.1.1.1.4 Configuration avancée...........................................12
4.1.1.2
Niveaux de nettoyage............................................12
4.1.1.3
Quand faut-il modifier la configuration la protection
en temps réel .......................................................................13
4.1.1.4
Vérification de la protection en temps réel ..............13
4.1.1.5
Que faire si la protection en temps réel ne
fonctionne pas...........................................................................13
4.1.2
Le système de prévention d’intrusiosns HIPS............13
4.1.3
Protection du client de messagerie..........................13
4.1.3.1
Contrôle POP3.......................................................13
4.1.3.1.1
Compatibilité........................................................14
4.1.3.2
Intégration aux clients de messagerie.....................14
4.1.3.2.1 Ajout d’une étiquette au corps d’un message...........14
4.1.3.3
Suppression d’infiltrations......................................15
4.1.4
Protection de l’accès Web.......................................15
4.2
4.3
4.4
4.5
4.6
4.7
4.1.4.1
HTTP, HTTPs..........................................................15
4.1.4.1.1 Gestion d’adresse...................................................15
4.1.4.1.2 Navigateurs Web...................................................15
4.1.5
Analyse de l’ordinateur...........................................16
4.1.5.1
Type d’analyse.......................................................16
4.1.5.1.1 Analyse standard...................................................16
4.1.5.1.2 Analyse personnalisée............................................16
4.1.5.2
Cibles à analyser....................................................16
4.1.5.3
Profils d’analyse..................................................... 17
4.1.6
Filtrage des protocoles........................................... 17
4.1.6.1
SSL........................................................................ 17
4.1.6.1.1 Certificats approuvés.............................................18
4.1.6.1.2 Certificats exclus...................................................18
4.1.7
Configuration des paramètres du moteur ThreatSense
18
4.1.7.1
Configuration des objets........................................18
4.1.7.2
Options.................................................................18
4.1.7.3
Nettoyage.............................................................19
4.1.7.4
Extensions.............................................................19
4.1.7.5
Limites..................................................................19
4.1.7.6
Autre................................................................... 20
4.1.8
Une infiltration est détectée.................................. 20
Mise à jour du programme............................................ 20
4.2.1
Configuration des mises à jour................................ 21
4.2.1.1
Profils de mise à jour.............................................. 21
4.2.1.2
Configuration avancée des mises à jour.................. 22
4.2.1.2.1 Mode de mise à jour.............................................. 22
4.2.1.2.2 Serveur mandataire.............................................. 22
4.2.1.2.3 Connexion au réseau local..................................... 23
4.2.1.2.4 Création de copies de mises à jour - miroir.............. 23
4.2.1.2.4.1 Mise à jour à partir du miroir.................................. 24
4.2.1.2.4.2 Résolution des problèmes de miroir de mise à jour.. 24
4.2.2
Comment créer des tâches de mise à jour............... 25
Planificateur.................................................................25
4.3.1
Pourquoi planifier des tâches................................. 25
4.3.2
Création de nouvelles tâches................................. 25
Quarantaine................................................................ 26
4.4.1
Mise de fichiers en quarantaine............................. 26
4.4.2
Restaurer depuis la quarantaine............................ 26
4.4.3
Soumission de fichiers de quarantaine................... 26
Fichiers journaux......................................................... 26
4.5.1
Maintenance des journaux.................................... 27
Interface utilisateur...................................................... 27
4.6.1
Alertes et notifications.......................................... 28
ThreatSense.Net.......................................................... 28
4.7.1
Fichiers suspects................................................... 29
4.7.2
Statistiques.......................................................... 29
4.7.3
Soumission...........................................................30
4.8 Administration à distance............................................. 30
4.9 Licence....................................................................... 30
5. Utilisateur chevronné............................ 32
5.1
5.2
Configuration du serveur mandataire..............................32
Importer/exporter des paramètres..................................32
5.2.1
Exporter les paramètres........................................ 32
5.2.2
Importer les paramètres........................................ 32
5.3 Ligne de commande......................................................33
5.4 ESET SysInspector.........................................................33
5.4.1
Interface utilisateur et utilisation de l’application... 34
5.4.1.1
Contrôles du programme...................................... 34
5.4.1.2
Navigation dans ESET SysInspector........................ 34
5.4.1.3
Comparer............................................................. 35
5.4.1.4
SysInspector comme composant d’ESET NOD32
Antivirus 4........................................................................... 35
5.5.1
Configuration requise........................................... 36
5.5.2
Comment créer un CD de sauvetage...................... 36
5.5.2.1
Dossiers............................................................... 36
5.5.2.2
Antivirus ESET...................................................... 36
5.5.2.3
Avancé................................................................. 36
5.5.2.4
Périphérique USB d’amorçage................................ 37
5.5.2.5
Graver.................................................................. 37
5.5.3
Utilisation d’ESET SysRescue................................. 37
5.5.3.1
Utilisation d’ESET SysRescue................................. 37
6. Glossaire.............................................. 38
6.1
Types d’infiltrations.......................................................38
6.1.1
Virus.................................................................... 38
6.1.2
Vers..................................................................... 38
6.1.3
Chevaux de Troie................................................... 38
6.1.4
Rootkits............................................................... 38
6.1.5
Logiciels publicitaires............................................ 39
6.1.6
Logiciels espions................................................... 39
6.1.7
Applications potentiellement dangereuses............. 39
6.1.8
Applications potentiellement indésirables.............. 39
1. ESET NOD32 Antivirus 4
ESET NOD32 Antivirus 4 est le successeur du produit primé ESET
NOD32 Antivirus 2.*. Il s’appuie sur le programme antivirus ESET
NOD32 dont la rapidité d’analyse et la précision sont garanties par la
dernière version du moteur d’analyse ThreatSense®.
1.2
Les techniques avancées mises en œuvre permettent de bloquer de
manière proactive les virus, logiciels espions, chevaux de Troie, vers,
programmes publicitaires et rootkits sans ralentir le système ni vous
déranger lorsque vous travaillez ou jouez sur votre ordinateur.
ESET NOD32 Antivirus :
1.1
Antivirus et anti-logiciel espion
Ce module est construit sur le noyau d’analyse de ThreatSense®,
utilisé pour la première fois sur le système antivirus primé NOD 32.
Le noyau de ThreatSense® est optimisé et amélioré dans la nouvelle
architecture d’ESET NOD32 Antivirus.
Fonction
Description
Nettoyage amélioré
Le système antivirus nettoie et supprime
désormais la plupart des infiltrations
détectées sans intervention de l’utilisateur.
Mode d’analyse en
arrière-plan
L’analyse de l’ordinateur peut être lancée en
arrière-plan sans réduire les performances.
Fichiers de mise à
jour de taille réduite
Grâce aux processus d’optimisation du noyau,
la taille des fichiers de mise à jour est réduite
par rapport à la version 2.7. En outre, la
protection des fichiers de mise à jour contre
les dommages a été améliorée.
Protection des
Il est désormais possible d’analyser les
clients de messagerie messages entrants non seulement de MS
les plus populaires
Outlook, mais aussi d’Outlook Express, de
Windows Live Mail et de Mozilla Thunderbird.
Autres améliorations – Accès direct aux systèmes de fichiers pour
une vitesse et un débit élevés.
mineures
– Accès aux fichiers infectés bloqués
– Optimisation du Centre de sécurité
Windows, y compris Vista.
4
Pour assurer le bon fonctionnement d’ESET NOD32 Antivirus, la
configuration matérielle et logicielle minimale requise est la suivante :
Windows 2000, XP
400 MHz 32 bits / 64 bits (x86 / x64)
128 Mo de RAM de mémoire système
130 Mo d’espace disponible
Super VGA (800 × 600)
Windows 7, Vista
1 GHz 32 bits / 64 bits (x86 / x64)
512 Mo de RAM de mémoire système
130 Mo d’espace disponible
Super VGA (800 × 600)
Nouveautés
Nos experts ont su faire valoir leur expérience en dotant le programme
ESET NOD32 Antivirus d’une architecture entièrement nouvelle qui
garantit une protection maximale avec un minimum d’espace occupé
sur le système.
•
Configuration minimale requise
ESET NOD32 Antivirus Business Edition :
Windows 2000,
2000 Server,
XP, 2003 Server
400 MHz 32 bits / 64 bits (x86 / x64)
128 Mo de RAM de mémoire système
130 Mo d’espace disponible
Super VGA (800 × 600)
Windows 7, Vista,
Windows Server 2008
1 GHz 32 bits / 64 bits (x86 / x64)
512 Mo de RAM de mémoire système
130 Mo d’espace disponible
Super VGA (800 × 600)
2. Installation
Après l’achat, le programme d’installation d’ESET NOD32 Antivirus
peut être téléchargé à partir du site web d’ESET sous la forme
d’un module .msi. Lancez le programme d’installation; l’Assistant
Installation vous guidera dans les opérations de configuration de base.
Deux types d’installation sont disponibles, avec différents niveaux de
détails de configuration :
1.
L’étape suivante de l’installation est la configuration du système
d’avertissement anticipé ThreatSense.Net. Le système d’alerte
anticipée ThreatSense.Net contribue à garantir qu’ESET est
immédiatement et continuellement informé des nouvelles
infiltrations dans le but de protéger ses clients. Le système permet la
soumission de nouvelles menaces au laboratoire d’ESET où elles seront
analysées, traitées puis ajoutées à la base de signatures de virus.
Installation typique
2. Installation personnalisée
2.1
Installation typique
Par défaut, la case à cocher Activer le système d’avertissement
anticipé ThreatSense.Net est sélectionnée, ce qui active cette
fonction. Cliquez sur Configuration avancée... pour modifier les
paramètres détaillés de soumission de fichiers suspects.
Une installation typique est recommandée aux utilisateurs qui
souhaitent installer ESET NOD32 Antivirus avec ses paramètres par
défaut. Les paramètres par défaut du programme fournissent le
niveau maximal de protection, une configuration appréciée par les
utilisateurs qui ne veulent pas effectuer de paramétrage détaillé.
L’étape suivante de l’installation est la configuration de la Détection
des applications potentiellement indésirables. Les applications
potentiellement indésirables ne sont pas nécessairement
malveillantes, mais peuvent, d’une certaine façon, affecter le
comportement du système d’exploitation.
La première étape (très importante) est l’entrée d’un nom d’utilisateur
et d’un mot de passe pour la mise à jour automatique du programme.
Cette mise à jour joue un rôle important dans le maintien d’une
protection continue du système.
Ces applications sont souvent associées à d’autres programmes
et peuvent être difficiles à remarquer lors de l’installation. Bien
que ces applications affichent habituellement une notification
pendant l’installation, elles peuvent facilement s’installer sans votre
consentement.
Entrez dans les champs correspondants, votre Nom d’utilisateur et
Mot de passe, c.-à-d. les données d’authentification reçues après
l’achat ou l’enregistrement du produit. Si vos nom d’utilisateur et
mot de passe ne sont pas disponibles, sélectionnez l’option Définir
les paramètres de mise à jour ultérieurement. Les données
d’authentification peuvent être entrées plus tard, directement à partir
du programme.
Activez l’option Activer la détection d’applications potentiellement
indésirables pour permettre à ESET NOD32 Antivirus de détecter ce
type de menace (recommandé).
La dernière étape de l’installation typique est la confirmation de
l’installation en cliquant sur le bouton Installer.
5
2.2
Installation personnalisée
L’installation Personnalisée est destinée à des utilisateurs qui ont une
certaine expérience de l’optimisation de programmes et qui veulent
modifier les paramètres avancés pendant l’installation.
La première étape est le choix de l’emplacement du dossier
d’installation. Par défaut, le programme s’installe dans C:\Program
iles\ESET\ESET NOD32 Antivirus\. Cliquez sur Parcourir… pour
changer d’emplacement (déconseillé).
Ensuite, entrez votre nom d’utilisateur et votre mot de passe. Cette
étape est la même que dans l’installation typique (voir page 5).
Après l’entrée de votre nom d’utilisateur et de votre mot de passe,
cliquez sur Suivant pour Configurer votre connexion Internet.
6
Si vous utilisez un serveur mandataire, il doit être correctement
configuré pour que les mises à jour des signatures de virus
fonctionnent correctement. Si vous n’êtes pas sûr d’utiliser un serveur
mandataire pour la connexion à Internet, gardez le réglage par
défaut Je ne sais pas si ma connexion Internet utilise un serveur
mandataire. Utilisez les mêmes paramètres qu’Internet Explorer,
puis cliquez sur Suivant. Si vous n’utilisez pas de serveur mandataire,
sélectionnez l’option correspondante.
Pour configurer vos paramètres de serveur mandataire, sélectionnez
J’utilise un serveur mandataire et cliquez sur Suivant. Entrez
l’adresse IP ou l’adresse URL de votre serveur mandataire dans le
champ Adresse. Dans le champ Port, précisez le port sur lequel le
serveur mandataire accepte les connexions (3128 par défaut). Si le
serveur mandataire exige une authentification, un nom d’utilisateur
et un mot de passe valides donnant accès à ce serveur doivent
être entrés. Les paramètres du serveur mandataire peuvent être
copiés depuis Internet Explorer. Pour ce faire, cliquez sur le bouton
Appliquer, puis confirmez la sélection.
L’étape suivante de l’installation est l’entrée d’un mot de passe pour
protéger les paramètres. Choisissez un mot de passe pour protéger le
programme. Entrez de nouveau le mot de passe pour le confirmer.
Cliquez sur Suivant pour continuer vers la fenêtre Configurer les
paramètres de mise à jour automatique . Cette étape permet de
préciser la façon dont seront traitées les mises à jour automatiques
des composants du programme sur votre système. Cliquez sur
Changer pour accéder aux paramètres avancés.
Si vous ne voulez pas que les composants du programme soient
mis à jour, sélectionnez Ne jamais mettre à jour les composants
du programme. L’option Demander avant de télécharger les
composants de programme affiche une fenêtre de confirmation pour
télécharger les composants du programme. Pour activer la mise à
jour automatique des composants du programme sans confirmation,
sélectionnez l’option Effectuer la mise à niveau des composants du
programme si elle est disponible.
Les étapes Configuration du système d’alerte anticipé ThreatSense.
Net et Détection des applications potentiellement indésirables
sont les mêmes que dans l’installation typique et ne sont pas reprises
ici (voir page 5).
La dernière étape affiche une fenêtre demandant votre accord pour
l’installation.
2.3
Utilisation des paramètres d’origine
Si vous réinstallez ESET Smart Security, l’option Utiliser les
paramètres actuels s’affiche. Sélectionnez cette option pour
transférer les paramètres de configuration de l’installation d’origine
vers la nouvelle installation.
2.4
Entrée d’un nom d’utilisateur et d’un mot de passe
Le programme doit être mis à jour automatiquement pour assurer un
fonctionnement optimal. Ce n’est possible que si le nom d’utilisateur
et le mot de passe corrects sont entrés dans la configuration des mises
à jour.
REMARQUE : Le redémarrage du système est généralement
nécessaire après la mise à jour des composants du programme.
L’option recommandée est : Si nécessaire, redémarrer sans
notification.
Si vous n’avez pas entré votre nom d’utilisateur et votre mot de passe
lors de l’installation, vous pouvez le faire maintenant. Dans la fenêtre
principale du programme, cliquez sur Mettre à jour, puis sur Nom
d’utilisateur et mot de passe... Entrez les données reçues avec la
licence du produit dans la fenêtre Détails de la licence.
7
2.5
Analyse de l’ordinateur à la demande
Après l’installation d’ESET NOD32 Antivirus, il faut procéder à une
analyse de l’ordinateur à la recherche de codes malveillants. Pour
lancer rapidement une analyse, sélectionnez Analyse de l’ordinateur
dans le menu principal, puis sélectionnez Analyse standard dans
la fenêtre principale du programme. Pour plus d’information sur les
options d’analyse de l’ordinateur, consultez le chapitre « Analyse de
l’ordinateur ».
8
3. Guide du débutant
Ce chapitre donne un premier aperçu d’ESET NOD32 Antivirus et de ses
paramètres de base.
3.1
Le mode standard donne accès aux fonctionnalités nécessaires aux
opérations ordinaires. Il n’affiche aucune option avancée.
Présentation de l’interface utilisateur : les modes
La fenêtre principale d’ESET NOD32 Antivirus est divisée en deux
sections principales. La colonne de gauche donne accès à un menu
principal convivial. La fenêtre principale du programme, à droite, sert
essentiellement à afficher de l’information sur l’option sélectionnée
dans le menu principal.
Voici une description des boutons disponibles dans le menu principal :
État de la protection : fournit, sous une forme conviviale, de
l’information sur l’état de la protection d’ESET NOD32 Antivirus. Si le
mode avancé est activé, l’état de tous les modules de protection est
affiché. Cliquez sur un module pour voir son état actuel.
Analyse de l’ordinateur : cette option permet de configurer et de
lancer l’analyse de l’ordinateur à la demande.
Mise à jour : sélectionnez cette option pour accéder au module de
mise à jour qui gère les mises à jour de la base de signatures de virus.
Configuration : cette option permet de régler le niveau de sécurité
de votre ordinateur. Si le mode avancé est activé, les sous-menus
Protection antivirus et anti-logiciel espion apparaissent.
Outils : cette option est disponible uniquement en mode avancé. Elle
permet d’accéder aux fonctions Fichiers journaux, Quarantaine et
Planificateur.
Aide et assistance : sélectionnez cette option pour accéder aux
fichiers d’aide, à la base de connaissances ESET, au site Web d’ESET et
à une demande d’assistance du service à la clientèle.
L’interface utilisateur d’ESET NOD32 Antivirus permet également de
basculer entre les modes standard et avancé. Pour basculer entre les
modes, utilisez le lien Affichage situé dans l’angle inférieur gauche de
la fenêtre principale d’ESET NOD32 Antivirus. Cliquez sur ce bouton
pour sélectionner le mode d’affichage souhaité.
Le passage au mode avancé ajoute l’option Outils dans le menu
principal. L’option Outils permet d’accéder au Planificateur et à la
Quarantaine et de consulter les fichiers journaux d’ESET NOD32
Antivirus.
REMARQUE : Toutes les instructions qui suivent dans ce guide seront
effectuées en mode avancé.
3.1.1
Contrôle du fonctionnement du système
Pour afficher l’État de la protection, cliquez sur cette option au
haut du menu principal. Le sous-menu Protection antivirus et antilogiciel espion apparaît directement au-dessous et un résumé de
l’état de fonctionnement d’ESET NOD32 Antivirus s’affiche dans la
fenêtre principale du programme. Cliquez sur Protection antivirus
et anti-logiciel espion et la fenêtre principale du programme affiche
l’état des modules de protection individuels.
Une marque verte s’affiche en regard de chaque module activé
et fonctionnant correctement. Dans le cas contraire, un point
d’exclamation rouge ou orange et des données supplémentaires
sur le module s’affichent dans la partie supérieure de la fenêtre.
Une suggestion de solution pour corriger le module est également
affichée. Pour changer l’état des différents modules, cliquez sur
Configuration dans le menu principal puis sur le module souhaité.
9
3.1.2
Que faire lorsque le programme ne fonctionne pas
correctement
Si ESET NOD32 Antivirus détecte un problème dans l’un de ses modules
de protection, il le signale dans la fenêtre État de la protection. Une
solution potentielle au problème y est également proposée.
S’il est impossible de résoudre le problème au moyen de la liste des
problèmes connus et résolus, cliquez sur Aide et assistance pour
accéder aux fichiers d’aide ou effectuer une recherche dans la base
de connaissances. Si vous ne trouvez toujours pas de solution, vous
pouvez soumettre une demande de support à l’Assistance à la clientèle
d’ESET. Sur la base de ces commentaires, nos spécialistes pourront
rapidement répondre à vos questions et vous conseiller efficacement
une solution.
3.2
Configuration des mises à jour
La fenêtre Configuration avancée (pour y accéder, appuyez sur F5)
contient d’autres options avancées pour la mises à jour. L’option du
menu déroulant Serveur de mise à jour doit être configurée sur
Choisir automatiquement. Pour configurer des options avancées
de mise à jour telles que le mode de mise à jour, l’accès au serveur
mandataire, l’accès aux mises à jour sur un serveur local et la création
de copies de signatures de virus (ESET NOD32 Antivirus Business
Edition), cliquez sur le bouton Configuration.
3.3
Configuration du serveur mandataire
Si vous travaillez sur un système avec ESET Smart Security et utilisez
un serveur mandataire pour la connexion à Internet, ce dernier doit
être indiqué dans la configuration avancée (F5). Pour accéder à la
fenêtre de configuration Serveur mandataire, dans l’arborescence
Configuration avancée, cliquez sur Divers > Serveur mandataire.
Sélectionnez la case à cocher Utiliser un serveur mandataire et
entrez l’adresse IP et le port du serveur mandataire, ainsi que des
données d’authentification.
La mise à jour de la base de signatures de virus et celle des composants
du programme sont des éléments importants pour assurer une
protection totale contre les attaques des codes malveillants.
Soyez donc particulièrement attentif à leur configuration et à leur
fonctionnement. Dans le menu principal, sélectionnez Mettre à jour,
puis cliquez sur Mettre à jour la base des signatures de virus dans
la fenêtre principale du programme pour vérifier instantanément la
disponibilité d’une mise à jour plus récente de la base de données.
Nom d’utilisateur et mot de passe... affiche une boîte de dialogue
permettant d’entrer le nom d’utilisateur et le mot de passe reçus
à l’achat du logiciel.
Si le nom d’utilisateur et le mot de passe ont été entrés au niveau de
l’installation d’ESET NOD32 Antivirus, vous ne serez pas invité à les
entrer de nouveau à ce moment-ci.
Si cette information n’est pas disponible, vous pouvez tenter une
détection automatique des paramètres de serveur mandataire pour
ESET Smart Security en cliquant sur le bouton Détecter le serveur
mandataire.
REMARQUE : Les options du serveur mandataire peuvent varier selon
les profils de mise à jour. Si c’est le cas, il faut configurer le serveur
mandataire dans la configuration avancée des mises à jour.
10
3.4
Protection des paramètres
Les paramètres ESET NOD32 Antivirus peuvent être très importants
en fonction de la stratégie de sécurité de votre organisation. Des
modifications non autorisées pourraient mettre en danger la stabilité
et la protection de votre système. Pour protéger par mot de passe les
paramètres de configuration, partez du menu principal, puis cliquez
sur Configuration > Accéder à l’arborescence de la configuration
avancée complète... > Interface utilisateur > Protection des
paramètres et cliquez sur le bouton Entrer le mot de passe....
Entrez un mot de passe, confirmez-le en le tapant de nouveau, puis
cliquez sur OK. Ce mot de passe sera requis pour toute modification
future des paramètres ESET NOD32 Antivirus.
11
4. Utilisation d’ESET NOD32
Antivirus
4.1
Protection antivirus et anti-logiciel espion
La protection antivirus vous protège des attaques contre le
système en contrôlant les échanges de fichiers et de courrier et
les communications Internet. Si une menace comportant du code
malveillant est détectée, le module Antivirus peut l’éliminer en la
bloquant dans un premier temps, puis en nettoyant, en supprimant
ou en mettant en quarantaine l’objet infecté.
4.1.1
Protection en temps réel du système de fichiers
La protection en temps réel du système de fichiers contrôle tous les
événements liés à l’antivirus dans le système. Elle analyse tous les
fichiers à la recherche de code malveillant lors de leur ouverture,
de leur création ou de leur exécution sur l’ordinateur. La protection
en temps réel du système de fichiers est lancée au démarrage du
système.
4.1.1.1
Configuration de la vérification
La protection en temps réel du système de fichiers vérifie touts les
types de supports et la vérification est déclenchée par différents
événements. Elle utilise les méthodes de détection de la technologie
ThreatSense (décrites sous Configuration des paramètres du moteur
ThreatSense). Le contrôle peut cependant différer pour les fichiers
nouvellement créés et les fichiers existants. Ainsi, pour les fichiers
nouvellement créés, il est possible d’appliquer un niveau de contrôle
plus approfondi.
de laisser ces options activées, car le risque d’une infection par un virus
d’amorçage provenant d’autres sources est toujours réel.
4.1.1.1.3
Autres paramètres ThreatSense pour les fichiers
nouveaux et modifiés
La probabilité d’infection des nouveaux fichiers est comparativement
supérieure à celle des fichiers existants. C’est pourquoi le programme
vérifie ces fichiers avec des paramètres d’analyse supplémentaires.
Outre les méthodes d’analyse habituelles basées sur les signatures,
l’heuristique avancée est aussi utilisée, ce qui améliore sensiblement
les taux de détection. En plus des fichiers nouvellement créés, l’analyse
inclut les fichiers à extraction automatique et les fichiers exécutables
compressés par un compresseur d’exécutables (interne). Par défaut,
les archives sont analysées jusqu’au dixième niveau d’imbrication et
vérifiées indépendamment de leur taille réelle. Désactivez l’option
Paramètres d’analyse d’archive par défaut pour modifier les paramètres
d’analyse d’archive.
4.1.1.1.4
Configuration avancée
Pour exercer un impact minimal sur le système lorsque la protection
en temps réel est activée, les fichiers qui ont déjà été analysés ne
le seront plus tant qu’il ne seront pas modifiés. Les fichiers seront
immédiatement réanalysés après chaque mise à jour de la base des
signatures de virus. Ce comportement se configure à l’aide de l’option
Analyse optimisée. Si cette fonction est désactivée, tous les fichiers
seront analysés à chaque fois qu’on y accédera.
Par défaut, la protection en temps réel est lancée au démarrage du
système d’exploitation, ce qui assure une analyse ininterrompue. Dans
des cas particuliers (par ex. en cas de conflit avec un autre analyseur
en temps réel), il est possible d’arrêter la protection en temps réel en
désactivant l’option Lancement automatique de la protection en
temps réel du système de fichiers.
Par défaut, l’heuristique avancée n’est pas utilisée lors de l’exécution
de fichiers. Toutefois, dans certains cas, il peut être utile d’activer
cette option (en sélectionnant Heuristique avancée à l’exécution
du fichier). Notez que l’heuristique avancée peut ralentir l’exécution
de certains programmes en raison de la plus grande utilisation des
ressources système.
4.1.1.2
4.1.1.1.1
Supports à analyser
Par défaut, tous les types de supports sont analysés à la recherche de
menaces potentielles.
La protection en temps réel offre trois niveaux de nettoyage (pour
y accéder, cliquez sur le bouton Configuration... dans la section
Protection en temps réel du système de fichiers, puis cliquez sur la
branche Nettoyage).
•
Le premier niveau affiche une fenêtre d’avertissement qui propose
des options pour chacune des infiltrations détectées. L’utilisateur
doit choisir une action pour chacune. Ce niveau est conçu pour les
utilisateurs expérimentés qui savent quoi faire avec chaque type
d’infiltration.
•
Le niveau moyen choisit et exécute automatiquement une
action prédéfinie (selon le type d’infiltration). La détection
et la suppression d’un fichier infecté sont signalées par un
message d’information affiché dans l’angle inférieur droit de
l’écran. Cependant, aucune action automatique n’est exécutée
si l’infiltration se trouve dans une archive contenant aussi des
fichiers sains ou s’il n’y a pas d’action prédéfinie pour les objets
infectés.
•
Le troisième niveau est le plus « agressif » : tous les fichiers infectés
sont nettoyés. Ce niveau pouvant éventuellement entraîner
la perte de fichiers valides, il n’est recommandé que dans des
situations particulières.
Disques locaux : Vérifie tous les disques durs du système
Supports amovibles : disquettes, périphériques de stockage USB, etc.
Lecteurs réseau : analyse toutes les unités mappées.
Il est recommandé de conserver les paramètres par défaut et de ne les
modifier que dans des cas particuliers, par exemple lorsque l’analyse
de certains supports ralentit de manière significative les transferts de
données.
4.1.1.1.2
Date de l’analyse (analyse déclenchée par un
événement)
Par défaut, tous les fichiers sont analysés lorsqu’ils sont ouverts,
exécutés ou créés. Nous recommandons de conserver les paramètres
par défaut car ils offrent le niveau maximum de protection en temps
réel pour votre ordinateur.
L’option Accès disquette vérifie le secteur d’amorçage des disquettes
lors de l’accès au lecteur. L’option Arrêt de l’ordinateur vérifie les
secteurs d’amorçage du disque dur lors de l’arrêt de l’ordinateur. Bien
que les virus d’amorçage soient rares de nos jours, il est recommandé
12
Niveaux de nettoyage
La protection en temps réel ne détecte ni ne nettoie les
infiltrations
4.1.1.3
Quand faut-il modifier la configuration la protection
en temps réel
La protection en temps réel est le composant le plus essentiel
de la sécurisation du système. Il faut donc être attentif lors de la
modification de ces paramètres. Il est recommandé de ne changer
les paramètres de ce module que dans des cas précis. Par exemple,
lorsqu’il y a conflit avec une autre application ou avec l’analyseur en
temps réel d’un autre logiciel antivirus.
Après l’installation d’ESET NOD32 Antivirus, tous les paramètres sont
optimisés pour garantir le niveau maximum de système de sécurité
pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez
sur le bouton Par défaut situé en bas, à droite de la fenêtre Protection
en temps réel du système de fichiers (Configuration avancée >
Protection antivirus et anti-logiciel espion > Protection en temps
réel du système de fichiers).
4.1.1.4
Vérification de la protection en temps réel
Pour s’assurer que la protection en temps réel fonctionne et détecte
bien les virus, utilisez un fichier de test d’eicar.com. Ce fichier de test
est un fichier spécial inoffensif que détecteront tous les programmes
antivirus. Le fichier a été créé par la société EICAR (European Institute
for Computer Antivirus Research) pour tester la fonctionnalité des
programmes antivirus. Vous pouvez le télécharger du site
http://www.eicar.org/download/eicar.com
4.1.1.5
Que faire si la protection en temps réel ne fonctionne pas
Dans le chapitre suivant, nous décrivons des problèmes qui peuvent
survenir lors de l’utilisation de la protection en temps réel et la façon
de les résoudre.
La protection en temps réel est désactivée
Si la protection en temps réel a été désactivée par mégarde par un
utilisateur, elle doit être réactivée. Pour réactiver la protection en
temps réel, accédez à Configuration > Antivirus et anti-logiciel
espion, puis cliquez sur Activer dans la section Protection en temps
réel du système de fichiers de la fenêtre principale du programme.
Si la protection en temps réel ne se lance pas au démarrage du
système, c’est probablement dû au fait que l’option Lancement
automatique de la protection en temps réel du système de fichiers
est désactivée. Pour activer cette option, accédez à Configuration
avancée (F5), puis cliquez sur Protection en temps réel du système
de fichiers dans l’arborescence Configuration avancée. Au bas de la
fenêtre, dans la section Configuration avancée, assurez-vous que la
case Lancement automatique de la protection en temps réel du
système de fichiers est cochée.
Assurez-vous qu’aucun autre programme antivirus n’est installé sur
votre ordinateur. Si deux boucliers de protection en temps réel sont
activés en même temps, il peut y avoir un conflit entre les deux. Nous
recommandons de désinstaller tout autre antivirus de votre système.
La protection en temps réel ne démarre pas
Si la protection en temps réel n’est pas lancée au démarrage du
système (et si l’option Lancement automatique de la protection
en temps réel du système de fichiers est activée), le problème peut
provenir de conflits avec d’autres programmes. Dans ce cas, consultez
les spécialistes de l’assistance à la clientèle d’ESET.
4.1.2
Le système de prévention d’intrusiosns HIPS
Le système de prévention d’intrusiosns HIPS protège votre système
des malwares ou de toute autre activité non-désirée visant à réduire la
sécurité de votre ordinateur. Il utilise une détection comportementale
avancée couplée aux capacités de détection d’un filtrage réseau pour
surveiller les processus en cours, les fichiers et les clefs de registre pour
bloquer et prévenir toute tentative d’attaque.
4.1.3
Protection du client de messagerie
La protection de la messagerie offre le contrôle de la communication
par courrier électronique effectuée par le biais du protocole POP3.
À l’aide du plugiciel pour Microsoft Outlook, ESET NOD32 Antivirus
assure le contrôle de toutes les communications utilisant le client de
messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu’il examine les messages
entrants, le programme utilise toutes les méthodes d’analyse
avancées offertes par le moteur d’analyse ThreatSense. Autrement
dit, la détection des programmes malveillants a lieu avant même
la comparaison avec la base des signatures de virus. L’analyse des
communications par le biais du protocole POP3 est indépendante du
client de messagerie utilisé.
4.1.3.1
Contrôle POP3
Le protocole POP3 est le protocole le plus répandu pour la réception de
messages dans un client de messagerie. ESET NOD32 Antivirus assure
la protection de ce protocole, quel que soit le client de messagerie
utilisé.
Le module qui assure cette vérification est automatiquement lancé
au démarrage du système d’exploitation et reste ensuite actif en
mémoire. Pour que le module fonctionne correctement, assurezvous qu’il est activé; le contrôle POP3 s’effectue automatiquement
sans qu’il faille reconfigurer le client de messagerie. Par défaut,
toute communication sur le port 110 est soumise à une analyse, mais
d’autres ports de communication peuvent être ajoutés au besoin. Les
numéros de ports doivent être séparés par des virgules.
Les communications chiffrées ne sont pas contrôlées.
13
4.1.3.2
Intégration aux clients de messagerie
L’intégration d’ESET NOD32 Antivirus aux clients de messagerie
augmente le niveau de protection active contre le code malveillant
dans les courriels. Si votre client de messagerie est pris en charge,
cette intégration peut être activée dans ESET NOD32 Antivirus.
Lorsque l’intégration est activée, la barre d’outils d’ESET NOD32
Antivirus est insérée directement dans le client de messagerie,
contribuant ainsi à une protection plus efficace du courrier. Les
paramètres d’intégration sont accessibles dans Configuration >
Accéder à l’arborescence de la configuration avancée complète…
> Divers > Intégration aux clients de messagerie. Cette boîte de
dialogue permet à l’utilisateur d’activer l’intégration aux clients de
messagerie pris en charge. Les clients de messagerie actuellement pris
en charge sont Microsoft Outlook, Outlook Express, Windows Mail,
Windows Live Mail et Mozilla Thunderbird.
4.1.3.1.1
Compatibilité
Certains programmes de messagerie peuvent avoir des problèmes de
filtrage POP3 (par ex. si vous recevez des messages sur une connexion
Internet lente, la vérification peut entraîner des dépassements de
délai). Dans ce cas, essayez de modifiez la façon dont la vérification est
effectuée. Une diminution du niveau de vérification peut accélérer le
processus de nettoyage. Pour modifier le niveau de contrôle du filtrage
POP3, accédez à Antivirus et anti-logiciel espion > Protection du
courrier > POP3 > Compatibilité.
Activez l’option Désactiver la vérification au changement de contenu de
la boîte aux lettres si vous constatez un ralentissement du système
lors de l’utilisation du client de messagerie. Une telle situation peut
se présenter lors du téléchargement de messages à partir de Kerio
Outlook Connector.
La protection du courriel s’active en sélectionnant la case
correspondante dans Configuration avancée (F5) > Antivirus et
anti-logiciel espion > Protection de la messagerie.
Si vous activez l’option Efficacité maximale, les infiltrations sont
supprimées des messages infectés et des informations concernant
l’infiltration sont insérées au début de l’objet initial du message (les
options Supprimer ou Nettoyer doivent être activées, ou le niveau
de nettoyage Strict ou Par défaut doit être activé)
Une compatibilité moyenne modifie la façon dont les messages
sont reçus. Les messages sont progressivement envoyés au client
de messagerie; une fois la dernière partie du message transférée,
le message est analysé à la recherche d’infiltrations. Cependant, ce
niveau de vérification augmente le risque d’infection. Le niveau de
nettoyage et la gestion des « étiquettes » (notes d’alerte ajoutées
à l’objet et au corps des messages) sont identiques à ceux utilisés
avec le paramètre d’efficacité maximale.
Avec la Compatibilité maximale, l’utilisateur est averti par l’affichage
d’une fenêtre qui signale la réception d’un message infecté. Aucune
information concernant les fichiers infectés n’est ajoutée à l’objet ni au
corps des messages et les infiltrations ne sont pas automatiquement
supprimées. Il incombe à l’utilisateur de supprimer les infiltrations
à partir de son client de messagerie.
4.1.3.2.1
Ajout d’une étiquette au corps d’un message
Chaque message vérifié par ESET NOD32 Antivirus peut être marqué
par l’ajout d’une mention (une « étiquette ») à l’objet ou au corps
du message. Cette fonction augmente le niveau de crédibilité pour
le destinataire et, en cas de détection d’une infiltration, fournit de
précieuses informations sur le niveau de menace d’un message/
expéditeur donné.
Les options de cette fonction sont accessibles dans Configuration
avancée > Antivirus et anti-logiciel espion > Protection du client
de messagerie. Le programme peut Ajouter une note aux messages
reçus et lus, ainsi qu’Ajouter une note aux messages envoyés.
L’utilisateur peut aussi décider si des notes doivent être ajoutées à
tous les messages, uniquement aux messages infectés ou à aucun
message.
ESET NOD32 Antivirus permet aussi d’ajouter des notes à l’objet initial
des messages infectés. Pour ce faire, sélectionnez les options Ajouter
une note à l’objet des messages infectés reçus et lus et Ajouter une
note à l’objet des messages infectés envoyés.
Vous pouvez modifier le contenu des notes dans le champ Texte
ajouté à l’objet des messages infectés. Les modifications en question
permettent d’automatiser le filtrage des messages infectés, en
permettant de définir un filtre (si votre client de messagerie le permet)
qui place dans un dossier distinct les messages ayant un objet
particulier.
14
4.1.3.3
Suppression d’infiltrations
En cas de réception d’un message infecté, une fenêtre d’alerte
s’affiche. Cette fenêtre indique le nom de l’expéditeur, le contenu
du message et le nom de l’infiltration. Dans partie inférieure de la
fenêtre, les options Nettoyer, Supprimer ou Laisser sont disponibles
pour l’objet détecté. Dans la plupart des cas, nous recommandons de
sélectionner Nettoyer ou Supprimer. Dans les cas où vous souhaitez
vraiment recevoir le fichier infecté, sélectionnez Laisser. Si le niveau
Nettoyage strict est activé, une fenêtre d’information sans option
s’affichera.
4.1.4
Protection de l’accès Web
La connexion Internet est une fonctionnalité standard dans un
ordinateur personnel. Malheureusement, elle est devenue le
principal moyen de transfert des codes malveillants. C’est pour cela
qu’il est essentiel de penser à protéger l’accès Web. Il est fortement
recommandé de sélectionner l’option Activer la protection de
l’accès Web. Cette option se trouve dans Configuration avancée
(F5) > Antivirus et anti-logiciel espion > Protection de l’accès Web.
4.1.4.1.1
Gestion d’adresse
Cette section permet de préciser des adresses HTTP à bloquer,
à autoriser ou à exclure de la vérification.
Les boutons Ajouter, Modifier, Supprimer et Exporter permettent
de gérer les listes d’adresses. Les sites Web figurant dans la liste des
adresses bloquées ne seront pas accessibles. Les sites Web figurant
dans la liste des adresses exclues sont accessibles sans aucune
analyse de code malveillant. Si vous activez l’option N’autoriser l’accès
qu’aux adresses HTTP figurant dans la liste des adresses autorisées,
seules les adresses figurant dans la liste des adresses autorisées sont
accessibles, tandis que toutes les autres adresses HTTP sont bloquées.
4.1.4.1
HTTP, HTTPs
La protection de l’accès Web utilise la surveillance des communication
entre les navigateurs Internet et des serveurs distants, conformément
aux règles des protocoles HTTP et HTTPs. Par défaut, ESET NOD32
Antivirus est configuré pour utiliser les normes de la plupart des
navigateurs Internet. Toutefois, vous pouvez modifier les options
de configuration de l’analyseur HTTP dans la section Protection de
l’accès Web > HTTP, HTTPs. Dans la fenêtre principale du filtre HTTP,
vous pouvez activer ou désactiver l’option Activer le contrôle HTTP.
Vous pouvez également définir les numéros de port utilisés pour la
communication HTTP. Par défaut, les numéros de ports 80, 8080 et
3128 sont prédéfinis. La vérification HTTPs peut être effectuée dans les
modes suivants :
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux *
(astérisque) et ? (point d’interrogation). L’astérisque remplace
n’importe quelle chaîne de caractères, tandis que le point
d’interrogation remplace n’importe quel autre caractère individuel.
Vous devez faire attention lorsque vous indiquez les adresses exclues
car la liste ne doit contenir que des adresses sûres et fiables. De même,
assurez-vous d’employer correctement les symboles * et ? dans cette
liste. Pour activer une liste, sélectionnez l’option Liste active. Pour
être informé lors de l’entrée d’une adresse à partir de la liste actuelle,
activez l’option Aviser lors de l’application d’une adresse de la liste.
Ne pas utiliser de contrôle de protocole HTTPS
Les communications chiffrées ne seront pas vérifiées.
Utiliser le contrôle de protocole HTTPS pour les ports sélectionnés
La vérification HTTPs ne visera que les ports définis dans Ports utilisés
par le protocole HTTP.
Utiliser le contrôle de protocole HTTPS pour les applications
marquées comme navigateurs Internet qui utilisent les ports
sélectionnés
La vérification ne visera que les applications indiquées dans la section
navigateurs et qui utilisent les ports définis dans Ports utilisés par le
protocole HTTP.
4.1.4.1.2
Navigateurs Web
ESET NOD32 Antivirus contient une fonction Navigateurs Web qui
permet de définir si une application donnée est un navigateur ou
non. Si une application est marquée par l’utilisateur comme étant un
navigateur, toutes les communications provenant de cette application
sont contrôlées, quels que soient les numéros de ports utilisés dans la
communication.
La fonction Navigateurs Web complète la fonction de contrôle HTTP,
laquelle ne s’applique qu’à des ports prédéfinis. Or, de nombreux
services Internet utilisent des numéros de ports qui changent
de manière dynamique ou sont inconnus. C’est pour s’adapter à
15
cette réalité que la fonction Navigateurs Web peut contrôler les
communications sur les ports et ce, quels que soient les paramètres
de connexion.
La liste des applications désignées comme navigateurs est accessible
directement à partir du sous-menu Navigateurs Web de la branche
HTTP. Cette section contient également le sous-menu Mode actif
qui définit le mode de contrôle des navigateurs Internet. L’intérêt du
Mode actif est que les données transférées sont examinées dans leur
ensemble. S’il n’est pas activé, la communication des applications
est contrôlée progressivement, par lots. La vérification des données
est alors moins efficace, mais la compatibilité avec les applications
répertoriées sera meilleure. Si le Mode actif ne pose pas de problèmes,
nous recommandons de l’activer en cochant la case à côté de
l’application voulue.
d’analyse prédéfinis, ainsi que de choisir des objets d’analyse dans
l’arborescence.
4.1.5.1.1
Analyse standard
L’analyse standard est une méthode conviviale qui permet à
l’utilisateur de lancer rapidement une analyse de l’ordinateur et
de nettoyer les fichiers infectés sans intervention de sa part. Ses
principaux avantages incluent sa facilité d’utilisation et l’absence
d’une configuration détaillée de l’analyse. L’analyse standard vérifie
tous les fichiers sur les lecteurs locaux et nettoie ou supprime
automatiquement les infiltrations détectées. Le niveau de nettoyage
est automatiquement réglé sur la valeur par défaut. Pour plus
d’information sur les types de nettoyage, reportez-vous à la section
Nettoyage (page 18).
Le profil d’analyse standard est conçu pour les utilisateurs qui
souhaitent analyser rapidement et facilement leurs ordinateurs. Il
offre une solution d’analyse et de nettoyage efficace sans exiger de
configuration détaillée.
4.1.5.1.2
4.1.5
Analyse de l’ordinateur
Si vous pensez que votre ordinateur peut être infecté (en raison
d’un comportement anormal), exécutez une analyse à la demande
pour rechercher d’éventuelles infiltrations. Pour votre sécurité, il
est essentiel que l’ordinateur soit analysé non seulement en cas de
suspicion d’une infection, mais aussi régulièrement dans le cadre
de mesures de sécurité routinières. Une analyse régulière assure la
détection d’infiltrations non détectées par l’analyseur en temps réel
lors de leur enregistrement sur le disque. Cela peut se produire si
l’analyseur en temps réel est désactivé au moment de l’infection ou si
la base de signatures de virus est obsolète.
Nous recommandons d’exécuter une analyse à la demande au moins
une ou deux fois par mois. L’analyse peut être configurée comme tâche
planifiée dans Outils > Planificateur.
4.1.5.1
Type d’analyse
Deux types sont disponibles. L’Analyse standard analyse le système
sans exiger de reconfiguration des paramètres d’analyse. L’Analyse
personnalisée… permet à l’utilisateur de sélectionner un des profils
16
Analyse personnalisée
L’analyse personnalisée est une solution optimale si vous souhaitez
préciser des paramètres d’analyse tels que les cibles et les méthodes
d’analyse. L’avantage de l’analyse personnalisée est la possibilité de
configurer les paramètres de manière détaillée. Les configurations
peuvent être enregistrées dans des profils d’analyse définis par
l’utilisateur, utiles pour effectuer régulièrement une analyse avec les
mêmes paramètres.
Pour sélectionner les cibles à analyser, utilisez le menu déroulant
de la fonction de ciblage rapide ou sélectionnez des cibles dans
l’arborescence des périphériques de l’ordinateur. Vous pouvez
aussi choisir parmi trois niveaux de nettoyage en cliquant sur
Configuration... > Nettoyage. Si vous souhaitez uniquement une
analyse du système, sans action supplémentaire, cochez la case
Analyse sans nettoyage.
L’exécution d’analyses en mode Personnalisé convient pour des
utilisateurs chevronnés ayant déjà utilisé des programmes antivirus.
4.1.5.2
Cibles à analyser
Le menu déroulant Cibles à analyser permet de sélectionner les
fichiers, dossiers et périphériques (disques) à soumettre à l’analyse
antivirus.
Les paramètres d’analyse rapide permettent de sélectionner les cibles
suivantes :
Par paramètres de profil : vérifie les cibles indiquées dans le profil
sélectionné.
Supports amovibles : disquettes, périphériques de stockage USB, CD/
DVD.
Copier les paramètres depuis le profil. Adaptez ensuite les autres
paramètres à vos besoins.
Disques locaux : vérifie tous les disques durs du système.
4.1.6
Lecteurs réseau : analyse toutes les unités mappées.
La protection antivirus pour les protocoles d’application POP3 et HTTP
est assurée par le moteur d’analyse ThreatSense, qui intègre toutes les
techniques d’analyse avancées des logiciels malveillants. Le contrôle
fonctionne automatiquement indépendamment du navigateur
Internet et du client de messagerie utilisés. Les options suivantes sont
disponibles pour le filtrage de protocole (si l’option Activer le filtrage
de protocole d’application est activée :
Aucune sélection : annule toutes les sélections.
Filtrage des protocoles
Ports HTTP et POP3 - limite l’analyse des communications pour
connaître les ports HTTP et POP3.
Applications marquées comme navigateurs Internet et
clients de messagerie : activez cette option pour ne filtrer que
les communications d’application marquées comme étant des
navigateurs (Protection de l’accès Web > HTTP, HTTPS > Navigateurs
Web) et des clients de messagerie (Protection du client de messagerie
> POP3, POP3S > Clients de messagerie).
Ports et applications marqués comme navigateurs Internet ou
clients de messagerie : tant les ports que les navigateurs font l’objet
d’une détection des logiciels malveillants.
Remarque :
à partir de Windows Vista Service Pack 1 et de Windows Server 2008,
un nouveau filtrage des communications est utilisé. Par conséquent,
la section Filtrage des protocoles ne sera plus disponible.
4.1.6.1
Une cible d’analyse peut aussi être indiquées plus précisément en
entrant le chemin du dossier ou des fichiers à inclure dans l’analyse.
Sélectionnez les cibles dans l’arborescence des périphériques de
l’ordinateur.
4.1.5.3
Profils d’analyse
Vos paramètres d’analyse préférés peuvent être enregistrés dans des
profils. L’avantage de créer des profils d’analyse est que vous pouvez
les réutiliser pour des analyses futures. Nous recommandons de
créer le nombre de profils (avec différentes cibles, méthodes et autres
paramètres d’analyse) appropriés à votre type d’utilisation.
SSL
ESET NOD32 Antivirus 4 permet de contrôler les protocoles encapsulés
dans le protocole SSL. Vous pouvez utiliser différents modes d’analyse
pour les communications SSL protégées utilisant des certificats
approuvés, inconnus ou exclus du contrôle des communications SSL
protégées.
Toujours analyser le protocole SSL (les certificats exclus et fiables
resteront valides) : activez cette option pour analyser toutes les
communications SSL protégées, à l’exception de celles qui le sont par
des certificats exclus du contrôle. Si une nouvelle communication
utilisant un certificat signé inconnu est établie, l’utilisateur n’en
est pas informé et la communication est filtrée automatiquement.
Lorsque l’utilisateur accède à un serveur à l’aide d’un certificat non
approuvé qu’il a marqué comme approuvé (ajouté à la liste des
certificats approuvés), la communication avec le serveur est autorisée
et le contenu du canal de communication est filtré.
Interroger sur les sites non visités (certificats inconnus) : si
vous accédez à un nouveau site protégé par SSL (avec un certificat
inconnu), une boîte de dialogue vous permettant de sélectionner une
action s’affiche. Ce mode permet de créer une liste de certificats SSL
qui seront exclus de l’analyse.
Pour créer un profil utilisable pour des analyses futures, choisissez
Configuration avancée (F5) > Analyse‑ d’ordinateur à la demande.
Cliquez sur le bouton Profils... à droite de l’écran pour afficher la
liste des profils d’analyse existants et l’option permettant d’en créer
d’autres. La rubrique Configuration du moteur ThreatSense cidessous décrit chacun des paramètres d’analyse configurables. Elle
vous aidera à créer un profil d’analyse adapté à vos besoins.
Exemple :
imaginez que vous vouliez créer votre propre profil d’analyse et que la
configuration associée au profil Smart scan vous convienne en partie.
Vous ne souhaitez cependant pas analyser les fichiers exécutables
compressés par un compresseur d’exécutables ni les applications
potentiellement dangereuses et voulez appliquer un Nettoyage
strict. Dans la fenêtre Profils de configuration, cliquez sur le
boutonAjouter.... Entrez le nom du nouveau profil dans le champ
Nom du profil, puis sélectionnez Smart scan dans le menu déroulant
Ne pas analyser le protocole SSL : si cette option est activée, le
programme n’analysera pas les communications SSL.
S’il est impossible de vérifier le certificat à l’aide du magasin d’Autorités
de certification de racine de confiance
Interroger sur la validité de la certification - invite l’utilisateur
à choisir une action à exécuter.
Bloquer toute communication utilisant le certificat : met fin à la
connexion au site utilisant le certificat.
Si le certificat est non valide ou endommagé
Interroger sur la validité de la certification - invite l’utilisateur
à choisir une action à exécuter.
17
Bloquer toute communication utilisant le certificat : met fin à la
connexion au site utilisant le certificat.
Mémoire vive: détecte les menaces qui visent la mémoire vive du
système.
4.1.6.1.1
Secteurs d’amorçage : analyse les secteurs d’amorçage à la recherche
de virus dans l’enregistrement d’amorçage principal.
Certificats approuvés
Outre le magasin d’Autorités de certification de racine de confiance
intégré dans lequel ESET NOD32 Antivirus 4 conserve le certificat
approuvé, vous pouvez créer une liste personnalisée de certificats,
accessible dans Configuration (F5) > Filtrage de protocole > SSL >
Certificats approuvés.
4.1.6.1.2
Certificats exclus
La section Certificats exclus contient des certificats considérés comme
sûrs. Le programme ne vérifie pas le contenu des communications
chiffrées à l’aide des certificats indiqués dans cette liste. Il est
recommandé de n’installer que les certificats Web dont la sécurité est
garantie et pour lesquels aucun filtrage du contenu n’est nécessaire.
4.1.7
Configuration des paramètres du moteur ThreatSense
ThreatSense est une technologie qui comprend des méthodes de
détection de menaces complexes. C’est une technologie proactive
qui fournit également une protection durant les premières heures de
propagation d’une nouvelle menace. Elle utilise une combinaison de
plusieurs méthodes (analyse de code, émulation de code, signatures
génériques, signatures de virus) qui se conjuguent pour améliorer
sensiblement la sécurité du système. Le moteur d’analyse est capable
de vérifier plusieurs flux de données simultanément, maximisant
ainsi l’efficacité et le taux de détection. Cette technologie élimine avec
succès les root kits.
Fichiers : analyse tous les types de fichiers courants (programmes,
images, musiques, vidéos, bases de données, etc.).
Fichiers de messages : analyse les fichiers spéciaux contenant les
courriels.
Archives : analyse les fichiers compressés dans des archives
(.rar, .zip, .arj, .tar, etc.).
Archives à extraction automatique : analyse les fichiers contenus
dans des fichiers d’archive à extraction automatique, généralement
présentés avec une extension .exe.
Fichiers exécutables compressés par un compresseur
d’exécutables : ces fichiers (à la différence des types d’archives
standard) se décompriment en mémoire, comme les compacteurs
statiques standard (UPX, yoda, ASPack, FGS, etc.).
Les options de configuration de la technologie ThreatSense
permettent de préciser plusieurs paramètres d’analyse :
•
les types de fichiers et extensions à analyser
•
la combinaison de plusieurs méthodes de détection;
•
les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configurer…
situé dans n’importe quelle fenêtre de configuration de module qui
utilise la technologie ThreatSense (voir ci-dessous). Chaque scénario
de sécurité peut exiger une configuration différente. Sachant cela,
ThreatSense peut être configuré individuellement pour les modules de
protection suivants :
•
Protection en temps réel du système de fichiers
•
Contrôle des fichiers de démarrage du système
•
Protection du courrier
•
Protection de l’accès Web
•
Analyse de l’ordinateur à la demande
4.1.7.2
Options
La section Options permet de sélectionner les méthodes à utiliser lors
de la recherche d’infiltrations dans le système. Les options suivantes sont
disponibles :
Les paramètres ThreatSense sont très optimisés pour chaque module
et leur modification peut grandement affecter le fonctionnement du
système. Par exemple, en modifiant les paramètres pour toujours
analyser compacteurs exécutables ou pour autoriser ’heuristique
avancée dans la protection en temps réel du système de fichiers, vous
pouvez diminuer les performances du système (normalement, seuls
les fichiers nouvellement créés sont analysés par ces méthodes).
Il est donc recommandé de laisser les paramètres par défaut de
ThreatSense inchangés pour tous les modules à l’exception du module
Analyse de l’ordinateur.
4.1.7.1
Configuration des objets
La section Objets permet de définir les composants de l’ordinateur et
fichiers à analyser.
18
Signatures : l’option Signatures permet de détecter et d’identifier
de manière précise et fiable toute infiltration par son nom grâce aux
signatures de virus.
Heuristique: l’heuristique est un algorithme qui analyse l’activité
(malveillante) des programmes. Le principal avantage de la détection
heuristique est la possibilité de détecter de nouveaux logiciels
malveillants qui n’existaient pas précédemment ou ne figuraient pas
dans la liste des virus connus (base des signatures de virus).
Heuristique avancée: l’option Heuristique avancée désigne un
algorithme heuristique unique développé par ESET et optimisé pour
la détection de vers informatiques et de chevaux de Troie écrits dans
des langages de programmation de haut niveau. L’heuristique avancée
augmente sensiblement l’intelligence de détection du programme.
Logiciels espions/publicitaires/à risque : cette catégorie couvre
les logiciels qui recueillent diverses données confidentielles sur les
utilisateurs sans leur consentement éclairé. Cette catégorie inclut
également les logiciels qui affichent des publicités.
Applications potentiellement dangereuses : cette option couvre
les logiciels commerciaux légitimes. Elle inclut des programmes tels
que des outils d’accès à distance, raison pour laquelle cette option est
désactivée par défaut.
Applications potentiellement indésirables : ces applications
ne sont pas nécessairement malveillantes, mais peuvent affecter
négativement les performances de votre ordinateur. Ces applications
exigent généralement le consentement de l’utilisateur avant leur
installation. Si elles sont présentes sur votre ordinateur, votre
système se comportera différemment (par rapport à son état avant
l’installation). Les changements les plus significatifs concernent les
fenêtres contextuelles, l’activation et l’exécution de processus cachés,
l’utilisation accrue des ressources système, des changements dans les
résultats de recherche et des applications communiquant avec des
serveurs distants.
4.1.7.3
Nettoyage
Les paramètres de nettoyage déterminent le comportement de
l’analyseur lors du nettoyage des fichiers infectés. Trois niveaux de
nettoyage sont possibles :
Pas de nettoyage
Les fichiers infectés ne sont pas nettoyés automatiquement. Le
programme affiche alors une fenêtre d’avertissement et laisse
l’utilisateur choisir une action.
Niveau par défaut
Le programme tentera de nettoyer ou de supprimer automatiquement
tout fichier infecté. S’il n’est pas possible de sélectionner
automatiquement l’action correcte, le programme propose différentes
actions de suivi. Ce choix s’affiche également si une action prédéfinie
ne peut être exécutée.
Nettoyage strict
Le programme nettoie ou supprime tous les fichiers infectés
(y compris les archives). Les seules exceptions sont les fichiers
système. S’il n’est pas possible de les nettoyer, une fenêtre
d’avertissement s’affichera avec une proposition d’action.
Avertissement :
en mode Défaut, le fichier d’archive n’est entièrement supprimé que
si tous les fichiers qu’il contient sont infectés. S’il contient aussi des
fichiers légitimes, il n’est pas supprimé. Si un fichier d’archive infecté
est détecté en mode Nettoyage strict, le fichier entier est supprimé,
même s’il contient aussi des fichiers intacts.
4.1.7.4
Extensions
L’extension est la partie du nom de fichier située après le point.
Elle définit le type et le contenu du fichier. Cette section de la
configuration des paramètres ThreatSense permet de définir les types
de fichiers à analyser.
Par défaut, tous les fichiers sont analysés, quelle que soit leur
extension. N’importe quelle extension peut être ajoutée à la liste des
fichiers exclus de l’analyse. Si l’option Analyser tous les fichiers est
désactivée, la liste change et affiche toutes les extensions de fichiers
actuellement analysées. Les boutons Ajouter et Retirer permettent
d’activer ou d’empêcher l’analyse des fichiers portant certaines
extensions.
Pour activer l’analyse de fichiers sans extension, activez l’option
Analyser les fichiers sans extension.
L’exclusion de fichiers de l’analyse peut être utile lorsque certains types
de fichiers provoquent un fonctionnement incorrect du programme
utilisant ces extensions. Par exemple, il peut être judicieux d’exclure les
extensions .edb, .eml et .tmp si vous utilisez le serveur MS Exchange.
4.1.7.5
Limites
La section Limites permet de préciser la taille maximale des objets et
les niveaux d’imbrication des archives à analyser :
Taille maximale de l’objet (en octets)
Définit la taille maximale des objets à analyser. Le module antivirus
donné n’analysera alors que les objets d’une taille inférieure à celle
indiquée. Il n’est pas recommandé de modifier la valeur par défaut et
il n’y a généralement aucune raison de le faire. Cette option ne devrait
être modifiée que par des utilisateurs expérimentés ayant des raisons
précises d’exclure de l’analyse des objets de plus grande taille.
Durée d’analyse maximale pour l’objet (en s)
Précise la valeur de temps maximale pour l’analyse d’un objet. Si la
valeur de ce champ a été définie par l’utilisateur, le module antivirus
cessera d’analyser un objet une fois ce temps écoulé, que l’analyse soit
finie ou non.
Niveau d’imbrication des archives
Précise la profondeur maximale de l’analyse des archives. Il n’est
pas recommandé de modifier la valeur par défaut (10). Dans des
circonstances normales, il n’y a aucune raison de le faire. Si l’analyse
prend fin prématurément en raison du nombre d’archives imbriquées,
l’archive restera non vérifiée.
Taille maximale du fichier dans l’archive (octets)
Cette option permet de préciser la taille maximale des fichiers
19
(après extraction) à analyser contenus dans les archives. Si, pour
cette raison, l’analyse d’une archive prend fin prématurément, cette
dernière restera non vérifiée.
4.1.7.6
•
Ouvrez ESET NOD32 Antivirus et cliquez sur Analyse de
l’ordinateur.
•
Cliquez sur Analyse standard
(pour plus d’information, reportez-vous à la section Analyse
standard).
•
Lorsque l’analyse est terminée, consultez le journal pour connaître
le nombre de fichiers analysés, infectés et nettoyés.
Autre
Analyser les flux de données alternatifs
Les flux de données alternatifs (ADS) utilisés par le système de
fichiers NTFS sont des associations de fichiers et de dossiers que les
techniques d’analyse ordinaires ne permettent pas de détecter. De
nombreuses infiltrations tentent d’éviter la détection en se faisant
passer pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible
Toute séquence d’analyse consomme une certaine quantité de
ressources système. Si vous utilisez des programmes qui exigent
beaucoup de ressources système, vous pouvez activer l’analyse en
arrière-plan à faible priorité de manière à réserver des ressources pour
vos applications.
Journaliser tous les objets
Si cette option est sélectionnée, le journal affichera tous les fichiers
analysés, même ceux qui ne sont pas infectés.
Conserver la date et l’heure du dernier accès
Activez cette option pour conserver l’heure d’accès d’origine des
fichiers analysés au lieu de la mettre à jour (par ex., pour l’utiliser avec
des systèmes de sauvegarde de données).
Si vous ne souhaitez analyser qu’une certaine partie de votre disque,
cliquez sur Analyse personnalisée et sélectionnez des cibles à
analyser.
À titre d’exemple général de la façon dont les infiltrations sont traitées
dans ESET NOD32 Antivirus, supposons qu’une infiltration est détectée
par la protection en temps réel du système de fichiers qui utilise le
niveau de nettoyage par défaut. Le programme tente de nettoyer
ou de supprimer le fichier. Si aucune action n’est prédéfinie pour le
module de protection en temps réel, vous êtes invité à sélectionner
une option dans une fenêtre d’avertissement. Généralement, les
options Nettoyer, Supprimer et Laisser sont disponibles. Il n’est pas
recommandé de sélectionner Laisser car les fichiers infectés seraient
alors conservés tels quels. La seule exception concerne les situations
où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur.
L’optimisation intelligente
L’optimisation intelligente est conçue pour simplifier l’analyse de votre
système. Une fois activée, cette option accroit la vitesse d’analyse,
sans diminuer ou nuire à la sécurité de votre système
Faire défiler le journal de l’analyse
Cette option permet d’autoriser ou d’interdire le défilement du journal.
Si cette option est sélectionnée, l’information défile vers le haut dans
la fenêtre d’affichage.
Afficher la notification de fin d’analyse dans une fenêtre séparée
Ouvre une fenêtre indépendante contenant l’information sur les
résultats d’analyse.
Nettoyage et suppression
Utilisez le nettoyage si un fichier sain a été attaqué par un virus qui
y a joint du code malveillant. Dans ce cas, tentez d’abord de nettoyer
le fichier infecté pour le restaurer à son état d’origine. Si le fichier se
compose uniquement de code malveillant, il sera supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus
du système, il ne sera généralement supprimé qu’après avoir été
déverrouillé (normalement après un redémarrage du système).
4.1.8
Une infiltration est détectée
Des infiltrations peuvent prendre utiliser différents points d’entrée
pour attaquer votre système, y compris pages Web, dossiers partagés,
courriel ou périphériques amovibles (USB, disques externes, CD, DVD,
disquettes, etc.).
Si votre ordinateur montre des signes d’une infection par un
logiciel malveillant (ralentissement, blocages fréquents, etc.), nous
recommandons d’effectuer les opérations suivantes :
20
Suppression de fichiers dans des archives
En mode de nettoyage par Défaut, l’archive entière n’est supprimée
que si elle ne contient que des fichiers infectés et aucun fichier
sain. Autrement dit, les archives ne sont pas supprimées si elles
contiennent aussi des fichiers sains. Cependant, soyez prudent si vous
choisissez un nettoyage strict : dans ce mode, l’archive sera supprimée
si elle contient au moins un fichier infecté, quel que soit l’état des
autres fichiers qu’elle contient.
4.2 Mise à jour du programme
La mise à jour régulière du système est le fondement de base pour
garantir le niveau de sécurité maximum fourni par ESET NOD32
Antivirus. Le module de mise à jour s’assure que le programme
est toujours à jour. Cela se fait de deux manières : en mettant
à jour la base de signatures de virus et en mettant à jour toutes
les composantes installées du système.
Les données sur l’état de la mise à jour actuelle s’obtiennent en
cliquant sur Mise à jour, y compris la version actuelle de la base de
signatures de virus et la nécessité ou non d’une mise à jour. En outre,
l’option permettant d’activer le processus de mise à jour immédiate
devient disponible (Mettre à jour la base de signatures de virus),
ainsi que des options de base pour la configuration des mises à jour,
telles que le nom d’utilisateur et mot de passe pour l’accès aux
serveurs de mise à jour d’ESET.
La fenêtre d’information contient également la date et l’heure de la
dernière mise à jour réussie, et le numéro de la base des signatures
de virus. Cette indication numérique est un lien actif vers le site Web
d’ESET qui permet de voir toutes les signatures ajoutées dans cette
mise à jour.
Utilisez le lien Enregistrement pour ouvrir le formulaire permettant
d’enregistrer votre nouvelle licence auprès d’ESET afin de recevoir vos
données d’authentification par courriel.
La liste des serveurs de mise à jour actuellement existants est
accessible par le biais du menu déroulant Serveur de mise à jour.
Pour ajouter un nouveau serveur de mise à jour, cliquez sur Modifier
dans la section Mettre à jour les paramètres du profil sélectionné,
puis cliquez sur le bouton Ajouter.
L’authentification d’accès aux serveurs de mise à jour se fait par le
nom d’utilisateur et le mot de passe qui ont été générés et envoyés
à l’utilisateur par ESET après l’achat de licence du produit.
4.2.1.1
Profils de mise à jour
L’utilisateur peut créer des profils de mise à jour qu’il utilisera avec les
tâches de mise à jour en fonction de la configuration de mise à jour.
Les propriétés des connexions Internet étant variables, la création
de différents profils de mise à jour devient particulièrement utile
pour les utilisateurs mobiles. En modifiant la tâche de mise à jour, les
utilisateurs mobiles peuvent préciser un profil alternatif lorsque la
mise à jour n’est pas possible à l’aide de la configuration précisée dans
Mon Profil.
REMARQUE : ESET fournit le nom d’utilisateur et le mot de passe
après l’achat d’ESET NOD32 Antivirus.
4.2.1
Le menu déroulant Profil sélectionné affiche le profil actuellement
sélectionné. Par défaut, cette entrée est configurée sur l’option Mon
profil. Pour créer un nouveau profil, cliquez sur le bouton Profils puis
sur le bouton Ajouter et entrez votre Nom de profil. Lors de création
d’un nouveau profil, il est possible de copier les paramètres d’un
profil existant en le sélectionnant dans le menu déroulant Copier les
paramètres depuis le profil.
Configuration des mises à jour
La section de la configuration des mises à jour permet de préciser
l’information sur les sources des mises à jour, telles que les serveurs
de mise à jour et les données d’authentification donnant accès à ces
serveurs. Par défaut, le champ Serveur de mise à jour indique Choisir
automatiquement. Ce paramètre garantit que les fichiers de mise à
jour seront téléchargés à partir du serveur ESET avec une charge de
trafic minimale pour le réseau. Les options de configuration des mises
à jour sont disponibles dans Options de configuration avancées (F5),
sous Mise à jour.
Dans le profil, vous pouvez préciser le serveur de mises à jour auquel
le programme se connectera pour télécharger les mises à jour; tout
serveur de la liste des serveurs disponibles peut être utilisé ou vous
pouvez en ajouter un nouveau. La liste des serveurs de mise à jour
existants est accessible par le biais du menu déroulant Serveur de
21
mise à jour. Pour ajouter un nouveau serveur de mise à jour, cliquez
sur Modifier… dans la section Mettre à jour les paramètres du profil
sélectionné, puis cliquez sur le bouton Ajouter.
4.2.1.2
Configuration avancée des mises à jour
Pour voir la section Configuration avancée des mises à jour, cliquez
sur le bouton Configuration. Les options de Configuration avancée
des mises à jour comprennent la configuration du Mode de mise
à jour, Proxy HTTP, Réseau local et Miroir.
4.2.1.2.1
Mode de mise à jour
L’onglet Mode de mise à jour contient les options concernant la mise
à jour des composants du programme.
Dans la section Mise à jour des composants du programme, trois
options sont disponibles :
•
Ne jamais mettre à jour les composants du programme
•
Toujours mettre à jour les composants du programme
•
Demander avant de télécharger les composants du
programme
La sélection de l’option Ne jamais mettre à jour les composants
du programme garantit qu’après la publication par ESET d’une
nouvelle mise à jour d’un composant du programme, ce dernier ne
sera pas téléchargé et aucune mise à jour n’aura lieu sur le poste de
travail en question. L’option Toujours mettre à jour les composants
du programme signifie que les mises à jour des composants du
programme seront effectuées chaque fois qu’une nouvelle version
est disponible dans les serveurs de mise à jour d’ESET et que les
composants du programme seront au même niveau que la version
téléchargée.
Sélectionnez la troisième option, Demander avant de télécharger
des composants de programme pour vous assurer que le programme
demandera à l’utilisateur une confirmation avant de télécharger
les mises à jour des composants du programme. Dans ce cas, une
boîte de dialogue contenant de l’information sur les mises à jour
disponibles pour les composants du programme offrant le choix avec
de les accepter ou de les refuser s’affichera. Si l’utilisateur les accepte,
les mises à jour seront téléchargées et les nouveaux composants du
programme seront alors installés.
Après l’installation de mises à jour de composants du programme, il
faut redémarrer le système afin d’obtenir la pleine fonctionnalité de
tous les modules. La section Redémarrer après une mise à jour des
composants du programme permet à l’utilisateur de choisir l’une des
trois options suivantes :
•
Ne jamais redémarrer l’ordinateur
•
Proposer le redémarrage de l’ordinateur si nécessaire
•
Si nécessaire, redémarrer l’ordinateur sans notification
L’option par défaut de redémarrage est Proposer le redémarrage
de l’ordinateur si nécessaire. La sélection des options les plus
appropriées pour les mises à jour des composants du programme
de l’onglet Mode de mise à jour dépend de chaque poste de travail,
puisque c’est sur ces postes que les paramètres vont être appliqués.
Notez qu’il existe des différences entre les postes de travail et les
serveurs. Par ex., le redémarrage d’un serveur automatiquement
après une mise à jour du programme peut entraîner d’importants
dommages.
4.2.1.2.2
Serveur mandataire
Pour accéder aux options du serveur mandataire pour un profil de
mise à jour donné : Cliquez sur Mise à jour dans l’arborescence de
configuration avancée (F5), puis cliquez sur le bouton Configuration
à droite de Configuration avancée des mises à jour. Cliquez sur
l’onglet Proxy HTTP et sélectionnez une des trois options suivantes :
•
Utiliser les paramètres globaux du serveur mandataire
•
Ne pas utiliser de serveur mandataire
•
Connexion par le biais d’un serveur mandataire (connexion
définie par Propriétés de la connexion)
L’option Utiliser les paramètres globaux de serveur mandataire
utilise toutes les options de configuration du serveur mandataire
déjà indiquées dans la branche Divers > serveur mandataire de
l’arborescence de la configuration avancée.
L’option par défaut de mise à jour des composants du programme est
Demander avant de télécharger les composants du programme.
Sélectionnez l’option Ne pas utiliser de serveur mandataire pour
définir explicitement qu’aucun serveur mandataire ne sera utilisé pour
la mise à jour d’ESET NOD32 Antivirus.
L’option Connexion par un serveur mandataire doit être choisie si la
mise à jour d’ESET NOD32 Antivirus utilise un serveur mandataire et
22
que celui-ci diffère du serveur mandataire précisé dans les paramètres
globaux (Divers > Serveur mandataire). Si c’est le cas, des paramètres
doivent être précisés : l’adresse du serveur mandataire, le port de
communication et, si nécessaire, le nom d’utilisateur et le mot de
passe du serveur mandataire.
Cette option doit également être sélectionnée si les paramètres du
serveur mandataire ne sont pas définis globalement, mais qu’ESET
NOD32 Antivirus doit se connecter à un serveur mandataire pour les
mises à jour.
L’option par défaut pour le serveur mandataire est Utiliser les
paramètres globaux du serveur mandataire.
4.2.1.2.3
Connexion au réseau local
Lors de mise à jour depuis un serveur local sous le système
d’exploitation NT, une authentification est exigée par défaut pour
chaque connexion réseau. Dans la plupart des cas, un compte
système local n’a pas suffisamment de droits pour accéder au dossier
miroir (contenant des copies des fichiers de mise à jour). Dans ce cas,
entrez un nom d’utilisateur et un mot de passe dans la section de
configuration des mises à jour ou précisez le compte existant avec
lequel le programme peut accéder au serveur de mise à jour (miroir).
Pour configurer ce compte, cliquez sur l’onglet Réseau local. La
section Se connecter au réseau comme offre les options Compte
système (par défaut), Utilisateur actuel et Utilisateur spécifié.
Sélectionnez l’option Compte système pour utiliser le compte système
pour l’authentification. Normalement, aucune authentification n’aura
lieu si des données d’authentification ne sont pas inscrites dans la section
de configuration des mises à jour.
Pour s’assurer que le programme s’autorise à utiliser le compte de
l’utilisateur actuellement connecté, sélectionnez Utilisateur actuel.
L’inconvénient de cette solution est que le programme est dans
l’impossibilité de se connecter au serveur de mise à jour si aucun
utilisateur n’est actuellement connecté.
Sélectionnez Utilisateur spécifié si vous voulez que le programme
utilise un compte utilisateur précisé pour l’authentification.
L’option par défaut pour une connexion au réseau local est Compte
système.
Avertissement :
Si l’une des options Utilisateur actuel ou Utilisateur spécifié est
activée, une erreur peut se produire si l’identité du programme
pour l’utilisateur souhaité. C’est pour cela que nous recommandons
d’entrer les données d’authentification du réseau local dans la section
de configuration des mises à jour. Dans cette section, les données
d’authentification doivent être entrées comme suit : nom_de_
domaine\utilisateur (dans le cas d’un groupe de travail, entrez nom_
de_groupe_de_travail\utilisateur) et le mot de passe de l’utilisateur.
La mise à jour de la version HTTP du serveur local n’exige aucune
authentification.
4.2.1.2.4
Création de copies de mises à jour - miroir
ESET NOD32 Antivirus Business Edition permet de créer des copies
des fichiers de mises à jour qui peuvent être utilisées pour la mise à
jour d’autres postes de travail du réseau. La mise à jour des postes de
travail à partir d’un miroir optimise l’équilibre de la charge réseau et
libère les bandes passantes des connexions Internet.
Les options de configuration du serveur miroir local sont accessibles
(après l’ajout d’une clé de licence valide dans le gestionnaire de
licences situé dans la section de configuration avancée d’ESET Smart
Security Business Edition) dans la section Configuration avancée des
mises à jour (pour accéder à cette section, appuyez sur F5 et cliquez
sur Mise à jour dans l’arborescence de la configuration avancée.
Cliquez sur le bouton Configuration à côté de Configuration avancée
des mises à jour, puis sélectionnez l’onglet Miroir).
La première étape de configuration du miroir consiste à cocher la case
Créer un miroir de mise à jour. Cette option active d’autres options
de configuration du miroir, telles que la manière d’accéder aux fichiers
de mise à jour et le chemin des fichiers miroir.
Les méthodes d’activation du miroir sont décrites en détail dans le
chapitre suivant « Différentes méthodes d’accès au miroir ». Pour
le moment, notez qu’il existe deux méthodes différentes d’accès au
miroir : le dossier miroir des fichiers de mise à jour peut être considéré
comme un dossier réseau partagé, ou le miroir peut être considéré
comme un serveur HTTP.
Le dossier réservé aux fichiers de mise à jour du miroir peut être défini
dans la section Dossier de stockage des fichiers miroir. Cliquez
sur Dossier... pour au dossier souhaité sur l’ordinateur local ou à un
dossier réseau partagé. Si une autorisation pour le dossier indiqué est
requise, les données d’authentification doivent être entrées dans les
champs Nom d’utilisateur et Mot de passe. Le nom d’utilisateur et
le mot de passe doivent être entrés sous le format Domaine/Utilisateur
23
ou Workgroup/Utilisateur. N’oubliez pas d’entrer les mots de passe
correspondants.
•
Lors de la configuration détaillée du miroir, l’utilisateur peut
également préciser les différentes langues des copies de mises à jour
à télécharger. La configuration de la langue de version est accessible
dans la section Fichiers > Versions disponibles.
Accès au miroir par le partage des systèmes
4.2.1.2.4.1 Mise à jour à partir du miroir
Deux méthodes différentes permettent d’accéder au miroir : le dossier
miroir des fichiers de mise à jour peut être considéré comme un
dossier réseau partagé, ou le miroir peut être considéré comme un
serveur HTTP.
Accès au miroir au moyen de serveur HTTP interne
C’est la configuration par défaut, précisée dans la configuration
prédéfinie du programme. Pour permettre l’accès au miroir par le biais
du serveur HTTP, choisissez Configuration avancée des mises à jour
(onglet Miroir), puis activez l’option Créer un miroir de mise à jour.
Dans la section Configuration avancée de l’onglet Miroir, vous
pouvez préciser le Port du serveur d’écoute du serveur HTTP ainsi que
le type d’Authentification utilisée par le serveur HTTP. Par défaut,
le port de serveur défini est 2221. L’option Authentification définit
la méthode d’authentification utilisée pour accéder aux fichiers de
mise à jour. Les options suivantes sont disponibles : NONE, Basic
et NTLM. Sélectionnez Basic pour utiliser le codage base64 avec
l’authentification de base du nom d’utilisateur et mot de passe.
L’option NTLM fournit un codage utilisant une méthode de codage
fiable. L’utilisateur créé sur le poste de travail partageant les fichiers
de mise à jour sera utilisé pour l’authentification. L’option par défaut
est NONE. Elle autorise l’accès aux fichiers des mises à jour sans exiger
d’authentification.
Avertissement :
L’accès aux fichiers des mises à jour au moyen du serveur HTTP exige
que le dossier Miroir soit sur le même ordinateur que l’instance ESET
NOD32 Antivirus qui l’a créé.
Sélectionnez dans la liste Serveur de mise à jour le serveur
nouvellement ajouté.
Un dossier partagé doit d’abord être créé sur un lecteur local ou
réseau. Lors de la création du dossier pour le miroir, il est nécessaire
d’octroyer le droit d’écriture à l’utilisateur qui va sauvegarder les
fichiers dans le dossier et le droit de lecture aux utilisateurs qui vont
utiliser le dossier Miroir pour la mise à jour d’ESET NOD32 Antivirus.
Configurez ensuite l’accès au miroir dans la section Configuration
avancée des mises à jour (onglet Miroir) en désactivant l’option
Fournir les fichiers de mise à jour par le biais d’un serveur HTTP
interne. Cette option est activée par défaut lors de l’installation du
programme.
Si le dossier partagé se trouve sur un autre ordinateur du réseau, une
authentification est nécessaire pour accéder à l’autre ordinateur. Pour
préciser les données d’authentification, accédez à la configuration
avancée dans ESET NOD32 Antivirus (F5) et cliquez sur la branche Mise
à jour. Cliquez sur le bouton Configuration..., puis cliquez sur l’onglet
Réseau local. Ce paramètre est le même que celui de la mise à jour,
comme décrit dans le chapitre « Se connecter au réseau local ».
Une fois la configuration du miroir terminée, continuez avec les postes
de travail en précisant \\UNC\CHEMIN comme serveur de mise à jour.
Voici comment réaliser cette opération :
•
Ouvrez la configuration avancée dans ESET NOD32 Antivirus et
cliquez sur Mise à jour
•
Cliquez sur Modifier… en regard de Serveur de mise à jour et
ajoutez un nouveau serveur dans le format \\UNC\CHEMIN.
•
Sélectionnez dans la liste Serveur de mise à jour le serveur
nouvellement ajouté.
REMARQUE : Pour un fonctionnement correct, le chemin du dossier
miroir doit être précisé comme un chemin UNC. Les mises à jour
à partir de lecteurs mappés peuvent ne pas fonctionner.
4.2.1.2.4.2 Résolution des problèmes de miroir de mise à jour
Différents types de problèmes peuvent se produire selon la méthode
d’accès au dossier miroir. Dans la plupart des cas, les causes des
problèmes lors d’une mise à jour depuis un serveur miroir sont dus
à une ou à plusieurs des causes suivantes : une mauvaise spécification
des options du dossier miroir, des données d’authentification
incorrectes pour l’accès au dossier miroir, une mauvaise configuration
des postes de travail qui cherchent à télécharger des fichiers de mise
à jour du miroir ou une combinaison de ces raisons. Nous donnons ici
un aperçu des problèmes les plus fréquents qui peuvent se produire
lors d’une mise à jour depuis le miroir :
Une fois la configuration du miroir terminée, ajoutez aux postes
de travail un nouveau serveur de mise à jour dans le format http://
adresse_IP_de_votre_serveur:2221. Pour ce faire, exécutez les étapes
suivantes :
•
Ouvrez Configuration avancée d’ESET NOD32 Antivirus, puis
cliquez sur la branche Mise à jour.
•
Cliquez sur Modifier… à droite du menu déroulant Serveur de
mise à jour, puis ajoutez un nouveau serveur au format suivant :
http://adresse_IP_de_votre_serveur:2221
24
•
ESET NOD32 Antivirus signale une erreur de connexion au
serveur miroir : probablement causée par un serveur de mise
à jour incorrect (chemin réseau du dossier miroir) à partir duquel
les postes de travail locaux téléchargent les mises à jour. Pour
vérifier le dossier, cliquez sur le menu Démarrer de Windows,
cliquez sur Exécuter, entrez le nom du dossier et cliquez sur OK.
Le contenu du dossier doit s’afficher.
•
ESET NOD32 Antivirus exige un nom d’utilisateur et un mot
de passe : probablement causée par l’entrée, dans la section
mise à jour, de données d’authentification incorrectes (Nom
d’utilisateur et Mot de passe). Le nom d’utilisateur et le mot de
passe donnent accès au serveur de mise à jour, à partir duquel
le programme se télécharge. Assurez-vous que les données
d’authentification sont correctes et entrées dans le bon format.
Par exemple, Domaine/Nom d’utilisateur ou Workgroup/Nom
d’utilisateur, en plus des mots de passe correspondants. Si le
serveur miroir est accessible à « Tous », cela ne veut pas dire que
tout utilisateur est autorisé à y accéder. « Tous » ne veut pas dire
tout utilisateur non autorisé, cela veut tout simplement dire
que le dossier est accessible à tous les utilisateurs du domaine.
Par conséquent, si le dossier est accessible à « Tous », un nom
d’utilisateur du domaine et un mot de passe sont toujours
nécessaires et doivent être entrés dans la configuration des mises
à jour.
•
ESET NOD32 Antivirus signale une erreur de connexion au
serveur miroir : le port de communication défini pour l’accès au
miroir par le biais de HTTP est bloqué.
4.2.2
Comment créer des tâches de mise à jour
Les mises à jour peuvent être déclenchées manuellement en cliquant
sur Mettre à jour la base des signatures de virus dans la fenêtre
d’information affichée après avoir cliqué sur Mise à jour dans le menu
principal.
Les mises à jour peuvent également être réalisées par des tâches
planifiées : pour configurer une tâche planifiée, cliquez sur Outils >
Planificateur. Par défaut, les tâches suivantes sont activées dans ESET
NOD32 Antivirus :
•
Vérification automatique des fichiers de démarrage
•
Vérification automatique des fichiers de démarrage après la
mise à jour réussie de la base des signatures de virus
Pour modifier la configuration d’une tâche planifiée existante (par
défaut ou définie par l’utilisateur), cliquez avec le bouton droit sur la
tâche, puis cliquez sur Modifier..., ou sélectionnez la tâche à modifier,
puis cliquez sur le bouton Modifier.
4.3.1
Pourquoi planifier des tâches
Le planificateur gère et lance les tâches planifiées qui ont été
préalablement définies et configurées. La configuration et les
propriétés de ces tâches comprennent des informations telles que
la date et l’heure ainsi que des profils particuliers à utiliser pendant
l’exécution de ces tâches.
4.3.2
Création de nouvelles tâches
•
Mise à jour automatique régulière
Pour créer une nouvelle tâche dans le Planificateur, cliquez sur le
bouton Ajouter... ou cliquez avec le bouton droit et sélectionnez
Ajouter... dans le menu contextuel. Cinq types de tâches planifiées
sont disponibles :
•
Mise à jour automatique après une connexion commutée
•
Exécuter une application externe
•
Mise à jour automatique après ouverture de session utilisateur
•
Maintenance des journaux
Chacune des tâches de mise à jour susmentionnées peut être
modifiée selon les besoins de l’utilisateur. Outre les tâches de mise à
jour par défaut, vous pouvez en créer des nouvelles avec vos propres
paramètres. Pour plus d’information sur la création et la configuration
des tâches de mise à jour, consulter le chapitre « Planificateur ».
•
Contrôle des fichiers de démarrage du système
•
Analyse de l’ordinateur à la demande
•
Mettre à jour
4.3
Planificateur
Le planificateur est disponible lorsque l’option Mode Avancé est
activée dans ESET NOD32 Antivirus. Le Planificateur se trouve dans
le menu principal d’ESET NOD32 Antivirus sous Outils. Il contient
un résumé de toutes les tâches planifiées avec leurs propriétés de
configuration telles que la date prédéfinie, l’heure et le profil d’analyse
utilisé.
Puisque les tâches Analyse de l’ordinateur à la demande et Mise
à jour sont les tâches planifiées les plus utilisées, nous allons expliquer
comment ajouter une nouvelle tâche de mise à jour.
Par défaut, les tâches planifiées suivantes s’affichent dans le
Planificateur :
•
Mise à jour automatique régulière
•
Mise à jour automatique après une connexion commutée
•
Mise à jour automatique après ouverture de session utilisateur
Dans le menu déroulant Tâche planifiée, sélectionnez Mise
à jour. Cliquez sur Suivant, puis entrez le nom de la tâche dans
le champ Nom de la tâche. Sélectionnez la fréquence de la tâche.
Les options suivantes sont disponibles : Une fois, Plusieurs fois,
Quotidiennement, Chaque semaine et Déclenchée par un
événement. Selon la fréquence sélectionnée, vous serez invité
à choisir différents paramètres de mise à jour. On peut définir ensuite
l’action à entreprendre si la tâche ne peut pas être effectuée ou
terminée à l’heure planifiée. Les trois options suivantes sont
disponibles :
•
Attendre le prochain moment planifié
•
Exécuter la tâche dès que possible
25
•
Exécuter la tâche immédiatement si le temps écoulé depuis la
dernière exécution dépasse l’intervalle spécifié (l’intervalle peut
être défini immédiatement à l’aide de la zone de liste déroulante
Intervalle de la tâche).
La prochaine étape affiche un résumé de la tâche planifiée courante;
l’option Exécuter la tâche avec des paramètres spécifiques doit être
automatiquement activée. Cliquez sur le bouton Terminer.
Une boîte de dialogue s’ouvre pour permettre de choisir le profil
à utiliser avec la tâche planifiée. L’utilisateur peut préciser ici un profil
primaire et un secondaire qui sera utilisé si la tâche ne peut s’exécuter
à l’aide du profil primaire. Confirmez en cliquant sur OK de la fenêtre
Profils de mise à jour. La nouvelle tâche planifiée sera ajoutée à la liste
des tâches planifiées.
4.4 Quarantaine
contextuel offre également l’option Restaurer vers, qui permet de
restaurer des fichiers vers un emplacement autre que celui d’origine
dont ils ont été supprimés.
REMARQUE :
Si le programme place en quarantaine, par erreur, un fichier inoffensif,
il convient de le restaurer, de l’exclure de l’analyse et de l’envoyer
à l’assistance à la clientèle d’ESET
4.4.3
Soumission de fichiers de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté
par le programme ou si un fichier a été considéré infecté par erreur
(par ex., par l’analyse heuristique du code) et placé en quarantaine,
envoyez ce fichier au laboratoire d’ESET. Pour soumettre un fichier de
la quarantaine, cliquez dessus avec le bouton droit, puis, dans le menu
contextuel, sélectionnez Soumettre pour analyse.
La principale fonction de la quarantaine est le stockage en toute
sécurité des fichiers infectés. Les fichiers doivent être placés en
quarantaine s’ils ne peuvent pas être nettoyés, s’il est risqué ou
déconseillé de les supprimer ou s’ils sont erronément détectés par
ESET NOD32 Antivirus.
L’utilisateur peut placer n’importe quel fichier en quarantaine. Il est
conseillé de le faire si un fichier se comporte de façon suspecte
mais n’a pas été détecté par l’analyseur antivirus. Les fichiers en
quarantaine peuvent être soumis pour analyse au laboratoire d’ESET.
4.5 Fichiers journaux
Les fichiers journaux contiennent tous les événements importants qui
se sont produits et fournissent un aperçu des menaces détectées. La
consignation représente un puissant outil pour l’analyse système, la
détection de menaces et le dépannage. La consignation est toujours
active en arrière-plan sans interaction de l’utilisateur. Les données
sont enregistrées en fonction des paramètres actifs de verbosité. Il est
possible de consulter les messages texte et les journaux directement
à partir de l’environnement ESET NOD32 Antivirus ainsi que d’archiver
les journaux.
Les fichiers dans le dossier de quarantaine peuvent être visualisés
dans une table qui affiche la date et l’heure de mise en quarantaine,
le chemin de l’emplacement d’origine du fichier infecté, sa taille en
octets, la raison (ajouté par l’utilisateur…), et le nombre de menaces
(par ex., s’il s’agit d’une archive contenant plusieurs infiltrations).
Les fichiers journaux sont accessibles à partir de la fenêtre principale
d’ESET NOD32 Antivirus en cliquant sur Outils > Fichiers journaux.
Sélectionnez le type de journal souhaité à l’aide du menu déroulant
Journal en haut de la fenêtre. Les journaux suivants sont disponibles :
1.
4.4.1
Mise de fichiers en quarantaine
Le programme envoie automatiquement les fichiers supprimés
en quarantaine (si l’utilisateur n’a pas annulé cette option dans la
fenêtre d’alerte). Au besoin, vous pouvez mettre manuellement
en quarantaine tout fichier suspect en cliquant sur le bouton
Quarantaine.... Dans ce cas, le fichier d’origine n’est pas supprimé de
son emplacement initial. Il est également possible d’utiliser le menu
contextuel à cette fin; cliquez avec le bouton droit dans la fenêtre de
quarantaine et sélectionnez la fonction Ajouter.
4.4.2
Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur
emplacement d’origine. Pour ce faire, utilisez la fonctionnalité
Restaurer du menu contextuel après avoir cliqué avec le bouton
droit sur un fichier indiqué dans la fenêtre de quarantaine. Le menu
26
Menaces détectées : cette option permet de consulter toutes les
données sur les événements liés à la détection d’infiltrations.
2. Événements : cette option permet aux administrateurs système
et aux utilisateurs de résoudre des problèmes. Toutes les
actions importantes exécutées par ESET NOD32 Antivirus sont
enregistrées dans les journaux des événements.
3. Analyse de l’ordinateur à la demande : les résultats de
toutes les analyses effectuées sont affichés dans cette fenêtre.
Double‑cliquez sur n’importe quelle entrée pour afficher les détails
de l’analyse à la demande correspondante.
4.6 Interface utilisateur
Vous pouvez copier les données affichées dans chaque section
directement dans le Presse-papiers en sélectionnant l’entrée
souhaitée, puis en cliquant sur Copier. Vous pouvez sélectionner
plusieurs entrées à l’aide des touches Ctrl et Maj.
4.5.1
Maintenance des journaux
La configuration de la consignation d’ESET NOD32 Antivirus est
accessible à partir de la fenêtre principale du programme. Cliquez sur
Configuration > Accéder à l’arborescence de configuration avancée
complète... > Outils > Fichiers journaux. Vous pouvez préciser les
options suivantes pour les fichiers journaux :
•
Supprimer automatiquement les entrées : les entrées de
journal plus anciennes que le nombre de jours précisé sont
automatiquement supprimées.
•
Optimiser automatiquement les fichiers journaux : permet
la défragmentation automatique des fichiers journaux si le
pourcentage d’enregistrements inutilisés a été dépassé.
•
Niveau de détails minimum dans les journaux : préciser le
niveau minimal de verbosité des journaux. Options disponibles :
–
Erreurs critiques : consigne uniquement les erreurs critiques
(erreurs produites au lancement de la Protection antivirus, etc.).
–
Erreurs : seuls les messages « Erreur de téléchargement de
fichier » et les erreurs critiques sont consignés.
–
Avertissements : enregistre toutes les erreurs critiques et les
messages d’avertissement.
–
Entrées informationnelles : consigne tous les messages
d’information, y compris les mises à jour réussies et toutes les
entrées ci-dessus.
–
Entrées de diagnostic : consigne toute l’information
nécessaire pour un réglage détaillé du programme ainsi que
tous les enregistrements ci-dessus.
La configuration de l’interface utilisateur d’ESET NOD32 Antivirus
peut être modifiée de façon à ce que l’utilisateur puisse ajuster
l’environnement de travail selon ses besoins. Ces options de
configuration sont accessibles dans la branche Interface utilisateur
de l’arborescence de la configuration avancée ESET NOD32 Antivirus.
La section Éléments de l’interface utilisateur permet de basculer
vers le mode avancé. Le mode avancé affiche des paramètres détaillés
et des commandes supplémentaires pour ESET NOD32 Antivirus.
L’option Interface utilisateur graphique doit être désactivée si les
éléments graphiques réduisent la performance de l’ordinateur ou
causent d’autres problèmes. L’interface utilisateur graphique devra
peut-être aussi être désactivée pour les utilisateurs malvoyants, car
elle peut créer un conflit avec les applications spéciales utilisées pour
la lecture de textes affichés à l’écran.
Pour désactiver l’écran de démarrage d’ESET NOD32 Antivirus,
désactivez l’option Afficher l’écran de démarrage.
En haut de la fenêtre principale d’ESET NOD32 Antivirus, se trouve
un menu standard qui peut être activé ou désactivé en fonction de
l’option Utiliser le menu standard.
Si l’option Afficher les infobulles est activée, une petite description de
toute option sera affichée si le curseur est placé au-dessus de l’option.
L’option Sélectionner l’élément de contrôle actif oblige le système
à mettre en surbrillance tout élément qui se trouve sous la zone active
du curseur de la souris. L’élément en surbrillance sera activé d’un clic
de souris.
Pour augmenter ou diminuer la vitesse des effets animés, sélectionnez
l’option Contrôles animés et déplacez le curseur Vitesse vers la
gauche ou la droite.
Pour permettre l’utilisation d’icônes animées affichant la
progression de diverses opérations, sélectionnez la case à cocher
Icônes animées.... Si vous souhaitez que le programme émette
un avertissement lorsqu’un événement important se produit,
sélectionnez l’option Signal sonore.
27
Les fonctions de l’Interface utilisateur comprennent aussi une option
de protection par mot de passe des paramètres de configuration
d’ESET NOD32 Antivirus. Cette option se trouve dans le sous-menu
Protection des paramètres, sous Interface utilisateur. Il est
essentiel que le programme soit correctement configuré pour garantir
la sécurité maximale du système. Tout changement non autorisé peut
faire perdre des données importantes. Pour définir un mot de passe
pour protéger les paramètres de la configuration, cliquez sur Entrer
un mot de passe….
Cliquez sur Configuration avancée... pour accéder aux options
de configuration supplémentaires Alertes et notifications dont
Afficher uniquement les notifications exigeant une intervention
de l’utilisateur. Cette option permet d’activer/de désactiver l’affichage
des alertes et des notifications qui n’exigent aucune intervention de
l’utilisateur. Sélectionnez N’afficher que les notifications nécessitant
une interaction de l’utilisateur lors de l’exécution d’applications
en mode plein écran pour supprimer toutes les notifications non
interactives. Le menu déroulant Verbosité minimale des événements
à afficher permet de sélectionner le niveau de gravité de départ des
alertes et notifications à afficher.
La dernière fonctionnalité de cette section est l’identification des
adresses de notification dans un environnement multi-utilisateurs.
Le champ Sur les systèmes multi-utilisateurs, afficher les
notifications sur l’écran de l’utilisateur : permet de définir quel
utilisateur recevra les notifications importantes d’ESET NOD32
Antivirus. Normalement, il doit s’agir d’un administrateur système
ou réseau. Cette option est particulièrement utile pour les serveurs
de terminaux, en autant que toutes les notifications système soient
envoyées à l’administrateur.
4.7
4.6.1
Alertes et notifications
La section Configurer les alertes et notifications sous Interface
utilisateur permet de configurer le mode de traitement des alertes de
menace et des notifications système par ESET NOD32 Antivirus 4.
La première option est Afficher les alertes. Lorsqu’elle est désactivée,
aucune fenêtre d’alerte ne s’affiche, ce qui ne convient qu’à un nombre
limité de situations particulières. Nous recommandons à la majorité
des utilisateurs de garder l’option par défaut (activée).
Pour fermer automatiquement les fenêtres d’alerte après un certain
délai, sélectionnez l’option Fermer automatiquement la boîte
de message après (s). Si les fenêtres d’alerte ne sont pas fermées
manuellement par l’utilisateur, elles le sont automatiquement une fois
que le laps de temps précisé est écoulé.
Les notifications sur le bureau et les infobulles sont des moyens
d’information uniquement et n’exigent aucune interaction avec
l’utilisateur. Elles s’affichent dans la barre d’état système dans l’angle
inférieur droit de l’écran. Pour activer l’affichage des notifications sur le
bureau, sélectionnez l’option Afficher les notifications sur le bureau.
D’autres options détaillées (la durée d’affichage des notifications et
la transparence de la fenêtre) peuvent être modifiées en cliquant
sur le bouton Configurer les notifications. Pour prévisualiser le
comportement des notifications, cliquez sur le bouton Aperçu. Pour
configurer la durée d’affichage des infobulles, utilisez l’option Afficher
les infobulles dans la barre des tâches (en sec.).
28
ThreatSense.Net
Le système d’avertissement anticipé ThreatSense.Net est un outil
qui s’assure que ESET est toujours avisé des nouvelles infiltrations
et ce, dès qu’elles se produisent et de façon continue. Le système
d’alerte anticipé bidirectionnel n’a qu’un seul objectif : améliorer la
protection que nous vous offrons. Le meilleur moyen d’être sûr de voir
les nouvelles menaces dès qu’elles apparaissent est d’être en contact
permanent avec le plus grand nombre de nos clients et de les utiliser
comme des éclaireurs de menaces. Deux options sont possibles :
•
Vous pouvez décider de ne pas activer le système d’avertissement
anticipé ThreatSense.Net. Vous ne perdez rien de la fonctionnalité
du logiciel et vous aurez toujours la meilleure protection que nous
offrons.
•
Vous pouvez configurer le système d’avertissement anticipé pour
qu’il envoie des données anonymes concernant de nouvelles
menaces lorsque le code menaçant se trouve dans un seul fichier.
Ce fichier peut être envoyé à ESET pour une analyse détaillée. En
étudiant ces menaces, ESET améliore sa capacité à détecter les
menaces. Le système d’alerte anticipé ThreatSense.Net collecte
sur votre ordinateur des données sur les nouvelles menaces
détectées. Ces données comprennent un échantillon ou une
copie du fichier dans lequel la menace est apparue, le chemin du
fichier, le nom du fichier, la date et l’heure, le processus par lequel
la menace est apparue sur votre ordinateur et des données sur le
système d’exploitation de celui-ci. Elles peuvent également inclure
des données particulières à votre ordinateur, telles que le chemin
de dossier, etc. Un exemple des données envoyées se trouve ici.
Bien qu’il soit possible que cela entraîne la divulgation de certaines
données connexes à vous ou à votre ordinateur, vous devez savoir que
dans le laboratoire d’ESET, ces données ne seront utilisées à AUCUNE
autre fin autre que celle de nous aider à répondre immédiatement aux
menaces.
Par défaut, ESET NOD32 Antivirus est configuré pour demander avant
de soumettre les fichiers suspects pour une analyse détaillée au
laboratoire d’ESET. Notez que les fichiers avec les extensions .doc ou
.xls sont toujours exclus, même si une menace a été détectée dans
de tels fichiers. Vous pouvez ajouter d’autres extensions à la liste
d’exclusion, dont vous ou votre organisation souhaitez éviter l’envoi.
La configuration de ThreatSense.Net est accessible depuis la
configuration avancée complète, dans Outils > ThreatSense.
Net. Cochez la case Activer le système d’avertissement anticipé
ThreatSense.Net. Cela vous permettra de l’activer. Ensuite, cliquez
sur le bouton Configuration avancée....
Si vous ne voulez soumettre aucun fichier, sélectionnez l’option Ne
pas soumettre pour analyse. Notez que la soumission des fichiers
pour analyse n’affecte pas les données statistiques de soumission
à ESET. Les données statistiques sont configurées dans une section
qui leur est propre et qui est décrite dans le chapitre suivant.
Quand soumettre
Les fichiers suspects seront envoyés pour analyse aux laboratoires
d’ESET dès que possible. Cela est recommandé lorsqu’une connexion
Internet permanente est disponible et que les fichiers suspects
peuvent être livrés très rapidement. L’autre option est de livrer
les fichiers suspects Pendant la mise à jour. Si cette option est
sélectionnée, les fichiers suspects sont recueillis et téléchargés,
pendant la mise à jour, sur les serveurs du Système d’avertissement
anticipé.
Filtre d’exclusion
Tous les fichiers ne sont pas soumis pour analyse. Le filtre d’exclusion
permet d’exclure certains fichiers/dossiers de la soumission. Par
exemple, il est utile d’exclure des fichiers qui peuvent comporter des
données confidentielles potentielles, tels que des documents ou des
feuilles de calcul. Les fichiers les plus ordinaires sont exclus par défaut
(Microsoft Office, OpenOffice). La liste des fichiers exclus peut être
étendue à votre gré.
Adresse de contact
L’adresse de contact est envoyée avec les fichiers suspects à ESET et
peut être utilisée pour communiquer avec vous si des informations
complémentaires sur les fichiers soumis sont nécessaires pour
l’analyse. Notez que vous ne recevrez pas de réponse d’ESET, sauf si de
l’information complémentaire est requise.
4.7.2
4.7.1
Fichiers suspects
L’onglet Fichiers suspects permet de configurer la manière dont les
menaces sont soumises pour analyse au laboratoire d’ESET.
Si vous avez trouvé un fichier suspect, vous pouvez le soumettre
pour analyse à notre laboratoire. S’il s’avère que ces fichiers sont des
applications malveillantes, ils seront ajoutés à la prochaine mise
à jour de la base des signatures de virus.
La soumission de fichiers peut être configurée pour qu’elle se
fasse automatiquement, sans poser de question. Si cette option
est sélectionnée, les fichiers suspects seront envoyés en arrièreplan. Si vous voulez connaître les fichiers envoyés pour analyse et
confirmer leur soumission, sélectionnez l’option Demander avant
de soumettre.
Statistiques
Le système d’avertissement anticipé ThreatSense.Net recueille
sur votre ordinateur des données anonymes concernant de
nouvelles menaces détectées. Ces données peuvent inclure le nom
de l’infiltration, la date et l’heure de détection, la version d’ESET
NOD32 Antivirus ainsi que des données sur la version du système
d’exploitation de votre ordinateur et ses paramètres régionaux. Les
statistiques sont normalement fournies au serveur d’ESET une ou deux
fois par jour.
Voici un exemple de données statistiques envoyées :
# utc_time=2005‑04‑14 07:21:28
# country=“Slovakia“
# language=“ENGLISH“
# osver=5.1.2600 NT
# engine=5417
# components=2.50.2
# moduleid=0x4e4f4d41
# filesize=28368
# filename=C:\Documents and Settings\Administrator\
Local Settings\Temporary Internet Files\Content.IE5\
C14J8NS7\rdgFR1463[1].exe
Quand soumettre
Dans la section Quand soumettre, vous pouvez définir le moment de
l’envoi des données statistiques. Si vous choisissez d’envoyer Dès que
possible, les données statistiques seront envoyées immédiatement
après leur création. Ce choix convient si une connexion Internet
est disponible en permanence. Si l’option Pendant la mise à jour
est sélectionnée, les données statistiques seront conservées puis
envoyées simultanément pendant la prochaine mise à jour.
29
Les options de configuration de l’administration à distance
sont accessibles à partir de la fenêtre principale d’ESET NOD32
Antivirus. Cliquez sur Configuration > Accéder à l’arborescence
de configuration avancée complète... > Divers > Administration
à distance.
4.7.3
Soumission
Dans cette section, on peut choisir si les fichiers et données seront
soumis à l’aide de l’Administrateur distant ESET ou directement
à ESET. Pour s’assurer que les fichiers suspects et les données
statistiques seront envoyés à ESET, sélectionnez l’option Par la
Console d’administration à distance (RA) ou directement à ESET.
Si cette option est sélectionnée, les fichiers et les données statistiques
seront soumis par tout moyen disponible. La soumission de fichiers
suspects au moyen de l’Administrateur distant envoie les fichiers
et les données statistiques au serveur d’administration à distance,
qui assure leur acheminement vers le laboratoire d’ESET. Si l’option
Directement à ESET est sélectionnée, tous les fichiers suspects et les
données statistiques seront livrés directement par le programme au
laboratoire d’ESET.
La fenêtre de configuration permet d’activer le mode Administration
à distance en cochant d’abord la case Connecter au Serveur
d’administration à distance. Vous pouvez alors accéder aux autres
options décrites ci-dessous :
•
Adresse du serveur : adresse réseau du serveur d’administration
à distance.
•
Port : ce champ contient le port du serveur prédéfini utilisé pour
la connexion. Il est recommandé de laisser le paramètre de port
prédéfini sur 2222.
•
Intervalle entre deux connexions au serveur (min.) : précise la
fréquence à laquelle ESET NOD32 Antivirus se connecte au serveur
ERA pour envoyer les données. Autrement dit, les données sont
envoyées aux intervalles définis ici. Si la valeur est 0, les données
sont envoyées toutes les 5 secondes.
•
Le serveur d’administration à distance exige une
authentification : permet d’entrer un mot de passe pour la
connexion au serveur d’administration à distance.
Cliquez sur OK pour confirmer les modifications et appliquer les
paramètres. ESET NOD32 Antivirus utilisera ces paramètres pour se
connecter au serveur distant.
4.9 Licence
Si des fichiers sont en attente de soumission, le bouton Soumettre
maintenant sera activé dans cette fenêtre de configuration. Cliquez
sur ce bouton pour soumettre immédiatement les fichiers et les
données statistiques.
Cochez la case Activer la journalisation pour consigner la soumission
des fichiers et des données statistiques. Dans ce cas, après
chaque soumission de fichier suspect ou de données statistiques, une
entrée est créée dans le journal des événements.
4.8 Administration à distance
L’administration à distance est un outil très puissant pour maintenir
une politique de sécurité et avoir une vue d’ensemble de la gestion de
la sécurité globale du réseau. Elle est particulièrement utile pour les
grands réseaux. L’administration à distance ne fait pas qu’augmenter
le niveau de sécurité, mais offre une administration d’utilisation
simple d’ESET NOD32 Antivirus sur les postes de travail client.
30
La branche Licence permet de gérer les clés de licence d’ESET
NOD32 Antivirus et d’autres produits ESET. Après l’achat, les clés de
licence sont envoyées avec le nom d’utilisateur et le mot de passe.
Pour Ajouter/Retirer une clé de licence, cliquez sur le bouton
correspondant dans la fenêtre du gestionnaire de licences. Le
gestionnaire de licences est accessible à partir de l’arborescence de
configuration avancée sous Divers > Licences.
Une clé de licence est un fichier texte contenant des données sur le
produit acheté : son propriétaire, le nombre de licences et la date
d’expiration.
La fenêtre du gestionnaire de licences permet à l’utilisateur de charger
et de voir le contenu de la clé de licence à l’aide du bouton Ajouter…;
les données contenues seront alors affichées dans la fenêtre du
gestionnaire. Pour supprimer des clés de licence de la liste, cliquez sur
Retirer.
Si une clé de licence est expirée et que vous êtes intéressé par le
renouvellement de l’achat, cliquez sur le bouton Commander ; vous
serez redirigé vers le site Web du magasin en ligne.
31
5. Utilisateur chevronné
Ce chapitre décrit des fonctions d’ESET NOD32 Antivirus qui peuvent
être utiles aux utilisateurs chevronnés. Les options de configuration
de ces fonctions sont accessibles uniquement en mode avancé. Pour
basculer vers le mode avancé, cliquez sur Basculer en mode Avancé
en bas à gauche de la fenêtre principale du programme ou appuyez sur
CTRL + M sur le clavier.
5.1
Configuration du serveur mandataire
Dans ESET NOD32 Antivirus, la configuration du serveur mandataire
est accessible de deux endroits différents dans l’arborescence de la
configuration avancée.
Premièrement, les paramètres de serveur mandataire peuvent être
configurés sous Divers > Serveur mandataire. La sélection du
serveur mandataire à ce niveau définit les paramètres de serveur
mandataire globaux pour tout ESET NOD32 Antivirus. Les paramètres
définis ici seront utilisés par tous les modules exigeant une connexion
à Internet.
Pour préciser des paramètres de serveur mandataire à ce niveau,
cochez la case Utiliser un serveur mandataire, puis entrez l’adresse
du serveur mandataire dans le champ Serveur mandataire ainsi que
le numéro de Port de ce serveur mandataire.
5.2
Importer/exporter des paramètres
L’exportation et l’importation de la configuration ESET NOD32
Antivirus actuelle sont disponibles en mode avancé sous
Configuration.
Les deux fonctions utilisent le format de fichier .xml. Elles sont utiles
si vous devez sauvegarder la configuration ESET NOD32 Antivirus
actuelle pour la réutiliser plus tard (quelle que soit la raison). La
fonction d’exportation sera également appréciée par ceux qui
souhaitent utiliser leur configuration ESET NOD32 Antivirus favorite
sur plusieurs systèmes : il leur suffit d’importer leur fichier .xml.
Si la communication avec le serveur mandataire exige une
authentification, cochez la case Le serveur mandataire exige
une authentification et entrez un Nom d’utilisateur et un Mot
de passe valides dans les champs correspondants. Cliquez sur
le bouton Détecter le serveur mandataire pour détecter et
insérer automatiquement les paramètres du serveur mandataire.
Les paramètres précisés dans Internet Explorer seront alors
copiés. Notez que cette fonction ne récupère pas les données
d’authentification (Nom d’utilisateur et Mot de passe), qui doivent
être fournies par l’utilisateur.
Les paramètres du serveur mandataire peuvent aussi être définis dans
la branche Configuration avancée des mises à jour de l’arborescence
de la configuration avancée. Cette configuration s’applique au profil
de mise à jour concerné et est recommandée pour les ordinateurs
portables qui reçoivent souvent les mises à jour des signatures de virus
de différents endroits. Pour plus d’information sur cette configuration,
voir la section 4.4, « Mise à jour du système ».
5.2.1
Exporter les paramètres
L’exportation de la configuration est très facile. Si vous souhaitez
enregistrer la configuration d’ESET NOD32 Antivirus actuelle, cliquez
sur Configuration > Importer et exporter les paramètres....
Sélectionnez l’option Exporter les paramètres et entrez le nom du
fichier de configuration. Utilisez le navigateur pour sélectionner
un emplacement de votre ordinateur où enregistrer le fichier de
configuration.
5.2.2
Importer les paramètres
La procédure d’importation d’une configuration est très semblable.
De nouveau, sélectionnez Importer et exporter les paramètres, puis
sélectionnez l’option Importer les paramètres. Cliquez sur le bouton
... et localisez le fichier de configuration à importer.
32
5.3
Ligne de commande
Il est possible de lancer le module antivirus ESET NOD32 Antivirus à
partir de la ligne de commande - manuellement (avec la commande
« ecls ») ou au moyen d’un fichier de traitement par lots (« bat »).
Les paramètres et commutateurs suivants peuvent être utilisés
lors de l’exécution de l’analyseur à la demande à partir de la ligne de
commande :
Options générales :
– aide
– version
–
base‑dir = DOSSIER
–
–
--
quar‑dir = DOSSIER
aind
auto
afficher l’aide et quitter
afficher l’information sur la version et
quitter
charger les modules à partir de DOSSIER
DOSSIER de quarantaine
afficher l’indicateur d’activité
analyse tous les disques durs en mode de
nettoyage
Cibles :
– fichiers
– no‑files
– boots
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
analyser les fichiers (valeur par défaut)
ne pas analyser les fichiers
analyser les secteurs d’amorçage (valeur par défaut)
no‑boots
ne pas analyser les secteurs d’amorçage
arch
analyser les archives (valeur par défaut)
no‑arch
ne pas analyser les archives
max‑archive‑level = NIVEAU NIVEAU d’imbrication maximal des archives
scan‑timeout = LIMITE
analyser les archives pendant un maximum de LIMITE secondes. Si la durée d’analyse atteint cette limite, l’analyse de l’archive est arrêtée
et l’analyse se poursuit avec e fichier suivant
max‑arch‑size=TAILLE
analyser uniquement la TAILLE
des premiers octets des archives (valeur par défaut 0 = illimité)
mail
analyser les courriels
no‑mail
ne pas analyser les courriels
sfx
analyser les archives à extraction automatique
no‑sfx
ne pas analyser les archives à extraction automatique
rtp
analyser les fichiers exécutables compressés
no‑rtp
ne pas analyser les fichiers exécutables compressés
exclude = DOSSIER
exclure le DOSSIER de l’analyse
subdir
analyser les sous-dossiers (valeur par
défaut)
no‑subdir
ne pas analyser les sous-dossiers
max‑subdir‑level = NIVEAU NIVEAU d’imbrication maximum de
sous-dossiers
(valeur par défaut 0 = illimité)
symlink
suivre les liens symboliques (valeur par défaut)
no‑symlink
ignorer les liens symboliques
ext‑remove = EXTENSIONS
ext‑exclude = EXTENSIONS exclure de l’analyse les EXTENSIONS
délimitées par deux-points
Méthodes :
– logiciel publicitaire
–
no‑adware
–
unsafe
–
no‑unsafe
rechercher les logiciels espions/
publicitaires/à risque
ne pas rechercher les logiciels espions/
publicitaires/à risque
rechercher les applications potentiellement dangereuses
ne pas rechercher les applications potentiellement dangereuses
–
unwanted
–
no‑unwanted
–
–
–
–
–
–
pattern
no‑pattern
heur
no‑heur
adv‑heur
no‑adv‑heur
Nettoyage :
– action = ACTION
–
quarantaine
–
no‑quarantine
Journaux :
– log‑file=FICHIER
–
log‑rewrite
–
–
log‑all
no‑log‑all
rechercher les applications potentiellement indésirables
ne pas rechercher les applications potentiellement indésirables
utiliser les signatures
ne pas utiliser les signatures
activer l’heuristique
désactiver l’heuristique
activer l’heuristique avancée
désactiver l’heuristique avancée
appliquer l’ACTION aux objets infectés. Actions disponibles –
none, clean, prompt (aucune, nettoyer, demander)
copier les fichiers infectés vers Quarantaine (complète ACTION)
ne pas copier les fichiers infectés vers
Quarantaine
consigner les résultats dans le FICHIER
écraser le fichier de résultats
(valeur par défaut - ajouter)
également consigner les fichiers sains
ne pas consigner les fichiers nettoyés
(valeur par défaut)
Les différents codes sortie d’analyse :
0
1
10
101
102
103
: aucune menace détectée
: menace détectée mais pas nettoyée
: certains fichiers infectés sont restés
: erreur d’archive
: erreur d’accès
: erreur interne
REMARQUE :
Un code sortie supérieur à 100 signale un fichier non analysé, qui peut
donc être infecté.
5.4 ESET SysInspector
ESET SysInspector est une application qui inspecte complètement
l’ordinateur et affiche les données recueillies de façon exhaustive. Des
données telles que les pilotes et applications installés, les connexions
réseau ou les entrées de registre importantes peuvent vous aider à
élucider un comportement suspect du système, qu’il soit dû à une
incompatibilité logicielle ou matérielle, ou à une infection par logiciel
malveillant.
SysInspector existe en deux variantes dans le portefeuille d’ESET.
Vous pouvez télécharger l’application portable (SysInspector.
exe) gratuitement à partir du site Web d’ESET. La variante intégrée
est incluse dans ESET NOD32 Antivirus 4. Pour ouvrir la section
SysInspector, activez le mode d’affichage Avancé dans l’angle inférieur
gauche, puis cliquez sur Outils > SysInspector. Les deux variantes
sont identiques par leur fonction et offrent les mêmes contrôles.
La seule différence réside dans la manière dont les résultats sont
gérés. L’application portable permet d’exporter un instantané
système dans un fichier XML et de l’enregistrer sur votre disque. C’est
également possible dans le SysInspector intégré. En outre, vous
pouvez commodément stocker vos instantanés système directement
dans ESET NOD32 Antivirus 4 > Outils > SysInspector (pour plus
d’information, consultez la rubrique 5.4.1.4 Intégration de SysInspector
dans ENA).
Patientez pendant qu’ESET SysInspector analyse votre ordinateur. Cela
peut prendre entre 10 secondes et plusieurs minutes en fonction de
la configuration du matériel, du système d’exploitation et du nombre
d’applications installées sur l’ordinateur.
33
5.4.1
Interface utilisateur et utilisation de l’application
Pour simplifier l’utilisation, la fenêtre principale est divisée en quatre
sections : les Contrôles du programme sont situés dans le haut de la
fenêtre principale, la fenêtre Navigation se trouve à gauche, la fenêtre
Description est à droite au centre alors que la fenêtre Détails se trouve
à droite, au bas de la fenêtre principale.
curseur est positionné tout à fait à gauche (Niveau de risque 1), tous
les éléments sont affichés. En déplaçant le curseur vers la droite, le
programme filtre tous les éléments présentant un risque inférieur au
niveau de risque actuel, et n’affiche que ceux qui sont plus suspects
que le niveau affiché. Lorsque le curseur est positionné tout à fait
à droite, le programme n’affiche que les éléments nuisibles connus.
Tous les éléments s’inscrivant dans la plage de risques de 6 à 9 peuvent
constituer un risque pour la sécurité. Si vous n’utilisez pas certaines
des solutions de sécurité d’ESET, nous vous recommandons d’analyser
votre système avec l’analyseur en ligne ESET après que le programme
a trouvé un tel élément. L’analyseur en ligne ESET est un service
gratuit accessible à l’adresse URL http://www.eset.eu/online-scanner.
Remarque : Vous pouvez rapidement déterminer le niveau de risque d’un
élément en comparant sa couleur à celle du curseur Niveau de risque.
Rechercher
La fonction Rechercher permet de trouver rapidement un élément
particulier à l’aide de son nom ou d’une partie de celui-ci. Les résultats
de la demande de recherche s’affichent dans la fenêtre Description.
Retour
En cliquant sur la flèche Précédent ou Suivant, vous pouvez revenir
aux données affichées précédemment dans la fenêtre Description.
Section d’état
Affiche le nœud actuel dans la fenêtre Navigation.
5.4.1.1
Contrôles du programme
Cette section contient la description de tous les contrôles du
programme disponibles dans ESET SysInspector
Fichier
En cliquant ici, vous pouvez enregistrer l’état de votre rapport actuel
à des fins d’investigation ultérieure ou ouvrir un rapport enregistré
précédemment. Si vous voulez publier le rapport, il est recommandé
de le générer comme « approprié pour envoi ». Sous cette forme, le
rapport omet les renseignements sensibles.
Remarque : Vous pouvez ouvrir des rapports d’ESET SysInspector
précédemment stockés en les glissant-déplaçant simplement vers la fenêtre
principale.
Arborescence
Permet de développer ou de fermer tous les nœuds.
Liste
Contient des fonctions permettant de faciliter la navigation dans le
programme, ainsi que d’autres telles que la recherche de données en
ligne.
Important : Les éléments en surbrillance de couleur rouge sont inconnus.
C’est pourquoi le programme les marque comme potentiellement dangereux.
Si un élément s’affiche en rouge, cela ne signifie pas forcément que vous
pouvez supprimer le fichier. Avant de supprimer des fichiers, assurez-vous
qu’ils sont vraiment dangereux ou inutiles.
Aide
Contient des données sur l’application et ses fonctions.
Détail
Détermine l’information affichée dans d’autres sections de la fenêtre
principale, et utilise donc le programme. En mode de base, vous
avez accès aux données utilisées pour trouver des solutions à des
problèmes courants de votre système. En mode Moyen, le programme
affiche des détails moins utilisés, tandis qu’en mode Complet, ESET
SysInspector affiche toutes les données nécessaires pour résoudre des
problèmes très précis.
Filtrage des éléments
Convient parfaitement pour rechercher des fichiers suspects ou des
entrées de Registre dans votre système. En réglant le curseur, vous
pouvez filtrer les éléments en fonction de leur niveau de risque. Si le
34
5.4.1.2
Navigation dans ESET SysInspector
ESET SysInspector divise plusieurs types de données en plusieurs
sections de base appelées nœuds. Si des détails supplémentaires sont
disponibles, vous pouvez les afficher en développant chaque nœud en
sous-nœuds. Pour ouvrir ou réduire un nœud, double-cliquez sur son
nom ou
cliquez à côté de son nom. Tandis que vous parcourez
l’arborescence des nœuds et sous-nœuds dans la fenêtre Navigation,
il se peut que vous découvriez des détails pour chacun des nœuds
affichés dans la fenêtre Description. Si vous parcourez les éléments de
la fenêtre Description, il se peut que des détails supplémentaires sur
chacun des éléments s’affichent dans la fenêtre Détails.
Voici les descriptions des principaux nœuds de la fenêtre Navigation
et les informations correspondantes dans les fenêtres Description et
Détails.
Processus en cours
Ce nœud contient des données sur les applications et processus en
cours d’exécution lors de la génération du rapport. Il se peut que la
fenêtre Description affiche aussi des détails supplémentaires pour
chaque processus, tels que les bibliothèques dynamiques utilisées
et leur emplacement dans le système, le nom du fournisseur de
l’application, le niveau de risque du fichier, etc.
La fenêtre Détails contient des données supplémentaires sur les
éléments sélectionnés dans la fenêtre Description, telles que la taille
du fichier ou son hachage.
Remarque : Un système d’exploitation comprend plusieurs composants
noyaux importants fonctionnant 24 heures sur 24 et 7 jours sur 7 et assurant
des fonctions de base et vitales pour d’autres applications utilisateur. Dans
certains cas, de tels processus s’affichent dans l’outil ESET SysInspector avec
le chemin d’accès du fichier commençant par \??\. Ces symboles permettent
une optimisation de ces processus avant leur lancement; ils sont sûrs pour le
système et, comme tels, corrects.
Connexions réseau
La fenêtre Description contient la liste des processus et applications
communiquant sur le réseau à l’aide du protocole sélectionné dans la
fenêtre Navigation (TCP ou UDP), ainsi que l’adresse distante à laquelle
l’application est connectée. Vous pouvez également contrôler le DNS
attribuant les adresses IP assignées.
La fenêtre Détails contient des données supplémentaires sur les
éléments sélectionnés dans la fenêtre Description, telles que la taille
du fichier ou son hachage.
Entrées de registre importantes
Contient la liste des entrées de registre sélectionnées qui sont souvent
liées à différents problèmes dans le système, telles que celles précisant
les programmes à lancer au démarrage, des objets application
d’assistance du navigateur (BHO), etc.
Il se peut que la fenêtre Description indique les fichiers liés à des
entrées de registre particulières. La fenêtre Détails peut également
présenter des détails supplémentaires.
Services
La fenêtre Description contient la liste des fichiers enregistrés en
tant que Services Windows. Vous pouvez contrôler la manière dont le
démarrage du service est paramétré, ainsi que des détails du fichier
dans la fenêtre Détails.
Pilotes
Liste des pilotes installés dans le système.
Fichiers critiques
La fenêtre Description affiche le contenu des fichiers critiques liés au
système d’exploitation Microsoft Windows ®.
Description de tous les symboles qui peuvent être affichés à côté des
éléments :
nouvelle valeur, absente du journal précédent.
la section de l’arborescence contient de nouvelles valeurs.
valeur supprimée, présente uniquement dans le journal précédent.
la section de l’arborescence contient des valeurs supprimées.
la valeur/le fichier a été modifié.
la section de l’arborescence contient des valeurs/des fichiers
supprimés.
Le niveau de risque a baissé; il était supérieur dans le journal
précédent.
Le niveau de risque a augmenté; il était inférieur dans le journal
précédent.
La section d’explication dans le coin inférieur gauche décrit tous les
symboles et affiche les noms des journaux comparés.
Informations système
Contient des détails sur le matériel et les logiciels, ainsi que des
données sur les variables d’environnement et les droits de l’utilisateur
définis.
Détails du fichier
Liste des fichiers et des fichiers système importants dans le dossier
Program Files. Des données précises sur les fichiers s’affichent dans les
fenêtres Description et Détails.
A propos
Information sur ESET SysInspector.
5.4.1.3
Comparer
La fonctionnalité Comparer permet de comparer deux journaux. Cette
fonctionnalité produit un ensemble d’éléments non communs aux
deux journaux. Elle convient si vous voulez conserver une trace des
modifications apportées dans le système. Vous pouvez, par exemple,
détecter l’activité d’un code malveillant.
Une fois lancée, l’application crée un journal qui s’affiche dans une
nouvelle fenêtre. Accédez à Fichier -> Enregistrer le journal pour
enregistrer un journal dans un fichier. Vous pouvez ensuite ouvrir et
afficher les fichiers journaux. Pour ouvrir un journal existant, utilisez
le menu Fichier -> Ouvrir le journal. Dans la fenêtre principale du
programme, ESET SysInspector affiche toujours un seul journal à la fois.
Si vous comparez deux journaux, le principe est que vous comparez
un journal actuellement actif à un autre enregistré dans un fichier.
Pour comparer des journaux, utilisez l’option Fichier -> Comparer
les journaux, puis cliquez sur Sélectionner un fichier. Le journal
sélectionné sera comparé au journal actif dans les fenêtres principales
du programme. Le journal obtenu, dit comparatif, n’indiquera que les
différences entre ces deux journaux.
Remarque : Si vous comparez deux fichiers journaux, sélectionnez Fichier
-> Enregistrer le journal, puis enregistrez en format ZIP; les deux fichiers sont
enregistrés. Si vous ouvrez ensuite un tel fichier, les journaux qu’il contient
sont automatiquement comparés.
À côté des éléments affichés, SysInspector affiche des symboles
identifiant les différences entre les journaux comparés.
Les éléments marqués du signe ne figurent que dans le journal
actif et sont absents du journal comparatif ouvert. En revanche, les
éléments marqués du signe ne figurent que dans le journal ouvert
et sont absents du journal actif.
Tout journal comparatif peut être enregistré dans un fichier, puis
ouvert ultérieurement.
Exemple :
générez et enregistrez un journal consignant des informations
originales sur le système dans un fichier nommé précédent.xml. Une
fois les modifications apportées au système, ouvrez SysInspector et
laissez-le générer un nouveau journal. Enregistrez-le dans un fichier
nommé actuel.xml.
Pour suivre les différences entre ces deux journaux, accédez
à Fichier -> Comparer les journaux. Le programme crée un
journal comparatif montrant les différences entre les journaux.
Vous pouvez obtenir le même résultat en utilisant l’option de ligne de
commande suivante :
SysIsnpector.exe actuel.xml précédent.xml
5.4.1.4
SysInspector comme composant d’ESET NOD32
Antivirus 4
Pour ouvrir la section SysInspector dans ESET NOD32 Antivirus, cliquez
sur Outils > SysInspector. Le système de gestion dans la fenêtre
de SysInspector est similaire à celui des journaux d’analyse ou des
tâches planifiées de l’ordinateur. Toutes les opérations relatives aux
instantanés (créer, afficher, comparer, supprimer et exporter) sont
accessibles en un ou deux clics.
La fenêtre de SysInspector contient des données de base sur les
instantanés créés, telles que l’heure de création, un bref commentaire,
le nom de leur auteur et leur état.
Pour comparer, ajouter ou supprimer des instantanés, utilisez les
boutons correspondants situés sous la liste des instantanés dans la
35
fenêtre de SysInspector. Ces options sont également offertes dans
le menu contextuel. Pour afficher l’instantané système sélectionné,
utilisez l’option Affichage du menu contextuel. Pour exporter
l’instantané sélectionné dans un fichier, cliquez dessus avec le bouton
droit, puis sélectionnez Exporter.... Voici une description détaillée des
options disponibles :
Comparer : permet de comparer deux journaux existants. Cette
option permet de suivre les différences entre le journal actuel et un
journal plus ancien. Pour qu’elle fonctionne, vous devez sélectionner
deux instantanés à comparer.
Ajouter : crée un enregistrement. Au préalable, vous devez entrer un
bref commentaire sur l’enregistrement. Pour suivre la progression
de la création de l’instantané (en cours de génération) exprimée en
pour cent, consultez la colonne État. Tous les instantanés générés
présentent l’état Créé.
Retirer : supprime des entrées de la liste.
Afficher : affiche l’instantané sélectionné. Vous pouvez également
double-cliquer sur l’entrée sélectionnée.
Exporter... : enregistre l’entrée sélectionnée dans un fichier XML (ainsi
que dans une version compressée).
5.5
ESET SysRescue
ESET Recovery CD (ERCD) est un utilitaire permettant de créer un
disque d’amorçage contenant ESET NOD32 Antivirus 4 (ENA). Le
principal avantage d’ESET Recovery CD est le fait qu’ENA s’exécute
indépendamment du système d’exploitation hôte, tout en ayant
un accès direct au disque et au système de fichiers entier. Il est
ainsi possible de supprimer des infiltrations dont la suppression
est normalement impossible, par exemple, quand le système
d’exploitation est en cours d’exécution, etc.
5.5.1
Configuration requise
Dossiers
ESET Antivirus
Avancé
Périphérique USB d’amorçage
Gravure
5.5.2.1
Dossiers
Le dossier temporaire est un répertoire de travail pour les fichiers
requis durant la compilation d’ESET SysRescue.
Un dossier est un dossier dans lequel le fichier ISO obtenu est
enregistré une fois la compilation terminée.
La liste sous cet onglet présente tous les lecteurs réseau locaux et
mappés ainsi que l’espace libre disponible. Si certains de ces dossiers
se trouvent sur un lecteur dont l’espace libre est insuffisant, il est
recommandé de sélectionner un autre lecteur disposant de davantage
d’espace libre disponible. Sinon, la compilation peut se terminer
prématurément en raison de l’insuffisance d’espace disque libre.
Applications externes
Permet de préciser des programmes supplémentaires qui seront
exécutés ou installés après l’amorçage d’un support SysRescue.
Applications externes - permet l’ajout d’un programme externe à la
compilation SysRescue.
Dossier sélectionné - dossier dans lequel se trouvent des programmes
à ajouter au disque SysRescue.
5.5.2.2
Antivirus ESET
Pour créer un CD ESET SysRescue, vous pouvez sélectionner deux
sources de fichiers ESET que le compilateur doit utiliser.
Dossier ENA : fichiers figurant déjà dans le dossier dans lequel le
produit ESET est installé sur l’ordinateur.
ESET SysRescue (ESR) opère dans l’Environnement de préinstallation
Microsoft Windows (Windows PE) version 2.x, qui est basé sur
Windows Vista. Windows PE faisant partie du Kit d’installation
automatisée (Windows AIK) gratuit, Windows AIK doit d’abord avoir
été préalablement installé pour pouvoir créer un ESR. En raison de
la prise en charge de la version 32 bits de Windows PE, ESR ne peut
être créé que dans la version 32 bits d’ENA/ENA. ESR prend en charge
Windows AIK 1.1 et les versions postérieures. ESR est disponible dans
ENA/ENA 4.0 et les versions postérieures.
Fichier MSI : les fichiers du programme d’installation de MSI sont
utilisés.
5.5.2
De l’utilisateur : le nom d’utilisateur et le mot de passe entrés dans les
zones de texte correspondantes sont utilisés.
Comment créer un CD de sauvetage
Si la configuration minimale requise pour la création d’un CD ESET
SysRescue (ESR) est disponible, cette tâche est facile à exécuter. Pour
lancer l’Assistant ESR, cliquez sur Démarrer > Programmes > ESET >
ESET NOD32 Antivirus 4 > ESET SysRescue.
Profil : vous pouvez utiliser l’une des deux sources suivantes de nom
d’utilisateur et de mot de passe :
ENA Installé : le nom d’utilisateur et le mot de passe sont copiés
à partir de la version installée d’ESET NOD32 Antivirus 4 ou d’ESET
NOD32.
Remarque : ESET NOD32 Antivirus 4 ou ESET NOD32 Antivirus présent
sur le CD ESET SysRescue est mis à jour à partir d’Internet ou de la solution
de sécurité ESET installée sur l’ordinateur sur lequel le CD ESET SysRescue est
exécuté.
Tout d’abord, l’Assistant vérifie la présence de Windows AIK et d’un
périphérique adapté pour la création d’un support d’amorçage.
5.5.2.3
À l’étape suivante, sélectionnez le support cible pour ESR. Outre les
supports CD/DVD/USB, vous pouvez enregistrer ESR dans un fichier
ISO. Ensuite, vous pouvez graver l’image ISO sur un CD/DVD, ou
l’utiliser d’une autre manière (par ex., dans un environnement virtuel
tel que VmWare ou Virtualbox).
L’onglet Avancé permet d’optimiser le CD ESET SysRescue pour la
taille de la mémoire de votre ordinateur. Sélectionnez 512 Mo et plus
pour écrire le contenu du CD dans la mémoire vive (RAM). Si vous
sélectionnez Moins de 512 Mo, le CD de récupération fera l’objet d’un
accès permanent lors de l’exécution de WinPE.
Une fois tous les paramètres indiqués, un aperçu de la compilation
s’affiche à la dernière étape de l’Assistant ESET SysRescue. Vérifiez les
paramètres, puis lancez la compilation. Les options disponibles sont
les suivantes :
Pilotes externes : dans cette section, vous pouvez insérer des pilotes
pour votre matériel particulier (généralement une carte réseau).
Bien que WinPE soit basé sur Windows Vista SP1, qui prend en charge
un vaste éventail de composants matériels, il arrive que certains
composants ne soient pas reconnus et que vous deviez ajouter le
pilote manuellement. Il y a deux manières d’introduire le pilote dans
36
Avancé
la compilation ESET SysRescue : manuellement (bouton Ajouter)
et automatiquement (bouton Aut.Search). En cas d’introduction
manuelle, vous devez sélectionner le chemin d’accès du fichier
.inf correspondant (le fichier *.sys applicable doit également être
présent dans ce dossier). En cas d’introduction automatique, le
pilote est trouvé automatiquement dans le système d’exploitation
de l’ordinateur. Nous recommandons de n’utiliser l’introduction
automatique que si SysRescue est utilisé sur un ordinateur disposant
de la même carte réseau que celle équipant celui sur lequel SysRescue
est créé. Durant la création d’ESET SysRescue, le pilote est introduit
dans la compilation de façon à ce que l’utilisateur ne doive pas ensuite
le rechercher.
5.5.2.4
Périphérique USB d’amorçage
Si vous avez sélectionné un périphérique USB comme support cible,
vous pouvez sélectionner l’un des supports USB disponibles sous l’onglet
Périphérique USB d’amorçage (s’il y a d’autres périphériques USB).
Avertissement : Le périphérique USB sera formaté durant le processus de
création d’ESET SysRescue, ce qui signifie que toutes les données figurant sur
le périphérique seront supprimées.
5.5.2.5
Graver
Si vous avez sélectionné CD/DVD comme support cible, vous pouvez
préciser des paramètres de gravure supplémentaires sous l’onglet
Graver.
Supprimer fichier ISO : activez cette option pour supprimer les
fichiers ISO après la création du CD ESET Rescue.
Suppression activée : permet de sélectionner un effacement rapide et
un effacement complet.
5.5.3
Utilisation d’ESET SysRescue
Pour utiliser efficacement les supports de sauvetage CD/DVD/USB,
vous devez vous assurer que l’ordinateur démarrera à partir des
supports d’amorçage d’ESET SysRescue. Vous pouvez modifier la
priorité d’amorçage dans le BIOS. Vous pouvez également appeler le
menu d’amorçage au démarrage de l’ordinateur (généralement à l’aide
de l’une des touches F9 à F12) en fonction de la version de la carte mère
ou du BIOS.
Une fois l’amorçage terminé, ENA/ENA démarre. Comme ESET
SysRescue n’est utilisé que dans des situations particulières, certains
modules de protection et fonctionnalités de programme présents
d’ordinaire dans ENA/ENA ne sont pas nécessaires; leur liste est limitée
à l’analyse, à la mise à jour et à certaines sections de la configuration
de l’ordinateur. La capacité de mise à jour des bases des signatures de
virus est la fonctionnalité la plus importante d’ESET SysRescue. il est
recommandé de mettre à jour le programme avant de démarrer une
analyse de l’ordinateur.
5.5.3.1
Utilisation d’ESET SysRescue
Supposons que des ordinateurs du réseau aient été infectés par un
virus modifiant des fichiers exécutables (EXE). ENA/ENA est capable de
nettoyer tous les fichiers infectés à l’exception d’explorer.exe, qu’il est
impossible de nettoyer, même en mode sans échec.
Cela est dû au fait qu’explorer.exe, processus Windows essentiel, est
également lancé en mode sans échec. ENA/ENA ne peut appliquer
aucune action au fichier qui reste donc infecté.
Dans un tel scénario, vous pouvez utiliser ESET SysRescue pour
résoudre le problème. ESET SysRescue ne requiert pas de composant
du système d’exploitation hôte. Il peut ainsi traiter (nettoyer,
supprimer) tout fichier figurant sur le disque.
Graveur : sélectionnez le lecteur à utiliser pour la gravure.
Avertissement : Il s’agit de l’option par défaut. En cas d’utilisation d’un CD/
DVD réinscriptible, toutes les données qu’il contient sont effacées.
La section Support contient des données sur le support inséré dans le
périphérique CD/DVD.
Vitesse de gravure : sélectionnez la vitesse souhaitée dans le menu
déroulant. Pour sélectionner la vitesse de gravure, vous devez tenir
compte des capacités du graveur et du type de CD/DVD utilisé.
37
6. Glossaire
6.1
Types d’infiltrations
Une infiltration est un morceau de logiciel malveillant qui tente de
s’introduire dans l’ordinateur d’un utilisateur ou de l’endommager.
6.1.1
Virus
Un virus est une infiltration qui endommage les fichiers existants de
votre ordinateur. Les virus informatiques sont comparables aux virus
biologiques parce qu’ils utilisent des techniques similaires pour se
propager d’un ordinateur à l’autre.
Les virus informatiques attaquent principalement les fichiers et
documents exécutables. Pour proliférer, un virus attache son « corps »
à la fin d’un fichier cible. En bref, un virus informatique fonctionne
comme ceci : après l’exécution du fichier infecté, le virus s’active luimême (avant l’application originale) et exécute sa tâche prédéfinie.
C’est après seulement que l’application originale peut s’exécuter.
Un virus ne peut pas infecter un ordinateur à moins qu’un utilisateur
exécute ou ouvre lui-même (accidentellement ou délibérément) le
programme malveillant.
L’activité et la gravité des virus varient. Certains sont extrêmement
dangereux parce qu’ils ont la capacité de supprimer délibérément des
fichiers du disque dur. D’autres en revanche ne causent pas de réels
dommages : ils ne servent qu’à ennuyer l’utilisateur et à démontrer les
compétences techniques de leurs auteurs.
Il est important de noter que les virus sont (par rapport aux chevaux
de Troie et aux logiciels espions) de plus en plus rares, parce qu’ils
ne sont pas commercialement très attrayants pour les auteurs de
programmes malveillants. En outre, le terme « virus » est souvent mal
utilisé pour couvrir tout type d’infiltrations. On tend aujourd’hui à le
remplacer progressivement par le terme « logiciel malveillant » ou
« malware » en anglais.
Si votre ordinateur est infecté par un virus, il est nécessaire de
restaurer les fichiers infectés à leur état original, c’est-à-dire de les
nettoyer à l’aide d’un programme antivirus.
Si votre ordinateur est infecté par un ver, il est recommandé de
supprimer les fichiers infectés parce qu’ils contiennent probablement
du code malicieux.
Parmi les vers les plus connus, on peut citer : Lovsan/Blaster,
Stration/Warezov, Bagle et Netsky.
6.1.3
Dans le passé, les chevaux de Troie ont été définis comme une
catégorie d’infiltrations ayant comme particularité de se présenter
comme des programmes utiles pour duper ensuite les utilisateurs qui
acceptent de les exécuter. Il est cependant important de remarquer
que cette définition s’applique aux anciens chevaux de Troie.
Aujourd’hui, il ne leur est plus utile de se déguiser. Leur unique objectif
est de trouver la manière la plus facile de s’infiltrer pour accomplir
leurs desseins malveillants. « Cheval de Troie » est donc devenu un
terme très général qui décrit toute infiltration qui n’entre pas dans une
catégorie spécifique.
La catégorie étant très vaste, elle est souvent divisée en plusieurs
sous-catégories. Les plus connues sont :
•
téléchargeur : programme malveillant qui est en mesure de
télécharger d’autres infiltrations sur l’Internet.
•
injecteur : type de cheval de Troie conçu pour déposer d’autres
types de logiciels malveillants sur des ordinateurs infectés.
•
porte dérobée : application qui communique à distance avec les
pirates et leur permet d’accéder à un système et d’en prendre le
contrôle.
•
enregistreur de frappe (keystroke logger) : programme qui
enregistre chaque touche sur laquelle l’utilisateur appuie avant
d’envoyer l’information aux pirates.
•
composeur : programme destiné à se connecter aux numéros
à revenus partagés. Il est presque impossible qu’un utilisateur
remarque qu’une nouvelle connexion a été créée. Les composeur
ne peuvent porter préjudice qu’aux utilisateurs ayant des modems
par ligne commutée, qui sont de moins en moins utilisés.
Dans la catégorie des virus, on peut citer : OneHalf, Tenga et Yankee
Doodle.
6.1.2
Vers
Un ver est un programme contenant un code malveillant qui attaque
les ordinateurs hôtes et se répand par un réseau. La différence de base
entre un virus et un ver est que les vers ont la capacité de se répliquer
et de voyager par eux-mêmes. Ils ne dépendent pas des fichiers hôtes
(ou des secteurs d’amorçage).
Les vers prolifèrent par le biais des courriels ou des paquets sur le
réseau. Ils peuvent ainsi être catégorisés de deux manières :
•
courriels qui se distribuent eux-mêmes dans les adresses de
messagerie trouvées sur la liste de contacts d’un utilisateur;
•
réseau exploitant les failles de sécurité de diverses applications.
Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que
les virus. Par le biais d’Internet, ils peuvent se propager à travers le
monde en quelques heures seulement et parfois même en quelques
minutes. Leur capacité à se répliquer indépendamment et rapidement
les rendent plus dangereux que les autres types de programmes
malveillants comme les virus.
Un ver activé dans un système peut être à l’origine de plusieurs
dérèglements : il peut supprimer des fichiers, dégrader les
performances du système ou même désactiver certains programmes.
De par sa nature, il est qualifié pour servir de « moyen de transport »
à d’autres types d’infiltrations.
38
Chevaux de Troie
Les chevaux de Troie prennent généralement la forme de fichiers
exécutables avec l’extension .exe. Si un fichier est identifié comme
cheval de Troie sur votre ordinateur, il est recommandé de le
supprimer car il contient sans doute du code malveillant.
Parmi les chevaux de Troie les plus connus, on peut citer : NetBus,
Trojandownloader.Small.ZL, Slapper
6.1.4
Rootkits
Les rootkits offrent aux pirates un accès illimité à un système
tout en dissimulant leur présence. Après avoir accédé au système
(généralement en exploitant une faille), ces programmes utilisent
des fonctions du système d’exploitation pour se protéger des logiciels
antivirus : ils dissimulent des processus, des fichiers et des données
de la base de registre Windows. Pour cette raison, il est presque
impossible de les détecter à l’aide des techniques de test ordinaires.
Souvenez-vous donc que pour se protéger des rootkits, il existe deux
niveaux de détection :
1.
Lorsqu’ils essaient d’accéder au système. Ils ne sont pas encore
installés et sont donc inactifs. La plupart des antivirus sont en
mesure de les éliminer à ce niveau (en supposant qu’ils détectent
effectivement les fichiers comme infectés).
2. Lorsqu’ils sont inaccessibles aux tests habituels. Les utilisateurs du
système antivirus ESET bénéficient de la technologie Anti-Stealth
qui permet de détecter et d’éliminer les rootkits actifs.
6.1.5
Logiciels publicitaires
Le terme anglais « adware » désigne les logiciels soutenus par la
publicité. Les programmes qui affichent des publicités entrent donc
dans cette catégorie. Souvent, les logiciels publicitaires ouvrent
automatiquement une nouvelle fenêtre contextuelle contenant
de la publicité dans un navigateur Internet ou modifient la page
de démarrage de ce dernier. Ils sont généralement associés à des
programmes gratuits et permettent à leurs créateurs de couvrir les
frais de développement de leurs applications (souvent utiles).
En soi, les logiciels publicitaires ne sont pas dangereux; tout au plus
dérangent-ils les utilisateurs par l’affichage de publicités. Le danger
tient au fait qu’ils peuvent aussi inclure des fonctions d’espionnage
(comme les logiciels espions).
Si vous décidez d’utiliser un logiciel gratuit, soyez particulièrement
attentif au programme d’installation. La plupart des programmes
d’installation vous avertiront en effet qu’ils installent en plus un
programme publicitaire. Souvent, vous pourrez désactiver cette
installation supplémentaire et n’installer que le programme, sans
logiciel publicitaire. Cependant, certains programmes refuseront de
s’installer sans leur logiciel publicitaire ou verront leurs fonctionnalités
limitées. Bref, les logiciels publicitaires accèdent souvent au système
d’une manière « légale », dans la mesure où les utilisateurs l’ont
accepté. Dans ce cas, mieux vaux jouer la carte de la prudence.
Si un fichier est identifié comme logiciel publicitaire sur votre
ordinateur, il est recommandé de le supprimer car il contient sans
doute du code malveillant.
6.1.6
Les applications potentiellement risquées entrent dans une
catégorie utilisée pour les logiciels légitimement commerciaux.
Cette classification comprend les programmes d’accès à distance, les
applications de crackage des mots de passe, ou les enregistreurs de
frappe.
Si vous découvrez qu’une application potentiellement dangereuse
est présente et fonctionne sur votre ordinateur (sans que vous l’ayez
installée), consultez votre administrateur réseau et supprimez
l’application.
6.1.8
Applications potentiellement indésirables
Les applications potentiellement indésirables ne sont pas
nécessairement malveillantes, mais elles sont susceptibles d’affecter
les performances de votre ordinateur. Ces applications exigent
généralement le consentement de l’utilisateur avant leur installation.
Si elles sont présentes sur votre ordinateur, votre système se
comportera différemment (par rapport à son état avant l’installation).
Les changements les plus significatifs sont :
•
de nouvelles fenêtres que vous n’avez jamais vues s’ouvrent
•
des processus cachés qui sont activés et exécutés
•
une plus grande utilisation des ressources système
•
la modification des résultats de recherche
•
le fait que l’application communique avec des serveurs distants
Logiciels espions
Cette catégorie englobe toutes les applications qui envoient des
données confidentielles sans le consentement des utilisateurs et à leur
insu. Elles utilisent des fonctions de traçage pour envoyer diverses
données statistiques telles qu’une liste des sites Web visités, les
adresses courriel de la liste de contacts de l’utilisateur ou une liste des
touches de frappe utilisées.
Les auteurs de ces logiciels espions affirment que ces techniques ont
pour but d’en savoir plus sur les besoins et intérêts des utilisateurs afin
de mieux cibler les offres publicitaires. Le problème est qu’il n’y a pas
de distinction claire entre les applications utiles et les applications
malveillantes, et que personne ne peut garantir que les données
récupérées ne seront pas utilisées à des fins frauduleuses. Les données
récupérées par les logiciels espions peuvent être des codes de sécurité,
des codes secrets, des numéros de compte bancaire, etc. Les logiciels
espions sont souvent intégrés aux versions gratuites d’un programme
dans le but de générer des gains ou d’inciter à l’achat du logiciel. Les
utilisateurs sont souvent informés de la présence d’un logiciel espion
au cours de l’installation d’un programme afin de les inciter à acquérir
la version payante qui en est dépourvue.
Parmi les produits logiciels gratuits bien connus qui contiennent
des logiciels espions, on trouve les applications clients de réseaux
P2P (poste à poste) . Spyfalcon ou Spy Sheriff (et beaucoup d’autres)
appartiennent à une sous-catégorie particulière de logiciels espions :
ils semblent être des programmes anti-logiciel espion alors qu’ils sont
en réalité eux-mêmes des logiciels espions.
Si un fichier est identifié comme logiciel espion sur votre ordinateur,
il est recommandé de le supprimer car il contient sans doute du code
malveillant.
6.1.7
Applications potentiellement dangereuses
Il existe de nombreux programmes authentiques qui permettent
de simplifier l’administration des ordinateurs en réseau. Toutefois,
s’ils tombent entre de mauvaises mains, ces programmes sont
susceptibles d’être utilisés à des fins malveillantes. C’est pourquoi
ESET a créé cette catégorie spéciale. Nos clients ont maintenant la
possibilité de choisir si le système antivirus doit ou non détecter ce
type de menaces.
39
">