La antivirus est le programme chargé d’analyser tous les fichiers de notre ordinateur à la recherche de virus ou d’éventuelles menaces et, si l’un d’eux est détecté, de l’éliminer dès que possible. Pour ce faire, il utilise des bases de données avancées, ainsi que l’aide du cloud et des systèmes d’analyse comportementale, afin que le programme sache comment différencier les fichiers et les menaces sûrs et fiables et ne met pas l’intégrité du système en danger. Cependant, une faille de sécurité a permis à plusieurs antivirus supprimer les fichiers système critiques.
Comme on peut le voir dans le rapport de SafeBreach, plusieurs antivirus populaires pour Windows, tels que Microsoft Defender, Avast, AVG et Trend Micro, ont été affectés par un bogue qui permettait à tout contrevenant, sans autorisations sur l’ordinateur, de les forcer à supprimer des fichiers système que l’antivirus ne devrait pas avoir d’autorisations . Cela peut entraîner des erreurs et des problèmes avec le système d’exploitation lui-même, la suppression des fichiers personnels de l’utilisateur, et peut même rendre notre système complètement inaccessible et impossible à démarrer.
Les chercheurs qui ont détecté ce problème l’ont classé comme un exploit de type « data wiper ». Étant donné que les antivirus sont d’excellents programmes pour supprimer des fichiers (puisque c’est l’un de leurs objectifs) et qu’ils fonctionnent toujours avec le plus haut niveau de privilèges afin d’agir contre les logiciels malveillants, cette faille de sécurité est un problème sérieux pour les utilisateurs.
Un exemple de cet échec est simple. Nous créons un faux répertoire, par exemple, C:/temp/Windows/System32/drivers, et y copions un fichier potentiellement dangereux qui porte le nom d’un vrai fichier Windows, comme « ndis.sys ». Nous gardons ce fichier ouvert pour empêcher l’antivirus de le supprimer, et lorsqu’il le détecte, un ordre de suppression est créé pour ce fichier. Et celui-ci, puisqu’il est ouvert, sera supprimé après un redémarrage.
Une fois la commande de suppression créée, et avant de redémarrer le PC, on supprime tout le répertoire « temp » que l’on a créé, et on crée une fonction pour rediriger « temp » vers « C:/ ». De cette façon, ce que l’antivirus va faire, c’est en fait éliminer « C:/Windows/System32/drivers/ndis.sys », un fichier système clé.
Comment résoudre ce problème (ou inverser les dégâts)
Comme l’ont rapporté des chercheurs en sécurité, plus de la moitié des antivirus testés sont vulnérables à ce problème. Heureusement, les sociétés de sécurité n’ont pas tardé à corriger le problème et ont déjà publié un correctif de sécurité qui corrige ces failles pour empêcher l’antivirus de supprimer des fichiers système critiques sans autorisation.
Si nous avons Windows, Avast/AVG ou Trend Micro antivirus installé sur l’ordinateur, ce que nous devons faire est mettre à jour l’antivirus vers les dernières versions, car ils résolvent ce problème et rendent ces solutions de sécurité invulnérables à l’exploit. Au contraire, si nous avons installé d’autres antivirus, tels que McAfee ou Bitdefender, nous devons savoir que ceux-ci n’ont pas été vulnérableset leur utilisation est sûre.
Si nous avons remarqué récemment que l’ordinateur a commencé à mal fonctionner, cela peut être dû à cette panne. Dans ce cas, ce que nous pouvons faire, c’est essayez de restaurer le PC à un point précédent pour récupérer les fichiers supprimés, exécutez la commande « SFC / scannow » pour vérifier l’intégrité de tous les fichiers Windows et restaurer ceux qui sont manquants ou corrompus, ou enfin, réinstallez Windows pour récupérer tous les fichiers système d’origine.