La protection WEB un des modules de l’arsenal de protection d’un antivirus qui analyse en permanence les connexion établies et filtrent celles-ci.
Cette page décrit le fonctionnement de la protection WEB des antivirus qui consiste à bloquer les sites et URLs malveillantes.
Pour une description et fonctionnement plus générale des antivirus, rendez-vous sur la page : Les antivirus : utilisation et fonctionnement
Fonctionnement
La protection WEB des antivirus est un module de protection à part entière qui vise à protéger les ordinateurs de sites WEB et connexions WEB malveillantes.
Si un contenu malicieux est détecté, la menace est alors bloquée et la connexion WEB est interrompue, cette interruption est importante pour s’assurer que la chaîne d’infection soit brisée et que l’installation du cheval de troie ne soit possible.
La problématique est surtout cette coupure de connexions WEB et le contrôle du flux WEB. En effet, si l’antivirus détecte une connexion vers un Web Exploit, émet une alerte mais ne coupe pas la connexion, le Web Exploit pourra poursuivre l’installation du Trojan.
De même, pour une page internet qui bloque le navigateur WEB comme Browlock ou les Arnaque support téléphonique – PC Support. Si l’antivirus bloque la connexion à la page malveillante, le navigateur internet pourra être débloquée plus facilement.
En clair donc, votre antivirus possède un agent WEB ou module de protection WEB qui analyse les pages WEB visitées :
- Si un site WEB par son adresse est connue pour être en liste noire, la connexion à ce dernier sera bloquée et une alerte sera émise. Cela peut aller de sites WEB connus pour héberger du contenu malveillant, à des moteurs de recherches liés à des Browser Hijacker (BrowserModifier:Win32 chez Microsoft).
Chez Avast!, la détection et infection est : URL:MAL pour URL Malveillante.
- La protection WEB analyse aussi le contenu des pages WEB, si du code malveillant est détectée, l’antivirus en bloque aussi l’accès. Souvent il s’agit de détection comportant le mot JS pour JavaScript ou HTML pour page HTML comme JS/Redir ou HTML:RedirMe-Inf . La plupart du temps, il s’agit de script malicieux (Javascript) qui vise à rediriger lors du chargement d’une page, vers du contenu malicieux, essentiellement des Web Exploit.
Ainsi, si une alerte est émise par l’antivirus, à la visite d’un site WEB, la connexion vers ce dernier est coupée.
Firefox affiche le message “la connexion a été réinitialisée“, Google Chrome lui affiche le message “Ce site est inaccessible“.
Les menaces bloquées par la protection WEB et les notifications :
La protection WEB ne se contente pas de vérifier les connexions des navigateurs WEB mais, bien tous les processus susceptibles de se connecter à un site WEB.
Ainsi, si un Trojan est installé sur l’ordinateur et que l’adresse du serveur de contrôle (voir Comment fonctionnent les trojans), ou un fichier malveillant tente d’être téléchargé, l’antivirus peut bloquer la connexion et émettre une alerte.
Voici par exemple l’antivirus Avast! avec les agents de protection et agents WEB.
De manière générale, pour le filtrage WEB et la protection WEB, vous pouvez aussi lire cette page qui présente quelques outils : Filtrage et protection WEB
Liste noire (Blacklist) VS analyse de contenu de pages WEB
La liste noire (Blacklist) est une base d’adresses malveillantes maintenue par l’éditeur d’antivirus.
Les adresses répertoriées sont connues pour héberger ou distribuées des logiciels malveillants (virus, trojans etc).
La connexion au site sera alors instantanément bloquée.
La protection WEB des antivirus analysent aussi le contenu des pages WEB (le code source), si un script malveillant est détecté, l’antivirus émet une alerte et bloque la connexion.
Cette analyse fonctionnement exactement comme l’analyse de fichiers mais au niveau des pages WEB.
Les détections concernant ces menaces portent en général la mention HTML ou JS – ex : Trojan.Script.Heuristic-JS
Ci-dessous une détection d’un script malicieux HTML:Script-Inf par Avast!
Par exemple, Microsoft peut détecter JS/TechBrolo sur des pages d’arnaques téléphoniques Arnaque support téléphonique – PC Support.
En vidéo
Exemple de détection antivirus de la protection WEB et explications sur les détections de la protection WEB en vidéo :
Que faire si votre antivirus bloque une page internet ?
Si une page internet a été bloquée, votre ordinateur n’est normalement pas infecté, puisque le contenu malveillant a été bloqué en amont.
Vous pouvez vérifier en effectuant une analyse de l’ordinateur.
Vous pouvez aussi effectuer un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite.
Si une page WEB malveillant est bloquée régulièrement, même le navigateur WEB fermé, il est alors possible qu’un adware ou trojan soit actif sur l’ordinateur.
L’antivirus bloquant les connexions de ce dernier.
Une désinfection de Windows est alors à envisager.
- Supprimer les adwares et Désinfection PUPs – PUP.Optional / Adwares
- Tutoriel désinfection et suppression de virus
Pour obtenir de l’aide personnalisée, vous pouvez aussi créer un sujet sur le forum : VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares)
Autre protection WEB
Je rappelle que les navigateurs internet embarque aussi des modules de détections de pages malveillants, ainsi :
- Google Chrome et Mozilla Firefox utilise Google SafeBrowsing
- SmartScreen pour les navigateurs internet Microsoft : Internet Explorer et Microsoft Edge.
