Auteur : bulle97 Mis à jour le : 06.07.2009 Poser votre question

Sunbelt Personal Firewall alias Kerio pour les intimes, possède une technologie HIPS. Cet outil analyse en temps réel le comportement des programmes/processus présent et qui s'exécutent sur votre ordinateur. La fonction intervient pour empêcher toutes actions suspectes, pouvant mettre à mal vos programmes et plus généralement votre système. Sunbelt Personal Firewall vous avertira, à vous ensuite, de vous renseigner sur l'action à poursuivre pour vous débarrasser du problème. La fonction HIPS n'a pas besoin de mise à jour, ni de base virale d'anti-virus et/ou d'anti-spywares, puisqu'elle surveille uniquement le comportement des processus présents sur votre ordinateur.

Cette option sous Sunbelt Personal Firewall est disponible 30 jours pour la version gratuite du pare-feu lors de l'achat d'une licence cette option est activable comme expliqué ci-dessous. Il existe le cas échéant des logiciels HIPS gratuits disponibles sur le Web, mais qu'il vous faudra prendre en main seul. HIPS sous Sunbelt Personal Firewall à l'avantage d'être facilement accessible pour les débutants puisqu'il surveille lui-même ce qu'il se passe sur votre ordinateur.

Déterminer le mal du bien

Si une tentative d'intrusion souhaite agir sur votre système vous verrez apparaître une fenêtre bleue à ne pas confondre avec les fenêtres vertes (connexion sortante) et les fenêtres rouges (connexion entrante), elles sont détaillées sur ce sujet : les alertes sortantes et entrantes. Rare sont les cas ou Sunbelt Personal Firewall signale des fenêtres d'intrusion, dans la plupart des cas c'est à cause d'un ordinateur infecté.

Voilà, une superbe alerte que nous envoie le pare-feu, que faire ? Pas grand-chose, vous ne pouvez ni accepter ni refuser, car ce n'est pas une tentative de connexion, mais une attaque.

Ce qu'il faut faire :

• Analyser entièrement la fenêtre qui se présente à vous.
• Déterminer l'application injectrire (probable "virus") ou si application injectrice est absente, déterminer l'application cible.
• Chercher sur un moteur de recherche des informations ou demander sur le forum.

Dans la fenêtre ci-dessus, on remarque que la ligne Application injectrice est présente, ne cherchez pas plus loin, intéressez-vous à cette ligne là. On remarque ceci : D:\Windows\system32\xoyqcrblcm.exe

Ce qui est intéressant est le processus qui tente l'injection, ici : xoyqcrblcm.exe Rendez-vous sur un moteur de recherche puis cherchez des informations sur xoyqcrblcm.exe vous pourrez vous apercevoir que Google trouve la propre page de cet article pour ce processus (xoyqcrblcm.exe). Cela vous semble t-il normal qu'un moteur de recherche ne le détecte que très peu voire pas du tout ? Bien-sûr que non, c'est un signe que ce processus inconnu est plus que suspect.

Si vous êtes prudent, vous pouvez faire analyser votre processus suspect sur VirusTotal. Si vous avez un doute, demandez de l'aide sur le forum.

Créer une régle d'exception

C'est rare, mais il arrive qu'un de vos programmes reconnu de ne pas être un malware, crée malgré tout une alerte d'injection comme le programme SuperCopier ou les produits Logitech. Dans ce cas il vous est possible de créer une règle d'exception, voici comment procéder.

Ouvrez Sunbelt Personal Firewall, cliquez sur Intrusions, Général et cliquez sur le deuxième bouton Avancé.





Cliquez sur le deuxième bouton Exceptions.

Une fenêtre vide va apparaître. Cliquez sur Ajouter. A la seconde fenêtre, cliquez sur Parcourir, sur la gauche Poste de travail (Ordinateur pour Vista), Disque Local C:, Program files, Privacyware, Dynamic security agent et sélectionnez le processus que l'on a vu au-dessus : DSA.exe puis cliquez sur Ok puis cliquez trois fois sur Ok pour que la confirmation soit prise en compte et que Sunbelt Personal Firewall puisse se réduire dans la barre des tâches.

Il faut faut simplement suivre le chemin indiqué par l'alerte d'injection de dossier en dossier jusqu'au processus ciblé.

La règle d'exception est maintenant créée, vous serez tranquille avec ce programme. La méthode est la même à suivre pour tout autre processus générant une alerte d'injection, hormis si c'est un malware bien entendu, en cas de doute demandez de l'aide sur le forum.